L’attacco della cameriera malvagia o “evil maid attack” come si dice in gergo

novembre 16th, 2009 glycerin

La prima parte del titolo di questo post è preso direttamente dal titolo utilizzato dalla redazione di Linux & C. e spero non me ne vogliano. Posto sia il loro link che quello originale che è in pratica il lavoro di Joanna Rutkowska Founder e CEO della “Invisible Things Lab“.
In soldoni descrive la tecnica, mediante l’utilizzo di una chiave USB col quale far bootare il portatile preso di mira, per ottenere la passphrase di Truecrypt, utilizzato per cifrare il disco o parte di esso. La tecnica per come si vedrà è basata su due tempi d’azione. La prima azione consiste nell’infettare il laptop mediante il tool presente sulla chiavina e, successivamente, andare ad estrarre la passphrase che l’utente ignaro ha digitato precedentemente.

Di seguito i link all’articolo di Linux & C. che descrive l’attacco e l’articolo originario della Joanna Rutkowska. Il motivo per cui ho aggiunto questo post, oltre che per averne una traccia che possa poi successivamente ritrovare, per la simpatia che mi ispira il nome dell’attacco.

Fonte notizia:

• http://www.oltrelinux.com/2009/10/26/lattacco-della-cameriera-malvagia/
• http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html

Posted in Linux, News, Security | 2 Comments »

Aggiornamento di WordPress alla 2.8.6

novembre 14th, 2009 glycerin

Sono state fixate due vulnerabilità con il rilascio della nuova release di WordPress, la 2.8.6.
L’update è particolarmente importante per quelle installazioni che permettono, a utenti non trustati, di uploadare contenuti o immagini. Uno dei bug consente la injection e la successiva execute di codice PHP arbitrario sul server. In pratica viene by-passato il meccanismo di sanitizing per evitare l’upload di codice php mascherandolo al seguente modo “vuln.php.jpg” per poi richiamarlo via HTTP facendo una richiesta diretta alla pagina http://vulnerable-wp/wp-content/uploads/2009/14/test-vuln.php.jpg.

Comunque il meccanismo non funziona su tutti i server, è stato notato che sulle configurazioni standard di Apache la richiesta non viene soddisfatta. Solo sui server che hanno installato  cPanel and WebHost Manager (WHM) vi sono le condizioni per la riuscita dell’attacco.

Il secondo fixing riguarda una vulnerabilità del tipo XSS.

Fonte notizia:

• http://www.h-online.com/security/news/item/WordPress-2-8-6-prevents-malicious-code-from-being-uploaded-859597.html
• http://wordpress.org/development/2009/11/wordpress-2-8-6-security-release/

Posted in News, Security | No Comments »

Nuova release per il kernel Linux la 2.6.31

novembre 13th, 2009 glycerin

Anche questa notizia non è delle più recenti ma mi preme mantenere una traccia sul mio blog per due aspetti importanti che riguardano il framework netfilter e il controllo di alterazioni su filesystem.
La parte di netfilter è l’introduzione del “passive OS fingerprinting” ovvero il riconoscimento passivo -parziale-  del Sistema Operativo col quale il pacchetto è stato originato. Questo permette come vantaggio il poter scatenare azioni o reazioni in dipendenza del sistema operativo.
L’articolo dal quale ho preso spunto della notizia riporta alcuni link utili all’argomento:

• http://www.ioremap.net/projects/osf
• http://lwn.net/Articles/336921/

Come riportato nell’articolo di lwn questa feature è presente da tempo in OpenBSD.
Il termine passivo è inerente alla metodologia di detection che viene già utilizzata da p0f ovvero utilizzare i diversi dettagli con cui i pacchetti vengono originati per risalire al sistema operativo. Diversamente da nmap che usa una metodologia attiva ovvero compie delle vere e proprie richieste per avere queste info. Infatti tutti gli IDS sono capaci di individuare i tentativi di nmap sulla rete.

