Archivi categoria: Sicurezza

Sarà ancora colpa di Turing?

Punto Informatico riporta una notizia simpaticissima, ossia un “attacco” un po’ farlocco alla firma digitale…

Pagina 2, “Il bug? E’ di Windows”:

L’attacco si basa sulla creazione di un file ad hoc che contiene sia un documento html sia una bitmap: i due file sono “accodati”, in un unico file. La bitmap è inserita nel commento di un file HTML, quindi non viene visualizzata se l’estensione del file è HTML, come è previsto per i tutti commenti. Al contrario se l’estensione è BMP, viene visualizzata solo la bitmap all’inizio del file e non il testo html contenuto in fondo al file.

Una veloce verifica di Punto Informatico ha appurato che il visualizzatore standard di altri OS, mostra i documenti in base al contenuto e questo fa sì che usando il file truffaldino su Linux venga mostrato sempre lo stesso contenuto, cioè la parte BMP, indipendentemente dall’estensione del file, rendendo inefficace la truffa.

Bene, ovviamente questo ha provocato una serie di commenti a raffica contro il male personificato, cioè windows. Naturalmente, giusto per decidere se per una volta PI ci aveva imbroccato, ho fatto anche io l’esperimento. Io non dico nulla, lascio che siano le immagini a parlare. Partiamo dal file rinominato come BMP:

Poi vediamo con il file html e Firefox cosa succede (ricordiamo che con FF “il contenuto viene visualizzato correttamente”):

E vediamo come si comporta FF aprendo il file rinominato come bmp:

A me le cifre sembrano diverse.

Ma, direte voi, hai usato la beta, FF di su, e questo di giù… Ok, facciamo la prova anche con Konqueror:

Update: nei commenti mi si dice che l’articolo dice che il “bug” funziona solo con ff. Vediamo come tratta konqueror il BMP:

Io mi chiedo solo con che coraggio vengono fatte certe affermazioni.
Ma si sa… la colpa è sempre di Turing.

-Miauz!

Tag Technorati: , , , ,

Annunci

Hackyright…

Feliciano Intini segnala una chicca che ha del meraviglioso: un mmalware con una EULA… Ossia, io ti infetto il pc e tu devi pure accettare il contratto… Divertente. La cosa ancora più divertente, è che in realtà non è un contratto ocn l’utente finale, ma con chi ottiene questo malware attraverso i soliti canali underground… Naturalmente chi ha creato questo programmillo è interessato a mantenere la proprietà dell’opera, per cui inserisce tutta una serie di restrizioni. Ma…. e se l’utente non accetta? Voglio dire, stiamo parlando di gente che non si è mai fatta problemi a reversare codice chiuso, è pacifico aspettarsi che leggere una tale licenza, per di più collegata ad un software maligno, abbia lo stesso effetto, su chi lo vuole reversare o modificare, che si ha cercando di fermare un treno sparandogli contro con una pistola a pallini. La cosa bella è che lo vendono sul serio. Bene, come hanno fatto sti geni? Riporto direttamente dal post su Symantec il passo che fa veramente sbellicare dalle risate:

In cases of violations of the agreement and being detected, the client loses any technical support. Moreover, the binary code of your bot will be immediately sent to antivirus companies.

Vi prego di apprezzare la sottile ironia della questione…

‘njoy!

PS: mi chiedo chi di quelli che lo hanno preso e redistribuito fregandosene della licenza, si divertirà a limitarsi a cambiare nomeal bot e mandarlo in rete… o qualcosa del genere… sarebbe bellissimo vedere la faccia di sti tizi che segnalano il loro stesso malware alle case antivirus… Anche se basterebbe, semplicemente, prenderlo e segnalarlo direttamente…

– Miauz!

L’insostenibile leggerezza dell’open source

So già che questo provocherà una certa quantità di vaccate scritte nei vari commenti, ma tant’è… Certi personaggi sono disposti a cancellare le pagine che fanno scandalo, io no. Parlerò anche di questo, ma non oggi.

Oggi voglio fare una capatina nel mondo del magico Open Source. Quello della “sicurezza perchè tutti posssono guardare il codice” e del “rilascio delle patch di sicurezza rapido perchè ci lavora un sacco di gente”.

Basta una ricerca su internet per vedere che questo è un po’ il leit motiv di un sacco di pagine. Ok, ora prendiamo uno dei progetti più famosi in ambito open source, e cioè il Panda Rosso (si, Firefox è una specie di panda minore dal pelo rosso, anche piuttosto rara).

Orbene, ieri è stata rilasciata la versione 2.0.0.12 che corregge 12 bug di sicurezza, cosa anche piacevole. Sorprendentemente, però, manca la correzione di un piccolissimo bug, noto da tempo che del quale potete trovare una pagina demo su heise-security: attivate i javascript, seguite leistruzioni e godetevela.

