solution.it

Assente per … CAT2010

E’ da un po che non scrivo nulla su questo blog. Il motivo è presto detto: sono impegnatissimo nell’organizzazione della edizione milanese di CAT2010, Cracca Al Tesoro, l’hack game che già lo scorso luglio ha visto torme di hacker invadere pacificamente Orvieto per la più grande caccia al tesoro hacker organizzata in Italia e forse addirittura la prima in assoluto.
Il gioco, perché di gioco si tratta, prevede la dislocazione in un centro urbano di  Access Point WIFI bersaglio  connessi a server e computer che nascondono nei loro hard disk degli indizi che, come nella caccia al tesoro originale, portano di bersaglio in bersaglio al tesoro finale. La squadra che termina il gioco craccando tutti gli access point e tutti i sistemi o colleziona più indizi vince il trofeo.

L’organizzazione  è a cura di Cardi Editore e CLUSIT, infatti CAT2010 è nel programma del Security Summit. Lo staff di CAT è composto da Paolo “Aspy” Giardini di Solution.it , Raoul “Nobody” Chiesa di @mediaservice.net, Cristiano “Nofear” Cafferata di Sonicwall, Alessio “Mayhem” Pennasilico e Daniele Martini di Alba S.T. ed altri amici che potete trovare qui.

L’appuntamento è per sabato 13 marzo, Milano, zona Corso Como dove, fra gli altri personaggi presenti, potrete incontrare un ospite d’eccezione: Mark Abene.

Le iscrizioni sono aperte!

BackTrack 4 Final è online!

Ieri sera finalmente è stata rilasciata la versione definitiva di BackTrack4 , la nota distribuzione Gnu/Linux orientata al pentesting ed alla sicurezza.
Un grande lavoro da parte del team internazionale di sviluppatori, che comprende ben tre italiani della Community Italiana di BackTrack,  che ha portato a grosse novità, comprese un nuovo kernel e numerosi nuovi tool, alcuni dei quali disponibili solo su BackTrack.
BackTrack 4 Final, nome in codice  “pwnsauce“,  è stata definita la migliore versione di BackTrack fin’ora rilasciata, un successo dimostrato dall’incredibile numero di download registrati. Nelle prime 24 ore dal rilascio le varie versioni di BackTrack, disponibili  gratuitamente sia sul sito ufficiale (e relativi  mirror opportunamente approntati)  che via Torrent,  sono state scaricate più di 12.000 volte.
BackTrack 4 è disponibile in formato ISO e come immagine VMWare.  Può essere avviata come  live CD od essere installata su hard disk, penne usb o memorie SD.

Cracca Al Tesoro 2010: Milano e Orvieto

Si avvicina l’inizio del 2010 e già siamo ai nastri di partenza per preparare l’edizione 2010 di CAT – Cracca Al Tesoro. Anzi, le edizioni dato che quest’anno le date previste  saranno due.

La prima è  già fissata per il 13 marzo, a Milano. Sarà l’evento di contorno del Security Summit.

La seconda, sarà la riedizione dell’appuntamento di Orvieto. In questo caso però sono ancora da definire molte cose, data compresa che però probabilmente sarà fissata verso la fine di luglio.

Maggiori dettagli saranno pubblicati sul sito ufficiale www.wardriving.it man mano che le cose saranno definite.

Ci vediamo al CAT!

Prorogato al 31 dicembre 2010 il Decreto Pisanu sugli Internet Point

Nel Consiglio dei Ministri del 17 dicembre 2009 è stata approvata la proroga del Decreto Pisanu, che prevedeva identificazione degli utenti e richiesta di licenza al Questore per i locali che offrono connettività. Nel resoconto del Consiglio del Ministri si legge:

“interno: (viene prorogato) al 31 dicembre 2010 il termine per munirsi della licenza del questore per l’apertura dei cosiddetti “internet points”, limitando gli adempimenti a carico dei gestori.”

Sono in attesa di scoprire quali siano questi “adempimenti limitati a carico dei gestori”.

