SIAMO GEEK

Autore: Luigi Rosa

  • MSIE + Flash = 0-Day

    Nuovo Zero-Day di Internet Explorer con installato il plugin di Adobe Flash.

    Secondo Microsoft stessa la vulnerabilità interessa tutte le versioni del browser dalla 6 alla 11 incluse, anche se lo 0-day che è stato analizzato (ma non è detto che non ne esistano altri) colpisce solamente le versioni dalla 9 alla 11 incluse.

    La vulnerabilità in questione permette all’attaccante di eseguire codice arbitrario sul computer della vittima (remote code execution) bypassando ogni tipo di protezione sia se viene utilizzato Internet Explorer come browser sia se viene utilizzato per visualizzare i contenuti HTML all’interno di altri programmi, come Outlook. (altro…)

  • Prendere senza dare

    Per alcuni capi progetto avidi l’open source e assimilati rappresentano solamente una cornucopia da cui attingere a piene mani.

    In pochi tra i big della tecnologia hanno scelto di non utilizzare software con licenze GPL o similari; tra questi, ovviamente, Microsoft, anche se è impossibile resistere alla tentazione di rubare (RUBARE!) senza rispettare i termini di licenza. Anche una società come Sony ha fatto largo uso negli anni di software GPL e ha rispettato i termini della licenza.

    (altro…)

  • DHCPv6: il DUID

    Il DHCPv6 è un chiaro esempio di come IPv4 e IPv6 siano differenti tra loro, non solo nell’ampiezza degli indirizzi.

    Una di queste differenze sostanziali è il metodo con cui viene determinata l’univocità di un host ai fini del rilascio di un IPv6.

    In IPv4 il DHCP (figlio del bootp) utilizza il MAC address di una scheda di rete per riconoscere univocamente un host. Due conseguenze abbastanza seccanti sono che un host cambia l’identificativo univoco se viene sostituita una scheda di rete (o viene realizzato un team di schede) e che un host ha tanti identificativi univoci quante sono le porte di rete. Alcuni driver permettono di sovrascrivere il MAC Address, ma la cosa esula dalla trattazione.

    DHCPv6, descritto in RFC3315, utilizza il DUID (DHCP Unique Identifier), che è univoco per tutte le porte di rete e viene calcolato una volta sola nella vita dell’installazione di un sistema operativo. Va da sé che, essendo memorizzato su un supporto riscrivibile, il DUID può essere alterato.

    (altro…)

  • Attenzione alle HP iLO

    Chi ha una HP iLO versione 1 o 2 esposta a Internet è vulnerabile ad un DoS.

    Le iLO 1 e 2 non sono vulnerabili a heartbleed, ma se sono oggetto di scansione per verificare la vulnerabilità crashano miseramente.

    Siccome la iLO è fatta per restare viva anche quando il server è spento (ma è ovviamente attaccata la corrente), l’unico metodo per riprendere una iLO crashata è staccare la spina (o le spine) del server, attendere che si scarichino i condensatori e riattaccare la spina.

    Chi pensa di essere al sicuro perché tanto l’URL della iLO esposta a Internet non è pubblicato è invitato a scrivere (ad esempio) "ilo" "Copyright 2008, 2013 Hewlett-Packard Development Company, L.P." (con le virgolette) nel campo di ricerca di Google.

    HP ha rilasciato un aggiornamento al firmware della iLO che corregge questo problema. La iLO2 aggiornata riporta la versione del firmware 2.25 del 14 aprile 2014.

    Anche se la iLO non è esposta a Internet è comunque consigliabile aggiornare il firmware.

    Ho appena aggiornato due iLO di due host VMware usando la funzione di aggiornamento via interfaccia web della iLO senza avere problemi e ovviamente senza dover riavviare il server. (via ISC)

  • Revoca dei certificati

    Heartbleed ha provocato una valanga di revoche di certificati che durerà ancora per qualche tempo.

    Il metodo più vecchio per verificare se un certificato è stato revocato è la Certificate Revocation List (RFC3280). In tempi più recenti viene utilizzato l’Online Certificate Status Protocol (RFC6960), che si basa su http (senza rendere obbligatoria la cifratura dei dati) ed evita al client di dover decodificare un certificato di revoca.

    La verifica online di un certificato in molti contesti è il sistema migliore, specialmente in situazioni come quella creata da Heartbleed in cui i certificati vengono revocati velocemente a causa della compromissione di quelli vecchi. Tuttavia questo metodo non è esente da problemi, in quanto il server che gestisce le revoche potrebbe essere non raggiungibile oppure il browser potrebbe essere tratto in inganno ed utilizzare un server configurato ad arte. (altro…)

  • Tails

    TailsTails è una distribuzione Linux basta su Debian che mette in primo piano la sicurezza e la privacy dell’utente.

    Una volta scaricato l’ISO la soluzione più pratica è creare una chiavetta USB avviabile.

    All’avvio si può scegliere l’opzione di utilizzare un tema del desktop simile a Windows XP per evitare di attirare troppo l’attenzione di curiosi, anche se con la fine del supporto di XP questa funzione diventa sempre meno utile; per default, Tails cerca di randomizzare il MAC address della scheda di rete utilizzata. (altro…)

  • L’infrastruttura

    Unable to connectDurante questo weekend di Pasqua ho trascorso un paio di giorni in una nota località turistica delle Alpi lombarde.

