SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Blackbuntu

    Blackbuntu è una distribuzione Linux basata su Ubuntu 10.10 dedicata ai test di penetrazione dei sistemi e dintorni.

    La distribuzione può essere scaricata in vari formati: ISO live, VMware e Virtual Box; tutte le versioni sono disponibili in versione 32 bit o 64 bit e si scaricano via Bit Torrent. La versione per VMware è in formato 6.5/7 e si apre senza bisogno di modifiche direttamente da VMware Workstation 7.

    Tutte le utility incluse nel kit sono organizzate per categoria nei menu di gnome; ovviamente per le utility command line il menu richiama una shell bash.

    Da segnalare il fatto che tra le utility sono incluse quelle di analisi VoIP e di informatica forense.

    Completa il quadro la suite completa di LibreOffice, utile per documentare l’attività.

  • Zero day in un’utility di visualizzazione immagini di WordPress

    È stata scoperta una vulnerabilità nell’utility TimThumb utilizzata da molti temi di WordPress per visualizzare le immagini.

    TimThumb è ampiamente utilizzato da numerosi temi, sia gratuiti sia commerciali.

    La vulnerabilità può essere sfruttata per caricare ed eseguire del codice PHP direttamente dalla directory di cache di TimThumb.

    Per risolvere il problema bisogna cercare il file timthumb.php all’interno dell’installazione di PHP e modificarlo, se necessario. Se viene utilizzato da un tema, il file si trova in wp-content/themes/[nome del tema]/ o in una delle sue sottodirectory.

    Il metodo per trovare il file, se esiste, e di editarlo dipende dall’installazione di WordPress e dalla modalità con cui si accede ad essa.

    Una volta identificato il file, bisogna cercare nelle prime righe se esiste questo pezzo di codice:

    // external domains that are allowed to be displayed on your website
$allowedSites = array (
        'flickr.com',
        'picasa.com',
        'blogger.com',
        'wordpress.com',
        'img.youtube.com',
        'amazonaws.com',
);

    che deve essere sostituito con un array vuoto:

    // external domains that are allowed to be displayed on your website
$allowedSites = array ();

    Se il codice non esiste, si sta utilizzando una versione più vecchia dell’utility, che non dovrebbe essere interessata dal baco.

    Per la cronaca, la skin di Siamo Geek non contiene TimThumb. (via The Hacker News)

  • Ricerche di qualita` (anche no)

    Qualche tempo fa stavo installando un nuovo pc con windows (attivita` che non faccio mai, se non per pieta` nei confronti di qualche cliente storico al quale voglio molto bene) e dopo aver rimosso tutto il crapware che il produttore del PC aveva amorevolmente installato, sono passato a installare quelle cose di base che ha senso avere, fra le quali un antivirus gratuito un minimo decente. Per questo motivo, vado a installare “Microsoft Security Essentials”, ancora prima di installare Firefox.

    Lancio Explorer e faccio la ricerca per “microsoft security essentials” dentro a quella povera creatura che e` Bing(tm), rimanendo sconcertato per il risultato: i primi due link mi portano a siti che installano malware, e il terzo soltanto e` quello giusto.

    Screenshot di BingOra, capisco che i primi due siano link sponsorizzati, ma mi sembra assurdo che Microsoft per quei pochi soldi che potra` prendere, accetti di pubblicare sul suo motore di ricerca una porcheria del genere.

    Ovviamente Google, facendo la stessa identica ricerca, riporta come primo link quello giusto, e non vi e` traccia, almeno nella prima pagina, di alcun tipo di malware.

    Non c’e` da stupirsi, quindi, se l’utente medio installa malware al posto di antivirus, sotto la guida cosi` attenta di mamma Microsoft.

     

  • 404 Project

    Internet Storm Center ha avviato un progetto per raccogliere i dati dei tentativi di accesso per forza bruta ad eventuali applicativi web con delle vulnerabilità note.

    Il progetto si basa sulla cooperazione volontaria dei webmaster che integrano uno script PHP nella pagina dei errore 404.

    Per prima cosa, è necessario creare un account su ISC. Una volta creato si annotano il codice utente (il numero tra parentesi dopo la mail che compare nella colonna di destra) e l’authentication key; entrambi si possono reperire seguendo il link My Information dopo essersi autenticati.

