SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Aggiornamento su kernel.org

    Peter Anvin ha scritto un messaggio nella mailing list del kernel di Linux per aggiornare sullo stato di kernel.org dopo l’intrusione non autorizzata di questa estate.

    Il sito non concederà più l’accesso shell via ssh agli sviluppatori per l’aggiornamento dei sorgenti attraverso i repository di git.

    Gli sviluppatori dovranno utilizzare gitolite con delle chiavi ssh. Il vantaggio di gitolite è che, grazie ad alcune feature di ssh, i suoi utenti non sono mappati in utenti veri della macchina ospitante.

    L’accesso pubblico al sito dovrebbe essere ripristinato all’inizio di ottobre. (via Mikko Hypponen)

     

  • L’importanza di aggiornare

    Secondo Google la solita frase “Tanto chi vuoi che sia interessato al mio blog?” ha oltre 50.000 vittime.

    Nei 51.500 risultati ci sono alcuni blog che trattano questa notizia, tutti gli altri sono blog infettati da siteurlpath.

    I blog infettati sono tutti WordPress e, ovviamente, tutti non aggiornati. Nota per la Curva Sud dei tifosi del software: l’accento non è su WordPress, bensì su non aggiornato.

    Continuate così, fateci del male. (via sicuri.net)

  • Arriva un aggiornamento di emergenza per Flash

    Adobe ha comunicato che oggi esce un aggiornamento di emergenza per Flash Player.

    L’aggiornamento corregge un baco di sicurezza classificato critico e un problema di XSS per il quale esiste già su Internet del malware che lo sfrutta. (via ISC)

  • DDOS auto-inflitto

    Questa e` una storia di coglionaggine del sottoscritto.

    Qualche settimana addietro avevo pubblicato un articolo sulle Alix board, e avevo fornito a chi me l’aveva chiesta una immagine pronta da copiare sulla flash per usare debian 6 sulla Alix.

    Orbene, in questa immagine c’era una configurazione personalizzata di cui mi ero dimenticato, per cui la mail di root va ad un mio indirizzo sul dominio kurgan.org. Ora qualcuno ha configurato una Alix ma ha evidentemente ignorato il sistema di posta, che e` installato e mal configurato. Il risultato netto e` che ogni 24 ore questa Alix mi manda un mucchio di email di errore, e la cosa tragica e` che ogni giorno  il numero di queste email sale. Ad oggi siamo a 120 al giorno.

    Posso dire che distribuendo quella immagine mi sono fatto un DDOS da solo.

    Ora ho ovviamente tolto il file immagine dal mio web server, ma si sa che una volta che i buoi sono scappati, e` inutile chiudere la stalla.

    Se per caso siete fra quelli che hanno scaricato la mia immagine della Alix, per favore, verificate il sistema di email che c’e` installato e soprattutto il file /etc/aliases, togliendo l’alias che manda le mail di root a un indirizzo su kurgan.org.

     

  • Mouse di Troia

    Oramai il vettore di penetrazione a mezzo chiavette USB disseminate nel parcheggio o spedite per posta è noto a (quasi) tutti: le persone che lavorano in ambienti sensibili sanno che eventuali chiavette USB di provenienza ignota devono essere analizzate prima dal personale IT.

    Netragard era stata incaricata di eseguire un test di penetrazione in una ditta in cui le persone erano difficilmente ingannabili con la solita chiavetta persa nel parcheggio. I termini dell’incarico prevedevano che non venissero utilizzati metodi di social engineering, mail, telefoni o accessi fisici alla vittima.

    I tecnici di Netragard hanno, quindi assemblato con materiale off the shelf un mouse all’interno del quale si trovava un hub USB e una flash USB. Collegando il mouse al computer si collegava, in realtà un hub USB a cui erano collegati il mouse e una chiavetta USB con del malware costruito ad hoc.

