OS X 10.7, l’ultima revisione del sistema operativo marcato Apple finalizzata lo scorso luglio , è affetto da una vulnerabilità strutturale capace di semplificare – e non di poco – la vita a chi intendesse mettere le mani sulle password di un sistema Mac alla sua portata.
Il blogger Patrick Dunstan ha identificato il problema revisionando un suo articolo sul cracking delle password su Mac OS X, scoprendo che Lion 10.7 peggiora la sicurezza del sistema in due casi specifici: nel primo, Apple ha deciso di permettere la modifica della password dell’utente corrente senza prima chiedere la password attuale – in pratica chiunque avesse accesso al Mac in oggetto potrebbe cambiare la parola chiave a proprio totale piacimento.
“Per cambiare la password dell’utente corrente”, spiega Dunstan, “basta usare: $ dscl localhost -passwd /Search/Users/nomeutente”. L’altro problema risiede risiede nell’accesso agli hash delle password degli altri utenti registrati sul sistema, registrati nei cosiddetti “shadow file” e accessibili a tutti gli utenti indipendentemente dai privilegi di accesso di cui sono dotati.
In attesa di una patch risolutiva sviluppata da Apple, la cronaca sulle vulnerabilità di giornata comprende anche una falla di tipo Cross-Site-Scripting (XSS) nel client Skype per iOS (iPhone/iPad). In questo caso Cupertino dice di essere già alacremente al lavoro per risolvere il problema.
Alfonso Maruccia
-
Sta
Sta senza accento.credevo fosse un articolo serio
Poi ho letto la firma, ed ho tirato un sospiro di solievo.Re: credevo fosse un articolo serio
l'articolo è coerente con quanto effettivamente scopertoRe: credevo fosse un articolo serio
In effetti, dire che il protocollo ssl è in pericolo perchè la gente usa versioni non aggiornate, è come dire che chi usa win98 è a rischio virus >.< (oddio, anche chi usa seven eh, ma vabbè XD)Re: credevo fosse un articolo serio
- Scritto da: cognome> l'articolo è coerente con quanto effettivamente scopertoEd è ancora più coerente al livello raggiunto da Punto Informatico, nata ottima e valida testata ed ora ridotto proprio male (valido solo come vettore di pubblicità ..... e quindi di guadagno).Re: credevo fosse un articolo serio
Mi sto facendo anch'io un'opinione del genere...Re: credevo fosse un articolo serio
Si però continuate a leggere e scrivere...Re: credevo fosse un articolo serio
ma vi costringe qualcuno a continuare a leggere PI?Re: credevo fosse un articolo serio
....qutoto in toto...8)E' novella 2000?
Scusami,non ti offendere, ma "...mandare gambe all'aria le comunicazioni cifrate su protocolli SSL e TLS..." mi sembra veramente un titolo da copertina gossip. Va bene che l'IT è sempre più alla portata di tutti, però così siamo veramente arrivati ad un livello terra terra.Re: E' novella 2000?
- Scritto da: echoesp1> Scusami,non ti offendere, ma "...mandare gambe> all'aria le comunicazioni cifrate su protocolli> SSL e TLS..." mi sembra veramente un titolo da> copertina gossip. Va bene che l'IT è sempre più> alla portata di tutti, però così siamo veramente> arrivati ad un livello terra> terraIo direi che siamo arrivati ad un livello bestiale. :DRe: E' novella 2000?
...peggio....molto peggio:non si sa più che cosa dire!8)Ma che cacchio?
Il codice va caricato all'interno del browser web della vittima?" <i> la prima parte di BEAST è il codice che va caricato all'interno del browser web della vittima </i> "Ma che cacchio? :Re: Ma che cacchio?
E che ci vuole? Basta una mail con clicca qui per vedere le foto...Consigli Utili ...
Si in generale, occhio ai plugin del browser.Io da un po`di tempo faccio così : ho una chiavettina USB nel portachiavi, dove ho una distribuzione Linux (nel mio caso è una Ubuntu customizzata con l'apposito programma) ovviamente in sola lettura (Union FS).Quando devo collegarmi in certi siti, compreso la banca, inserisco la chiavettina riavvio il computer, lancio il browser PULITO, SENZA PLUGIN ok ?!!! Mi connetto e qualsiasi cosa accada, appena spengo sparisce e tutto è come prima.Re: Consigli Utili ...
> Quando devo collegarmi in certi siti, compreso la> banca, inserisco la chiavettinabast un genratore di pin che tutte le banche serie ti danno gratisRe: Consigli Utili ...
