SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Un altro zero-day per Internet Explorer

    Questa storia rischia di diventare una rubrica settimanale.

    FireEye Labs ha scoperto un nuovo zero-day di Internet Explorer. Si tratta di un attacco ROP portato al programma quando questo verifica la data dell’header PE di msvcrt.dll. Se l’attacco va a buon fine, il malware può eseguire codice arbitrario sul computer della vittima (remote code execution).

    Il campione di malware esaminato da FireEye è destinato a Windows XP e 7 con Internet Explorer 7 e 8 versione inglese. Tuttavia la vulnerabilità esiste in tutte le versioni di Internet Explorer e il malware può essere facilmente modificato per attaccare altre versioni e altre localizzazioni del software.

    Non sono disponibili patch per questo problema, l’unica soluzione è evitare di utilizzare Internet Explorer oppure installare e configurare Microsoft EMET. (via ISC)

    Aggiornamento 12/11/2013 – Questo baco verrà corretto con il patch tuesday di oggi.

  • Prodotti Microsoft vulnerabili ai file TIFF

    TIFFAlcuni prodotti Microsoft sono sensibili ad un attacco portato attraverso file grafici TIFF.

    Questo formato è sconosciuto ai più, ma ha una certa diffusione nel campo della grafica e assimilati: la regola generale è che se non l’avete mai sentito nominare è perché non avete mai avuto bisogno di utilizzarlo.

    Tuttavia è possibile attaccare una vittima inducendola ad aprire un file di Office che contiene un’immagine TIFF creata ad arte. Se viene aperto un file di questo tipo con un programma vulnerabile l’attaccante può eseguire dei programmi arbitrari sul computer della vittima (remote code execution).

    I programmi interessati sono:

    • Office 2003
    • Office 2007
    • Office 2010 (solamente se gira su Windows XP oppure Windows Server 2003)
    • Lync

    Questa vulnerabilità viene già sfruttata attraverso mail con allegati creati ad arte che, se aperti, possono eseguire programmi sul computer della vittima.

    Per ora non sono annunciate delle patch, Microsoft ha diramato un bollettino di sicurezza in cui viene spiegato come disabilitare il codec del formato TIFF. Chi non vuole smanettare troppo con la configurazione di Windows può delegare l’attività all’apposito Fix it. (via ISC)

    Aggiornamento 7/11/2013 – Ovviamente la diffusione dei vari exploit di questo baco è maggiore di quella ritenuta all’inizio. Prestate particolare attenzione a delle mail con allegati Word (DOC o DOCX).

    Aggiornamento 6/12/2013 – Microsoft ha annunciato che il problema verrà risolto nel patch tuesday di dicembre 2013.

  • Applicazioni ficcanaso

    F-Secure App PermissionsHo già detto circa la mia posizione sulle APP dei dispositivi mobili.

    Alcune sono, purtroppo, un male necessario ed è diritto dell’utilizzatore di un dispositivo sapere dove vada a ficcare il naso il software che viene installato.

    F-Secure ha creato la APP gratuita App Permissions che permette di sapere chi ha il permesso di fare cosa.

    Una volta avviata la App Permissions elenca per default le applicazioni installate in ordine decrescente di invasività. Non mi stupisco che WhatsApp sia in testa alla classifica, anche perché non ho la APP di Facebook.

    Oltre alla classifica meramente numerica di permessi è possibile vedere il proprio installato in ordine di possibili costi per il traffico dati, dispendio di batteria e impatto sulle informazioni personali. È anche possibile creare dei filtri personalizzati in base ai permessi.

    (altro…)

  • Tracciatura via Wi-Fi: come funziona?

    Wi-SpyUltimamente si parla molto di tracciatura delle persone attraverso il Wi-Fi, vediamo di seguito come funziona.

    Come al solito bisogna fare qualche passo indietro per spiegare un po’ di basi.

    Il Wi-Fi è codificato nella famiglia di standard 802.11 e occupa i primi due strati (Fisico e Collegamento) del modello ISO/OSI. Fuor di tecnicismi, il WiFi si occupa di trasportare al più basso livello possibile i dati, indipendentemente dal loro contenuto, ed ha come omologhi gli switch, i cavi e le schede di rete.