Seminario sulla professione sicurezza informatica

Sono stato invitato a parlare sul tema “La Sicurezza Informatica come professione. Certificazioni, mondo del lavoro, prospettive” in qualità di Direttore dell’Osservatorio Privacy e Sicurezza delle Informazioni dell’Associazione Informatici Professionisti. L’evento rientra nell’ambito dei seminari promossi dal cill di Informatica dell’Università di Perugia.

Il seminario si terrà mercoledì 2 Dicembre alle ore 12 presso l’Aula A0  – Dipartimento Di Matematica e Informatica
Università degli Studi di Perugia in  Via Vanvitelli, 1 Perugia.

Se qualcuno volesse partecipare, me lo faccia sapere e ci prenderemo un aperitivo insieme.

Aggiornamento:
Le slide sono disponibili cliccando qui.

Soluzione Open Source per log Amministratori di Sistema

Provo a mettere nero su bianco  i test effettuati  per l’adeguamento al provvedimento sugli amministratori di sistema emanato dal Garante Privacy la cui scadenza è fissata al 15 dicembre 2009. Ricordo brevemente che, fra le altre cose,  il provvedimento richiede la registrazione e conservazione per almeno sei mesi dei log di accesso di ogni account degli amministratori di sistema. Esistono molti sistemi a pagamento che possono fare questo, ma perché spendere se possiamo adeguare i nostri sistemi senza dover acquistare costose licenze software? Ecco dunque, dopo gli spunti di discussione pubblicati mesi fa, dove semplicemente  accennavo a quali strumenti potessero esere utilizzati,  una traccia operativa per creare un sistema di log centralizzato per sistemi sia Windows che Linux basato su Debian. Leggi il resto di questo articolo »

LInux Day 2009

Anche quest’anno, dopo il successo registrato nelle precedenti edizioni,   l‘Associazione  GNU/Linux User Group di Perugia organizza  il  Linux Day, aderendo alla giornata nazionale dedicata al Software Libero ed in particolare al sistema operativo GNU/Linux promossa da Italian Linux Society.

La manifestazione che ha il patrocinio della Giunta e del Consiglio della Regione Umbria e del Centro di Competenza per l’Open Source della Regione Umbria  si svolgerà sabato 24 ottobre presso l’Istituto Tecnico Commerciale “Aldo Capitini – Vittorio Emanuele II”, in viale Centova 4.

Il programma prevede vari talk suddivisi in un percorso “divulgativo” dedicato alle scuole ed agli utenti alle prime armi o a chi si vuole avvicinare ad questa nuova tecnologia  ed un percorso “tecnico” per utenti esperti e professionisti.

Personalmente terrò una serie di talk sulla sicurezza in Internet mediante l’uso di strumenti Open Source, con dimostrazioni pratiche e coinvolgimento dei presenti.

Thawte: mai più certificati gratuiti

La notizia è ufficiale, anche se ben nascosta fra le pieghe del sito web di Thawte.

A partire dal 19 novembre prossimo, tutti i certificati digitali gratuiti rilasciati da Thawte saranno inutilizzabili. Thawte, o meglio, Verisign ha infatti deciso che, stante il costo elevato del mantenimento della struttura, i certificati gratuiti rilasciati tramite il Web of Trust (del quale facevo parte come Notaio)  saranno revocati d’ufficio ed i sistemi che li gestiscono saranno spenti il 19 novembre 2009. E chi s’è visto s’è visto.

A noi non resta che la consolazione (!) di un certificato Verisign gratuito valido per un anno, da richiedere entro il 16 gennaio 2010 tramite un token che sarà inviato ai possessori di un certificato.

La raccomandazione è di revocare il vostro certificato prima del 16 novembre e di provvedere a un sistema di firma alternativo, anche se qualcuno ha ancora la speranza che lo spegnimento dei server venga annullato. Io sto valutando CAcert.org.

Non credo che approfitterò della generosa offerta di Verisgn.

IPCop: creare un utente amministratore con interfaccia web limitata

problema aggiornamento AdvProxy: articolo aggiornato il 6 ottobre

Quante  volte avreste voluto evitare di dare la password di amministrazione del firewall IPCop ad altri e non avete potuto farne a meno perché IPCop non prevede una gestione utenti?

