Categoria: SysAdmin

  • Mail e siti civetta per il nuovo Acrobat Reader

    Dopo l’uscita del nuovo Acrobat Reader X si stanno moltiplicando le mail di phishing e i siti civetta che invitano a scaricare un presunto nuovo Acrobat Reader.

    L’unico metodo sicuro per ottenere il nuovo Reader di Adobe, posto che non vogliate utilizzare delle alternative, è di andare su http://www.adobe.it e seguire le istruzioni in italiano per scaricare il programma.

    Le mail hanno oggetti come questi o molto simili:
    Download Your New Adobe PDF Reader For Windows And Mac
    Upgrade New Adobe Acrobat 2010 PDF Reader Alternative, {URL}
    Adobe Upgrade Notification, {URL}
    Action Required : Download Your New Adobe Acrobat Reader, {URL}
    New Adobe Acrobat PDF Reader Alternative, {URL}
    Action Required : Active Your New Adobe PDF Reader, {URL}
    Action Required : Upgrade Your New Adobe PDF Reader, {URL}
    Download Your New Adobe PDF Reader For Windows And Mac, {URL}

    Dove al posto di {URL} c’è un URL civetta tra quelli indicati sotto.

    Le mail invitano ad andare in un sito che è solo apparentemente connesso ad Acrobat Reader; tra i siti civetta ci sono:
    I SysAdmin potrebbero includere questi siti nella black list dei firewall e dei filtri di navigazione, anche se probabilmente è un’azione ridondante se si utilizzano gli aggiornamenti online delle black list. Molti di questi nomi a dominio sono registrati in Russia.

    Attenzione, quindi, a non scaricare software diverso da quello Adobe o di origine sicura.

    Un software per creare i PDF completamente e veramente gratuito, senza scherzi o watermarking è PDF Creator. Anche di questo prodotto esistono molte versioni simili a pagamento o con blocchi di qualche tipo. Diffidate di queste versioni alternative, specialmente se richiedono che il documento passi da un fantomatico “convertitore online”. (via SANS)

  • Usabilità contro sicurezza

    In un’organizzazione tipica la proprietà (o chi per lei) si affida all’IT (dipendente, consulente o mix) per la gestione dei dati e della loro sicurezza (intesa sia come integrità sia come protezione).

    L’IT sa benissimo che usabilità e sicurezza sono due vettori uguali e contrari; compito del bravo IT è di mediare le due cose con le necessità aziendali e, spesso, con i capricci di alcuni utenti.

    Fino a poco tempo fa la soluzione della sicurezza informatica era quasi banale perché bastava stabilire un perimetro con accessi controllati: i computer all’interno erano sicuri, quelli all’esterno insicuri e alle porte si mettevano dei guardiani feroci (firewall, proxy e assimilati). (altro…)

  • Postfix: bloccare le mailing list hackerate

    Capita ogni tanto di dover bloccare un flusso cospicuo di mail in arrivo da un indirizzo o una mailing list hackerata o che rifiuta il comando di disiscrizione e di doverlo fare adesso.

    I filtri applicati ai client possono essere efficaci, ma non comunicano al mittente la nostra intenzione di non voler ricevere più i suoi messaggi. Nel caso di un list server, inoltre, la raffica di delivery failure dovrebbe provocare la rimozione amministrativa dell’account.

    (altro…)
  • Ping parlante

    Invariabilmente, quando faccio una dimostrazione di questo script, mi chiedono: “Sì, ma a che serve?”

    È un ping che oltre a scriverti a video il tempo di round-trip in millisecondi, te lo pronuncia pure. Solo uno strumento in più. Magari un giorno ti capiterà un’occasione in cui ti potrebbe far comodo.

    (altro…)

  • Come far scaldare la CPU in pochi byte

    Qualche anno fa ho avuto a che fare con un computer altrui, con sistema operativo Windows XP, che si spegneva casualmente da solo in continuazione. Era il trentotto luglio, e faceva molto caldo, sospettavo quindi uno shutdown termico di emergenza, ma mi trovavo in difficoltà nel verificare l’ipotesi: ero solo di passaggio e invece del mio solito zaino con “gli strumenti”, avevo con me il borsone con pinne e maschera; nell’ufficio in questione non c’erano cacciaviti; la linea Internet era fuori servizio causa manutenzione estiva (classico cavo tranciato per errore da un bulldozer).

    Ho dovuto improvvisare.

    (altro…)

  • Aggiornamenti per Flash

    Adobe ha aggiornato l’advisory con cui segnala un baco di Flash e di Acrobat Reader.

    Da oggi sono disponibili gli aggiornamenti di Flash Player.

    Diversamente da quanto annunciato, gli aggiornamenti che correggono il problema di Acrobat Reader saranno disponibili nella settimana del 4 ottobre p.v. (via F-Secure)

  • Problema di sicurezza di Linux a 64 bit

    Ben Hawkes ha scoperto un problema nella gestione della sicurezza del layer di compatibilità a 32 bit di Linux a 64 bit.

