Crea sito

Realizzato il primo chip quantico

Un gruppo di scienziati ha costruito un nuovo “chip quantico”, che consentirà la creazione di telefoni cellulari sicuri e computer ultra-veloci, con funzionalità che vanno ben oltre i dispositivi di oggi More »

Attacco alle reti wifi

Scoperta falla che permette di violare la crittografia wpa2 More »

Analisi di una rete LAN lenta

Tra le tante operazioni che un tecnico informatico dovrebbe conoscere e la risoluzione... More »

IBM prevede uno shopping natalizio da record

Si prevede un aumento del 15% delle vendite on-line nei primi cinque giorni dedicati allo shopping natalizio • Per la prima volta, nel Giorno del Ringraziamento più della metà di tutto lo shopping on-line verrà effettuato attraverso un dispositivo mobile More »

 

Come funziona l’attacco KRACK contro le reti Wi-Fi (2)

L’attacco principale si verificherebbe contro l’HandShake ossia la “stretta di mano” che avviene quando due Device (un Client e ed una Rete WiFi Protetta) si connettono tra loro. L’HandShake consiste di preciso in uno scambio di 4 Pacchetti di Rete, dove Client e Rete WiFi si scambiano dati sulla password ed una nuova chiave di Crittografia con il quale Cifreranno tutta la Comunicazione. Ad oggi tutte le Reti Wifi protette usano la Stretta di Mano (HandShake).

Continua a leggere su…

Come funziona l’attacco KRACK contro le reti Wi-Fi

Come spiega il ricercatore Vanhoef, il punto debole che viene sfruttato è il processo di handshake, durante il quale l’access point e il dispositivo instaurano la connessione. Questo processo è composto di 4 passaggi e nel terzo è previsto che venga condivisa una chiave crittografica che, almeno in teoria, dovrebbe essere usata solo per una connessione. In questa fase lo standard WPA2 prevede che l’invio della chiave possa essere ripetuto più volte, ad esempio per ovviare all’ipotesi in cui il client non riesca a riceverla. E qui nasce il problema. L’attacco messo a punto dal ricercatore (che nel suo report usa sempre il plurale, nonostante ammetta nelle note finali di aver lavorato sempre da solo al progetto) consente di “ingannare” il dispositivo e indurlo a reinstallare una chiave crittografica già usata.


Continua a leggere su http://securityinfo.it/2017/10/16/funziona-lattacco-krack-le-reti-wi-fi/

Wpa2 craccato, reti wifi a rischio

WPA2 (Wi-Fi Protected Access II) è il protocollo adottato per proteggere le connessioni tra dispositive e access point che utilizzano Wi-Fi e, fino a oggi, era considerate lo stato dell’arte per garantire connessioni sicure. Con questa nuova tecnica di attacco si apre una vera voragine che indebolisce qualsiasi rete.

Il risultato è che un pirata informatico potrebbe sfruttare una nuova tecnica di attacco (battezzata con il nome di KRACK, Key Reinstallation Attacks) per intercettare il traffico o dirottare la navigazione.

Per saperne di più leggi l’articolo completo su Security Info, il sito Internet dedicato alla sicurezza informatica.

CCleaner il problema è molto più serio del previsto

L’hack su CCleaner è, secondo vari ricercatori di sicurezza, ben più grave rispetto a quanto previsto in un primo momento. Gli aggressori, infatti, non intendevano prendere di mira semplicemente i computer degli ignari utenti, fiduciosi della provenienza del software, ma il loro obiettivo era guadagnare i segreti delle firme più importanti del settore tecnologico.

Mercoledì scorso i ricercatori della divisione di sicurezza Talos di Cisco hanno dichiarato che più di 700 mila macchine sono state coinvolte nell’attacco al popolare software di manutenzione per PC. Gli hacker hanno utilizzato le informazioni raccolte dai sistemi infettati per identificare almeno 20 aziende tecnologiche d’alto profilo, fra cui la stessa Cisco. L’attacco vero e proprio è stato condotto in un secondo momento nei confronti di queste società.

Secondo i ricercatori questo “suggerirebbe un esecutore alla ricerca di specifiche proprietà intellettuali di valore”. Oltre Cisco, fra le società coinvolte troviamo nomi del calibro di Google, Intel, Microsoft, Samsung, Sony, HTC e Linksys, così come VMware, Akamai, Vodafone, D-Link e Singtel. I ricercatori di Talos hanno naturalmente contattato tutte le aziende potenziali vittime nell’attacco, informandole della possibile compromissione dei loro sistemi.

Continua a leggere…

Password sicure. Nuovi comportamenti

fonte: https://sabmcs.wordpress.com/2017/09/05/le-password-complesse-sono-sorpassate/

“La tua password non soddisfa le linee guida di sicurezza” – questo messaggio non sarà più fonte di irritazione per gli utenti dato che le raccomandazioni in merito alla composizione delle password sono state aggiornate. Le linee guida della NIST, di ormai 14 anni orsono, sono attualmente oggetto di revisione. Questo articolo illustra perché.

