In sintesi, leggendo le anticipazioni del report, mi pare di capire che il lavoro degli anonymous a qualcosa sia servito

Dopo la lunga serie di attacchi avvenuti nel 2011 ad organizzazioni di primaria grandezza,  che si ritenevamo sicure e attrezzate in fatto di difesa, in questo inizio anno l’Information Security è un tema ancor più caldo. Gli attacchi hanno portato ad una presa di coscienza sull’urgenza di prevedere meglio i rischi, le vulnerabilità ed i possibili danni connessi all’interruzione del business ed alla perdita di reputazione.

Nonostante tutto

Frenano invece gli investimenti in Information Security alcuni fattori, tra cui il costo che è indicato come principale ostacolo da circa un rispondente su due in tutte le industry  coinvolte nella survey, dal settore bancario alla pubblica amministrazione.

E non di meno

Seguono la difficoltà nel dimostrare la necessità dell’investimento in strumenti e azioni che garantiscano la sicurezza e la mancanza di una cultura aziendale che lo favorisca.

• Test configuration: E’ stato implementato un link per testare la configurazione;
• Block Query > 255 char: Il blocco delle query troppo lunghe (>255 caratteri) è diventata una opzione, disabilitata di default;
• User Agent Empty: Le query con User Agent vuoto sono state isolate dal resto degli attacchi via User Agent e dalle opzioni di notifica email. Anche questa opzione è disabilitata di default;
• Attack Message: Ora è possibile scegliere se mostrare mostrare all’attaccante il messaggio di alert ogni volta che viene individuata una query sospetta o non mostrare nulla (Blank Page). L’alert è impostato di default.

Ecco come appare la nuova pagina delle impostazioni.

Due file da 64 byte che differiscono di due offset (23 e 37) ma generano lo stesso hash md5.

Link: MD5 Block Collision di Marc Stevens. Qui il pdf, studio e analisi tecnico/matematica

La to-do list e le riflessioni di seguito riportate verranno aggiornate con i nuovi feedback e le soluzioni che mi verranno in mente o suggerite dagli utenti. Ultimo aggiornamento 30/01/2012 ore 22:45

1. Log dei tentativi di intrusioni, magari limitato agli ultimi 10/30 giorni
2. Pulsante test per verificare plugin e notifica email
3. Blocco di qualsiasi query di lunghezza superiore a 255 caratteri: rischio falsi positivi
4. Alert di notifica per l’attaccante come opzione
5. Descrizione dettagliata dell’attacco
6. Indirizzo email alternativo per notifica attacco

LOG: Non condivido il primo punto, quello dei log. Abilitando la funzione di notifica email è possibile tenere traccia degli attacchi in tempo (quasi) reale. Implementare un log vuol dire sporcare il database di wordpress, personalmente mi infastidisco quando lo fanno gli altri plugins.

PULSANTE TEST: Mi trovate completamente d’accordo.

BLOCCO QUERY > 255: Credo che una soluzione potrebbe essere quella di lasciare all’utente la scelta di abilitare o meno questa opzione.

ALERT NOTIFICA: Per evitare di fornire indizi, le alternative all’alert che viene mostrato all’attaccante potrebbero essere:

• Pagina bianca
• Errore 404
• Redirect in home page

Implicitamente viene comunque fornito un indizio

Ecco la preview di ciò che inizialmente è nato come IDS per monitorare gli attacchi ai miei blog e man mano cresciuto fino a prendere le sembianze di un IPS.

WP WAF è un plugin per WordPress (leggero e per nulla invasivo) il cui scopo è quello di bloccare ed eventualmente notificare alla propria casella di posta i dettagli dell’attacco alla piattaforma.

Di default la notifica email degli attacchi non è abilitata. Per attivare questa funzione basta accedere al pannello di configurazione dal menu Impostazioni -> WP WAF impostare l’indirizzo email sul quale si desidera ricevere segnalazione e selezionare le opzioni di notifica.

L’opzione di notifica email degli attacchi via “User Agent” è sconsigliato attivarla per via delle richieste massive dei bot con user agent vuoto alle pagine del vostro blog. Le funzioni di notifica non influiscono sul meccanismo di protezione, gli attacchi vengono comunque bloccati a patto che il plugin sia attivo.

Non ho ancora caricato il plugin sul repository ufficiale wordpress, per il momento l’ho distribuito a una decina di amici blogger che ho scelto come beta tester. Se qualcuno è interessato a testarlo può contattarmi via email.

Aggiornamento: Feedback e riflessioni qui

Ho letto e riletto notizie di tutti i colori: c’è dietro la mafia, c’è dietro forza nuova, il movimento è pilotato politicamente! In realtà c’è tanta confusione a riguardo.

Lauretta, una mia compaesana, ha scritto un articolo interessante che vale la pena leggere. Probabilmente vi aiuterà a capire come stanno realmente le cose e a farvi un quadro completo della situazione giù al sud.

#!/usr/bin/perl

use Compress::Zlib;

my $plainText = "this is a plain text";
my ($deflation, $out, $status, $inflation);

sub deflation
{
  my $x = deflateInit() or die "Error\n";
  ($deflation,$status) = $x->deflate($plainText);
  ($out, $status) = $x->flush();
  $deflation .= $out;
  return $deflation;
}

sub inflation
{
  my ($y, $status) = inflateInit() or die "Error\n";
  ($inflation, $status) = $y->inflate($deflation);
  return $inflation;
}

deflation
print "Deflated: ";
print "$deflation\n";

inflation
print "Inflated: ";
print "$inflation\n";

Di seguito l’output restituito dallo script:

Deflated: x�+��,V�D�����
Inflated: this is a plain text

Per l’executive summary date sfogo alla vostra ispirazione e non dimenticate i grafici, quelli non passano mai di moda.

Gli account Gmail sono sempre più preziosi:

• 5 Million Gmail Emails $150.00
• 30 Million Yahoo Emails $250.00

E con soli $99.00 al mese potrete

Salient Features:

1. Sends 300,000 Emails Per Day
2. 2000 Emails Per Shot
3. All emails are delivered to Inbox to major domains like hotmail.com, yahoo.com, gmail.com, gmail.com and others. Guaranteed.
4. Your own PHP Mailer + Password Protected for security.
5. No SMTP Required.
6. Your IP is hidden for anonymity.

Insomma, basta disporre di un budget di circa $300.00 per cominciare (bene).

La versione con i sottotitoli in italiano è disponibile qui