    Per funzionare correttamente e poter scambiare i dati ogni oggetto della rete Wi-Fi è identificato da un numero univoco, l’indirizzo MAC (Media Access Control). Il MAC è lungo 48 bit ed è visualizzato come una sequenza di numeri esadecimali da due cifre tipo  01-23-45-67-89-AB (oppure 01:23:45:67:89:AB). Il MAC identifica anche il rivenditore del dispositivo tramite la prima metà del codice: è possibile sapere che ha costruito il dispositivo consultando appositi database online (qui, qui, qui e qui). Ovviamente il MAC deve essere univoco ed è compito dei costruttori fare in modo che lo sia. Benché sia scritto nel firmware del dispositivo, è possibile modificare il MAC di una scheda di rete via software, quindi non c’è nessuna garanzia che un dispositivo abbia sempre lo stesso MAC in tempi diversi (ovvero c’è il legittimo sospetto che possa cambiarlo).

    Abbiamo, quindi, una rete via onde radio fatta di oggetti che dialogano tra loro attraverso dei codici di riconoscimento univoci (i MAC). Avete già capito.

    (altro…)

  • Lo strano caso di #badBIOS

    MicrocontrollerLa notizia non è freschissima, ma io me ne sono imbattuto solo ieri.
    Ammetto che, a un primo sguardo, potrebbe sembrare una bufala di proporzioni colossali che ogni professionista del IT sarebbe tentato di ignorare con una alzata di spalle, ma pare che sotto in effetti ci sia molto di più.
    E no, non è un pesce di Halloween.

    Tutto inizia tre anni fa, ma sale agli onori della ribalta con questo tweet

    https://twitter.com/alexstamos/status/393027135377399808

    Questo articolo su ArsTechnica racconta la storia di un misterioso malware che si è riprodotto per anni sui computer di Dragos Ruiu, un noto e rispettabile consulente di sicurezza informatica.
    Il malware pare responsabile per la cancellazione di files dalle memorie, di massa, la modifica di firmware di alcuni microcontroller all’interno del PC e per la capacità di impedire il boot di alcuni sistemi operativi o l’avvio da un disco ottico. (altro…)

  • Controspionaggio

    Tutti ci spiano. Prima era uno sospetto, adesso una certezza.

    Giornali, opinionisti, blog, social network… Tutti dicono che qualcuno ci spia, ma in pochi dicono come ci si può difendere.

    Va da sé che se un’entità governativa o militare decide di mettere una singola persona sotto sorveglianza, le probabilità di eludere la medesima sono veramente basse. Ma i casi presentati sono di raccolta di informazioni a strascico contro le quali qualcosa si può fare.

    La teoria da Stato totalitario secondo cui quelli che hanno la coscienza pulita non hanno nulla da temere non solo è contro ogni logica di libertà individuale, ma è confutabile con svariati esempi di “falsi positivi” in cui ci sono andati di mezzo proprio delle persone innocenti. Avere una vita privata senza interferenze è un diritto non negoziabile.

    La EFF ha pubblicato un decalogo per difendersi dalla sorveglianza a strascico su Internet che riassumo brevemente di seguito.

    (altro…)

  • Backdoor sui router D-Link

    Quello che era probabilmente un metodo per cambiare dinamicamente le impostazioni del router si è rivelato una pericolosissima backdoor.

    Craig Heffner ha scoperto che si può accedere all’interfaccia amministrativa di alcuni router D-Link senza che vengano chieste le credenziali impostando lo User Agent del proprio browser a xmlset_roodkcableoj28840ybtide (se letta al contrario la parte alfabetica è editby joelbackdoor).

    (altro…)

  • Apache: proteggere le directory di upload

    Nella sicurezza non esiste un solo silver bullet, ma ci sono tanti piccoli accorgimenti che aiutano a rafforzare un sistema.

    Uno dei problemi dei siti è il controllo e l’isolamento dei file caricati dagli utenti o da sconosciuti. Ci sono vari modi per mitigare eventuali  problemi che si possono verificare quando viene caricato un file indesiderato, qui ne viene esposto uno, ben sapendo che non si tratta dell’unico.

