Archivi categoria: Sicurezza

Windows 10 Enterprise LTSC 2019 – Scenari di adozione

Sorgente: ICT Power | Autore: Ermanno Goletto

Introduzione Nel precedente articolo Adozione di Windows 10 e scelta tra Current Branch for Business (CBB) o Long-Term Servicing Branch (LTSB) avevamo analizzato, per quanto riguarda Windows 10 Enterprise, le differenze tra i services models Current Branch for Business (CCB)…

Leggi il resto dell'articolo su: https://www.ictpower.it

Abilitazione del protocollo LDAPS in Dominio senza PKI Enterprise

Sorgente: ICT Power | Autore: Roberto Massa

Recentemente nell’articolo Implementazione del protocollo LDAPS in Active Directory è stata proposta una soluzione per la gestione di LDAP su protocollo cifrato. Questa implementazione si basa sulla disponibilità di una CA di tipo Enterprise all’interno di un dominio Active Directory…

Leggi il resto dell'articolo su: https://www.ictpower.it

Meetup TTG – ICTPower, giovedì 13 dicembre 2018 a Torino – Gestire una Publick Key Infrastructure con Windows Server e utilizzo di Let’s Encrypt

Sorgente: ICT Power | Autore: Ermanno Goletto

Nelle moderne infrastrutture informatiche la gestione dei certificati digitali è una delle attività che stanno alla base di una corretta politica della sicurezza informatica. Nella prima parte meetup del 13 dicembre organizzato da Torino Technologies Group in collaborazione con ICTPower.it…

Leggi il resto dell'articolo su: https://www.ictpower.it

Confronto tra le edizioni Standard e Datacenter di Windows Server 2019

Sorgente: ICT Power | Autore: Nicola Ferrini

Visto il successo dell’articolo Windows Server 2016 – Quali sono le differenze tra la Standard Edition e la Datacenter Edition, ho pensato di raccogliere in questo estratto le novità più salienti di Windows Server 2019 e descrivere le differenze tra le…

Leggi il resto dell'articolo su: https://www.ictpower.it

Linux e la coperta corta della sicurezza contro le performance, tra Spectre e malware c’è poco da stare sereni

Sorgente: Mia mamma usa Linux! | Autore: Raoul Scarazzini

La scorsa settimana abbiamo parlato delle patch STIBP (Single Thread Indirect Branch Predictors, una protezione dalle varianti di Spectre) e di come queste avessero influenzato negativamente le performance del Kernel Linux, al punto che Linus Torvalds era intervenuto, educatamente, sottolineando l’importanza di rendere opzionali questo genere di patch così impattanti. Bene, lo scorso venerdì sono state pubblicate le nuove release dei vari Kernel attualmente manutenuti, in particolare le versioni 4.19.4 e 4.14.83 hanno visto includere il revert (o annullamento) della patch relativa a STIBP. Le patch originali erano già un backport dal ramo 4.20, ma visti i problemi di performance evidenziati ed il continuo sviluppo che ancora è eseguito in ambito STIBP si è preferito optare per il revert. La questione risulta interessante per sollevare nuovamente il tema dei problemi alle CPU, di cui abbiamo tanto parlato, da cui è necessario proteggersi: performance e sicurezza non andranno mai d’accordo, almeno fino a quando non verranno prodotte CPU non affette da Meltdown e Spectre, ed il giorno della loro distribuzione di massa è ancora lontano. Se a tutto questo aggiungiamo le altre minacce che ogni giorno vengono scoperte, c’è poco da stare tranquilli. L’ultima minaccia di questo tipo in ordine di [...]

Leggi il resto dell'articolo su: https://www.miamammausalinux.org

Trasforma il tuo Windows 10 in una PenTest Box con WSL e KALI Linux

Sorgente: ICT Power | Autore: Gianluca Nanoia

E’ già passato qualche mese da quando sul Windows Store è disponibile KALI Linux, una distribuzione creata per contenere tutti i tools utilizzati durante un Penetration Test. Avevo sicuramente sottovalutato le sue potenzialità, perché immaginavo fosse più un giocattolino che…

Leggi il resto dell'articolo su: https://www.ictpower.it

Posta elettronica certificata: riferimenti normativi e funzionamento della PEC

Sorgente: ICT Power | Autore: Ermanno Goletto

Introduzione La posta elettronica certificata (PEC) è un sistema di trasmissione sicuro e regolamentato dalla legge, per inviare documenti e messaggi di posta elettronica con valore legale. Viene istituita come versione digitale della raccomandata con ricevuta di ritorno e punta…

Leggi il resto dell'articolo su: https://www.ictpower.it

Avete aggiornato PostgreSQL ? Per sicurezza meglio farlo in fretta.

Sorgente: Mia mamma usa Linux! | Autore: Matteo Cappadonna

Non molto tempo fa vi abbiamo parlato dell’uscita del nuovo PostgreSQL 11, con notevoli miglioramenti di performance rispetto alle versioni precedenti. Beh, a meno di un mese di distanza ecco che arriva il rilascio di PostgreSQL 11.1; ma aspettate, contemporaneamente gli antagonisti di MySQL forniscono anche aggiornamenti per le precedenti release, pubblicando le versioni 10.6, 9.6.11, 9.5.15, 9.4.20 e 9.3.25. Ma per quale motivo questo blocco di update? Beh perchè, nonostante non se ne sia parlato molto se non al di fuori delle cerchie più ristrette di utenti, qualche giorno fa era uscita la CVE-2018-16850, dal testo abbastanza inquetante: CVE-2018-16850: SQL injection in pg_upgrade and pg_dump, via CREATE TRIGGER … REFERENCING Il problema era fondamentalmente un’SQL injection effettuabile mentre un amministratore ha in esecuzione i comandi pg_upgrade o pg_dump/pg_restore; soprattutto questi ultimi due sono particolarmente utilizzati per eseguire backup e restore degli schemi di PostgreSQL, quindi la possibilità che siano in esecuzione è parecchio elevata (o comunque, comune). E’ vero che per poter eseguire questa injection era necessario che l’utente utilizzato per attaccare avesse le permission di CREATE o di TRIGGER almeno su uno schema; peccato che per default tutti gli utenti di PostgreSQL abbiano la permission CREATE sullo schema [...]

Leggi il resto dell'articolo su: https://www.miamammausalinux.org

Password-less phone sign-in utilizzando l’app Microsoft Authenticator

Sorgente: ICT Power | Autore: Nicola Ferrini

Da qualche tempo è disponibile in Preview pubblica una nuova funzionalità dell’app Microsoft Authenticator che trovo particolarmente utile: autenticarsi ad Azure AD senza utilizzare una password, ma utilizzando esclusivamente l’applicazione dal proprio smartphone o dal proprio tablet. Con questa modalità…

Leggi il resto dell'articolo su: https://www.ictpower.it