SIAMO GEEK

Categoria: Internet

  • Heartbleed: non solo i server

    by heartbleed.comQuando si parla di heartbleed quasi tutti pongono l’accento sulla falla di sicurezza dei server.

    Ma le librerie OpenSSL sono utilizzate anche dai client, altrimenti chi si collegherebbe al server? 🙂

    Anche qui stiamo parlando di programmi prevalentemente Linux/FreeBSD o comunque in genere dei porting da Linux/FreeBSD su altre piattaforme.

    I programmi client utilizzano le stesse librerie e le stesse funzioni dei server. Tra questi si annoverano cURL e wget, molto utilizzati non solo dagli utenti per scaricare file, ma da molti script e programmi terzi per i medesimi scopi. Al di fuori del protocollo https, si può citare fetchmail.

    La libreria OpenSSL è utilizzatissima da quasi tutti i programmi che implementano SSL/TLS.

    È quindi essenziale che tutti aggiornino appena possibile OpenSSL ad una versione successiva la 1.0.1f, anche se non hanno server con abilitato https.

    Aggiornamento 13 aprile 2014 – Uno script in Python permette di verificare se un client è vulnerabile.

  • Heartbleed

    by heartbleed.comHeartbleed è il nome di una vulnerabilità molto seria scoperta sulla libreria OpenSSL dalla versione 1.0.1 alla 1.0.1f incluse.

    OpenSSL è utilizzata per il traffico https da molti software, tra cui Apache e nginx che da soli costituiscono il 66% dei server web, anche se bisogna rilevare che non tutti i server web hanno https abilitato.

    Microsoft Internet Information Server non è interessato da questo problema.

    I prodotti Apple non sono interessati dal problema, con l’eccezione dell’AirPort per cui è disponibile un aggiornamento.

    Tutto è cominciato nel 2012 con la release di OpenSSL 1.0.1 che introduce il supporto di RFC6520 e implementa l’heartbeat sulle connessioni TLS. Questa funzione serve a mantenere il canale aperto e impedire, quindi, che client e server debbano rinegoziare la connessione in caso di temporanea inattività. L’espediente dell’heartbeat o keep-alive è utilizzato in molti contesti in cui si invia un pacchetto dati senza informazioni con il solo scopo di resettare eventuali contatori di inattività.

    Il problema di OpenSSL è che una riposta al’heartbeat modificata ad arte può rivelare all’attaccante informazioni di vario tipo. Non è possibile utilizzare questa vulnerabilità per eseguire codice sul server remoto, ma questo non è certo un fattore mitigante, vediamo perché. (altro…)

  • L’amore ai tempi del computer… cambia!

    Qualche giorno fa sono stata al cinema per vedere Her (Lei). E’ il tentativo di esplorare il rapporto tra l’uomo e la macchina, un tentativo delicato e soffuso di malinconia. Non che non sia, ovviamente, a volte preda di momenti morti e comicità involontaria. E quella volontaria a volte lasciava perplessi… roba che il gatto di Schrodinger viene usato in maniera molto creativa in caso di ipotetico rilascio dalla sua scatola!

    Leggendone su wikipedia ho scoperto di un film di 30 anni fa esatti che cercava di fare lo stesso in maniera più scanzonata e creando un menage a trois con il computer Edgar ad intromettersi tra i due innamorati. Non l’ho ancora visto ma il dvd è stato preso e donato. Se ne prevede la visione a breve e spero di riuscire a tirare un parallelo migliore tra Lei ed Electric Dreams (1984). Intanto canzoni e trailer a confronto! (altro…)

  • Spam nell’oggetto

    SPAM nell'oggettoOgni tanto gli spammer riescono ancora a stupirmi.

    Ieri sera ho ricevuto una mail di spam riprodotta a lato il cui messaggio di spam era tutto nell’oggetto.

    Analizzando gli header, risulta che la mail è partita effettivamente da un account di Yahoo! giapponese, la cui validità è verificata anche dal DKIM, con buona pace di chi si illude che questa tecnologia possa servire ad evitare lo SPAM.

    Il malfattore ha utilizzato l’IP 41.207.194.14 della Costa D’Avorio per collegarsi al webmail di Yahoo! e inviare la mail.

    Se il sistema di filtro della posta elettronica lo permette e questo tipo di protezione non è già attiva, si potrebbe limitare la lunghezza dell’oggetto delle mail ad una dimensione ragionevole. Per la cronaca, la dimensione totale dell’header Subject della mail qui riprodotta è di 3501 byte.

  • Risolvere i nomi a casa propria

    by Paul MasonOgni server che ho installato da che ci sono le connessioni fisse a Internet ha sempre avuto un DNS server locale senza inoltro al DNS del provider.

