Security on Michele Bologna

La mia esperienza con SPID e Poste Italiane

Wed, 13 Feb 2019 00:00:00 +0000

Questa settimana ho deciso di attivare lo SPID (Sistema Pubblico di Identità Digitale).

Cosa è lo SPID Link to heading

L’identità digitale SPID è rappresentata da un username e una password che vi permettono di autenticarvi sui siti della Pubblica Amministrazione (PA). I suoi usi sono molteplici e sta prendendo sempre più piede per le comunicazioni online tra cittadino e PA.

Secure your SSH server against brute-force attacks with Fail2ban

Mon, 05 Jun 2017 00:00:00 +0000

The problem: SSH can be brute-forced Link to heading

I usually leave an SSH server on a dedicated port on every server I administer and, as you may recall, I even linked two well-written guides to properly configure and harden SSH services.

Fun with Python powered telnetd honeypot

Fri, 04 Sep 2015 00:00:00 +0000

Reason: hardening, serendipity and curiosity Link to heading

As you already know, in the past weeks I hardened all of my boxes: while doing it, I flushed all iptables/ipfw rules, changed the default policy to DROP and take it from there to enable every rule as soon as I need it. Whilst Ubuntu uses ufw as a fronted for iptables, Fedora uses firewalld.

Hardening services: let's review our config files

Sun, 28 Jun 2015 00:00:00 +0000

It’s hardening Sunday here: I reviewed the config files of my main daemons (nginx, openvpn, tinc, sshd) with the help of two resources that I want to share with you, fellow readers.

Ruby e OSX: problemi coi certificati SSL durante l'installazione delle gem

Mon, 04 Nov 2013 00:00:00 +0000

Nella nuova versione dell’installer di RubyGems è presente un check di sicurezza sul certificato SSL del sito da cui si scaricano le gem che si stanno per installare. Questo può comportare un errore durante l’installazione di una qualsiasi gem:

HTTPS e le applicazioni di terze parti: attenzione!

Sat, 01 Dec 2012 00:00:00 +0000

“È sufficiente usare HTTPS per essere sicuri: protegge la comunicazione cifrando il traffico e usando certificati validati da CA riconosciute”.

SBAGLIATO. Spesso si sente pronunciare questa frase, ma non è del tutto vero: ho recentemente letto con molta attenzione un paper presentato alla conferenza CCS 2012, una conferenza dedicata alla Computer Security. Il paper ha un titolo curioso: “The Most Dangerous Code in the World: Validating SSL Certiﬁcates in Non-Browser Software”.

Wordpress plugin: Chap Secure Login

Wed, 08 Aug 2012 00:00:00 +0000

Ho recentemente installato Chap Secure Login, un plugin molto utile per Wordpress che risolve un problema da non sottovalutare: l’autenticazione su un canale non cifrato quale HTTP (è buona norma usare HTTPS quando si effettua uno scambio di informazioni riservate, quali password, numeri di carta di credito, etc. per evitare che eventuali eavesdropper possano carpire le informazioni scambiate ed utilizzarle a vostro svantaggio).

Twitter via HTTPS: da abilitare!

Tue, 22 Mar 2011 00:00:00 +0000

Dopo aver fatto la segnalazione per quanto riguarda Facebook, segnalo che anche Twitter ha aggiunto un’opzione per usufruire del servizio via HTTPS: è sufficiente visualizzare i settings e poi selezionare l’opzione HTTPS. Ovviamente io consiglio di abilitare l’opzione per i “soliti” motivi di sicurezza e privacy.

Facebook e la navigazione HTTPS da abilitare

Sun, 06 Mar 2011 00:00:00 +0000

Mi sono accorto che Facebook offre un’opzione molto utile e assolutamente da abilitare. Infatti, sotto Account > Impostazioni Account > Protezione dell’Account troviamo un’opzione per abilitare la navigazione HTTPS quando possibile.

Apache: come nascondere il banner contenente la versione, il packaging, etc. [ServerTokens]

Mon, 25 Jan 2010 00:00:00 +0000

Ispirato dalla filosofia “security by obscurity” [sicurezza tramite segretezza], ho sempre avuto l’abitudine di limitare le informazioni rivelate dai server Apache che amministro. Solitamente (= di default), Apache rivela le seguenti informazioni:

Ubuntu: Apache2 con certificati self-signed e senza password all’avvio

Wed, 16 Dec 2009 00:00:00 +0000

Recentemente mi è capitato di dover installare apache [in particolare, apache2] su una macchina Ubuntu. In particolare, mi è stato chiesto di installare la versione con ssl, ovvero che implementa il protocollo cifrato https.

