È stata rilasciata ieri, in serata, la prima release candidate per KDE 4.8. Tra le novità proposte spicca KSecretService, un nuovo servizio in background per la memorizzazione delle password e soprattutto per migliorarne la condivisione con le applicazioni esterne a Plasma e KDE. Un cruccio tipico del desktop environment e KWallet.
Un aspetto destabilizzante venendo da ambienti diversi – ad esempio, da GNOME – è proprio l’onnipresenza della finestra di KWallet: il “portachiavi” di KDE per il salvataggio delle password. Alla prima parola–chiave da salvare è richiesto l’inserimento d’una password per sbloccare KWallet. Una soluzione tanto sicura, quanto scomoda.
Non sono stati proposti molti dettagli sulla presenza di KSecretService su KDE 4.8 RC 1. Tuttavia, il mio auspicio è che utilizzi una soluzione più simile a quella di GNOME Keyring: il “portachiavi” di GNOME non richiede la password per accedere a quelle salvate. Chi vuole proteggerle con questo metodo può farlo a titolo opzionale.
Continua a leggere: KDE 4.8 inaugura KSecretService per la memorizzazione delle password
Zeus è un trojan apparso per la prima volta nel 2007: soltanto da un paio d’anni, però, è stato riconosciuto come «il re dei toolkit» per la realizzazione di malware. Una differenza sostanziale, rispetto al passato, è la disponibilità del codice sorgente. Un aspetto ambivalente che aiuta la creazione di “antidoti” come di derivati.
Siamo abituati a considerare l’open source una risorsa positiva quale di fatto è. Tuttavia, il concetto può essere applicato a qualunque cosa — riprendendo così le recenti dichiarazioni di Matt Mullenweg. Non è obbligatorio fare del bene. Zeus è l’esempio di come la libera circolazione dei sorgenti possa beneficiare anche i malware.
Quello dei virus è un mercato fiorente, più di quello del software: normalmente, chi produce un malware ne difende la proprietà intellettuale al pari delle aziende che distribuiscono applicazioni commerciali. Con la diffusione del modello di business dell’open source, persino chi genera dei trojan a scopo di lucro si sta adattando.
Via | Ars Technica
Stephen Zarkos, un dipendente di Microsoft, ha rilasciato una patch per l’autenticazione con NT LAN Manager (NTLM) via Samba sotto licenza GPLv2 o successiva. È la prima volta che la multinazionale contribuisce allo sviluppo del progetto: una svolta ritenuta impossibile, fino a qualche anno fa. Il primo commit risale al 10 ottobre.
Il bug risolto dalla patch affligge sia Samba, sia Firefox. Microsoft ha messo a disposizione di entrambi l’autore del fix: è Guillermo Vicario e lavora in Yahoo. Perché la patch potesse essere accettata da Samba, Microsoft ha registrato il copyright a nome di Zarkos anziché dell’azienda. Le società non potevano contribuire a Samba.
La novità ha suggerito ai responsabili del progetto una modifica alla politica d’accettazione per le contribuzioni. Il giorno seguente, Samba ha pubblicato un aggiornamento che renderà possibile l’invio di codice da parte delle imprese. L’interoperabilità tra le reti Windows e non ha un futuro promettente. Anche grazie a Microsoft.
Via | Samba
The Linux Foundation, Canonical e Red Hat hanno raccolto l’appello di The Free Software Foundation (FSF), riguardo alle linee guida da suggerire ai produttori per l’implementazione del Secure Boot di UEFI. Le posizioni espresse sono condivise e ricalcano grossomodo le dichiarazioni già pubblicate da FSF. La risposta tocca agli OEM.
Le opzioni rimangono due: offrire la possibilità di disabilitare la funzione dal BIOS oppure lasciare che gli utenti possano gestire le Platform Key (PK) da associare al Secure Boot. Oltre agli Original Equipment Manufacturer (OEM), gli utenti dovrebbero accedere a una «modalità di ripristino» per rimuovere e/o aggiungere le chiavi.
Microsoft non ha dovuto aggiungere nulla alle prime dichiarazioni sulla responsabilità di UEFI, né peraltro è stata chiamata in causa dalle petizioni che riguardano il Secure Boot. Per dovere di cronaca, l’unico dispositivo che attualmente prevede questa funzione è un prototipo di Samsung con Windows 8 e permette la disattivazione.
Via | Ars Technica
Tor, il popolare servizio per l’anonimato in rete, è accusato di non funzionare a dovere. OpDarknet, un’operazione di Anonymous contro la pedo–pornografia digitale, avrebbe compromesso il servizio e identificato oltre millecinquecento utenti di un network privato. Gli sviluppatori di Tor sono intervenuti per rassicurare gli utenti.
Non si parla, ovviamente, di tutelare i pedofili: Tor è stato utilizzato da costoro contro i princìpi della comunità. Tuttavia, non sarebbe avvenuta alcuna compromissione del codice di Tor. Le statistiche di Anonymous rivendicano l’identificazione di 6.000 indirizzi IP riconducibili a dei relay e Tor ne equipaggia tutt’al più 3.500.
È molto difficile attribuire delle responsabilità a Tor, soprattutto perché il tipo d’attacco perpetrato da Anonymous sfrutta delle vulnerabilità associabili ai sistemi operativi. Tornando alle cifre, è impossibile che sia stata mappata la rete di Tor perché esistono 600 bridge e ne sarebbero stati identificati 181. La rete è sana.
