Re: [ml] base64 password
On 25/10/2017 23:16, Marco Peretti wrote: > un sito utilizzato da diverse (centinaia?) di migliaia automobilisti > invia la password (base64) ad ogni richiesta, come parte dell'url. > Questo significa che nei log del server web ci sono le password di > tutti gli utenti, alla faccia della sicurezza e, a breve, GDPR. > > Ho provato ad informarli ma non c'è modo di contattare i sistemisti. > Mi piace che per un problema applicativo vuoi parlare con i "sistemisti". D'altro canto è sempre colpa del sistemista, no? :) Ciao neh, Davide http://www.sikurezza.org - Italian Security Mailing List
[ml] pfBlockerNG
Buongiorno, Sto "giocando" con pfBlockerNG e mi chiedevo se qualcuno avesse dei consigli su quali feed usare e quali non. Grazie e buon lavoro, Davide http://www.sikurezza.org - Italian Security Mailing List
[ml] Spamhaus e RBL
Mi rendo conto che sebbene la differenza tra spam e mailware by mail sia sempre più sottile questa questione non riguarda strettamente la sicurezza. Se la memoria mi serve correttamente mi pare che sulla lista argomenti similari fossero già stati tratti. If that wasn't the case I'm ready to kick my own ass. :) Ciò detto: Ultimamente, un paio di settimane, abbiamo notato un considerevole aumento dello spam, in italiano, passare i nostri filtri antispam. Ho subito pensato si trattasse di un problema con i filtri bayesian di SpamAssassin, in realtà invece sembrerebbe che Spamhaus stia bloccando molto meno di quanto facesse anche solo due settimane fa: # bzgrep -c spamhaus /var/log/maillog.12.bz2 2503 # bzgrep -c spamhaus /var/log/maillog.0.bz2 321 Ho aggiunto Barracuda al mix e sto facendo imparare il "nuovo" spam a SA. Sebbene i risultati siano incoraggianti mi chiedevo se ci fossero altri RBL che possono essere utilizzati considerando che i falsi positivi sono meno desiderati dello spam stesso. Ciao, Davide http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Certificati Self Signed
On 08/01/2015 16:08, krav...@inwind.it wrote: La connessione che ci connette al fornitore è una MPLS criptata protetta dai firewall nostri e del fornitore in questione. Avreste qualche altra idea per contenere il rischio di un attacco Man in the middle? Noi in situazione simile utilizziamo la nostra CA interna passando il certificato della medesima al cliente che poi se lo installa tra quelli fidati. Se non ho capito male nel vostro caso voi sarete client e quindi non dovrete fare altro che rilasciare i certificati per i server in questione fondandovi poi di voi stessi. :) Più pulito e scalabile del fidarti di certificati auto-firmati. My 2 cents. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] SSID multipli senza VLAN
On Oct 23, 2014 10:54 AM, Piero Cavina p.cav...@gmail.com wrote: No, direi che non ha proprio senso Io usava questa 'feature' per aver un SSID locale e uno roaming. Mi rendo conto sia una esigenza piuttosto particolare ma pur sempre un possibile utilizzo.
Re: [ml] sicurezza powerline
On 10/07/2014 15:24, jack tiger wrote: ciao, rieccomi ;-P volevo sistemare la mia LAN personale. Pensavo di usare i powerline. Ho un po' di dati sensibili Qual'è la sicurezza che non possono essere rilevati dagli appartamenti adiacenti? Lo standard HomePlug AV prevede criptazione AES a 128-bit. http://www.homeplug.org/tech-resources/faq-industry/#avsecurity Aggiungo, a livello chicchera da bar, perché non ho approfondito che: Ho letto da qualche parte che da specifiche gli apparati dovrebbero essere configurati come default con una password comune a tutti con lo scopo di renderne semplice e immediato l'utilizzo. I device vanno quindi (ri)accoppiati di modo che venga usata una password generata casualmente. (Si parlava di password e non di chiave ma sospetto si tratti della chiave. Ho il sospetto si tratti di un protocollo estremamente semplice.) My 2 cents. http://www.sikurezza.org - Italian Security Mailing List
[ml] WAP-AES
Probabilmente se ne è già parlato, ma vedo che gli archivi della lista sono off-line, quindi mi perdonerete se è un doppione, e in ogni caso i moderatori possono segare il messaggio. Causa acquisto, incauto? :), di una stampante multifunzione che non supporta WPA2 ma solo WPA sto tentando di farmi una cultura su quest'ultimo. C'è un punto però che nonostante le numerose ricerche non sono riuscito ancora a chiarire. WPA-AES: Da quello che mi pare di capire TKIP è un protocollo che usa RC4 come standard di criptazione che grazie a aggiornamenti successivi, fuori standard, quindi non obbligatoriamente presenti in tutte le implementazioni, supporta anche AES. Quando quindi si vede la sigla WAP-AES non significa che WAP si stia comportando come WAP2 e stia usando CCMP ma sta usando TKIP con algoritmo di criptazione AES al posto di RC4. A questo punto il mio dubbio è: WPA-AES è comunque vulnerabile all'attacco Beck-Tews? A logica io evinco che si, ma attendo lumi. Ciao, Davide http://www.sikurezza.org - Italian Security Mailing List
