February 2006 Blog Posts

Occhio alle email di Paypal.

Se vi arrivano email da parte di notice@paypal.com le quali vi avvisano di accessi non autorizzati al vostro account prestate massima attenzione.Nel corpo della mail è presente un codice da inserire per sbloccare l'account su di un sito che in tutto e per tutto è identico a paypal.com. La scrittura delle email, la formattazione del testo i colori etc sono in pieno stile PayPal.com, ma il collegamento a cui verrete rimandati non è paypal.com ma un altro.. (basta controllare il codice html della mail per scoprirlo). Già che ci siamo.. non archiviate il vostro numero di carta di credito all'interno del...

posted @ Saturday, February 18, 2006 11:22 AM | Feedback (12)

IE Developer Toolbar v2 OUT!

Più vado avanti e più faccio fatica a rimanere aggiornato sugli sviluppi di mamma M.Per esempio mi era completamente saltata la news relativa al lancio della IE Developer Toolbar Beta v2.Oltre ad un miglioramento relativo a stabilità, usabilità e performance la toolbar ora offre la funzione di disattivare i CSS all'interno della pagina visitata. Più altre cosettine che ancora devo vedere... (magari dopo che ho preso il 4 caffè del giorno). download : link Se notate nella lista dei requisiti c'è scritto: Internet Explorer 6 o superiore...chi ha Internet Explorer 7 può confermare il suo funzionamento? Grazie :)

posted @ Thursday, February 9, 2006 12:30 PM | Feedback (7)

Checkout != Get Latest

Direttamente dal blog di Martin Woodward un interessante articolo che ci spiega la reale differenza tra Checkout e Get Latest in Team System, SourceSafe e PVCS. "If you are using the source control features in Team System then checkout means “Tell the server I want to edit this file and mark that file as writeable in my file system”, at the same time that you check-out the file you also get an option to lock the file using one of three lock types (none, check-out and check-in)."

posted @ Thursday, February 9, 2006 12:24 PM | Feedback (18)

Blackmal delation day - Un Flop, ma non per noi.

Su Nyxem.E (meglio conosciuto come Blackmal.E o Kama Sutra) è stato un flop considerando il numero di danni causati. A quanto sembra i computer colpiti sono stati circa 600,000 (nulla considerando il numero di computer collegati ad Internet). Il danno maggiore provocato dal virus, guarda caso, è stato proprio alla città di Milano. Oltre 10,000 pc "governativi" sono stati colpi.  Pur essendo passando il peggio, si consiglia vivamente di non abbassare la guardia contro questo virus.

posted @ Wednesday, February 8, 2006 2:37 PM | Feedback (15)

[Security 19] Creare le Chiavi

Come abbiamo visto nei precedenti post esistono due tipologie di algoritmi di codifica : Simmetrici e Asimmetrici. Vediamo come utilizzarli all'interno del mondo .NET Chiavi Simmetriche Cryptography definisce una classe astratta chiamata SymmetricAlgorithm dalla quale tutte le implementazioni di algoritmi simmetrici dovrebbero discendere. Questa classe viene utilizzata per referenziare un oggetto a runtime come mostrato qui di seguito. SymmetricAlgorithm symAlg = new RijndaelManaged(); .NET 1.1 ha quattro implementazioni di SymmetricAlgorithm. Data Encryption Standart (DAS) TripleDES Rivest Cipher-2 (RC2) Rijndael (il quale deriva dal nome di Vincent Rijmen e Joan Daeman) RC2 ha una chiave a lunghezza variabile, DES ha lunghezza di 56-bit mentre TripleDES è fissa di 112bit. L'algoritmo di Rijndael è il...

posted @ Monday, February 6, 2006 12:36 PM | Feedback (5414)

