Tempo fa in questo articolo sull’hardening di base dei sistemi linux si è parlato delle tecniche basilari per mettere in sicurezza un sistema linux esposto sulla rete. In questo articolo vedremo come aumentare di un altro gradino la sicurezza utilizzando alcuni tra gli script più famosi, ovvero: apf (Advanced Policy-based Firewall), bfd (Brute Force Detection) e DDoS Deflate. In questo articolo vedremo come installare i citati scripts e la prima configurazione, inoltre, vedremo dove si trovano i file di configurazione per eventuali regolazioni “di fino”. Questo articolo è rivolto a persone che hanno una buona padronanza dei sistemi linux, inoltre, l’uso del solo “copia e incolla” incosciente può causare un blocco del vostro sistema, come sempre consiglio di ragionare prima di compiere azioni avventate.

Installazione e configurazione di APF: Advanced Policy-based Firewall

Questo script consente di pilotare iptables, su questa pagina si trovano informazioni più dettagliate su apf. Per installare APF bisogna guadagnare i permessi di root e scaricare il seguente file:

# wget http://rfxnetworks.com/downloads/apf-current.tar.gz

scompattiamo e installiamo

# tar xfz apf-current.tar.gz
# cd apf-*
# ./install.sh

a questo punto il firewall è installato e bisogna configurarlo, apriamo il file:

/etc/apf/conf.apf

le prime opzioni da configurare sono le seguenti e rispettivamente servono per: attivare il firewall (di default, attraverso un cron job, ogni 5 minuti vengono aggiornate le regole); configurazione degli ingressi TCP e UDP attivi; AntiDos.

DEVEL_MODE="1"
IG_TCP_CPORTS="21,22,25,53,80,110,143,443,3306"
IG_UDP_CPORTS="53,111"
USE_AD="1"

successivamente possiamo far partire APF con il comando:

# apf --start

Se non siamo contenti della configurazione possiamo muoverci tra la configurazione di APF, ogni singola impostazione è strettamente descritta nel file stesso. Se vogliamo modificare la configurazione AntiDos, per renderla più restrittiva dobbiamo editare il seguente file:

/etc/apf/ad/conf.antidos

Installazione e configurazione di BFD: Brute Force Detection

Questo è uno script che analizza i file di log alla ricerca di errori di autenticazione, per maggiori informazioni sul funzionamento si può consultare questa pagina. Per installare BFD, come al solito guadagnamo i privilegi di root e rispettivamente con i seguenti comandi scarichiamo, scompattiamo e installiamo lo script:

# wget http://rfxnetworks.com/downloads/bfd-current.tar.gz
# tar xfz bfd-current.tar.gz
# cd bfd-*
# ./install.sh

il file di configurazione si trova nella seguente posizione:

/usr/local/bfd/conf.bfd

attiviamo lo script e impostiamo una mail modificando le seguenti impostazioni

ALERT="1"
EMAIL_USR="username@yourdomain.com"

come per il precedente script possiamo modificare una miriade di impostazioni che si trovano nel file di configurazione, non è complicato in quanto ogni impostazione è minuziosamente descritta. Buona cosa è editare il file

/usr/local/bfd/ignore.hosts

inserendo il vostro IP, per evitare, in caso di errori, che lo script neghi a voi stessi l’accesso. Non ci resta che far partire lo script:

/usr/local/sbin/bfd -s

Installazione e configurazione di DDoS Deflate

Questo script inizialmente è stato sviluppare per funzionare sui server MediaLayer per arginare gli attacchi (D)Dos, molti sysadmin vista l’efficacia decidono di installarlo sui propri server. Come al solito guadagnamo i privilegi di amministratore e con i seguenti comandi scarichiamo e installiamo DDoS Deflate:

# wget http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh

e già pronto per funzionare ma se vogliamo modificare qualche impostazione possiamo modificare il file:

/usr/local/ddos/ddos.conf

non ci resta che avviare lo script:

# /usr/local/ddos/ddos.sh -c

Conclusioni

In questo articolo abbiamo visto come aumentare di una tacca la sicurezza del nostro sistema linux, ricordate sempre che la sicurezza in modo assoluto non esiste e buona fortuna.

Saluti

PS Per gli script appena installati ricordate che al riavvio non partiranno, bisogna impostarli per farli partire al reboot.

Ultimamente mi ha incuriosito un movimento nato su Internet chiamato Anonymous. Il movimento nasce anni fa sulla piattaforma Imageboard di http://www.4chan.org/, dalla spontanea aggregazione di persone che commentavano la board /b/ firmandosi come Anonymous. Quel primo movimento caotico e multiculturale, è formato da numerose culture e idee ma una tra tutte prevale e che accomuna i suoi membri: “Cambiare il Mondo e renderlo più giusto”; favoloso, chi non ha mai avuto un desiderio simile, un po’ tutti penso. Questo movimento cresce e si diffonde in tutto il mondo, fino a diventare quello che è oggi, dai più definito superficialmente come un gruppo di hacker che compiono crimini, ma, secondo quello che ho visto fino ad ora, non è solo questo, c’è dell’altro.

Sviluppo del movimento

Le prime notizie di azioni rilevanti del movimento si hanno nel 2006, gli Hacktivisti di Anonymous si scagliano contro un parco divertimenti dell’Alabama reo di aver vietato a un bambino affetto di AIDS di immergersi in una piscina. Successivo è l’attacco al sito di un autore radio-fonico, Hal Turner, colpevole di sostenere la tesi della supremazia della razza bianca su tutte le altre. Nel Dicembre 2007 gli Hacktivisti di Anonymous smascherano il pedofilo Chris Forcand segnalandolo alla polizia e fornendo prove della sua compevolezza.

Nel 2008 gli Hacktivisti di Anonymous si organizzano per combattere la famigerata e temibile setta di Scientology. In questa occasione molti manifestanti si mascherano da Guy Fawkes temendo le ritorsioni della setta. La reazione di Scientology si fa sentire con azioni diffamatorie nei confronti di Anonymous, la setta defaccia un sito per ragazzini epilettici inserendo immagini in movimento che causano crisi firmandosi con il nome di Anonymous.

Il gruppo di Hacktivisti di Anonymous sostiene d’aver dato supporto informatico ai movimenti liberali dell’Iran, dello Zimbabwe, della Tunisia, dell’Egitto che poi sono sfociati nelle rivolte popolari atti a rovesciare i governi. In fine dando supporto agli Indignados spagnoli cavalcando il vento di anti-politica che sta nascendo in Europa.

Anonymous supporta e promuove i documenti di WikiLeaks. Attacca visa, paypal e altri istituti bancari quando essi decidono di non accettare più donazioni in favore di WikiLeaks.

Se volete approfondire l’aspetto storico, informazioni si trovano su wikipedia (presumibilmente scritte dagli stessi Anonymous): Anonymous, Imageboard.

Il concetto di Hacktivista

Attualmente, la maggior parte dei membri si definisce hacktivista e non hacker nel senso stretto del termine, la differenza è sottile e non di facile comprensione. Un hacktivista si definisce come un manifestante nel mondo digitale.

L’Hacktivista con la sola presenza su un sistema informatico esplica la sua funzione di protesta. Come tutti sanno quando un server ha un grosso numero di accessi incomincia a non funzionare bene, cioè inizia a razionalizzare le proprie risorse finché non fornirà più alcun dato. Finita la manifestazione di protesta gli hacktivisti abbandonano il server ed esso, senza alcun danno, inizia a fornire nuovamente dati.

Alcune volte tra gli hacktivisti si “intrufolano” veri e propri hackers che tentano di violare i sistemi informatici presi di mira, certamente è difficile capire se ci sono nessi tra gli hacktivisti e hackers.

Gli hacker del movimento

Questa possiamo dire che è la parte più estremista del movimento. Come tutti ben sanno, in Italia il movimento di Anonymous è diventato noto per gli attacchi, ad opera da parte di una corrente interna di hacker, verso alcuni siti web italiani e non:

• Enel.com, con la motivazione di “ancora una volta mostra di perseguire i propri interessi in modo indegno. Al fine di costruire impianti idroelettrici in Guatemala, nel municipio di Cotazal, l’Enel assolda (con i denari di tutti gli italiani) 500 mercenari in assetto di guerra con passamontagna e forze antisommossa per occupare la comunità indigena maya ixil di San Felipe Chenla, che dal 3 gennaio sta protestando contro la Enel” (fonte non più disponibile in quanto il sito che rivendicava l’attacco è stato oscurato);
• i siti web della sony e specialmente la piattaforma di gioco online, a quanto pare gli hacktivisti di Anonymous sostengono che i videogiochi rimbecilliscono le persone;
• molti siti governativi Statunitensi in quanto l’amministrazione americana ha arrestato l’hacker che ha fornito ad Assange i materiali riservati pubblicati su wikileaks;
• Paypal in quanto ha rifiutato di accettare donazioni in favore di wikileaks;
• molti siti delle università italiane per dimostrare alle stesse la fragilità dei loro sistemi;
• il sito dell’Agicom con la denuncia di “L’Agcom vorrebbe istituire una procedura veloce e puramente amministrativa di rimozione di contenuti online considerati in violazione della legge sul diritto d’autore.
  L’Autorità potrebbe sia irrogare sanzioni pecuniarie molto ingenti a chi non eseguisse gli ordini di rimozione, sia ordinare agli Internet Service Provider di filtrare determinati siti web in modo da renderli irraggiungibili dall’Italia. Il tutto senza alcun coinvolgimento del sistema giudiziario. Questa normativa dovrebbe entrare in vigore tra pochi giorni. Per questo chiediamo l’aiuto di tutti in questa protesta” contro misure che minano “alle fondamenta il diritto di avere una Rete libera e imparziale” fonte;
• i siti vicini al partito del Pdl, per la questione Agcom;
• il Cnaipic, ma questa è una storia controversa in quanto ci sono state prima delle rivendicazioni e poi delle smentite, però non si capisce la motivazione;

A quanto ho intuito, ma non lo posso dimostrare, il gruppo di hacker è alla ricerca di documenti “scottanti” che possono comprovare insabbiamenti e “la corruzione interna ai governi”, documenti che successivamente verranno usati per le altre fasi del loro piano.

