Firma POCO qualificata
Luglio 9, 2008 at 11:13 pm | In security advisory, sicurezza | 1 CommentTags: firma digitale, security, symbian, vulnerabilita
Massimiliano Girolami oggi mi ha parlato di un presunto attacco alla firma digitale, documentato qui.
Inizialmente ho pensato si trattasse di una mera boutade giornalistica priva di fondamento, visti anche i vari articoli critici apparsi sul web.
Poi ho letto con maggiore attenzione ed ho scaricato il file d’esempio e confesso che mi ha sorpreso positivamente; forse non è sufficiente ad invalidare il meccanismo della firma digitale, ma farei qualche considerazione aggiuntiva sull’argomento…
E’ curioso, infine, l’approccio di Punto Informatico nell’articolo “Firma digitale falsificata? E’ falsa solo la notizia“, dove Diego Zanga commette un clamoroso errore, che lo porta ad affermare che il bug è di Windows, in pieno stile “Linux-rulez”.
In risposta al suo articolo, mi accontento di mostrargli un altro sistema operativo buggato (Symbian):
Screenshot Symbian S60 3rd Edition
Security advisory: Comune di Calcinaia (PI)
Marzo 29, 2008 at 3:41 pm | In security advisory | 3 CommentsTags: calcinaia, comune, foto, privacy, security, security advisory, verbali, vulnerabilita
TITOLO
Il servizio di consultazione delle foto scattate dagli autovelox del Comune di Calcinaia (PI) permette la consultazione di tutte le foto disponibili in archivio senza possedere le credenziali di accesso.
ADVISORY ID
200801
DATA DI RILASCIO
2008-03-30
VERIFY ADVISORY
http://leonardoanceschi.wordpress.com/2008/03/29/security-advisory-comune-di-calcinaia-pi/
CRITICITA’
Alta
LOCATION:
Da remoto
IMPATTO:
Dati personali liberamente accessibili da remoto
SITI COINVOLTI
http://www.comune.calcinaia.pi.it
HALF DISCLOSURE
Il servizio di visualizzazione delle foto scattate dagli autovelox non è adeguatamente sicuro e permette a qualunque utente con un po’ di familiarità con html e xml di visualizzare tutte le foto scattate dagli autovelox.
Il database delle foto è accessibile in chiaro e senza autenticazione direttamente dall’esterno.
La vulnerabilità, individuata da Leonardo Anceschi, esperto di sicurezza informatica, è stata segnalata al Comune di Calcinaia il 30/03/2008, unitamente ai dettagli completi sulla riproducibilità e sulle implementazioni necessarie per risolvere la vulnerabilità.
FULL DISCLOSURE
Fornita a Comune di Calcinaia
PROOF OF CONCEPT
Fornito a Comune di Calcinaia
SOLUZIONI
Fornite a Comune di Calcinaia
TIMEFRAME
2008-03-29: Individuazione della Vulnerabilità
2008-03-30: Segnalazione della vulnerabilità ed invio del FULL DISCLOSURE a Comune di Calcinaia
2008-03-30: Pubblicazione dell’HALF DISCLOSURE sul blog http://leonardoanceschi.wordpress.com
2008-03-31: Rimosso il servizio di consultazione delle foto dal sito del Comune
2008-04-01: Ripristinato (con vulnerabilità) il servizio di consultazione delle foto dal sito del Comune
IT Security (Google News)- Microsoft on Black Screen of Death: Don't Look at Us - Redmond Channel Partner
- Microsoft Releases Two New Enterprise Security Platforms - eWeek
- Fortinet Honored With Two 2009 Tech Innovator Awards by Everything Channel's CRN - CNNMoney.com (press release)
- ICF International to purchase IT security firm - The Associated Press
- In Other Words: Farmers: A great resource - AG Week
- Mobile (GOOGLE NEWS)
- l'uomo che ha incastrato il superlatitante - La Repubblica
- LADISPOLI, PANINI 'ALLA COCAINA': ARRESTATO GESTORE PANINOTECA MOBILE - La Repubblica
- Tecnologie mobili e imprese, un binomio sempre più stretto - Il Sole 24 Ore
- ASILO PISTOIA: SQUADRA MOBILE, CONFERMATO NOSTRO LAVORO - AGI - Agenzia Giornalistica Italia
- Samsung SCH-i899 con Android ed i8180 con Windows Mobile - Cellularmania.net
Blog su WordPress.com. | Theme: Pool by Borja Fernandez.
Entries and comments feeds.
