Vai al contenuto
Home » Bicchieri di acqua e menta

Bicchieri di acqua e menta

E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla
spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre
le ultime cyber coppiette si baciano sulla spiaggia, facciamo un’altra
carrellata di post interessanti che mi è capitato di scrivere in questa prima
metà dell’anno.

Cyber sporcaccioni

Nel pieno di un torrido Luglio, mentre Hacking
Team
subiva un attacco importante e con pochi
precedenti, almeno qui in Italia e almeno tra quello che “si sa e si può dire”,
l’armata forcaiola si batteva sul fatto che il sistema di sorveglianza remota
RCS facesse evidence planting, ovvero andasse a contaminare con prove fasulle
i terminali sorvegliati.

Chiaro, dal punto di vista della fiction era un’illazione ghiottissima da
prendere, poi in alcuni pezzi di codice c’era la parola pedo pornografia,
vuoi mettere?

Il succo è che, dopo una code review di alcune porzioni di codice trafugato,
non c’è alcuna istruzione che lascia intendere la possibilità di creare filmati
con contenuto pedo pornografico o similiare. Certo, tra le email ci sono
clienti che pagavano per avere la funzionalità di file upload, ma su quale
fosse il contenuto del file nessuno ha bit di informazione più accurati.
Eppure, il giornalettaio medio italiano ha deciso che HT impiantava porno.

Vabbé, c’è chi chiama una mulattiera strada, chi si stupisce più?

Asphyxia #1: ma RCS installa immagini pedopornografiche?

Stima questo

Quest’anno abbiamo anche parlato della figura mitologica del project manager.
I suoi poteri spaziano dal fare slide bellissime con colori sgargianti, fino a
fare stime accurate su cose che ignora. Appunto perché non ne è in grado, il
project manager, figura alla quale tutti i banfa ambiscono a diventare,
chiede alle persone tecniche di dare una mano e, poiché i numeri sono troppo
realisti e non fanno bene al C/R e poi il cliente si lamenterebbe, il
fantastico project manager decide di aggiustare qua e là.

Il risultato è che le stime sono completamente cannate, il progetto va lungo di
un paio di mesi ed il cliente è incazzato nero, ma, purtroppo, ormai ha pagato
quindi si tiene l’esercito di banfa in doppiopetto in grado solo di produrre
numeri (sbagliati) e disegnini.

Il nocciolo della questione è che bisogna sempre considerare i test di security
al termine delle attività di sviluppo e che, fatto salvo non sparare a caso con
le giornate, il project manager fa bene ad ascoltare le stime delle persone
che ne sanno qualcosa…

Chi li paga poi i danni?

Automatizziamo

Quest’anno l’ho preso come mio mantra personale: automatizzare,
l’automatizzabile. In particolare, una delle cose più importanti da testare è
la bontà delle credenziali di accesso degli utenti ai nostri sistemi.

Spesso le persone nell’IT sottovalutano la possibilità di attacchi dall’interno
delle reti, appunto perché un attaccante prima deve entrare. Riflettiamo, se
la password di accesso di un utente è Marzo2015, entrare è davvero un
problema?

Rispondo io, no non lo è. Il problema è testare tante password in automatico.
Abbiamo visto che con poche righe di Ruby è possibile mettere in piedi un
sistema per automatizzare il test delle password degli utenti di dominio,
almeno per quelle combinazioni semplici mese-anno e le parole presenti nel
dizionario.

Testiamo in automatico le password dei nostri utenti

Warden e sistemi di autenticazione

La prima mini serie di post prodotta nel 2015, è stata dedicata a come usare
Ruby e Warden per creare un sistema di autenticazione. Spesso inventiamo i modi
più strani e poco sicuri per fare quello che fa benissimo una chiamata singola
LDAP al nostro repository delle utenze. Ho una username ed una password? Senza
bisogno di altro, provo a fare una bind con quelle credenziali. Se ci riesco,
le credenziali sono corrette altrimenti no.

Questo con buona pace dei sistemi caserecci e di password salvate in chiaro sul
database. E’ costato tanto mettere in piedi un dominio, perché non usarlo anche
per le nostre applicazioni Intranet? Così i nostri utenti non dovranno tenere a
mente molte credenziali di accesso e si scongiurerà, forse, il rischio di avere
i famigerati post-it attaccati ai monitor.

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1
Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2
Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 3

Off by one

La scorsa settimana avevamo
dato la prima tranche dei 5 post più succosi di questo 2015, questa settimana è
stata solamente una pick 4 ma solo perché l’ultimo spezzone, quello su
Warden, è composto da ben 3 post.

La prossima settimana ci vediamo con l’ultimo di questi appuntamenti estivi
tappa buchi. Nel frattempo, non date retta ai boss di Oracle, una EULA non
fermi la ricerca, soprattutto per software scritto male e patchato ancora
peggio.

Enjoy it!

Tag:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.