Identificare il computer di un client http

Spesso crediamo che l’attivazione della modalità incognito o l’utilizzo di un browser differente siano sufficienti a proteggere l’identità di chi accede ad un sito.

Purtroppo è vero in alcuni casi, ma non in tutti. Leggi tutto “Identificare il computer di un client http”

Adware insidioso di Chrome

Questa mattina mi è capitato un caso di un malware abbastanza insidioso per Google Chrome, in questo caso per Windows.

Alla vittima si aprivano linguette di Chrome con finti avvisi di computer infetto e similari e pop-up modali JavaScript dello stesso tono.

Le ultime versioni di Kaspersky e AdwCleaner non riuscivano ad avere ragione del malware. Leggi tutto “Adware insidioso di Chrome”

Obsolescenza di SHA-1

I problemi di collisione hanno provocato l’inizio del ritiro dell’algoritmo di hash SHA-1.

I maggiori produttori di browser hanno delineato i passi che porteranno i certificati con hash SHA-1 a non essere più considerati attendibili. Leggi tutto “Obsolescenza di SHA-1”

Novità per Cortana

Da ieri è cambiato il comportamento di Cortana, l’interfaccia di ricerca inclusa in Windows 10.

Adesso Cortana utilizza Bing come unico motore di ricerca e visualizza i risultati solamente su Edge, il browser di Windows 10. Leggi tutto “Novità per Cortana”

Ammazzabrowser

<!DOCTYPE html>
<html>
 <head>
 <script>
 location = 'data:text/html,<script>location = "location.toString + \"A\"";' + 'A'.repeat( 100000000 );
 </script>
 </head>
</html>

Questo semplice testo in una pagina HTML manda a zampe all’aria Firefox e Google Chrome, mentre Internet Explorer esce illeso.

Potete farlo da voi oppure andare a vostro rischio su crashfirefox.com. Leggi tutto “Ammazzabrowser”

Chrome stabile a 64bit

Google ChromeLa versione 37 per Windows di Google Chrome a 64 bit è ora dichiarata stabile.

Da questa versione, quindi, è possibile utilizzare il browser su una versione di Windows supportata a 64 bit.

Il passaggio alla versione a 64 bit comporta molti benefici, tra cui una maggiore velocità nella visualizzazione delle pagine e dei contenuti multimediali. Naturalmente ci sono anche dei benefici legati alla sicurezza: il codice a 64 bit riesce ad implementare meglio alcune contromisure codificate nel browser.

In questa versione non sono più supportate le NPAPI, le API per i plugin introdotte da Netscape Navigator 2.0, che sono oramai passate alla storia e non sono comunque supportate dai dispositivi mobili.

L’installazione della versione a 64 bit è per il momento opzionale e quella a 32 bit verrà ancora supportata per lungo tempo.

Leggi tutto “Chrome stabile a 64bit”

Nuove politiche per MSIE

Microsoft ha annunciato una serie di novità per il supporto di Internet Explorer.

I tempi potrebbero sembrare geologici, ma questi cambiamenti hanno profonde ripercussioni nelle organizzazioni multinazionali che utilizzano Internet Explorer come frontend per le procedure interne.

A partire dal 12 gennaio 2016 solamente le ultime versioni di Internet Explorer per ciascuna piattaforma riceveranno supporto e aggiornamenti. La decisione è decisamente sensata, in quanto limita la complessità del supporto e riduce i vettori di attacco verso i client.

Allo stato attuale, le ultime versioni disponibili per le varie piattaforme sono:

  • Windows Vista SP2: Internet Explorer 9
  • Windows Server 2008 SP2: Internet Explorer 9
  • Windows Server 2012: Internet Explorer 10
  • Windows 7 SP1: Internet Explorer 11
  • Windows Server 2008 R2 SP1: Internet Explorer 11
  • Windows 8.1: Internet Explorer 11
  • Windows Server 2012 R2: Internet Explorer 11

Leggi tutto “Nuove politiche per MSIE”

Usare Internet Explorer è un rischio

Evitate Internet Explorer. Usate il browser che più vi piace, usatene due, tre contemporaneamente, fate telnet sulla porta 80, tirate fuori Mosaic dalla naftalina… Ma evitate Internet Explorer.

