Sicurezza informatica
L’articolo è stato aggiornato dopo la pubblicazione iniziale man mano che sono arrivati ulteriori dettagli sui problemi indicati.
Sono stati pubblicati su Full Disclosure i metodi (exploit) per attaccare i database server MySQL sfruttandone alcune vulnerabilità.
Non ho potuto verificare tutti gli exploit pubblicati in quanto non dispongo delle installazioni a cui fanno riferimento alcuni di questi metodi.
(altro…)Si avvicina il Natale, che porta con sé innumerevoli messaggi di posta elettronica inutili con allegate immagini oppure programmi che installano malware.
L’ultima notizia riguarda un messaggio di posta elettronica che sembra provenire da Vodafone U.K. che contiene l’avviso del presunto recapito di un messaggio MMS.
Come è successo in altri casi, è facile supporre che, se questo scherzetto avrà seguito oltre Manica, potrebbero diffondersi alternative in altre lingue o con altri operatori telefonici.
Al solito, se non avete delle SIM del presunto operatore telefonico che vi starebbe scrivendo, è difficile che abbiate ricevuto un MMS; inoltre diffidate sempre di mail sgrammaticate o con errori grossolani. (via Naked Security)
Può capitare di dover decommissionare un server Linux in hosting presso un fornitore a cui non abbiamo l’accesso fisico o di cui non possiamo verificare l’avvenuta cancellazione, se si tratta di una macchina virtuale.
Quanto segue parte dal presupposto che i dati scritti sul disco tali siano e che non sia possibile leggere il dato scritto precedentemente, quindi se in una posizione c’è scritto 99, gli scrivo sopra 00 quello che leggo è sempre e solamente 00, il 99 è andato.
(altro…)
Anni fa avevo fatto una prova su me stesso circa la possibilità di rileggere le informazioni scritte sui fogli che passano in un tritadocumenti.
A parte la frantumazione pressoché totale (meno di 5 millimetri nel lato più lungo) dei fogli, c’è sempre il rischio che le informazioni possano essere lette o ricostruite. Esistono anche dei software che con poca spesa permettono di recuperare i dati dai fogli tritati solamente in un senso (spaghetti).
WPIX riporta che durante la tradizionale parata del giorno del ringraziamento di quest’anno sarebbero state utilizzati come coriandoli anche degli spaghetti con informazioni sensibili della polizia della Contea di Nassau. Macy’s, l’organizzatore della parata, ha dichiarato che gli unici coriandoli ammessi sono quelli tradizionali di carta colorata non stampata; la polizia della Contea di Nassau ha dichiarato che verrà avviata un indagine sul caso e sui metodi di distruzione dei documenti.
Una delle storielle più false che si raccontano tra loro i fan di sistemi operativi desktop o server non-Windows è che il malware esista solamente su Windows.
Di recente è stato scoperto un rootkit per Linux che aggiunge un IFRAME ai web server basati su nginx.
CrowdStrike ha analizzato il malware, che colpisce il kernel 2.6.32-5, l’ultima versione distribuita da Debian Squeeze.
Il rootkit sembra stato creato ex-novo, non sembra essere una ricompilazione di qualcosa di esistente e sembra di origine russa (come nginx).
La persistenza del rootkit dopo il reboot è garantita da un processo che verifica ogni tre minuti /etc/rc.local e controlla se contiene il comando
insmod /lib/modules/2.6.32-5-amd64/kernel/sound/module_init.ko
la cui presenza viene però nascosta, come dettagliato nell’articolo di CrowdStrike.
Non è ancora chiaro come avvenga la prima installazione del malware, che richiede privilegi di root. L’analisi della qualità del codice suggerisce che chi l’ha scritto potrebbe non avere le capacità di scrivere un proprio sistema di privilege escalation locale. (via F-Secure)
Nato dopo una serie di frizioni e malintesi, HTML 5 sta diventando il nuovo standard delle pagine web.
Come successo fin dagli inizi della diffusione del web, il nuovo livello del linguaggio HTML diventa uno standard nel momento in cui i browser più diffusi lo supportano.
Allo stesso modo, ciascun motore di rendering alla base dei vari browser supporta un set di markup del linguaggio e ogni tanto lo fa a proprio modo oppure ha delle estensioni che funzionano solamente con quel motore. Qui e qui ci sono delle tabelle comparative relative a HTML5.
Ovviamente nuovi markup significano nuove vulnerabilità, rese più insidiose dall’integrazione di JavaScript, il quale si porta dietro il rischio di attacchi XSS.
HTML5 Security Cheatsheet è un sito che raccoglie le vulnerabilità dell’implementazione di HTML5.