    Il DNS è spesso visto come una bestia nera da parte di molti tecnici, secondo forse solamente al subnetting delle classi IP. Su Linux uno dei problemi di BIND è che nelle prime versioni non era esattamente verboso in merito ai messaggi di errore, anzi era del tutto ermetico, quasi binario: o partiva o non partiva e forse ti faceva la grazia di dire qual era la zona con l’errore, ma poi erano affari tuoi.

    Questo ha fatto in modo che, negli anni, molti tecnici abbiano sempre evitato di aver a che fare con la bestia e preferivano delegare ad altri la (ri)soluzione del problema.

    La risoluzione di un nome a dominio è una faccenda troppo delicata per essere lasciata in mano a terzi, specialmente da quando sono iniziati gli attacchi ai DNS.

    Le buone ragioni per avere un DNS locale sono molteplici e sono di gran lunga maggiori di quelle che consigliano di non averlo: (altro…)

  • Operation Windigo

    Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.

    Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.

    Questa è più o meno la scansione degli eventi:

    • agosto 2011: il server di kernel.org viene compromesso (tornerà online in ottobre);
    • novembre 2011: Steinar Gunderson pubblica la prima analisi tecnica di Linux/Ebury, un trojan che colpisce i server ssh;
    • febbraio 2013: cPanel denuncia che alcuni suoi server sono stati infettati da Linux/Ebury; il CERT tedesco inizia ad avvertire alcune vittime del medesimo trojan;
    • aprile 2013: Sucuri pubblica la prima analisi tecnica di Linux/Cdorked, una backdoor che colpisce Apache, Nginx e lighttpd;
    • giugno 2013: viene trovato un nesso tra Linux/Ebury e Linux/Cdorked; l’analisi di frammenti di traffico rivela che Linux/Ebury ha infettato oltre 7.500 server;
    • luglio 2013: viene scoperto Perl/Calfbot, legato ai due malware di cui sopra;
    • settembre 2013: l’analisi del traffico rivela che Linux/Cdorked genera oltre un milione di ridirezioni in due giorni;
    • ottobre 2013: l’analisi del traffico rivela che oltre 12.000 server sono infettati da Linux/Ebury;
    • gennaio 2014: l’analisi del traffico di un C&C di Perl/Calfbot rivela che il bot genera 35 milioni di messaggi al giorno.

    (altro…)

  • Testimonianza di Snowden al Parlamento Europeo

    Lo scorso dicembre la Commissione per le libertà civili, giustizia e affari interni del Parlamento Europeo ha inviato ad Edward Snowden alcune domande nell’ambito dell’inchiesta sulla sorveglianza di massa dei cittadini europei.

    Snowden ha deciso di partecipare con una diretta video, che non è ancora stata resa pubblica, ma è disponibile una trascrizione di domande e risposte riprodotta alla fine di questo articolo e scaricabile anche in formato PDF tramite il link nell’IFRAME di Scribd.

    La lettura del testo è molto interessante: non contiene nulla di nuovo, ma fa il punto sulla posizione di Snowden e sulle sue motivazioni.

    Dal punto di vista tecnico questo passaggio è degno di nota:

    The good news is that there are solutions. The weakness of mass surveillance is that it can very easily be made much more expensive through changes in technical standards: pervasive, end-to-end encryption can quickly make indiscriminate surveillance impossible on a costeffective basis. The result is that governments are likely to fall back to traditional, targeted surveillance founded upon an individualized suspicion. Governments cannot risk the discovery of their exploits by simply throwing attacks at every “endpoint,” or computer processor on the end of a network connection, in the world. Mass surveillance, passive surveillance, relies upon unencrypted or weakly encrypted communications at the global network level.

    Come molti esperti del settore ripetono da tempo, la cifratura dei dati è utile; per citare un esempio, si veda il discorso di Mikko Hyppönen sulla NSA. (altro…)

  • Attacchi ai router ADSL

    luce rossaTeam Cymru ha pubblicato un report [PDF] che descrive una serie di attacchi portati ai router ADSL di fascia casalinga o SOHO.

    I dispositivi coinvolti sono di molte marche tra cui TP-Link, ZxXEL, D-Link, Micronet, Tenda. Le vittime di questi attacchi sono concentrate in pochi Stati, tra cui anche l’Italia.

    L’attacco sfrutta delle vulnerabilità del firmware dei dispositivi che permettono di modificare la configurazione dei dispositivi da remoto senza conoscere la password di accesso. Questi router permettono di modificare la configurazione da un IP esterno alla LAN per consentire al provider o comunque a chi fornisce il supporto di modificare le impostazioni senza intervenire sul posto. (altro…)

  • Attenzione alle webcam

    Wired riporta la notizia della condanna di un londinese condannato per voyeurismo per aver installato dello spyware sui computer delle vittime con il pretesto di sistemare il loro computer.

