Categoria: Sicurezza

Sicurezza informatica

L’importanza di rendere pubbliche le vulnerabilità

Uno dei temi più dibattuti nel campo della sicurezza è l’opportunità, dopo un ragionevole periodo di tempo non negoziabile da chi è oggetto del problema, di pubblicare le vulnerabilità dei software.

Come in altre situazioni, ci sono argomenti e singole casistiche pro e contro, ma nella lunga distanza la ragionevolezza suggerisce che sia opportuno pubblicare le vulnerabilità per evitare che chi le debba correggere decida di risparmiare sui costi di correzione, a danno dell’utilizzatore finale.

Se queste argomentazioni non sono sufficienti, ne espongo di seguito un’altra.

Ricordate FinFisher?
(altro…)

28/11/2011
Non è sempre colpa degli hacker

La vicenda di STUXNET ha acceso i riflettori sulla vulnerabilità di alcuni sistemi di controllo industriale, tuttavia i danni che possono capitare a questi sistemi non derivano sempre da attacchi informatici.

ICS-CERT ha appena pubblicato un rapporto [PDF] sull’incidente verificatosi al sistema di distribuzione dell’acqua potabile dell’Illinois.

In un primo momento si era temuto che il funzionamento anomalo di alcuni sistemi di pompaggio fosse riconducibile ad un attacco informatico conto lo SCADA che gestisce l’impianto e i giornali avevano dato ampio supporto a questa tesi.

Dopo attente e competenti indagini, ICS-CERT non ha trovato le prove di intrusioni non autorizzate nei sistemi. Inoltre ICS-CERT ha escluso la possibilità ipotizzata dallo STIC dell’Illinois [PDF] (da non confondere con questo STIC!) che si fosse verificato un furto di credenziali nel corso dell’attacco informatico.

Anche il DHS e l’FBI hanno escluso la possibilità che ci sia stato traffico informatico illegale riconducibile alla Russia o ad altri Paesi collegato a questo incidente.

25/11/2011
Possibile DoS in BIND 9

Alcune organizzazioni hanno notato che BIND 9 è vulnerabile ad un attacco di tipo DoS quando risponde a query ricorsive.

È stato, infatti, notato che le versioni 9.4-ESV, 9.6-ESV, 9.7.x e 9.8.x di BIND escono in maniera anomala loggando l’errore INSIST(! dns_rdataset_isassociated(sigrdataset)) quando rispondono a determinate query ricorsive.

Sono disponibili le patch alle versioni coinvolte; le versioni che non presentano questo problema sono 9.8.1-P1, 9.7.4-P1, 9.6-ESV-R5-P1 e 9.4-ESV-R5-P1 (via ISC).

16/11/2011
Aggiornate!
Settimana di aggiornamenti per molti fornitori di software.

Ieri tre aziende hanno rilasciato degli aggiornamenti:
- Microsoft ha rilasciato quattro aggiornamenti, tra cui uno critico per lo stack TCP/IP che permetterebbe ad un attaccnate di eseguire codice arbitrario a livello kernel inviando dei dati ad una portta UDP chiusa.
- Adobe ha aggiornato Shockwave plyer alla versione 11.6.3.633 per correggere problemi di esecuzione arbitraria di codice causati da problemi di memoria.
- Apple ha rilasciato un aggiornamento di Java per Snow Leopard e Lion per correggere delle vulnerabilità che possono permettere l’esecuzione di codice arbitrario al di fuori dalla sandbox di Java.
Dalla notte scorsa tutto il mondo conosce queste vulnerabilità e potrebbe iniziare a tentare di sfruttarle.
09/11/2011
Duqu sfrutta uno 0-day del kernel di Windows

da "The Hacker News"

Il Laboratory of Cryptography and System Security (CrySyS) ungherese ha scoperto che la routine di installazione di Duqu sfrutta una vulnerabilità non corretta del kernel di Windows.

Duqu utilizza un documento Word creato ad arte che riesce a caricare un driver del kernel sfruttando un baco non corretto; il driver carica, quindi, una DLL in Services.exe per avviare l’installazione di Duqu nel computer vittima dell’attacco. La compilazione del driver secondo l’header PE sarebbe avvenuta il 21/02/2008 alle 06:14:47.

La vulnerabilità non è di Word, ma del kernel, quindi questo vettore di attacco potrebbe essere sfruttato in altri modi, finché Microsoft non decide di correggere questo problema.

Secondo un’analisi di McAfee, il sistema appena descritto sarebbe già stato presente in Stuxnet.

Sophos riporta che Microsoft sta lavorando per correggere il problema del kernel. Sempre secondo Redmond [PDF], il loro sistema di pulizia dal malware non residente (il Malicious Software Removal Tool distribuito ogni mese con Windows Update) non ha rilevato alcun 0-day, ma sono dati che lasciano il tempo che trovano, in quanto il tool non è aggiornato come gli antivirus residenti e viene spesso ignorato dagli utenti.

02/11/2011
DECIMAL POINT IS COMMA.

Qualche tempo fa ho attivato il servizio gratuito di Website Defender su questo blog come parte del plugin Secure WordPress.

