Paolo Perego
Paolo Perego Specialista di sicurezza applicativa e certificato OSCE e OSCP, amo spaccare e ricostruire il codice in maniera sicura. Sono cintura nera di taekwon-do, marito e papà. Ranger Caotico Neutrale, scrivo su @codiceinsicuro.

Domenica d'Agosto, che caldo fa

Domenica d'Agosto, che caldo fa Photo by on Unsplash
898 parole - Lo leggerai in 4 minuti

Caldo, mare, estate. Montagna, relax, estate. Comunque voi la vediate, questo è il periodo dell’anno dove possiamo staccare un po’ la spina. Agosto è il momento dell’anno dove si tirano i bilanci dei primi mesi e si ricaricano le batterie per i lunghi mesi invernali.

Questo 2015 è stato scoppiettante. La scena Italiana è legata alla nuova moda di definire cyber qualsiasi cosa c’entri con la security mentre nelle aziende si respira ancora una mentalità da anni ‘70.

Il movimento delle startup non è stato in grado di prendersi sulle spalle un modo agile di fare sicurezza applicativa. Pochissime realtà, complici i costi aggiuntivi, pensano a dare ai propri clienti un’app che sia anche sicura oltre che eye candy.

In attesa dell’autunno e altre storie di ordinaria sicurezza applicativa, passiamo le nostre domeniche d’Agosto con 5 delle storie più belle di Codice Insicuro.

Ecco le prime 5. Buona lettura.

Questione di protocolli

Ci siamo lasciati, settimana scorsa, con la notizia, un po’ inquietante che il sistema italiano della gestione dell’identità digitale, sarà protetto con SSL versione 3.0 o la sua versione di poco modificata, TLS 1.0.

Conoscendo il modo con cui nascono e vivono questi progetti, ci saranno state fior fior di giornate di società di consulenza, pagate a caro prezzo, per portare soluzioni, vendor o più semplicemente fuffa: un sacco di fuffa.

Possibile che nessuno si sia accorto che siamo arrivati a TLS versione 1.2 e che la sua adozione richiede solo mezz’ora su Internet per cercare come disabilitare i protocolli a seconda del web server utilizzato?

Questo è disarmante, soprattutto perché l’hardening di un web server dovrebbe essere la base, il pane quotidiano di ciascun sysadmin che si rispetti. Soprattutto se lavora ad un progetto che impatterà 60 milioni di persone.

SPID: con SSL3 e TLS1.0 saremo tutti securizzati

Usiamo i nostri tool al limite

Ci siamo divertiti vedendo come usare nmap al di là delle sue capacità con Vulscan, uno script LUA per estendere nmap con una knowledge base di vulnerabilità che affliggono vari software di sistema.

Abbiamo visto cos’è un vulnerability assessment e come poterne fare uno in emergenza, con poco a disposizione. Sempre ben consapevoli dei limiti dei risultati che andremo a trovare.

Come fare un vulnerability Assessment con nmap

Forcaioli alla riscossa

L’inizio di Luglio è stato caratterizzato dall’attacco ad Hacking Team. 400Giga di dati trafugati da ignoti e la scoperta del segreto di Pulcinella, ovvero che RCS è un software offensivo per intercettare dati in transito da un elaboratore o smartphone compromesso. Il crucifige poi è stata la vendita di questo software a paesi dove c’è una dittatura militare, come se le nostre aziende già non rifornissero gli arsenali di mezzo mondo perché al vil denaro non si comanda. Ma vuoi mettere quanto è hackish parlare di captatori informatici?

Vuoi mettere poter dire che Hacking Team controlla, lei personalmente, i computer di milioni di cittadini? Una sorta di Grande Fratello mondiale?

Non una parola su chi quel software lo ha comprato. Non una parola su chi quel software lo sta usando in indagini. Non una parola su chi ha autorizzato l’uso di quel software in un’indagine. Sembra che abbia fatto tutto Hacking Team in autonomia. Definire questo atteggiamento ridicolo è dir poco. Sarei ben lieto di vedere lo stesso livore contro le società che costruiscono caccia, navi da guerra, pistole ben consapevoli che se c’è uno stronzo che li usa per fare del male ci sono almeno venti persone che le usano all’interno della legalità.

Ma è molto più bello dire che c’è una cospirazione alla base e che siamo tutti controllati. Così si vendono copie di giornali e di ebook di cyberbanfasechiuriti.

L'attacco ad hacking team e la scena forcaiola italiana

Io sviluppatore? Ma come ti permetti, io sono banfa

Abbiamo parlato dell’atteggiamento un po’ classista che in Italia si respira verso chi sviluppa software. Visto come una versione 2.0 del metalmeccanico, di cui spesso ereditano il contratto, lo sviluppatore è l’ultima ruota del carro che fa funzionare cose che il ben più remunerato commerciale va in giro a vendere.

Spesso fa miracoli per realizzare accrocchi che in teoria non dovrebbero stare in piedi. Sempre con il sorriso tra le labbra, a volte al lavoro anche nei weekend e spesso anche gratis.

Tutti li schifano. Tutti li evitano. Tutti si affrettano di dire che loro non sono sviluppatori, ma nessuno in realtà ne può fare a meno.

Premetto, io non sono uno sviluppatore

Disassemblare che passione

A Maggio ci siamo avventurati in quanto sia bello fare il reverse di un file APK e di quanto sia facile risalire a pseudo segreti che incauti sviluppatori pensano siano al segreto. Spesso si trovano URL in teoria nascoste, password e cose interessanti che possono essere utilizzate per attacchi successivi.

Abbiamo riflettuto su come sia utile offuscare il codice e disaccoppiare le informazioni sensibili da qualcosa in mano ad utente, che non è detto sia a noi leale.

Dal file APK al codice sorgente in poche semplici mosse

Off by one

Ecco la prima pick 5 dei post più interessanti apparsi qui nell’ultimo periodo. Ci vediamo tra una settimana per un’altra, domenica d’Agosto.

Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.

Supporta il progetto

comments powered by Disqus
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.   Non perdere neanche un post, iscriviti ora alla mailing list