Secondo alcune persone ci sono siti che si aprono solamente con Explorer; può essere vero, ma quand’è l’ultima volta che avete fatto dei test? Browser e siti vengono aggiornati quasi settimanalmente e questi test dovrebbero essere ripetuti periodicamente prima di dichiarare la non-compatibilità.

Il problema di Internet Explorer è la quantità di vulnerabilità note che Microsoft decide scientemente di non correggere.

In pratica, se si usa quel browser si decide di utilizzare un programma di cui sono note le vulnerabilità a chi vi vuole attaccare, il quale avrà gioco facile a fare quello che vuole con il vostro PC. Spesso abbiamo dato conto anche qui dei vari problemi di Explorer, ma ad un certo punto la cosa non fa più notizia e si rischia l’effetto copia-e-incolla.

Bromium Labs ha dimostrato con uno studio [PDF] la pericolosità di Internet Explorer: il risultato è che nel primo semestre di quest’anno le vulnerabilità di Explorer sono raddoppiate, a fronte di un crollo di quelle di Java e una diminuzione sostanziale di quelle di Flash e Adobe Reader.

Usare Internet Explorer per la navigazione generale (ovvero non in maniera specifica con quei siti che richiedono espressamente il browser di Microsoft) è un comportamento molto rischioso.

Revoca dei certificati

Heartbleed ha provocato una valanga di revoche di certificati che durerà ancora per qualche tempo.

Il metodo più vecchio per verificare se un certificato è stato revocato è la Certificate Revocation List (RFC3280). In tempi più recenti viene utilizzato l’Online Certificate Status Protocol (RFC6960), che si basa su http (senza rendere obbligatoria la cifratura dei dati) ed evita al client di dover decodificare un certificato di revoca.

La verifica online di un certificato in molti contesti è il sistema migliore, specialmente in situazioni come quella creata da Heartbleed in cui i certificati vengono revocati velocemente a causa della compromissione di quelli vecchi. Tuttavia questo metodo non è esente da problemi, in quanto il server che gestisce le revoche potrebbe essere non raggiungibile oppure il browser potrebbe essere tratto in inganno ed utilizzare un server configurato ad arte. Leggi tutto “Revoca dei certificati”

Zero-day per Internet Explorer (con fix)

Microsoft ha rivelato l’esistenza di uno zero-day per Internet Explorer.

Secondo i ricercatori di Qualys, per il momento gli attacchi sarebbero geograficamente limitati all’area del Giappone, ma potrebbero diffondersi una volta che è stato rivelato il problema.

La vulnerabilità scoperta permette di eseguire dei programmi arbitrari sul computer della vittima (remote code execution) inducendola a visitare un sito opportunamente creato per sfruttare il baco.

Tutte le versioni attualmente supportate di Internet Explorer sono interessate da questo problema.

La vulnerabilità è provocata da un componente di Microsoft Office che non è stato compilato con la funzionalità della randomizzazione dello spazio degli indirizzi (ALSR).

Microsoft ha già rilasciato un Fix it per correggere il problema che può essere applicato per le versioni di Exlorer dalla 6 alla 11 incluse. (via Threat Post)

Aggiornamento 2/10/2013 – Microsoft ha assegnato il codice 2887505 a questo problema.

Aggiornamento 4/10/2013 – Microsoft corregge questo problema con il patch tuesday di ottobre.

Attacco ad Opera

OperaLa rete dei computer utilizzati per lo sviluppo di Opera è stata attaccata e compromessa.

Il 19 giugno scorso i tecnici di Opera hanno scoperto l’attacco, l’hanno circoscritto e dicono di averlo neutralizzato.

