Roma – Secure Kernel Extension Loading (SKEL), una funzione di sicurezza progettata da Apple per la nuova versione del suo sistema operativo desktop, macOS 10.13 High Sierra, è stata aggirata prima ancora del rilascio ufficiale programmato per lunedì 25 settembre.
La funzionalità ha lo scopo di prevenire l’esecuzione automatica dei moduli kernel (KEXT) prodotti da terze parti, bloccandoli immediatamente e chiedendo all’utente di fornire, eventualmente, le autorizzazioni necessarie. L’utente viene avvisato del blocco attraverso un popup.
L’utente deve pertanto approvare il modulo kernel dal pannello “Sicurezza & Privacy” di “Preferenze di Sistema”.
Gli unici casi in cui SKEL non blocca l’esecuzione di un modulo kernel sono i seguenti:
- il modulo era già installato prima dell’upgrade a macOS High Sierra;
- il modulo è firmato con lo stesso Team ID di un altro modulo, approvato in precedenza;
- il modulo ne sostituisce un altro, precedentemente approvato;
- il Mac è stato deployato con una soluzione MDM.
Patrick Wardle, chief security researcher di Synack, con un articolo pubblicato sul sito della società e sul proprio blog personale , ha annunciato l’esistenza di un bug che consente di bypassare SKEL ed eseguire un modulo kernel mai installato in precedenza, firmato, ma contenente una problematica di sicurezza attraverso cui ottenere l’accesso in kernel mode al sistema operativo: nel dettaglio, si tratta di una vecchia versione del firewall Little Snitch, con un noto bug di heap overflow .
Wardle afferma che i tentativi triviali di hackerare SKEL sono falliti : ha inizialmente tentato di modificare a mano il database contenente le policy KEXT, il quale è protetto da System Identity Protection (SIP); ha poi tentato, senza successo, di interagire con la UI attraverso uno script OSA. Apple ha bloccato anche la possibilità di salvare uno screenshot del pannello “Sicurezza & Privacy”.
Tuttavia, i numerosi tentativi hanno portato ad un risultato, comprovato da una demo . Wardle non ha pubblicato dettagli tecnici circa l’exploit da lui scoperto, ma è assai probabile che stia collaborando con Apple per la sua risoluzione; anche perché High Sierra è ormai atteso al rilascio finale tra meno di una settimana.
Elia Tufarolo
leggi i 48 commenti
-
CAMBIO DNS CIFRATO
Allora l'unico modo per cambiare i DNS e essere sicuri che tutto funzioni bene è installare DNS Crypt: https://dnscrypt.orgSu linux si installa facile:[code]apt-get install dnscrypt-proxy[/code]Poi c'è solo da impostare il server DNS sull'ip 127.0.2.1 così da connettersi al software appena installato.Si puo' installare anche su Windows e Mac se qualcuno li usa.Viene usato un server DNS scelto casualmente (random). Per cambiare il vero server DNS configurare /etc/dnscrypt-proxy/dnscrypt-proxy.confE scrivere:ResolverName ns0.dnscrypt.is(per usare il servizio di https://dnscrypt.is )oppure ResolverName ipredator(per usare https://blog.ipredator.se/ubuntu-dnscrypt-howto.html o vedi in basso https://blog.ipredator.se/howto.html )oppure esistono svariati altri provider pre-configurati... che si trovano elencati nel file /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csvUsare DNSCrypt non serve solo a cambiare il server DNS (con server DNS decenti e non-censurati) ma utilizzando la <b
crittografia permette di non essere intercettati </b
passivamente e impedisce che i pacchetti UDP vengano modificati da attori esterni che così se lo prendono in quel posto perchè non possono registrare e schedare gli utenti vedendo che query DNS inviano a server di terze parti.-
Re: CAMBIO DNS CIFRATO