    Il tutto è stato confezionato in un confezione regalo con depliant e documentazione fasulli e inviato per posta alla vittima. Inutile dire che l’attacco è riuscito. (via Netragard Blog, con molti dettagli tecnici)

     

  • kernel.org compromesso

    Il 28 agosto i gestori del sito kernel.org hanno scoperto un’intrusione non autorizzata avvenuta non dopo il 12 agosto.

    L’accesso sarebbe avvenuto attraverso un utente le cui credenziali sono state compromesse. Una volta collegato via ssh, l’intruso ha guadagnato i privilegi di root con metodi non ancora noti.

    Una volta root, l’intruso ha modificato alcuni file di OpenSSH e ha aggiunto dei troiani agli script di startup della macchina.

    Per quanto è dato sapere, i sorgenti del kernel di Linux non sono stati modificati in maniera fraudolenta.

  • Avete un remote desktop esposto a Internet?

    Molte piccole realtà o privati hanno un remote desktop di Windows esposto direttamente a Internet.

    È vero che non sempre può essere installato e configurato opportunamente un firewall vuoi per ragioni di budget, vuoi per ragioni logistiche, vuoi perché il lucchetto costerebbe 10 volte la bicicletta che deve proteggere.

    Internet Storm Center ha segnalato un incremento dell’attività sulla porta 3389/tcp ms-term-services utilizzata dai servizi terminal e remote desktop (RDP) di Windows.

    Chi ha un remote desktop aperto ad Internet dovrebbe, quindi, prendere almeno queste due precauzioni.

    (altro…)

  • Kill Apache

    E’ stata “portata alla luce” una vulnerabilita’ di Apache che permetterebbe ad ogni simpatico burlone di buttar giu’ il vostro Apache (da 1.3 in su) molto facilmente.

    Il baco sfrutta un “Range Request” malformato che e’ pero’ accettato nei dati dell’header HTTP.

    Il pezzo di codice (e’ nel core di Apache stesso) e’ stato scritto nel 2007, pero’ e’ venuto alla luce in questi giorni. I complottisti si chiederanno il perche’ e il percome, io metto la patch ai miei front di produzione, e spero non me ne vogliano gli utilizzatori di MSIE 3 e Netscape 2.3… il vostro browser non sara’ piu’ supportato 😉

  • Windows XP

    Dieci anni fa la versione di Windows XP da distribuire nel canale di vendita veniva congelata e consegnata alle società di produzione dei CD.

    Windows XP, messo in vendita a partire dall’ottobre 2001, ha dieci anni, eppure ancora adesso è il sistema operativo con la più ampia base di installato.

    Ci sono molti motivi che hanno portato a questa situazioni, due dei quali sono il fiasco di Vista e la congiuntura economica degli ultimi anni.

    C’è anche un’altra motivazione, più legata al personale IT, che oppone resistenza al cambiamento adottando motivazioni sempre meno sostenibili per evitare di dover ripartire da zero e imparare ad usare una nuova piattaforma.

    La compatibilità con applicativi legacy installati non è una causa ostativa all’installazione di Windows 7 perché la licenza di Windows 7 a 64 bit include quella di un Windows XP a 32 bit che gira in una macchina virtuale. Ovviamente la VM con XP ha bisogno di tutte le cure e le attenzioni di un XP fisico.

    XP è un sistema vecchio, scritto quando Internet era completamente diversa da quella che è  adesso e gli attacchi del malware erano ancora poco sofisticati. Per quanto si utilizzino dei buoni antivirus, la difesa di un XP è sempre più difficile.

    Il support di XP terminerà definitivamente nell’aprile del 2014, ma non è obbligatorio tenerlo fino a quel giorno. (via F-Secure, V3)

  • Tracciare gli utenti tramite la cache del browser

    Ci sono vari modi con i quali è possibile tracciare gli utenti anche senza l’utilizzo dei cookies, di seguito elenco quelli citati da Mike Cardwell.