    Il baco permette ad un attaccante di guadagnare i privilegi di root; l’attacco deve avvenire eseguendo un’applicazione sul sistema da attaccare. È disponibile il sorgente C che sfrutta questo baco.

    Se non girano applicativi a 32 bit è possibile disabilitare il layer di compatibilità con questo comando suggerito nella mailing list Full Disclosure:

    echo ':32bits:M:0:\x7fELF\x01::/bin/echo:' > /proc/sys/fs/binfmt_misc/register

    che dice al kernel di eseguire /bin/echo al posto di qualsiasi applicativo a 32 bit.

    Una patch è già stata trovata e probabilmente verrà inclusa nella prossima release del kernel. (via Slashdot)

  • Vulnerabilità di ASP.NET – Aggiornamento

    Secondo Microsoft sembrerebbero non esserci ancora stati attacchi basati sulla vulnerabilità di ASP.NET segnalata qualche giorno fa; lo stesso articolo di Microsoft elenca in dettaglio i sistemi coinvolti e propone una modifica alla configurazione che potrebbe mitigare l’impatto del problema.

    Anche Scott Guthrie consiglia di modificare i medesimi parametri per ridurre gli effetti del problema e segnala uno script VBS che analizza il server locale e verifica se ci sono applicazioni con la pagina di errore personalizzata. (via SANS)

  • Samba nuovo per Debian vecchio

    Oggi mi sono trovato nuovamente di fronte al problema di mettere dei client Windows 7 in un dominio con DC Samba. Il problema e` che occorre una versione recente di Samba (3.4.x o 3.5.x) e che spesso i server che ho presso i clienti hanno una versione vecchia di Debian, versione che quando e` possibile evito di aggiornare, seguendo la regola d’oro che dice “Quando va che tanto basta, non toccar che poi si guasta”.

    Se serve Samba 3.4.x per Debian Lenny, e` disponibile nel repository dei backports, ma se si deve installare su vecchie Debian Etch o addirittura Sarge, tutto potrebbe essere molto ma molto rognoso.

    Per fortuna mi e` venuto in aiuto un sito, http://enterprisesamba.org/, che mette a disposizione Samba (recente) bello pronto e pacchettizzato (a 32 e 64 bit) per diverse distribuzioni Linux, fra le quali Debian, e supporta versioni decisamente vecchie (ad oggi, Lenny, Etch e Sarge). Il sito manca purtroppo di chiarezza su quali siano esattamente le differenze fra le loro scelte di patch (o assenza di patch) e di parametri di compilazione fra la versione “Debian ufficiale” e la loro, pero` messo alle strette ho deciso di dare loro fiducia, e direi che l’installazione di Samba 3.4.x dal loro sito su una Debian Etch abbia avuto esito assolutamente positivo. Occorre solo fare un minimo di attenzione alle dipendenze quando si aggiorna (di fatto si sostiuisce) la versione Debian originale di Samba con questa.

    Domani finiro` di mettere le macchine client nel dominio, e vedremo se mi pentiro` di aver detto che funziona con troppo anticipo e troppo entusiasmo. Se qualcuno volesse seguire le mie orme, vi ricordo che oltre alla versione giusta di Samba, occorre anche applicare una piccola patch ai client Win7, come scritto qui: http://wiki.samba.org/index.php/Windows7

  • Patch Tuesday

    Come ogni secondo martedì del mese, oggi Microsoft rilascia le patch per i suoi software, vediamo cosa ci tocca questa volta. 

    (altro…)

  • Vulnerabilità delle applicazioni ASP.NET

    Thai Duong e Juliano Rizzo, due ricercatori nel campo della sicurezza, hanno messo a punto uno schema di attacco che sfrutta un baco del modo in cui le applicazioni realizzate con la piattaforma ASP.NET di Microsoft trattano i cookie di sessione criptati.

    Il problema, che riguarda milioni di applicazioni web che utilizzano quella piattaforma, potrebbe essere molto serio e potrebbe essere utilizzato per impersonare un utente di un sito. Il metodo di attacco verrà illustrato in dettaglio alla ekoparty Security Conference che si tiene questa settimana in Argentina.

    (altro…)
  • DLL hijacking in azione

    (articolo aggiornato dopo la prima pubblicazione)

    Sono disponibili alcuni video che dimostrano il DLL hijacking in azione con alcuni programmi di Windows:

    Il primo filmato mostra una copia di XP SP3 con MSIE 8 e Flash 10.1.82.76 in cui viene copiato sul desktop un file DLL modificato ad arte e vine avviato Internet Explorer che accede ad una pagina che attiva Flash (non importa quale pagina sia). Il file DLL provoca la chiusura di Explorer e l’avvio di un programma scelto da chi ha creato il file DLL modificato, in questo caso la calcolatrice di Windows.

    Gli altri filmati mostrano il medesimo problema di altri file eseguibili.

    Avevo parlato del problema del DLL hijacking qualche giorno fa, questo video mostra nei fatti quanto sia facile e fattibile sfruttare questo tipo di vulnerabilità. (via Bugtraq)