SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Baco nell’implementazione di STARTTLS in alcuni MTA

    Wietse Venema, l’autore di Postfix, ha scoperto una vulnerabilità del suo stesso programma presente anche in altri MTA.

    Il problema si presenta nelle fasi iniziali del passaggio a TLS della comunicazione SMTP.

    Wietse ha scoperto che, accodando altri comandi SMTP in chiaro al comando STATRTLS, quello che avvia la sessione TLS, l’MTA esegue i comandi accodati anche se sono in chiaro e anche se seguono la richiesta di sessione cittografata. Se, infatti viene inviata la stringa "STARTTLS\r\nRSET\r\n", l’MTA risponde con due status 250 anziché uno solo, indicando, quindi, che ha eseguito anche RSET, sebbene sia dopo la richiesta (confermata) di passaggio ad una sessione crittografata.

    Il problema, come spiega Wietse, risiede nell’implementazione del sistema di stratificazione dei vari protocolli ed è, quindi, possibile che altri programmi che usano TLS potrebbero essere interessati da questo baco.

    Per quanto riguarda Postfix, il problema non è presente nelle versioni 2.8.x e 2.9.x mentre è stato risolto nelle versioni 2.7.3, 2.6.9, 2.5.12 e 2.4.16.

     

     

  • Giornata di aggiornamenti

    Oggi sono usciti un po’ di aggiornamenti:

    • Firefox 3.5.17 (dettagli)
    • Firefox 3.6.14 (dettagli)
    • Thunderbird 3.1.8 (dettagli)
    • Adobe Flash 10.2.152.32
    • WireShark 1.4.4

     

  • Il sito del London Stock Exchange è infetto

    In questo momento il sito del London Stock Exchenge www.londonstockexchange.com tenta di distribuire del malware a chi lo visita.

    Il malware è il tipico finto antivirus che sfrutta le vulnerabilità dei browser per tentare di eseguire codice sul computer remoto.

    Questa [PDF] è una copia della pagina diagnostica di Google.

    (via High Severity)

    Aggiornamento 28/2 16:00SC Magazine riporta che il problema sarebbe stato causato da malvertiser, un banner pubblicitario il cui contenuto viene fornito da terze parti, che contiene del codice dannoso.

  • Voi e le vostre balle sulla sicurezza/2

    Avevamo dato conto della notizia secondo la quale alcune multinazionali sarebbero state penetrate da malviventi informatici.

    Bloomberg ha rivelato i nomi delle società coinvolte: secondo alcune persone coinvolte nelle indagini le società sarebbero Exxon Mobil Corp., Royal Dutch Shell Plc, BP Plc, Marathon Oil Corp., ConocoPhillips and Baker Hughes Inc.

    L’attacco, soprannominato Night Dragon, sarebbe durato tre anni e sarebbe stato originato principalmente dalla Cina.

    Gli attaccanti avrebbero avuto accesso alle reti interne di alcune compagnie per più di un anno, senza che nessuno se ne sia accorto.

    Le informazioni rubate includerebbero dati legali, finanziari, bozze di accordi e soprattutto le mappe digitali con le posizioni di possibili campi petroliferi.

    Secondo McAfee, le tecniche utilizzate per penetrare le LAN sarebbero state “non sofisticate”.

  • Esempio da evitare

    L’immagine a fianco mostra un tipico esempio di come non vada scritto il software di gestione di un sito.

    L’errore principale in questo caso è stato quello di realizzare un software che accetta un file come parametro passato via HTTP.

    Ipotizzando che la lettura di un file passato come parametro sia una necessità, è comunque possibile evitare il directory traversal.

    La funzione realpath() permette di convertire i path relativi in path assoluti e, quindi, sanificare le stringhe prima di passarle alle funzioni di apertura file: utilizzando il valore ritornato da realpath('.') è possibile eseguire dei controlli sulla stringa da sanificare per evitare che vengano caricati file in posizioni non previste.

  • Dati sensibili sui dischi a stato solido

    Steven Swanson e  Michael Wei hanno dimostrato che le normali procedure di cancellazione dati che si applicano ai supporti magnetici non sono efficaci per alcune memorie allo stato solido.

    Se si riesce a bypassare il flash translation layer sarebbe, in alcuni casi, possibile rileggere i dati salvati e sovrascritti.

    Dalle ricerche dei due scienziati sembrerebbe, infatti, che nelle memorie allo stato solido la cancellazione definitiva dei dati sia più difficile rispetto ai supporti magnetici convenzionali.

    Dal momento che non sempre è possibile distruggere fisicamente i supporti, fino a quando i produttori non implementeranno un sistema certo e garantito per cancellare i dati dalle memorie allo stato solido è bene non utilizzarle per dati sensibili oppure registrare solamente dati precedentemente crittografati.

  • 0day del protocollo SMB di Windows

    Fonti diverse confermano un vulnerabilità del protocollo SMB di Windows pubblicata, assieme al codice per sfruttarla, l’altro ieri sulla mailing list full-disclosure.

