Il prossimo patch tuesday di Microsoft si promette molto affollato con 17 aggiornamenti.
Le patch interesseranno i sistemi operativi Windows (13), Office (2), Internet Explorer (1), SharePoint (1) ed Exchange (1).
I livelli di criticità sono critico (2), importante (1) e moderato (14); i tipi di bachi che vengono corretti sono esecuzione remota di codice (10), elevamento di privilegi (4) e denial of servicce (3).
Allora partiamo con le cose belle:
Sophos antivirus è questo programma qua nato per Mac OSX il primo novembre di quest’anno che si scarica facilmente ed è installabile con altrettanta facilità.
Il suo emblema è uno scudo azzurro diviso in sezioni sulla parte sinistra e ha la simpatica caratteristica, per chi non lo volesse mettere nel doc (cosa che personalmente preferisco perché mi piace avere le cose utili a portata di mano), di produrre un fratellino più piccolo di questo scudo di colore nero che si trova nella toolbar in alto vicino al simbolo della connessione, lingua, orologio, eccetera. Questo stemmino rimane là tranquillo tranne all’attivazione quando le sue sezioni a sinistra somigliano ai tasti di un pianoforte per controllare la situazione, assume una croce bianca per avvertire che non c’è rete e se cambia colore sono cavoli (almeno così mi dicono… il mio è sempre rimasto color fuliggine, il colore più scuro del nero [cit.] e ne sono molto contenta!)
Quando si sceglie di attivare la versione grande per fare le scansioni le opzioni sono due: la prima è usufruire del tasto > che si trova nella finestrella di dialogo che si attiva quando si clicca sullo stemma o l’alternativa è l’opzione sulla stessa finestra in cui si da la possibilità di fare scansioni localizzate. Il succo è sempre quello perchè la scansione viene fatta ma la prima, come è facilmente intuibile, è generalizzata mentre la seconda da la possibilità di fare scansioni su singoli file.
Nell’eventualità in cui si stana qualcosa, lo stemma inizia a saltellare con un bel segnale di pericolo corredato e si apre il quarantine manager. Ti dice che bestiaccia hai preso (mi è capitato con un malware che rompe i cocomeri a windows ma non fa nulla al mac) e nelle preferenze di sistema si possono settare le opzioni per gestire la fine delle immode bestiacce. Le opzioni sono 3: elimina, metti in quarantena e segnala.
Ed è qui che viene la cosa negativa: quando gli ho detto di gestire la bestiaccia spazzandola via mi ha detto che non ci riusciva e che dovevo procedere manualmente. Vado sulle opzioni e non c’è una spiegazione che fosse una su come fare. Seguo il link al sito ufficiale e dice queste illuminanti parole: per procedere all’eliminazione manuale procedere all’eliminazione manuale. Mi veniva da dirgli: “Maddai??” seguito presto da un “Ma come?” Alla fine ho selezionato l’opzione elimina bestiacce che ha eliminato anche i file infetti e ho proceduto a rifare la scansione sia generica che localizzata. Il processo per immettere i file localizzati è un pelo macchinosa: c’è un’opzione sulla finestra di dialogo per farlo ma quando apre la seconda finestra di dialogo ho dovuto procedere come per l’immissione di allegati in una mail. Alla fine zero bestiacce!
Morale della favola: il prodotto è buono e lavora bene, sicuramente meglio di ClamXav che da un po’ tende ad andare in tilt quando procede all’aggiornamento giornaliero e NON aveva stanato la bestiaccia Windosiana. E ciò è male. Il sito è informativo e direi ben gestito. Spero solo che la parte sull’eliminazione manuale dei virus sia stata modificata per renderla più chiara. Sottolineo che da allora non ho + stanato bestiacce quindi non so se si stato aggiornato e che le esperienze narrate sono le mie.
Sergey Kononenko ha segnalato su una delle mailing list di Exim di essere stato vittima di attacchi che sfruttano due vulnerabilità del MTA.
Le due vulnerabilità sono molto serie perché permettono uno di eseguire da remoto dei programmi con i privilegi dell’utente di Exim e un altro di escalare i privilegi e diventare root.
È stato rilasciato Firefox 3.6.13, che sistema alcuni problemi di stabilità e corregge alcuni problemi di sicurezza.
Questa è la lista completa delle modifiche rispetto alla versione precedente.
L’aggiornamento può essere fatto scegliendo l’apposita voce dal menu Help/Aiuto oppure scaricando la nuova versione da mozilla.com.
Sono state aggiornate due utility del prezioso kit sysinternals di Microsoft.
I programmi aggiornati sono Process Explorer (corretto un baco di visualizzazione) e Autoruns (aggiunta del monitoraggio di AutoSync e correzione di un baco che si presentava quando veniva cancellata o disabilitata una voce di tipo MULTI_SZ).
Molte organizzazioni ritengono che la consegna del sito web terminato da parte del fornitore sia la fine di un processo.
Nulla di più sbagliato: quando un sito va online deve essere manutenuto e aggiornato in maniera costante, sia nei contenuti sia nel software applicativo e di sistema.