Sul sito web di Evgeniy Polyakov vi è l’esempio di un syslog con l’aggiunta di questa feature che è del seguente tipo:

Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -> 11.22.33.44:139 hops=3
Linux [2.5-2.6:] : 1.2.3.4:42624 -> 1.2.3.5:22 hops=4

Per la parte inerente il controllo di alterazioni sul filesystem la feature degna di nota è la Fsnotify che va a sostituire Dnotify e Inotify e può essere utilizzata per monitorare cambiamenti sul filesystem come creazione, modifica e cancellazione di file. Lo scopo è di permettere ad esempio la scansione di file su filesystem con strumenti rigorosamente del tipo userspace prima che questi provochino dei danni come ad esempio alla ricerca di virus o worm.

Per ulteriori dettagli per queste come di altre feature della nuova release rimando al link.

Fonte notizia: http://www.h-online.com/open/features/The-Next-Round-The-new-features-of-Linux-2-6-31-746619.html

Posted in Linux, News, PF_RING, Security | No Comments »

Vulnerabilità nel protocollo SSL/TLS

novembre 13th, 2009 glycerin

Anche se la notizia è un pò datata mi preme mantenere una traccia sul mio blog perchè in passato mi son dovuto occupare di un progetto nel quale l’accesso in un’area riservata veniva controllato mediante richiesta di certificati lato client. E questa casistica rientra ..direi…

Stando al rapporto la vulnerabilità viene fuori ogni volta che per accedere ad un’area riservata di un server viene fatta una rinegoziazione tra server e client all’interno di una sessione già in essere. La rinegoziazione parte col richiedere il certificato lato client per trustare la parte client. La richiesta originaria viene replicata una volta autenticata mediante il certificato lato client;  il problema è stato descritto come un “authentication gap”. In pratica il metodo permette un attacco del tipo MITM, ovvero un attaccante può intromettersi nella comunicazione e contemporaneamente spacciarsi come server per il client e come client per il server.
Maggiori particolari di un possibile attacco nell’articolo allegato.
Il problema affligge sia Microsoft IIS che il web server Apache. Una veloce patch è stata implementata da Ben Laurie ma questa molto semplicemente ferma la rinegoziazione, quindi non risolve il problema. Una soluzione di lunga durata è ancora in discussione col gruppo di lavoro dell’IETF che sta lavorando su di una bozza che dovrebbe contenere una soluzione.

Fonte notizia: http://www.h-online.com/security/news/item/Vulnerability-in-SSL-TLS-protocol-851478.html

Posted in Linux, News, Security | No Comments »

Buco di sicurezza nel kernel Linux consente di ottenere i privilegi di root

novembre 5th, 2009 glycerin

Un “null pointer dereference” nel kernel Linux può essere utilizzato, mediante un exploit, per ottenere i privilegi di root in un sistema. Questo buco di sicurezza verrà fixato con la release candidate 6 della prossima release 2.6.32.
Come per altri “null pointer dereference” questa vulnerabilità può essere utilizzata se la variabile di sistema del kernel Linux mmap_min_addr viene settata a 0. Se questo valore è maggiore di 0, l’exploit non ha efficacia. Ma in ogni caso può causare malfunzionamenti in alcune applicazioni quali Wine e DOSEMU. Il team di sviluppo Debian ha pubblicato la seguente guida per poter rimediare alla vulnerabilità: http://wiki.debian.org/mmap_min_addr.
Dietro a questa vulnerabilità si nasconde anche una diatriba tra lo sviluppatore Earl Chew e lo sviluppatore Brad Spengler responabile del team di sviluppo del progetto grsecurity. I dettagli della diatriba nell’articolo di riferimento.