Organizzazione

Facendo un analisi molto superficiale Anonymous sembra un movimento caotico e totalmente anarchico, ma cercando di capire ed analizzando un pochino si scopre che non è del tutto così. Navigando tra i canali della chat ho notato una struttura organizzata per temi e aree geografiche, fatta eccezione per il caotico canale italiano; sul canale italiano gli attacchi al canipic hanno attirato una moltitudine di persone in cerca di fama, perciò, è stato quasi impossibile riuscire a capire che cos’è Anonymous.

A quanto ho capito Anonymous non ha una gerarchia o una linea gerarchica, ma è formata da gruppi autogestiti che perseguono un obiettivo comune: “Cambiare il Mondo e renderlo più giusto”. In bocca al lupo!

L’intera organizzazione del movimento non è gestita in un unico sito ma è distribuita su una moltitudine di siti web, quelli che sono riuscito a rintracciare sono i seguenti:

• http://www.whatis-theplan.org, “Il piano per cambiare il mondo”;
• http://anonops.blogspot.com/;
• http://anonops-ita.blogspot.com/
• http://www.anonnewsnet.com/;
• http://anonnews.org/;
• http://www.whyweprotest.net/;
• http://hbgary.anonleaks.ch/;
• http://youranonnews.tumblr.com/;
• http://lulzsecurity.com/;
• http://anonplus.infiniteserve.com/;
• http://irc.lc/AnonOps/OpItaly , la chat italiana;
• tanti altri basta cercare su google o dai collegamenti dei siti citati.
• numerosi account su twitter, facebook e social network in genere…

Il piano per cambiare il mondo in un anno

Diciamo che è ambizioso come obiettivo. Per ora sono riuscito a trovare soltanto dei video su youtube, e “Il piano” è suddiviso in tre fasi dalla durata totale di un anno. La prima fase è iniziata il 15 Giugno 2011, presumibilmente è la fase di presentazione visto che stanno facendo tutto sto “baccano”. In che cosa consistano le altre due fasi non si riesce a capire in quanto nei video viene detto che “i dettagli saranno rilevati in seguito”. Ve ne propongo alcuni tra i più “folcroristici”:

Conclusioni

Diciamo che queste sono le prime impressioni che mi son fatto su Anonymous. Sono molto curioso su questo movimento, specialmente di capire se la storia “Del cambiare il Mondo” fino a quanto può essere vera, comunque, ci sono molti punti oscuri che non riesco a spiegare. Vedremo che succede.

Saluti.

PS Se a “qualcuno” non è piaciuto l’articolo e decide di attaccarmi, lo faccia pure, sicuramente riuscirà a fare danni; sono abbastanza conscio che la sicurezza assoluta non esiste. In questo articolo ho solo raccontato, liberamente, ciò che son riuscito a vedere e a conoscere.

Ecco un elenco di notizie degli ultimi due mesi che reputo interessanti per il modo informatico e le ripropongo ai lettori del blog. Gli argomenti spaziano da: rilascio del kernel linux 3.0, rilascio di vmware 5, SecureID violato, Ebay acquista Magento, Skype violato, Social Network, una notizia di un mese fa su Anonymous.

• E’ stato rilasciato il kernel linux 3.0 www.kernel.org . La mail originale di Linus Torvald che annuncia il rilascio del kernel 3.0 http://lwn.net/Articles/444314 .
• Rilasciato VmWare ESXi 5 http://suretalent.blogspot.com/2011/05/vmware-esxi-50-release-features-of.html
• Lockheed Martin RSA tra i più grandi produttori di armi al mondo violata, a quanto pare è stato duplicato un token RSA SecurID. http://www.pcmag.com/article2/0,2817,2386086,00.asp evento che rende pericolosa anche le transazioni online.
• Ebay acquista Magento http://www.magentocommerce.com/blog/ebay-agrees-to-acquire-magento
• Le chiamate su skype si possono intercettare http://www.scmagazine.com.au/News/258827,how-to-intercept-skype-calls.aspx grazie al reverse engineering del protocollo http://tech.slashdot.org/story/11/06/02/1914250/Skype-Protocol-Has-Been-Reverse-Engineered durato anni. Una possibile alternativa potrebbe essere http://www.fsf.org/blogs/community/skype-replacement-projects
• Anche gli hackers di Anonymous vogliono lanciare il loro Social Network, logicamente solo notizie in completo anonimato, forse non gli è andata giù l’estromissione da Google+ , oppure per uno spirito di concorrenza con il nuovo Social Network della Microsoft annunciato in modo maldestro http://www.socl.com/. Il social di Anonymous http://anonplus.com/ in questa pagina l’annuncio http://www.examiner.com/anonymous-in-national/anonplus-the-anti-social-networkhttp-anonplus-com
• E per ultimo una notizia vecchia, il 3 giugno 2011 il team di hackers Lulz Security diffonde online la configurazione del server web di nintendo.com dopo averlo violato, la ripropongo, magari a qualcuno interessa vedere come i grossi web server vengono configurati e gli errori che si fanno, prima però una massima di qualcuno che non ricordo il nome:

Chi non conosce gli errori della Storia, è destinato a ripeterli

configurazione server web nintendo.com

Saluti

Da molto tempo cerco una soluzione per vedere i programmi Rai su Ubuntu, oggi su Rai Tre mentre vedevo uno dei miei programmi preferiti: Va’ Pensiero (tre secoli dell’opera lirica spiegata da Antonio Pappano); improvvisamente Rai Tre non si vede più. Panico!!! Faccio partire il mio Ubuntu e dopo 10 secondi sono sul sito Rai. Come tutti sanno, la Rai ha scelto di adottare un sistema proprietario della Microsoft per diffondere in rete i suoi canali televisivi: Silverlight. Questa scelta per chi utilizza Ubuntu o i sistemi linux in generale è una tragedia, perché, anche se esiste una alternativa open (Moonlight) sui siti Rai non ha mai funzionato o funzionato male. L’ultima volta che ho provato ad installare Silverligh mi faceva vedere solo la pubblicità, quando andava a caricare il video mi usciva un avviso che mi avvertiva che Silverlight non era installato, bho, ancora non mi sono spiegato il perché funzionasse soltanto quando c’era della pubblicità da visionare.

Oggi è successo un evento che mi ha fatto risolvere il problema, potenza della lirica?

Installo per l’ennesima volta Moonlight (Silverlight per il mondo Open):

• vado sul sito http://www.go-mono.com/moonlight/download.aspx e clicco su download, (utilizzare http://go-mono.com/moonlight/download.aspx in caso non funzionasse il primo, link segnalato nei commenti da Leonardo);
• mi si apre la finestrella di installazione dei plugin di firefox e clicco su installa;
• aspetto il download (14Mb circa) e riavvio firefox;

A questo punto vado sul sito della Rai e mi appare una finestra che fino ad oggi non mi era mai apparsa: “Moonlight Codecs Installer”, praticamente sono dei codec per leggere i video (non potevano usare lo stesso codec della pubblicità, visto che funziona?):

• clicco su “Install Codecs”;
• accetto la licenza della Microsoft (erano anni che non vedevo una richiesta simile);
• inizia il download, appena finito clicco su Chiudi.
• Ricarico la pagina, mi sorbisco altri 30 secondi di pubblicità, e FUNZIONA!!!

Monto contento mi finisco di vedere la mia puntata e mi faccio una domanda, funzionerà anche sul portatile? Rifaccio tutto il procedimento e… si sente l’audio ma il video non si vede. GRRR… Calma!!! E’ solo un problema di impostazioni, se sul fisso ha funzionato perché non deve funzionare anche sul portatile?

• clic con il tasto destro dentro il player e scelgo “Moonlight Settings”;
• clic sull’ultima scheda “Advanced” e tolgo l’impostazione “Use hardware accelleration”, sul mio vecchiotto portatile la scheda video non ha accelleraizone hardware.