Personalmente è successo un sacco di volte, oggi è stata però l’ultima volta. Mi sono deciso a trovare un modo per creare una interfaccia limitata, ad esempio  solo spegnimento e gestione dei filtri URL, così da non rischiare dando la password di amministrazione a qualcuno che potrebbe combinare qualche guaio.
In sovrappiù, con questo metodo si possono creare tutti gli utenti di amministrazione che servono così da rendere compliant IPCop alla normativa sulla privacy ed ai provvedimenti del Garante in tema di Amministratori di sistema.

Come fare? Non esistono addon specifici, ma è bastato spulciare un po su Apache per trovare una soluzione. Ecco quindi come fare per creare un utente di amministrazione di IPCop specificando a quali pagine dell’interfaccia web di gestione  possa accedere.

Leggi il resto di questo articolo »

FLOSS in festa 2009

Come forse saprete, la regione Umbria nel 2006 ha emanato la prima legge regionale sul software libero in Italia, la legge regionale 11/2006. Per la sua applicazione la stessa Legge ha previsto la creazione del Centro di Competenza per l’Open Source (CCOS), che è l’organismo regionale, interamente composto da volontari,  che dal 2007 gestisce i bandi per il finanziamento di microprogetti basati su software libero nella pubblica amministrazione, nella scuola e nell’università.

Sono letteralmente decine (in realtà oltre 200)  i progetti presentati in questi anni; progetti che vanno, solo per fare degli esempi,  dalla realizzazione  in chiave FLOSS (Free LIbre Open Source Software) dei servizi di posta elettronica della  Regione al recupero di macchine obsolete per riequipaggiare i laboratori scolastici con tecnologie di virtualizzazione; da sistemi di gestione del territorio tramite applicativi GIS a sistemi di e-learning e supporto all’insegnamento.

Caratteristica obbligatoria per tutti i progetti è il rilascio con licenza open source, così da permetterne il  riuso tramite la diffusione di how-to, dei manuali e dei sorgenti dei software realizzati. In questo modo  chiunque potrà duplicare un progetto o  prenderne spunto per realizzare un progetto derivato.

Per dare visibilità pubblica a questo grande patrimonio tecnico, il Centro di Competenza per l’Open Source della Regione Umbria ha deciso di organizzare per il giorno venerdì 18 settembre 2009 un evento dedicato alla presentazione di alcuni dei progetti realizzati nell’anno 2008, abbinandolo ad un convegno che mette insieme i vertici  del Governo Regionale ed alcuni dei nomi più noti del panorama Open Source italiano. Saranno presenti fra gli altri Carlo Daffara, rappresentante italiano dell’European Working Group on Libre software, Patrick Ohnewein, Free Software Center Bolzano, Carlo Piana, Free Software Foundation Europe, esperto di diritto nell’ICT, Maria Rita Lorenzetti, Presidente della Regione Umbria, Fabrizio Bracco, Presidente del Consiglio della Regione Umbria,  Vincenzo Riommi, Assessore Programmazione ed organizzazione delle Risorse Finanziarie della Regione Umbria, Maria Prodi, Assessore Formazione, Regione Umbria, Oliviero Dottorini, Presidente 1°commissione permanente Consiglio Regionale dell’Umbria, Paolo Barboni, Presidente del  Consorzio SIR Umbria.

Oltre che seguire i seminari e le presentazioni dei progetti, sarà possibile visitare le aule dedicate ad  OpenLab,  laboratori dove i responsabili dei vari progetti saranno a disposizione per rispondere ad eventuali domande e saranno tenute dimostrazioni di alcuni dei progetti presentati nel corso della giornata.

La sede di FLOSS in Festa 2009 è presso il Dipartimento di Matematica e Informatica dell’Università di Perugia, in via Vanvitelli 1, a Perugia; l’inizio dei lavori è previsto  per le ore 9.

Il programma dettagliato può essere consultato sul sito del CCOS, ecco  la mappa per raggiungere il luogo dell’evento.