SIAMO GEEK

Categoria: Internet

  • Kill Apache

    E’ stata “portata alla luce” una vulnerabilita’ di Apache che permetterebbe ad ogni simpatico burlone di buttar giu’ il vostro Apache (da 1.3 in su) molto facilmente.

    Il baco sfrutta un “Range Request” malformato che e’ pero’ accettato nei dati dell’header HTTP.

    Il pezzo di codice (e’ nel core di Apache stesso) e’ stato scritto nel 2007, pero’ e’ venuto alla luce in questi giorni. I complottisti si chiederanno il perche’ e il percome, io metto la patch ai miei front di produzione, e spero non me ne vogliano gli utilizzatori di MSIE 3 e Netscape 2.3… il vostro browser non sara’ piu’ supportato 😉

  • Tracciare gli utenti tramite la cache del browser

    Ci sono vari modi con i quali è possibile tracciare gli utenti anche senza l’utilizzo dei cookies, di seguito elenco quelli citati da Mike Cardwell.

    • Entity tag
      Il server web  invia un header HTTP di questo tipo:
      ETag: "un_id_univoco"
      Quando il browser ricarica la medesima risorsa in un momento successivo invia un header HTTP di questo tipo:
      If-None-Match: "un_id_univoco"
    • Dati creati ad arte nel header Last-Modified
      Il server può inviare un header di questo tipo:
      Last-Modified: data_univoca_creata_ad_arte
      Quando il browser ricarica la medesima risorsa in un momento successivo invia un header HTTP di questo tipo:
      If-Modified-Since: "data_univoca_creata_ad_arte"
    • ID univoco mascherato in un CSS
      Il server invia al client un CSS generato dinamicamente come questo con una data di scadenza della cache molto lunga:
      #elemento { background-image:url('/tracker.php?un_id_univoco') }
      Quando il browser (ri)carica ricarica l’URL specificato, il server traccia l’ID univoco e invia un elemento con un header HTTP che ne inibisce la conservazione nella cache.
    • Nascondere un ID univoco in un’immagine e leggerela con JavaScript e canvas.
      Il server invia un’immagine con un ID univoco al client specificando un tempo di permanenza in cache molto lungo. In seguito, l’ID può essere recuperato con la funzione canvas di JavaScript.

    (altro…)

  • Zero day in un’utility di visualizzazione immagini di WordPress

    È stata scoperta una vulnerabilità nell’utility TimThumb utilizzata da molti temi di WordPress per visualizzare le immagini.

    TimThumb è ampiamente utilizzato da numerosi temi, sia gratuiti sia commerciali.

    La vulnerabilità può essere sfruttata per caricare ed eseguire del codice PHP direttamente dalla directory di cache di TimThumb.

    Per risolvere il problema bisogna cercare il file timthumb.php all’interno dell’installazione di PHP e modificarlo, se necessario. Se viene utilizzato da un tema, il file si trova in wp-content/themes/[nome del tema]/ o in una delle sue sottodirectory.

    Il metodo per trovare il file, se esiste, e di editarlo dipende dall’installazione di WordPress e dalla modalità con cui si accede ad essa.

    Una volta identificato il file, bisogna cercare nelle prime righe se esiste questo pezzo di codice:

    // external domains that are allowed to be displayed on your website
$allowedSites = array (
        'flickr.com',
        'picasa.com',
        'blogger.com',
        'wordpress.com',
        'img.youtube.com',
        'amazonaws.com',
);

    che deve essere sostituito con un array vuoto:

    // external domains that are allowed to be displayed on your website
$allowedSites = array ();

    Se il codice non esiste, si sta utilizzando una versione più vecchia dell’utility, che non dovrebbe essere interessata dal baco.

    Per la cronaca, la skin di Siamo Geek non contiene TimThumb. (via The Hacker News)

  • 404 Project

    Internet Storm Center ha avviato un progetto per raccogliere i dati dei tentativi di accesso per forza bruta ad eventuali applicativi web con delle vulnerabilità note.

    Il progetto si basa sulla cooperazione volontaria dei webmaster che integrano uno script PHP nella pagina dei errore 404.

    Per prima cosa, è necessario creare un account su ISC. Una volta creato si annotano il codice utente (il numero tra parentesi dopo la mail che compare nella colonna di destra) e l’authentication key; entrambi si possono reperire seguendo il link My Information dopo essersi autenticati.

    Quindi si scarica lo script PHP e si istruisce Apache per eseguirlo ad ogni tentativo di caricare una pagina non esistente. Lo script è molto semplice e trasmette pochi dati a ISC.

    Lo scopo del progetto è di raccogliere dati sufficienti per capire quali siano i bersagli favoriti dalle sonde automatiche che scandagliano i siti. (via ISC)

     

  • Google rileva alcuni computer infetti

    Google ha introdotto un sistema che riconosce un’attività insolita proveniente dai client, che è sicuramente riconducibile ad in malware.

    Se un client infetto da questo tipo di malware si connette a Google, il motore di ricerca presenta nella parte alta della pagina dei risultati della ricerca una schermata come questa:

    Se, quindi, dovesse apparire un messaggio simile, probabilmente scritto nella lingua che avete selezionato in Google, è il momento di aggiornare l’antivirus o di installarne uno migliore.

    Il sistema è in grado di individuare i PC infetti anche nel caso in cui facciano rimbalzare la richiesta attraverso un computer terzo. (via Google Security Blog)

  • Vittoria di Pirro

    L’analogia tra un episodio che ha coinvolto la stampa belga e il fatto storico è più che mai adatta.

