SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • La complessità del malware

    È stata percorsa molta strada dal primo worm di sendmail, dai primi virus o dai primi spyware.

    Come illustrato da Mikko Hypponen, adesso il malware viene scritto essenzialmente per tre ragioni: danaro, attivismo politico e attacchi tra Stati.

    VRT ha pubblicato un’interessantissima analisi di un malware ben nidificato. Si tratta di un exploit che sfrutta un integer overflow per eseguire del codice arbitrario utilizzando un’immagine TIFF creata ad arte codificata base64, che viene creata al momento da un codice JavaScript hex encoded in altro codice JavaScript che è incorporato in un XML compresso a sua volta all’interno di un file PDF.

    Ci si potrebbe chiedere come mai sia lecito incorporare codice JavaScript in un XML a sua volta incorporato in un formato di definizione della pagina. Purtroppo il formato PDF è nato come un’idea di Adobe di rendere ubiquo il PostScript, ma ha raccolto a bordo negli anni ogni tipo di contenuto. Un’idea, che poteva sembrare interessante ad alcuni, si è rivelata una pericolosa breccia nella sicurezza di moltissimi computer grazie a visualizzatori scritti non esattamente con la sicurezza come luce guida.

    Questo è il motivo per cui molti enti della nostra Pubblica Amministrazione accettano che vengano caricati solamente PDF/A.

    Questo piccolo esempio dimostra che il malware si può annidare in ogni tipo di file il cui sistema di visualizzazione è prono ad attacchi o contiene vulnerabilità. È, quindi, sempre opportuno aggiornare i vari programmi di visualizzazione e i sistemi antivirus perché i disagi teorici che potrebbero conseguire da un aggiornamento di versione sono sicuramente inferiori ai problemi concreti che derivano da un visualizzatore di cui sono note le vulnerabilità.

  • Quando fate la spesa spegnete il WiFi

    Quando una catena della GDO mi ha offerto la possibilità di usare un terminalino per la scansione self service lungo le corsie sapevo benissimo che stavo dando in cambio delle informazioni.

    Con quel dispositivo possono capire come mi muovo all’interno del negozio, quali sono le mie scelte, le mie titubanze e i miei ripensamenti. Lo sapevo benissimo, ma da un certo punto di vista mi va bene perché il mio profilo è nella parte bassa della gaussiana dei consumatori e potrebbe essere conveniente far sentire la mia voce per segnalare che non esistono solamente famiglie con due figli che comperano 16 cosce di pollo e un chilo di tortellini alla volta.

    Ma so esattamente i dati che vengono raccolti e so, con ragionevole sicurezza, che quei dati non vengono condivisi con altre catene della GDO.

    (altro…)

  • Porte USB per l’ingresso di malware

    Secondo il CERT del DHS (PDF) americano gli impianti industriali critici sono molto vulnerabili ad attacchi di malware basati su chiavette USB.

    I supporti di memorizzazione USB sono una parte molto vulnerabile della sicurezza delle organizzazioni perché coinvolgono l’interazione degli utenti, i quali possono essere manipolati in vari modi, dal social engineering alla mera corruzione.

    (altro…)

  • …e se non posso?

    Negli ultimi giorni è stata scoperta e risolta una vulnerabilità di Java e il DHS americano è arrivato a consigliare di disabilitare Java.

    Il mese scorso è stata resa nota una vulnerabilità di Internet Explorer fino alla versione 8 e il consiglio è stato di utilizzare altri browser.

    Questi consigli sono ovvi, ma spesso impraticabili perché ci possono essere applicazioni aziendali che richiedono quella specifica versione di Java o di Explorer. In questi casi bisogna risolvere il problema dall’esterno.

    (altro…)

  • Il problema di Cassandra

    I professionisti del settore spesso ricordano dei semplici principi base della gestione dell’IT.

    Tra questi semplici principi ci sono fare i backup, controllare i backup, non mettere i backup sopra i server che vengono salvati e investire in un piano di backup offsite.

    Spesso questi consigli vengono accolti con risolini di compatimento o vengono considerati un metodo per vendere delle apparecchiature o per aumentare i giocattoli dell’IT.

