bufferOverflow

Cercando di riprodurre un “presunto” bug nel mail client dell’iPhone (che per ora si è rivelato non funzionante) ho avuto la necessità di modificare l’HTML di una mail scritta con Thunderbird. La modifica dell’HTML è permessa nel mail client di Mozilla solo per il tag <body>, cioè per il corpo del messaggio: basta creare una nuova mail e cliccare su “Inserisci\HTML” per poter inserire qualsiasi tag HTML nel testo del messaggio.

Nel mio caso avevo necessità di modificare il contenuto del tag <head> per poter inserire un meta refresh che puntasse a un file di testo.

Continua a leggere il post »

Purtroppo esiste sempre qualche script kiddie che giocherella con fastidiosi alert in JavaScript, nel peggiore dei casi creando un loop infinito di alert. In Firefox esiste un bug mai corretto riguardante proprio queste fastidiose finestrelle: se si incappa in una pagina che genera un loop infinito di alert l’unica cosa che si può fare è terminare il processo del browser.

Continua a leggere il post »

Da qualche giorno sto facendo delle prove, alla portata di tutti, su alcuni tra i blog tecnici più noti nella blogosfera italiana, il mio obiettivo è stato quello di capire quanta attenzione alla sicurezza del proprio blog ci sia. Mi sono concentrato in particolare sui blog che utilizzano WordPress, e mi è bastato controllare due cose che possono costituire un punto debole sfruttabile da un eventuale attaccante: la presenza del numero di versione di WP e l’accesso non protetto alla pagina di login all’area amministrativa.

Le linee guida pubblicate sulle pagine ufficiali del Codex parlano chiaro in termini di “Hardening di WordPress“, eppure sono puntualmente disattese dai blogger per quanto riguarda i due aspetti che ho preso in esame.

Nessuno dei blog presi in esame rimuove il numero di versione “<meta name=”generator” content=”WordPress 2.X” />”, la cancellazione del numero di versione è un espediente non decisivo per evitare attacchi inferti da cracker esperti ma di sicuro un buon metodo per disorientare “script kiddies” che scarichino ed eseguano exploit, trovando la strada spianata nell’individuazione della versione del bersaglio. In alcuni casi poi, cosa forse ancor più grave, le versioni di WordPress non sono neppure aggiornate…

La seconda carenza in termini di sicurezza, questa volta molto più seria, è la mancanza di un .htaccess nell’area amministrativa (“wp-admin”). In questo caso si lascia la pagina di login “scoperta” e direttamente accessibile ad attacchi di tipo brute force (molto frequenti negli ultimi tempi). Anche in questo caso, i blog presi in esame ignorano la possibilità di un .htaccess a protezione.

Continua a leggere il post »

Sono passati solo alcuni giorni dal rilascio di Firefox 3.5.1, ma la nuova versione del browser è incappata nuovamente in una vulnerabilità critica. Lo ha confermato il SANS e un alert di IBM ISS X-Force. Questa volta si tratta di un exploit che inchioda il browser e può “piantare” l’intero sistema operativo su cui gira Firefox.

Ho provato il proof-of-concept e posso dire che su Vista, il sistema dove ho testato l’exploit, i risultati sono “pessimi”. Visualizzando una pagina web con all’interno l’exploit code, Firefox 3.5.1 non risponde ed è davvero difficile riuscire a uccidere il processo dato che l’intero sistema risulta “inchiodato”.

Trattandosi di una vulnerabilità che riguarda JavaScript, uno dei rimedi efficaci per mettere al sicuro Firefox 3.5.1 è utilizzare NoScript, in attesa di una patch correttiva da parte di Mozilla.

Grazie al sempre ottimo Richard Bejtlich ho scoperto lo script NSMnow, che permette in pochi minuti di mettere in piedi un server adatto al network security monitoring. Lo script non fa altro (si fa per dire) che automatizzare l’installazione e la configurazione di tutto il necessario per il funzionamento di Sguil:
MySQL, Apache, Sguil (server e client), Snort, tcl, wireshark, p0f, tcpflow, tcpdump etc.