127.0.2.1? Vabeh, non importa, tanto non ce la fanno a configurarlo e poi dico io: perchè sXXXXXXXrlo alle masse, teniamocelo.-
Re: CAMBIO DNS CIFRATO
DNSCrypt non è un segreto di Stato e più viene usato più soddisfazione fà :D L'IP giusto per la configurazione su Debian è 127.0.2.1L'IP e la porta in ascolto si possono cambiare modificando il file /lib/systemd/system/dnscrypt-proxy.socket[code][Unit]Description=dnscrypt-proxy listening socketDocumentation=man:dnscrypt-proxy(8)Wants=dnscrypt-proxy-resolvconf.service[Socket]ListenStream=127.0.2.1:53ListenDatagram=127.0.2.1:53[Install]WantedBy=sockets.target[/code]Usare l'IP 127.0.2.1 significa che se vuoi puoi installare BIND in ascolto su 127.0.0.1:53 e fargli fare da forward su 127.0.2.1:53. Così puoi configurare BIND se vuoi creare dei domini "personali.local", logging fai-da-te :| , cache gigantesca, o altre configurazioni particolari e usare DNSCrypt solo per risolvere i nomi di dominio esterni (DNSCrypt ha già un plugin per fare da DNS cache)Inoltre aggiungo che per gli appassionati di OpenNIC (che io non uso) con i domini extra, c'è nella pagina dei server una flag gialla per indicare se quel server supporta anche DNSCrypt: https://servers.opennic.org Clickando sul server desiderato c'è la configurazione con la chiave pubblica di DNSCrypt da usare. Anche alcuni di questi server stanno già preconfigurati nel file /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv-
Re: CAMBIO DNS CIFRATO
Lascialo perdere. Fa tanto il figo che sa tutto, ma fino a che non lo hai nominato tu nemmeno sapeva della sua esistenza. Poi dice agli altri che non lo sanno configurare...... patetico.-
Re: CAMBIO DNS CIFRATO
Dimostralo XXXXXXXX.
-
-
Re: CAMBIO DNS CIFRATO
- Scritto da: ben10
DNSCrypt non è un segreto di Stato e più viene
usato più soddisfazione fà :D
Soddisfazione di chi? XXXXX ti ridi.Più viene usato dai XXXXXXXX e più si deve livellare all' XXXXXXXXXtà generale dei XXXXXXXX. Firefox, gnome, IOs sono degli ottimi esempi di sucXXXXX della coglionagine collettiva. Se è usato da pochi questo succede perchè i XXXXXXXX non ci arrivano ad usarlo.
L'IP giusto per la configurazione su Debian è
127.0.2.1Te lo scegli TU l' indirizzo "giusto" su qualsiasi XXXXX di distro, non te lo deve dire deBBian!I developer della deBBian, quelli del contratto fecale... quelli famosi per sXXXXXXXre il codice altrui con le loro favolose patch/conf alla XXXXX. Per non dimenticare:http://www.debian.org/security/2008/dsa-15712 years of openssl (mica XXXXX) sfonnato. Thank you debian team! E questo è solo un esempio.Fino a quando si limitano a smanettare nei file di conf va quasi bene.
L'IP e la porta in ascolto si possono cambiare
modificando il file
/lib/systemd/system/dnscrypt-proxy.socketAhihaihaihai systemsucad, molto male. Per chi non usa quella XXXXX il file di configurazione è sempre lo stesso /etc/dnscrypt-proxy.conf.
[code][Unit]
Description=dnscrypt-proxy listening socket
Documentation=man:dnscrypt-proxy(8)
Wants=dnscrypt-proxy-resolvconf.service
[Socket]
ListenStream=127.0.2.1:53
ListenDatagram=127.0.2.1:53
[Install]
WantedBy=sockets.target[/code]
Usare l'IP 127.0.2.1 significa che se vuoi puoi
installare BIND in ascolto su 127.0.0.1:53 e
fargli fare da forward su 127.0.2.1:53.Non ce ne frega un XXXXX della tua conf, la nostra funziona anche meglio.
Così puoi
configurare BIND se vuoi creare dei domini
"personali.local", logging fai-da-te :| , cache
gigantesca, o altre configurazioni particolari e
usare DNSCrypt solo per risolvere i nomi di
dominio esterni (DNSCrypt ha già un plugin per
fare da DNS
cache)
Inoltre aggiungo che per gli appassionati di
OpenNIC Ah, è una passione adesso.