Spero di esser stato utile, subito sotto le immagini in sequenza per chi non ha voglia di leggere tutto quello che ho scritto.

Arturu.it

Arezzo Mattina del 29 Aprile – Si è sviluppato un incendio nella zona degli UPS di Aruba, attualmente i server sono stati spenti per sicurezza (a quanto dice Aruba), quindi mezzo web italiano non è raggiungibile. A quanto sembra si presenta una mattinata lunga per chi ha ospitato presso Aruba il proprio servizio web, posta, posta certificata e altro, circa mezzo web italiano, si è parlato di circa un milione di domini.

Aruba per correre ai ripari ha aperto un account su twitter a questo indirizzo: http://twitter.com/#!/Arubait, le prime informazioni sono state queste:

Arubait Aruba it

Aruba:Causa principio di incendio nella serverfarm principale si è attivato l’energit poweroff togliendo energia alla struttura

 

Arubait Aruba it

sono in corso le verifiche e le operazioni di messa in sicurezza della zona. seguiranno aggiornamenti.

Ultimamente nel panorama politico italiano si ritorna a discutere di connettività senza fili, tema a me molto caro che i miei lettori conoscono bene perché molto spesso me ne esco con questa tematica. In passato ho parlato di come il Wi-Max italiano sarebbe miseramente fallito a causa di scelte governative poco intelligenti, tecnologia che in altri paesi come il Giappone permette di collegarsi a fino a 200 Mbit/s con un raggio massimo di 50 Km dalla stazione (Articolo 1, Articolo 2).

Da qualche giorno il dibattito politico si è spostato sull’abrogazione dell’articolo 7 del decreto Pisanu (155/2005). L’articolo obbligava i gestori di tutti gli esercizi pubblici (internet point, bar, biblioteche, università…) che offrivano la connessione Internet alla richiesta di una speciale licenza al questore, nonché all’identificazione degli utenti tramite documento di identità. Il Decreto, tra le varie disposizioni si proponeva di impedire a dei terroristi di collegarsi alla Rete senza essere identificati, in realtà si è trasformato in un muro alla diffusione della nascente (si fa per dire) tecnologia Wi-Max in Italia. L’aspetto più grave è che questa disposizione si è dimostrata totalmente inutile, in quanto le attenzioni di molti “criminali” si sono rivolte verso gli access-point wireless dei privati (il più delle volte installati da utenti poco esperti), i “punti wireless” dei privati sono facilmente violabili consentendo l’accesso in totale anonimato a chiunque, anzi, sotto l’identità del povero malcapitato (Articolo 1, Articolo 2). Si è costruito così un falso senso di sicurezza. Siamo sicuri che nessuna rete wi-fi è stata mai violata da un “Terrorista”?! non lo sapremo mai perché tutti si sentivano sicuri e non si è indagato su questo. Forse era più saggio monitorare gli accessi anonimi con delle parole chiave tipo “bomba,innesco,c4,ecc”, si è preferito alzare il tappeto e buttare la polvere sotto…

Da wired.it:

L’intenzione di Linda Lanzillotta, Paolo Gentiloni e Luca Barbareschi era quella di riaccendere i riflettori politici e istituzionali sul problema del wi-fi, il primo passo è fatto. La proposta dei tre, che mette d’accordo opposizioni e Futuro e Libertà, ha infatti trovato sostegno praticamente incondizionato alla Camera e l’ipotesi che la connessione senza fili possa proliferare indisturbata prima di Natale si fa sempre più concreta. A favore dell’abolizione dell’articolo 7 del Decreto Pisanu del 2005 si è schierata anche l’Udc, attraverso la sottoscrizione della proposta da parte di Roberto Raho. Pareri favorevoli sono arrivati anche da parte della Lega Nord e del Pdl, con una netta presa di posizione del Club della libertà. La sensibilità dell’Idv è inoltre manifesta da tempo. Quindi, se la matematica non è un’opinione e non essendo necessario mettersi a contare con calcolatrici o pallottolieri di sorta, la maggioranza c’è ed è schiacciante e l’intenzione di mettere mano al regola che prevede che chiunque si colleghi a Internet da una connessione pubblica debba essere identificato con un documento d’identità non è in discussione.

Anche se ci sono tutte le intenzioni di liberalizzare gli accessi alle wi-fi in Italia non succederà mai. Questo lo dico in tempi non sospetti con un 99% di certezza. Se ci fossero reti wireless veramente libere tutti i gestori mobili non avrebbero più ragion d’esistere, basta avere uno smartphone con il supporto wi-fi, un laptop, un iphone, ipad, iqualcosaltro e si è tutti interconnessi, la telefonata come l’sms diventerebbero preistoria!!!

In Italia, mentre noi ci preoccupiamo di liberalizzare l’accesso alle wi-fi gli altri paesi sperimentano il Wi-Max da 330 MEGABIT e le connessioni LTE … io viaggio ancora con l’ISDN a 64kilobit, e non sono il solo…

Recentemente mi sto interessando di botnet, qualche giorno fa ho visto un interessante video-lezione-conferenza sul furto di botnet. Una botnet è una rete di computer collegati ad internet che fanno parte di un insieme di computer controllato da un’unica entità, il botmaster. Ciò può essere causato da falle nella sicurezza o mancanza di attenzione da parte dell’utente e dell’amministratore di sistema, per cui i computer vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. I controllori della botnet possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denial-of-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali. I computer che compongono la botnet sono chiamati bot (da roBOT) o zombie. Un gruppo di ricercatori presso UCSB di recente è riuscito a prendere il controllo su una parte di Torpig botnet per 10 giorni. Durante questo periodo, hanno osservato 180 mila infezioni e registrate quasi 70GB di dati raccolti che i bot. Questi dati includono le informazioni presentate da tutti i siti che la persona infetta aveva visitato, smtp, ftp, pop3, Windows, password, numeri di carta di credito e le password da parte dei manager password.

Qui ci sono i fatti più interessanti della conferenza:

Torpig utilizza una tecnica chiamata “flussante dominio” per evitare di essere arrestato, semplicemente bloccando l’IP o il nome del dominio del server del centro di controllo. L’idea è semplice – in funzione della data e ora l’algoritmo genera un nome di dominio a cui connettersi. Se il dominio viene chiuso, il bot userà semplicemente un dominio diverso, dopo qualche tempo. I ricercatori conoscendo la generazione dei nomi di domino sono stati in grado di assumere il controllo su una parte della botnet crackando l’algoritmo di generazione nome di dominio e la registrazione di alcuni dei nome di dominio da utilizzare per la comunicazione.

Successivamente, i cattivi notato che una parte della botnet è stata sottratta, rilasciano un aggiornamento software per tutti i bot che utilizzeranno un nuovo algoritmo di flusso di dominio, questi nuovi algoritmi usano gli argomenti popolari del giorno sul social network Twitter e li utilizzano per generare i nomi di dominio.Con questo nuovo algoritmo i ricercatori non erano più in grado di prevedere il dominio che sarebbe stato utilizzato il giorno successivo, bisognerebbe conoscere un giorno prima l’argomento più polare su un social network che riporta per l’80% notizie in tempo reale.

Quando i bot comunicano con il server di comando trasmettono un campo ID univoco che è stato generato dall’hardware della macchina. Questo ha permesso ai ricercatori di stimare il numero reale di computer infetti. I ricercatori hanno visto 1,2 milioni di indirizzi IP unici, ma soltanto 180.000 macchine. I bot analizzati rubavano i dati finanziari da 410 istituti finanziari (top 5: PayPal, Poste Italiane, Capital One, E * Trade, Chase), avrebbero un registro di carte di credito (prime 5 carte: Visa, Mastercard, American Express, Maestro, Discover ), e avrebbero anche rubato tutte le password dal gestore delle password dei browser.

In uno studio del 2008 Symantec ha stimato che le informazioni riguardanti le carte di credito sono vendute da 10 a 25 dollari per ogni carta nel mercato nero. Le informazioni dei conti bancari sono vendute da 10.00 a 1,000 dollari per ogni conto. L’utilizzo di questo studio ha permesso ai ricercatori di stimare, durante il periodo di 10 giorni, l’importo delle risorse finanziarie che i bots hanno raccolto sono state del valore di 83.000 a 8,3 milioni di dollari. Utilizzando varie stime dei ricercatori si è calcolato che i bot sono usati per il denial of service e la larghezza di banda totale sarebbe 17Gbps.

Dal momento che è stato Torpig a inviare tutti i dati HTTP POST e-mail al server di comando e controllo, i ricercatori hanno statistiche sulle e-mail e hanno scoperto che il 14% di tutte le email sono state lette sui posti di lavoro, il 10% ha parlava di sicurezza del computer / malware, 7% di denaro, 6% erano appassionati di sport, il 5% erano preoccupati per gli esami e la loro qualità, il 4% parlavano della ricerca di partner online. Il 28% delle persone riutilizzato la propria password su più domini. Ci sono state 173.686 password univoche.

