TIP: Riattivare l'editor WYSIWYG in WordPress

Non usavo più da molto l’editor visuale di WordPress, l’avevo disattivato parecchio tempo fa in favore della sua versione leggera “code” quando avevo avuto nei primi tempi problemi di inserimento dei video YouTube.
Oggi mi son detto “perchè non riattivarlo?!”. Cerco qua e là nelle opzioni e in gestione tra le varie voci ma non riesco più a localizzarlo.
Una breve “googlata” ed ecco scoperto l’arcano.
Nel caso vogliate attivare/disattivare/riattivare l’editor wysiwyg basta andare nella sezione Utenti, cliccare sulla voce modifica relativa al vostro utente admin o chi posta, spuntando infine la voce “Use the visual editor when writing“.
Alla prox!

Hakin9 5/2007 in edicola

E’ uscito anche se con un pò di ritardo (mi è arrivato a casa qualche giorno fa) il numero di Maggio di Hakin9, il 5/2007 per la precisione.
Di seguito vi elenco in breve il contenuto del numero:

Copertina Hakin9 Maggio 2007

  1. Web Penetration Test – Guida allo sfruttamento di un remote code exploit
    Daniele Costa
    Come è ormai noto uno dei maggiori pericoli per i server presenti in rete è costituito dallo sfruttamento improprio di vulnerabilità legate alle applicazioni web basate su tecnologie di scripting come il PHP, il PERL oppure ancora l’ASP. Infatti quasi tutte le azioni di web defacement sono dovute allo sfruttamento di una vulnerabilità riconducibile alla famiglia dei Remote Code Exploit (di seguito indicata come RCE.
  2. Terminal Server Security
    Vittorio Pavesi
    Terminal Server è un componente di Windows che consente l’amministrazione remota e la pubblicazione centralizzata di applicazioni; in questo articolo si analizzeranno le sue principali vulnerabilità, i vettori di attacco e le best practice per aumentare il livello di sicurezza.
  3. TCP Sequence number prediction
    Francesco Beatino
    La predicibilità dei numeri di sicurezza nelle connessioni TCP ha reso possibile la realizzazione di famosi attacchi informatici di elevato spessore tecnico e per noi di prezioso valore didattico.
  4. Strumenti per il test di un’infrastruttura VoIP
    Luca Leone,
    La tecnologia che rende possibile una conversazione telefonica attraverso il traffico IP più comunemente denominata VOIP (Voice Over IP) è sempre più utilizzata sia da aziende che da privati.
  5. Dalla criptazione dei dati alla rivelazione delle intrusioni, dai log al tracciamento
    Matteo Ratini
    In questo articolo verranno illustrate alcune delle principali azioni da mettere in atto al fine di rendere la tua rete Unix o Windows più sicura.
  6. Approccio all’analisi di Sistemi TLS/SSL
    Stefano Maccaglia
    E’ evidente come uno de motori più importanti della ricerca siano le esigenze di mercato. In questo senso l’affermarsi del Secure Sockets Layer (SSL) come standard delle connessioni crittografate tra browser e server web è una testimonianza significativa.
  7. Fondamenti di crittografia applicata – Cesare e Vigenère
    Giacomo Rosapepe
    Ai nostri giorni la necessità di nascondere messaggi strategici da occhi indiscreti è quanto mai sentita.
  8. Intervista
    Intervista a Fabio Barà Cappuccio della Oracle Italia
  9. Test di consumatori
    Stavolta abbiamo testato specialmente per voi i router

Per qualsiasi informazioni a riguardo consultate il sito internet della rivista.

AdRem Netcrunch: alcuni video tutorials

Su Techtown.it ho pubblicato un paio di video tutorials che mi ha inviato l’Ing. Antonio Di Maio che ringrazio.
I video in questione riguardano i seguenti argomenti:
1) AdRem Netcrunch: una vista dinamica per i servizi di rete
2) AdRem Netcrunch: rilevare la presenza di software P2P
I video li potete trovare qui nella sezione document repository disponibili per il download.
Le versioni online le potete consultare rispettivamente qui e qui.
Dal sito internet http://www.adremsoft.it potete scaricare la versione trial di AdRem Netcrunch e partire con i vostri esperimenti!

The Pirate Bay compromesso: rubato il database

A quanto pare il sito del noto tracker torrent The Pirate Bay salito alle cronache in più occasioni, prima con il raid da parte della polizia svedese poi con la singolare iniziativa di tentare l’acquisto dell’isola di Sealand, è stato compromesso da ignoti crackers.
E’ stato sfruttato un exploit per la piattaforma di blogging ed è stato rubato l’intero database utenti.
Fortunatamente i dati sono crittati, ma in ogni caso TPB incoraggia gli utenti a cambiare le proprie credenziali d’accesso.
Direttamente dal sito ecco l’annuncio:

Hi, we have some sad news, but don't be alarmed...

Some people (and yes, we know who) found a security hole on our web site (in fact, actually in this blog).

They have got a copy of the user database. That is, your username and passwords. But, the passwords are stored encrypted, so it's not a big deal, but it's still very sad that it's out there. All e-mails are for instance encrypted as well, they will most likely not be able to decrypt them either (they are _very_ encrypted).

We encourage all our users to change passwords as soon as possible - and if you have the same password on the bay as other places, you should update them as well.

Sorry for the mess, but we are all human and we miss something sometimes.

Eclipse Visual Editor Project: interfacce grafiche facili!

Quando si è abituati a programmare usando un determinato IDE si tende a preferirlo ad altri perchè magari le alternative le si è prese in esame in maniera poco approfondita. E’ il mio caso, ma penso di non essere l’unico 😉
Per sviluppare in Java ho praticamente usato quasi sempre Netbeans, più che altro perchè lo uso fin dalle prime versioni e poi perchè penso la curva di apprendimento nello sviluppo di applicazioni grafiche sia veramente rapida.
Mi è capitato di usare anche Eclipse anche se più sporadicamente (l’ho usato anche al tempo della tesi di laurea triennale), ma non ho mai approfondito troppo il suo utilizzo, specie per quanto riguarda lo sviluppo di GUI.
Adesso che sto lavorando sulla tesi specialistica e che per svariati motivi ho cominciato a lavorare con Eclipse, ho detto vediamo com’è lo sviluppo di interfacce grafiche, visto che molto probabilmente dovro’ riscriverne una.
Ho scoperto cosi’ il Visual Editor Project.
Semplicità e immediatezza sono le parole chiave, certo devo ancora testarlo approfonditamente ma la prima impressione che ho avuto è più che positiva.
Per installare il framework potete tranquillamente far riferimento a questo ottimo screencast disponibile sul web:
Installing and Using Eclipse Visual Editor
Vedremo se Eclipse riuscirà a scalzare Netbeans nella lista dei miei IDE preferiti! 😀

StartupLite: avvio di Windows più rapido

StartupLite è una piccola utility realizzata da Malwarebytes che consente di disabilitare/rimuovere in maniera veloce e sicura tutte quelle voci di avvio che sono inutili e non necessarie.
Il vantaggio è quello di avere un sistema più leggero e più veloce nel processo di startup chiaramente.
L’utilizzo del programma è semplice: basta scaricarlo, lanciarlo con un doppio click e selezionare tutte le opzioni di avvio che si desidera rimuovere o cancellare.

StartupLite Screenshot

A questo indirizzo è possibile trovare una lista sempre aggiornata e completa di descrizione delle voci di startup riconosciute.
Il programma può essere scaricato direttamente da qui.

CISCO IOS: vulnerabilità multiple per l'ftp server

Cisco ha rilasciato un advisory in cui si riporta la presenza di varie vulnerabilità che colpiscono il server FTP integrato nell’IOS.
La conseguenza è che un attaccante potrebbe eseguire codice arbitrario ottenendo informazioni o provocando attacchi DoS.
Le falle non sono state descritte in dettaglio tuttavia si sa che l’FTP server dell’IOS non controlla in maniera corretta i dati di login dell’utente. Un attaccante è cosi’ in grado di scrivere o leggere file dal server, come file di configurazione, che potenzialmente potrebbero contenere password.
Sembra come detto sopra che sia possibile eseguire code-injection.
Inoltre un esempio di DoS che è possibile attuare è quello di causare il restart continuo e improvviso del server durante i trasferimenti di files.
Di default l’FTP server non è attivato, tuttavi alcuni amministratori lo utilizzano per installare nuove policies.
Il consiglio è quello di disattivare l’FTP server in attesa di una patch/update software che risolva in maniera “pulita” il problema.