    La vulnerabilità consisterebbe nell’inviare a macchine Windows dei pacchetti di richiesta di Browser Election modificati ad arte per sfruttare un baco della funzione BrowserWriteErrorLogEntry() definita nel file mrxsmb.sys.

    La vulnerabilità colpirebbe solamente Windows, non le implementazioni del protocollo SMB di SAMBA.

    (altro…)

  • Aggiornamento per Java

    Oracle ha pubblicato l’aggiornamento 24 della versione 6 di Java.

    L’aggiornamento contiene la correzione di 21 vulnerabilità del software.

    Oracle classifica come critico questo aggiornamento e suggerisce di installare la nuova versione appena possibile.

    Gli utenti Windows possono forzare l’aggiornamento selezionando la funzione Aggiornamento dell’applet Java nel pannello di controllo.

  • Keylogger trovati nei computer di una biblioteca britannica

    La BBC e altre testate riportano la notizia del ritrovamento di keylogger USB connessi ai computer pubblici di una biblioteca di Wilmslow, vicino a Manchester.

    La polizia sarebbe riuscita a recuperare due dei tre keylogger che sarebbero stati installati nei computer della biblioteca, le indagini sono in corso.

    Questa notizia dimostra, casomai ce ne sia bisogno, che i computer pubblici non devono essere utilizzati per accedere a qualsiasi tipo di account privato, dalla posta elettronica personale al profilo dei siti di acquisti online.

    A titolo di ulteriore sicurezza, è bene controllare periodicamente il retro del proprio computer aziendale e i computer aziendali collocati in luoghi frequentati da tante persone come i corridoi o le sale riunioni.

  • È possibile creare un virus che spegne Internet?

    Risposta breve: teoricamente sì, ma con un sacco di se e di ma.

    Max Schuchard e i ricercatori dell’università del Minnesota hanno dimostrato [PDF] che un botnet di circa 250.00 elementi ben programmato potrebbe mettere in crisi le tabelle BGP dei router di confine delle varie sottoreti e bloccare, quindi, il routnig tra gli autonomous system.

    Una premessa: per comprendere le implicazioni di quanto scritto in questo articolo è necessaria un minimo di familiarità sui meccanismi che regolano Internet ad un livello che non viene normalmente percepito dagli utenti o dai SysAdmin che operano a livello server. Di seguito cercherò di spiegare a grandi linee questi meccanismi.

    Durante il primo boom di Internet (metà anni ’90) questa veniva definita anche la rete delle reti, definizione che ci viene molto utile in questo contesto. A livello macrosocopico Internet è una serie di reti con delle regole specifiche di interconnessione (peering) e instradamento (routing) tra di loro. Le regole di routing interne delle singole reti non sono importanti: come la singola connessione ADSL raggiunga il confine della rete di un provider non interessa le altre reti. Le singole reti sono, ad esempio, quelle dei vari ISP, quelle delle grandi società di hosting/housing, quelle delle multinazionali. Da questo momento in avanti il termine rete è utilizzato con questa accezione, non pensate alla vostra LAN, ma all’insieme degli indirizzi del vostro provider (per esempio). Bisogna pensare in grande quando si parla di BGP e assimilati.

    (altro…)

  • Voi e le vostre balle sulla sicurezza…

    Reuters ha pubblicato una notizia secondo la quale cinque grandi società multinazionali dell’energia sarebbero state penetrate da malviventi informatici cinesi.

    Gli attacchi sarebbero andati a buon fine in due giorni e sarebbero stati effettuati partendo dai siti istituzionali o da email inviate ai dirigenti delle aziende.

    I malviventi avrebbero copiato dati aziendali, finanziari e dati relativi a proprietà intellettuali delle vittime.

    I server che avrebbero ospitato la parte Internet del malware si sarebbero trovati in Cina, nella provincia dello Shandong e a Pechino.

    Questa notizia insegna molte cose a chi vuole ascoltare le lezioni (chi pensa di sapere tutto e di non aver nulla da imparare ha problemi ben più grossi della sicurezza informatica), alcune delle quali vengono riassunte di seguito.

    (altro…)

  • Possibile vulnerabilità di Excel

    Zero Day Initiative ha pubblicato degli articoli su quattro possibile vulnerabilità di Microsoft Excel.

    Gli articoli hanno i codici ZDI-11-040, ZDI-11-041, ZDI-11-042 e ZDI-11-043.

    I problemi riguarderebbero il modo in cui Excel analizza i file che apre. Un file opportunamente modificato potrebbe indurre Excel ad eseguire del codice arbitrario.

    Microsoft non ha ancora preso posizione in merito a questa segnalazione.

    In attesa di dati più certi o di valutazioni di terze parti è comunque consigliabile diffidare da file Excel provenienti da fonti ignote, specialmente se vengono aperti su computer che svolgono operazioni importanti. (via Full Disclosure mailing list)