Roma – OS X 10.7, l’ultima revisione del sistema operativo marcato Apple finalizzata lo scorso luglio , è affetto da una vulnerabilità strutturale capace di semplificare – e non di poco – la vita a chi intendesse mettere le mani sulle password di un sistema Mac alla sua portata.
Il blogger Patrick Dunstan ha identificato il problema revisionando un suo articolo sul cracking delle password su Mac OS X, scoprendo che Lion 10.7 peggiora la sicurezza del sistema in due casi specifici: nel primo, Apple ha deciso di permettere la modifica della password dell’utente corrente senza prima chiedere la password attuale – in pratica chiunque avesse accesso al Mac in oggetto potrebbe cambiare la parola chiave a proprio totale piacimento.
“Per cambiare la password dell’utente corrente”, spiega Dunstan, “basta usare: $ dscl localhost -passwd /Search/Users/nomeutente”. L’altro problema risiede risiede nell’accesso agli hash delle password degli altri utenti registrati sul sistema, registrati nei cosiddetti “shadow file” e accessibili a tutti gli utenti indipendentemente dai privilegi di accesso di cui sono dotati.
In attesa di una patch risolutiva sviluppata da Apple, la cronaca sulle vulnerabilità di giornata comprende anche una falla di tipo Cross-Site-Scripting (XSS) nel client Skype per iOS (iPhone/iPad). In questo caso Cupertino dice di essere già alacremente al lavoro per risolvere il problema.
Alfonso Maruccia
leggi i 70 commenti
-
rettifica
Ok, letti i commenti mando la richiesta in OT. Pardòn, ora ho compreso meglio. -
Aggiornamenti?
Non si sa più niente di questa notizia?? A me pare quel tantino importante.. non trovate? -
NoScript (Firefox) previene
L'estensione NoScript di Firefox previene l'attaccohttp://forums.informaction.com/viewtopic.php?p=31112&sid=61517f1cf9e1cab7ad3407c2786f7309#p31112-
Re: NoScript (Firefox) previene
usa IE9 è fai prima.-
Re: NoScript (Firefox) previene
- Scritto da: P4......... ......
usa IE9 è fai prima.IE9 non previene l'attacco-
Re: NoScript (Firefox) previene
- Scritto da: Lui Gino
IE9 non previene l'attaccobeata la tua ignoranza! -
Re: NoScript (Firefox) previene
- Scritto da: Lui Gino
IE9 non previene l'attaccoquale parte di "TLS 1.1 or 1.2 are not vulnerable to it" non ti è chiara?-
Re: NoScript (Firefox) previene
- Scritto da: mills
- Scritto da: Lui Gino
IE9 non previene l'attacco
quale parte di "TLS 1.1 or 1.2 are not vulnerable
to it" non ti è
chiara?Che se il server non lo supporta (e su un milione sono stati trovati solo 11 server) il browser una la 1.0E su IE9 TSL 1.1 e 1.2 sono disabilitati a default. -
Re: NoScript (Firefox) previene
- Scritto da: Lui Gino
Che se il server non lo supporta però se lo supporta sei al sicuro. Meglio avere possibilità o non avercele?
E su IE9 TSL 1.1 e 1.2 sono disabilitati a
default.Ma puoi abilitarli se vuoi, senza dover installare nulla.Non eri tu che nel post precedente consigliavi di installare noscript agli utenti di Firefox? (rotfl) -
Re: NoScript (Firefox) previene
- Scritto da: mills
- Scritto da: Lui Gino
Che se il server non lo supporta
però se lo supporta sei al sicuro.
Meglio avere possibilità o non avercele?
E su IE9 TSL 1.1 e 1.2 sono disabilitati a
default.
Ma puoi abilitarli se vuoi, senza dover
installare
nulla.
Non eri tu che nel post precedente consigliavi di
installare noscript agli utenti di Firefox?