    • Entity tag
      Il server web  invia un header HTTP di questo tipo:
      ETag: "un_id_univoco"
      Quando il browser ricarica la medesima risorsa in un momento successivo invia un header HTTP di questo tipo:
      If-None-Match: "un_id_univoco"
    • Dati creati ad arte nel header Last-Modified
      Il server può inviare un header di questo tipo:
      Last-Modified: data_univoca_creata_ad_arte
      Quando il browser ricarica la medesima risorsa in un momento successivo invia un header HTTP di questo tipo:
      If-Modified-Since: "data_univoca_creata_ad_arte"
    • ID univoco mascherato in un CSS
      Il server invia al client un CSS generato dinamicamente come questo con una data di scadenza della cache molto lunga:
      #elemento { background-image:url('/tracker.php?un_id_univoco') }
      Quando il browser (ri)carica ricarica l’URL specificato, il server traccia l’ID univoco e invia un elemento con un header HTTP che ne inibisce la conservazione nella cache.
    • Nascondere un ID univoco in un’immagine e leggerela con JavaScript e canvas.
      Il server invia un’immagine con un ID univoco al client specificando un tempo di permanenza in cache molto lungo. In seguito, l’ID può essere recuperato con la funzione canvas di JavaScript.

    (altro…)

  • L’importanza di chiamarsi root

    Molti (tra cui persone “importanti”) mi chiedono perche’ nella mia Ubuntu (e in tutte quelle che installo per lavoro) perdo sempre tempo (chissa quanto!) a settare la password di root.

    “ma tanto hai il sudo per tutti i comandi” “ma tanto basta fare ‘sudo su -‘, lo conosci questo trucchetto, no?” (come se non lavorassi su *nix da 20 anni): io li lascio parlare e setto sempre una password per root.

    Poi capita il giorno che l’ultimo aggiornamento di VirtualBox (4.1.2) da repository va in errore e l’utente che ha lanciato l’upgrade perde l’appartenenza a tutti i gruppi tranne che “vboxusers” (il quale ovviamente non e’ definito tra quelli privilegiati).

    … e se non c’e’ la passwd di root, adesso che si fa?
    Smontare il portatile, togliere il disco fisso, attaccarlo via usb ad un’altra linux e modificare a mano /etc/sudoers? sempre che non sia su filesystem ext4 criptato?

    Io li lascio parlare e setto sempre la password di root.

  • La giusta scelta della password

    La forza di una password è inversamente proporzionale alla facilità con cui un sistema automatico riesce ad indovinarla.

    Posto che non vengano utilizzate parole incluse nei dizionari di password (123456, password, password123) e nei dizionari propriamente detti, ad un attaccante restano o un attacco probabilistico o la forza bruta.

    Bisogna chiarire subito che i sistemi attuali di attacco non si fanno più fregare dalle permutazioni simil-1337, quindi p@55w0rd ha la stessa forza di password.

    L’attacco basato sulla forza bruta deve fare i conti con una progressione geometrica del numero di tentativi. Consideriamo l’insieme delle lettere dell’alfabeto internazionale minuscole e maiuscole (52), le cifre dei numeri arabi (10), e, per puro esercizio, 15 tra segni di interpunzione e simboli matematici: abbiamo un set di 77 caratteri.

    Con una password di 8 caratteri (il minimo richiesto dalla legge per i dati personali) le combinazioni son 77^8, ovvero 1.235.736.291.547.681, circa 1,23 * 10^15

    Ma se si incrementa del 50% il numero di caratteri e si va a 12, con lo stesso set le combinazioni sono 77^12, ovvero 43.439.888.521.963.583.647.921, circa 4,34 * 10^22, sette ordini di grandezza più del precedente. Con 1.000 tentativi al secondo, un computer impiegherebbe 4,34 * 10^19 secondi per beccare la password, ma se voi la cambiate ogni 6 mesi (pari a 1,57 * 10^7 secondi)…

    Quindi una password tipo 87:kH=1a è molto meno sicura di vivvallapapppa ed è molto meno facile da memorizzare, come illustrato anche dalla strip di oggi di xkcd: