SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Reset delle password di WordPress.org

    Ieri le password degli account di WordPress.org sono state resettate e gli utenti devono sceglierne una nuova.

    La decisione segue una serie inusuale di aggiornamenti di vari plugin molto utilizzati, tra cui AddThis, WPtouch e W3 Total Cache. Un’analisi ha rivelato che tutti questi aggiornamenti contenevano una backdoor e che le nuove versioni non erano state caricate dagli sviluppatori.

    Gli amministratori hanno ripristinato la versione dei plugin senza backdoor e hanno deciso di resettare le password di tutti gli utenti.

    Se avete un account su WordPress.org andate su questa pagina per impostare la nuova password.

    Come al solito, vale la regola che non è una buona idea utilizzare la medesima password per siti differenti.

  • Non è colpa degli hacker

    Ultimamente ci sono stati molti episodi di attacchi informatici a vari siti, a partire dal noto caso di Sony, di cui credo si sia perso il conto dei siti compromessi.

    The Hacker News segnala un errore nel sito di CNN che sono riuscito a riprodurre senza problemi.

    Se si visita l’URL http://cgi.money.cnn.com/tools/collegecost/collegecost.jsp?college_id='7966 (notare l’apicino) esce il bel messaggio d’errore

    ERROR!
SELECT G.NAME, G.STATE_CODE, G.CITY, E.TUIT_OVERALL_FT_D, E.TUIT_AREA_FT_D, E.TUIT_STATE_FT_D, E.TUIT_NRES_FT_D, E.FEES_FT_D, E.RM_BD_D, E.RM_ONLY_D FROM COLLEGE_EXPENSES E, COLLEGE_GENERAL G WHERE G.INUN_ID = '7966 AND G.INUN_ID = E.INUN_ID (+) ORDER BY E.ACAD_YR DESC
java.sql.SQLException: ORA-01756: quoted string not properly terminated

    e la videata riprodotta a qui sopra.

    Questo non è un sofisticato attacco di un esperto programmatore contro un sito dotato di tutte le normali difese che il buon senso richiede.

    Si tratta, invece, del più banale degli esempi di SQL Injection, così ovvio che è citato nella Wikipedia.

    Come narra la cronaca, la maggior parte degli attacchi contro vari siti ha avuto successo non perché portati da gente esperta, ma perché c’era una porta lasciata colpevolmente aperta che attendeva solamente che qualcuno entrasse.

    Un’ultima cosa:  visualizzare all’utente trace e dettaglio degli errori in un ambiente di produzione non è la più furba delle idee.

  • Sownage

    Sownage è una contrazione di “Sony ownage“, il neologismo creato per descrivere la serie di attacchi portati a termine contro i siti e i servizi di Sony.

    Questa pagina tiene traccia della situazione in via di sviluppo e viene aggiornata man mano che si verificano altri atti ostili nei confronti di Sony. (via Twitter)

     

  • Aggiornare è meglio

    I recenti fatti di cronaca relativi agli attacchi informatici dei siti di varie aziende sono noti a tutti e sono in continua evoluzione.

    Se si leggono le analisi di molti malware, uno tra tutti Stuxnet, si riconosce un vettore d’attacco comune a molti programmi di questa categoria: lo sfruttamento di vulnerabilità 0-day o corrette dall’ultimo aggiornamento.

    Avevo già trattato questo argomento qualche anno fa, ma mi sembra il caso di tornarci, anche perché sono cambiate un po’ di cose, tra cui la virtualizzazione.

    Anche lasciando la variabile virtualizzazione fuori dall’equazione, credo che nel 2011 aggiornare i sistemi operativi e gli applicativi sia l’unica strada sensata percorribile.

    Pensare che continui ad andare bene perché fino a quel momento è andata bene è irresponsabile e per nulla professionale.

    Aggiornamento del 16/6/2011 – Secondo un articolo di Naked Security l’aggiornamento di Windows distribuito all’inizio dell’anno che ha cambiato il comportamento dell’AutoRun ha drasticamente ridotto la diffusione di virus che si propagano attraverso le chiavette USB.

    Certo, deve esistere un solido disaster recovery plan che regga il sistema informativo, ma l’adozione di un sistema di virtualizzazione che, come VMware, disponga di un sistema di snapshot unito ad un buon software di backup (come Veeam e l’Instant VM Recovery) rendono la vita molto facile a chi vuole aggiornare in tutta tranquillità, senza correre il pericolo di lunghi downtime dovuti al recovery di un disaster.

    (altro…)

  • XSS sulla MyFastPage

    Emilio Pinna ha scoperto una vulnerabilità XSS dell’autenticazione dell’utente della MyFastPage di FastWeb.

    Esiste anche una pagina in cui è possibile verificare se si rischia di cadere vittime di questo tipo di attacco.

    Un ipotetico attaccante potrebbe modificare la password di accesso o accedere ai dati dell’utente e alla posta elettronica.

    Questo documento [PDF] mostra in dettaglio come sia possibile sfruttare questa vulnerabilità.

    Emilio ha segnalato il problema a FastWeb un mese fa ed ha ricevuto una risposta, ma il problema permane. (via Full Disclosure)

  • Microsoft Standalone System Sweeper Beta

    Microsoft ha reso disponibile la versione beta di Standalone System Sweeper.

    Il tool, una volta scaricato, crea un CD o una chiavetta USB avviabili con cui dovrebbe essere possibile rimuovere il malware più insidioso dai computer infetti.

    Il CD contiene, purtroppo solamente una versione dell’antimalware di Microsoft, ma mancano due funzioni fondamentali che l’avrebbero reso uno strumento davvero utile.

    Innanzi tutto non esiste una funzione in grado di aggiornare le definizioni o via file o direttamente da Internet.

    In secondo luogo, sarebbero stati graditi una shell per accedere al file system del sistema infetto e un editor del registry del sistema infetto. Queste due funzioni avrebbero aiutato moltissimo il personale tecnico esperto.

    Un’altra occasione sprecata in cui le terze parti sono molto avanti rispetto a questo stadio.

  • Patch tuesday per OSX

    Apple ha rilasciato un aggiornamento di sicurezza per OSX 10.6.7 (Snow Leopard).

    Questo aggiornamento permette al sistema operativo di individuare, disabilitare e rimuovere MacDefender.

    Vengono anche aggiornate le definizioni del sistema di quarantena dei file e viene abilitata una funzione di aggiornamento automatico giornaliero delle definizioni del sistema di quarantena.

    L’aggiornamento automatico può essere disabilitato nelle impostazioni di Sicurezza delle Preferenze di Sistema, ma è sconsigliabile. (via PCMag)

    Aggiornamento 1/6/2011 07:30NakedSecurity riporta la notizia di un altro finto antivirus nello stile di MacDefender che si starebbe diffondendo su Facebook travestito da presunti video delle scene di sesso di Dominique Strauss-Kahn.

  • openWAF

    openWAF è un firewall applicativo distribuito per il web.

    Il mondo dei firewall per le applicazioni è ancora da esplorare, ma le recenti notizie di cronaca invitano a prendere rapidamente in esame questo aspetto della sicurezza.

    Normalmente i firewall operano a livello di protocollo di rete e fanno pochissime incursioni nei livelli applicativi.

    Inoltre, con una curiosa allegoria del teorema di Gödel, i firewall migliori sono quelli posti all’esterno di ciò che si vuole proteggere.

    Possiamo, infatti, scrivere l’applicazione web nel modo più sicuro che ci viene in mente, sanificando ogni input, ma una distrazione o un giro imprevisto della procedura sono sempre in agguato.

    (altro…)

  • Antivirus per Mac OSX

    Dopo la prima versione di MACDefender, i produttori di malware non sono rimasti con le mani in mano.

    Naked Security ha scovato una versione del malware che non richiede la password di utente privilegiato per essere installata, così come in ogni sistema *NIX non è necessario copiare un eseguibile (binario o script shell che sia) nella propria home directory.

    Dopo le prime reazioni un po’ sorprendenti, Apple ha deciso di pubblicare una nota tecnica in cui spiega come rimuovere il malware e ha annunciato che il prossimo aggiornamento del sistema conterrà un programma che rimuove automaticamente il software dannoso, una ragione in più per tenere il Mac sempre aggiornato.

