SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Giornata di aggiornamenti

    Oggi sono usciti un po’ di aggiornamenti:

    • Firefox 3.5.17 (dettagli)
    • Firefox 3.6.14 (dettagli)
    • Thunderbird 3.1.8 (dettagli)
    • Adobe Flash 10.2.152.32
    • WireShark 1.4.4

     

  • Il sito del London Stock Exchange è infetto

    In questo momento il sito del London Stock Exchenge www.londonstockexchange.com tenta di distribuire del malware a chi lo visita.

    Il malware è il tipico finto antivirus che sfrutta le vulnerabilità dei browser per tentare di eseguire codice sul computer remoto.

    Questa [PDF] è una copia della pagina diagnostica di Google.

    (via High Severity)

    Aggiornamento 28/2 16:00SC Magazine riporta che il problema sarebbe stato causato da malvertiser, un banner pubblicitario il cui contenuto viene fornito da terze parti, che contiene del codice dannoso.

  • Voi e le vostre balle sulla sicurezza/2

    Avevamo dato conto della notizia secondo la quale alcune multinazionali sarebbero state penetrate da malviventi informatici.

    Bloomberg ha rivelato i nomi delle società coinvolte: secondo alcune persone coinvolte nelle indagini le società sarebbero Exxon Mobil Corp., Royal Dutch Shell Plc, BP Plc, Marathon Oil Corp., ConocoPhillips and Baker Hughes Inc.

    L’attacco, soprannominato Night Dragon, sarebbe durato tre anni e sarebbe stato originato principalmente dalla Cina.

    Gli attaccanti avrebbero avuto accesso alle reti interne di alcune compagnie per più di un anno, senza che nessuno se ne sia accorto.

    Le informazioni rubate includerebbero dati legali, finanziari, bozze di accordi e soprattutto le mappe digitali con le posizioni di possibili campi petroliferi.

    Secondo McAfee, le tecniche utilizzate per penetrare le LAN sarebbero state “non sofisticate”.

  • Esempio da evitare

    L’immagine a fianco mostra un tipico esempio di come non vada scritto il software di gestione di un sito.

    L’errore principale in questo caso è stato quello di realizzare un software che accetta un file come parametro passato via HTTP.

    Ipotizzando che la lettura di un file passato come parametro sia una necessità, è comunque possibile evitare il directory traversal.

    La funzione realpath() permette di convertire i path relativi in path assoluti e, quindi, sanificare le stringhe prima di passarle alle funzioni di apertura file: utilizzando il valore ritornato da realpath('.') è possibile eseguire dei controlli sulla stringa da sanificare per evitare che vengano caricati file in posizioni non previste.

  • Dati sensibili sui dischi a stato solido

    Steven Swanson e  Michael Wei hanno dimostrato che le normali procedure di cancellazione dati che si applicano ai supporti magnetici non sono efficaci per alcune memorie allo stato solido.

    Se si riesce a bypassare il flash translation layer sarebbe, in alcuni casi, possibile rileggere i dati salvati e sovrascritti.

    Dalle ricerche dei due scienziati sembrerebbe, infatti, che nelle memorie allo stato solido la cancellazione definitiva dei dati sia più difficile rispetto ai supporti magnetici convenzionali.

    Dal momento che non sempre è possibile distruggere fisicamente i supporti, fino a quando i produttori non implementeranno un sistema certo e garantito per cancellare i dati dalle memorie allo stato solido è bene non utilizzarle per dati sensibili oppure registrare solamente dati precedentemente crittografati.

  • 0day del protocollo SMB di Windows

    Fonti diverse confermano un vulnerabilità del protocollo SMB di Windows pubblicata, assieme al codice per sfruttarla, l’altro ieri sulla mailing list full-disclosure.

    La vulnerabilità consisterebbe nell’inviare a macchine Windows dei pacchetti di richiesta di Browser Election modificati ad arte per sfruttare un baco della funzione BrowserWriteErrorLogEntry() definita nel file mrxsmb.sys.

    La vulnerabilità colpirebbe solamente Windows, non le implementazioni del protocollo SMB di SAMBA.

    (altro…)

  • Aggiornamento per Java

    Oracle ha pubblicato l’aggiornamento 24 della versione 6 di Java.

    L’aggiornamento contiene la correzione di 21 vulnerabilità del software.

    Oracle classifica come critico questo aggiornamento e suggerisce di installare la nuova versione appena possibile.

    Gli utenti Windows possono forzare l’aggiornamento selezionando la funzione Aggiornamento dell’applet Java nel pannello di controllo.

