La sicurezza è un punto fondamentale se si vuole realizzare un software da distribuire su larga scala, in particolare poi se si tratta di un browser Web. Durante la navigazione, infatti, sono migliaia le possibili insidie che potrebbero celarsi dietro un sito o un file apparentemente innocuo, che poi si rivela una possibile minaccia.

Per questo motivo gli sviluppatori Mozilla hanno da sempre tenuto molto a rendere il proprio browser il più sicuro possibile. Un contributo importante è dato anche dagli altri sviluppatori: sono molti infatti i plugin disponibili nella sezione Security di Mozilla Addons non realizzati dal team Mozilla. Vediamo quali sono i più interessanti e utili.

Continua »

Mentre parzialmente rientra l’allarme su un’applicazione troppo impicciona, da Lookout Mobile Security arriva l’allarme sulle vulnerabilità di Android e sulla facilità con cui un applicazione non autorizzata potrebbe usare delle falle nel kernel Linux per ottenere i privilegi di root.

A mettere tutte le carte in tavola, la colpa è solo fino a un certo punto attribuibile al kernel Linux (non possiamo chiamarlo veramente così, ma va bene lo stesso), visto che vulnerabilità come la CVE-2009 1185 sono state individuate e “curate” già da tempo nel kernel “originale” mentre sono ancora presenti nel kernel montato su Android.

Continua »

A sei mesi dalla precedente versione, è stato rilasciato TrueCrypt 7.0, il più noto software open source e multipiattaforma usato per la cifratura trasparente, al volo, di interi device (hard disk, memorie flash USB), partizioni o device virtuali (file) o per la creazione di volumi e sistemi operativi nascosti.

Dal changelog del progetto possiamo notare che, come modifica principale, la presente release propone l’accelerazione hardware per la cifratura e decifratura AES, utilizzando le apposite istruzioni che il processore (Intel Core i5 / i7) mette a disposizione; tale peculiarità può portare a velocità di calcolo fino a otto volte superiori (secondo test di H Online), che più che altro hanno lo scopo di alleggerire il carico sul sistema, dacché nessun hard disk ha pari velocità.

Continua »

Se alla domanda di quale sia la distribuzione Linux più sicura sapete dare risposte certe, bene, sappiate che si è appena affacciato al novero delle distribuzioni Linux un nuovo progetto che promette di… non farvi assolutamente cambiare idea.

Damn Vulnerable Linux è una distribuzione creata da un professore universitario tedesco col ben preciso obiettivo di essere la distribuzione più facilmente exploitabile della storia, ovvero quella con più bug di sicurezza e peggio configurata possibile, tale da permettere contro di essa le più svariate tecniche di cracking, dal buffer overflow al SQL injection delle applicazioni installate.

Continua »

Non di solo Windows si nutrono i malware e, seppure assai di rado, arrivano notizie di trojan che insidiano Linux. È questo il caso di una backdoor presente nel server IRC UnrealIRCd all’insaputa degli stessi sviluppatori.

La copia online dei sorgenti della versione 3.2.8.1 è stata infatti sostituita parecchi mesi addietro, nel novembre dell’anno scorso, con una modificata ad hoc per installare un trojan, che apriva una backdoor, permettendo di eseguire istruzioni malevole dall’esterno con gli stessi privilegi del server IRC.

Seppure non ci siano cifre ufficiali, si pensa che siano parecchie migliaia i server affetti da questo problema. Rispetto ai casi di malware che affliggono Windows, il caso di cui stiamo parlando nasce da una serie di concause, non ultima la “presunzione” che Linux sia sicuro a prescindere da ogni controllo possibile.

Continua »

Niente più computer con Windows per i dipendenti di Google. Questa la decisione presa dai vertici di Mountain View dopo aver subito un duro attacco da parte di cracker cinesi lo scorso gennaio. I sistemi di Redmond si sono dimostrati sul campo una scelta decisamente troppo insicura per proseguire.

Tutti i nuovi dipendenti dovranno scegliere tra due alternative per i computer desktop usati al lavoro: Mac o Linux. La nuova policy di sicurezza non sarà estesa invece ai notebook dei dipendenti, che potranno continuare ad avere come sistema Windows.

Continua »

La ricercatrice di sicurezza Joanna Rutkowska, conosciuta per i suoi lavori nell’ambito della virtualizzazione, ha reso disponibile il prototipo di un nuovo sistema operativo “sicuro by design”, Qubes OS.

Combinando le potenzialità di Linux, del server grafico X e dell’hypervisor Xen, la Rutkowska ha creato un sistema operativo che implementa il paradigma “Security by Isolation“: in pratica ogni applicativo viene lanciato in un’istanza virtuale, separata dal sistema host.

Continua »

Dopo il Web, Firefox si appresta a rivoluzionare le nostre abitudini in fatto di login. I laboratori di Mozilla hanno infatti presentato un nuovo concetto di account manager che nelle intenzioni dovrebbe aiutare l’utente a tenere traccia delle sue identità online e a effettuare più comodamente login e logout.

L’esperimento è composto di due parti:

• una specifica generica che permetta ai browser di individuare sito per sito se l’utente ha effettuato il login e come questo avviene;
• un’estensione per Firefox che implementi la specifica e fornisca all’utente un’interfaccia unificata per gestire i login su tutti i siti.

Continua »

Gli sviluppatori Debian sono di nuovo inciampati in un problema di sicurezza insorto a causa delle modifiche da loro apportate ad un pacchetto: dopo OpenSSL questa volta è toccato a Suhosin, la nota versione hardened di PHP.

Come la precedente volta, anche in questo caso all’origine del bug c’è un problema di comunicazione: gli sviluppatori avevano infatti individuato un’incompatibilità tra Suhosin e alcune architetture hardware, proponendo una patch a Stefan Esser (leader del progetto).

Continua »

AppArmor è uno di quei progetti dalla storia quantomeno bizzarra: sviluppato inizialmente da una società acquisita in seguito da Novell (Immunix), è stato tra i primi progetti a esser tagliati come conseguenza della crisi economica di quest’ultima.

A differenza del suo omologo più popolare SELinux, AppArmor non è incluso di default in Linux ma, proprio in questi giorni, uno sviluppatore finanziato da Canonical ha proposto una serie di patch che potrebbero aprirgli le porte del kernel.

Continua »