    Il tipico esempio di directory pericolosa per un sito è la directory /wp-content/uploads di WordPress. Un metodo per mitigare gli attacchi è disabilitare qualsiasi tipo di esecuzione di script o programmi da questa directory da parte di Apache aggiungendo queste direttive alla configurazione del sito:

    <Directory /path/wp-content/uploads/>
  AllowOverride none
  RemoveHandler .cgi .pl .py
  <FilesMatch "\.(php|p?html?)$">
    SetHandler none
  </FilesMatch>
</Directory>

    In questo modo nessun file CGI, Perl, Python o PHP caricato in quella directory potrà essere interpretato come tale se richiamato da Apache.

  • Adobe compromessa

    Adobe Systems IncorporatedAdobe è stata compromessa: sono stati trafugati i sorgenti di alcuni software e i dati di moltissimi utenti registrati.

    Dal momento che le compromissioni sono due è bene analizzarle separatamente.

    Per quanto riguarda il codice sorgente, Adobe ha rilasciato una dichiarazione qui. L’intrusione sarebbe avvenuta lo scorso 17 settembre e sicuramente è stato copiato il sorgente di ColdFusion e di Acrobat, probabilmente anche quello di altri software di Adobe. L’evento è molto serio perché chi può accedere a quei sorgenti può studiarli per scoprire delle vulnerabilità e sfruttarle. I gestori di siti con ColdFusion devono prestare particolare attenzione e tenere il loro software aggiornato. Stessa regola vale per chi ha installato Flash e Adobe Reader; questi ultimi utenti possono considerare l’opzione di rimuovere il software per la lettura dei PDF e utilizzarne un altro.

    (altro…)

  • ClamAV 0.98

    ClamAVÈ stato rilasciato ClamAV 0.98.

    Tra le novità si possono segnalare:

    • miglioramento della scansione dei file  e potenziamento della scansione dei file PDF, inclusi quelli crittografati;
    • gestione di nuovi tipi di file: ISO9660, 7ZIP autoestraenti e flash;
    • può essere saltata la scansione di file PE (eseguibili Windows) che contengono una firma digitale verificata attraverso una catena di CA;
    • alcuni certificati di cui al punto precedente possono essere dichiarati non affidabili in caso di violazioni;
    • molte nuove opzioni sono state aggiunte alla linea di comando e ai file di configurazione;
    • sono stati aggiunti alcuni callback alle API per migliorare l’integrazione di ClamAV;
    • alcuni limiti operativi prima hardcoded sono ora parte della configurazione.

  • Zero-day per Internet Explorer (con fix)

    Microsoft ha rivelato l’esistenza di uno zero-day per Internet Explorer.

    Secondo i ricercatori di Qualys, per il momento gli attacchi sarebbero geograficamente limitati all’area del Giappone, ma potrebbero diffondersi una volta che è stato rivelato il problema.

    La vulnerabilità scoperta permette di eseguire dei programmi arbitrari sul computer della vittima (remote code execution) inducendola a visitare un sito opportunamente creato per sfruttare il baco.

    Tutte le versioni attualmente supportate di Internet Explorer sono interessate da questo problema.

    La vulnerabilità è provocata da un componente di Microsoft Office che non è stato compilato con la funzionalità della randomizzazione dello spazio degli indirizzi (ALSR).

    Microsoft ha già rilasciato un Fix it per correggere il problema che può essere applicato per le versioni di Exlorer dalla 6 alla 11 incluse. (via Threat Post)

    Aggiornamento 2/10/2013 – Microsoft ha assegnato il codice 2887505 a questo problema.

    Aggiornamento 4/10/2013 – Microsoft corregge questo problema con il patch tuesday di ottobre.

  • ClamAV: main.cvd aggiornato

    ClamAVSe controllate la directory dei dati di un’installazione di ClamAV trovate qualcosa di questo tipo:

    103M Sep 12 04:51 daily.cld
    30M Jun 21 08:31 main.cvd

    Ovvero il file delle definizioni giornaliere supera per più di tre volte la dimensione del file delle definizioni principali.

    Il prossimo 17 settembre verrà rilasciata una nuova versione del file main.cvd che sarà di circa 70 Mb.

    Inoltre l’intenzione dei gestori del progetto sarebbe quella di pubblicare periodicamente una versione aggiornata del file main.cvd per ridurre il carico sui server di distribuzione.