siculezza

Microsoft Security Developer Starter Kit

2009-09-08T09:17:00.000+02:00

The Microsoft SDL - Developer Starter Kit provides a compliation of baseline developer security training materials on the following core Microsoft Security Development Lifecycle (SDL) topics:

a) secure design principles;

b) secure implementation principles;

c) secure verification principles;

d) SQL injection;

e) cross-site scripting;

f) code analysis;

g)banned application programming interfaces (APIs);

h) buffer overflows;

i) source code annotation language;

j) security code review;

k) compiler defenses;

l) fuzz testing;

m) Microsoft SDL threat modeling principles; and

n) the Microsoft SDL threat modeling tool.

Each set of guidance contains Microsoft Office PowerPoint slides, speaker notes, train-the-trainer audio files, and sample comprehension questions. All materials have limited formatting so that you can leverage the content to achieve broader, enhanced adoption of Microsoft SDL principles in your development organization.

Developer Highway Code (free ebook)

2008-08-19T15:50:00.002+02:00

To build software that meets your security objectives, you must integrate security activities into your software development lifecycle. This handbook captures and summarises the key security engineering activities that should be an integral part of your software development processes.
These security engineering activities have been developed by Microsoft patterns & practices to build on, refine and extend core lifecycle activities with a set of security-specific activities. These include identifying security objectives, applying design guidelines for security, threat modelling, security architecture and design reviews, security code reviews and security deployment reviews.

How Cybercriminals Steal Money

2008-07-19T02:40:00.001+02:00

ratproxy

2008-07-02T21:44:00.003+02:00

Ratproxy is a semi-automated, largely passive web application security audit tool, optimized for an accurate and sensitive detection, and automatic annotation, of potential problems and security-relevant design patterns based on the observation of existing, user-initiated traffic in complex web 2.0 environments.
Detects and prioritizes broad classes of security problems, such as dynamic cross-site trust model considerations, script inclusion issues, content serving problems, insufficient XSRF and XSS defenses, and much more.
Ratproxy is currently believed to support Linux, FreeBSD, MacOS X, and Windows (Cygwin) environments.

Microsoft Security Compliance Management toolkit

2008-06-09T20:10:00.001+02:00

In today’s IT environment, the ability to comply with regulations and industry standards, such as the Sarbanes Oxley Act, is a source of deep concern for many organizations. In addition, organizations need to manage risks resulting from emerging threats and changing conditions within their IT infrastructures. As a result, organizations need sound methods that they can count on to understand the state of the security settings in their IT infrastructures, assess the compliance of a security baseline, and demonstrate that compliance requirements have been met.

To help organizations address these challenges, Microsoft has created the Security Compliance Management toolkit. The toolkit provides best practices from Microsoft about how to plan, deploy, and monitor a security baseline. In addition, the toolkit provides remediation recommendations to address security baseline issues. The toolkit also offers a proven method that your organization can use to effectively monitor the compliance state of recommended security baselines for Windows Vista®, Windows® XP Service Pack 2 (SP2), and Windows Server® 2003 SP2.

Microsoft Security Intelligence Report

2008-04-23T15:32:00.001+02:00

Questa edizione del Microsoft Security Intelligence Report è focalizzata sui risultati ottenuti nella seconda metà del 2007 (da luglio a dicembre) e si fonda sui dati pubblicati nelle precedenti versioni del report. Utilizzando i dati derivati da oltre 450 milioni di utenti Windows e alcuni dei servizi online più attivi della rete, il report fornisce una prospettiva approfondita sulle tendenze nel campo delle vulnerabilità del software e nel panorama del software dannoso e indesiderato, oltre che un aggiornamento sulle tendenze degli exploit che sfruttano le vulnerabilità del software. L’ambito di questa quarta edizione del report è cresciuto per includere un focus sulla privacy e le segnalazioni di violazioni della protezione, e una panoramica sul lavoro di Microsoft in collaborazione con le forze dell’ordine in ogni parte del mondo, a supporto della lotta contro i criminali della rete.

Microsoft Security Assessment Tool 3.5

2008-02-19T10:55:00.000+01:00

Il Microsoft Security Assessment Tool 3.5 è la versione aggiornata dell’originale Microsoft Security Risk Self-Assessment Tool (MSRSAT), rilasciato nel 2004, e del Microsoft Security Assessment Tool 2.0 rilasciato nel 2006. Le minacce alla sicurezza dei sistemi hanno subito una forte evoluzione da allora. Per questo, la versione attuale include nuove domande e risposte per offrire agli utilizzatori di MSAT uno strumento completo che favorisca la comprensione del panorama di riferimento delle minacce alla sicurezza cui l’organizzazione è esposta.

Il tool adotta un approccio olistico che permette di valutare il livello di sicurezza dell’organizzazione esaminandola dal punto di vista delle persone, dei processi e delle tecnologie. I risultati vengono poi confrontati con delle guide di riferimento e con suggerimenti per la mitigazione del rischio fornendo anche collegamenti e informazioni ad approfondimenti per singolo settore di industria.
Queste risorse possono essere di aiuto nell’identificare strumenti e metodi specifici che possano cambiare l’approccio alla sicurezza dell’ambiente IT.