    Nel 2006 Copiepresse ha trascinato Google in tribunale sostenendo che l’attività di Google News violava il diritto d’autore di alcuni giornali.

    Nel maggio 2011 la sentenza passa in giudicato e Google viene obbligato a rimuovere ogni link ai giornali che hanno fatto causa.

    Il motore di ricerca ottempera alla direttiva della corte, ma subito dopo i giornali parlano di comportamento vendicativo.

    Ieri i giornali in questione hanno concesso il permesso a Google di reintegrare i contenuti nel motore di ricerca.

    Una vicenda che si commenta da sola.

  • 100 per ogni atomo sulla faccia della Terra

    L’Interrete di cose apre delle possibilità mica male. Ad esempio, anche voi volete farvi informare via SMS se la vostra vacca è incinta?

    (altro…)

  • Mappa interattiva dei cavi sottomarini

    Greg Mahlknecht ha raccolto le informazioni disponibili sui cavi sottomarini.

    Il sito contiene una mappa interattiva liberamente consultabile con tutti i cavi dati sottomarini di cui sono note le informazioni.

    I dati georeferenziati sono disponibili per il download e sono utilizzabili per scopi non commerciali.

  • Rilasciato GMER 1.0.15.15640

    Per chi non lo conoscesse si tratta di un tool totalmente gratuito di rilevazione e rimozione dei rootkit per i seguenti sistemi windows:

    NT, 2000, XP, VISTA, 7

    E’ piuttosto sofisticato e rileva processi nascosti, attività sospette di driver, file nascosti, settori del disco nascosti etc.

    Per download ed informazioni:

    http://www.gmer.net/

  • DNS poisoning

    Leggo che il tema del DNS poisoning è ancora attuale, circa tre anni dopo la sua esplosione.

    Prima di tutto, un’introduzione per chi non conosce il funzionamento del DNS.

    Ogni macchina su Internet è identificata da un indirizzo numerico (per ora, principalmente nella forma a.b.c.d dove le lettere rappresentano dei numeri da 0 a 255 decimale), ma è un dato difficile da ricordare e su uno stesso IP possono vivere più server virtuali, nel caso di httpd. È stato quindi creato un sistema che associa delle sequenze più facili da ricordare ad un indirizzo numerico: è più facile ricordare siamogeek.com piuttosto che 84.19.182.37. Il sistema per passare dal nome usato dagli umani all’indirizzo numerico utilizzato dalle macchine è detto risoluzione del nome, il quale si basa sul sistema dei nomi a dominio (DNS). Quando voglio risolvere siamogeek.com, il mio computer genera un numero di sicurezza a caso tra 0 e 65.535 e lo scrive in una richiesta che invia al server DNS di riferimento (quello definito nelle impostazioni del TCP/IP del computer). Il server DNS, elabora la richiesta e risponde allegando quel numero nella risposta per fare in modo che io abbia la (relativa) sicurezza che mi ha risposto il server legittimo e non un malintenzionato. Prima del 1995 i numeri erano scelti in sequenza e, quindi, facilmente indovinabili; ora tutti i computer li scelgono a caso, ma la bontà della casualità della scelta dipende dalla piattaforma che la esegue e, quindi, potrebbe essere facilmente indovinabile. (altro…)

  • FabFi

    FabFi è una rete mesh ibrida open source nata in Afghanistan e attiva anche in Kenya.

    Le reti mesh operano in un modo molto simile a come era stata prevista Internet dall’ARPA,  dal momento che ogni nodo ha il compito di rilanciare anche i dati di altri nodi per collaborare alla loro distribuzione. In altre parole, se un gruppo di nodi va giù, una rete mesh può comunque far funzionare i nodi attivi cambiando il routing del traffico.

    FabFi utilizza materiali facilmente reperibili per realizzare i ponti radio tra i vari nodi. Le parabole che interconnettono i router sono realizzate utilizzando come riflettore diversi oggetti metallici.

    L’estrema versatilità di FabFi consente di collegare due nodi sia via radio sia via cavo.

    Il software che gira sui router si basa su OpenWrt e permette il monitoraggio in tempo reale della rete (link al grafico dell’Afghanistan), il sistema di tariffazione, il controllo di accesso centralizzato e un sistema di caching locale. Le ultime release del software permettono di gestire anche i router 802.11n.

    La rete funziona grazie allo sforzo degli operatori dei singoli nodi, che dedicano le loro risorse di tempo e denaro per attivare e manutenere il loro nodo, permettendo a tutta la rete di funzionare correttamente. Non vi ricorda un po’ FidoNet? 😉

  • Reset delle password di WordPress.org

    Ieri le password degli account di WordPress.org sono state resettate e gli utenti devono sceglierne una nuova.

    La decisione segue una serie inusuale di aggiornamenti di vari plugin molto utilizzati, tra cui AddThis, WPtouch e W3 Total Cache. Un’analisi ha rivelato che tutti questi aggiornamenti contenevano una backdoor e che le nuove versioni non erano state caricate dagli sviluppatori.

    Gli amministratori hanno ripristinato la versione dei plugin senza backdoor e hanno deciso di resettare le password di tutti gli utenti.

    Se avete un account su WordPress.org andate su questa pagina per impostare la nuova password.

    Come al solito, vale la regola che non è una buona idea utilizzare la medesima password per siti differenti.