• Cross-site scripting (XSS) bugs on https://accounts.google.com now receive a reward of $7,500 (previously $3,133.7). Rewards for XSS bugs in other highly sensitive services such as Gmail and Google Wallet have been bumped up to $5,000 (previously $1,337), with normal Google properties increasing to $3,133.70 (previously $500).
• The top reward for significant authentication bypasses / information leaks is now $7,500 (previously $5,000).

Del resto, perchè lasciare che i bug hunter rivendano le vulnerabilità al mercato nero?

Ok, non tutte le aziende hanno le disponibilità economiche di Google ma il punto non è la ricompensa quanto il fatto che ancora oggi accade che alcune aziende citano in giudizio bug hunter che si sono permessi di segnalare vulnerabilità insite nelle loro web application.

Da oggi è possibile aggiornare WP WAF all’ultima release (2.0) direttamente dal repository WordPress e quindi attraverso la dashboard che il CMS mette a disposizione.

Cosa c’è di nuovo?

- E’ stata migliorata notevolmente la protezione di temi e plugin (obsoleti) grazie all’implentazione delle direttive htaccess.

- Introdotta l’opzione “Disable Directory Listing” (disabilitata di default) che una volta abilitata consente di inibire a terzi l’accesso al contenuto delle cartelle (vedi plugin). Non usatela se avete già il modsecurity attivo.

Quella riportata di seguito è la configurazione consigliata se non volete essere sommersi dalle notifiche causate da richieste provenienti da attacchi di bot con user agent vuoto.

Va ricordato che le opzioni presenti nella sezione “Notifications for attacks type” servono esclusivamente per selezionare le tipologie di attacco di cui si desidera ricevere notifica via email, se non spuntati WP WAF provvederà ugualmente a bloccare gli attacchi.

Per le opzioni relative alla sezione “Under the Hood“, disabilitati di default, è invece necessario abilitarle affinchè possano funzionare.

Ancora una volta mi è doveroso ringraziare Aldo Latino per il supporto e i consigli sulle specifiche WordPress.

Edit del file di configurazione proxychains.conf
$ sudo nano /etc/proxychains.conf

Verifica la corretta configurazione
socks4  127.0.0.1 9050

Avvio di tor
$ sudo service tor start

Usage
$ proxychains curl www.website.com

—–

E’ disponibile su Github la versione 2.0 di wp-waf. La seguente release mantiene interamente le feature presenti nella precedente versione e introduce un ulteriore layer di sicurezza agendo direttamente sulle direttive del file .htaccess al fine di risolvere il noto problema del directory listing e mitigare gli attacchi ai plugin vulnerabili.

La configurazione iniziale del file .htaccess verrà salvata nella root con nome original.htaccess e ripristinata automaticamente quando il plugin verrà rimosso.

Per il momento potete installare la nuova versione scaricando il file zip da Github, nei prossimi giorni l’aggiornamento sarà disponibile anche sul repository WordPress.

Le segnalazioni di eventuali bug sono sempre gradite.

Il progetto accennato nel post precedente è ora disponibile su Github.

E’ vero che i sistemi crittografici a chiave pubblica possono essere facilmente integrati attraverso i più recenti client di posta elettronica ma è anche vero che ad oggi non è possibile fare lo stesso direttamente dalla webmail.

E’ vero che negli ultimi anni sono nati e morti in breve tempo progetti/estensioni che facilitavano la cifratura della corrispondenza Gmail attraverso i browser (firefox e/o chrome). Ma è anche vero che puntualmente, vuoi per modifiche al layout, vuoi per migliorie o fix, Google interviene apportando modifiche al codice della web application. Ultima trovata che ha come conseguenza quella di impedire a terzi la gestione on the fly del contenuto delle textbox (in particolare dell’area che dovrebbe contenere il corpo del messaggio) è stata quella di rendere dinamico l’Id dei tag “div”.

E’ vero che la crittografia asimmetrica risolve i problemi emersi negli anni dai limiti intrinseci della cifratura simmetrica. Ma è anche vero che finchè non viene pensata e rilasciata una soluzione comoda ed efficace la situazione non accennerà a migliorare. E noi continueremo a ripetere la classica frase: “Google sa tutto di te“.

E quindi direte? Finchè qualche testa pensante non propone qualcosa di buono vedo di arrangiarmi a modo mio.

Mi auguro che questo post abbia su di voi lo stesso effetto che post altrui hanno avuto su di me.

Fatto! Una donazione al progetto @eratrasparenza di @agoradigitale agoradigitale.org/dona-contro-lo… e una a @wikipedia wiki.wikimedia.it/wiki/Donazioni

— Gianni Amato (@guelfoweb) 28 aprile 2013

Il corso è rivolto ad amministratori di rete, operatori della sicurezza ICT, personale impiegato in infrastrutture a rischio, consulenti tecnici operanti a supporto di legali, Forze di Polizia e Autorità Giudiziaria.

Costi e dettagli li trovate qui.

Michele Morini il suo nickname sparito dalla rete per colpa di una botnet? Ho capito male io o ha detto così? #serviziopubblico

— Gianni Amato (@guelfoweb) 21 marzo 2013

Credevo di aver sentito male ma da più parti mi rassicurano di aver sentito la stessa bestemmia pronunciata a Servizio Pubblico.

Here is the latest episode of TekTip on @guelfoweb‘s PEFrame Static Analysis framework for PE files. tekdefense.com/news/2013/3/17…

— 1aN0rmus (@TekDefense) March 18, 2013