Categoria: Sicurezza

Sicurezza informatica

Patch Tuesday

Come ogni secondo martedì del mese, oggi Microsoft rilascia le patch per i suoi software, vediamo cosa ci tocca questa volta.

(altro…)

14/09/2010
Furti di sessione

Vi siete collegati ad una rete WiFi di un albergo, di un bar, di uno sconosciuto che ha lasciato la rete aperta o di un altro fornitore di cui non sapete nulla. Attivate il vostro browser e iniziate a collegarvi ai vostri siti preferiti, tanto cosa può accadere di male?

Innanzi tutto, il protocollo WiFi permette a tutti i nodi collegati e abilitati di vedere i dati che passano, indipendentemente dal destinatario del pacchetto dati. Il che significa che con un software tipo tcpdump si possono vedere i dati che passano. Se vi collegate in POP3 o IMAP alla vostra casella di posta elettronica utilizzando la password in chiaro potrebbero iniziare i guai.

Le cose si potrebbero mettere molto peggio se qualcuno sulla rete ha attivato sessionthief.

Questo software, benché meno complesso di middler, è di una semplicità disarmante.

Innanzi tutto utilizza nmap per vedere quali siano gli altri PC collegati alla rete. Se necessario puo anche fare ARP poisoning per catturare i pacchetti destinati ad altri PC.

Quindi si mette in ascolto e, dopo poco crea un profilo di Firefox per ogni sessione hackerata. Et voilà! (via Darknet)

14/09/2010
Vulnerabilità delle applicazioni ASP.NET

Thai Duong e Juliano Rizzo, due ricercatori nel campo della sicurezza, hanno messo a punto uno schema di attacco che sfrutta un baco del modo in cui le applicazioni realizzate con la piattaforma ASP.NET di Microsoft trattano i cookie di sessione criptati.

Il problema, che riguarda milioni di applicazioni web che utilizzano quella piattaforma, potrebbe essere molto serio e potrebbe essere utilizzato per impersonare un utente di un sito. Il metodo di attacco verrà illustrato in dettaglio alla ekoparty Security Conference che si tiene questa settimana in Argentina.
(altro…)

13/09/2010
Implicitamente difettoso: DRM

Cercherò di spiegare come mai secondo me il DRM sia un sistema implicitamente difettoso se applicato ai contenuti.
(altro…)

12/09/2010
DLL hijacking in azione
(articolo aggiornato dopo la prima pubblicazione)

Sono disponibili alcuni video che dimostrano il DLL hijacking in azione con alcuni programmi di Windows:
Il primo filmato mostra una copia di XP SP3 con MSIE 8 e Flash 10.1.82.76 in cui viene copiato sul desktop un file DLL modificato ad arte e vine avviato Internet Explorer che accede ad una pagina che attiva Flash (non importa quale pagina sia). Il file DLL provoca la chiusura di Explorer e l’avvio di un programma scelto da chi ha creato il file DLL modificato, in questo caso la calcolatrice di Windows.

Gli altri filmati mostrano il medesimo problema di altri file eseguibili.

Avevo parlato del problema del DLL hijacking qualche giorno fa, questo video mostra nei fatti quanto sia facile e fattibile sfruttare questo tipo di vulnerabilità. (via Bugtraq)
10/09/2010
Problema di sicurezza di Adobe Acrobat Reader

Sta circolando almeno un documento PDF che sfrutta un problema 0-day di Acrobat Reader. Anche Adobe ha diramato un bollettino di sicurezza in cui classifica questo problema come critico.

Tutte le versioni per tutte le piattaforme di Acrobat Reader presentano questo problema, nessuno escluso.

In questo momento non ci sono azioni che possono risolvere questo problema, Adobe sta lavorando per correggere l’errore e rilascerà probabilmente un aggiornamento quanto prima.