Un sito abbandonato e non aggiornato finisce, presto o tardi, vittima di hackeraggi o utilizzi fraudolenti. I primi sono evidenti, in quanto ci si trova con pagine modificate o spiacevoli defacement. Gli altri sono molto subdoli e possono rimanere nascosti per mesi o anni senza che nessuno se ne accorga.
Vediamo un esempio concreto.
(altro…)
Spesso si vorrebbe contribuire a qualche progetto open, ma non si conosce il linguaggio di programmazione utilizzato per poter migliorare il progetto.
Ci sono, ovviamente altri modi per contribuire ad un progetto open, come per esempio la stesura (o la correzione) della documentazione.
Se non ci si sente adatti nemmeno per questo tipo di attività, un altro esempio di contribuzione è la creazione delle schermate di esempio per Ubuntu/Debian.
Questa pagina permette di esaminare i pacchetti che possiedono già una schermata di esempio e di aggiungere quelle che mancano.
Uno degli ultimi aggiornamenti di AVG potrebbe rendere inutilizzabile Windows 7 a 64 bit.
Chi si trova in questa situazione può partire con il CD di ripristino di AVG o con un CD live di Linux e rinominare tutti i file che iniziano con AVG contenuti nella directory windows/system32/drivers.
Questa è la procedura da seguire utilizzando il disco di ripristino di AVG. Con un CD di Linux la procedura è abbastanza simile. (via SANS)
Secondo un annuncio di TJ Saunders, lo scorso 28 novembre i sorgenti di ProFTPD sono stati modificati per includere una backdoor.
Chiunque abbia scaricato e installato la versione 1.3.3c dal 28 novembre al 2 dicembre potrebbe avere un problema di sicurezza.
ATTENZIONE! NON fate test di buffer overflow del kernel su macchina di produzione o similari. I risultati sono IMPREVEDIBILI.
p0wnbox ha pubblicato un exploit di una vulnerabilità del kernel di Windows (file win32k.sys) colpirebbe tutti i sistemi Windows.
In questo caso viene sfruttato un problema strutturale della funzione RtlQueryRegistryValues delle API di Windows utilizzata per leggere più voci del registry con una sola chiamata. Le voci da interrogare vengono passate tramite una struttura uno dei cui campi, EntryContext, contiene un puntatore al buffer in cui mettere i risultati della voce relativa (si può specificare un buffer separato per ciascuna voce da interrogare). (altro…)
Dopo l’uscita del nuovo Acrobat Reader X si stanno moltiplicando le mail di phishing e i siti civetta che invitano a scaricare un presunto nuovo Acrobat Reader.
L’unico metodo sicuro per ottenere il nuovo Reader di Adobe, posto che non vogliate utilizzare delle alternative, è di andare su http://www.adobe.it e seguire le istruzioni in italiano per scaricare il programma.
Le mail hanno oggetti come questi o molto simili:
Download Your New Adobe PDF Reader For Windows And Mac
Upgrade New Adobe Acrobat 2010 PDF Reader Alternative, {URL}
Adobe Upgrade Notification, {URL}
Action Required : Download Your New Adobe Acrobat Reader, {URL}
New Adobe Acrobat PDF Reader Alternative, {URL}
Action Required : Active Your New Adobe PDF Reader, {URL}
Action Required : Upgrade Your New Adobe PDF Reader, {URL}
Download Your New Adobe PDF Reader For Windows And Mac, {URL}
Dove al posto di {URL} c’è un URL civetta tra quelli indicati sotto.
Le mail invitano ad andare in un sito che è solo apparentemente connesso ad Acrobat Reader; tra i siti civetta ci sono:
I SysAdmin potrebbero includere questi siti nella black list dei firewall e dei filtri di navigazione, anche se probabilmente è un’azione ridondante se si utilizzano gli aggiornamenti online delle black list. Molti di questi nomi a dominio sono registrati in Russia.
Attenzione, quindi, a non scaricare software diverso da quello Adobe o di origine sicura.
Un software per creare i PDF completamente e veramente gratuito, senza scherzi o watermarking è PDF Creator. Anche di questo prodotto esistono molte versioni simili a pagamento o con blocchi di qualche tipo. Diffidate di queste versioni alternative, specialmente se richiedono che il documento passi da un fantomatico “convertitore online”. (via SANS)
Cryptohaze Multiforcer è un software che sfrutta le schede grafiche per un’analisi a forza bruta delle tabelle di hash.
Il programma prende in input un file di testo con degli hash (MD4, MD5, NTLM, SHA1) e un file di testo con i set di caratteri da utilizzare in ciascuna posizione della password (la prima riga per il primo carattere, la seconda riga per il secondo carattere e così via).
Cryptohaze Multiforcer è disponibile per Linux, Windows e MacOS e sfrutta i processori delle schede grafiche nVidia con il supporto CUDA.
La velocità di elaborazione è molto elevata e richiedere poco tempo per trovare le password dato il loro hash, posto di possedere l’hardware adatto. (via Darknet)