Secure boot e Windows 8

Da diverso tempo monta la polemica sulla decisione di Microsoft di certificare per Windows 8 solo i sistemi dotati di UEFI secure boot.

Per chi non lo sapesse si tratta di un sistema di interfaccia tra il BIOS ed il sistema operativo atto ad impedire il BOOT di qualsiasi dispositivo sprovvisto di firma digitale.

Questo è ovviamente visto da molti come l’ennesimo tentativo di Microsoft di limitare la libertà dell’utente, impedendogli di fatto l’utilizzo di sistemi operativi diversi.
Per fare un esempio le attuali distro LINUX live non potrebbero essere avviate su un PC dotato di questo dispositivo se non disattivandolo (operazione non alla portata di tutti).

Leggi tutto “Secure boot e Windows 8”

Buco di sicurezza in MySQL/MariaDB

È stato scoperto un pericoloso baco in MySQL/MariaDB che potrebbe permettere l’accesso come root ad un database server.

La vulnerabilità non funziona su tutte le installazioni di MySQL (inclusa CentOS) e dipende da come è stato compilato il server.

Il problema risiede nella routine di autenticazione di un utente. Quando viene aperta una connessione a MySQL/MariaDB viene generato un token calcolando un SHA della password fornita e di una stringa casuale; il token viene quindi confrontato con l’SHA calcolato con il valore corretto. Per un errore di cast potrebbe succedere che le due stringhe vengano considerate uguali anche se non lo sono e anche se memcmp() ritorna un valore diverso da zero; se si verifica questo caso, MySQL/MariaDB pensa che la password sia corretta e permette l’accesso. La probabilità che questo accada è di 1/256.

Leggi tutto “Buco di sicurezza in MySQL/MariaDB”

SQL injection

Questo articolo è per chi non sa cosa sia la SQL injection.

Con questo termine si identifica una classe di vulnerabilità dei software che consente ad un utente qualsiasi di aggirare i controlli del software e inviare direttamente al server comandi SQL.

Prima della diffusione dei server SQL i dati venivano archiviati e recuperati utilizzando funzioni di libreria del linguaggio di programmazione. Esisteva un comando/funzione del linguaggio per aprire un archivio di dati, uno per cercare un record, un altro per aggiornare i dati, un altro ancora per cancellarli e così via. Con questo sistema era di fatto impossibile portare attacchi tipo SQL injection perché i comandi relativi al trattamento dei dati erano parte del programma. In altre parole, le azioni che avevano come oggetto i dati erano cablate nel programma e non c’era modo di cambiarle se non cambiando il programma (e ricompilarlo).

La diffusione capillare dei server SQL ha cambiato le carte in tavola.

Leggi tutto “SQL injection”

Lo snapshot non è un backup

È indubbio che la virtualizzazione stia diventando pian piano una tecnologia accettata anche dai più refrattari, non foss’altro che per una questione di costi.

Il problema è la relativa inesperienza di alcuni SysAdmin che, per varie ragioni, non vogliono imparare la nuova tecnologia, ma si limitano ai soliti “sentito dire” e ad esperienze poco scientifiche come “quel giorno avevo i jeans e il server è saltato, quindi nessuno con i jeans può entrare nella computer room”. Non ridete, ce ne sono più di quanti pensiate.

Quando ci si avvicina alla virtualizzazione, una delle cose che colpiscono è la possibilità di fare degli snapshot della macchina virtuale (VM). Questa funzione è utilissima quando si fanno modifiche sistemiche alla VM, ma deve essere utilizzata con estrema parsimonia e coscienza di causa.

Qualche SysAdmin sprovveduto utilizza gli snapshot come se fossero dei backup, senza, evidentemente, porsi il problema di come fare velocemente un restore.

Senza contare che mantenere per più di un paio di giorni degli snapshot di VM in produzione è un suicidio dal punto di vista delle performance.

Quanto è facile rubare i server di un’azienda?

Il titolo si riferisce al server come servizio, non come hardware: i dati e le configurazioni, non il ferro.

Immaginiamo che un malintenzionato, che chiameremo Dr. No, voglia rubare dati e infrastruttura IT di un’azienda. Il nostro Dr. No potrebbe essere un dipendente infedele, un consulente doppiogiochista o qualsiasi altro losco figuro, la cosa non ha rilevanza ai fini di questa storia.

Leggi tutto “Quanto è facile rubare i server di un’azienda?”

Sicurezza stampanti HP: non si fa così

Pochi giorni fa HP ha annunciato di aver rilasciato gli aggiornamenti del firmware delle stampanti coinvolte in un problema di sicurezza.

Il problema riguarda la possibilità di installare su alcune stampanti HP un firmware non originale (video) che può esporre dati riservati oppure modificare i parametri di funzionamento della stampante causando danni e, potenzialmente, incendi.