Sono sempre di più i prodotti e i sistemi operativi che supportano IPv6.
La quasi totalità di questi host è configurata per default in dual stack con DHCP su IPv4 e SLAAC su IPv6. Chi esegue l’installazione del dispositivo raramente si cura della parte IPv6 e procede solamente alla configurazione di IPv4, lasciando IPv6 attivo in SLAAC.
Purtroppo l’attuale implementazione di SLAAC non prevede alcuna forma di autenticazione o di validazione preventiva, posto che l’IT si sia già posto il problema dell’IPv6 nella sua LAN.
Il risultato è che a tutti gli host IPv6, inclusi i server, può essere assegnato un indirizzo IP da un software come radvd con lo scopo di creare una LAN parallela a quella esistente con delle regole di routing e di accesso completamente diverse. Piazzare una macchina Linux con radvd e un tunnel IPv6 con 2^64 indirizzi pubblici è più semplice di quello che sembra; una volta attivato il gateway, gli host con un IPv6 sarebbero accessibili da qualsiasi parte di Internet.
In questa fase transitoria è bene configurare correttamente gli host, disabilitando IPv6 (o lo SLAAC) dove non è ancora necessario. Agire solamente sul firewall di frontiera non è sufficiente perché nel caso indicato sopra il Linux potrebbe avere un punto di uscita diverso verso Internet.
Abbiamo trattato varie volte il problema dei motori di ricerca che indicizzano più di quello che ci si aspetta.
Con la formula corretta si possono trovare varie cose: chiavi private, log di trasferimenti FTP, chiavi o configurazioni dei VPN, telecamere…
Aggiungiamo questa messe di informazioni un esempio di come sia possibile cercare dei fogli di Excel il cui none finisce con la parola email:
filetype:xls inurl:"email.xls"
Il risultato è interessante e potrebbe essere una delle tante possibili risposte alla domanda “Ma da dove diavolo hanno preso la mia mail?!”
Mutatis mutandis, si potrebbero cercare documenti che contengono altre parole nel nome.
Chi ha detto “password”?
inurl:elmah.axd "powered by elmah" password
Nella giornata di ieri ho partecipato ad un seminario sulle AET (Advenced Evasion Techniques) tenuto dal vendor che per primo si è occupato di fornire soluzioni per proteggere da questa minaccia.
Senza entrare in dettagli molto tecnici si tratta di metodi in grado di penetrare gli IPS più avanzati del mercato e di farlo senza lasciare traccia.
Tali metodi sono stati studiati negli ultimi anni da un’azienda che si occupa di sicurezza nell’IT e che a partire dal 2010 ha iniziato a fornire dati su queste vulnerabilità in accordo con CERT Fi (autorità finlandese sui regolamenti nelle comunicazioni).
Dopo HDCP anche la PlayStation 3 è caduta vittima della pubblicazione della master key di livello zero (LV0).
Il gruppo di hacker che si fa chiamare The Three Musketeers ha deciso di pubblicare la chiave per evitare che un altro gruppo, i cinesi del BlueDiskCFW, la distribuissero a pagamento.
Con la master key si possono firmare software e aggiornamenti firmware che vengono riconosciuti come validi dall’hardware della PS3, aprendo le porte ad usi non previsti (e magari non desiderati) dalla Sony.
In parole povere, con questa mossa la PS3 è passata da un sistema chiuso su cui girava solamente quello che voleva Sony ad un computer universale utilizzabile da chiunque come meglio crede.
La protezione di piattaforme attraverso un sistema basato sulla crittografia asimmetrica sta diventando molto comune, ma una potenza computazionale su scala planetaria (o più banalmente un baco del software) potrebbe aver ragione di questo sistema oppure potrebbe costringere ad un’ulteriore lotta tra chi cerca di chiudere il sistema e chi cerca di scardinarlo.
Probabilmente fra un anno avremo notizia della pubblicazione della master key del bios UEFI… (via Bruce Schneier)
Come altri articoli riguardanti la sicurezza informatica, anche questo può essere interpretato sia come documentazione di un fatto sia come spiegazione di come si può agire in maniera illegale.
Ovviamente l’intento non è di promuovere o incitare alcun comportamento contro la legge, ma di avvertire gli amministratori di sistema di un comportamento del software che hanno installato sulle loro macchine.
Un secondo e, forse, più comune utilizzo di questa procedura è accedere ai propri dati registrati da un applicativo i cui gestori o installatori non sono più disponibili o che rifiutano di dare accesso ai dati di proprietà dell’utente.
Come molti database, anche Microsoft SQL Server ha un sistema per bypassare la sicurezza inegrata.