Cisco Security Advisory: Multiple Vulnerabilities in the IOS FTP Server

Panda Antivirus: nuova versione compatibile con Vista

Panda software ha recentemente rilasciato una versione della sua Internet Security Suite 2007 pienamente compatibile con Windows Vista.
La nuova versione gira comunque anche su Windows XP e include un modulo backup che consente di effettuare in maniera automatizzata il salvataggio dei dati utente.
E’ incluso inoltre un “coupon” gratuito di due mesi per l’utilizzo di un servizio di backup online (per il quale è necessario un apposito installer da scaricare) dello spazio di 1 GB.
E’ stata migliorata la parte anti-rootkit basandosi sul sistema signature-based e sull’analisi del comportamento del software usando il sistema Panda TruPrevent.
Il filtro di navigazione inoltre ora oltre a bloccare siti di phishing dovrebbe impedire l’accesso a siti che tentino in qualche modo di installare malware sul computer dell’utente.
Gli utenti delle precedenti versioni di Panda Internet Security Suite 2007 possono scaricare dal sito web la nuova versione ed utilizzare la license key attuale.

Annuncio del rilascio della nuova release, sul sito di Panda Software

Università del Missouri nel mirino dei crackers

Nei giorni scorsi si è verificato un grave “incidente” che ha portato al furto da parte di ignoti pirati informatici di ben 22mila Social Security number di studenti dell’università del Missouri. Quest’anno è già il secondo attacco di questo tipo. L’FBI si sta già occupando della questione e sta investigando sul caso.
L’intrusione sembra abbia avuto come luoghi di partenza Cina e Australia, ma è ancora tutto da verificare vista la possibilità che gli attaccanti abbiano dirottato e nascosto le loro tracce.

I crackers hanno avuto accesso in totale alle informazioni personali di ben 22.396 tra studenti e alunni che hanno lavorato/frequentato uno dei quattro campus a St. Louis, Kansas City, Rolla o Columbia nel 2004.
I dati sono stati ottenuti attraverso una pagina web usata per effettuare query sullo status dei tickets aperti con l’help desk universitario, un sistema dal quale tutti i dati non sono stati poi eliminati.
Già in gennaio si era verificata una situazione analoga in cui un cracker aveva avuto accesso al Social Security number di 1220 ricercatori universitari e passwords personali di 2500 utenti di un sistema online.
L’università si è subito mossa per contattare le persone interessate e fornendo istruzioni su come monitorare nell’immediato futuro eventuali attività sospetti riguardanti i propri dati personali.

APPROFONDIMENTI:
May 2007 Security Incident, Università del Missouri

MoAxB ovvero Month of Active X Bug

Il mese di maggio è partito all’insegna delle segnalazioni su vulnerabilità dei controlli Active X.
L’autore dell’iniziativa è Shinnai, un hacker italiano che ha fatto sapere sul blog dedicato all’iniziativa, che la maggior parte dei bugs saranno di tipo DoS (ma anche qualche esempio di esecuzione di codice) e che l’unico scopo del progetto è informare gli sviluppatori sul rischio che comporta usare controlli ActiveX.
Dopo 4 giorni dalla partenza del progetto le falle segnalate sono le seguenti:
MoAxB #01: PowerPointViewer.ocx 3.1 multiple methods DoS
MoAxB #02: ExcelViewer.ocx 3.1 multiple methods DoS
MoAxB #03: WordViewer.ocx 3.2 multiple methods DoS
MoAxB #04: Office Viewer (OA.ocx v. 3.2) multiple methods DoS
Nota di contorno il fatto che da oggi Shinnai abbia deciso di pubblicare la descrizione degli exploits in lingua italiana, e dalle sue parole è molto chiaro il perchè: “…non ho molto da aggiungere se non che, vista la quantità di critiche mosse al mio inglese, che come avevo preannunciato e sottolineato era meno che scolastico (e vi assicuro che avrei sopportato molto di più critiche ai bug che non al mio modo di parlare in inglese), da ora scriverò gli advisories in italiano, mia madrelingua, così che, chi ne avrà voglia, se li tradurrà da sè.”
Che dire? Gli do’ pienamente ragione! 😀