    Quindi si scarica lo script PHP e si istruisce Apache per eseguirlo ad ogni tentativo di caricare una pagina non esistente. Lo script è molto semplice e trasmette pochi dati a ISC.

    Lo scopo del progetto è di raccogliere dati sufficienti per capire quali siano i bersagli favoriti dalle sonde automatiche che scandagliano i siti. (via ISC)

     

  • Batterie fin troppo intelligenti

    Le batterie dei portatili e di altri dispositivi elettronici sono da anni dotate di un’elettronica di controllo e, alcune volte di un processore che le governa.

    I chip di controllo delle batterie sono svariati, per fare alcuni esempi si va dal BQ2040 e NT1908  che permettono di leggere la situazione della batteria e di pilotare dei led di stato, fino ai più sofisticati come il vecchio MAX1780 equipaggiato con una CPU RISC a 8 bit, EEPROM e mezzo k di RAM.

    Probabilmente il primo (o il più famoso) caso in cui l’intelligenza della batteria è stata utilizzata per scopi diversi da quelli della gestione dell’alimentazione è quello della protezione del firmware della prima PSP, il cui sblocco del firmware poteva passare attraverso l’installazione di una batteria opportunamente modificata.

    Esiste anche un software, Battery EEPROM Works, che si interfaccia con i chip delle batterie e permette di eseguire alcune operazioni di manutenzione o controllo.

    Tra i computer con le batterie intelligenti ci sono anche i portatili di Apple, per le cui batterie sono stati rilasciati vari aggiornamenti.

    Proprio studiando questi aggiornamenti Charlie Miller ha scoperto che i chip di queste batterie hanno tre modalità di funzionalemnto: sealed, unsealed e full access. Il passaggio da una modalità a quella superiore avviene presentando una password di 4 byte al chip, che, nel caso dei portatili Apple, è quella di default impostata dalla fabbrica.

    (altro…)

  • Google rileva alcuni computer infetti

    Google ha introdotto un sistema che riconosce un’attività insolita proveniente dai client, che è sicuramente riconducibile ad in malware.

    Se un client infetto da questo tipo di malware si connette a Google, il motore di ricerca presenta nella parte alta della pagina dei risultati della ricerca una schermata come questa:

    Se, quindi, dovesse apparire un messaggio simile, probabilmente scritto nella lingua che avete selezionato in Google, è il momento di aggiornare l’antivirus o di installarne uno migliore.

    Il sistema è in grado di individuare i PC infetti anche nel caso in cui facciano rimbalzare la richiesta attraverso un computer terzo. (via Google Security Blog)

  • SaaS (il “cloud”) e brutte sorprese

    Io trovo incredibile che tutti pensino che la soluzione di ogni problema informatico sia “il cloud” (riferendosi in realta` al SaaS, ovvero Software as a Service).

    Certo, e` comodo pagare un canone annuo per collegarsi ad un server remoto gestito da altri dove gira il software che altrimenti avresti dovuto comperare, installare, aggiornare, backuppare, eccetera.

    Ma vi siete mai chiesti se il server remoto e` affidabile? Ovviamente il venditore vi avra` detto che il server e` in realta` un sistema ridondante su macchine multiple dislocate in diversi luoghi, con sincronia realtime dei dati, backup storici, UPS, condizionamento, gigabit di banda su piu` connessioni indipendenti, guardie armate alla porta, eccetera.

    La realta` invece e` che il software e` installato su 3 HP ML110 con un RAID1 ognuno su dischi SATA di classe desktop, e un semplice backup con backuppc. Nessuna ridondanza (ogni server gestisce N clienti, ma non c’e` ridondanza), l’ UPS e` rotto da 4 mesi, e spesso ci sono gravi sbalzi di tensione di rete a causa della locazione (una zona industriale). La connessione internet e` una singola fibra a 10 megabit senza ridondanza alcuna. I server si trovano in una stanzina condizionata (almeno quello) che pero` e` usata anche come ripostiglio, quindi e` piena di scatoloni e ci sono persone che vanno e vengono continuamente scavalcando le prese elettriche e i cavi di rete.

    Quando vi propongono di “mettere tutto nel cloud”, riflettete su quello che vi ho appena detto.