I ricercatori hanno convertito le password in formato Unix e hanno cercato di forzarle con John the Ripper. 56.000 erano crackate in meno di 65 minuti con attacco di forza bruta, invece utilizzando un dizionario 14.000 password son bastati 10 minuti. E altri 30.000 sono state le password crackate nelle 24 ore successive. Il 58% di tutte le password sono state crackate in 24 ore.

Il video conferenza è lungo 1h 15m ed è presentato da Richard A. Kemmerer.

Rubare una botnet

Qui ci sono tutti gli argomenti della conferenza:

• [02:00] terminologia botnet – bot, botnet, server di comando e controllo, canale di controllo, botmaster.
• [03:00] Introduzione al trojan Torpig e la piattaforma Mebroot malware.
• [05:00] Come Torpig opere.
• [11:30] Torpig iniezione HTML.
• [15:00] fluxing dominio.
• [19:15] Capofila c Torpig’s & C server.
• [24:10] principi di raccolta dei dati.
• [26:00] C & C protocollo del server.
• [31:10] stima botnet di dimensioni.
• [37:00] minacce “botnet” è: il furto di informazioni finanziarie, denial of service, server proxy, furti privacy.
• [37:30] Minaccia: furto di informazioni finanziarie.
• [42:00] Threat: Denial of Service.
• [43:30] minacce: i server proxy.
• [44:20] Minaccia: furto Privacy.
• [47:00] Analisi Password.
• [50:40] punizione penale.
• [53:00] applicazione della legge.
• [58:00] Rimpatrio dei dati.
• [01:00:00] Etica.
• [01:02:00] Conclusioni.
• [01:06:00] Domande e risposte.

In Francia e Germania le autorità diffondono una nota: non usate Internet Explorer. Alla base della vicenda c’è una vulnerabilità relativa a Internet Explorer versione 6 su sistema operativo Windows XP. Lo stesso problema di sicurezza starebbe alla base del contenzioso tra Google governo cinese.

Il governo tedesco agli utenti: «Non usate Explorer»”,” Explorer, anche la Francia lancia l’allarme”. Sono questi i titoli di alcuni dei principali quotidiani online dedicati a una vicenda che merita un minimo approfondimento. Riportiamo il calendario a qualche giorno fa e per rinfrescare la memoria segnaliamo questo link dedicato alla vicenda in cui Google e Governo cinese si trovano a confrontarsi. Google ha  rilevato alcune violazioni dei propri sistemi informatici notando accessi indesiderati ad alcuni account di posta elettronica: tali caselle email sarebbero per di più riconducibili ad alcuni attivisti cinesi per i diritti umani.

Da Mountain View vengono chieste spiegazioni alle autorità cinesi con la minaccia da parte di Google di sospendere ogni attività in Cina: Google parrebbe disposta a rinunciare alle enormi opportunità di business legate ai forti tassi di crescita del mercato IT in Cina e all’elevato numero di utenti potenzialmente raggiungibile. Per il momento il governo cinese non ha dato importanti riscontri, e pure le autorità americane si sono fatte avanti per far chiarezza sull’accaduto: oltre a Google ci sarebbero altre 30 aziende fatte oggetto di attacchi informatici provenienti dalla Cina. La vicenda è ancora tutta da chiarire nei suoi dettagli e, forse, ai giornali giungerà solo una parte di tali informazioni.

Questi appena descritti sono in estrema sintesi i fatti di cronaca a cui però si deve aggiungere un dettaglio essenziale e importante per poter comprendere i titoli dei quotidiani citati in apertura. Stando a quanto identificato da molti esperti di sicurezza informatica, tra i quali i tecnici di McAfee, alla base degli attacchi subiti da Google e dai già citati account Gmail vi sarebbe una vulnerabilità di alcune versioni datate di Internet Explorer.

Sarebbe proprio la vulnerabilità di Internet Explorer ad aver scatenato un putiferio in Europa tanto da indurre il Bundesamt fuer Sicherheit in der Informationstechnik – l’Ufficio Federale responsabile per la sicurezza informatica – a diffondere un comunicato nel quale invita a non usare Internet Explorer senza se e senza ma. Anche disattivando ActiveX e impostando il più alto livello di sicurezza Internet Explorer nelle versioni 6, 7 e 8 viene definito insicuro da BSI e gli utenti sono invitati a utilizzare browser alternativi.

Alla presa di posizione delle autorità tedesche fa eco un’analoga dichiarazione del CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatique) francese. Il messaggio è in sostanza il medesimo: utilizzate un browser alternativo.

A tutte queste dichiarazioni si contrappongono altre prese di posizione non così convinte della pericolosità di Internet Explorer, o meglio non convinte che altre alternative possano offrire condizioni di utilizzo veramente sicure all’utente finale. Sophos prende chiaramente posizione a fianco di Microsoft e nel blog di Graham Cluley – senior technology consultant – si legge:

Ora, in un contraddittorio è lecito dare la parola all’accusa – e lo abbiamo fatto indicando gli annunci fatti dalle autorità francesi e tedesche – ma anche alla difesa, e lo facciamo segnalandovi questo breve video diffuso poche ore fa da Microsoft Italia.

Internet Explorer -

Il video per ovvie ragioni non scende troppo nel dettaglio ma da parte Microsoft vengono citate ulteriori fonti di approfondimento. Cerchiamo ora di capire meglio il problema relativo a Internet Explorer e alla vicenda nel suo complesso per poi valutare in maniera autonoma l’accaduto.

Dalle caratteristiche pubblicate per sfruttare la vulnerabilità di Internet Explorer 6 – Microsoft indica solo questa versione affetta dalla vulnerabilità in oggetto- gli utenti che hanno subito un attacco sono stati indotti a visitare una particolare pagina web appositamente creata. Nel caso specifico potrebbe essere stata usata una email, insomma Microsoft sottolinea la natura mirata degli attacchi ai singoli utenti e non all’infrastruttura di Google.

A ciò nella ricostruzione di Redmond viene fatto notare un dato di fatto non trascurabile: la vulnerabilità è sfruttabile su sistema operativo Microsoft Windows XP e con Internet Explorer versione 6. Microsoft sottolinea come entrambi i prodotti siano vetusti – vengono definiti paleolitici dal blog di Feliciano Intini – sottolineando come oggi sia disponibile Windows 7 e Internet Explorer 8. Per la versione del browser ci sentiamo di condividere la posizione di Microsoft mentre per quanto riguarda il sistema operativo è inutile sottolineare quanto Windows XP sia tutt’oggi diffuso, soprattutto in molte aziende. Per Microsoft pare non esserci alcun allarme straordinario, anzi i vari esponenti approfittano della situazione per sensibilizzare su un aspetto fondamentale per la sicurezza: l’aggiornamento del software e del sistema operativo.

Un dettaglio però non ci tornava e abbiamo voluto chiedere diretto riscontro a Feliciano Intini -chief security advisor di Microsoft Italia -. Nelle note delle autorità tedesche e francesi vengono indicati come potenzialmente vulnerabili anche Internet Explorer 7 e 8, mentre dalle informazioni diffuse da Microsoft il problema parrebbe limitato alla sola versione 6 in abbinamento a Windows XP. Inutile sottolineare che su molti altri articoli pubblicati non venga nemmeno indicata la versione di Internet Explorer. Questa omissione farebbe quindi supporre che tutti gli utenti abituati all’uso di tale software siano in pericolo.

Siamo quindi andati alla fonte rivolgendo il quesito all’esperto di Microsoft. La situazione più pericolosa si concretizza su PC dotati di sistemi operativi Microsoft Windows XP in abbinamento Internet Explorer versione 6. La stessa vulnerabilità è presente in Internet Explorer 7 e 8 ma con sistema operativo più recente preoccupa di meno se l’utente abilità la modalità IE Protected Mode e DEP. Al momento è nota l’esistenza di attacchi a sistemi dotati di Internet Explorer 6 e Windows XP e pare più complicato sfruttare le medesime vulnerabilità su sistemi più aggiornati. Detto ciò, e Microsoft stessa lo ammette, il problema va risolto e anche in fretta.

Nell’apertura di questo articolo abbiamo descritto una situazione molto seria e problematica, soprattutto in relazione alla diffusione di Internet Explorer e al potenziale bacino di utenti a rischio. Nell’analisi dei fatti il tutto risulta più limitato e circostanziato. Sia chiaro: la vulnerabilità in Internet Explorer 6 rimane e al momento è meno preoccupante nelle versioni 7 e 8, andrà risolta magari senza aspettare il prossimo patch day.

Stando alle attuali informazioni disponibili e in attesa di eventuali sviluppi,  la sitazione diviene pericolosa in un contesto nel quale l’utente o chi per esso non sia in grado di gestire correttamente il proprio sistema omettendo poche e semplici abitudini che ormai da anni descriviamo: software e sistema operativo aggiornato con le ultime patch in abbinamento a suite per la sicurezza completa (il solo antivirus potrebbe non bastare!), magari non sviluppata da Microsoft ma da terze parti in virtù di una maggiore possibilità di scelta.