Personalmente ho effettuato un’installazione base di Ubuntu 8.10 in VirtualBox utilizzando la versione “alternate” di Ubuntu. All’avvio del CD di Ubuntu ho selezionato “F4″ e “Installa un sistema a riga di comando” per avere un sistema privo di interfaccia grafica. Terminata l’installazione mi sono loggato con il mio utente sul sistema e ho scaricato il pacchetto contentente lo script NSMnow:

$mkdir nsm
$cd nsm
$wget http://www.securixlive.com/download/nsmnow/NSMnow-1.1.1.tar.gz

Continua a leggere il post »

In Vista Home Premium non sono presenti degli strumenti molto utili a impostare policy di sicurezza per il sistema: secpol.msc e gpedit.msc. Molte delle impostazioni permesse dai due tool sono possibili andando a modificare il registro di sistema con regedit ma non è un metodo molto veloce e soprattutto bisogna sapere bene cosa si fa, pena il malfunzionamento del sistema.

Ecco perché possono essere utili due tool freeware che permettano di avere un controllo avanzato della sicurezza del sistema: Ultimate Windows Tweaker e polsedit. Il primo è un programma in grado di cambiare a proprio piacimento molti settaggi di Vista (un po’ come avviene con programmi tipo TweakVI) ma a differenza di molti tweaker è un singolo eseguibile che non necessita installazione, ha un’interfaccia davvero semplice e consente un hardening di Vista efficace.

Nella sezione “Security” di Ultimate Windows Tweaker si può intervenire su molti parametri: è possibile disabilitare regedit, il Pannello di Controllo, il prompt dei comandi, il task manager, si possono disabilitare moltissime applicazioni (es. Windows Mail o Windows Firewall) ed disattivare gli aggiornamenti di sistema.

Per quanto riguarda invece polsedit si tratta anche in questo caso di un singolo eseguibile che offre un’interfaccia molto simile a secpol e un grado di security hardening avanzato. Selezionando “User Right Assignment” è possibile intervenire sui permessi utente. Per ogni azione si possono definire utenti o gruppi abilitati a compiere quello specifico task.

Insomma due freeware davvero molto utili, inoltre Ultimate Windows Tweaker può essere apprezzato oltre che per le funzioni di sicurezza anche per le moltissime personalizzazioni applicabili a Vista.

Da ieri mi sono accorto che Google ha inserito nella blacklist dei siti pericolosi ubuntu-tweak.com. Se provate a cercare “ubuntu tweak” i risultati nella SERP riportano accanto al sito ufficiale la seguente frase: “Questo sito potrebbe arrecare danni al tuo computer“.

Se poi si prova ad andare comunque sul sito utilizzando Firefox compare una schermata minacciosa che avverte: “Avviso- se visiti questo sito il tuo computer potrebbe subire danni”. Nella pagina di diagnostica di Google per ubuntu-tweak.com si leggono le motivazioni:

Delle 139 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 2 pagine hanno causato il download e l’installazione di software dannosi senza l’autorizzazione dell’utente. L’ultima volta in cui Google ha visitato questo sito è stato il 2008-10-24, mentre l’ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2008-10-24. I software dannosi includono: 3 worm(s), 1 exploit(s). Infezione riuscita causando una media di 7 nuovi processi nel computer di destinazione. Il software dannoso è presente in 2 domini, tra cui fql10.cn, sgl10.cn. 1 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi itsun.com.

Evidentemente gli annunci adsense che vengono visualizzati sul sito devono essere stati “infettati” comunque il tool risulta pulito. Speriamo Google rimuova presto l’avviso che rischia di allontanare molti utenti da Ubuntu Tweak, uno tra gli strumenti più utili per personalizzare Ubuntu e non solo. In ogni caso scaricandolo da Google Code non ci sono problemi.