  • Sulle tracce di Stuxnet

    Stuxnet è un malware al momento unico nel suo genere. Non si affida a Internet per la diffusione. È enorme. La sua modalità di attacco primaria è il sabotaggio fisico dell’hardware industriale. È stato (presumibilmente) sviluppato da un governo ostile. È mirato a una ben precisa installazione. Chi lo ha sviluppato ha dimostrato di avere una conoscenza intima della struttura interna del bersaglio. Fa parte di un assalto “multidisciplinare” (o almeno così parrebbe). (altro…)

  • Rilasciato GMER 1.0.15.15640

    Per chi non lo conoscesse si tratta di un tool totalmente gratuito di rilevazione e rimozione dei rootkit per i seguenti sistemi windows:

    NT, 2000, XP, VISTA, 7

    E’ piuttosto sofisticato e rileva processi nascosti, attività sospette di driver, file nascosti, settori del disco nascosti etc.

    Per download ed informazioni:

    http://www.gmer.net/

  • PEBKAC

    Il titolo si riferisce ad uno dei tanti modi per indicare l’equivalente informatico del fattore umano.

    Negli ultimi tempi, infatti, parlare della sicurezza di un sistema operativo senza considerare il suo utente è pura propaganda markettara. Bisogna, invece, considerare l’utente e il computer nel suo insieme: un sistema sarà sicuro quando sia il computer sia l’utente avranno un altro grado di sicurezza.

    Uno dei test più semplici per valutare il fattore umano è quello, oramai diventato un classico, di disseminare delle chiavette USB nei pressi (parcheggi) dell’organizzazione da testare o in zone strategiche (aree break). Ovviamente queste chiavette contengono un malware studiato ad hoc per vedere quanti utenti contravvengono alle più banali regole di sicurezza.

    Un test simile svolto di recente presso il Department of Homeland Security americano ha rivelato un 60% di persone che hanno infilato la chiavetta nel PC di lavoro; la percentuale sale al 90% se la chiavetta è marchiata con un logo noto, un ottimo elemento di social engineering da tener presente.

    Dal momento che più grossa è l’organizzazione e maggiore è la probabilità che i computer non siano aggiornati con le ultime patch, è facile capire come sia relativamente semplice impiantare un malware in uno o più PC, che possono essere utilizzati come teste di ponte per accedere ai dati dell’organizzazione. (via Mikko Hypponen, TNW, Bloomberg)

  • Strategic Cyber Security

    Strategic Cyber Security è il titolo di un libro elettronico gratuito di Kenneth Geers.

    L’autore, membro del Naval Criminal Investigative Service (NCIS), è assegnato al Cooperative Cyber Defence Centre of Excellence (CCDCOE) della NATO a Tallin, Estonia.

    Il libro sostiene la tesi che la sicurezza informatica si stia trasformando da un mero problema di sicurezza ad una questione strategica.

    L’opera può essere scaricata gratuitamente e senza registrazione in formato PDF o ePUB. (via Mikko Hypponen)

  • DNS poisoning

    Leggo che il tema del DNS poisoning è ancora attuale, circa tre anni dopo la sua esplosione.

    Prima di tutto, un’introduzione per chi non conosce il funzionamento del DNS.

    Ogni macchina su Internet è identificata da un indirizzo numerico (per ora, principalmente nella forma a.b.c.d dove le lettere rappresentano dei numeri da 0 a 255 decimale), ma è un dato difficile da ricordare e su uno stesso IP possono vivere più server virtuali, nel caso di httpd. È stato quindi creato un sistema che associa delle sequenze più facili da ricordare ad un indirizzo numerico: è più facile ricordare siamogeek.com piuttosto che 84.19.182.37. Il sistema per passare dal nome usato dagli umani all’indirizzo numerico utilizzato dalle macchine è detto risoluzione del nome, il quale si basa sul sistema dei nomi a dominio (DNS). Quando voglio risolvere siamogeek.com, il mio computer genera un numero di sicurezza a caso tra 0 e 65.535 e lo scrive in una richiesta che invia al server DNS di riferimento (quello definito nelle impostazioni del TCP/IP del computer). Il server DNS, elabora la richiesta e risponde allegando quel numero nella risposta per fare in modo che io abbia la (relativa) sicurezza che mi ha risposto il server legittimo e non un malintenzionato. Prima del 1995 i numeri erano scelti in sequenza e, quindi, facilmente indovinabili; ora tutti i computer li scelgono a caso, ma la bontà della casualità della scelta dipende dalla piattaforma che la esegue e, quindi, potrebbe essere facilmente indovinabile. (altro…)