    Il piccolo problema è che può succedere questo:

    (altro…)

  • Finto aggiornamento di Chrome

    È tornato ad imperversare un malware travestito da aggiornamento di Google Chrome.

    Alcune pagine su Internet sono realizzate per trarre in inganno gli utenti per convincerli a scaricare un presunto aggiornamento del browser.

    Chrome stesso riesce ad identificare come ostile l’eseguibile che l’incauto utente potrebbe scaricare dal sito di phishing, posto che il sito stesso non venga bloccato prima dai filtri del browser.

    Secondo alcuni siti di analisi, il malware in questione ruberebbe le credenziali dell’utente.

    Chrome si aggiorna da sé, non è necessario scaricare programmi di aggiornamento. Per forzare un aggiornamento o per verificare la versione installata clickare sul menu del programma identificato dal simbolo  (dove prima c’era la chiave inglese) e selezionare la voce delle informazioni. In alcune distribuzioni di Linux Chrome viene aggiornato attraverso il sistema di installazione dei programmi.

  • Vulnerabilità dell’autenticazione NTLM

    Mark Gamache ha pubblicato un dettagliato articolo in cui spiega come il furto di credenziali utilizzate per l’autenticazione NTLM sia più semplice di quanto si riteneva.

    Fin’ora si credeva che l’unico modo per rubare la password di un utente tramite NTLM fosse un attacco MitM o il possesso di credenziali amministrative sul sistema vittima; entrambe le cose rendevano il furto delle credenziali un male minore, in quanto il sistema sarebbe stato già ampiamente compromesso.

    Il protocollo di autenticazione NTLM prevede quattro protocolli diversi in ordine crescente di sicurezza: LM, NTLM, NTLM con session security e NTLMv2, l’ultimo dei quali è l’unico a non essere interessato da questa vulnerabilità.

    Mark ha scoperto che attraverso Cloudcracker (o servizio analogo) è possibile eseguire un attacco a forza bruta per ottenere l’hash NTLM; se la vittima utilizza Windows XP è possibile scoprire la sua password nel giro di una notte.

    (altro…)

  • Vulnerabilità per Internet Explorer 6, 7 e 8

    Microsoft ha diramato il Security Advisory 2794220 che documenta una vulnerabilità delle versioni di Internet Explorer fino alla 8 inclusa.

    La vulnerabilità, già sfruttata da alcuni attacchi, permette ad un malintenzionato di eseguire programmi arbitrari sul computer della vittima (remote code execution).

    Chi ha Windows Vista o Windows 7 dovrebbe installare Internet Explorer 9. Purtroppo per loro, gli utenti che hanno Windows XP restano per ora vulnerabili, finché non viene pubblicata una patch.

    Tra i fattori mitiganti citati da Microsoft ci sono l’attivazione della enhanced security sui server, ma la nota tecnica dice che questa funzione mitiga il problema, non dice che lo evita. (via Slashdot)

    Aggiornamento 1/1/2013 – Microsoft ha reso disponibile un FixIt per sistemare il problema in attesa di una patch.

    Aggiornamento 5/1/2013Exodus Intelligence è riuscita a bypassare la patch di FixIt e a compromettere un sistema patchato. (via ISC)

  • QR Code pericolosi

    QRLeggevo qualche giorno addietro che gli spacciatori di malware hanno trovato nuovi modi per attirare gli utenti sui loro server, i quali poi naturalmente cercano di sfruttare le vulnerabilita` note dei browser (o la creduloneria degli utenti) per installare malware sulle macchine (tipicamente smartphone, in questo caso) degli utenti stessi.

    I malviventi codificano l’ URL del loro sito in un QR code, ne fanno un adesivo e poi lo appiccicano sopra ai QR code “legittimi” presenti sui manifesti pubbilicitari presenti lungo le strade o sugli autobus o in altri luoghi pubblici. Le persone che vogliono visitare il sito del prodotto pubblicizzato si trovano cosi` nel sito del malvivente.