Il problema è che HP, in una maniera assolutamente irrituale rispetto a casi analoghi, non ha pubblicato l’elenco dei modelli coinvolti, ma dice semplicemente di accedere alla sezione del supporto del suo sito, mettere il nome del modello della stampante, selezionare Download e verificare se c’è un aggiornamento del firmware.

Questa scelta è stata probabilmente dettata da qualche genio delle pubbliche relazioni o del dipartimento legale, i quali preferiscono sempre nascondere la polvere sotto il tappeto e gestire in seguito eventuali problemi, scommettendo sul fatto che o non succeda nulla oppure si possa minimizzare o smentire.

Se questa era la norma nel secolo scorso, nel 2012 la mancanza di trasparenza in questo tipo di comunicazioni non paga più, specialmente quando ci sono molte alternative alle stampanti HP a prezzi vantaggiosi.

DECIMAL POINT IS COMMA.

Qualche tempo fa ho attivato il servizio gratuito di Website Defender su questo blog come parte del plugin Secure WordPress.

Al pari del plugin, il servizio aggiunge un utile livello di paranoia alla normale sicurezza di un sito basato su WordPress.

Periodicamente Website Defender segnala i file modificati dall’ultima scansione e compie delle analisi sulle pagine per evitare problemi.

Poco fa il report periodico mi ha informato che una pagina potrebbe rivelare l’IP interno del server. È evidentemente un falso allarme, in quanto il sistema automatico di analisi ha scambiato un numero espresso con la notazione italiana (punto che separa le migliaia) per un indirizzo IPv4 appratente ad uno dei range assegnati alle reti interne.

Questo esempio dimostra quanta distanza ci sia ancora tra una regular expression e un’interpretazione semantica dei contenuti.

Mouse di Troia

Oramai il vettore di penetrazione a mezzo chiavette USB disseminate nel parcheggio o spedite per posta è noto a (quasi) tutti: le persone che lavorano in ambienti sensibili sanno che eventuali chiavette USB di provenienza ignota devono essere analizzate prima dal personale IT.

Netragard era stata incaricata di eseguire un test di penetrazione in una ditta in cui le persone erano difficilmente ingannabili con la solita chiavetta persa nel parcheggio. I termini dell’incarico prevedevano che non venissero utilizzati metodi di social engineering, mail, telefoni o accessi fisici alla vittima.

I tecnici di Netragard hanno, quindi assemblato con materiale off the shelf un mouse all’interno del quale si trovava un hub USB e una flash USB. Collegando il mouse al computer si collegava, in realtà un hub USB a cui erano collegati il mouse e una chiavetta USB con del malware costruito ad hoc.

Il tutto è stato confezionato in un confezione regalo con depliant e documentazione fasulli e inviato per posta alla vittima. Inutile dire che l’attacco è riuscito. (via Netragard Blog, con molti dettagli tecnici)

 

THC-Hydra

Come i coltelli, i piedi di porco e le armi da fuoco ci sono molti software che possono essere utilizzati per scopi positivi o negativi.

A differenza delle armi più o meno proprie, i software di attacco possono essere utilizzati per attaccare i propri server senza farsi del male.

THC-Hydra è uno di questi software. È incredibilmente semplice da installare e utilizzare e permette di tentare in parallelo molte coppie di utente/password contro vari tipi di servizi. Se un programma del genere riesce a bucare facilmente la vostra sicurezza, avete sicuramente un problema.

A parte l’utilizzo di password non facilissime da indovinare (p@55w0rd al posto di password non fa oramai nessuna differenza), uno dei metodi di difesa da questi tipi di scanner è sicuramente un software come fail2ban.

Blackberry e iOS: password crackata con 200 €

Elcomsoft Phone Password Breaker è un software venuto a 200 € in grado di eseguire un attacco di forza bruta alle password di iOS e del Blackberry.

Il programma è in grado di utilizzare fino a 32 CPU e 8 GPU ATIAMD o nVIDIA per trovare la password. L’uso dei processori grafici per scardinare la sicurezza informatica non è nuovo: nel 2008 un gruppo guidato da Alexander Sotirov ha creato un finto certificato di sicurezza utilizzando i processori grafici di 300 PlayStation.

La nuova versione del software è in grado di operare anche sui backup di iOS e Blackberry, quindi non è necessario l’accesso fisico al dispositivo per considerarsi a rischio. (via Stefano Quintarelli)

ASP.NET: la cosa si fa seria (aggiornamento)

Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.

La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.

La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)

Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.

Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.

Stuxnet e la protezione dei sistemi industriali

Stuxnet è un malware molto anomalo. Si propaga con i sistemi standard dei worm, ma non invia spam, non cancella i file, non inserisce il nome della ex nel sistema… Stuxnet è stato creato per assumere il controllo di alcuni sistemi SCADA e, opzionalmente per riprogrammare i PLC.

Stuxnet è un malware molto anomalo.