(rotfl)Anche se li abiliti ma il server non li supporta sei vulnerabile ugualmente :)Con NoScript previeni l'attacco alla radice cioè l'iniezione dello script o iframe malevolo -
Re: NoScript (Firefox) previene
- Scritto da: Lui Gino
Anche se li abiliti ma il server non li supporta
sei vulnerabile ugualmenteperò se li supporta sei al sicuro, mentre con firefox sei sempre bucabile -
Re: NoScript (Firefox) previene
- Scritto da: mills
- Scritto da: Lui Gino
Anche se li abiliti ma il server non li
supporta
sei vulnerabile ugualmente
però se li supporta sei al sicuro, mentre con
firefox sei sempre
bucabileSe li supporta e usi IE9 sei bucabile ugualmente perchè sono disabilitatiComunque il problema è che sono pochi, o meglio pochiismi i siti che supportano TLS 1.2 (su 1 milione solo 11)Con Firefox invece puoi proteggerti con NoScript già da adessoPer gli altri browser bisogna aspettare per forza la patch
-
-
-
-
Re: NoScript (Firefox) previene
- Scritto da: Lui Gino
L'estensione NoScript di Firefox previene
l'attacconon previene un bel niente, semplicemente non ti fa funzionare più nulla nemmeno il sito che tu vorresti visitare visto che senza javascript non vai da nessuna parte.-
Re: NoScript (Firefox) previene
- Scritto da: mills
- Scritto da: Lui Gino
L'estensione NoScript di Firefox previene
l'attacco
non previene un bel niente, semplicemente non ti
fa funzionare più nulla nemmeno il sito che tu
vorresti visitare visto che senza javascript non
vai da nessuna
parte.Infatti per l'attacco bisogna iniettare uno script e con NoScript puoi bloccare solo quello ed abilitare quelli utili, cosa che gli altri browser e IE9 si sognano-
Re: NoScript (Firefox) previene
- Scritto da: Lui Gino
Infatti per l'attacco bisogna iniettare uno
script e con NoScript puoi bloccare solo quello
ed abilitare quelli utilie come fa l'utente a sapere quali sono gli script utili da quelli inutili? Deve spulciarseli uno ad uno ogni volta che visita un sito?Complimenti davvero per l'usabilità... Noscript è una schifezza!-
Re: NoScript (Firefox) previene
- Scritto da: mills
- Scritto da: Lui Gino
Infatti per l'attacco bisogna iniettare uno
script e con NoScript puoi bloccare solo
quello
ed abilitare quelli utili
e come fa l'utente a sapere quali sono gli script
utili da quelli inutili? Deve spulciarseli uno ad
uno ogni volta che visita un
sito?
Complimenti davvero per l'usabilità... Noscript è
una
schifezza!Li elenca nel menu a tendina e puoi differenziare quelli di terze parti, inoltre per i plugin e iframe iniettati hai un placeholder e se ci vai con il cursore sopra ti dice tutte le infoSe poi fai click con la rotellina del mouse ti si apre il sito con le info sugli scriptDavero ottimo NoScript!
-
-
-
-
-
no, scusate, fatemi capire...
le vecchie versioni di ssl sono bucabili? le nuove no?e allora a che servono le nuove versioni?-
Re: no, scusate, fatemi capire...
- Scritto da: non fumo non bevo e non dico parolacce
le vecchie versioni di ssl sono bucabili? le
nuove
no?
e allora a che servono le nuove versioni?Non servono alla serie mozilla purtroppoa meno che non aggiornino a TLS 1.1
-
-
Firefox è risultato più vulnerabile
Interessante notare come Firefox sia più vulnerabile di tutti, in quanto utilizza SOLO TLS 1.0, a differenza di tutti gli altri browser che sono migrati a 1.1 o superiore da un bel pezzo.Meditate gente... MeditateSaluti da P4-
Re: Firefox è risultato più vulnerabile
- Scritto da: P4......... ......
Interessante notare come Firefox sia più
vulnerabile di tutti, in quanto utilizza SOLO TLS
1.0, a differenza di tutti gli altri browser che
sono migrati a 1.1 o superiore da un bel
pezzo.
Meditate gente... MeditateProbabilmente solo perché, come postato più sopra, la vulnerabilità era nota ma non risultava facilmente "exploitabile", adesso che è venuta fuori questa cosa, scommetto che a breve Firefox lo sistemano.. -
Re: Firefox è risultato più vulnerabile
- Scritto da: P4......... ......
