Adobe compromessa

Adobe Systems IncorporatedAdobe è stata compromessa: sono stati trafugati i sorgenti di alcuni software e i dati di moltissimi utenti registrati.

Dal momento che le compromissioni sono due è bene analizzarle separatamente.

Per quanto riguarda il codice sorgente, Adobe ha rilasciato una dichiarazione qui. L’intrusione sarebbe avvenuta lo scorso 17 settembre e sicuramente è stato copiato il sorgente di ColdFusion e di Acrobat, probabilmente anche quello di altri software di Adobe. L’evento è molto serio perché chi può accedere a quei sorgenti può studiarli per scoprire delle vulnerabilità e sfruttarle. I gestori di siti con ColdFusion devono prestare particolare attenzione e tenere il loro software aggiornato. Stessa regola vale per chi ha installato Flash e Adobe Reader; questi ultimi utenti possono considerare l’opzione di rimuovere il software per la lettura dei PDF e utilizzarne un altro.

Leggi tutto “Adobe compromessa”

La complessità del malware

È stata percorsa molta strada dal primo worm di sendmail, dai primi virus o dai primi spyware.

Come illustrato da Mikko Hypponen, adesso il malware viene scritto essenzialmente per tre ragioni: danaro, attivismo politico e attacchi tra Stati.

VRT ha pubblicato un’interessantissima analisi di un malware ben nidificato. Si tratta di un exploit che sfrutta un integer overflow per eseguire del codice arbitrario utilizzando un’immagine TIFF creata ad arte codificata base64, che viene creata al momento da un codice JavaScript hex encoded in altro codice JavaScript che è incorporato in un XML compresso a sua volta all’interno di un file PDF.

Ci si potrebbe chiedere come mai sia lecito incorporare codice JavaScript in un XML a sua volta incorporato in un formato di definizione della pagina. Purtroppo il formato PDF è nato come un’idea di Adobe di rendere ubiquo il PostScript, ma ha raccolto a bordo negli anni ogni tipo di contenuto. Un’idea, che poteva sembrare interessante ad alcuni, si è rivelata una pericolosa breccia nella sicurezza di moltissimi computer grazie a visualizzatori scritti non esattamente con la sicurezza come luce guida.

Questo è il motivo per cui molti enti della nostra Pubblica Amministrazione accettano che vengano caricati solamente PDF/A.

Questo piccolo esempio dimostra che il malware si può annidare in ogni tipo di file il cui sistema di visualizzazione è prono ad attacchi o contiene vulnerabilità. È, quindi, sempre opportuno aggiornare i vari programmi di visualizzazione e i sistemi antivirus perché i disagi teorici che potrebbero conseguire da un aggiornamento di versione sono sicuramente inferiori ai problemi concreti che derivano da un visualizzatore di cui sono note le vulnerabilità.

Dobbiamo ancora chiamare eBook i PDF?

eBook e MacAnni fa quando i libri elettronici erano ancora qualcosa riservato a pochi smanettoni ci andava bene di tutto: TXT, HTML, PDF…

Adesso non possiamo più dire che non esistono standard per i libri elettronici: l’ePUB è un formato gratuito, aperto e ampiamente utilizzato, salvo eccezioni.

Molti autori o società regalano eBook in formato PDF (ne ho appena scaricato uno). Non sono altro che documenti Word (nel mio caso Word 2007) esportati o “stampati” in PDF.

Il PDF non è nato per gli eBook come li intendiamo adesso, bensì come formato pensato per mantenere la conformità con il documento originale e per essere reso al meglio possibile sulla piattaforma di output; un PDF non è altro che un listato PostScript con opportune modifiche e con incluse opzionalmente delle altre risorse.

Leggi tutto “Dobbiamo ancora chiamare eBook i PDF?”

PDF: non solo Adobe Reader

AnnunciI file in formato PDF sono diventati da tempo un subdolo veicolo di diffusione del malware.

Il problema non sta tanto nei file medesimi, ma nel modo in cui vengono aperti e trattati dal programma di visualizzazione (reader). Il reader più popolare è senza dubbio Adobe Reader (già Acrobat Reader), ma è anche il più vulnerabile ai problemi di sicurezza, soprattutto perché molti utenti non lo aggiornano come dovrebbero e non percepiscono i file PDF come minacciosi.

È, quindi, il caso di iniziare a considerare alternative ad Adobe Reader: questi programmi esistono, sono spesso più adatti alle necessità degli utenti e non hanno (o le hanno normalmente disabilitate) le funzioni che rendono vulnerabile il programma di Adobe.

L’elenco di software gratuiti per Windows che segue parte dal presupposto che la necessità sia quella della grande maggioranza degli utenti: leggere il contenuto di un PDF, stamparlo o cercare del testo; alcune funzioni avanzate richiedono per forza l’utilizzo di Adobe Reader o l’attivazione di funzioni rischiose.