In apertura abbiamo citato enti francesi e tedeschi e pare doveroso segnalare il punto di vista del CERT-SPC -unità di prevenzione e gestione degli incidenti informatici del Sistema Pubblico di Connettività – italiano che in una nota diffusa qui riporta:

In relazione alla vulnerabilità di tipo “zero-day” che interessa Internet Explorer già  osservata dal CERT-SPC dallo scorso 15 Gennaio ed illustrata nella sezione bollettini, si rappresenta che in ambito SPC al momento non sono stati segnalati incidenti riconducibili alla stessa. Si evidenzia però il rischio associato alla possibilità di sfruttare tale vulnerabilità in associazione ad iniziative di spam, ai risultati proposti  dai motori di ricerca ed ai collegamenti presenti sui social network, inerenti eventi di particolare ed attuale interesse collettivo, quali il recente sisma  che ha devastato HAITI o all’attenzione mediatica sull’uscita del film AVATAR. Tali circostanze possono essere utilizzate dagli attaccanti per indurre gli utenti a visitare pagine web appositamente realizzate per inoculare malware o la sfruttare anche questa vulnerabilità in Explorer.
…Microsoft, infine, in una nota preventivamente anticipata al CERT-SPC ha indicato anche l’ipotesi di un aggiornamento di sicurezza di tipo “OUT OF BAND” ovvero straordinario rispetto al normale ciclo di rilascio del software correttivo appena avvenuto per il mese di Gennaio.

Fonte

In tutte le versioni ancora supportate di Windows esiste una vulnerabilità che, secondo il suo scopritore, se ne sta lì nascosta da almeno 17 anni. Nel frattempo BigM si industria per sanare IE.

Mentre Microsoft è ancora impegnata nello sviluppo di una patch per Internet Explorer che risolva la falla recentemente utilizzata negli attacchi a Google, un esperto di sicurezza ha divulgato i dettagli di una vulnerabilità apparentemente celata in Windows dalla “notte dei tempi”, ovvero dall’anno 1993. Ad esserne interessate sarebbero tutte le versioni a 32 bit di Windows a partire da NT, inclusi XP, Server 2003, Vista, Server 2009 e 7.

Tavis Ormandy, scopritore della falla e information security engineer presso Google, spiega in questo advisory che il problema è legato alla Virtual DOS Machine, e può essere sfruttato per iniettare del codice direttamente nel kernel di Windows: questo potrebbe consentire a un aggressore o a un malware di prendere il controllo delle aree più “sensibili” e protette del sistema, e installare ad esempio key logger o rootkit.

The Register riporta che la società Immunity di Miami ha già aggiunto l’exploit della vulnerabilità al proprio software di auditing indirizzato ai professionisti della sicurezza. La società afferma che l’exploit è stato testato con successo su tutte le versioni di Windows ad eccezione della 3.1.

In attesa che Microsoft rilasci una patch, Ormandy afferma che è possibile proteggersi della debolezza disattivando i sottosistemi MSDOS e WOWEXEC di Windows: per farlo è necessario modificare alcune voci di registro così come spiegato in questo articolo del supporto tecnico di Microsoft. Va rimarcato che disattivando questi due componenti si perde la compatibilità con i vecchi programmi a 16 bit (quelli per DOS e Windows 3.1), ma per la stragrande maggioranza degli utenti questo non dovrebbe essere un problema.

Ormandy sostiene di aver segnalato il bug a Microsoft nel giugno del 2009, tenendone nel frattempo segreti i dettagli: non avendo ricevuto da BigM alcuna risposta, e avendo constatato che il baco è ancora aperto, negli scorsi giorni si è deciso a rendere il problema di pubblico dominio insieme a un exploit dimostrativo.

Contattata da The Register, Microsoft ha fatto sapere, per bocca di un suo portavoce, di stare vagliando l’advisory di Ormandy e di non essere a conoscenza di attacchi che sfruttino questa vulnerabilità.

Ieri il big di Redmond ha anche annunciato che la recente falla di Internet Explorer verrà corretta appena possibile, e al di fuori del suo ordinario ciclo di pubblicazione dei bollettini di sicurezza. Sui rischi e la portata di tale vulnerabilità Microsoft Italia ha recentemente minimizzato.

“Pur non essendo mutato in modo significativo lo scenario di rischio (nel senso che gli attacchi noti sono rimasti quelli mirati e circoscritti, ed efficaci solo su sistemi con IE6), il clamore mediatico e la confusione da parte dei clienti che ne è derivata (vedi dubbi tra versioni impattate dalla vulnerabilità – praticamente tutte – e quella seriamente impattate da eventuali attacchi intrusivi – solo IE6), anche relativamente alle contromisure temporanee di difesa (vedi abilitazione del DEP), hanno spinto verso la decisione di un rilascio in modalità Out-of-band (OOB)” ha scritto ieri Feliciano Intini, chief security advisor di Microsoft Italia, sul suo blog.

Fonte

Due hacker pubblicano un software ideato per contrastare le misure di indagine forense rese possibili dai tool automatizzati di Microsoft. COFEE è un software progettato dalla Microsoft che serve per indagini forensi, in parole povere tutte le polizie del mondo e le forze dell’ordine hanno in dotazione questo software che usano per le loro indagini, fin qua non c’è problema. Ma, non si capisce come, è finito sulle reti p2p; dopo questo evento spunta DECAF.

Microsoft ci aveva provato a chiudere il vaso di Pandora aperto con la distribuzione non autorizzata di COFEE sui network di P2P, temendo possibili contromosse da parte di hacker o cybercriminali. Ma la minaccia legale non è bastata a fermare il libero fluire in Rete del tool forense e alla fine quella contromossa si è concretizzata nella forma di DECAF: ovvero Detect and Eliminate Computer Assisted Forensics.

Nella stessa misura in cui COFEE serve agli investigatori per raccogliere prove e tracce su sistemi informatici connessi a indagini e crimini, così DECAF appronta una serie di contromisure tese a bloccare tutti i tentativi di intromissione, analisi e log possibili col tool gratuito di Redmond.

“Vogliamo promuovere un sano e illimitato flusso del traffico Internet e dimostrare perché le forze dell’ordine non dovrebbero affidarsi soltanto a Microsoft per automatizzare la ricerca intelligente di prove” ha detto uno degli autori di DECAF spiegando le motivazioni alla base del software da lui contribuito a creare.

Da Redmond avevano provato a far sparire le tracce di COFEE minacciando ritorsioni legali per quei siti che lo avessero continuato a offrire come download, e come dimostra l’esistenza di DECAF la possibilità di veder nascere una contromisura in quegli ambienti dove per Microsoft si annida l’illegalità, il software non certificato e ogni genere di pericoli per l’utente, era ben più che concreta.

Una volta installato in pianta stabile sul sistema, DECAF agisce monitorando il PC e verificando l’avvio dei processi, il collegamento di chiavette USB e l’esistenza di tracce riconducibili ai file di COFEE. Nel qual caso l’esito del monitoraggio dinamico fosse positivo, DECAF provvede automaticamente a cancellare i log creati dall’utility forense, camuffare gli indirizzi fisici MAC, “smontare” e disabilitare i drive USB e altro ancora. I suoi due autori promettono inoltre future versioni capaci di bloccare il sistema protetto agendo da remoto.

Appare ovviamente scontato il fatto che, anche qualora Microsoft provasse a buttare il giù il sito di DECAF, il tool continuerebbe a essere disponibile in rete, sul P2P e altrove, magari su Wikileaks dove già hanno provveduto a ospitare COFEE. Si attende ora la risposta che Redmond deciderà di fornire all’esistenza del “decaffeinato” del loro forensics tool.

Fonte

L’ultimo aggiornamento rilasciato da Microsoft per ovviare a problemi di sicurezza potrebbe causare all’utente finale problemi ben più seri, secondo quanto riportato da Pc World. In molti casi, infatti, l’installazione dell’aggiornamento causerebbe un diffuso problema di schermo nero che rende il PC inutilizzabile.

Secondo quanto affermato da Mel Morris, CEO e CTO di Prevx, una società inglese specializzata in sicurezza, il problema colpirebbe in modo uguale Windows 7, Vista e XP.

Prevx aveva già ricevuto alcuni campanelli di allarme nel corso della passata settimana, attraverso alcune segnalazioni pervenute dagli utenti. Microsoft, avrebbe infatti, con l’ultimo aggiornamento, apportato dei cambiamenti all’Access Control List (ACL), una lista di permessi per gli utenti loggati. L’ACL interagisce con le chiavi di registro, creando alcuni componenti visibili sul desktop, come la sidebar. L’aggiornamento, a quanto pare, modifica in modo errato queste chiavi di registro, causando il problema che dà come risultato il simpatico schermo nero.

Mel Morris è perentorio quando afferma: “if you’ve got this problem, it’s massively debilitating”, un problema c’è insomma e nemmeno di poco conto.