    Chi utilizza Safari e non l’avesse ancora fatto, può disabilitare l’apertura automatica dei file scaricati che Safari giudica, sbagliando, essere sicuri; è l’ultima opzione del primo pannello della configurazione del programma.

    Ovviamente i produttori di antivirus  non stanno a guardare. Dopo Sophos, anche F-Secure ha annunciato la disponibilità di un antivirus. La società di Helsinki aveva già un prodotto per MacOS negli anni ’90, ma l’aveva abbandonato per assenza di malware per quella piattaforma. Anche Symantec ha a catalogo un prodotto per la protezione del Macintosh.

    Invocare congiure e complotti è inutile e fuori da ogni ragionevolezza. Il malware per OSX è qui e colpisce l’anello più debole del sistema: quello che si trova tra la sedia e la tastiera. Un atteggiamento negazionista farà solamente il gioco del malware.

  • MysqlPasswordAuditor

    MysqlPasswordAuditor è un tool per crackare verificare la sicurezza di un server MySQL.

    Questa versione funziona solamente con un dizionario di password, ma nulla impedisce di utilizzare appositi tool per creare il dizionario, specialmente se è nota una parte della password.

    Il programma necessita solamente l’accesso alla porta TCP di MySQL.

    La scansione avviene abbastanza velocemente: in una macchina virtuale su un sistema relativamente carico, la scansione in rete gigabit di 3150 password ha richiesto 23 secondi. L’attività non ha lasciato tracce nel log di MySQL utilizzando le impostazioni standard di CentOS 5.6.

    Se MysqlPasswordAuditor riesce a crackare la password del vostro MySQL utilizzando il database di password distribuito assieme al software, avete un bel problema.

    Vista la natura del programma, è fortemente consigliabile installarlo solamente in una macchina virtuale dopo aver creato uno sanpshot e tornare a quel punto dopo aver utilizzato MysqlPasswordAuditor.

  • Infografica della vicenda Sony

    CreditCardFinder ha creato un’interessante infografica che ripercorre le travagliate vicende che hanno interessato il network della PlayStation (PSN).

    La vicenda, iniziata a metà aprile e non ancora conclusa, è un misto di incompetenze, false partenze e disastri annunciati.

    Secondo alcune notizie, la prima versione del PSN non avrebbe avuto le protezioni di sicurezza necessarie. Non parlo di quelle avanzate, visto che il sistema è stato compromesso, ma nemmeno quelle di base: firewall e aggiornamenti sarebbero stati una materia ignota prima di metà aprile.

    Questo è quello che succede quando vengono anteposte le necessità del marketing e dei vari dipartimenti legali a quelle degli esperti di sicurezza.

    Costa di più mezz’ora di disservizio per aggiornamento e test dei sistemi o una figuraccia come quella illustrata a fianco? Pensateci bene la prossima volta che darete retta ad un consulente legale o pubblicitario per decidere il destino della vostra infrastruttura tecnologica.

  • Elenco dei profili di Google

    Con questo semplice script in Python è possibile scaricare l’elenco degli URL di tutti i profili degli utenti di Google:

    import urllib
from BeautifulSoup import BeautifulStoneSoup as bs
xml = bs(urllib.urlopen('http://www.gstatic.com/s2/sitemaps/profiles-sitemap.xml').read())
for i in xml.findAll('loc'):
    try:
        urllib.urlretrieve(i.text, i.text[35:])
        print 'Downloaded %s' % i.text[35:]
    except Exception, err:
        print '%s could not be retrieved' % i.text
print 'All done'

    gstatic.com è il nome a dominio che Google utilizza per servire contenuti statici e ridurre, quindi, il carico sui server principali.

    Il risultato è una serie di file di testo con un URL per ogni riga.

    L’URL è quello del profilo di ciascuno dei 35.513.445 utenti registrati. Per fare un esempio, questa è la pagina del mio profilo, contenuta tra quelle scaricabili con lo script riportato sopra (via Yiannis).