Security Incidents of This Week (weekly)

• Teenage hackers shut down a php cloud hosting firm

  tags: SecurityIncident Hacking

• Poll office, college sites hacked in Mumbai

  tags: SecurityIncident defacement

• Fraudulent certificates issued by Comodo, is it time to rethink who we trust? | Naked Security

  Today, Microsoft issued a Security Advisory warning that fraudulent digital certificates were issued by the Comodo Certificate Authority. This could allow malicious spoofing of high profile websites, including Google, Yahoo! and Windows Live.

  tags: SecurityIncident SSL

• Italian law firm knowingly serves up infected web pages

  tags: SecurityIncident Italy Malware

• Dozens of exploits released for popular SCADA programs

  The security of software used to control hardware at nuclear plants, gas refineries and other industrial settings is coming under renewed scrutiny as researchers released attack code exploiting dozens of serious vulnerabilities in widely used programs.
  
  The flaws, which reside in programs sold by Siemens, Iconics, 7-Technologies, Datac, and Control Microsystems, in many cases make it possible for attackers to remotely execute code when the so-called supervisory control and data acquisition software is installed on machines connected to the internet. Attack code was released by researchers from two separate security camps over the past week.

  tags: SecurityIncident Vulnerable

• Hackers deface Charlestown candidate's web page - Local News - News - General - Newcastle Herald

  tags: SecurityIncident defacement Politics

• Press release: UK Uncut Hijack Vodafone Website | UK Uncut

  tags: SecurityIncident defacement

Posted from Diigo. The rest of my favorite links are here.

Security Incidents of This Week (weekly)

• Adobe confirms Flash zero-day

  tags: SecurityIncident Vulnerable

• German finance agency suspends site over serious security bug • The Register

  Germany's federal finance ministry has pulled its website offline after receiving notification of a serious security problem from white hat hackers affiliated to the Chaos Computer Club (CCC).
  
  Flaws on the the Federal Finance Agency website reportedly created a means to spy on customers of the government agency, steal login credentials or run phishing attacks. The bug reportedly existed for months before CCC stumbled upon the flaw. It is unclear whether or not the vulnerability was ever exploited or used as part of any scam.

  tags: SecurityIncident Vulnerable Banking

• Researchers Hack Into Cars’ Electronics - NYTimes.com

  With a modest amount of expertise, computer hackers could gain remote access to someone’s car — just as they do to people’s personal computers — and take over the vehicle’s basic functions, including control of its engine, according to a report by computer scientists from the University of California, San Diego and the University of Washington.

  tags: SecurityIncident Vulnerable Hacking HardwareAttack

Posted from Diigo. The rest of my favorite links are here.

Security Incidents of This Week (weekly)

• Direct action group defaces Vodafone in tax avoidance protest • The Register

  tags: SecurityIncident defacement

• PML-N official website hacked – The Express Tribune

  hacker on Tuesday defaced the official website of Pakistan Muslim League-Nawaz (PML-N), leaving a message for the second largest political party in the country.

  tags: SecurityIncident defacement Politics

• French government says hack compromised 150 PCs | Security - InfoWorld

  The French National IT Systems Security Agency has released further details of the recent attack on French government computers, saying they were targeted by cyberspies.
  
  Around 150 IT staff spent the weekend on a massive clean-up operation to undo the effects of the attack on computers at the French Ministry of Economy, Finances, and Industry, the security agency's director-general said Monday night.

  tags: SecurityIncident Hacking Politics

• Indira Gandhi Memorial Trust website defaced by hackers -  National News – News – MSN India

  tags: SecurityIncident defacement Politics

Posted from Diigo. The rest of my favorite links are here.

MIME

Il mio notebook Evernote "Internet" contiene link a siti web che permettono di fare conversioni da/a base64 e quoted-printable. In particolare:

• http://www.gaijin.at/en/olsdeencoder.php
• http://www.motobit.com/util/quoted-printable-encoder.asp
• http://www.motobit.com/util/base64-decoder-encoder.asp

Non garantisco della loro correttezza. Possono essere interessanti per avere rapidamente un'idea di cosa accade nella realtà.