Se usano l'algoritmo della RSA, sono insicuri. I server sono stati craccati, l'algoritmo è stato trafugato e si trova "in the wild", dunque la loro sicurezza ormai è pari a zero.Re: Consigli Utili ...
- Scritto da: ZLoneW> Se usano l'algoritmo della RSA, sono insicuri. I> server sono stati craccati, l'algoritmo è stato> trafugato e si trova "in the wild", dunque la> loro sicurezza ormai è pari a> zero.scusami ma mi spieghi come fanno a scoprire la sequenza che usi tu tra milioni di altre :-oRe: Consigli Utili ...
- Scritto da: Zap> > Quando devo collegarmi in certi siti,> compreso> la> > banca, inserisco la chiavettina> > bast un genratore di pin che tutte le banche> serie ti danno> gratisSi, quello è abbastanza sicuro , peccato che non lo forniscano tutti.In ogni caso non mi riferivo al puro dolo o al "rubare" i soldi in banca, parlavo più in generale riprendendo quanto citato dall'articolo.Chi conosce il meccanismo di funzionamento SSL sa che il punto debole non è l'attacco nella "rete" ma è a uno dei due terminali. Posto che il server di solito è "sicuro" il problema resta il client, che dopo avere stabilito la connessione lavora con canale di comunicazione criptato in protocollo simmetrico la cui chiave si trova in memoria e banalmente dopo lo strato SSL mostra evidentemente informazioni in chiaro. In passato per esempio si è scoperto che molte di queste informazioni finivano banalmente in cache e il problema è stato risolto ma ogni tanto si trova qualche falla.Siccome i browser hanno poi la cattiva abitudine di riempirsi di plugin e add-on di varia natura (da flash e silverlight al vecchio java a quelle belle estensioni che per esempio catalogano e inviano ogni mezzo link da cui passi) e di solto non ne fai a meno altrimenti non navighi.Il problema è che restano anche quando non le usi e magari sono stati installati da altri su macchine di lavoro, macchine con cui puoi avere remore a collegarti e farti gli affari tuoi visto che comunque lasci tracce e sono accessibili da altri.Ho pensato così di prendere UCK, mettere su una ubuntuna su una chiavetta da 1cm e portala con me, se devo fare gli affari miei, su un qualsiasi pc, faccio un reboot, mi collego dove voglio sul mio browser pulito, salvo le cose che mi interessano poi, chiudo e si cancella tutto, senza intaccare ne essere intaccato dal lavoro degli altri. Visto che ci ho messo meno di 5 minuti a creare il tutto e mi è costata 9 euro di chiavetta, per me è una soluzione semplice e utile poi ognuno è libero di fare ciò che vuole.Re: Consigli Utili ...
...hai dimenticato di indossare il classico giubbotto in KEVLAR dotato di mitragliatrice laser sulla spalla destra...;-)Re: Consigli Utili ...
Ahahah :-)Re: Consigli Utili ...
- Scritto da: Nilok> ...hai dimenticato di indossare il classico> giubbotto in KEVLAR dotato di mitragliatrice> laser sulla spalla> destra...> ;-)Quello ce l'ho in macchina, perché c'è sempre la possibilità di incontrare qualche pistola.Re: Consigli Utili ...
- Scritto da: Cracker Salato> Si in generale, occhio ai plugin del browser.> Io da un po`di tempo faccio così : ho una> chiavettina USB nel portachiavi, dove ho una> distribuzione Linux (nel mio caso è una Ubuntu> customizzata con l'apposito programma) ovviamente> in sola lettura (Union> FS).> > Quando devo collegarmi in certi siti, compreso la> banca, inserisco la chiavettina riavvio il> computer, lancio il browser PULITO, SENZA PLUGIN> ok ?!!!> > > Mi connetto e qualsiasi cosa accada, appena> spengo sparisce e tutto è come> prima.Ma prima ti lavi i denti?Re: Consigli Utili ...
- Scritto da: ruppolo> - Scritto da: Cracker Salato> > Si in generale, occhio ai plugin del browser.> > Io da un po`di tempo faccio così : ho una> > chiavettina USB nel portachiavi, dove ho una> > distribuzione Linux (nel mio caso è una> Ubuntu> > customizzata con l'apposito programma)> ovviamente> > in sola lettura (Union> > FS).> > > > Quando devo collegarmi in certi siti,> compreso> la> > banca, inserisco la chiavettina riavvio il> > computer, lancio il browser PULITO, SENZA> PLUGIN> > ok ?!!!> > > > > > Mi connetto e qualsiasi cosa accada, appena> > spengo sparisce e tutto è come> > prima.> > Ma prima ti lavi i denti?I soliti interventi pertinenti e ficcanti di ai-ruppoloRe: Consigli Utili ...
