SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Intercettare le conversazioni VoIP

    L’intercettazioni di conversazioni VoIP è più semplice di quello che possa sembrare.

    Innanzi tutto è necessario aver installato Wireshark, un programma gratuito per l’analisi del traffico di rete.

    Una volta catturato un blocco di pacchetti di rete, è sufficiente selezionare il menu Telephony e quindi VoIP calls.

    Il wiki del software ha una pagina dedicata all’argomento della decodifica delle conversazioni VoIP, con alcuni esempi scaricabili per poter fare da soli l’analisi con la propria installazione di Wireshark.

    I protocolli VoIP attualmente supportati sono SIP, H.323, ISUP, MGCP e UNIStim.

    Ovviamente l’ascolto e l’archiviazione non autorizzati di conversazioni private costituiscono una violazione di legge, ma se avete bisogno che ve lo dica questo blog siete proprio messi male.

  • Malware basato su AutoCAD

    ESET ha scoperto un nuovo malware che si basa su AutoCAD.

    Il software è scritto in AutoLISP e pare che si sia diffuso a partire dal Perù in altre nazioni di lingua spagnole del sud America ed è stato battezzato Medre, che in spagnolo significa prosperare.

    Le versioni di AutoCAD interessate sono quelle dalla 14.0 alla 19.2.

    Lo scopo del malware potrebbe essere lo spionaggio industriale; il virus si propaga modificando lo script di startup di AutoCAD e invia i file di AutoCAD al C&C.

    Ulteriori dettagli tecnici sul malware si trovano su ACAD/Medre.A 10000‘s of AutoCAD Designs Leaked in Suspected Industrial Espionage. (via GFI)

  • Exploit di IE in giro

    Sophos e Symantec hanno annunciato che un exploit di uno 0-day di Internet Explorer è stato rilevato su Internet.

    La vulnerabilità di Explorer in questione è la CVE-2012-1875 corretta con la patch MS12-037 lo scorso martedì. Tutte le versioni di Internet Explorer sono interessate da questo problema.

    Per sfruttare questo baco è necessario creare un JavaScript ad hoc in una pagina HTML e indurre la vittima ad aprire la pagina con Explorer.

    Anche il framework Metasploit ha un plugin per sfruttare questa vulnerabilità.

    Il baco in questione consiste nell’utilizzo di un’area di memoria da parte di Explorer dopo che lo stesso l’ha liberata con un’apposita chiamata al sistema operativo (use after free). In questo caso sia DEP sia ASLR possono essere aggirati, come descritto in dettaglio dall’articolo di Sophos.

    L’applicazione delle patch di sicurezza dello scorso patch tuesday è, quindi, assolutamente necessaria per evitare problemi.

  • Baco delle CPU Intel e virtualizzazione

    Un baco delle CPU Intel a 64 bit potrebbe permettere un aumento di privilegi di una macchina virtuale (VM guest-to-host escape).

    Le CPU AMD e i sistemi di virtualizzazione basati su VMware non sono interessati da questo baco (l’hypervisor di VMware non usa SYSRET).

    Il problema si verifica quando un attaccante sul ring3 crea uno stack frame ad arte per essere eseguito nel ring0 dopo una general protection exception (#GP). L’errore viene gestito prima della commutazione dello stack, il che significa che il gestore dell’errore (exception handler) viene eseguito nel ring0 con il registro RSP (il puntatore allo stack) che punta allo stack con il contenuto popolato dall’attaccante.

    Questo baco consente alla macchina virtuale (guest) una fuga al livello di sicurezza del sistema di virtualizzazione che la sta facendo girare (host).

    Sono disponibili gli aggiornamenti e le note tecniche relative per FreeBSD, Microsoft, RedHat (1 e 2) e Xen. (via US-CERT)

    Aggiornamento 25/7/2012 – Questo tipo di baco colpisce anche FreeBSD, per il quale è disponibile un exploit. In questo caso un utente normale può guadagnare i privilegi di root eseguendo semplicemente un programma creato ad arte (via The hacker news).

  • Buco di sicurezza in MySQL/MariaDB

    È stato scoperto un pericoloso baco in MySQL/MariaDB che potrebbe permettere l’accesso come root ad un database server.

    La vulnerabilità non funziona su tutte le installazioni di MySQL (inclusa CentOS) e dipende da come è stato compilato il server.

    Il problema risiede nella routine di autenticazione di un utente. Quando viene aperta una connessione a MySQL/MariaDB viene generato un token calcolando un SHA della password fornita e di una stringa casuale; il token viene quindi confrontato con l’SHA calcolato con il valore corretto. Per un errore di cast potrebbe succedere che le due stringhe vengano considerate uguali anche se non lo sono e anche se memcmp() ritorna un valore diverso da zero; se si verifica questo caso, MySQL/MariaDB pensa che la password sia corretta e permette l’accesso. La probabilità che questo accada è di 1/256.

    (altro…)

  • La memoria del fax

    Un mio cliente ha comperato ad una qualche asta giudiziaria un lotto di macchine fotocopiatrici/stampanti/fax multifunzione;  noi li stavamo provando per vedere quali fossero ancora funzionanti  e quali fossero piu` morti che vivi.

    Attacca, accendi, carica la carta… ancor prima che potessimo provare a dare qualsiasi comando il fax inizia a stampare, e stampa circa una ventina di pagine, quasi tutte contenenti informazioni bancarie, coordinate di conti correnti, ricevute di bonifici da e per l’azienda fallita. Roba da centomila euro a botta.