Uno di voi ha approfondito personalmente alcuni aspetti di MIME, riporto di seguito le sue riflessioni a beneficio di tutti.

ATTENZIONE: non garantisco della correttezza di queste riflessioni e non ho il tempo di renderle più chiare (secondo me se uno non ha già le idee chiare ci capisce poco). Le riporto per incoraggiarvi a "partecipare"...

Premetto che le lettere accentate (come ha detto Lei) non riguardano i primi 128 character codes del US-ASCII. Quindi ho cercato di sanare la mia curiosità e condivido quanto raccolto. 

 

Dato per assodato il vincolo imposto dal protocollo SMTP (bit 8 = 0).

Domanda perché non usare per l’EncodingType tutti i 128 caratteri del US-ASCII invece di 64 visto che:

-        in base64, 3 Byte vengono codificati in 4 Byte con dimensione finale ~= 133%;

-        in base128, 7 Byte vengono codificati in 8 Byte con dimensione finale ~= 114%, quindi più efficiente!

Risposta dando un’occhiata alle RFC 1421, 1521 e 2045, che grossomodo dicono le stesse cose.

Il perché in base64 e non base128 si spiega osservando che è necessario:

-        avere una rappresentazione stampabile del carattere per evitare gli “ASCII control characters” che vanno da 0-31 ed il 127 e che possono avere comportamenti diversi in sistemi diversi (, );

-        non utilizzare caratteri che possono avere un significato nella comunicazione o per il sistema ospitante (p.e.: ~ , . ).

-        ammesso che, in deroga a quanto sopra scritto, fosse stato possibile usare 7 bit per la transcodifica, non ci sarebbe stata la possibilità di trasmettere in SMTP il “padding character (=)” che richiede un bit in più per distinguersi dalle sequenze binarie già usate.

Riferito all’aspetto 1

RFC 1421: “ Although SMTP specifies a standard representation for line delimiters (ASCII ), numerous systems in the Internet use a different native representation to delimit lines.  For example, the sequences delimiting lines in mail inbound to UNIX systems are transformed to single s as mail is written into local mailbox files.  Lines in mail incoming to record-oriented systems (such as VAX VMS) may be converted to appropriate records by the destination SMTP server”

Riferito all’aspetto 2

RFC 2045: “These characters, identified in Table 1, below, are selected so as to be universally representable, and the set excludes characters with particular significance to SMTP (e.g., ".", CR, LF) and to the multipart boundary delimiters defined in RFC 2046 (e.g., "-").”

 

Statistiche sugli iscritti al corso

Dati aggiornati automaticamente.

Commenti in questo blog

Ho configurato il blog in modo da permettere l'aggiunta di commenti. Chi ha domande o curiosità può farle inserendo, appunto, commenti. Penso che ciò sia preferibile allo scambio di email con me (che comunque potete fare senza problemi).

Poiché chiunque può inserire commenti, ho configurato il blog in modo che un commento possa inserire solo dopo la mia approvazione. Non si sa mai che qualcuno scriva contenuti offensivi o cose del genere.

Vi prego di non fare commenti anonimi. Se proprio vi secca o la vostra timidezza ve lo impedisce, fateli anonimi; se sono commenti educati e pertinenti li farò comparire ugualmente.

Telnet, DNS Lookup

Ho messo nel mio Evernote notebook "Internet" un link per scaricare il programma di DNS lookup ed un link per scaricare un telnet con interfaccia grafica.

Esistono numerosi programmi telnet gratuiti con interfaccia grafica, ve ne ho indicato solo uno.

A lezione ho utilizzato il programma telnet standard di Windows, che ha interfaccia testuale e non grafica. In alcune installazioni di Windows, scrivendo "telnet" al prompt dei comandi, il programma telnet non viene trovato; in questi casi occorre settare il path del prompt in modo opportuno, facendo in modo che contenga la directory in cui si trova il telnet di Windows. Se questo paragrafo suona arabo, conviene installare un telnet con interfaccia grafica...