[ml] adobes.us
Volevo segnalare questo scam che in due giorni mi è capitato di incrociare già due volte. http://*[adobes.us]*/download/Player/IT/auload.html?installer=Flash_Video_Player_for_Other_Browsersbrowser_type=KHTMLdualoffer=false L'ultima volta stavo visitando questa pagina http://www.scified.com/site/godzillamovies/godzilla-2014-italian-wallpaper-discovered La mia ipotesi è che arrivi da qualche banner pubblicitario, ma non ho indagato. La cosa simpatica è che usando Linux ti redirige su playdune, un sito di streaming, mentre con Windows tenta di farti scaricare l'eseguibile dell'ultimo fiammane flashpalyer. LOL. Non ho scaricato il file per vedere cosa realmente è. Sarebbe interessante se qualcuno più esperto di me in queste cose lo facesse. Stando al database whois il domino appartiene a cinesi e il server è in Russia. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Re: Digest di ml, Volume 120, Numero 14
Gabrielli Emiliano wrote: 2013-12-03 C'? scritto per? che quella ? la data di allocazione del record e che potrebbe non aver nulla a che vedere con la data di discovery .. per quello che tale affermazione possa voler dire https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0161 Anche i record, vuoti, successivi sono stati creati in quella data. http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Re: Digest di ml, Volume 120, Numero 14
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Fabio Natalucci wrote: Vorrei rettificare, la vulnerabilità era conosciuta da molto tempo prima del 21 Marzo 2014. Qualcuno ci ha giocato per diverso tempo. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160 Ma ti riferisci a questa data: 20131203? Perché è chiaramente scritto: paste Disclaimer: The entry creation date may reflect when the CVE-ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE. /paste Chiedo perché non capisco a cosa ti riferisci. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (MingW32) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iEYEARECAAYFAlNP19EACgkQYqpk3E5VqXHJQACfbSmGEgK/2CBZI7mFBBFOEb8N TFoAn02fUP/MCYLX29jbAOzInYB4DFp9 =9KZ1 -END PGP SIGNATURE- http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] bug openssl orrendo... (CVE-2014-0160)
Igor Falcomata' wrote: Btw, rispondendo nel merito, ora sto in treno e mi fa fati..ehm..non riesco a controllare al volo, ma mi sembrava che su FD o su android-security si parlasse di una ben specifica versione di android vulnerabile, e sostanzialmente solo quella (4.1.x?) https://community.openvpn.net/openvpn/wiki/heartbleed paste Android shipped OpenSSL 1.0.1 as of 4.1, but disable heartbeats since 4.1.2. That means only Android 4.1(.0) and 4.1.1 are vulnerable. /paste http://www.sikurezza.org - Italian Security Mailing List
Re: [ml] Spamassassin e BL
Per cominciare grazie a tutti per i consigli, alcuni dei quali ho gia' messo in pratica. Dario Cavallaro wrote: confermo e sottoscrivo che un sistema antispam che abbia il 100% di catch rate e lo 0% di falsi positivi non esiste. Un'altro sistema, che di solito d?? risultati decenti, ?? il grey listing. Chiaro, ma come filosofia personale proferisco far passare dello spam piuttosto che fermare qualche mail legittima [in piu']. 2) Grey list Non mi piace per nulla, la trovo un'aberrazione. E' veramente utile? Saluti, Davide Davini http://www.sikurezza.org - Italian Security Mailing List
[ml] Spamassassin e BL
Ultimamente sto notando un serio aumento del numero di email di spam che riesco a passare i filtri dei nostri server. Abbiamo sempre usato SA + zen.spamhaus.com e abbiamo vissuto felici sino ad ora. Sembrerebbe non essere piu' abbastanza pero'. Mi piacerebbe conoscere altre esperienze in merito. In particolare di quali BL list fidarsi, tenendo presente che preferisco ricevere una mail di spam in piu' piuttosto che rifiutare la mail legittima di un cliente. Saluti, Davide Davini http://www.sikurezza.org - Italian Security Mailing List
[ml] INOG
Siccome ho letto per la prima volta di NANOG su questa lista mi permetto di fare questa domanda sciocca. Non esiste qualcosa di simile per l'Internet Italiana, vero? Thanks. http://www.sikurezza.org - Italian Security Mailing List