All Your iFrame Are Point to Us

2008-02-12T00:09:00.000+01:00

clipped from googleonlinesecurity.blogspot.com

It has been over a year and a half since we started to identify web pages that infect vulnerable hosts via drive-by downloads, i.e. web pages that attempt to exploit their visitors by installing and running malware automatically. During that time we have investigated billions of URLs and found more than three million unique URLs on over 180,000 web sites automatically installing malware. During the course of our research, we have investigated not only the prevalence of drive-by downloads but also how users are being exposed to malware and how it is being distributed. Our research paper is currently under peer review, but we are making a technical report [PDF] available now. Although our technical report contains a lot more detail, we present some high-level findings here:

Firewall?

2008-01-04T19:20:00.000+01:00

XSSDetect Public Beta now Available

2007-10-24T16:43:00.000+02:00

XSSDetect runs as a Visual Studio plug-in and can detect potential XSS issues in managed code.
XSSDetect is a static code analysis tool that helps identify Cross-Site Scripting security flaws found within Web applications. It is able to scan compiled managed assemblies (C#, Visual Basic .NET, J#) and analyze dataflow paths from sources of user-controlled input to vulnerable outputs. It also detects whether proper encoding or filtering has been applied to the data and will ignore such "sanitized" paths.

Guida ai rischi connessi alle violazioni del copyright

2007-10-18T22:41:00.000+02:00

La Federazione contro la Pirateria Musicale (FPM) ha annunciato oggi l'invio ai responsabili delle strutture informatiche delle università italiane ed altre istituzioni accademiche collegate, di una guida informativa realizzata per evidenziare i possibili rischi che i sistemi informativi accademici possono incorrere con l'utilizzo di applicazioni o siti di web potenzialmente pericolosi da parte di studenti, dipendenti o utilizzatori estemporanei delle tecnologie rese disponibili all'interno degli atenei. Ad esempio, tramite l’accesso a reti p2p, si possono esporre le reti informatiche ad infezioni da parte di virus, spyware, malware e soprattutto si possono violare dati riservati e materiale protetto da copyright.

hakin9: Metasploit 3.0 Autopwn

2007-10-06T13:55:00.000+02:00

Il nostro Daniele Costa ha realizzato un nuovo articolo per la rivista hakin9, questo mese potete trovare "Metasploit 3.0 Autopwn"; tema di questo articolo è una dettagliata analisi del framework Metasploit, una piattaforma di sviluppo, completamente gratuita, per la creazione di tool dedicati al mondo della security ed in particolare alla creazione ed esecuzione di exploit.

infected or not?

2007-08-28T18:12:00.000+02:00

Un semplice controllo via browser (realizzato da Panda), permette di sapere velocemente se il nostro PC è stato infettato dai più diffusi malware.

Vulnerabilità XSS in Blogger

2007-08-11T19:44:00.001+02:00

Durante alcuni esperimenti condotti negli ultimi giorni ho scoperto che la piattaforma Blogger soffre di una vulnerabilità XSS.

In pratica chiunque abbia la possibilità di postare su un blog tramite l'interfaccia di Blogger può iniettare codice javascript come ad esempio il semplice :

[script]alert(document.cookie)[/script] (sostituite le '[' con '<;') Ho notato in particolare che se il blog è ospitato su blogspot.com il codice viene eseguito ma i cookie non vengono mostrati...mentre se si inietta il codice su un blog ospitato all'interno di un sito web come, per esempio, quello di Siculezza.it i cookie vengono visualizzati correttamente...probabilmente ciò dipende da una diversa configurazione del web server. Per una POC della vulnerabilità visitate questo sito: http://pocasiculezza.blogspot.com

Oppure guardate attentatmente il prossimo paragrafo

Anche Banco di Sicilia entra nel phishing nazionale

2007-08-10T10:20:00.000+02:00

Si arricchisce di un nuovo l’ ormai corposa lista degli obiettivi del phishing nazionale, grazie ad un e-mail rilevata quest’oggi ai danni dell’istituto di credito Banco di Sicilia. Nonostante la novità i phisher hanno voluto utilizzare come messaggio di posta elettrica la medesima comunicazione già impiegata per CartaSi, Maestro e successivamente anche per Banca Intesa e Banca di Roma.
La comparsa quest’oggi come obiettivo di Banco di Sicilia e nella giornata di ieri del gruppo bancario Banco Popolare rappresenta una pericola tendenza dei phisher i quali a quanto pare non si limitano come in passato a concentrare la loro azione verso determinati istituti di credito, ma cercano nuovi obiettivi, i quali potrebbero rivelarsi particolarmente fruttuosi, dato che le nuove potenziali vittime potrebbero essere impreparate o totalmente ignare al pericolo phishing.