- Scritto da: ruppolo> - Scritto da: Cracker Salato> > Si in generale, occhio ai plugin del browser.> > Io da un po`di tempo faccio così : ho una> > chiavettina USB nel portachiavi, dove ho una> > distribuzione Linux (nel mio caso è una> Ubuntu> > customizzata con l'apposito programma)> ovviamente> > in sola lettura (Union> > FS).> > > > Quando devo collegarmi in certi siti,> compreso> la> > banca, inserisco la chiavettina riavvio il> > computer, lancio il browser PULITO, SENZA> PLUGIN> > ok ?!!!> > > > > > Mi connetto e qualsiasi cosa accada, appena> > spengo sparisce e tutto è come> > prima.> > Ma prima ti lavi i denti?Sempre, poi di solito piscio su un ipad e mi lavo pure le mani.Re: Consigli Utili ...
- Scritto da: ruppolo> - Scritto da: Cracker Salato> > Si in generale, occhio ai plugin del browser.> > Io da un po`di tempo faccio così : ho una> > chiavettina USB nel portachiavi, dove ho una> > distribuzione Linux (nel mio caso è una> Ubuntu> > customizzata con l'apposito programma)> ovviamente> > in sola lettura (Union> > FS).> > > > Quando devo collegarmi in certi siti,> compreso> la> > banca, inserisco la chiavettina riavvio il> > computer, lancio il browser PULITO, SENZA> PLUGIN> > ok ?!!!> > > > > > Mi connetto e qualsiasi cosa accada, appena> > spengo sparisce e tutto è come> > prima.> > Ma prima ti lavi i denti?Certo, e come dicevo nel commento censurato precedente, poi mingo su un iPad e mi lavo anche le mani.Re: Consigli Utili ...
mi e quanto hai sul conto un milione di neuro.poi viste tutte le precauzioni che usi immaggino sicuramente che quando vai dal benzaro gli lasci la carta di credito, in modo che possano clonartela a manetta :-0Considerando che ora ci sono anche i virussi che infettano er bios, anche con tutte le paranoie che ti fai non e che sei sicura al 100%Mah!
Ma scusate, cos'è che hanno scoperto sti 2 qua? E vanno fino a buenos aires per raccontare di un attacco man in the middle ad SSL? :-D Questo attacco esiste dal giorno in cui nacque SSL, chi conosce SSL lo sa bene.Re: Mah!
Visto che sei tanto genio illustracelo...Tutti bravi a parole ma i fatti come al solito non ci sono.Re: Mah!
"In crypto parlance the method used by security researchers Juliano Rizzo and Thai Duong is known as a block-wise chosen-plaintext attack and has been known for years."..."It is worth noting that the vulnerability that BEAST exploits has been presented since the very first version of SSL."Re: Mah!
- Scritto da: FridayChild> "In crypto parlance the method used by security> researchers Juliano Rizzo and Thai Duong is known> as a block-wise chosen-plaintext attack and has> been known for> years."> ...> "It is worth noting that the vulnerability that> BEAST exploits has been presented since the very> first version of> SSL."Manca chiaramente un pezzo: "Most people in the crypto and security community have concluded that it is non-exploitable, that's why it has been largely ignored for many years."In pratica, sebbene la vulnerabilità fosse conosciuta da anni si riteneva non utilizzabile nella pratica. I due ricercatori hanno trovato un modo pratico per utilizzarla, quindi hanno dimostrato che, al contrario di quanto si credesse, la vulnerabilità è pericolosa.P.S. Quotare solo alcune parti per far percepire un significato diverso di quello del testo originale è come mentire.Re: Mah!
- Scritto da: Andrea> Visto che sei tanto genio illustracelo...> Tutti bravi a parole ma i fatti come al solito> non ci> sono.http://www.youtube.com/watch?v=-RxyfQu14boRe: Mah!
Finalmente uno che sa quello che dice!8)Riempire gli spazi vuoti.....