Di sicuro è stato rubato un vecchio certificato SSL che è stato immediatamente utilizzato per firmare del malware.

Sophos non condivide l’ottimismo del comunicato della software house norvegese, che lascia molti interrogativi irrisolti.

Chi utilizza Opera dovrebbe aggiornare sia il browser sia l’antivirus all’ultimissima versione.

Finto aggiornamento di Chrome

È tornato ad imperversare un malware travestito da aggiornamento di Google Chrome.

Alcune pagine su Internet sono realizzate per trarre in inganno gli utenti per convincerli a scaricare un presunto aggiornamento del browser.

Chrome stesso riesce ad identificare come ostile l’eseguibile che l’incauto utente potrebbe scaricare dal sito di phishing, posto che il sito stesso non venga bloccato prima dai filtri del browser.

Secondo alcuni siti di analisi, il malware in questione ruberebbe le credenziali dell’utente.

Chrome si aggiorna da sé, non è necessario scaricare programmi di aggiornamento. Per forzare un aggiornamento o per verificare la versione installata clickare sul menu del programma identificato dal simbolo  (dove prima c’era la chiave inglese) e selezionare la voce delle informazioni. In alcune distribuzioni di Linux Chrome viene aggiornato attraverso il sistema di installazione dei programmi.

Internet Explorer vi osserva

Pianista / Pianistspider.io ha scoperto una feature di Internet Explorer dalla versione 6 alla versione 10 che permette di tracciare i movimenti del mouse.

Con un semplice programma JavaScript è possibile sapere la posizione del mouse sullo schermo, anche se questo si trova al di fuori della finestra di Explorer o se il programma è ridotto a icona.

La feature potrebbe sembrare utile o innocua, ma bisogna considerare che alcuni sistemi di sicurezza, come Kaspersky, o la funzione integrata della tastiera virtuale di Windows vengono suggeriti come metodi per evitare che i keylogger riescano a carpire le password o altri dati sensibili.

Questi metodi potrebbero essere vanificati da alcune righe JavaScript che si possono vedere in azione qui (ovviamente funziona solo con Internet Explorer).

Contattata da spider.io, Microsoft ha risposto che non ritiene opportuno sistemare il problema. (via Naked Security)

HTML5: raccolta di vulnerabilità

Nato dopo una serie di frizioni e malintesi, HTML 5 sta diventando il nuovo standard delle pagine web.

Come successo fin dagli inizi della diffusione del web, il nuovo livello del linguaggio HTML diventa uno standard nel momento in cui i browser più diffusi lo supportano.

Allo stesso modo, ciascun motore di rendering alla base dei vari browser supporta un set di markup del linguaggio e ogni tanto lo fa a proprio modo oppure ha delle estensioni che funzionano solamente con quel motore. Qui e qui ci sono delle tabelle comparative relative a HTML5.

Ovviamente nuovi markup significano nuove vulnerabilità, rese più insidiose dall’integrazione di JavaScript, il quale si porta dietro il rischio di attacchi XSS.

HTML5 Security Cheatsheet è un sito che raccoglie le vulnerabilità dell’implementazione di HTML5.

Leggi tutto “HTML5: raccolta di vulnerabilità”

Pericolosa vulnerabilità di Internet Explorer

Lo scorso lunedì è stata diramata la notizia di uno zero day che colpisce tutte le versioni di Internet Explorer fino alla 9 inclusa.

La vulnerabilità del browser permette di eseguire un programma arbitrario sul computer della vittima attraverso un heap spray se questa visita un sito con una pagina creata allo scopo.

Anche il famoso tool Metasploit dispone già di un modulo per sfruttare questo baco.

Microsoft ha rilasciato un FixIt per sistemare il problema immediatamente. Domani 21 settembre verrà rilasciata una patch fuori banda attraverso il canale degli aggiornamenti automatici.