Si propaga con i sistemi standard dei worm, ma non invia spam, non cancella i file, non inserisce il nome della ex nel sistema… Stuxnet è stato creato per assumere il controllo di alcuni sistemi SCADA e, opzionalmente per riprogrammare i PLC.

Leggi tutto “Stuxnet e la protezione dei sistemi industriali”

Aggiornamenti per Flash

Adobe ha aggiornato l’advisory con cui segnala un baco di Flash e di Acrobat Reader.

Da oggi sono disponibili gli aggiornamenti di Flash Player.

Diversamente da quanto annunciato, gli aggiornamenti che correggono il problema di Acrobat Reader saranno disponibili nella settimana del 4 ottobre p.v. (via F-Secure)

Problema di sicurezza di Linux a 64 bit

Ben Hawkes ha scoperto un problema nella gestione della sicurezza del layer di compatibilità a 32 bit di Linux a 64 bit.

Il baco permette ad un attaccante di guadagnare i privilegi di root; l’attacco deve avvenire eseguendo un’applicazione sul sistema da attaccare. È disponibile il sorgente C che sfrutta questo baco.

Se non girano applicativi a 32 bit è possibile disabilitare il layer di compatibilità con questo comando suggerito nella mailing list Full Disclosure:

echo ':32bits:M:0:\x7fELF\x01::/bin/echo:' > /proc/sys/fs/binfmt_misc/register

che dice al kernel di eseguire /bin/echo al posto di qualsiasi applicativo a 32 bit.

Una patch è già stata trovata e probabilmente verrà inclusa nella prossima release del kernel. (via Slashdot)

Vulnerabilità di ASP.NET – Aggiornamento

Secondo Microsoft sembrerebbero non esserci ancora stati attacchi basati sulla vulnerabilità di ASP.NET segnalata qualche giorno fa; lo stesso articolo di Microsoft elenca in dettaglio i sistemi coinvolti e propone una modifica alla configurazione che potrebbe mitigare l’impatto del problema.

Anche Scott Guthrie consiglia di modificare i medesimi parametri per ridurre gli effetti del problema e segnala uno script VBS che analizza il server locale e verifica se ci sono applicazioni con la pagina di errore personalizzata. (via SANS)

Furti di sessione

Vi siete collegati ad una rete WiFi di un albergo, di un bar, di uno sconosciuto che ha lasciato la rete aperta o di un altro fornitore di cui non sapete nulla. Attivate il vostro browser e iniziate a collegarvi ai vostri siti preferiti, tanto cosa può accadere di male?

Innanzi tutto, il protocollo WiFi permette a tutti i nodi collegati e abilitati di vedere i dati che passano, indipendentemente dal destinatario del pacchetto dati. Il che significa che con un software tipo tcpdump si possono vedere i dati che passano. Se vi collegate in POP3 o IMAP alla vostra casella di posta elettronica utilizzando la password in chiaro potrebbero iniziare i guai.

Le cose si potrebbero mettere molto peggio se qualcuno sulla rete ha attivato sessionthief.

Questo software, benché meno complesso di middler, è di una semplicità disarmante.

Innanzi tutto utilizza nmap per vedere quali siano gli altri PC collegati alla rete. Se necessario puo anche fare ARP poisoning per catturare i pacchetti destinati ad altri PC.

Quindi si mette in ascolto e, dopo poco crea un profilo di Firefox per ogni sessione hackerata. Et voilà! (via Darknet)

Problema di sicurezza di Adobe Acrobat Reader

Sta circolando almeno un documento PDF che sfrutta un problema 0-day di Acrobat Reader. Anche Adobe ha diramato un bollettino di sicurezza in cui classifica questo problema come critico.

Tutte le versioni per tutte le piattaforme di Acrobat Reader presentano questo problema, nessuno escluso.

In questo momento non ci sono azioni che possono risolvere questo problema, Adobe sta lavorando  per correggere l’errore e rilascerà probabilmente un aggiornamento quanto prima.

Alcune mail che contengono il documento infetto che sfrutta questa vulnerabilità hanno come oggetto David Leadbetter’s One Point Lesson. Alcuni attacchi portati con questo vettore chiudono forzatamente Acrobat Reader e tentano di aprire un programma che fa da esca per l’utente.

Alcuni antivirus riescono a classificare i PDF che sfruttano questa vulnerabilità  come sospetti; tuttavia è buona regola non aprire PDF di provenienza ignota con Acrobat Reader.

Firewire

L’interfaccia IEEE 1394 (aka firewire) era partita con gran squilli di trombe, ma è ora relegata ad utilizzi meno comuni, se confrontati con USB.

Tuttavia moltissimi computer possiedono almeno un’interfaccia firewire, che viene correttamente riconosciuta e gestita dal sistema operativo.

Freddie Witherden ha pubblicato di recente una ricerca correlata da software e librerie per Linux in cui analizza le potenziali vulnerabilità dell’interfaccia firewire.

Leggi tutto “Firewire”