Interessante notare come Firefox sia più
vulnerabile di tutti, in quanto utilizza SOLO TLS
1.0, a differenza di tutti gli altri browser che
sono migrati a 1.1 o superiore da un bel
pezzo.
Meditate gente... Meditate
Saluti da P4e comunque non cambia niente perché deve essere supportato anche dal server, altrimenti va in fallback e usa la versione 1.0, pure se usi un altro browser che supporta la 1.1 e 1.2-
Re: Firefox è risultato più vulnerabile
- Scritto da: Lui Gino
e comunque non cambia niente perché deve essere
supportato anche dal server, altrimenti va in
fallback e usa la versione 1.0inutile che ti arrampi sugli specchi... Firefox per l'ennesima volta dimostra quanto sia indietro in fatto di sicurezza. Non ha nemmeno uno straccio di sandbox!-
Re: Firefox è risultato più vulnerabile
se il server non supporta il nuovo protocollo il browser usa il vecchio, e tra l'altro su IE9 sia il 1.1 che 1.2 sono disabilitati a defaultLa sandbox non previene questo attacco, mi spiacePSanche Chrome supporta solo il 1.0 ed ha la sandbox, ma è ugualmente vulnerabile-
Re: Firefox è risultato più vulnerabile
- Scritto da: Lui Gino
se il server non supporta il nuovo protocollo il
browser usa il vecchio,se... ma... forse... la certezza è che su Firefox sei vulnerabile SEMPRE!Capito mi hai? -
Re: Firefox è risultato più vulnerabile
- Scritto da: suc
- Scritto da: Lui Gino
se il server non supporta il nuovo
protocollo
il
browser usa il vecchio,
se... ma... forse... la certezza è che su Firefox
sei vulnerabile
SEMPRE!
Capito mi hai?Non è così, perche anche tutti gli altri browser supportano questo rotocollo fallato, quindi è necessaria una patch per tutti i browserPer quanto riguarda le versioni del protocollo non fallate, cioè la 1.1 e la 1.2, non sono ampiamente adottate, ad esempio un'analisi di Qualys ha evidenziato che su 1 milione di siti analizzati solo 11, ripeto 11 supportavano il TLS 1.2, che ripeto su IE9 è disabilitato a default.Capito? -
Re: Firefox è risultato più vulnerabile
- Scritto da: Lui Gino
Non è così, perche anche tutti gli altri browser
supportano questo rotocollo fallato, quindi è
necessaria una patch per tutti i
browsercontinua pure ad arrampicarti... -
Re: Firefox è risultato più vulnerabile
- Scritto da: suc
- Scritto da: Lui Gino
Non è così, perche anche tutti gli altri
browser
supportano questo rotocollo fallato, quindi è
necessaria una patch per tutti i
browser
continua pure ad arrampicarti...ne riparliamo quando la microsoft e tutti gli altri browser rilasceranno una patch...psOpera ha già pronta una patch, nonostante supporti già TLS 1.1 e 1.2...Ciaoooooooooooooooooooo -
Re: Firefox è risultato più vulnerabile
- Scritto da: Lui Gino
ne riparliamo quando la microsoft e tutti gli
altri browser rilasceranno una
patch...nessuno ha mai detto che gli altri browser non abbiano bisogno di una patch per il TLS 1.0, ma ti stanno semplicemente facendo notare come gli altri browser hanno adottato da parecchio tempo protocolli più sicuri e che non sono affetti da questa falla.Tutto qui. -
Re: Firefox è risultato più vulnerabile
- Scritto da: mills
- Scritto da: Lui Gino
ne riparliamo quando la microsoft e tutti gli
altri browser rilasceranno una
patch...
nessuno ha mai detto che gli altri browser non
abbiano bisogno di una patch per il TLS 1.0, ma
ti stanno semplicemente facendo notare come gli
altri browser hanno adottato da parecchio tempo
protocolli più sicuri e che non sono affetti da
questa
falla.
Tutto qui.Non serve solo adottarli bisogna anche lasciarli attivati, e su IE è disattivato per motivi di compatibilitàInoltre deve essere adottato anche dai server altrimenti non serve a niente che il browser lo supportiTutto qui.
