SIAMO GEEK

  • Voi e le vostre balle sulla sicurezza/2

    Avevamo dato conto della notizia secondo la quale alcune multinazionali sarebbero state penetrate da malviventi informatici.

    Bloomberg ha rivelato i nomi delle società coinvolte: secondo alcune persone coinvolte nelle indagini le società sarebbero Exxon Mobil Corp., Royal Dutch Shell Plc, BP Plc, Marathon Oil Corp., ConocoPhillips and Baker Hughes Inc.

    L’attacco, soprannominato Night Dragon, sarebbe durato tre anni e sarebbe stato originato principalmente dalla Cina.

    Gli attaccanti avrebbero avuto accesso alle reti interne di alcune compagnie per più di un anno, senza che nessuno se ne sia accorto.

    Le informazioni rubate includerebbero dati legali, finanziari, bozze di accordi e soprattutto le mappe digitali con le posizioni di possibili campi petroliferi.

    Secondo McAfee, le tecniche utilizzate per penetrare le LAN sarebbero state “non sofisticate”.

    Luigi Rosa

  • Parsing dei nomi dei file: non si fa così

    Questa mattina ero da un cliente che mi cheide «Visto che sei qui, mi puoi spiegare perché non riesco a caricare alcuni file su questo sito?»

    Il sito era di un ente governativo europeo, i file erano una serie di documenti PDF che devono essere caricati per adempiere ad alcune formalità per poter accedere a qualcosa che non ricordo. Diciamo per poter accedere al livello successivo.

    L’interfaccia di caricamento prevedeva il solito form con un <input type='file'...> e una successiva interfaccia in cui era possibile verificare l’effettivo caricamento del file tramite un link <a href=...> per riscaricarlo come verifica o un altro link per cancellarlo e ripetere l’upload.

    Il problema era che alcuni file non venivano accettati e la verifica dopo il caricamento dava perennemente un bel 404 di Tomcat, ma solamente su alcuni file. Ovviamente la dimensione del file non era una discriminante. Troppo facile.

    (altro…)

    Luigi Rosa

  • CentOS 6.0 seguirà l’uscita della 5.6 e della 4.9

    Karanbir Singh ha annunciato che le versioni 4.9 e 5.6 di CentOS stanno passando l’esame del controllo di qualità.

    La 6.0 verrà dopo queste due release.

    La decisione di rilasciare anche la 4.9 e di dare a questa release la precedenza rispetto alla 6.0 è motivata dal fatto che, secondo i dati di 8 mesi fa, il 18% degli utenti CentOS utilizza ancora la 4.x.

    Luigi Rosa

  • Esempio da evitare

    L’immagine a fianco mostra un tipico esempio di come non vada scritto il software di gestione di un sito.

    L’errore principale in questo caso è stato quello di realizzare un software che accetta un file come parametro passato via HTTP.

    Ipotizzando che la lettura di un file passato come parametro sia una necessità, è comunque possibile evitare il directory traversal.

    La funzione realpath() permette di convertire i path relativi in path assoluti e, quindi, sanificare le stringhe prima di passarle alle funzioni di apertura file: utilizzando il valore ritornato da realpath('.') è possibile eseguire dei controlli sulla stringa da sanificare per evitare che vengano caricati file in posizioni non previste.

    Luigi Rosa

  • Dati sensibili sui dischi a stato solido

    Steven Swanson e  Michael Wei hanno dimostrato che le normali procedure di cancellazione dati che si applicano ai supporti magnetici non sono efficaci per alcune memorie allo stato solido.

    Se si riesce a bypassare il flash translation layer sarebbe, in alcuni casi, possibile rileggere i dati salvati e sovrascritti.

    Dalle ricerche dei due scienziati sembrerebbe, infatti, che nelle memorie allo stato solido la cancellazione definitiva dei dati sia più difficile rispetto ai supporti magnetici convenzionali.

    Dal momento che non sempre è possibile distruggere fisicamente i supporti, fino a quando i produttori non implementeranno un sistema certo e garantito per cancellare i dati dalle memorie allo stato solido è bene non utilizzarle per dati sensibili oppure registrare solamente dati precedentemente crittografati.

    Luigi Rosa

  • 0day del protocollo SMB di Windows

    Fonti diverse confermano un vulnerabilità del protocollo SMB di Windows pubblicata, assieme al codice per sfruttarla, l’altro ieri sulla mailing list full-disclosure.

    La vulnerabilità consisterebbe nell’inviare a macchine Windows dei pacchetti di richiesta di Browser Election modificati ad arte per sfruttare un baco della funzione BrowserWriteErrorLogEntry() definita nel file mrxsmb.sys.

    La vulnerabilità colpirebbe solamente Windows, non le implementazioni del protocollo SMB di SAMBA.