Alcune mail che contengono il documento infetto che sfrutta questa vulnerabilità hanno come oggetto David Leadbetter’s One Point Lesson. Alcuni attacchi portati con questo vettore chiudono forzatamente Acrobat Reader e tentano di aprire un programma che fa da esca per l’utente.

Alcuni antivirus riescono a classificare i PDF che sfruttano questa vulnerabilità come sospetti; tuttavia è buona regola non aprire PDF di provenienza ignota con Acrobat Reader.

09/09/2010
Firewire

L’interfaccia IEEE 1394 (aka firewire) era partita con gran squilli di trombe, ma è ora relegata ad utilizzi meno comuni, se confrontati con USB.

Tuttavia moltissimi computer possiedono almeno un’interfaccia firewire, che viene correttamente riconosciuta e gestita dal sistema operativo.

Freddie Witherden ha pubblicato di recente una ricerca correlata da software e librerie per Linux in cui analizza le potenziali vulnerabilità dell’interfaccia firewire.
(altro…)

08/09/2010
Quanto è sicuro il vostro server ssh?

Di attacchi alle connessioni ssh dei server ce ne sono ogni secondo, la maggior parte dei quali sono parte di una serie di tentativi di indovinare login e password con metodi di forza bruta.

Ci sono vari tool e varie strategie per mitigare gli effetti di un attacco al server ssh.

Nell’ambito di un’indagine sui rischi e le contromisure di questo tipo di attacchi, il Dragon Research Group ha pubblicato due interessanti diagrammi a nuvola in cui vengono raffigurati i nomi utenti e le password più comunemente utilizzati negli attacchi a forza bruta.

Date un’occhiata alla nuvola e se trovate qualcosa di familiare nei login e nelle password, forse è il momento di cambiare password o disabilitare l’accesso ssh di quell’utente.

07/09/2010
Cancellare un disco. Senza paranoie.

Cambio del computer. Cosa ne facciamo del vecchio? Un privato magari lo passa al collega o all’amico dell’amico, l’azienda potrebbe affidarlo ad una società terza che si occupa dello smaltimento, o renderlo per fine locazione.

Il problema è comune: il disco del computer contiene dei dati personali o sensibili e non vogliamo che finiscano nelle mani di chi ci può ricattare o di può usarli in maniera fraudolenta.

Ci sono vari metodi per cancellare i dati senza distruggere il disco, di seguito vediamo le alternative, senza farci prendere troppo dalla paranoia e senza giocare al piccolo James Bond.

Aggiornamento 9/3/2011 – Un’alternativa a quanto spiegato di seguito è il comando ATA SecureErase spiegato in un altro articolo.

(altro…)

06/09/2010
Sicuro… sicuro?

La struttura attuale delle transazioni sicure via web tramite il protocollo https si basa su un’infrastruttura a chiave pubblica con tre gambe: l’utente, il fornitore del servizio e un’autorità di certificazione (CA) riconosciuta dai due.

Quando vediamo un messaggio simile a quello a fianco (i vecchi lupi del web dicevano «quando si chiude il lucchetto aperto di Netscape») sappiamo che i dati viaggiano crittografati da un sistema a chiave pubblica che dovrebbe godere della nostra fiducia.

Ma, come dicevano i nostri antenati, quis custodiet ipsos custodes?

(altro…)

03/09/2010
Microsoft EMET 2.0

È disponibile la nuova versione dell’Enhanced Mitigation Experience Toolkit per i sistemi operativi Microsoft.

Il tool permette di stabilire delle policy per ridurre i rischi di sicurezza specifiche per ogni singolo applicativo. (altro…)

03/09/2010
Script per blacklistare i domini su Windows Server

Darknet ha pubblicato un interessante script in PowerShell 2 di Jason Fossen che permette di blacklistare alcuni nomi a dominio ritenuti pericolosi.

Lo script crea una zona e, opzionalmente, degli host su un server DNS di Windows associandoli all’IP 0.0.0.0 o ad un altro indirizzo indicato. (altro…)

01/09/2010