    Anche se non ho ancora avuto notizia di casi di questo tipo in Italia, e` evidente che non ci vuole molto per mettere in atto un piano come questo. Dal momento che il QR code non e` umanamente leggibile, presenta lo stesso rischio che presentano gli URL shortener: quando ti rendi conto che il link e` “anomalo” e` troppo tardi, l’hai gia` visitato.

    Il mio consiglio e` di leggere i QR code usando sempre un programma che  vi consente di vedere il contenuto del codice prima di decidere se visitare il link oppure no. Questo almeno fino a che qualcuno non scoprira` una vulnerabilita` nel lettore stesso di QR code, che consenta di attaccare il telefono nel momento in cui il codice viene letto, mediante il contenuto del codice stesso.

  • IPv6: attacco RA flood

    Sam Bowne ha scoperto e verificato sul campo che molti sistemi operativi sono vulnerabili ad un attacco di RA flood.

    L’attacco, che si verifica solamente se sono attivi lo stack IPv6 e l’assegnamento automatico dell’indirizzo, consiste nel bombardare la vittima con dei pacchetti RA creati appositamente con un numero tale di informazioni da mandare in crash i sistemi.

    I sistemi interessati da questo problema sono moltissimi: Microsft Surface, Android, tutti gli iPad (incluso il mini), Mac OSX, Windows 7, Windows 2008 e Windows 2008 R2.

    Se viene installato l’IPv6 Readiness Update su Windows il problema viene leggermente mitigato, anche se il sistema si congela durante l’attacco, per riprendersi una volta che l’invio di pacchetti termina.

    Linux Ubuntu ha passato indenne questo tipo di attacco.

    Non è la prima volta che viene dimostrata una vulnerabilità dei sistemi di autoconfigurazione di IPv6. Eventuali test in un ambiente non controllato dovrebbero essere condotti per il momento senza attivare questi automatismi sugli host per evitare che qualche buontempone si diverta con uno dei tanti script che sono in circolazione.

  • Internet Explorer vi osserva

    spider.io ha scoperto una feature di Internet Explorer dalla versione 6 alla versione 10 che permette di tracciare i movimenti del mouse.

    Con un semplice programma JavaScript è possibile sapere la posizione del mouse sullo schermo, anche se questo si trova al di fuori della finestra di Explorer o se il programma è ridotto a icona.

    La feature potrebbe sembrare utile o innocua, ma bisogna considerare che alcuni sistemi di sicurezza, come Kaspersky, o la funzione integrata della tastiera virtuale di Windows vengono suggeriti come metodi per evitare che i keylogger riescano a carpire le password o altri dati sensibili.

    Questi metodi potrebbero essere vanificati da alcune righe JavaScript che si possono vedere in azione qui (ovviamente funziona solo con Internet Explorer).

    Contattata da spider.io, Microsoft ha risposto che non ritiene opportuno sistemare il problema. (via Naked Security)

  • Disabilitare il servizio Smart Card, se non serve

    Ci sono dei portatili, come quello che avevo prima, con lettori di smart card incorporati.

    In alcuni contesti le smart card sono utilizzate come token di sicurezza per l’autenticazione a due fattori, quindi il servizio Smart Card di Windows è necessario.

    Ci sono però anche dei virus, come Shylock, che verificano se è attivo il servizio di gestione delle Smart Card; se non è attivo Shylock non si installa. Il nome di questo malware deriva ddall’omonimo personaggio del Mercante di Venezia di Shakespeare, in quanto ogni variante contiene una citazione dell’opera.

    Per partire Shylock ha bisogno che il servizio delle Smart Card sia attivo, che la memoria fisica sia almeno 256 Mb di RAM e che ci siano almeno 12 Gb liberi su una partizione. Ci manca solo che chieda di accettare una EULA quando si installa.

    Secondo F-Secure il motivo per cui Shylock verifichi la presenza del servizio di gestione delle Smart Card è da collegare al fatto che le macchine virtuali utilizzate per analizzare i malware spesso non hanno attivo quel servizio perché non hanno l’emulazione di un hardware  simile.

    Bisogna anche rilevare che Shylock avrebbe come obbiettivo l’ambiente finanziario, un contesto in cui è abbastanza diffuso l’utilizzo delle carte a microprocessore come strumento di identificazione.