    Immagino che il fax fosse rimasto senza carta negli ultimi giorni di vita, e abbia tenuto in memoria tutti quei dati per alcuni mesi, fino al momento in cui l’abbiamo acceso e dotato di carta.

     

  • Cambiate la password di Linkedin. ADESSO.

    Benché il sito non abbia ancora diramato una nota formale, pare che LinkedIn sia stato vittima di un furto di oltre sei milioni di password.

    Come atto precauzionale è altamente consigliabile modificare immediatamente la propria password di LinkedIn.

    Avrei dovuto avere dei dubbi quando ieri mi è arrivato l’invito di connessione al network di contatti da parte di una farmacia.

    Le password rubate sarebbero 6.458.020 hash SHA-1 senza salt.

    Con ogni probabilità i dati rubati sono limitati alle password e non alle email associate alle medesime. (via Naked Security)

    Aggiornamento 7/6/2012 – Linkedin ha finalmente confermato il furto di password. Le password degli account interessati sono state resettate e i titolari hanno ricevuto una mail in cui viene spiegato cosa sia successo e vengono invitati a modificare la password.

  • Aggiornamento fuori banda per Windows

    Oggi Microsoft ha rilasciato un aggiornamento fuori banda per revocare alcuni certificati utilizzati da Flame.

    Gli aggiornamenti fuori banda sono quelli rilasciati generalmente per ragioni di emergenza al di fuori dell’appuntamento mensile del patch tuesday.

    Uno degli attacchi che tenta il malware è un man in the middle su Microsoft Update; se l’attacco riesce, viene copiato sul PC della vittima un file WUSETUPV.EXE, che sembra essere firmato da Microsoft, ma non lo è realmente.

    I creatori di Flame hanno scoperto un sistema per sfruttare un baco del sistema che viene usato per creare i certificati per attivare le licenze di Terminal Services; le chiavi utilizzate per questo scopo possono essere utilizzate anche per firmare i programmi eseguibili.

    Questa patch rimuove due certificati “Microsoft Enforced Licensing Intermediate PCA” e un certificato “Microsoft Enforced Licensing Registration Authority CA (SHA1)”.

    (altro…)

  • La falsa sicurezza dei default

    Una delle iniziative intraprese da Microsoft negli anni scorsi per “aumentare la sicurezza” è stata quella di cambiare le impostazioni predefinite di un sistema operativo server appena installato.

    Così Windows 2008 appena installato ha attive un sacco di impostazioni assolutamente inutili che non servono assolutamente a nulla, se non ad intralciare il lavoro del SysAdmin che sta installando il server.

    All’avvio viene chiesto di specificare una password di Administrator, ma è attiva la policy di complessità della password. Il risultato è che se si scrive Password1 il sistema la accetta, mentre qualcosa tipo lasicurezzanonèneidefault viene rifiutato.

  • Flame[r]

    Il MAHER ha annunciato di aver scoperto un nuovo tipo di malware che avrebbe preso di mira alcuni Paesi dell Medio Oriente.

    La scoperta è supportata dalla notizia che i laboratori di Kaspersky sono stati contattati dall’ITU per identificare un malware fino ad allora sconosciuto.

    L’analisi del malware è appena all’inizio e richiederà molto tempo dal momento che quando è completamente installato raggiunge la dimensione di 20 Mb. Queste sono le caratteristiche note fin’ora:

    • si propaga attraverso supporti rimovibili (chiavette) oppure via rete sui computer in LAN;
    • eseguire analisi di rete quali sniffing, enumerazione delle risorse e raccolta di password vulnerabili;
    • analisi del disco rigido del computer infatto per cercare file con determinate estensioni o contenuti;
    • analisi dei dispositivi raggiungibili via bluetooth;
    • possibilità di catturare il contenuto dello schermo se sono attivi determinati processi;
    • registrazione dell’audio ambientale tramite il microfono del PC;
    • comunicare via https o ssh i dati raccolti ai C&C localizzati su oltre dieci nomi a dominio diversi;
    • possibilità di scaricare ulteriori moduli dal C&C;
    • capacità di identificare e bypassare moltissimi sistemi antivirus, antispyware o antimalware;
    • capacità di infettare XP, Vista e 7;
    • utilizzo di file ~xxxxxxx.TMP per nascondersi (esattamente come Stuxnet e Duqu).

    (altro…)

  • Quanto è sicura una password?

    Passfault è un programma open source che verifica la resistenza delle password.

    Il programma analizza una password e cerca di stabilire quanto tempo sia necessario per crackarla in base ad alcuni parametri definiti. Ovviamente l’analisi che viene fatta è agnostica rispetto all’utente: per ovvi motivi il programma non prova le password che contengono dati correlati all’utente, che potrebbero, invece, essere ineriti nel dizionario di un programma di attacco che voglia prendere di mira un utente specifico.

    È disponibile anche una versione online in https, anche se per verificare le proprie password è bene scaricare e installare i sorgenti Java. (via nakedsecurity)

     

  • Rubare un account di Google con il cellulare

    Negli USA ci sono campagne basate sul social engineering in cui si cerca di rubare gli account di Gmail utilizzando la funzione di conferma via SMS.

    Una delle opzioni offerte da Gmail in caso di perdita della password è l’invio di un codice di verifica ad un numero cellulare fornito in precedenza, se un attaccante conosce l’account di Gmail e utilizza metodi di social engineering per carpire il codice inviato, il gioco è fatto.

    Ecco un esempio di come sia possibile un sistema del genere.

    (altro…)