NetBSD 4.0!

Non me ne ero accorto:
http://www.netbsd.org/releases/formal-4/NetBSD-4.0.html

Tra le cose piu` interessanti nell’annuncio, secondo me:

  • un’implementazione di CARP
  • miglioramento alle W^X policies
  • Kernel Authorization framework (porting da Apple)
  • miglioramenti al sottosistema di integrita` del filesystem Veriexec

Se riesco a montarlo e a farci un giro nei prossimi giorni (anche se dubito) provero` ad aggiornarvi.

Il silenzio di Skype

In piu` di un posto su Teh Intarweb qualcuno si lamenta che Skype non funziona.
Se ne sono accorti prima gli utenti (qui, qui, ad esempio) e con una certa calma, i media (qui, ad es.).

Per quanto i commenti di Skype in proposito siano estremamente fumosi e generici (come ci si puo` aspettare da quella che ormai e` una immensa azienda – e di sicuro non credono nella full-disclosure), si premurano di specificare che non si tratta di due cause:

  • Wednesday’s planned maintenance of our web-based payment services
  • any form of attack

Io invece non riesco proprio a convincermi del contrario: penso infatti che si tratti di un massiccio DoS (magari non organizzato) alla network di Skype, visto che guarda caso proprio ieri e` uscito su securitylab.ru un semplice quanto efficace scriptino la cui descrizione dice (trascrizione automatica di Google)

The program uses a standard client Skype to call a special number. According to the preliminary results of this call is denial of service this server Skype, leading to his replacement by another. The new server Skype also “freezes” and so on.
Thus attack with lightning speed throughout downloaded Skype peer network.

Ovviamente non siamo purtroppo in grado di tenere d’occhio le versioni dei server di Skype, ma non so perche` [avevo scritto “mi aspetto da qui a poco – in sordina – un bump di versione per i client“] giusto giusto oggi e` uscita una versione nuova per Windows:

  • Win: Versione: 3.5.0.214. Data di rilascio: August 17
  • Mac: Versione 2.6.0.151, July 18
  • Linux: Versione 1.4.0.99

Che sia una incredibile coincidenza? Uhm…
/me inarca un sopracciglio.

*UPDATE*: leggete anche l’opinione di ascii, che non crede molto al DoS, sul suo blog

*UPDATE2* (2007082): anche le persone di SecuriTeam non ci credono molto, e per i miei stessi motivi, fondamentalmente.

Il phishing in Italia ed all’estero

Dall’ottimo blog “Light Blue Touchpaper” un bel post sul materiale di Richard Clayton e Tyler Moore sulla velocita` di rimozione dei siti di phishing che cita anche alice.it, di cui riporto il grafico dal loro sito (copiato in locale)

Alice.it

All’interno dell’articolo si ipotizza che la completa noncuranza da parte dei gestori nella parte sinistra del grafico possa essere dovuta a diversi fattori, tra cui il fatto che alice non ricevesse le segnalazioni di eBay perche` eBay non sapeva a chi mandarle (?) o che non prendesse provvedimenti perche` le segnalazioni erano in inglese (!!), oppure perche` i filtri antispam le filtravano (piu` probabile) o anche perche` non esisteva una policy contro il phishing.

Da parte mia, temo che sia solo questione di vincere l’inerzia della burocrazia e/o che il problema abbia sufficiente risonanza (che alla fine e` la stessa cosa).
Andate a leggere l’articolo in originale, con grafici di Korea e Cina.

come al solito, volevo postare due righe e ci ho perso venti minuti, uf

Con questo giocherei volentieri: Clockwork

Courtesy of Matasano, un prodotto web (RoR) per fare configurazione unica di svariati firewall.
Un articolo che ne parla qui.

Personalmente sono un po’ scettico, ho gia` sentito parlare di prodotti che si proponevano di unificare la gestione di tutte le policy di security, ma in ambienti abbastanza grandi da poter richiedere una entita` di questo tipo e` difficile che un software ottenenga la fiducia necessaria ad essere messo in produzione: la complessita` e` alta e si preferisce affidarsi alle persone (che, pure, sbagliano).

Se Clockwork riuscira` davvero a

  • centralizzare la gestione delle policy
  • essere multivendor
  • acquisire in modo sensato dall’installato/configurato, e
  • permettere in ogni caso successivi aggiustamenti manuali

secondo me vendera` molto bene, che sia o meno una immagine di VmWare: chi ne ha bisogno non credo avra` problemi ad installarlo, insomma…
Sono curioso.

Linux e la sicurezza personale 2.0

Ok, l’unica volta che decido di andare a letto presto non riesco a dormire.
Dopo essermi sparato le prime 120 pagine de “Il cacciatore di aquiloni” di Khaled Hosseini [che mi sta piacendo — il perche` io legga a tranche da 100 pagine alla volta in un altro post] mi alzo per parlarvi di questo evento che si terra` il prossimo fine settimana (16-17 giugno 2007) in quel di Verona e dintorni.

Il tutto e` orchestrato dal poliedrico Verona LUG, con la complicita` della piscina del segretario.
Il programma lo trovate qui, ma e` caldamente consigliato che se pensate di passare lo facciate presente sul wiki.
In loco, oltre ai noiosis^Wpregevoli speech che ci saranno, ricchi premi e certificati personali Thawte per molti, ma non per tutti.

Per chi ci sara`, ci vediamo la`.