(che io non uso) con i domini extra, c'è
nella pagina dei server una flag gialla per
indicare se quel server supporta anche DNSCrypt:
https://servers.opennic.org Clickando sul server
desiderato c'è la configurazione con la chiave
pubblica di DNSCrypt da usare. Anche alcuni di
questi server stanno già preconfiguratiE allora cosa ci rompi a fare i XXXXXXXX se sono già preconfigurati.
nel file
/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv Se puoi (ho scritto se puoi, bada bene) cambia bind con un server meno catastrofato, solo quest' anno ci sono 4 vulnerabilità.https://www.debian.org/security/2017/Voglio dire... se quello che fai è risolverti i nomini per la tua workstation allora c'è di meglio. -
Re: CAMBIO DNS CIFRATO
Mh, se il "miner" nella pagina web è un semplice js che gira nel tuo browser che c'entra non avere spoofabile es. dal tuo provider il tuo traffico DNS?Ah, su bind non mi risulta sia mai stata implementata una "persistent cache" (che potenzialmente. per avere una qualche utilità, dovrebbe ignorare il ttl) pertanto la cache locale dei nomi diventa una sostanziale copia di quel che già Chrome/FF si tengono di default. Di norma "alleggerisce" (moooolto poco) il carico di rete in LAN se metti bind LAN-wide, ma sulla singola macchina...-
Re: CAMBIO DNS CIFRATO
Ha aperto una discussione per fare il fiqo da strapazzo, avrebbe per lo meno dovuto commentare SOTTO dove ci stanno i winari vaneggiando sui DNS. -
Re: CAMBIO DNS CIFRATO
- Scritto da: xte
Mh, se il "miner" nella pagina web è un semplice
js che gira nel tuo browser che c'entra non avere
spoofabile es. dal tuo provider il tuo traffico
DNS?C'entra.... se per un motivo qualsiasi il DNS non funziona, a The Pirate Bay non puoi nemmeno connetterti!
Ah, su bind non mi risulta sia mai stata
implementata una "persistent cache" (che
potenzialmente. per avere una qualche utilità,
dovrebbe ignorare il ttl) pertanto la cache
locale dei nomi diventa una sostanziale copia di
quel che già Chrome/FF si tengono di default. Di
norma "alleggerisce" (moooolto poco) il carico di
rete in LAN se metti bind LAN-wide, ma sulla
singola
macchina...La cache in bind è solo nella ram. E' temporanea e non è persistente su disco... E' come in Chrome e FF ecc... solo che è condivisa e coinvolge tutti i programmi in esecuzione sul computer e non solo un paio. -
Re: CAMBIO DNS CIFRATO
A me sta benissimo il caching sulla singola macchina per il seguente motivo:NON in cache$ dig www.libero.it = Query time: 1355 msec (nolove)in cache $ dig www.libero.it = Query time: 0 msec -
Re: CAMBIO DNS CIFRATO
dig @8.8.4.4 libero.it | grep "Query time";; Query time: 44 msec
dig @::1 libero.it | grep "Query time" # primo run;; Query time: 48 msec
dig @::1 libero.it | grep "Query time" # secondo run;; Query time: 0 msec Questo per dire: - la prima query comunque ci mette del tempo poi tanto il DNS personale quanto il browser la cachano - se hai 1355 ms bé... Cambia proprio DNS, qui poco importa che ci metti bind in mezzo! OpenNIC, Censurfridns, OpenDNS (by Cisco eh!), Google, Yandex, ... direi abbian tutti query time decenti, certo posto che non sia un problema della tua connessione :-) -
Re: CAMBIO DNS CIFRATO
La cache in bind [...] coinvolge tutti i
programmi in esecuzione sul computer e non
solo un paio.Si, ok, ma che "traffico DNS massivo" fai sul tuo desktop? Al di fuori del browser al massimo hai qualche client di chat, posta &c che generano un traffico DNS risibile... Anche lo scenario multi-browser è "relativo" in genere si usa un browser "principale" e qualche secondario per "casi specifici"...IMVHO la cosa razionale sarebbe mettersi un routerino proprio (es OpenWRT o proprio ferro personale stile celeron/mb microATX) e su questo mettere o bind+dhcp o dnsmasq o unbound o quel che preferisci con radvd, firewall gestibile (ferm su GNU/Linux, pf su {Free,OpenBSD}) anche per gestire le macchine in LAN, eventuali "reti guest", vlan personali ecc. in forma affidabile.A livello mera economia di traffico/responsività non ha manco più senso un proxy visto che la stragrande maggioranza dei siti sono https...