Leggi tutto “PDF: non solo Adobe Reader”

Anatomia di un attacco

Thames and fog / Tamigi e nebbiaGli 0-day dei software, specialmente quelli molto diffusi, non valgono nemmeno più la pena di essere citati tutti.

Quello scoperto da poco in Adobe Reader è interessante per come è stato sfruttato. Purtroppo la scansione degli eventi che segue potrebbe essere falsata dalle differenze di fusi orari, ma per ora dobbiamo convivere con questa maledizione. 🙂

Adobe ha diramato il bollettino di sicurezza il 6 dicembre avvisando di un problema critico alle versioni 10 e 9 del Reader (quelle precedenti non sono più supportate e non dovrebbero essere utilizzate). La data è probabilmente riferita ad uno dei fusi orari americani.

Il 7 dicembre verso le 21:00 CET Mikko Hypponen twitta la notizia del ritrovamento di un PDF che sfrutta la vulnerabilità.

Un’ora dopo Mikko twitta che quel PDF è stati utilizzato per attaccare Mantech, un fornitore della Difesa americana. Subito dopo un altro utente aggiunge che l’attacco a mezzo PDF colpirebbe più fornitori della Difesa. A stretto giro di twit Mikko rivela che il PDF con cui è stata attaccata Mantech si chiama ManTech Employee Satisfaction Survey.pdf, rivelando un ovvio sfruttamento di una tecnica di social engineering paragonabile a quella utilizzata per attaccare RSA.

Contagio pubblica un’analisi di questo exploit da cui si vede che il finto PDF tenta di installare una copia di Sykipot; il trojan tenta quindi di effettuare un collegamento https verso l’URL www.prettylikeher.com/asp/kys_allow_get.asp?name=getkys.kys

Al momento in cui sto scrivendo la pagina non esiste più, ma https://www.prettylikeher.com contiene ancora una copia piuttosto sgangherata di una pagina di Yahoo!

Leggi tutto “Anatomia di un attacco”

TCPDF

TCPDF è una libreria per PHP scritta dall’italiano Nicola Asuni per creare documenti PDF.

Uno dei punti di forza di TCPDF, oltre alla sua incredibile versatilità, è che non richiede nessun software installato sul server: il file PDF viene creato tutto all’interno della libreria. Servono solamente le librerie GD se si vogliono fare operazioni di elaborazione sulle immagini, come il ridimensionamento.

Un’altra comoda caratteristica è la possibilità di dare in pasto a TCPDF del testo con codici di formattazione HTML.

È anche possibile includere nei documenti molti tipi di codici a barre monodimensionali e bidimensionali, incluso il QR Code.

Tutti i metodi sono ampiamente documentati e sono disponibili moltissimi esempi con il codice sorgente commentato e il PDF risultante.

Decisamente LA libreria per creare i PDF!

Aggiornamento per Acrobat

Dopo quasi un mese dalla diffusione di  uno 0-day, Adobe rilascia finalmente un aggiornamento per il suo reader PDF, le cui versioni attuali diventano 9.4 e 8.2.5; le versioni precedenti non sono più supportate e dovrebbero essere aggiornate quanto prima.

Se non si verificano altre emergenze, il prossimo aggiornamento del software è previsto per l’8 febbraio 2011.

Aggiornamenti per Flash

Adobe ha aggiornato l’advisory con cui segnala un baco di Flash e di Acrobat Reader.

Da oggi sono disponibili gli aggiornamenti di Flash Player.

Diversamente da quanto annunciato, gli aggiornamenti che correggono il problema di Acrobat Reader saranno disponibili nella settimana del 4 ottobre p.v. (via F-Secure)

Problema di sicurezza di Adobe Acrobat Reader

Sta circolando almeno un documento PDF che sfrutta un problema 0-day di Acrobat Reader. Anche Adobe ha diramato un bollettino di sicurezza in cui classifica questo problema come critico.

Tutte le versioni per tutte le piattaforme di Acrobat Reader presentano questo problema, nessuno escluso.

In questo momento non ci sono azioni che possono risolvere questo problema, Adobe sta lavorando  per correggere l’errore e rilascerà probabilmente un aggiornamento quanto prima.

Alcune mail che contengono il documento infetto che sfrutta questa vulnerabilità hanno come oggetto David Leadbetter’s One Point Lesson. Alcuni attacchi portati con questo vettore chiudono forzatamente Acrobat Reader e tentano di aprire un programma che fa da esca per l’utente.

Alcuni antivirus riescono a classificare i PDF che sfruttano questa vulnerabilità  come sospetti; tuttavia è buona regola non aprire PDF di provenienza ignota con Acrobat Reader.