  • Keylogger trovati nei computer di una biblioteca britannica

    La BBC e altre testate riportano la notizia del ritrovamento di keylogger USB connessi ai computer pubblici di una biblioteca di Wilmslow, vicino a Manchester.

    La polizia sarebbe riuscita a recuperare due dei tre keylogger che sarebbero stati installati nei computer della biblioteca, le indagini sono in corso.

    Questa notizia dimostra, casomai ce ne sia bisogno, che i computer pubblici non devono essere utilizzati per accedere a qualsiasi tipo di account privato, dalla posta elettronica personale al profilo dei siti di acquisti online.

    A titolo di ulteriore sicurezza, è bene controllare periodicamente il retro del proprio computer aziendale e i computer aziendali collocati in luoghi frequentati da tante persone come i corridoi o le sale riunioni.

  • È possibile creare un virus che spegne Internet?

    Risposta breve: teoricamente sì, ma con un sacco di se e di ma.

    Max Schuchard e i ricercatori dell’università del Minnesota hanno dimostrato [PDF] che un botnet di circa 250.00 elementi ben programmato potrebbe mettere in crisi le tabelle BGP dei router di confine delle varie sottoreti e bloccare, quindi, il routnig tra gli autonomous system.

    Una premessa: per comprendere le implicazioni di quanto scritto in questo articolo è necessaria un minimo di familiarità sui meccanismi che regolano Internet ad un livello che non viene normalmente percepito dagli utenti o dai SysAdmin che operano a livello server. Di seguito cercherò di spiegare a grandi linee questi meccanismi.

    Durante il primo boom di Internet (metà anni ’90) questa veniva definita anche la rete delle reti, definizione che ci viene molto utile in questo contesto. A livello macrosocopico Internet è una serie di reti con delle regole specifiche di interconnessione (peering) e instradamento (routing) tra di loro. Le regole di routing interne delle singole reti non sono importanti: come la singola connessione ADSL raggiunga il confine della rete di un provider non interessa le altre reti. Le singole reti sono, ad esempio, quelle dei vari ISP, quelle delle grandi società di hosting/housing, quelle delle multinazionali. Da questo momento in avanti il termine rete è utilizzato con questa accezione, non pensate alla vostra LAN, ma all’insieme degli indirizzi del vostro provider (per esempio). Bisogna pensare in grande quando si parla di BGP e assimilati.

    (altro…)

  • Voi e le vostre balle sulla sicurezza…

    Reuters ha pubblicato una notizia secondo la quale cinque grandi società multinazionali dell’energia sarebbero state penetrate da malviventi informatici cinesi.

    Gli attacchi sarebbero andati a buon fine in due giorni e sarebbero stati effettuati partendo dai siti istituzionali o da email inviate ai dirigenti delle aziende.

    I malviventi avrebbero copiato dati aziendali, finanziari e dati relativi a proprietà intellettuali delle vittime.

    I server che avrebbero ospitato la parte Internet del malware si sarebbero trovati in Cina, nella provincia dello Shandong e a Pechino.

    Questa notizia insegna molte cose a chi vuole ascoltare le lezioni (chi pensa di sapere tutto e di non aver nulla da imparare ha problemi ben più grossi della sicurezza informatica), alcune delle quali vengono riassunte di seguito.

    (altro…)

  • Possibile vulnerabilità di Excel

    Zero Day Initiative ha pubblicato degli articoli su quattro possibile vulnerabilità di Microsoft Excel.

    Gli articoli hanno i codici ZDI-11-040, ZDI-11-041, ZDI-11-042 e ZDI-11-043.

    I problemi riguarderebbero il modo in cui Excel analizza i file che apre. Un file opportunamente modificato potrebbe indurre Excel ad eseguire del codice arbitrario.

    Microsoft non ha ancora preso posizione in merito a questa segnalazione.

    In attesa di dati più certi o di valutazioni di terze parti è comunque consigliabile diffidare da file Excel provenienti da fonti ignote, specialmente se vengono aperti su computer che svolgono operazioni importanti. (via Full Disclosure mailing list)

  • Attraversamento delle directory con Majordomo2

    Sitewatch ha pubblicato un articolo che parla di un un serio problema di attraversamento delle directory delle versioni fino alla 20110131 esclusa di Majordomo2.

    Il problema riguarda tutte le interfacce di Majordomo2, inclusa la mail.

    Quindi inviando un messaggio all’account amministrativo di Majordomo2 (per esempio majordomo@example.com) con un testo tipo

    help ../../../../../../../../../../../../../etc/passwd

    se si indovina la profondità corretta del file system si ottiene come risposta il contenuto di /etc/passwd

    Ovviamente il trucco vale per qualsiasi file di testo di cui si conosca o si riesca ad indovinare il path.