Piero V.

Let's Encrypt

Let’s Encrypt è un’iniziativa intrapresa da alcune aziende e fondazioni importanti nel campo di internet, come Mozilla, Cisco e Akamai, unite nell’Internet Security Research Group.

Il loro obiettivo è fornire un modo semplice per ottenere chiavi crittografiche e installarle in modo da offrire HTTPS velocemente e senza passare attraverso complicati sistemi.

Al momento il progetto è in fase di public beta, ovvero chiunque può registrarsi e ottenere delle chiavi per il proprio sito e funziona comunque molto bene.

Era da tempo che volevo installare un certificato per HTTPS, così ne ho aprofittato, dunque potete provare a connettervi alla versione HTTPS del sito, sempre non l’abbiate già fatto.

Installazione su Debian Jessie

L’installazione non è ancora semplicissima, in quanto il pacchetto si trova solo nel ramo experimental. Le opzioni quindi sono di installarlo tramite i repository in pinning, oppure il download manuale sempre del .deb, oppure ancora l’installazione per le distribuzioni generiche.

Io ho scelto la seconda, in modo da avere il maggior numero di dipendenze possibili sotto forma di pacchetti che si aggiornano da soli. … [Leggi il resto]

BadUSB

Ormai siamo a Dicembre 2014 e non si può di certo dire che questo sia stato un anno molto fortunato per la sicurezza: Heartbleed e OpenSSL, Poodle e SSL 3, Shellshock e BASH e l’ultimo, che secondo me è passato molto più in sordina, è BadUSB.

Ieri mi sono stupito leggendo di articoli su internet che parlavano di una grossissima falla su USB, la più grande del protocollo, a detta di alcuni.

Ma veniamo al dunque: USB, al contrario di interfacce più vecchie molto più semplici, può fornire molte funzionalità: da periferiche HID (Human Interface Device) tipo mouse, a memorie, a schede audio etc… Perciò i dispositivi necessitano di un software che gestisca anche questo aspetto, come anche chi si è dilettato un po’ con l’elettronica digitale sa.

Ma questa è una funzionalità di USB, se i produttori di chip non fanno il loro lavoro, la colpa non è di USB. Non si può negare che sia preoccupante quest’apparente facilità nel riprogrammare i firmware dichiarata dai media, ma a me sembra solo un abuso da parte di media che cercano di attirare lettori.

In ogni caso non sono preoccupato: penso mi accorgerei di un’interfaccia di rete in più…

Comunque magari questa sfortuna del 2014 potrebbe essere vista invece positivamente: abbiamo chiuso bug di anni e anni fa…

Heartbleed

OpenSSL è una delle librerie più diffuse per la crittografia, è usata da tantissimi software, inclusi Apache, OpenSSH, OpenVPN etc…

Recentemente si è scoperto che le release degli ultimi due anni soffrivano di un bug nell’heartbeat, chiamato Heartbleed.

Questo bug, in pratica, permette di ottenere i dati rimasti in memoria, tra i quali anche la chiave privata di un sito, rilasciata normalmente da autorità di certificazione dopo aver controllato documenti su documenti che verifichino l’identità del richiedente.

È un durissimo colpo, il 66% dei siti web era vulnerabile: Google (con tutti i suoi prodotti, inclusi Android 4.1 e 4.1.1), Facebook, Wikipedia e persino Microsoft, sebbene sia software libero, ne erano affetti!12

Lo è sia per tutte le tecnologie che usavano versioni infette della libreria, che, penso, per il progetto OpenSSL in sé.

Molti siti e software importanti hanno già rilasciato le patch, Debian ha addirittura rilasciato la patch il giorno stesso e il giorno dopo una serie di ISO di Wheezy corrette, aggiornando addirittura il numero di versione. … [Leggi il resto]

HTTPS

Da quando sono passato a OVH ho sempre avuto anche HTTPS a disposizione ma non me ne sono più di tanto curato.

Ebbene, se volete, da oggi potete navigare sul mio sito anche in modalità sicura senza problemi (forse solo su alcuni articoli vecchi con contenuto esterno tipo da youtube).

Il link è: https://ssl5.ovh.net/~pierovdf/.

Un login più sicuro?

Stavo pensando al modo di creare un login più sicuro: questa era un’idea che mi era venuta già un po’ di tempo fa ma poi ho rinunciato a compierla perché mi ero incasinato, così sono tornato al classico cookie con id e password.

Questo tipo di login però è un po’ rischioso: intanto l’hash della password (o l’hash dell’hash, come preferite 😉 ) rimane salvato in un computer e non è mai una bella cosa; inoltre rende più possibili i tentativi di attacco, per esempio tramite forza bruta: una volta scoperta la funzione dell’hash (soprattutto in assenza di un salt), si può saltare il form di login e provare direttamente con i vari cookie.

Il sistema a cui invece ho pensato si basa sempre su un cookie, ma che racchiude un id del login (generato magari con la funzione uniqid) e un codice di sicurezza diverso dalla password.

Di svantaggio ha il fatto che se a un utente viene “rubato” il cookie può fare tranquillamente il login, ma ciò avveniva anche con l’altro metodo.

Il secondo svantaggio è che il cookie che dura per la sessione viene fatto sparire dal browser, mentre applicando quest’idea bisognerebbe pensare a un tot di tempo di validità per il login breve. … [Leggi il resto]