O forse ripensandoci non è molto strano, visto che heise securitiy ha reso noto il bug il 22 Novembre 2006, la bellezza di 15 mesi fa.
Sono stupito sinceramente che un bug del genere non sia ancora stato corretto.

Secondo le dichiarazioni presenti a questa pagina, Mozilla Foundation ha dichiarato:

Mozilla developer Gavin Sharp confirmed that the developers are aware of that problem. Indeed, there were controversial discussions of the issue in the bug database, but further measures were discarded. Automatically entering passwords in other pages increases the user-friendliness on sites with several login pages. And even if this functionality is removed, this does not mean that passwords cannot be stolen.

Ossia: chissenefrega, tanto le password possono essere rubate lo stesso, se un attaccante modifica la pagina del server.

Certo, però ricordiamo che smepre secondo la ricerca di heise, il bug in questione fornisce le pwd memorizzate di qualsiasi pagina che abbia un form simile a quello nel quale vengono memorizzate le password dal manager.

Uno dice: eh, ma c’è noscript e una tonnellata di estensioni. Si, ma l’utente medio, di default, quella roba non la installa.

Ritengo che in questo caso si sarebbe dovuto fare qualcosa di più. Il bug esiste ed è grave. E la maggior parte degli attacchi di phishing si basano proprio su form simili a quelli di siti affidabili. Facilitare così la vita di un phisher, mi pare una mossa un tantino azzardata… Faster, Safer, Better? Chissà.

-Miauz!

NSS 07 – Impressioni e commenti

Ordunque, mi capita che per casini vari ed eventuali non sia riuscito a postare prima. Ecco quindi il convegno Net&System Security 2007 dal punto di vista di uno degli organizzatori, nella fattispecie io. Dunque, per prima cosa stupisce un piccolo miracolo: i giorni prima il tempo non era stato il massimo, e la sera prima del convegno nuvoloni preoccupanti non lasciavano presagire nulla di buono. La mattina del convegno, invece, sole, che si è mantenuto per tutto il pomeriggio. Ancora un appunto: alla vigilia, abbiamo lavorato ocme matti per sistemare tutto, e la mattina del convegno mancava un sacco di roba da fare. Un altro piccolo miracolo: in meno di un’ora siamo riusciti a sistemare quasi tutto. Poi via alle danze. Il convegno è stato strano. Sembrava esserci meno gente delle altre volte, ma un calcolo approssimativo ha permesso di stimarne il numero intorno alle 700 persone, con un buon incremento rispetto agli anni passati. Gli incontri, i talk sono andati tutti bene, chi più chi meno, a parte forse una logorante sessione pomeridiana in auditorium, nella quale hanno esposto il proprio paper anche i vincitori del Call for Paper di quest’anno. Complimenti a tutti i miei amici, con i quali abbiamo fatto le capriole fino all’ultimo per riuscire a presentare un convegno all’altezza degli altri anni. Sono persone con le quali lavorare è sempre un’esperienza unica. Come nota personale, aggiungo che il talk che in fase pubblicitaria era stato il più criticato, e cioè il Vista kernel security, ha invece strappato per ben due volte gli applausi del pubblico, merito di un eccezionale Luca Sanson che può essere presentato al meglio solo da suo compagno di ufficio, e cioè Feliciano Intini (che con sommo dispiacere di entrambi, non è potuto venire). Cito questo piccolo evento nell’evento, perchè mentre volantinavamo e appendevamo i cartelloni ho sentito gente dire. “Mi fa sorridere accostare Vista e sicurezza”. Bene, spero che si siano rimangiati le parole. Ancora, i ringraziamenti doverosi, a tutti, ma in particolare (non perchè gli altri non lo meritino, ma perchè ne scorderei sicuramente qualcuno) a Matteo, che si dimostra ogni giorno un amico fantastico, ad Alba, perchè alla fine senza di lei è tutto un po’ più triste, e al Pelle e tutto il distaccamento di @home (+ Gentoo), perchè sono un gruppo di nerd dal cuore tenero 🙂

Ciò detto, spero di ricominciare a postare con maggior frequenza…

– miauz!