    Questi sono crimini odiosi perché si basano sulla buona fede delle persone e le colpiscono nella loro intimità, dove si dovrebbero sentire al sicuro.

    Oramai bisogna iniziare a considerare le telecamere come si considerano i microfoni in uno studio di trasmissione: sempre attive e pronte a trasmettere.

    Quando si sceglie l’acquisto di una webcam o di un portatile è bene prediligere i modelli che permettono di oscurare fisicamente l’ottica. Quando la telecamera USB non è in uso è bene staccarla; in un portatile la si può coprire con del nastro adesivo sui cui è collocato un pezzo di carta nell’area sopra l’ottica per evitare di contaminare con la colla la parte trasparente. Se non si vuole staccare la webcam USB, si può costruire un duomo di cartoncino con cui coprire l’apparecchio quando non è in uso oppure si può orientare la webcam verso una parete o una zona di poco interesse.

    Quello che trae maggiormente in inganno gli utenti è credere che la luce della telecamera si accenda “per forza” quando viene attivata la ripresa video. In realtà è un comando software, non è un collegamento elettrico e, come tale, può essere scavalcato o disabilitato.

    Donne e minorenni dovrebbero essere particolarmente sensibilizzati in merito a questo problema perché sono spesso le vittime più colpite e le più ricattabili.

  • L’insostenibile difficoltà di mandare una mail

    round-hole-square-pegSe pensate che impostare un client di email per inviare tramite SMTP autenticato sia facile e lineare, non avete mai cercato di fare parlare assieme Apple Mail e Plesk.

    Apple Mail e` il client di email installato di default sui Mac. Plesk e` un sistema (composto di varie parti, alcune delle quali open source) che serve a fornire servizio di hosting (web, email, dns, ecc) in maniera semplice e soprattutto in modo da renderlo facilmente gestibile dal cliente.

    (altro…)

  • Il bug che non ti aspetti

    Per chi lavora in ambito IT è una esperienza comune sentire un utente lamentarsi per un programma che ha un errore e non funziona correttamente.
    Per quanto il mondo informativo sia spesso oggetto di scherno, sappiamo che in generale gli applicativi vengono sottoposti a un debug abbastanza attento prima del rilascio e normalmente non contengono errori di grande entità, soprattutto in relazione alla loro complessità. Normalmente si tratta semplicemente di un utente che non ha mai letto il manuale e sta cercando di far fare al software qualche operazione in maniera scorreta.
    Tuttavia i bug esistono e se ne trovano anche in software blasonati.

    Settimana scorsa stavo scrivendo un frammento di codice che interpreta un feed RSS e crea tanti oggetti quanti sono i posts in modo da poterli manipolare all’interno della mia applicazione. Le proprietà dell’oggetto post nel mio applicativo sono fortemente tipizzate, quindi la classe post contiene una proprietà PubDate che rappresenta un oggetto di tipo DateTime. Dato che la data nel feed è semplicemente una stringa di testo, questa va sottoposta a una operazione di Parsing per essere identificata come una data.

    Questo è molto semplice da fare nel .NET Framework: la data nel feed è formattata in quello che è volgarmente definito RFC1123 (che in effetti si basa sullo standard ISO8601) e il framework mette a disposizione la funzione DateTime.Parse che fa tutto il lavoro di conversione dandole semplicemente come input la stringa di testo.

    Provo la funzione, tutto bene.
    Tutto bene fino a quando il software non arriva a processare la data Sun, 15 Mar 2009 22:02:44 +0000. (altro…)

  • Download degli installer

    Installer downloadUna volta i software li comperavi su floppy, poi su CD/DVD, adesso li scarichi.

    Nulla di male nell’idea, salvo alcuni problemi di implementazione legati a casi specifici.

    La maggior parte dei produttori di software offre la possibilità di scaricare i pacchetti in http[s], come ci si aspetta che avvenga normalmente. In questo caso si può accedere al sito anche da un server che rimane sempre acceso e avviare il download in tranquillità. Kaspersky, Veeam, F-Secure, Microsoft e altri fanno così: hanno una banda adeguata (o delle tecnologie adatte di distribuzione dei server) tale per cui i pacchetti di installazione arrivano ad una velocità pari quasi al massimo della banda.

    VMware offre il meglio dei due mondi: quando si scarica un pacchetto di installazione si può scegliere se utilizzare http[s] oppure avviare un client Java che, reinventando BitTorrent, si collega a più server e scarica velocemente il software. Se si dispone di una bella banda i file arrivano veramente alla velocità del suono.

    Poi c’è Symantec. (altro…)