I siti web più importanti e famosi sono già corsi ai ripari contro il bug Heartbleed di OpenSSL, ma come fare per visulizzare lo stato dei siti minori? Per google chrome ci viene in aiuto un nuovo plugin: Chromebleed Una volta installato il plugin verrà eseguito in background da chrome e in caso di navigazione verso siti affetti dal bug heartbleed, apparirà un messaggio d’errore come questo:
Come ben sapete tra ieri ed oggi è scoppiata la bomba “Heartbleed” e a sganciarla è stato un’ingegnere che lavora presso Google: Neel Mehta. Heartbleed è il nome che è stato dato a una pericolosissimo bug scovato sul sistema di criptazione OpenSSL che permette di entare in possesso della chiave privata con cui sono stati firmati i certificati SSL/TLS. Considerato che openssl viene utilizzato dai demoni web, mail, VPN, ecc..si può capire l’enorme serietà del bug, milioni di dati personali (password, documenti, conversazioni, email) sono a rischio di divulgazione non autorizzata....
Obbiettivo Installare su CentOS 6 Linux Malware Detector (LMD), shedulare scansioni ed inviare report tramite e-mail. Scenario Linux distro: CentOS 6.5 (x86_64) LMD version: 1.4.2 Selinux: SI Installazione Linux Malware Detector Scaricare l’ultima versione disponibile di LMD dal sito ufficiale: [root@lmd_test tmp]# cd /tmp [root@lmd_test tmp]# [root@lmd_test tmp]# wget wget http://www.rfxn.com/downloads/maldetect-current.tar.gz .... .... .... 2014-04-07 19:53:30 (491 KB/s) - "maldetect-current.tar.gz" salvato [811467/811467] Scompattare l’archivio ed installare il software linux malware detector:...
Creare certificati SSL/TLS su CentOS 6 è molto semplice grazie ad alcuni script messi a disposizione dalla distribuzione. Questi certificati potranno essere integrati alla configurazione di postfix, sendmail, apache, dovecot ecc… Scenario e requisiti Ambiente di test Versione Linux: CentOS 6.5 (x86_64) Dominio: www.example.it Prerequisiti openssl Creazione chiave e certificati Con l’utenza di root, entrare nella directory contenente gli script e creare la chiave privata: [root@certs_test ~]# cd /etc/pki/tls/certs [root@certs_test certs]# [root@certs_test certs]# make server....
Installare e configurare wordpress è veramente semplice, soprattutto grazie al suo wizard user friendly. Come spesso accade però le configurazioni di default necessitanto di ritocchi. Una delle principali personalizzazioni da eseguire è quella di impedire la lettura degli utenti wordpress da remoto. Per testare l’importanza di questo aspetto, possiamo utilizzare il security scanner WPScan : [root@wpscan_test wpscan]# ./wpscan.rb --url http://www.example.it --enumerate u _______________________________________________________________ __ _______ _____ \ \ / / __ \ / ____| \ \ /\ / /| |__) | (___ ___ __ _ _ __ \ \/ \/ / | ___/ \___ \ / __|/ _` | '_ \ \ /\ / | | ____) | (__| (_| | | | | \/ \/ |_| |_____/ \___|\__,_|_| |_| WordPress Security Scanner by the WPScan Team Version v2....