Al pari del plugin, il servizio aggiunge un utile livello di paranoia alla normale sicurezza di un sito basato su WordPress.

Periodicamente Website Defender segnala i file modificati dall’ultima scansione e compie delle analisi sulle pagine per evitare problemi.

Poco fa il report periodico mi ha informato che una pagina potrebbe rivelare l’IP interno del server. È evidentemente un falso allarme, in quanto il sistema automatico di analisi ha scambiato un numero espresso con la notazione italiana (punto che separa le migliaia) per un indirizzo IPv4 appratente ad uno dei range assegnati alle reti interne.

Questo esempio dimostra quanta distanza ci sia ancora tra una regular expression e un’interpretazione semantica dei contenuti.

23/10/2011
Duqu: il ritorno di Stuxnet

Come in ogni b-movie che si rispetti, il cattivo non è mai morto, anche se l’abbiamo visto esplodere in mille pezzi.

Stuxnet, il malware che modifica la programmazione dei PLC Siemens, sembrava finalmente debellato, quando ecco comparire Duqu, il cui nome deriva dall’estensione ~DQ dei file creati dal malware.

Symantec ha analizzato Duqu e sembrerebbe che sia una variante di Stuxnet. Questa variante, però, è stata creata partendo dai sorgenti di Stuxnet, non dalla versione compilata, che è reperibile da molte fonti. Quindi chi ha creato Duqu o è qualcuno che ha (avuto) accesso ai sorgenti di Stuxnet oppure è lo stesso gruppo che ha creato Stuxnet. Il che non significa che dietro Duqu ci sa necessariamente qualche governo, in quanto non è dato sapere chi abbia sviluppato Stuxnet (possiamo solamente presumere chi siano i committenti).

Per il momento Duqu non fa nulla, non va a cercare PLC o altri sistemi di controllo industriale, ma sembra che si limiti ad un’attività di ricognizione e di installazione di un sistema di controllo remoto.

Aggiornamento 21/10/2011 06:30 – Secondo Joel Langill Duqu sarebbe stato creato partendo della decompilazione di Stuxnet eseguita da Amr Thabet lo scorso gennaio.

20/10/2011
Malware di OSX in crescita

Qualche fondamentalista fan di sistemi operativi non-Windows ritiene di essere esente da problemi di malware ipso facto di non avere Windows, tutti gli altri possono continuare a leggere.
(altro…)

20/10/2011
Non lamentatevi se poi vi bucano

La scelta delle password è un bel problema.

Se poi uno si trova davanti ad un messaggio del genere diventa ancora più un problema:

Questo messaggio viene presentato da un sito i cui dettagli non rivelo per motivi professionali, ma in cui la sicurezza non è uno scherzo.

Più di una volta mi sono trovato davanti a situazioni del genere. Siti che non accettavano i caratteri che avevo messo e non era nulla di esotico: parlo di caratteri nel set degli ASCII stampabili presenti su una tastiera USA.

Se le persone mettono pippo123 come password potrebbe non essere tutta colpa loro.

18/10/2011
Non sono questi gli spyware che state cercando

Il Chaos Computer Club tedesco ha rivelato l’esistenza di uno spyware utilizzato dalle autorità tedesche per spiare alcuni sospetti.

All’inizio non c’erano prove che lo spyware, ribattezzato da F-Secure R2D2, fosse collegato al governo tedesco.

Oggi sono uscite le conferme che il software è stato utilizzato dalle forze degli stati del f Baden-Württemberg, della Bassa Sassonia e del Brandeburgo.

Secondo Mikko Hypponen il malware sarebbe stato installato di nascosto in un laptop dalla polizia di frontiera.

Per verificare se il vostro antivirus rileva R2D2, potete scaricare i binari del malware da www.ccc.de/system/uploads/77/original/0zapftis-release.tgz e scompattarli sul vostro computer. Per sapere quali sono gli antivirus che bloccano il malware, basta caricare uno dei due file su VirusTotal.

Il ministro della giustizia Sabine Leutheusser-Schnarrenberger ha auspicato che i governi statali e federali tedeschi aprano un’inchiesta sull’utilizzo di questo tipo di metodi d’indagine.

11/10/2011
Vulnerabilità in VMware Workstation 7
VMware ha annunciato di aver scoperto una vulnerabilità nella gestione dei file system UDF.

Le versioni interessate sono:
- VMware Workstation fino alla versione 7.1.4 e precedenti
- VMware Player 3.1.4 e precedenti
- VMware Fusion 3.1.2 e precedenti
Sono state rilasciate delle patch che risolvono il problema, gli utenti che hanno ancora queste versioni dovrebbero aggiornare quanto prima il software.

La nuova versione di VMware Workstation 8 e tutte le versioni di VMware ESX[i] non sono interessate da questa vulnerabilità.
08/10/2011
Chi scrive i virus e perché

Un video in cui Mikko Hyppönen spiega quale sono le attuali fonti del malware e le motivazioni che spingono queste persone a crearlo.

[youtube=http://www.youtube.com/watch?v=YMzp6eFR3BE&w=480]

01/10/2011