Prevx spiega nei dettagli sul proprio blog il problema che causerebbe l’ultimo aggiornamento di Microsoft che, lo ricordiamo, è stato distribuito dal 10 di Novembre per risolvere vulnerabilità in Windows, Windows Server, Excel e Word. Mel Morris offre inoltre, a questo indirizzo, una patch che potrebbe riuscire a risolvere il problema.

Fonte

Sotto attacco il sito delle Poste italiane. Pirati informatici ne hanno alterato l’homepage, scrivendoci una propria nota in italiano, dove dichiarano perché l’hanno fatto: per dimostrare quanto siano deboli le protezioni di Poste e così allarmare i correntisti sulla sicurezza dei loro dati.

Poste smentisce che questi siano mai stati in pericolo, tuttavia. Alle 20.20 di sabato sera, l’attacco: il sito di Poste.it è stato sfregiato dai pirati. Dopo 30 minuti i responsabili se ne sono accorti e hanno messo il sito offline, rendendolo quindi non più raggiungibile dagli utenti.

Sul sito campeggiava una grande scritta, “hacked”, e una nota scritta dai due presunti hacker, che si sono firmati Mr. Hipo e StutM. “Perché questo atto di forza? Per dimostrare a milioni di italiani che i loro dati sensibili non sono al sicuro! Sembra pazzesco – si legge – eppure tutta la sicurezza garantita nei servizi online di e-commerce è solamente apparente”, era scritto nella nota. “Per vostra fortuna noi siamo persone non malintenzionate, perciò i vostri dati e i vostri accounts non sono stati toccati; ma cosa succederebbe – si legge ancora – se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre?”.

“Con questo gesto quindi – continua la nota – invitiamo i responsabili a occuparsi della grave mancanza di sicurezza nei servizi online delle Poste s.p.a.”. I responsabili però minimizzano. “È solo un ‘defacement’ che riguarda il sito informativo di Poste.it. Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo” dice a Repubblica.it Gerardo Costabile, responsabile Sicurezza Logica, Poste Italiane.

Il defacement è un’azione dimostrativa abbastanza comune, che consiste nello sfregiare un sito. Al solito, per riuscirci, i pirati sfruttano bug ed errori sul server che regge il sito. “Ancora non sappiamo come l’hanno fatto. Lo sapremo entro domani mattina, probabilmente. Adesso la polizia postale è nei nostri datacenter per le indagini sul caso”, aggiunge. “I defacement comunque sono un fenomeno abbastanza fisiologico su internet, se ne contano circa mille all’anno solo in Italia”.

Vero è che, negli anni, i pirati hanno colpito così siti di varie levature, anche istituzionali. Nel 2006 è capitato persino al ministero della Difesa. “Questa volta fa rumore perché si tratta di Poste e perché i pirati lanciano un’accusa in italiano”, aggiunge. Questo dettaglio in effetti è inusuale. Di solito i defacement sono neutri (semplicemente i pirati fanno vedere quanto sono bravi e scrivono in inglese); stavolta hanno voluto invece gettare fango direttamente sulla reputazione di Poste. Aspetti che potrebbero indirizzare le indagini verso i responsabili.

Fonte Repubblica.it

Nella giornata di ieri Neowin.net ha pubblicato un’importante notizia: le credenziali relative a miglia di account Hotmail sono state pubblicate per alcune ore online. Da quanto riporta Neowin.net l’elenco disponibile era relativo solo a profili con lettera iniziale a e b, ma questa circostanza potrebbe suggerire l’esistenza di un archivio ben più ricco.

Il Microsoft Security Response Center ha ricevuto prontamente notifica dell’accaduto e ha promesso di comunicare ulteriori informazioni a breve. In una prima fase venne ipotizzato un problema di sicurezza interno ai sistemi Microsoft ma tale circostanza viene negata dalla casa di Redmond.

E’ disponibile una nota ufficiale diffusa da Microsoft in cui si riconduce il problema a un classico fenomeno di Phishing. Nel documento pubblicato da Microsoft vengono anche fornite alcune indicazioni di tipo generale per cautelarsi nei confronti del phishing: oltre a molta cautela da parte dell’utente nel fornire le proprie credenziali relative a user e password viene suggerito un aggiornamento costante della password oltre ovviamente all’utilizzo di un software antivirus completo, ben configurato e aggiornato.

A questo indirizzo sono riportate anche indicazioni dedicate a chi è caduto vittima di questo problema con il proprio account Hotmail.

Fonte

Un esperto di sicurezza ha pubblicato un exploit per una recente vulnerabilità di Windows Vista. Potrebbe essere utilizzato per eseguire del codice a distanza. Microsoft sta ultimando una patch

Roma – A rendere più urgente la correzione di un recente bug di Windows relativo al protocollo di rete Server Message Block (SMB) 2 è stata la divulgazione, negli scorsi giorni, di un nuovo exploit pubblico utilizzabile per eseguire codice sui PC in cui girano Windows Vista, Windows Server 2008 e le versioni di Windows 7 precedenti alla RTM.

Ad allarmare gli esperti c’è il fatto che il nuovo exploit, scritto dal ricercatore Stephen Fewer di Harmony Security, è stato inserito in Metasploit, un toolkit open source per il penetration testing utilizzato di frequente anche per fini poco leciti.

Microsoft è a conoscenza del problema da circa un mese e sebbene non abbia ancora rilasciato una patch ha messo a disposizione degli utenti un workaround automatizzato: per applicarlo è sufficiente visitare questa pagina e cliccare sul pulsante Fix it di sinistra, il quale provvede a disattivare SMB 2. Per riattivare questo componente, preferibilmente dopo aver applicato la relativa patch (in via di sviluppo), basterà cliccare sul pulsante Fix it di destra.

La falla, relativa all’implementazione del protocollo SMB 2, è stata scoperta lo scorso mese dall’esperto di sicurezza Laurent Gaffié, il quale pubblicò anche un exploit proof of concept: tale codice era però soltanto dimostrativo, e non poteva essere utilizzato direttamente per lanciare degli attacchi. Nonostante ciò, ai ricercatori di sicurezza non è occorso molto tempo per mettere a punto i primi exploit funzionanti: fino ad oggi il loro codice è circolato però soprattutto in forma privata, e poteva essere utilizzato solo per attacchi di denial of service.

Fewer sostiene che il suo exploit può essere utilizzato anche per l’esecuzione di codice a distanza, e per installare sui PC delle vittime backdoor o malware. L’efficacia del programma è stata però messa in dubbio da Kostya Kortchinsky, ricercatore senior presso la società Immunity, il quale afferma di essere riuscito ad eseguire del codice per mezzo dell’exploit di Fewer esclusivamente all’interno di una macchina virtuale VMware: al di fuori dell’ambiente di virtualizzazione il codice di Fewer causerebbe soltanto il crash del sistema.

Microsoft dovrebbe correggere definitivamente la falla con il rilascio dei prossimi bollettini di sicurezza, previsti per il 13 ottobre.

Come si è detto, BigM ha già fornito una soluzione temporanea al problema servendosi di uno script Fix it, una forma di workaround introdotta circa sei mesi fa e, da allora, utilizzata in oltre 300 occasioni per risolvere problemi, modificare le configurazioni di Windows o proteggere gli utenti da certi virus. Microsoft afferma che in oltre il 95% dei casi il pulsante Fix it “ha completamente risolto il problema”.

Fonte Punto-Informatico

Cinque bollettini di sicurezza, tutti critici, e un advisory nel quale si conferma l’esistenza di una vulnerabilità zero-day. Salva la versione finale di Seven, problemi per le release candidate e Vista

Roma – Nella tarda serata di ieri Microsoft ha pubblicato cinque bollettini di sicurezza, tutti classificati con il massimo grado di rischio e tutti relativi a vulnerabilità che, almeno potenzialmente, potrebbero essere sfruttate da malintenzionati per eseguire del codice a distanza. BigM ha anche pubblicato un advisory in cui prende atto dell’esistenza di una vulnerabilità zero-day in Windows Vista.

Come previsto, la recente vulnerabilità zero-day nel servizio FTP di Internet Information Services rimane aperta: Microsoft sta ancora testando la relativa patch, che conta di distribuire non appena possibile out-of-band, ossia fuori dal suo tradizionale ciclo mensile. Nel frattempo il big di Redmond invita i propri utenti a consultare questo advisory, dove fornisce alcune soluzioni temporanee al problema.

Tutte le vulnerabilità descritte nei nuovi bollettini di sicurezza riguardano versioni di Windows precedenti alla 7, e sono causate da bug contenuti nel motore JScript (MS09-045), nel Wireless LAN AutoConfig Service (MS09-049), nel formato Windows Media (MS09-047), nell’implementazione del protocollo TCP/IP (MS09-048) e nel controllo ActiveX DHTML Editing Component (MS09-046).

Sul blog del Microsoft Security Response Center (MSRC) si evidenzia come le debolezze contemplate nei bollettini MS09-045, MS09-046 e MS09-047 possano essere sfruttate inducendo un utente a visitare una pagina web maligna, mentre quelle corrette nei bollettini MS09-048 e MS09-049 sono potenzialmente innescabili da attacchi diretti via rete tesi ad eseguire del codice a distanza o creare condizioni di denial of service.