Via | Tor
L’intervento di The Free Software Foundation (FSF) sulla possibile esclusione di Linux e d’altri sistemi operativi, diversi da Windows 8, con l’introduzione del Secure Boot di UEFI è probabilmente la più lucida emersa fino ad ora. Con un appello ai produttori FSF distingue tra Secure Boot e “restricted boot”, centrando il problema.
Anziché assecondare scomposte invettive rivolte a Microsoft, FSF ha analizzato la situazione, individuando l’elemento discriminante per l’installazione di Linux: la petizione rivolta ai produttori non accusa Windows 8. Quanto i produttori dovrebbero garantire è la possibilità d’utilizzo del Secure Boot da parte di qualunque sistema.
Matthew Garrett di Red Hat ha approfondito la propria disamina del Secure Boot, applaudendo l’articolo di FSF. L’ostacolo ha più di una soluzione: è fondamentale l’approccio dei produttori perché disabilitare il Secure Boot non è l’unica via per procedere all’installazione di Linux. Basterebbe inserire ulteriori chiavi di cifratura.
Un attacco informatico perpetrato da sconosciuti ha violato la sicurezza di oltre 3,8 milioni di portali su osCommerce 2.2.0, una popolare piattaforma open source per realizzare siti di e-commerce. L’esposizione dei dati è stata possibile a causa di una vulnerabilità del sistema, già risolta dagli sviluppatori in questi ultimi mesi.
Se si devono assegnare delle responsabilità, insomma, queste sono a carico di chi non ha più aggiornato osCommerce dal novembre del 2010. L’attacco in sé ha utilizzato degli exploit di diverse tipologie, in tutto cinque: Google può essere d’aiuto a identificare i portali compromessi ricercando willysy.com nei sorgenti delle pagine.
Il codice infetto era inizialmente un iframe dopodiché è stato utilizzato uno script. Dal 31 luglio a oggi le pagine modificate sembrerebbero essere passate addirittura a 4,5 milioni. L’attacco può sfruttare delle falle in Adobe Reader, Java, Internet Explorer e Windows Help Center. I domini da cui è partito sono stati sequestrati.
Via | The H Online
Anche se nel momento in cui scrivo non è ancora stata pubblicata la versione italiana dell’aggiornamento, è possibile che venga rilasciata a breve oppure che lo sia appena stata: in ogni caso WordPress 2.9.2 non richiede modifiche alla traduzione già prevista dalla release precedente.
L’update in inglese è già installabile in automatico dalla dashboard di WordPress — tenendo sempre ben presenti gli step del caso per il backup di file e database. L’aggiornamento della piattaforma – che è sempre cosa buona e giusta – è fortemente consigliato a chi nelle opzioni avesse scelto di consentire la registrazione di un account a chiunque.
WordPress 2.9.2 è infatti sostanzialmente un aggiornamento di sicurezza che dovrebbe chiudere un pericoloso bug che consentiva agli utenti registrati l’accesso al cestino contenente interventi e commenti rimossi in via non definitiva a prescindere dai permessi: ciò significa che potenzialmente qualunque iscritto potrebbe riesumarli dal trash.
Uno degli aspetti di cui si parla sempre troppo poco rispetto allo sviluppo per internet riguarda la navigazione in sicurezza per i bambini: tempo fa avevo pubblicato su Downloadblog.it un articolo riguardante Kido’z — un browser dedicato all’infazia con funzionalità da social network. Questo tema è ancora più importante quando si tratta di concepire un device espressamente rivolto all’educazione dei minori.
Responsabilmente gli sviluppatori del software alla base di OLPC si sono posti il problema di rendere sicuro l’utilizzo del laptop in locale e sul web, realizzando una bozza sui principi-guida da seguire e predisponendo una serie di accorgimenti volti a neutralizzare questo tipo di problematiche: il progetto in sé si chiama Bitfrost e analizza sin dalle sue basi persino la filosofia alla base dei permessi utente di UNIX.
Il documento redatto tra gli altri da Ivan Krstić – responsabile della realizzazione software di quanto stabilito – considera lucidamente i limiti dei sistemi di sicurezza attuali: per fare un esempio, si cita il fatto che un bambino di 5 anni potrebbe trovarsi in difficoltà a utilizzare una password. Bitfrost è un sistema complesso, perché tocca aspetti che vanno dalla crittografia al recupero dei dati — dovendo comunque consentire un accesso completo agli educatori.
Via | OLPC News
Il progetto Security e-Book è il primo portale open dedicato alle architetture di sicurezza, interamente in lingua italiana.
Concepito nel 2008 da Giuseppe “Gippa” Paternò, ma venuto alla luce solo nei primi mesi del 2009 grazie anche all’aiuto di Gianluca Varisco, il progetto vuole colmare un vuoto nel mondo della sicurezza informatica, creando una pubblicazione innovativa sulle architetture di sicurezza e relativi esempi implementativi. Grazie all’adozione della stessa filosofia di Wikipedia, tutti i lettori potranno contribuire alla crescita del progetto, ampliando i contenuti delle pagine o scrivendone dei nuovi in base alla propria esperienza personale.
Il progetto non ha fini commerciali, ma puramente divulgativi e fatta su base di donazioni spontanee, secondo la licenza open Creative Commons. L’obiettivo è di consolidare la pubblicazione ogni uno o due anni e creare un libro in formato sia cartaceo che elettronico, cui proventi verranno donati in beneficenza. Il progetto è patrocinato da sikurezza.org, una comunità virtuale di persone che per passione e/o lavoro si interessano di problematiche di sicurezza informatica e della loro diffusione.
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