AUGH!Quando non si ha più niente da dire...si dice qualunque cosa!Vedremo il lavoro di questi due "luminari o illustri sconosciuti"?Sicuramente NON E' come è stato descritto.Questi "ridicoli trucchetti" per spingere gli utenti a consumare per muovere l'economia.....hanno vita breve.Ho parlato.NilokRe: Riempire gli spazi vuoti.....
non dovevi sentirti in dovere di riempire lo spazio vuoto ;)Firefox è risultato più vulnerabile
Interessante notare come Firefox sia più vulnerabile di tutti, in quanto utilizza SOLO TLS 1.0, a differenza di tutti gli altri browser che sono migrati a 1.1 o superiore da un bel pezzo.Meditate gente... MeditateSaluti da P4Re: Firefox è risultato più vulnerabile
- Scritto da: P4......... ......> Interessante notare come Firefox sia più> vulnerabile di tutti, in quanto utilizza SOLO TLS> 1.0, a differenza di tutti gli altri browser che> sono migrati a 1.1 o superiore da un bel> pezzo.> > Meditate gente... MeditateProbabilmente solo perché, come postato più sopra, la vulnerabilità era nota ma non risultava facilmente "exploitabile", adesso che è venuta fuori questa cosa, scommetto che a breve Firefox lo sistemano..Re: Firefox è risultato più vulnerabile
- Scritto da: P4......... ......> Interessante notare come Firefox sia più> vulnerabile di tutti, in quanto utilizza SOLO TLS> 1.0, a differenza di tutti gli altri browser che> sono migrati a 1.1 o superiore da un bel> pezzo.> > Meditate gente... Meditate> > Saluti da P4e comunque non cambia niente perché deve essere supportato anche dal server, altrimenti va in fallback e usa la versione 1.0, pure se usi un altro browser che supporta la 1.1 e 1.2Re: Firefox è risultato più vulnerabile
- Scritto da: Lui Gino> e comunque non cambia niente perché deve essere> supportato anche dal server, altrimenti va in> fallback e usa la versione 1.0inutile che ti arrampi sugli specchi... Firefox per l'ennesima volta dimostra quanto sia indietro in fatto di sicurezza. Non ha nemmeno uno straccio di sandbox!Re: Firefox è risultato più vulnerabile
se il server non supporta il nuovo protocollo il browser usa il vecchio, e tra l'altro su IE9 sia il 1.1 che 1.2 sono disabilitati a defaultLa sandbox non previene questo attacco, mi spiacePSanche Chrome supporta solo il 1.0 ed ha la sandbox, ma è ugualmente vulnerabileno, scusate, fatemi capire...
le vecchie versioni di ssl sono bucabili? le nuove no?e allora a che servono le nuove versioni?Re: no, scusate, fatemi capire...
- Scritto da: non fumo non bevo e non dico parolacce> le vecchie versioni di ssl sono bucabili? le> nuove> no?> e allora a che servono le nuove versioni?Non servono alla serie mozilla purtroppoa meno che non aggiornino a TLS 1.1NoScript (Firefox) previene
L'estensione NoScript di Firefox previene l'attaccohttp://forums.informaction.com/viewtopic.php?p=31112&sid=61517f1cf9e1cab7ad3407c2786f7309#p31112Re: NoScript (Firefox) previene
usa IE9 è fai prima.Re: NoScript (Firefox) previene
- Scritto da: P4......... ......> usa IE9 è fai prima.IE9 non previene l'attaccoRe: NoScript (Firefox) previene
- Scritto da: Lui Gino> IE9 non previene l'attaccobeata la tua ignoranza!Re: NoScript (Firefox) previene
- Scritto da: Lui Gino> IE9 non previene l'attaccoquale parte di "TLS 1.1 or 1.2 are not vulnerable to it" non ti è chiara?Re: NoScript (Firefox) previene
- Scritto da: P4......... ......> usa IE9 è fai prima.Sparati in bocca e fai ancora prima.Re: NoScript (Firefox) previene
- Scritto da: Lui Gino> L'estensione NoScript di Firefox previene> l'attacconon previene un bel niente, semplicemente non ti fa funzionare più nulla nemmeno il sito che tu vorresti visitare visto che senza javascript non vai da nessuna parte.Re: NoScript (Firefox) previene
- Scritto da: mills> - Scritto da: Lui Gino> > L'estensione NoScript di Firefox previene> > l'attacco> > non previene un bel niente, semplicemente non ti> fa funzionare più nulla nemmeno il sito che tu> vorresti visitare visto che senza javascript non> vai da nessuna> parte.Infatti per l'attacco bisogna iniettare uno script e con NoScript puoi bloccare solo quello ed abilitare quelli utili, cosa che gli altri browser e IE9 si sognanoRe: NoScript (Firefox) previene
- Scritto da: Lui Gino> Infatti per l'attacco bisogna iniettare uno> script e con NoScript puoi bloccare solo quello> ed abilitare quelli utilie come fa l'utente a sapere quali sono gli script utili da quelli inutili? Deve spulciarseli uno ad uno ogni volta che visita un sito?Complimenti davvero per l'usabilità... Noscript è una schifezza!Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commenti20 09 2011
Link copiato negli appuntiTi potrebbe interessare
20 09 2011Link copiato negli appunti