Microsoft ritiene che le patch da applicare con più urgenza siano quelle relative alle vulnerabilità del motore JScript e del formato Windows Media: in entrambi i casi la probabilità che i cracker riescano a sfruttare queste falle è assai elevata. Gli scenari di attacco sono piuttosto classici: una pagina web contenente uno script maligno o un file Windows Media appositamente creato per innescare il bug ed eseguire del codice con gli stessi privilegi dell’utente locale. Le versioni di Windows interessate sono tutte quelle attualmente supportate (tranne Seven).

La seconda falla più urgente è quella legata al controllo ActiveX DHTML Editing Component, che Microsoft afferma non essere in alcun modo legata a quella dell’Active Template Library. In questo caso gli utenti a rischio sono quelli di Windows 2000, XP e Server 2003.

Il problema relativo al servizio di autoconfigurazione del Wireless riguarda invece Windows Vista e Windows Server 2008 e, sebbene potenzialmente serio, Microsoft sostiene sia piuttosto difficile da sfruttare per via delle protezioni contenute nei suoi più recenti sistemi operativi.

Delle tre vulnerabilità relative allo stack TCP/IP, una interessa Windows Vista e Windows Server 2008 e potrebbe essere sfruttata per eseguire codice in modalità remota. Le altre due falle possono essere utilizzate per lanciare attacchi di denial of service contro sistemi su cui giri Windows 2000: in questo caso Microsoft afferma che, a causa dell’architettura stessa del componente TCP/IP di Windows 2000, non è possibile risolvere il problema mediante un semplice aggiornamento. Per tale ragione BigM invita i clienti che non posso migrare ad una versione più recente di Windows Server di configurare attentamente il proprio firewall.

Il blog sulla sicurezza Threatpost spiega che le patch relative al TCP/IP appena rilasciate da Microsoft e da Cisco risolvono alcuni problemi scoperti circa un anno fa in molte implementazioni del celebre protocollo di Internet.

Microsoft ha infine aggiornato il bollettino MS09-037 relativo alla famosa e già citata vulnerabilità Active Template Library (ATL). Il motivo dell’update è da ricercare nella scoperta di una falla correlata a quella ATL e contenuta in un altro controllo ActiveX contenuto in Windows XP Media Center 2005 e in Windows Vista.

Una tabella sinottica dei bollettini di settembre è stata pubblicata qui dall’Internet Storm Center.

Security Advisory 975497
Nella giornata di ieri Microsoft ha anche pubblicato un advisory di sicurezza che conferma l’esistenza di una vulnerabilità zero-day legata al protocollo SMB 2.0 in alcune recenti versioni di Windows. A differenza di quanto riportato dallo scopritore della falla, l’esperto di sicurezza Laurent Gaffié, Microsoft afferma che il problema interessa esclusivamente Windows Vista, Windows Server 2008 e Windows 7 RC, ma non la versione finale (RTM) di Seven.

BigM ha criticato Gaffié per aver “irresponsabilmente” divulgato i dettagli della falla prima che questa venisse corretta. Sebbene il ricercatore abbia anche pubblicato un exploit proof of concept, Microsoft afferma che al momento non è al corrente di attacchi che sfruttino la debolezza.

Il problema è causato da un bug nell’implementazione del protocollo System Message Block (SMB) Version 2, che si trova esclusivamente in Vista, Seven e Server 2008. La precedente versione di SMB alla base di XP e 2000 non è vulnerabile.

The Inquirer sostiene che quello appena corretto sia lo stesso bug che Microsoft corresse anni or sono in Windows 2000 e XP, e che per qualche ragione ha poi re-intrdotto in Vista. La debolezza può essere sfruttata inviando dei pacchetti malformati verso la porta 445 di un sistema vulnerabile e innescando un cosiddetto Blue Screen of Death, ossia un errore irreversibile di sistema. Questo tipo di attacco, secondo Gaffié, funziona sia con la versione a 32 bit che con quella a 64 bit di Vista.

In attesa di rilasciare una patch, Microsoft suggerisce ai propri utenti di disattivare SMB e bloccare nel firewall le porte 139 e 445.

SMB è un protocollo di rete che consente a Windows di condividere file, directory e dispositivi. SMB2 è un aggiornamento del protocollo originale che, tra le altre cose, ottimizza la comunicazione tra client e server.

Fonte: Punto Informatico

“Rumoroso silenzio” in Internet e sit in con bavaglio

in piazza Navona a Roma (ore 19)

comunicato stampa

Per la prima volta nella storia della Rete i blog entrano in sciopero.
Accadrà domani, 14 luglio, con una giornata di rumoroso silenzio dei blog italiani contro il disegno di legge Alfano, i cui effetti sarebbero quelli di imbavagliare l’informazione in Rete.
Il cosiddetto obbligo di rettifica, pensato sessant’anni fa per la stampa, se imposto a tutti i blog (anche amatoriali) e con le pesanti sanzioni pecuniarie previste, metterebbe di fatto un silenziatore alle conversazioni on line e alla libera espressione in Internet.

Domani 14 luglio dunque, invece dei consueti post, i blog italiani metteranno on line solo il logo della protesta, con un link al manifesto per il Diritto alla Rete: http://dirittoallarete.ning.com. Sul network verrà pubblicato inoltre uno slideshow di tuti i blogger imbavagliati che hanno aderito.

L’iniziativa prevede anche un incontro-sit in piazza Navona a Roma, alle ore 19 di martedì 14 luglio, e un simbolico imbavagliamento sia dei blogger presenti sia della statua simbolo della libertà di espressione, quella del Pasquino.

Hanno aderito all’iniziativa blogger di ogni area politica (ma anche non politici) ed esponenti di diversi partiti e associazioni.

Tra gli altri: Ignazio Marino, Vincenzo Vita, Mario Adinolfi e Francesco Verducci (Pd); Antonio Di Pietro (Idv): Pietro Folena (Partito della Sinistra Europea); Amici di Beppe Grillo di Roma, Calabria e Taranto; Articolo 21; Sinistra e Libertà; Per il Bene Comune; Partito Liberale Italiano (PLI).

Hanno aderito a titolo personale anche Giuseppe Civati, Sergio Ferrentino, Massimo Mantellini, Alessandro Robecchi, Claudio Sabelli Fioretti, Ivan Scalfarotto, Luca Sofri, Marco Travaglio e Vittorio Zambardino.

Anche alcuni parlamentari della maggioranza (come Antonio Palmieri e Bruno Murgia), seppur non verranno in piazza, hanno espresso la loro contrarietà alla norma imbavaglia-Rete presente nel ddl Alfano.

Sarà in piazza Navona anche il professor Derrick de Kerckhove, guru della Rete e docente all’Università di Toronto. Verrà infine annunciata la costituzione della “Consulta permanente per il Diritto alla Rete”: avrà l’obiettivo di aprire un tavolo di confronto tra il mondo della Rete e la politica, che tenga conto della libertà di espressione e di informazione, e soprattutto delle necessità di chi la Rete la vive ogni giorno come utente e cittadino.

Alessandro Gilioli
Enzo Di Frenna
Guido Scorza

ENGLISH VERSION

On July 14, 2009, Italian bloggers will muzzle themselves in the Web as well as in Piazza Navona in Rome, at 7PM where they will meet to protest against an Italian government bill (the Alfano decree) introducing a number of new rules which will limit the freedom of expression in Italian internet. The so-called “obligation to rectify” imposed to the manager of an information site (blogs, social networks such as Facebook, Twitter etc) [....]
download english version.pdf

ECCO COSA FARE
il 14 luglio sul tuo blog

1 – pubblica sul tuo blog il logo col megafono che vedi a lato: SCARICA IL LOGO E PUBBLICALO.jpg

2 – Titolo del post: “Oggi sciopero”

3 – Pubblica la tua foto col bavaglio, se puoi.

4 – Segnala il link a “Diritto alla Rete” per le nuove adesioni

Scrivi ad esempio: “Adesione all’appello di Diritto alla Rete contro il DDl alfano che imbavaglia la Internet italiana”.

La Microsoft con il rilascio del secondo service pack (SP2) per Office 2007, adotterà nativamente il formato ODF (quello di Open Office per intendersi). Con questo aggiornamento gli utenti avranno la possibilità di impostare ODF in modo predefinito. Inizialmente, la notizia ha stupito tutti, in seguito ha sollevato un sacco di opinioni e pareri contrastanti.

Riassunto delle puntate precedenti

Per chi non fosse del settore riassumo velocenmente cosa è successo in questi ultimi anni.

I positivisti

Molte sono le persone entusiaste di questa notizia perché vedono in questa novità diversi lati positivi:

I Dubbiosi

Questa svolta inaspettata fa pensare, persone che lavorano nel settore pensano che visti i precedenti della Microsoft con i formati aperti bisgogna dubitare. In effetti qualche precedente c’è, ad esempio lo stravolgimento dell’HTML a partire dal ’96/98 quando Internet Explorer è divenuto il browser più utilizzato (chiunque voglia approfondire può leggere questo articolo di Wikipedia).