Come impostare ssh in modo che non richieda la password di accesso (chiavi asimmetriche per il login)

Tue, 24 Nov 2009 00:00:00 +0000

Alcuni client ssh permettono di definire “sessioni salvate” di connessioni in modo che username e password vengano salvati e non vengano richiesti ad ogni connessione verso un host. Trovo che permettere all’utente di poter salvare la password sia profondamente sbagliato dal punto di vista della security, soprattutto se l’utente ha privilegi non indifferenti sulla macchina remota [ad esempio è nei sudoers].

Ubuntu e Debian: come aggiornare automaticamente i pacchetti installati (unattended-upgrades)

Wed, 07 Oct 2009 00:00:00 +0000

Nella vita di un sistemista esiste un task piuttosto ripetitivo: ovvero quello di aggiornare i pacchetti (= gli applicativi) installati sul proprio sistema (vuoi perché le versioni recenti dello stesso software dovrebbero essere migliori, più performanti e al riparo dagli ultimi bug di security, etc.).

Ecco perché anche gli utenti di OSX hanno bisogno di un antivirus

Wed, 08 Apr 2009 00:00:00 +0000

Di solito gli utenti Mac non installano un antivirus perché si crede che il sistema operativo OSX sia esente da virus. Infatti, la giustificazione è quella per cui “su OSX non esistono virus [vedi sito Apple], e se esistessero chiedono comunque la password di sudo/root prima di installarsi; basta non fornire la password a programmi sconosciuti!”.

Scandoo: un modo per scoprire se il proprio sito ha dei link a pagine sospette o infette

Mon, 19 Jan 2009 00:00:00 +0000

Potrebbe accadere che qualche malintenzionato abbia modificato le pagine del vostro sito/blog per inserire alcuni link nascosti a pagine sospette o a pagine che contengono del malware. In questi casi i motori di ricerca penalizzano fortemente la vostra pagina web, sia per problemi di posizionamento (le pagine sospette non sono mai ben viste, anche se si tratta solo di un link) sia per problemi di security per i visitatori (un motore di ricerca che consiglia pagina contenenti del malware non è affidabile).

Kevin Mitnick: l'arte dell'inganno e l'arte dell'intrusione

Fri, 11 Jul 2008 00:00:00 +0000

Sono sempre stato incuriosito da un personaggio quale Kevin Mitnick, per il movimento Free Kevin e per le sue idee.

Ormai due anni or sono, ho letto il primo libro di Mitnick: l’arte dell’inganno (the art of deception). Il libro tratta il tema del social engineering: il tema è interessante, e rivela quanto spesso le persone sono inclini a fornire informazioni sensibili a persone sconosciute (o che forniscono credenziali convincenti). Tuttavia in alcuni punti la lettura è noiosa (ci sono trascrizioni di dialoghi e il dettaglio tecnico è molto basso). In definitiva, leggetelo se vi interessa sapere di più sulle tecniche di social engineering che vengono usate, e come difendersi.

Rootkit: cosa sono, perché si usano e come funzionano

Fri, 13 Jun 2008 00:00:00 +0000

Per il corso di Sicurezza dei Sistemi Informatici, ho realizzato una presentazione che spiega cosa sono i rootkit (in ambito UNIX e GNU/Linux) e come funzionano.

La presentazione tratta:

Che cos’è un rootkit
A cosa serve
Come funzionano
Tipi di rootkit
Come difendersi dai rootkit
Cosa fare se si è infetti

Rootkit: cosa sono, perché si usano e come funzionano

Come generare password sicure e come memorizzarle crittografate per consultarle da qualunque PC

Sun, 19 Aug 2007 00:00:00 +0000

Avete bisogno di generare una password sicura ma non avete un metodo? Vi ricordo che utilizzare la stessa password per account e servizi diversi è considerato insicuro (se la password viene compromessa, tutti i vostri servizi saranno compromessi).

Windows Vista è più sicuro di Windows XP?

Wed, 27 Jun 2007 00:00:00 +0000

Windows Vista è più sicuro di Windows XP?

Oggi stavo leggendo il blog di Feliciano Intini, che riporta un link ad un report stilato da Jeff Jones.

Il report riguarda un’analisi dei primi 6 mesi di vita di Windows Vista. In particolare, su questo report troviamo un grafico molto interessante (vedi il post di Feliciano qui).

Come controllare se il software installato sul proprio computer è sicuro?

Tue, 19 Jun 2007 00:00:00 +0000

La società di sicurezza Secunia ci mette a disposizione un ottimo tool, basato su Java, per controllare i programmi installati sul proprio computer. Il controllo ci fornirà un profilo di tutti i programmi installati, consigliandoci di aggiornare (e anche indicando come) i programmi che hanno (o hanno avuto) problemi di sicurezza.