-
-
-
-
-
Riempire gli spazi vuoti.....
AUGH!Quando non si ha più niente da dire...si dice qualunque cosa!Vedremo il lavoro di questi due "luminari o illustri sconosciuti"?Sicuramente NON E' come è stato descritto.Questi "ridicoli trucchetti" per spingere gli utenti a consumare per muovere l'economia.....hanno vita breve.Ho parlato.Nilok-
Re: Riempire gli spazi vuoti.....
non dovevi sentirti in dovere di riempire lo spazio vuoto ;)
-
-
Mah!
Ma scusate, cos'è che hanno scoperto sti 2 qua? E vanno fino a buenos aires per raccontare di un attacco man in the middle ad SSL? :-D Questo attacco esiste dal giorno in cui nacque SSL, chi conosce SSL lo sa bene.-
Re: Mah!
Visto che sei tanto genio illustracelo...Tutti bravi a parole ma i fatti come al solito non ci sono.-
Re: Mah!
"In crypto parlance the method used by security researchers Juliano Rizzo and Thai Duong is known as a block-wise chosen-plaintext attack and has been known for years."..."It is worth noting that the vulnerability that BEAST exploits has been presented since the very first version of SSL."-
Re: Mah!
- Scritto da: FridayChild
"In crypto parlance the method used by security
researchers Juliano Rizzo and Thai Duong is known
as a block-wise chosen-plaintext attack and has
been known for
years."
...
"It is worth noting that the vulnerability that
BEAST exploits has been presented since the very
first version of
SSL."Manca chiaramente un pezzo: "Most people in the crypto and security community have concluded that it is non-exploitable, that's why it has been largely ignored for many years."In pratica, sebbene la vulnerabilità fosse conosciuta da anni si riteneva non utilizzabile nella pratica. I due ricercatori hanno trovato un modo pratico per utilizzarla, quindi hanno dimostrato che, al contrario di quanto si credesse, la vulnerabilità è pericolosa.P.S. Quotare solo alcune parti per far percepire un significato diverso di quello del testo originale è come mentire.-
Re: Mah!
Non conosco i dettagli, ma dai rumors sembra che centrino anche le nuove possibilità che da HTML 5. Che sia per questo che un tempo si riteneva "non exploitabile"?Staremo a vedere. -
Re: Mah!
Anche tu non hai quotato il resto dell'articolo.A questo punto dovevi incollare tutto, cosi' hai mentito anche tu.
-
-
-
Re: Mah!
- Scritto da: Andrea
Visto che sei tanto genio illustracelo...
Tutti bravi a parole ma i fatti come al solito
non ci
sono.http://www.youtube.com/watch?v=-RxyfQu14bo
-
-
Re: Mah!
Finalmente uno che sa quello che dice!8)
-
-
Consigli Utili ...
Si in generale, occhio ai plugin del browser.Io da un po`di tempo faccio così : ho una chiavettina USB nel portachiavi, dove ho una distribuzione Linux (nel mio caso è una Ubuntu customizzata con l'apposito programma) ovviamente in sola lettura (Union FS).Quando devo collegarmi in certi siti, compreso la banca, inserisco la chiavettina riavvio il computer, lancio il browser PULITO, SENZA PLUGIN ok ?!!! Mi connetto e qualsiasi cosa accada, appena spengo sparisce e tutto è come prima.-
Re: Consigli Utili ...
Quando devo collegarmi in certi siti, compreso la
banca, inserisco la chiavettinabast un genratore di pin che tutte le banche serie ti danno gratis-
Re: Consigli Utili ...
