Sono passati solo alcuni giorni dal rilascio di Firefox 3.5.1, ma la nuova versione del browser è incappata nuovamente in una vulnerabilità critica. Lo ha confermato il SANS e un alert di IBM ISS X-Force. Questa volta si tratta di un exploit che inchioda il browser e può “piantare” l’intero sistema operativo su cui gira Firefox.

Ho provato il proof-of-concept e posso dire che su Vista, il sistema dove ho testato l’exploit, i risultati sono “pessimi”. Visualizzando una pagina web con all’interno l’exploit code, Firefox 3.5.1 non risponde ed è davvero difficile riuscire a uccidere il processo dato che l’intero sistema risulta “inchiodato”.

Trattandosi di una vulnerabilità che riguarda JavaScript, uno dei rimedi efficaci per mettere al sicuro Firefox 3.5.1 è utilizzare NoScript, in attesa di una patch correttiva da parte di Mozilla.

Grazie al sempre ottimo Richard Bejtlich ho scoperto lo script NSMnow, che permette in pochi minuti di mettere in piedi un server adatto al network security monitoring. Lo script non fa altro (si fa per dire) che automatizzare l’installazione e la configurazione di tutto il necessario per il funzionamento di Sguil:
MySQL, Apache, Sguil (server e client), Snort, tcl, wireshark, p0f, tcpflow, tcpdump etc.

Personalmente ho effettuato un’installazione base di Ubuntu 8.10 in VirtualBox utilizzando la versione “alternate” di Ubuntu. All’avvio del CD di Ubuntu ho selezionato “F4″ e “Installa un sistema a riga di comando” per avere un sistema privo di interfaccia grafica. Terminata l’installazione mi sono loggato con il mio utente sul sistema e ho scaricato il pacchetto contentente lo script NSMnow:

$mkdir nsm
$cd nsm
$wget http://www.securixlive.com/download/nsmnow/NSMnow-1.1.1.tar.gz

Continua a leggere il post »

In Vista Home Premium non sono presenti degli strumenti molto utili a impostare policy di sicurezza per il sistema: secpol.msc e gpedit.msc. Molte delle impostazioni permesse dai due tool sono possibili andando a modificare il registro di sistema con regedit ma non è un metodo molto veloce e soprattutto bisogna sapere bene cosa si fa, pena il malfunzionamento del sistema.

Ecco perché possono essere utili due tool freeware che permettano di avere un controllo avanzato della sicurezza del sistema: Ultimate Windows Tweaker e polsedit. Il primo è un programma in grado di cambiare a proprio piacimento molti settaggi di Vista (un po’ come avviene con programmi tipo TweakVI) ma a differenza di molti tweaker è un singolo eseguibile che non necessita installazione, ha un’interfaccia davvero semplice e consente un hardening di Vista efficace.

Nella sezione “Security” di Ultimate Windows Tweaker si può intervenire su molti parametri: è possibile disabilitare regedit, il Pannello di Controllo, il prompt dei comandi, il task manager, si possono disabilitare moltissime applicazioni (es. Windows Mail o Windows Firewall) ed disattivare gli aggiornamenti di sistema.

Per quanto riguarda invece polsedit si tratta anche in questo caso di un singolo eseguibile che offre un’interfaccia molto simile a secpol e un grado di security hardening avanzato. Selezionando “User Right Assignment” è possibile intervenire sui permessi utente. Per ogni azione si possono definire utenti o gruppi abilitati a compiere quello specifico task.

Insomma due freeware davvero molto utili, inoltre Ultimate Windows Tweaker può essere apprezzato oltre che per le funzioni di sicurezza anche per le moltissime personalizzazioni applicabili a Vista.

Da ieri mi sono accorto che Google ha inserito nella blacklist dei siti pericolosi ubuntu-tweak.com. Se provate a cercare “ubuntu tweak” i risultati nella SERP riportano accanto al sito ufficiale la seguente frase: “Questo sito potrebbe arrecare danni al tuo computer“.

Se poi si prova ad andare comunque sul sito utilizzando Firefox compare una schermata minacciosa che avverte: “Avviso- se visiti questo sito il tuo computer potrebbe subire danni”. Nella pagina di diagnostica di Google per ubuntu-tweak.com si leggono le motivazioni:

Delle 139 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 2 pagine hanno causato il download e l’installazione di software dannosi senza l’autorizzazione dell’utente. L’ultima volta in cui Google ha visitato questo sito è stato il 2008-10-24, mentre l’ultima volta in cui sono stati rilevati contenuti sospetti su questo sito è stato il 2008-10-24. I software dannosi includono: 3 worm(s), 1 exploit(s). Infezione riuscita causando una media di 7 nuovi processi nel computer di destinazione. Il software dannoso è presente in 2 domini, tra cui fql10.cn, sgl10.cn. 1 domini sembrano operare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra questi itsun.com.

Evidentemente gli annunci adsense che vengono visualizzati sul sito devono essere stati “infettati” comunque il tool risulta pulito. Speriamo Google rimuova presto l’avviso che rischia di allontanare molti utenti da Ubuntu Tweak, uno tra gli strumenti più utili per personalizzare Ubuntu e non solo. In ogni caso scaricandolo da Google Code non ci sono problemi.

Sono capitato per caso sul sito di MobaTek dopo aver letto un post su Lifehacker e dopo aver dato un’occhiata a MobaLiveCD mi sono soffermato su un tool forse ancora più interessante per uno smanettone come me: MobaSSH. Si tratta di un server SSH installabile su Windows e facilmente configurabile.

Grazie a un one-click-installer è subito operativo e permette una gestione remota con SSH di una macchina Windows. Oltre ai comandi più comuni come scp, wget, tar, ping in MobaSSH ne sono stati implementati altri molto utili come ad esempio MobaSwInfo, per avere una lista dei programmi installati sull’host remoto, o MobaHwInfo, per avere sott’occhio le specifiche hardware della macchina. Interessanti anche i comandi MobaTaskList / MobaKillTask per avere rispettivamente una lista dei task in esecuzione e per arrestarli.

MobaSSH si installa come servizio e come tale può essere gestito sia da services.msc (la gestione servizi in Windows) sia dall’eseguibile del programma. Dalle prime prove effettuate mi sembra un buon programma, potente ma allo stesso tempo semplice da usare e configurare.

Al di là dei vari “about:” digitabili nella barra degli indirizzi di Google Chrome (about:plugins, about:dns, about:stats e così via) il browser di Mountain View ha anche un’altra piccola “chicca”.

Provate a digitare “:%” (senza virgolette) nella barra degli indirizzi e scoprirete come è facile far andare in crash Chrome. Spiegazioni e proof-of-concept dell’URL handler crash in chrome.dll su SecuriTeam Blog e EvilFingers. Occhio alle URL che digitate e cliccate

Anche se non mi sono mai piaciuti i prodotti software di F-Secure (imho troppo pesanti) penso che con il rilascio di F-Secure Rescue CD 3.00, la software house abbia dato alla luce un buon tool. Si tratta di una distribuzione Linux basata su Knoppix (la mia LiveCD preferita da sempre) che permette di ripulire da virus e malware un sistema operativo Windows.

F-Secure Rescue CD è in grado di scansionare volumi FAT32 e NTFS rinominando i file infetti con l’estensione .virus, inoltre è dotata di un sistema di aggiornamento delle definizioni online oppure attraverso pendrive USB.

La LiveCD è scaricabile sotto forma di ISO contenuta in un file .zip del peso di appena 153MB e penso abbia le potenzialità per diventare un ottimo tool per disinfettare sistemi Windows. Da aggiungere alla propria cassetta degli attrezzi!