Alcuni sospettano, dopo le dichiarazioni di microsoft che ODF non sarà supportato con tutte le sue funzionalità, che si voglia far fare un confronto tra i due formati in modo che l’utente scelga OOXML.

Jason Matusow, director of corporate standards di Microsoft, e Doug Mahugh, senior product manager per OOXML, hanno fornito maggiori dettagli sull’implementazione di ODF in questa intervista apparsa su BetaNews. Mahugh ha spiegato che non tutte le funzionalità fornite da Office 2007 sono supportate da ODF: tra queste, ad esempio, gli oggetti SmartArt, la formattazione condizionale e alcuni tipi di grafico di Excel. Per aggirare questo ostacolo, che è poi il problema più rilevante nella conversione tra differenti formati di documento, Microsoft farà in modo che, al momento del salvataggio in ODF, l’utente venga avvisato di eventuali elementi che potrebbero essere persi o non correttamente convertiti.

Secondo alcuni, questo supporto parziale convincerà gli utenti che ODF è un formato inferiore ad OOXML facendo scegliere per il secondo. Il supporto parziale potrebbe far visualizzare in modo differente i documenti costruiti con Office con le altre suite. Molti sono convinti che questa è una strategia della Microsoft per consolidare la sua posizione di monopolista e ostacolare la crescita della concorrenza.

Conclusioni

Che la Microsoft sia in calo è un dato certo (un pò meno in Italia). La decisione di adottare ODF nativamente è il minimo da fare per non rimanere fuori dal mercato, visto che, sotto la pressione dei sostenitori delle libertà digitali, le Pubbliche Amministrazioni stanno puntanto sui formati aperti. E’ successo in Inghilterra che le scuole del regno hanno rifiutato Microsoft perché non forniva formati standard e aperti, ci sarebbe stata un’intera generazione cresciuta con OpenOffice, eventualità disastrosa per Microsoft perché successivamente l’utilizzo di OpenOffice si sarebbe trasferito anche all’ambito lavorativo.

Questa è una scelta per rimanere a galla e non perdere posizioni. Starà a noi e agli organi antitrust vigilare in modo che la Microsoft non si ripeta come è successo in passato.

Riporto una lettera inviata dal presidente dell’associazione IWA-Italy a Punto Informatico riguardo all’articolo sulla legge Stanca pubblicato alcuni giorni fà. Roma – Caro Direttore, sono a scrivere questa lettera come presidente dell’associazione IWA Italy, l’associazione degli sviluppatori esperti di accessibilità riconosciuta come tale dal CNIPA in relazione alla legge 4/2004. Come ben sa sono uno degli autori della legge 4/2004 e dei requisiti tecnici della suddetta legge e spesso mi capita di leggere discussioni in cui la normativa (ma soprattutto il decreto ministeriale contenente i requisiti tecnici) viene – forse per mancata conoscenza dell’argomento – indebitamente criticata.

Riguardo all’adeguamento normativo italiano, ricordando che siamo legati all’art. 12 della legge 4/2004:

1.Il regolamento di cui all’articolo 10 e il decreto di cui all’articolo 11 sono emanati osservando le linee guida indicate nelle comunicazioni, nelle raccomandazioni e nelle direttive sull’accessibilità dell’Unione europea, nonché nelle normative internazionalmente riconosciute e tenendo conto degli indirizzi forniti dagli organismi pubblici e privati, anche internazionali, operanti nel settore.
2.Il decreto di cui all’articolo 11 è periodicamente aggiornato, con la medesima procedura, per il tempestivo recepimento delle modifiche delle normative di cui al comma 1 e delle innovazioni tecnologiche nel frattempo intervenute.

4.1.2. Nome, ruolo, valore. Per tutti i componenti presenti nell’interfaccia utente come: il nome, il ruolo, gli stati, le proprietà e i valori di programmazione possono essere determinati programmaticamente mentre gli stati, le proprietà, ed i valori che anche l’utente è in grado di impostare, possono anche essere stabiliti in modo programmatico. Qualsiasi notifica delle modifiche a questi elementi è disponibile ai programmi utente, tra cui le tecnologie assistive.

Roberto Scano
Presidente IWA ITALY

Fonte Punto-Informatico.

Non ci sono mezzi termini per descrivere i risultati dell’analisi del CNIPA sui progressi delle presenze web della pubblica amministrazione: i disabili non sono considerati, gli strumenti che utilizzano per accedere ad Internet, ai contenuti e ai servizi non sono presi in considerazione, le loro necessità sono semplicemente dimenticate dalla PA online.Il CNIPA, il braccio informatico del Governo, ha condotto una rilevazione sulla presenza web delle amministrazioni pubbliche riscontrando, a molti anni dalla Legge Stanca sull’accessibilità dei siti web pubblici, che solo il 3 per cento dispone di siti web accessibili.

Sono passati quattro anni dal varo della Legge Stanca, ha sottolineato De Vanna, e “a circa tre anni dalla sua entrata in vigore non sono ancora soddisfacenti i risultati raggiunti su questo fronte dalla Pubblica Amministrazione Centrale e da quella Locale”.

La norma è in sé promossa a pieni voti, ha spiegato l’esperto del CNIPA, evidenziando come sia stata presa a modello a livello europeo. Il problema sta tutto nella lentezza del processo di attuazione ma anche nel mancato ricorso alle sanzioni: come a dire che molti siti delle PA violano la norma ma questo non ha conseguenze. Questi elementi, uniti alla “necessità di presidiare l’innovazione tecnologica e l’evoluzione del concetto di categoria svantaggiata – ha continuato De Vanna – ci spingono a riflettere su nuove azioni normative, culturali ed organizzative che diano nuovo slancio all’adeguamento da parte della Pubblica amministrazione e che consentano di raggiungere l’obiettivo fissato dalla Conferenza Ministeriale di Riga, ovvero la piena conformità di tutti i siti della Pubblica amministrazione entro il 2010″.

Il tempo non abbonda ma, secondo De Vanna, con un “maggior coinvolgimento della classe dirigente responsabile dei Sistemi Informatici, della Comunicazione e dell’Accessibilità” è possibile portare a casa il risultato. Per ora rimane il fatto che i molti servizi online della PA, pur tempestati dal ricorso ossessivo a piattaforme proprietarie e talvolta criticati perché scarsamente funzionati ed utili, sono accessibili perlopiù alla sola popolazione abile. Sul sito del CNIPA una sezione dedicata può consentire a tutte le amministrazioni, centrali e locali, di riscattare il proprio clamoroso ritardo, offrendo le linee guida per mettere in atto le misure necessarie a trasformare le proprie presenze su web. Altre info e riferimenti, oltreché sui numerosi siti di settore, si trovano su publiaccesso.gov.it.

(fonte immagine)

Fonte Punto-Informatico

Di Cofee si sa poco e nulla. E’ certo che questo insieme di tools sia stato sviluppato da Anthony Fung un investigatore di Hong Kong, ed è altrettanto noto che si tratta di un tema caldo per gli esperti di sicurezza informatica. La stessa Microsoft ha convocato il suoi dirigenti per discutere di questo progetto. In concreto Cofee è uno strumento eseguibile da chiavetta USB in grado di superare le restrizioni di accesso di Windows e consentire in chiaro la lettura delle informazioni presenti in un computer, dai dati cifrati, alla cronologia, alle password. Proprio per queste caratteristiche il software sarebbe già in dotazione a 2000 funzionari di polizia in 15 paesi che lo utilizzano come potente strumento investigativo.

La Microsoft successivamente ha assunto il programmatore cinese inglobando il progetto. Attualmente lo promuove presso le strutture di difesa di diversi paesi nel mondo.

Questo ha sollevato un una montagna di polemiche nella rete. In quanto confermerebbe una delle tesi che alcuni sostengono da svariati anni, ovvero, la presenza di una backdoor privata all’interno del codice di Windows. La conferma di un’eventuale backdoor privata della Microsoft all’interno del codice di Windows ha sollevato un sacco di polemiche e scenari (alcuni fanta-informatici) molto interessanti:

• Un programmatore senza scrupoli potrebbe costruire un tool simile a quello costruito dal programmatore cinese;
• Una persona senza scrupoli, in possesso di questo tool, lo potrebbe usare per violare la privacy di un qualsiasi utente Windows;
• Una persona senza scrupoli potrebbe usare il tool per lanciare attacchi informatici dal computer del primo che gli viene sotto tiro con conseguenti guai legali per il povero malcapitato (BotNet);
• Qualsiasi persona in possesso del tool potrebbe controllare (spiare) un’altra…
• ecc…

Per approfondire l’argomento si possono leggere questi articoli che ho trovato in giro per la rete:

• Punto-Informatico;
• AzPoint;
• Hi-TechLife;

Ciao, Arturu.it
Ps. Prossimamente cercherò altre informazioni e vi farò sapere…