- Scritto da: Zap
Quando devo collegarmi in certi siti,
compreso
la
banca, inserisco la chiavettina
bast un genratore di pin che tutte le banche
serie ti danno
gratisSi, quello è abbastanza sicuro , peccato che non lo forniscano tutti.In ogni caso non mi riferivo al puro dolo o al "rubare" i soldi in banca, parlavo più in generale riprendendo quanto citato dall'articolo.Chi conosce il meccanismo di funzionamento SSL sa che il punto debole non è l'attacco nella "rete" ma è a uno dei due terminali. Posto che il server di solito è "sicuro" il problema resta il client, che dopo avere stabilito la connessione lavora con canale di comunicazione criptato in protocollo simmetrico la cui chiave si trova in memoria e banalmente dopo lo strato SSL mostra evidentemente informazioni in chiaro. In passato per esempio si è scoperto che molte di queste informazioni finivano banalmente in cache e il problema è stato risolto ma ogni tanto si trova qualche falla.Siccome i browser hanno poi la cattiva abitudine di riempirsi di plugin e add-on di varia natura (da flash e silverlight al vecchio java a quelle belle estensioni che per esempio catalogano e inviano ogni mezzo link da cui passi) e di solto non ne fai a meno altrimenti non navighi.Il problema è che restano anche quando non le usi e magari sono stati installati da altri su macchine di lavoro, macchine con cui puoi avere remore a collegarti e farti gli affari tuoi visto che comunque lasci tracce e sono accessibili da altri.Ho pensato così di prendere UCK, mettere su una ubuntuna su una chiavetta da 1cm e portala con me, se devo fare gli affari miei, su un qualsiasi pc, faccio un reboot, mi collego dove voglio sul mio browser pulito, salvo le cose che mi interessano poi, chiudo e si cancella tutto, senza intaccare ne essere intaccato dal lavoro degli altri. Visto che ci ho messo meno di 5 minuti a creare il tutto e mi è costata 9 euro di chiavetta, per me è una soluzione semplice e utile poi ognuno è libero di fare ciò che vuole.
-
-
Re: Consigli Utili ...
...hai dimenticato di indossare il classico giubbotto in KEVLAR dotato di mitragliatrice laser sulla spalla destra...;-)-
Re: Consigli Utili ...
Ahahah :-) -
Re: Consigli Utili ...
- Scritto da: Nilok
...hai dimenticato di indossare il classico
giubbotto in KEVLAR dotato di mitragliatrice
laser sulla spalla
destra...
;-)Quello ce l'ho in macchina, perché c'è sempre la possibilità di incontrare qualche pistola.
-
-
Re: Consigli Utili ...
- Scritto da: Cracker Salato
Si in generale, occhio ai plugin del browser.
Io da un po`di tempo faccio così : ho una
chiavettina USB nel portachiavi, dove ho una
distribuzione Linux (nel mio caso è una Ubuntu
customizzata con l'apposito programma) ovviamente
in sola lettura (Union
FS).
Quando devo collegarmi in certi siti, compreso la
banca, inserisco la chiavettina riavvio il
computer, lancio il browser PULITO, SENZA PLUGIN
ok ?!!!
Mi connetto e qualsiasi cosa accada, appena
spengo sparisce e tutto è come
prima.Ma prima ti lavi i denti?-
Re: Consigli Utili ...
- Scritto da: ruppolo
- Scritto da: Cracker Salato
Si in generale, occhio ai plugin del browser.
Io da un po`di tempo faccio così : ho una
chiavettina USB nel portachiavi, dove ho una
distribuzione Linux (nel mio caso è una
Ubuntu
customizzata con l'apposito programma)
ovviamente
in sola lettura (Union
FS).
Quando devo collegarmi in certi siti,
compreso
la
banca, inserisco la chiavettina riavvio il
computer, lancio il browser PULITO, SENZA
PLUGIN
ok ?!!!
Mi connetto e qualsiasi cosa accada, appena
spengo sparisce e tutto è come
prima.
Ma prima ti lavi i denti?I soliti interventi pertinenti e ficcanti di ai-ruppolo -
Re: Consigli Utili ...
- Scritto da: ruppolo
- Scritto da: Cracker Salato
Si in generale, occhio ai plugin del browser.
Io da un po`di tempo faccio così : ho una
chiavettina USB nel portachiavi, dove ho una
distribuzione Linux (nel mio caso è una
Ubuntu
customizzata con l'apposito programma)
ovviamente
in sola lettura (Union
FS).
Quando devo collegarmi in certi siti,
compreso
la
banca, inserisco la chiavettina riavvio il
computer, lancio il browser PULITO, SENZA
PLUGIN
ok ?!!!