V Convegno Net&System Security

image

27 Novembre 2007, Palazzo dei Congressi di Pisa

@SystemGroup, progetto di collaborazione tra @System e BitFlow, organizza il 5° Convegno Net&System Security 2007, analisi e vulnerabilità dei sistemi informatici.
L’evento nasce con il preciso scopo di creare un momento d’incontro tra le aree che caratterizzano il mondo dell’Informatica (Ricerca, Università, Studenti, Mondo del Lavoro, Tecnici) in cui sia possibile specialmente il confronto sulla sicurezza informatica, approfondendo le tematiche attuali, ed esaminando le ultime tecnologie. Anche quest’anno abbiamo coinvolto importanti partners nella realizzazione dell’evento. Tema specifico di questo convegno sono le nuove frontiere dell’ “IT-Security”. I lavori occuperanno l’intera giornata durante la quale saranno approfonditi in modo particolare quegli aspetti che, nell’ultimo anno, si sono maggiormente imposti all’attenzione degli addetti ai lavori.
Aree tematiche:

  • NetworkSecurity

  • HoneyNet

  • Voip Security

  • Asterisk Security

  • Mobile Security

  • System Programming & OS Security

  • Virtualization

Anche quest’anno avrà luogo il Call For Paper aperto al mondo universitario, mondo della ricerca, aziende e specialisti del settore. Maggiori informazioni sono disponibili sulle pagine dedicate al concorso.

 

——————————————–

 

Dunque, il programma del convegno è disponibile nell’apposita pagina con il programma 😀

Forse è un po’ tardi per avvisare, ma avvisate lo stesso… 😉

Technorati tags: , , , , , , ,
, , , ,
, , , , , , , ,

 

Ere glaciali e scrivanie sicure.

Prendo spunto da un paio di post del sempre mitico Paperino: il primo riguarda la funzione hybernate: dunque, io ho provato ad usare quel simpatico tastino che manda il pc in uno stato ibrido ieri sera per la prima volta (giuro :)). Bene, il risultato è che in 5 o 6 secondi si è messo nello stato apposito. Sono veramente impressionato: la mia macchina non è esattamente una low-end, eppure ha fatto tutto molto in fretta. Seguirà updat eper raccontarvi come è andato il “riaccendimento”.

Il secondo post riguarda il famoso/famigerato UAC: disattivarlo? Disattivare il secure desktop? Io sono d’accordo con Paperino: a regime, UAC non si presenta così spesso. Il secure desktop è una barriera che sinceramente non mi sento di disabilitare, e se gli utenti imparano a non disabilitare UAC, finalmente si avranno software che non richiedono inutilmente i privilegi di amministratore. Per questi motivi, io ho lasciato l’UAC come da impostazioni. Pazienza se qualche applicativo mi freeza il pc per qualche secondo: preferisco questo che aumentare le possibilità che un malintenzionato acceda alla mia macchina.

De Vermi Mysteriis: la minaccia del baco fantasma

Citazione Lovecraftiana per un argomento che ha del surreale e del grottesco anzichenò. Leggevo un paio di giorni fa, sul blog di Feliciano Intini, la notizia dell’“attacco al kernel” tramite un tool chiamato Atsiv. Orbene, di che si tratta? Semplice, questo tool permette di zompare senza problemi la certificazione dei driver su Vista 64 bit. Come lo fa? Beh, semplice, inizia installando dei driver firmati… Ehi, ferma i lavori! Driver firmati? Ma chi può installare driver? Solo l’amministratore. Bene. Ora, che me ne faccio del resto di questo cosddetto “attacco”? Esatto, una cippa di niente. Perchè? Perchè se ho installato i drive ho già i permessi di amministratore, e quindi sulla macchina posso fare quel che mi pare. La sicurezza è già compromessa. Bene, ora allarghiamoci un attimo: molto spesso escono questi cosiddetti buchi di sicurezza (tipicamente per Windows, ma si trovano esempi anche per Linux, BSD, MacOS, e qualsiasi altro OS esistente) la cui frase iniziale, nella descrizione dice, a grandi linee:

Loggandosi come amministratore…

Ora, mi pare chiaro che se qualcuno ha un accesso da administrator alla tua macchina, quella macchina non è più la tua macchina. I buchi di sicurezza di solito implicano una privilege excalation nel sistema. Ovvero sfruttano un difetto che permette di eseguire comandi o codice arbitrario, partendo da utente normale e acquistando tramite detto difetto i privilegi di amministratore. Questo è un buco di sicurezza. Ma quando il “buco” richiede che si parta da amministratori per sfruttarlo, allora il problema di sicurezza non è del sistema operativo (qualunque esso sia), ma di chi sta seduto davanti alla tastiera: se tu amministratore sei così fesso da non stare attento a ciò che installi o ricevi mentre sei loggato come admin, il problema di sicurezza non dipende certo dal software, ma dalla persona.

Scrivo questo post per due motivi: il primo è che qualcosa ogni tanto devo pure scrivere :P, il secondo è che m i sto stancando di leggere che il sistema operativo X ha un buco di sicurezza perchè si può sfruttare un problema se sei amministratore: se sono amministratore su quella macchina, ci faccio esattamente quello che voglio. Non ho bisogno di sfruttare chissà quali bachi.

-Miauz! 🙂