Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Bicchieri di acqua e menta

Bicchieri di acqua e menta Photo by on Unsplash
833 parole - Lo leggerai in 4 minuti

E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette si baciano sulla spiaggia, facciamo un’altra carrellata di post interessanti che mi è capitato di scrivere in questa prima metà dell’anno.

Cyber sporcaccioni

Nel pieno di un torrido Luglio, mentre Hacking Team subiva un attacco importante e con pochi precedenti, almeno qui in Italia e almeno tra quello che “si sa e si può dire”, l’armata forcaiola si batteva sul fatto che il sistema di sorveglianza remota RCS facesse evidence planting, ovvero andasse a contaminare con prove fasulle i terminali sorvegliati.

Chiaro, dal punto di vista della fiction era un’illazione ghiottissima da prendere, poi in alcuni pezzi di codice c’era la parola pedo pornografia, vuoi mettere?

Il succo è che, dopo una code review di alcune porzioni di codice trafugato, non c’è alcuna istruzione che lascia intendere la possibilità di creare filmati con contenuto pedo pornografico o similiare. Certo, tra le email ci sono clienti che pagavano per avere la funzionalità di file upload, ma su quale fosse il contenuto del file nessuno ha bit di informazione più accurati. Eppure, il giornalettaio medio italiano ha deciso che HT impiantava porno.

Vabbé, c’è chi chiama una mulattiera strada, chi si stupisce più?

Asphyxia #1: ma RCS installa immagini pedopornografiche?

Stima questo

Quest’anno abbiamo anche parlato della figura mitologica del project manager. I suoi poteri spaziano dal fare slide bellissime con colori sgargianti, fino a fare stime accurate su cose che ignora. Appunto perché non ne è in grado, il project manager, figura alla quale tutti i banfa ambiscono a diventare, chiede alle persone tecniche di dare una mano e, poiché i numeri sono troppo realisti e non fanno bene al C/R e poi il cliente si lamenterebbe, il fantastico project manager decide di aggiustare qua e là.

Il risultato è che le stime sono completamente cannate, il progetto va lungo di un paio di mesi ed il cliente è incazzato nero, ma, purtroppo, ormai ha pagato quindi si tiene l’esercito di banfa in doppiopetto in grado solo di produrre numeri (sbagliati) e disegnini.

Il nocciolo della questione è che bisogna sempre considerare i test di security al termine delle attività di sviluppo e che, fatto salvo non sparare a caso con le giornate, il project manager fa bene ad ascoltare le stime delle persone che ne sanno qualcosa…

Chi li paga poi i danni?

Automatizziamo

Quest’anno l’ho preso come mio mantra personale: automatizzare, l’automatizzabile. In particolare, una delle cose più importanti da testare è la bontà delle credenziali di accesso degli utenti ai nostri sistemi.

Spesso le persone nell’IT sottovalutano la possibilità di attacchi dall’interno delle reti, appunto perché un attaccante prima deve entrare. Riflettiamo, se la password di accesso di un utente è Marzo2015, entrare è davvero un problema?

Rispondo io, no non lo è. Il problema è testare tante password in automatico. Abbiamo visto che con poche righe di Ruby è possibile mettere in piedi un sistema per automatizzare il test delle password degli utenti di dominio, almeno per quelle combinazioni semplici mese-anno e le parole presenti nel dizionario.

Testiamo in automatico le password dei nostri utenti

Warden e sistemi di autenticazione

La prima mini serie di post prodotta nel 2015, è stata dedicata a come usare Ruby e Warden per creare un sistema di autenticazione. Spesso inventiamo i modi più strani e poco sicuri per fare quello che fa benissimo una chiamata singola LDAP al nostro repository delle utenze. Ho una username ed una password? Senza bisogno di altro, provo a fare una bind con quelle credenziali. Se ci riesco, le credenziali sono corrette altrimenti no.

Questo con buona pace dei sistemi caserecci e di password salvate in chiaro sul database. E’ costato tanto mettere in piedi un dominio, perché non usarlo anche per le nostre applicazioni Intranet? Così i nostri utenti non dovranno tenere a mente molte credenziali di accesso e si scongiurerà, forse, il rischio di avere i famigerati post-it attaccati ai monitor.

Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 1
Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 2
Costruiamo un sistema di autenticazione con Sinatra e Warden. Parte 3

Off by one

La scorsa settimana avevamo dato la prima tranche dei 5 post più succosi di questo 2015, questa settimana è stata solamente una pick 4 ma solo perché l’ultimo spezzone, quello su Warden, è composto da ben 3 post.

La prossima settimana ci vediamo con l’ultimo di questi appuntamenti estivi tappa buchi. Nel frattempo, non date retta ai boss di Oracle, una EULA non fermi la ricerca, soprattutto per software scritto male e patchato ancora peggio.

Enjoy it!

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list