Johnny Depp is NOT dead! Occhio al malware!

A quanto pare la frenesia scatenata dalla morte di una celebre star è un buon modo per diffondere il malware.
E i vari cyber-criminali del pianeta lo sanno bene.
Questa volta nel mirino è finito il capitano Jack Sparrow o meglio l’attore Johnny Depp che stando alle indiscrezioni sarebbe morto in un incidente d’auto. “Peccato” che la pagina web che riporta la notizia sia falsa, una simil-CNN.
Tuttavia sembra che il rumor si sia diffuso in fretta e su Twitter non si sia parlato d’altro.

Ecco qua un video di Sophos che mostra come viene attuato l’inganno e installato il malware. Maggiori informazioni sull’accaduto sempre sul blog di Sophos.

Altro “buon” esempio di social engineering! 🙂

Virtual DOS Mode e il bug di Windows di 17 anni fa

Un bug vecchio di 17 anni? Possibile.
A quanto pare non c’è modo di dormire sonni tranquilli per Microsoft.
Dopo i recenti problemi con Internet Explorer e la patch rilasciata al di fuori della road-map classica dei Patch Tuesday, ecco un’altra bella gatta da pelare.

Escalation di privilegi grazi ad una serie di vulnerabilità nella Virtual DOS Mode (VDM).
Il parco dei sistemi interessati è quello dei sistemi 32-bit, sembra da Windows NT 3.1 a Windows 7.

Provato e testato personalmente su Windows XP SP3 completamente patchato.
Ho realizzato un piccolo video giusto per far capire uno dei più classici motivi per cui un exploit simile puo’ risultare utile.

Amministratori di rete… disabilitate!!!

LinkedIn e la lunghezza delle password

LinkedIn, come molti di voi sapranno, è un social network molto diffuso che consente di costruire la propria rete di contatti in ambito lavorativo (fondamentalmente).
Quello di cui voglio parlare oggi è un piccolo problema che ho riscontrato in mattinata mentre mi apprestavo a cambiare la password del mio account.
Dopo aver generato la nuova password di lunghezza 24 caratteri ho effettuato il logout e poi ho tentato il login che verificare tutto fosse avvenuto correttamente.

Stranamente ho notato l’errore:

The email address or password you provided does not match our records

Dopo i classici tentativi di reinserire la password e cancellazione di cache e cookie, ho pensato ci fosse qualcosa non andasse.

La prima supposizione è stata che per qualche motivo il sistema avesse accettato i caratteri speciali della password ma fosse andato storto qualcosa nella fase di salvataggio.
Ho proceduto quindi alla procedura di recupero password e inserito una nuova password di 24 caratteri senza caratteri speciali.

Tuttavia al tentativo di login ancora una volta lo stesso errore.
Dopo una rapida ricerca su Google ho trovato questo interessante post a riguardo: “LinkedIn Password Length Confusion“.
Il problema sembra sia che la password del proprio account deve avere una dimensione minima di 6 caratteri e massima di 16.
Il sistema ha infatti troncato la mia password di 24 (caratteri speciali o no non fa alcuna differenza), tant’è che provando a prendere i primi 16 si riesce ad effettuare correttamente il login.

La cosa alquanto strana è che da nessuna parte venga riportato che i caratteri non possono superare i 16, né tanto meno viene notificato che il campo sta superando la lunghezza consentita in fase di modifica.
Nella home page la maschera di registrazione, ad esempio, sotto il campo password riporta il messaggio:

6 or more characters

Lo stesso autore del post che ho trovato, è venuto a conoscenza del motivo solo dopo aver inviato una mail al supporto tecnico.
Occhio dunque alla lunghezza della password scelta 😉