Karsten Nohl, expert german în computere şi-a petrecut ultimele 5 luni demostrând că se poate sparge algoritmul de criptare A5-1 vechi de 22 ani şi folosit în întreaga lume la codificarea convorbirilor între utilizatorii de telefonie celulară.
Criptarea semnalului radio care circulă prin eter, face practic convorbirea între doi utilizatori “privată”. Tehnologia GSM utilizată în prezent, dovedit compromisă asigură deservirea a nu mai puţin de 4 miliarde de beneficiari!

Karsten Nohl a explicat pentru BBC News:
Orice funcţie de criptare ar trebui să fie ca un drum cu sens unic!
Nu ar trebui sa fie posibilă decriptarea fără cheia secretă!

Toate combinaţiile posibile rezultate în urma spargerii codului au fost sistematizate într-o bază de date, procedeu similar unei cărţi de telefon, unde dacă se caută un nume, se poate afla numărul. Astfel, oricine ar fi in posesia “cărţii” şi ar investi vreo 3000$ în aparatură de interceptare/înregistrare radio ar putea fi în măsură să decodifice convorbiri voce sau text.

Dar nu în timp real. Pentru a realiza operaţiunea în timp real ar fi nevoie de aparatură de vreo 30.000$. Ceea ce nu e deloc nici practic, nici economic. Doar guvernele sau organizaţiile criminale cu mulţi bani şi-ar putea permite acest lux, lucru recunoscut de însuşi Ian Meakin, reprezentant al firmei Cellcrypt care se ocupă de probleme de criptare în comunicaţii mobile.

În prezent nimeni nu ar trebui să-şi facă probleme. Karsten Nohl a dorit sa dovedească acest lucru posibil folosindu-se de aparatura şi tehnologie de sute de mii dolari. Deşi au mai existat zvonuri încă din 1994 că sistemul GSM ar fi compromis, aceasta nu s-a concretizat în absolut nimic până în prezent.

Traducere după: BBC News
 

1. Crearea de linkuri “custom” pentru administrare.
Un plugin denumit Stealth Login pune în practică linkuri custom pentru Login, Logout, administrare.

2. Alegerea unei parole “Strong”
Un ghid despre alegerea unei parole Create Strong Passwords.

3. Limitarea încercărilor de Logare
Un plugin denumit Login Lockdown face inutile toate scripturile special create de hackeri pentru “ghicirea” de parole.

4. Adresa de logare “Secure SSL”
Forţarea în mod SSL tuturor paginilor din wp-admin cu ajutorul unui plugin de wordpress, Admin SSL.

5. Protejarea cu parolă a directorului wp-admin
Se poate face din cPanel, dar exista şi un plugin, AskApache Password Protect care criptează parola şi creează o filă .htpasswd.

6. Limitarea accesului în wp-admin pe bază de IP
Se creează o filă .htaccess în folderul wp-admin, în care se configurează:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic

order deny,allow
deny from all
# whitelist Gheorghe’s IP address
allow from xx.xx.xx.xxx
# whitelist Vasile’s IP address
allow from xx.xx.xx.xxx
# whitelist Ioana’s IP address
allow from xx.xx.xx.xxx
# whitelist Servici IP address
allow from xx.xx.xx.xxx

7. Nu utiliza niciodată username “admin”
În cazul utilizării de hackeri a brute force atack, e luată cel mai des în calcul posibilitatea username=admin, varianta default.
Se crează un alt user cu rol de administrator (wp-admin/profile.php) după care userul admin care era default se şterge.

8. Eliminarea mesajelor de eroare din pagina de login.
Când un hacker introduce unusername sau o parolă greşit, mesajul de eroare îl informează ce anume este incorect.
Concret, se deschide fila functions.php din folderul temei temei unde se introduce linia de cod:
<?php add_filter('login_errors',create_function('$a', "return null;"));?>

9. Utilizarea de parole criptate pentru login
Plugin necesar: Semisecure Login Reimagined

10. Antivirus pentru WordPress
Plugin care scanează zilnic filele wp, combate exploit-uri şi malware.

11. Întotdeauna update de urgenţă la ultima versiune WP
Pune wordpress-ul la adăpost de bug-urile şi exploit-urile descoperite până în prezent.

12. Parola “One time” (adică de unică folosinţă!)
One Time Password este un plugin care creează o parolă valabilă doar o singură sesiune.(!)

13. WordPress Firewall Plugin
Detectează, interceptează orice parametru suspect în măsură de a compromite soft-ul WordPress.

Rezumat după un articol de wpbeginner.com, VIA yo9fah, tradus de andrian.

Riscul de a da click pe un link scurtat

Simantec Security avertizează asupra riscului utilizării în general a serviciilor de Shortened URLs, în special cu referire la platformele de microblogging precum Twitter, Facebook, ş.a.

Răul pleacă de la imposibilitatea de a vedea concret unde anume duce linkul respectiv, probabilitatea de accesare a unui website cu conţinut virusat trebuie obligatoriu luată în calcul.

Bineînţeles că dacă folosiţi Simantec Internet Security care costă o groază de bani ve-ţi fi feriţi de astfel de capcane!

Din fericire atât pentru platforma FIREFOX cât şi IE există pluginuri de browser care verifică Shortened URL’s, arătând URL-ul final înainte de a da click pe el.

Video de mai jos arată un tweet maliţios în acţiune, cât de uşor se infectează un pc dintr-un singur click.

Problema de securitate WordPress

Critical security bug,

must read this.

Dacă în 12 august s-a trecut de la versiunea 2.8.3 la 2.8.4 din cauza unei vulnerabilităţi care permitea cu un “crafted URL” resetarea parolei de admin de către oricine şi admin-ul primea un email cu noua parolă (mai mult o glumă proastă), de data asta e mult mai lată.

• Fii atent două minute, nu vorbesc prostii sau poveşti din auzite, am văzut cu ochii mei că se poate.

Să zicem că un oarecare îşi face cont de subscriber de exemplu (că aşa e bifat default) la tine pe blog prin accesarea wp-register.php

Tu, ca şi administrator primeşti un email de la wordpress ca X şi-a făcut cont la tine pe blog cu adresa de email cutare.

X care şi-a facut cont primeşte la rândul lui un email cu o parola de la wordpress cu care se poate loga la tine în wp-admin, dar cu drepturi limitate, NU în calitate de admin.

Până aici OK, aici vine faza tare. El se loghează la tine în wp-admin în calitate de subscriber, şi mai departe tot printr-un “crafted URL” poate intra în mod admin, pe româneşte spus preia controlul asupra blogului.

Pentru a evita posibile neplăceri, dute în wp-admin/Settings/General şi DEbifează “Membership – Anyone can register”.
90% din voi nu aveţi nevoie de acest feature. Cel putin pînă când WordPress va rezolva şi acest bug într-un update viitor, dacă se prinde ce şi cum.