Fonte notizia: http://www.h-online.com/security/news/item/Hole-in-the-Linux-kernel-allows-root-access-850016.html

Posted in Debian, Linux, News, Security | 2 Comments »

Cauzioni nell’utilizzo del system tool ldd

novembre 4th, 2009 glycerin

Peteris Krumins nel suo blog mette alla luce un probabile problema di sicurezza quando viene utilizzato il tool ldd per ottenere delle info circa le librerie dinamiche richiamate dall’eseguibile di nostro interesse. Nel fare questo viene settata la variabile d’ambiente LD_TRACE_LOADED_OBJECTS che sostanzialmente dice al loader di non eseguire il programma. Se invece si modifica il programma in questione per far sì che il suo comportamento non sia più quello di default cosa potrebbe succedere?
Maggiori particolari sono riportati sul blog di Peteris Krumin: http://www.catonmat.net/blog/ldd-arbitrary-code-execution/

Fonte notizia: http://www.h-online.com/security/news/item/Caution-advised-when-using-the-ldd-system-tool-842734.html

Posted in Linux, News, Security | No Comments »

Wireshark per Windows 7

novembre 4th, 2009 glycerin

Il team di sviluppo di Wireshark ha annunciato il rilascio di tre nuove versioni di Wireshark. Il grande cambiamento nella versione 1.2.3 è l’utilizzo della versione 4.1.1 delle WinPcap rendendolo compatibile con Windows 7. Vengono inoltre fissati alcuni bug che causavano un crash dell’applicazione e che erano stati classificati come security-related.

Fonte notizia: http://www.h-online.com/security/news/item/Wireshark-for-Windows-7-843872.html

Posted in News, Security | No Comments »

20 Linux Server Hardening Security Tips

novembre 2nd, 2009 glycerin

Utile elenco di consigli da seguire per blindare la propria linux-machine. Questo how-to aiuta a non dimenticare quelle semplici raccomandazioni da seguire per far sì che la propria linux-machine non sia esposta a possibili attacchi noti.

Link: http://www.cyberciti.biz/tips/linux-security.html

Posted in Debian, Linux, News, Security | No Comments »

Disponibile la nuova edizione di (IN)SECURE Magazine … la 22

settembre 4th, 2009 glycerin

Ecco un veloce elenco degli articoli:

– Using real-time events to drive your network scans
- Review: Data Locker
- The Nmap project: Open source with style
- Enterprise effectiveness of digital certificates: Are they ready for prime-time?
- A look at geolocation, URL shortening and top Twitter threats
- How “fake stuff” can make you more secure
- Making clouds secure
- Q&A: Dr. Herbert Thompson on security ROI and RSA Conference
- Book review – Cyber Crime Fighters: Tales from the Trenches
- Top 5 myths about wireless protection
- Securing the foundation of IT systems
- A layered approach to making your Web application a safer environment
- In mashups we trust?
- Adopting the security best practice of least privilege
- Is your data recovery provider a data security problem?
- New strategies for establishing a comprehensive lifetime data protection program
- Security for multi-enterprise applications
- EU data breach notification proposals: How will your business be affected?
- Book review – 97 Things Every Software Architect Should Know
- Safety in the cloud: How CIOs can ensure the safety of their data as they migrate to cloud applications
- Vulnerability management

link: http://www.net-security.org/dl/insecure/INSECURE-Mag-22.pdf

Posted in News, Security | No Comments »

Riconoscere i sistemi remoti con la tecnica del Fingerprinting utilizzando i Log del Firewall

agosto 7th, 2009 glycerin

L’articolo del SANS institute mette in mostra una prima tecnica per capire, con un margine di errore non piccolo, che tipo di sistema è stato utilizzato per raggiungere la nostra macchina che stiamo monitorando o proteggendo. Il tutto si basa sul TTL, che è facilmente modificabile, ed è per questo che direi che la tecnica può essere considerata un primo approccio ma non la soluzione a come determinare il tipo di OS del sistema remoto.

Link: https://blogs.sans.org/computer-forensics/2009/08/06/fingerprinting-systems-with-firewall-logs/

Posted in News, Security | No Comments »