Fonte: anti-phishing.it

26 ARRESTS IN ITALY FOR ASSOCIATION TO COMMIT OFFENCES OF PHISHING

2007-07-16T00:51:00.000+02:00

The Provincial Command of the Military Financial Police (Guardia di Finanza) of Milan executed 26 Arrests Warrants for the people belonging to two criminal associations. These two criminal associations were connected through and made up of Italian and Foreign citizens, who were responsible of a series of deceptions of hundreds of users taking advantage of Home Banking Services, through techniques better known as phishing.
The operation, called “PHISH & CHIP“, allowed the Judicial Authorities to identify 18 Italian citizens and 8 foreign citizens from Eastern Europe, regularly living in our Country, who took advantage of the Home Banking Services’ personal access codes of the clients of “Poste Italiane” (holders of on-line bank accounts or PostePay Cards). The access codes were illegally wormed out through the answers given to the e-mails apparently sent by their Credit Institutions.
(Fonte: CastleCops)

Libro: Computer Forensics

2007-05-28T22:03:00.000+02:00

Computer Forensics: scritto a quattro mani da Andrea Ghirardini (esperto di indagini forensi nel "mondo elettronico") e da Gabriele Faggioli (legale specializzato negli aspetti giuridici degli illeciti digitali), questo libro descrive l’applicazione di un metodo investigativo scientifico al mondo digitale per ricavare elementi, informazioni, prove da portare in sede processuale.

hakin9: Web Penetration Test

2007-05-23T22:56:00.000+02:00

Il nostro Daniele Costa guadagna la copertina e lo spazio dedicato al primo e più importante articolo sulla rivista hakin9 di questo mese.
L'articolo di 8 pagine, dal titolo "Web Penetration Test - Guida allo sfruttamento di un remote code exploit", tratta uno dei maggiori pericoli per i server presenti in rete, lo sfruttamento improprio di vulnerabilità legate alle applicazioni web basate su tecnologie di scripting come il PHP, il PERL oppure ancora l'ASP.

Complimenti!

Google Online Security Blog

2007-05-23T22:43:00.000+02:00

Anche Google si dota di un blog sulla sicurezza informatica; il Google Online Security Blog inizia con un post dal titolo "Introducing Google's online security efforts" a cura di Panayiotis Mavrommatis e Niels Provos dell'Anti-Malware Team.

Libro: Cross Site Scripting Attacks

2007-05-21T22:36:00.000+02:00

Cross Site Scripting Attacks starts by defining the terms and laying out the ground work. It assumes that the reader is familiar with basic web programming (HTML) and JavaScript. First it discusses the concepts, methodology, and technology that makes XSS a valid concern. It then moves into the various types of XSS attacks, how they are implemented, used, and abused. After XSS is thoroughly explored, the next part provides examples of XSS malware and demonstrates real cases where XSS is a dangerous risk that exposes internet users to remote access, sensitive data theft, and monetary losses. Finally, the book closes by examining the ways developers can avoid XSS vulnerabilities in their web applications, and how users can avoid becoming a victim. The audience is web developers, security practitioners, and managers.

The Ghost in the Browser: Analysis of Web-based Malware

2007-05-14T00:28:00.000+02:00

From HotBots '07, First Workshop on Hot Topics in Understanding Botnets:
The Ghost in the Browser: Analysis of Web-based Malware
Niels Provos, Dean McNamee, Panayiotis Mavrommatis, Ke Wang, and Nagendra Modadugu
Google, Inc.

Network Monitor 3.1 Beta Has Released

2007-05-09T11:03:00.000+02:00

The NM3.1 Beta is available on http://connect.Microsoft.com and simmering with new features for you to test. What's New in Network Monitor 3.1:

Wireless (802.11) capturing and monitor mode on Vista - With supported hardware, (Native WIFI), you can now trace wireless management packets. You can scan all channels or a subset of the ones your wireless NIC supports. You can also focus in on one specific channel.
RAS tracing support on Vista - Now you can trace your RAS connections so you can see the traffic inside your VPN tunnel. Previously this was only available with XP.
Right click add to filter - Now there's an easier way to discover how to create filters. Right click in the frame details data element or a column field in the frame summary and select add to filter.
Microsoft Update enabled - Now you will be prompted when new updates exist. NM3.1 will occasionally check for a new version and notify you when one is available.
New public parsers - These include ip1394, ipcp, ipv6cp, madcap, pppoE, soap, ssdp, winsrpl, as well as improvements in the previously shipped parsers.
...

virus dal dischetto alla penna USB

2007-05-05T19:23:00.000+02:00

Il primo computer virus che ho visto (ed eliminato..) è stato Stoned nel 1989; si diffondeva attraverso il boot sector dei floppy disk (allora da 5 pollici ed un quarto!), se ti beccavi il virus appariva la frase "your PC is now stoned" ed il computer si bloccava...
Adesso Sophos ci avverte dei rischi connessi ad una nuova famiglia di worm che si diffonde attraverso le memory stick USB... uno schema di spreading che si ripete...

Security link di aprile

2007-04-15T16:20:00.000+02:00

Libro: Sicurezza informatica - di Salvatore Aranzulla

2007-03-26T22:10:00.000+02:00