Mi connetto e qualsiasi cosa accada, appena
spengo sparisce e tutto è come
prima.
Ma prima ti lavi i denti?Sempre, poi di solito piscio su un ipad e mi lavo pure le mani. -
Re: Consigli Utili ...
- Scritto da: ruppolo
- Scritto da: Cracker Salato
Si in generale, occhio ai plugin del browser.
Io da un po`di tempo faccio così : ho una
chiavettina USB nel portachiavi, dove ho una
distribuzione Linux (nel mio caso è una
Ubuntu
customizzata con l'apposito programma)
ovviamente
in sola lettura (Union
FS).
Quando devo collegarmi in certi siti,
compreso
la
banca, inserisco la chiavettina riavvio il
computer, lancio il browser PULITO, SENZA
PLUGIN
ok ?!!!
Mi connetto e qualsiasi cosa accada, appena
spengo sparisce e tutto è come
prima.
Ma prima ti lavi i denti?Certo, e come dicevo nel commento censurato precedente, poi mingo su un iPad e mi lavo anche le mani.
-
-
Re: Consigli Utili ...
mi e quanto hai sul conto un milione di neuro.poi viste tutte le precauzioni che usi immaggino sicuramente che quando vai dal benzaro gli lasci la carta di credito, in modo che possano clonartela a manetta :-0Considerando che ora ci sono anche i virussi che infettano er bios, anche con tutte le paranoie che ti fai non e che sei sicura al 100%
-
-
Ma che cacchio?
Il codice va caricato all'interno del browser web della vittima?" <i
la prima parte di BEAST è il codice che va caricato all'interno del browser web della vittima </i
"Ma che cacchio? :-
Re: Ma che cacchio?
E che ci vuole? Basta una mail con clicca qui per vedere le foto...
-
-
E' novella 2000?
Scusami,non ti offendere, ma "...mandare gambe all'aria le comunicazioni cifrate su protocolli SSL e TLS..." mi sembra veramente un titolo da copertina gossip. Va bene che l'IT è sempre più alla portata di tutti, però così siamo veramente arrivati ad un livello terra terra.-
Re: E' novella 2000?
- Scritto da: echoesp1
Scusami,non ti offendere, ma "...mandare gambe
all'aria le comunicazioni cifrate su protocolli
SSL e TLS..." mi sembra veramente un titolo da
copertina gossip. Va bene che l'IT è sempre più
alla portata di tutti, però così siamo veramente
arrivati ad un livello terra
terraIo direi che siamo arrivati ad un livello bestiale. :D -
Re: E' novella 2000?
...peggio....molto peggio:non si sa più che cosa dire!8)
-
-
credevo fosse un articolo serio
Poi ho letto la firma, ed ho tirato un sospiro di solievo.-
Re: credevo fosse un articolo serio
l'articolo è coerente con quanto effettivamente scoperto-
Re: credevo fosse un articolo serio
In effetti, dire che il protocollo ssl è in pericolo perchè la gente usa versioni non aggiornate, è come dire che chi usa win98 è a rischio virus
.< (oddio, anche chi usa seven eh, ma vabbè XD) -
Re: credevo fosse un articolo serio
- Scritto da: cognome
l'articolo è coerente con quanto effettivamente scopertoEd è ancora più coerente al livello raggiunto da Punto Informatico, nata ottima e valida testata ed ora ridotto proprio male (valido solo come vettore di pubblicità ..... e quindi di guadagno).-
Re: credevo fosse un articolo serio
Mi sto facendo anch'io un'opinione del genere... -
Re: credevo fosse un articolo serio
Si però continuate a leggere e scrivere... -
Re: credevo fosse un articolo serio
ma vi costringe qualcuno a continuare a leggere PI?-
Re: credevo fosse un articolo serio
- Scritto da: aaaaaa
ma vi costringe qualcuno a continuare a leggere
PI?Un misto di masochismo, autolesionismo e il voler constatare che non c'e' mai fine al peggio.
-
-
-
-
Re: credevo fosse un articolo serio
....qutoto in toto...8)
-
-
Sta
Sta senza accento.