    Sabato 19 avevo la necessità di inviare via mail un allegato di 30.270 byte. Dal momento che ho una chiavetta dati con il mio fornitore di connettività cellulare (contratto business) ho pensato di utilizzare quella per connettermi a Internet e inviare l’allegato. Povero illuso. (altro…)

  • Ubuntu 14.04 LTS Trusty Tahr

    UbuntuVersione importante in quanto si tratta di una Long Term Support.

    A differenza delle versioni normali, il cui supporto termina dopo nove mesi, le LTS vengono supportate per cinque anni, sia nella versione desktop sia nella versione server. Sono concepite per chi vuole un ambiente stabile e non è interessato alla corsa per installare sempre l’ultima versione disponibile. Le versioni di Ubuntu escono ogni sei mesi, ogni due anni una di queste è LTS.

    Trusty Tahr potrebbe essere una buona occasione per dare nuova vita ad un PC casalingo con XP (o anche con Vista) che non si vuole buttare via. In questo caso sarebbe buona cosa installare Ubuntu su un hard disk diverso da quello con su Windows assistiti da qualche smanettone che vi può seguire nell’operazione. Gli hard disk hanno prezzi accessibili e se si conserva il vecchio disco è sempre possibile tornare indietro a Windows nel caso in cui qualcosa vada male.

    Chi arriva dalla 12.04 LTS dovrà prima leggere attentamente tutte le note di rilascio e di aggiornamento dei software che ha installato, in quanto le novità sono davvero tante.

    (altro…)

  • Questionario

    Lavorate per una società che distribuisce software di contabilità?

    Siete le persone che intervengono presso i clienti (fisicamente o da remoto) per installare, aggiornare, o comunque manutenere quei software?

    Siete tra quelli che creano ogni volta un backup completo di tutto il programma anche se aggiornate un solo file?

    Il suddetto backup lo fate copiando tutta la struttura di directory in una directory con un nome casuale o comunque senza una logica che accomuna tutti i backup?

    Non cancellate mai i vecchi backup dei programmi che voi avete creato intasando il server e, soprattutto, i backup (quelli veri) che fa il vostro cliente?

    Se avete risposto a tutte queste domande sappiate che vi voglio male, vi odio e vi auguro le peggio cose ogni volta che devo mettere le mani sui server.

  • Heartbleed: non solo i server

    by heartbleed.comQuando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server.

    Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? 🙂

    Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme.

    I programmi client utilizzano le stesse librerie e le stesse funzioni dei server. Tra questi si annoverano cURL e wget, molto utilizzati non solo dagli utenti per scaricare file, ma da molti script e programmi terzi per i medesimi scopi. Al di fuori del protocollo https, si può citare fetchmail.

    La libreria OpenSSL è utilizzatissima da quasi tutti i programmi che implementano SSL/TLS.

    È quindi essenziale che tutti aggiornino appena possibile OpenSSL ad una versione successiva la 1.0.1f, anche se non hanno server con abilitato https.

    Aggiornamento 13 aprile 2014 – Uno script in Python permette di verificare se un client è vulnerabile.

  • Cosa ci serve?

    La definizione chiara delle necessità è uno degli aspetti più trascurati quando si progetta di cambiare parte del sistema informativo.

    La ragionevolezza vorrebbe che quando si decide di cambiare o aggiornare una parte del sistema ICT si faccia un’attenta analisi della situazione attuale, delle necessità e dei fondi disponibili. Con questi dati si valutano assieme ai professionisti e ai fornitori le soluzioni tecniche disponibili che soddisfano le necessità, rientrano nel budget e si integrano il più possibile con la situazione attuale. Questa valutazione produrrà un elenco di una o più soluzioni tra cui verrà scelta quella da adottare.

    Sembra una procedura abbastanza ragionevole e lineare, anche se qui sopra è stata espressa per sommi capi e in maniera molto succinta.

    (altro…)

  • Heartbleed

    by heartbleed.comHeartbleed è il nome di una vulnerabilità molto seria scoperta sulla libreria OpenSSL dalla versione 1.0.1 alla 1.0.1f incluse.

    OpenSSL è utilizzata per il traffico https da molti software, tra cui Apache e nginx che da soli costituiscono il 66% dei server web, anche se bisogna rilevare che non tutti i server web hanno https abilitato.

    Microsoft Internet Information Server non è interessato da questo problema.

    I prodotti Apple non sono interessati dal problema, con l’eccezione dell’AirPort per cui è disponibile un aggiornamento.

    Tutto è cominciato nel 2012 con la release di OpenSSL 1.0.1 che introduce il supporto di RFC6520 e implementa l’heartbeat sulle connessioni TLS. Questa funzione serve a mantenere il canale aperto e impedire, quindi, che client e server debbano rinegoziare la connessione in caso di temporanea inattività. L’espediente dell’heartbeat o keep-alive è utilizzato in molti contesti in cui si invia un pacchetto dati senza informazioni con il solo scopo di resettare eventuali contatori di inattività.

    Il problema di OpenSSL è che una riposta al’heartbeat modificata ad arte può rivelare all’attaccante informazioni di vario tipo. Non è possibile utilizzare questa vulnerabilità per eseguire codice sul server remoto, ma questo non è certo un fattore mitigante, vediamo perché. (altro…)