-
-
-
Re: CAMBIO DNS CIFRATO
- Scritto da: ...
127.0.2.1?
Vabeh, non importa, tanto non ce la
fanno a configurarloGli altri, eh? Ma vai in mona.-
Re: CAMBIO DNS CIFRATO
Tue Sep 19 13:37:02 2017 [INFO] Randomly chosen resolver: [d0wn-mx-ns1]Tue Sep 19 13:37:02 2017 [INFO] + DNS Security Extensions are supportedTue Sep 19 13:37:02 2017 [INFO] + Provider supposedly doesn't keep logsDai non rompere i XXXXXXXX XXXXXXXXX.
-
-
-
-
i big spingono per giaVVaschift
I big ve la spingono con le uebbappz e voi da bravi XXXXXXXX urlate: . -
Ma è ancora accessibile?
A latere chiedo una cosa agli altri utenti in ascolto che come me han tim come provider: riuscite ancora ad accedere a TPB?Per quanto mi riguarda se ci provo dopo una lunga attesa mi appare quasi sempre quel messaggio di cloudflare che poi ti mette a disposizione l'ultimo screenshot disponibile, e cambiare solo i DNS non mi pare basti più: tim ha forse messo il blocco ip, o c'è dell'altro?-
Re: Ma è ancora accessibile?
proxyce ne sono quanti ne vuoi.-
Re: Ma è ancora accessibile?
Uso già tor browser se serve, ero solo curioso di sapere che blocchi attua tim.
-
-
Re: Ma è ancora accessibile?
Non so' se è sufficiente cambiare i DNS con tutti i provider, dipende, con tim forse, di sicuro non con vodafone (il peggiore provider esistente dal punto di vista della net neutrality) che di sicuro lo intercetta: https://www.paolettopn.it/2017/05/19/aggirare-i-dns-di-vofafone-con-dnsmasq-su-linux/Anche se la soluzione proposta nel link che posto non è quella giusta (l'unica soluzione giusta è DNS Crypt) spiega perchè a volte non è sufficiente cambiare il DNS...visto che i provider intercettano il traffico DNS (il traffico UDP a un IP qualsiasi sulla porta 53) e lo redirigono al loro propio server DNS censurato.-
Re: Ma è ancora accessibile?
Chi ha scritto l'articolo che hai linkato non credo abbia molto chiaro ciò che descrive: il traffico non è "spoofato" è semplicemente impossibile impostare un DNS personale dalla configurazione dhcp della Vodafone station e la soluzione banale è semplicemente prendere solo l'ip/route via dhcp ma non il dns.Intercettare lato provider delle query e fare un MITM è tutt'altra cosa e questa si, è effettivamente illegale.-
Re: Ma è ancora accessibile?
Riordino nel quotare...
Intercettare lato provider delle query e fare un
MITM è tutt'altra cosa e questa si, è
effettivamente
illegale.E' esattamente ciò che fa Vodafone. Se avessi prestato più attenzione al mio post l'avresti capito.Forse capisci meglio la spiegazione qui http://lab.vodafone.it/forum/viewtopic.php?t=38821#p804193 ... leggi tutto da quel post in poi.
impossibile impostare un DNS personale dalla
configurazione dhcp della Vodafone station e la
soluzione banale è semplicemente prendere solo
l'ip/route via dhcp ma non il
dns.Ora, se hai capito, avrai anche capito che la Vodafone Station è solo una parte minore del problema: anche cambiando il DNS in /etc/resolv.conf vengono usati lo stesso quelli di Vodafone. Tutto il traffico UDP:53 è intercettato e l'IP di destinazione è sovrascritto con quelli di Vodafone.-
Re: Ma è ancora accessibile?