Bochum, 5 settembre 2017 – Qualche giorno fa, un funzionario dell’Istituto Nazionale degli Standard e delle Tecnologie (NIST) americano, oggi in pensione, ci ha sorpresi: si è scusato pubblicamente per un documento che scrisse nel 2003. Il documento conteneva raccomandazioni per rendere le password più robuste, raccomandazioni seguite da innumerevoli organizzazioni e piattaforme online. All’atto pratico però gli utenti non possono (e non vogliono) ricordare una password sicura basata su tali parametri, ad esempio “yxc^Vo![“$§[email protected]}ih5tK.-n27\fd “. E anche se potessero, password così composte non contribuiscono minimamente alla sicurezza. Se un certo insieme di criteri per la composizione di una password sicura è noto, un computer può infatti scartare interi gruppi di potenziali password. Se si suppone che una password abbia una lunghezza massima di 16 caratteri e che il primo carattere non sia un carattere speciale, si escludono automaticamente un paio di milioni di combinazioni. Se il sistema sa che la password contiene solo un carattere speciale (ove ad esempio spazi o dieresi non sono consentiti), si riduce ulteriormente il numero di possibili combinazioni. Dizionari e “tabelle arcobaleno” semplificano ulteriormente l’attività di un computer. La costante riduzione dei costi necessari per incrementare la potenza di calcolo dei sistemi è un ulteriore motivo a favore di una totale revisione delle regole attuali. L’uomo semplifica Le linee guida implementate nelle aziende per la creazione di nuove password sono motivo di frustrazione per i dipendenti su scala globale. Obbligati a cambiare la password a intervalli regolari, gli utenti devono spesso seguire criteri quali:

  1. Lunghezza di almeno 8 caratteri  – Alcune piattaforme definiscono anche la lunghezza massima della password (16 caratteri) o la tipologia di determinati caratteri, ad esempio “il primo carattere non può essere un carattere speciale”
  2. Giusto mix di lettere maiuscole e minuscole
  3. La password deve contenere almeno un carattere speciale e una cifra; non sono ammessi spazi
  4. E’ vietato riutilizzare una password impiegata negli ultimi 12 mesi

Se da un lato lo scopo primario del documento era quello di sbarazzarsi di password troppo facili da indovinare sostituendole con password più forti e complesse quindi meno decifrabili, dall’altro gli esseri umani tendono a semplificarsi la vita: “[email protected]$$w0rd” ad esempio è una password lunga 8 caratteri, contiene lettere maiuscole e minuscole, tre caratteri speciali e una cifra, parametri che soddisfano tutte le linee guida di sicurezza. Dopo tre settimane viene chiesto all’utente di cambiare la password. Sempre volendo semplificare le cose, l’utente reitera la password con una variazione minima, “[email protected]$$w0rd2”. Tre settimane dopo sarà “[email protected]$$w0rd3”, e così via. Questa procedura, unitamente alle linee guida di cui sopra, ha dato origine a password che sono davvero difficili da gestire per gli esseri umani, ma facilmente individuabili per un computer.

Se si è abituati ad utilizzare solo password complesse e non ci si sente a proprio agio con nessuna altra formulazione, non è obbligatorio cambiare radicalmente le proprie abitudini, sarà sufficiente non cambiare la password a intervalli regolari. Per tutti gli altri tutto è possibile. Se lo si desidera, è possibile utilizzare intere frasi, inclusi spazi vuoti e altri caratteri speciali – in altre parole, è possibile utilizzare una frase d’accesso, sufficientemente lunga per dar filo da torcere ad eventuali criminali ma non troppo, per non dimenticarla. Tenendo quindi per buona la lunghezza minima di 8 caratteri, ci sono infinite possibili variazioni a portata di essere umano.

Per coloro che già si stanno rallegrando e pensano “finalmente, non ci saranno più password incomprensibili, c’è ancora un piccolo intralcio: password come la data del compleanno, “123456”, “abcdef”, “aaaaaaa” o “qwertzuiop” rappresentano ancora una pessima scelta e sono spesso inserite nella blacklist da operatori o amministratori di sistema. La regola di non usare la stessa password per più scopi (ad esempio e-mail, social media e negozi online) è sempre valida. Per ogni servizio bisognerebbe impiegare una password o frase d’accesso differente. Se disponibile, sarebbe opportuno attivare un secondo metodo di autenticazione. Per tenere traccia di tutte le password, un gestore di password rimane comunque uno strumento utile.

Quattro suggerimenti per proteggere il proprio account account

Se una piattaforma ha implementato le nuove raccomandazioni, ci sono alcuni semplici suggerimenti che consentono di aumentare la sicurezza dell’account:

  • Utilizzare una frase d’accesso sufficientemente lunga ad esempio “1StranoGioco – laMossaVincente è NonGiocare!” – noterete che questa ha una lunghezza di 44 caratteri, contiene caratteri speciali ed è facile da ricordare
  • Se disponibile abilitare l’autenticazione a più fattori
  • Non riutilizzare mai una frase d’accesso per più account
  • Utilizzare un password manager