    (altro…)

    Luigi Rosa

  • Siete insonni? C’è un’applicazione che risolve il problema!

    L’insonnia potrebbe essere causata dalla temperatura dei colori del monitor.

    Ma non vi preoccupate, c’è F.lux, un’applicazione per Linux, Windows e Mac che adatta il tono cromatico del display al ritmo dell’alternanza notte/dì.

    Il sito dell’applicativo cita molte fonti che supporterebbero l’utilità di questa applicazione per chi soffre di disturbi del sonno.

    Luigi Rosa

  • Aggiornamento per Java

    Oracle ha pubblicato l’aggiornamento 24 della versione 6 di Java.

    L’aggiornamento contiene la correzione di 21 vulnerabilità del software.

    Oracle classifica come critico questo aggiornamento e suggerisce di installare la nuova versione appena possibile.

    Gli utenti Windows possono forzare l’aggiornamento selezionando la funzione Aggiornamento dell’applet Java nel pannello di controllo.

    Luigi Rosa

  • Keylogger trovati nei computer di una biblioteca britannica

    La BBC e altre testate riportano la notizia del ritrovamento di keylogger USB connessi ai computer pubblici di una biblioteca di Wilmslow, vicino a Manchester.

    La polizia sarebbe riuscita a recuperare due dei tre keylogger che sarebbero stati installati nei computer della biblioteca, le indagini sono in corso.

    Questa notizia dimostra, casomai ce ne sia bisogno, che i computer pubblici non devono essere utilizzati per accedere a qualsiasi tipo di account privato, dalla posta elettronica personale al profilo dei siti di acquisti online.

    A titolo di ulteriore sicurezza, è bene controllare periodicamente il retro del proprio computer aziendale e i computer aziendali collocati in luoghi frequentati da tante persone come i corridoi o le sale riunioni.

    Luigi Rosa

  • La posta elettronica, questa sconosciuta (ai programmatori)

    Mi capita, in quanto SysAdmin, di dover spiegare ai clienti perché un messaggio apparentemente valido è stato scartato con disprezzo dall’antispam.

    Spesso ho a che fare con messaggi non di spam vero e proprio, ma assemblati da programmi scritti da chi non ha la benché minima idea di come sia fatto un messaggio e non sa nemmeno cosa sia RFC 821 (tralasciamo gli aggiornamenti).

    L’ultimo esempio è un messaggio scartato da SpamAssassin anche per queste ragioni:  FROM_MISSP_EH_MATCH, FROM_MISSP_NO_TO, MISSING_DATE, MISSING_HEADERS, REPLYTO_WITHOUT_TO_CC, che non sono altro che il modo che SpamAssassin ha per dire “questo testo assomiglia solo vagamente ad un messaggio di posta elettronica, impara le regole e torna dopo aver studiato, asino!”

    Mi rivolgo a chi vuole integrare i messaggi di posta elettronica nei propri programmi: o vi studiate religiosamente gli standard, oppure utilizzate librerie scritte da chi conosce la materia. Grazie.

    Luigi Rosa

  • (x² + y² – 1)³ = x² y³

    È l’equazione cartesiana di una delle curve adatte per questo giorno.

    Perché noi geek siam fatti così.

    Luigi Rosa

  • È possibile creare un virus che spegne Internet?

    Risposta breve: teoricamente sì, ma con un sacco di se e di ma.

    Max Schuchard e i ricercatori dell’università del Minnesota hanno dimostrato [PDF] che un botnet di circa 250.00 elementi ben programmato potrebbe mettere in crisi le tabelle BGP dei router di confine delle varie sottoreti e bloccare, quindi, il routnig tra gli autonomous system.

    Una premessa: per comprendere le implicazioni di quanto scritto in questo articolo è necessaria un minimo di familiarità sui meccanismi che regolano Internet ad un livello che non viene normalmente percepito dagli utenti o dai SysAdmin che operano a livello server. Di seguito cercherò di spiegare a grandi linee questi meccanismi.

    Durante il primo boom di Internet (metà anni ’90) questa veniva definita anche la rete delle reti, definizione che ci viene molto utile in questo contesto. A livello macrosocopico Internet è una serie di reti con delle regole specifiche di interconnessione (peering) e instradamento (routing) tra di loro. Le regole di routing interne delle singole reti non sono importanti: come la singola connessione ADSL raggiunga il confine della rete di un provider non interessa le altre reti. Le singole reti sono, ad esempio, quelle dei vari ISP, quelle delle grandi società di hosting/housing, quelle delle multinazionali. Da questo momento in avanti il termine rete è utilizzato con questa accezione, non pensate alla vostra LAN, ma all’insieme degli indirizzi del vostro provider (per esempio). Bisogna pensare in grande quando si parla di BGP e assimilati.

    (altro…)

    Luigi Rosa