Bicchieri di acqua e menta
Photo by on Unsplash
E’ passato ferragosto e da poco si sono spenti gli echi dei falò sulla spiaggia. Fiochi risuonano gli accordi di qualche canzone di Battisti e mentre le ultime cyber coppiette si baciano sulla spiaggia, facciamo un’altra carrellata di post interessanti che mi è capitato di scrivere in questa prima metà dell’anno.
Cyber sporcaccioni
Nel pieno di un torrido Luglio, mentre Hacking Team subiva un attacco importante e con pochi precedenti, almeno qui in Italia e almeno tra quello che “si sa e si può dire”, l’armata forcaiola si batteva sul fatto che il sistema di sorveglianza remota RCS facesse evidence planting, ovvero andasse a contaminare con prove fasulle i terminali sorvegliati.
Chiaro, dal punto di vista della fiction era un’illazione ghiottissima da prendere, poi in alcuni pezzi di codice c’era la parola pedo pornografia, vuoi mettere?
Il succo è che, dopo una code review di alcune porzioni di codice trafugato, non c’è alcuna istruzione che lascia intendere la possibilità di creare filmati con contenuto pedo pornografico o similiare. Certo, tra le email ci sono clienti che pagavano per avere la funzionalità di file upload, ma su quale fosse il contenuto del file nessuno ha bit di informazione più accurati. Eppure, il giornalettaio medio italiano ha deciso che HT impiantava porno.
Vabbé, c’è chi chiama una mulattiera strada, chi si stupisce più?
Stima questo
Quest’anno abbiamo anche parlato della figura mitologica del project manager. I suoi poteri spaziano dal fare slide bellissime con colori sgargianti, fino a fare stime accurate su cose che ignora. Appunto perché non ne è in grado, il project manager, figura alla quale tutti i banfa ambiscono a diventare, chiede alle persone tecniche di dare una mano e, poiché i numeri sono troppo realisti e non fanno bene al C/R e poi il cliente si lamenterebbe, il fantastico project manager decide di aggiustare qua e là.
Il risultato è che le stime sono completamente cannate, il progetto va lungo di un paio di mesi ed il cliente è incazzato nero, ma, purtroppo, ormai ha pagato quindi si tiene l’esercito di banfa in doppiopetto in grado solo di produrre numeri (sbagliati) e disegnini.
Il nocciolo della questione è che bisogna sempre considerare i test di security al termine delle attività di sviluppo e che, fatto salvo non sparare a caso con le giornate, il project manager fa bene ad ascoltare le stime delle persone che ne sanno qualcosa…
Automatizziamo
Quest’anno l’ho preso come mio mantra personale: automatizzare, l’automatizzabile. In particolare, una delle cose più importanti da testare è la bontà delle credenziali di accesso degli utenti ai nostri sistemi.
Spesso le persone nell’IT sottovalutano la possibilità di attacchi dall’interno delle reti, appunto perché un attaccante prima deve entrare. Riflettiamo, se la password di accesso di un utente è Marzo2015, entrare è davvero un problema?
Rispondo io, no non lo è. Il problema è testare tante password in automatico. Abbiamo visto che con poche righe di Ruby è possibile mettere in piedi un sistema per automatizzare il test delle password degli utenti di dominio, almeno per quelle combinazioni semplici mese-anno e le parole presenti nel dizionario.
Warden e sistemi di autenticazione
La prima mini serie di post prodotta nel 2015, è stata dedicata a come usare Ruby e Warden per creare un sistema di autenticazione. Spesso inventiamo i modi più strani e poco sicuri per fare quello che fa benissimo una chiamata singola LDAP al nostro repository delle utenze. Ho una username ed una password? Senza bisogno di altro, provo a fare una bind con quelle credenziali. Se ci riesco, le credenziali sono corrette altrimenti no.
Questo con buona pace dei sistemi caserecci e di password salvate in chiaro sul database. E’ costato tanto mettere in piedi un dominio, perché non usarlo anche per le nostre applicazioni Intranet? Così i nostri utenti non dovranno tenere a mente molte credenziali di accesso e si scongiurerà, forse, il rischio di avere i famigerati post-it attaccati ai monitor.
Off by one
La scorsa settimana avevamo dato la prima tranche dei 5 post più succosi di questo 2015, questa settimana è stata solamente una pick 4 ma solo perché l’ultimo spezzone, quello su Warden, è composto da ben 3 post.
La prossima settimana ci vediamo con l’ultimo di questi appuntamenti estivi tappa buchi. Nel frattempo, non date retta ai boss di Oracle, una EULA non fermi la ricerca, soprattutto per software scritto male e patchato ancora peggio.
Enjoy it!
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progettoSimili a "Bicchieri di acqua e menta"
Se questo post ti è piaciuto, sono abbastanza sicuro che troverai questi contenuti altrettanto interessanti. Buona lettura.
GCC, analisi statica e warning mancanti
Eh già… in questi mesi ho dato anima e corpo al canale YouTube ed ho trascurato un po’ il mio blog. Questa però è una delle cose che voglio prima raccontare qui, nella mia versione digitale di un Bullet Journal.
Continua la lettura
Caro diario eccoci qui…
O mamma, è da maggio che non scrivo neanche un post. Vi starete chiedendo se il blog sia ancora attivo… ecco, sì e no.
Continua la lettura
Cosa fa un security engineer in SUSE?
Cosa vuol dire essere un product security engineer in SUSE? È facile lavorare completamente da remoto? Ecco com'è cambiata la mia vita da qualche mese...
Continua la lettura
Non perdere neanche un post, iscriviti ora alla mailing list