Vulnerabilità in win32k.sys di Win7/64

<iframe height='18082563'></iframe>

w3bd3vil ha scoperto che questo frammento HTML visualizzato con Safari in un Windows 7 a 64 bit riesce a generare un errore di win32k.sys e a mandare il sistema in crash.

Il problema non è, ovviamente, di Safari perché un’applicazione utente non deve riuscire a mandare in crash un driver del kernel.

Il problema sembra essere un baco di win32k.sys causato da una scrittura di dati in un’area di memoria non prevista (memory corruption). Questo tipo di vulnerabilità può essere utilizzata (come è già stato fatto in passato) per bypassare il sistema di sicurezza di Windows e installare programmi senza il consenso dell’utente.

È legittimo pensare che, ora che questo baco è stato scoperto, ci saranno altri tentativi di sfruttarlo, finché Microsoft non lo correggerà. (via ISC)

Quando esci, ricordati di salvare

Sicuramente molti tra i lettori avranno aderito alla beta della versione 4 di Mozilla FireFox. Da pochi giorni l’applicativo è nella fase Release Candidate, quindi si presume che ci sarà un picco nella migrazione a questa versione del browser a breve.
Chi già usa questo prodotto, avrà notato che, a partire dal rilascio 10 della beta, il browser si chiude senza più chiedere se salvare le linguette aperte, dandoci quindi una spiacevole sorprese alla riapertura, quando scopriamo che tutti i siti che stavamo consultando sono improvvisamente andati a farsi benedire.

Una soluzione a questo inconveniente è usare il comando Restore Previous Session che si trova nel menu History e permette appunto di riaprire i tab dall’ultima sessione di lavoro, altrimenti si può ripristinare il comportamento predefinito della versioni precedenti andando a modificare alcuni parametri di configurazione.
Per accedere alle impostazioni, ricordiamo che bisogna battere about:config nella barra degli indirizzi ed eventualmente confermare il messaggio informativo che appare.

Leggi tutto “Quando esci, ricordati di salvare”

DNS prefetching: una pessima idea

Mucca / Cowbrowser moderni hanno una funzione apparentemente utile, ma che provoca un notevole e inutile incremento di traffico DNS.

Una piccola spiegazione a grandi linee su cime funziona la risoluzione dei nomi, una delle tecnologie che stanno alla base del funzionamento di Internet per l’utente finale.

Ogni macchina (host) collegata a Internet ha un indirizzo IP che è necessariamente univoco (tralasciamo i NAT delle reti private che non ci interessano in questo contesto). L’indirizzo IP è, per ora, formato da una quaterna di numeri decimali da 0 a 255 separati da punti, tipo 1.2.3.4

Per rendere più facile la memorizzazione dei siti, esiste un sistema che assegna ad ogni indirizzo (ad esempio 209.62.58.154) uno più nomi a dominio (ad esempio siamogeek.com). Questo accoppiamento è gestito dal DNS. Leggi tutto “DNS prefetching: una pessima idea”

Catalessi sugli allori

Piazza CastelloStatCounter è uno dei tanti siti che offre un servizio di analisi di traffico web. Il sito ha pubblicato una statistica anno su anno secondo la quale Internet Explorer sarebbe sceso poco sotto la quota psicologica del 50% di share.

Non ho trovato (se c’è) l’errore medio della statistica per capire quale sia l’errore di quel 49,87% dello share di Explorer in settembre, quindi il dato va preso per quello che è: una statistica.

Per la seconda volta vediamo un browser con quote bulgare di mercato perderle per cause più interne che esterne.

Leggi tutto “Catalessi sugli allori”

Scoperto un problema di sicurezza di Firefox

FirefoxTreatpost segnala un problema di sicurezza che interessa tutte le versioni di Firefox scoperto da Armorize.

Il browser non controlla gli indirizzi offuscati a cui si accede attraverso IFRAME, permettendo ad un attaccante di confondere o nascondere l’indirizzo del sito che si sta effettivamente visitando.

Leggi tutto “Scoperto un problema di sicurezza di Firefox”