Grazie, ho letto con stupore. Nel caso chiunque abbia Vodafone IMVHO dovrebbe andare alla Polizia Postale denunciando un attacco MITM da parte del proprio ISP. La connessione ad internet in EU tutta (direi) è neutrale e se la deep packet inspection è tollerata non lo può essere il "mangle" del traffico.
-
-
-
-
-
Big money
La morale e' sempre quella tutti voglioni i big money ma solo pochi li hanno -
A tema vorrei suggerire una riflessione
Ora le criptovalute saran pure matematicamente sicure ed il loro codice aperto, normalmente con licenze FOSS. Ok. Ma il computer su cui le gestite?Voi vi fidereste di un sistema che pur "formalmente sicuro" gira su ferro che sicuro non può esser certo considerato?E di più: immaginate uno scenario in cui si viva in una sostanziale dittatura e si voglia migrare verso lidi migliori. I contanti li potete nascondere o aver nascosti per tempo e usarli, non certo per spese enormi, non certo per tutto ma quanto basta per comprarvi da mangiare, da vestire, pagare un tetto "provvisorio", viaggiare ecc si. La criptovaluta? Ok, un laptop o anche un dispositivo equivalente più piccolo (1) si può anche portare, ma vi serve anche una connessione e questa è sempre più tracciabile, alla partenza, poco importa che siate proxati.La mia conclusione è che la criptovaluta può essere al più una forma di "contabilità distribuita" o di "internet banking" ma non un'alternativa al contante. Al massimo una forma un pelo distribuita/p2p di una carta di credito/debito.(1) non nomino volutamente gli smart* poiché per quanto mi riguarda sono scatole chiuse da noi pagate per accedere a certi servizi ma di fatto sotto il totale controllo del produttore e del carrier. E non mi fido certo in un simile scenario a portar come me una simile scatola nera, accesa, pur senza sim. La radio ce l'ha e tanto mi basta.-
Re: A tema vorrei suggerire una riflessione
Io 15 anni fa installati bitcoin e cominciai a minare.... Poi abbandonai. Come faccio a recuperare l'account? ;)-
Re: A tema vorrei suggerire una riflessione
- Scritto da: Digital Coach Italia
Io 15 anni fa installati bitcoin e cominciai a
minare.... Poi abbandonai.
Come faccio a recuperare l'account? ;)Bitcoin esiste da 9 anni, come hai fatto ad installarlo 15 anni fa?-
Re: A tema vorrei suggerire una riflessione
- Scritto da: Panda Rossa a metano
- Scritto da: Digital Coach Italia
Io 15 anni fa installati bitcoin e cominciai a
minare.... Poi abbandonai.
Come faccio a recuperare l'account? ;)
Bitcoin esiste da 9 anni, come hai fatto ad
installarlo 15 anni
fa?[img]http://3.bp.blogspot.com/-HW0sDKSUXQ8/TmY2K0K_iqI/AAAAAAAABlo/ThWvTxZ52ag/s640/funny_owned.jpg[/img]
-
-
Re: A tema vorrei suggerire una riflessione
- Scritto da: Digital Coach Italia
Io 15 anni fa installati bitcoin e cominciai a
minare.... Poi abbandonai.
Come faccio a recuperare l'account? ;)Non ti posso aiutare, purtroppo io Bitcoin lo usavo 40 anni fa.-
Re: A tema vorrei suggerire una riflessione
Io usavo le bitcozze 50 anni fa, dopo ogni impepata di cozze conservavo i gusci 8).
-
-
-
-
punto informatico
Punto informatico.... Potresti prendere spunto e magari ci togli questa invasione di pubblcità e refresh continui.-
Re: punto informatico
- Scritto da: Digital Coach Italia
Punto informatico.... Potresti prendere spunto e
magari ci togli questa invasione di pubblcità e
refresh
continui.noscript :)
-
