Nuova release per il kernel Linux la 2.6.31

Novembre 13th, 2009 glycerin

 Powered by Max Banner Ads 

Anche questa notizia non è delle più recenti ma mi preme mantenere una traccia sul mio blog per due aspetti importanti che riguardano il framework netfilter e il controllo di alterazioni su filesystem.
La parte di netfilter è l’introduzione del “passive OS fingerprinting” ovvero il riconoscimento passivo -parziale-  del Sistema Operativo col quale il pacchetto è stato originato. Questo permette come vantaggio il poter scatenare azioni o reazioni in dipendenza del sistema operativo.
L’articolo dal quale ho preso spunto della notizia riporta alcuni link utili all’argomento:

• http://www.ioremap.net/projects/osf
• http://lwn.net/Articles/336921/

Come riportato nell’articolo di lwn questa feature è presente da tempo in OpenBSD.
Il termine passivo è inerente alla metodologia di detection che viene già utilizzata da p0f ovvero utilizzare i diversi dettagli con cui i pacchetti vengono originati per risalire al sistema operativo. Diversamente da nmap che usa una metodologia attiva ovvero compie delle vere e proprie richieste per avere queste info. Infatti tutti gli IDS sono capaci di individuare i tentativi di nmap sulla rete.

Sul sito web di Evgeniy Polyakov vi è l’esempio di un syslog con l’aggiunta di questa feature che è del seguente tipo:

Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -> 11.22.33.44:139 hops=3
Linux [2.5-2.6:] : 1.2.3.4:42624 -> 1.2.3.5:22 hops=4

Per la parte inerente il controllo di alterazioni sul filesystem la feature degna di nota è la Fsnotify che va a sostituire Dnotify e Inotify e può essere utilizzata per monitorare cambiamenti sul filesystem come creazione, modifica e cancellazione di file. Lo scopo è di permettere ad esempio la scansione di file su filesystem con strumenti rigorosamente del tipo userspace prima che questi provochino dei danni come ad esempio alla ricerca di virus o worm.

Per ulteriori dettagli per queste come di altre feature della nuova release rimando al link.

Fonte notizia: http://www.h-online.com/open/features/The-Next-Round-The-new-features-of-Linux-2-6-31-746619.html

Posted in Linux, News, PF_RING, Security | No Comments »

Vulnerabilità nel protocollo SSL/TLS

Novembre 13th, 2009 glycerin

Anche se la notizia è un pò datata mi preme mantenere una traccia sul mio blog perchè in passato mi son dovuto occupare di un progetto nel quale l’accesso in un’area riservata veniva controllato mediante richiesta di certificati lato client. E questa casistica rientra ..direi…

Stando al rapporto la vulnerabilità viene fuori ogni volta che per accedere ad un’area riservata di un server viene fatta una rinegoziazione tra server e client all’interno di una sessione già in essere. La rinegoziazione parte col richiedere il certificato lato client per trustare la parte client. La richiesta originaria viene replicata una volta autenticata mediante il certificato lato client;  il problema è stato descritto come un “authentication gap”. In pratica il metodo permette un attacco del tipo MITM, ovvero un attaccante può intromettersi nella comunicazione e contemporaneamente spacciarsi come server per il client e come client per il server.
Maggiori particolari di un possibile attacco nell’articolo allegato.
Il problema affligge sia Microsoft IIS che il web server Apache. Una veloce patch è stata implementata da Ben Laurie ma questa molto semplicemente ferma la rinegoziazione, quindi non risolve il problema. Una soluzione di lunga durata è ancora in discussione col gruppo di lavoro dell’IETF che sta lavorando su di una bozza che dovrebbe contenere una soluzione.

Fonte notizia: http://www.h-online.com/security/news/item/Vulnerability-in-SSL-TLS-protocol-851478.html

Posted in Linux, News, Security | No Comments »