Categories
tecnologia

Vulnerabilità per Dreamhost

Pare che oltre 3500 account siano stati compromessi (fortunatamente non i miei) su Dreamhost, dal comunicato ufficiale (che potete leggere qui) alcuni cracker hanno modificato i dati del 20% dei 3500 account ftp violati inserendo pubblicità, occultata tramite css, all’interno di index.php e index.html dei vari siti. Da notare che questo numero rappresenta solo lo 0.15% della totalità degli account del colosso dell’hosting.

Il consiglio spassionato è quindi quello di accedere al vostro pannello e cambiare immediatamente la password ftp dei vostri utenti.

ciuaz

Categories
lifehack

GTF, il ritorno.

Era da qualche anno che non esercitavo la professione di insegnante e domani riprenderò alla grande. Il corso, ahimè di sole 24 ore (gioco di parole non voluto), sarà incentrato sulla “sicurezza delle applicazioni (web e non solo)” ed avrà qualche excursus anche sull’cosiddetto hacking (ho predisposto, sotto consiglio di Antonio, una sessione di kismet) e sull’ingegneria sociale, tirare fuori softice e rispolverare quel poco di assembly che mi ricordo mi sembrava esagerato…

Nel weekend per ripassare gli argomenti (per non fare troppe brutte figure) ho addirittura rispolverato il libro rosso e gli appunti di reti dell’università.

Soprattutto rileggendo questi ultimi mi sono meravigliato di quanto in pochi anni sia cambiato radicalmente il mio interesse verso questo genere di argomenti passando dalla programmazione pura ed alle reti dei primi anni di università, al webdev degli ultimi anni per arrivare al fancaz… allo studio delle applicazioni sociali sia dal punto di vista informatico che culturale.. ehm…

ciuaz

Categories
di tutto un po'

Radio intervista su HTTP

Tony mi ha intervistato lo scorso sabato per la trasmissione radiofonica HTTP.

L’intervista tratta, prendendo moooooolto alla larga e fuffosamente per venire incontro alle esigenze di pubblico della trasmissione stessa, della sicurezza delle applicazioni del web 2.0, inoltre si fa qualche accenno a BlogBabel ed a come funziona.

Spero di non aver detto troppe cavolate, nel caso chiedo venia anticipatamente.

[audio:http://www.fullo.net/media/Intervista-10-03-2007-Fullone.mp3]

ps
per i più attenti il mio intervento sullo sviluppo di applicazioni sicure è stato fatto (+/-) al BarCamp di Torino e non a quello di Roma. Ma mi sono accorto del refuso solo a registrazione fatta.. vabbè.. tanto io c’ero a Roma.. con Twitter..

ciuaz

Categories
php

PHP 5.2.1 e Month of Bugs

E’ stata rilasciata ieri la versione 5.2.1 di PHP, la versione corregge molti bug di sicurezza ed è decisamente importante aggiornarla. A breve arriverà anche la release 4.4.5 che correggerà gli stessi (ed altri) problemi.

Sempre riguardo la correzione di bachi di sicurezza Stefan Esser farà partire dal primo di marzo il mese dei bugs durante il quale porterà alla luce alcuni bugs non ancora risolti dall’attuale security team di PHP. Probabilmente, quindi, vedremo una nuova release dell’interprete a fine aprile.

ciuaz

Categories
php

PHP e sicurezza

Ultimamente vuoi per viaggi e vuoi per lavoro ho tralasciato uno degli argomenti principali del mio blog il PHP. Me ne scuso con i miei lettori facendo un piccolo resoconto su quello che è successo negli ultimi mesi in ambito sicurezza.

Categories
di tutto un po' eventi

BarCampTurin, le mie slide.

Ho messo su SlideShare le slide di due degli interventi ai quali perteciperò.

Il primo è un talk di gruppo nato dallo skypecast fatto ad ottobre sull’analisi dei log dei siti. Parlerò mooooooolto brevemente, e se ce ne sarà il tempo, di AwStats.

Il secondo invece è lo stesso che ho portato al security day e tratta dell’hardening delle form per l’invio di email con php.

Parteciperò inoltre ad un talk relativo alla Top100 durante il quale il team degli editors ne dirà delle belle.. non mancate! ;)

[nel seguito del post trovate le slide]

Categories
eventi sysadmin

Cose interessanti da fare a Milano il mercoledì sera…

Se vi interessa chiaccherare amichevolmente di pentest e sicurezza in tutte le salse quasi tutti i mercoledì sera a Milano si svolge il M1S3C, che a parte il nome molto 3l337 h4x0r, sembra un qualcosa di interessante.

Peccato che dalle miei parti non ci sia mai nulla del genere… :(

ciauz

Categories
eventi php SdI tecnologia

SecurityDay e LinuxDay, missione compiuta.

Security day a cesena Finalmente sono finite le due giornate dedicate ai talk sulla sicurezza e l’opensource tenutesi a Cesena.

Come ogni hanno l’affluenza dall’esterno è stata positiva, meno positiva quella degli studenti di scienze dell’informazione che, a parte rare eccezioni, hanno preferito continuare a giocare al biliardo di yahoo! in laboratorio. Le considerazioni dello scorso anno sono ancora più che valide. Che tristezza… :(

Ah già, per i più curiosi allego al post le mie (famose) slide… ;)

Categories
di tutto un po'

Hackin9

Ho finalmente finito di leggere lo scorso numero di Hackin9 gentilmente regalatomi dall’editore polacco. Devo ammettere che non conoscevo la rivista e che quando l’ho vista in edicola ho subito pensato all’ennesima cacchiata ricca di tutorial strampalati sui buffer overflow per il c64 o su come bucare improbabili protocolli talmente sperimentali da non essere usati pressochè da nessuno.

Invece si è rivelata una piacevole sorpresa, la linea editoriale è la stessa di PHP Solutions che già compro dal primo numero e che già apprezzo, gli articoli sono abbastanza approfonditi e spiegano con parole chiare concetti spesso complicati (un buon lavoro di traduzione non c’è che dire).

Pecca grossa, che è presente cmq anche in PHP Solutions, è che le immagini, le tabelle ed i grafici non sono mai nella pagina dove vengono citati, obbligando il lettore a sfogliare una (o addirittura 2 pagine!).

Resta comunque un’ottima rivista soprattutto paragonate a quelle ultimamente presenti nelle edicole italiane sempre meno tecniche e più dedicate alla massa.

ciuaz

Categories
pensieri php

Intervista sulla programmazione sicura in php

Sono stato intervistato da ISACA a riguardo del talk tenuto durante il Security Day di Cesena. Il testo integrale lo trovate qui.

ciuaz