[Security 18] Alla scoperta delle classi Random Number Generation

Similmente alla gerarchia vista con le classi Hash, Cryptography definisce una classe astratta di nome RandomNumberGenerator, dalla quale tutte le altre classi random number generator devono derivare. Attualmente, .NET mette a disposizione una sola implementazione di RandomNumberGenerator : RNGCryptoServiceProvider. RandombNumberGenerator ha solo due metodi che si possono utilizzare per generare valori random: GetBytes() e GetNonZeroBytes(). Entrambe prendono un array di byte come loro unico argomento. GetNonZeroBytes() fa proprio quello che dice il suo nome: Nessuno degli elementi dell'array conterrà un valore zero (0). Mentre invece, GetBytes() potrà contenerli. Il codice che segue mostra il funzionamento di entrambe i metodi RandomNumberGenerator rng = new RNGCryptoServiceProvider();byte[] randomData = new byte[100];rng.GetBytes(randomData);byte[] randomDataWithNoZeros = new byte[50];rng.GetNonZeroBytes(randomDataWithNoZeros); L'oggetto RandomNumberGenerator legge la lunghezza...

posted @ Friday, February 3, 2006 12:25 PM | Feedback (5)

[Security 17] Stream Cryptografici

Come la maggior parte delle altre classi, Cryptography supporta lo streaming.  Streaming non è niente altro che un modo per leggere e scrivere informazioni in modalità sincrona ("Chiama ed aspetta") o in modalità asincrona ("Spara e Dimentica"). Come le operazioni criptografiche, sappiamo che il processo può richiedere, in base alla dimensione del messaggio o della chiave, diverso tempo. Di conseguenza, la maggior parte delle classi Cryptography mettono a disposizione un modo per avere lo stream del risultato delle loro operazioni. La classe CryptoStream deriva dalla classe Stream dello spazio di nomi System.IO, quindi tutti i metodi previsti da uno stream sono disponibili...

posted @ Friday, February 3, 2006 11:54 AM | Feedback (5360)

[worm] Oggi è il giorno del worm Nyxem.E

Nyxem.E è un worm che viene installato aprendo file a sfondo erotico/pornografico allegato ad un non ben specificato messaggio di posta elettronica. S'installa nel pc dell'utente e il tre (3) di ogni mese parte a cancellare miriadi di files (prevalentemente legati alla piattaforma Office di Microsoft). Il nostro paese è il terzo al mondo per infenzioni raggiunte a livello mondiale da parte di questo malaware. Microsoft ha messo a disposizione una KB su come rimuovere "manualmente", mentre F-secure ha predisposto una mini applicazione. Che si scelga l'uno o l'altra, un intervento a scopo precauzionale è necessario. Update : Anche Symantec ha reso disponibile un tool...

posted @ Friday, February 3, 2006 10:29 AM | Feedback (5445)

FxCop e le Query non Parametriche

Solo ora riesco a dedicarmi dieci minuti per leggere i post di Ugi.Ho trovato post interessanti di Fabio e Rosalba i quali parlano dell'utilizzo di Query Parametriche all'interno di SQL Server. Guarda caso proprio ieri ho deciso di fare una security revision sugli assembly nostre applicazioni in collaudo. Il primo controllo è stato effettuando utilizzando Microsoft FxCop, selezionando gli assembly e le regole da verificare. Il risultato è il seguente. (Per evitare di postare una immagine troppo grande metto in mostra solo i primi 6 risultati). Come si può notare l'errore più frequente legato alla sicurezza commesso è proprio l'utilizzo delle query non parametriche. L'utilizzo di query...

posted @ Friday, February 3, 2006 9:58 AM | Feedback (18)

Security Enhancements in the .NET Framework 2.0

Il mio mito "Keith Brown" personale ritorna all'attacco con un interessantissimo articolo sulle migliorie (Security Related) introdotte nel Microsoft .NET Framework 2. L'articolo include profonde riflessioni su i namespace relativi alla sicurezza.. System.Security System.Security.Principal System.Security.AccessControl System.Net.Security System.Runtime.Remoting System.Security.Cryptography System.Security.Cryptography.Xml System.Diagnostic System.DirectoryServices System.Web Il tutto può essere letto qui.Buona Lettura.

posted @ Thursday, February 2, 2006 11:03 AM | Feedback (5378)