Archivio per il tag sicurezza

Hijacking powered by Alice

pubblicato
da
gialloporpora
il 23 Luglio 2008
in Senza categoria
. Commento

Io non sono fra i “fortunati” possessori di una connessione Alice, però da questa discussione su Megalab.it sembra proprio che anche il provider nazionale abbia seguito il brutto esempio di OpenDNS (di cui avevo già parlato tempo fa) e si sia messo a fare la guerra a Google.

Oggetto delle attenzioni è la funzionalità di alcuni browser di reindirizzare l’utente ad una pagina di risultati quando questo sbaglia a digitare qualcosa nella barra degli indirizzi. Provando infatti a digitare delle parole nella barra degli indirizzi si verrà riportati ad una pagina di Google coi risultati della ricerca per i termini inseriti.

Perfetto, cosa fa Alice ?

Alice, o per la precisione il server DNS, prende questo link e lo trasforma nella pagina dei risultati del suo motore di ricerca.

Cosa c’è di male in tutto questo ?

Semplice, quello non è un url sbagliato, come potrebbe essere ad esempio una cosa del tipo this.unvalid.url, ma un url validissimo creato dal browser che sceglie Google perchè Google è Google!

Volendo dare un nome a questo comportamento di Alice, io opterei per Hijacking - Wikipedia

Il termine hijacking indica una tecnica che consiste nel modificare opportunamente dei pacchetti dei protocolli TCP/IP al fine di dirottare i collegamenti ai propri siti e prenderne il controllo.

fatto stavolta a livello di server DNS :-P . Ora, se nel caso di OpenDNS questo si poteva scusare col fatto che OpenDNS è un servizio gratuito e che si può scegliere liberamente, nel caso di Alice la scusante non c’è, se io pago per la connessione gradirei molto che il server DNS facesse il server DNS e non il malware :-P .

A questo punto l’unica cosa che si può fare è inserire l’indirizzo IP di Google nel file HOSTS del sistema, o nel caso di firefox sostituire www.google.com con l’indirizzo IP nella preferenza avanzata keyword.url (raggiungibile digitando about:config nella barra degli indirizzi).

Non credo che il malware stia operando su tutte le connessioni Alice, è possibile però che al ritorno delle vacanze abbia infettato tutta la rete, non c’è che dire: BRAVI….

Se lo fa anche TEle2, è la volta che mi guardo in giro :-P

Technorati Tags: , , ,

Se ti è piaciuto l'articolo puoi votarlo. Grazie!

Grave bug in Firefox ? Forse no…

pubblicato
da
gialloporpora
il 11 Febbraio 2008
in firefox
. Commenti

E’ stato segnalato un nuovo “Traversal Path” in Firefox 2.0.0.12. Il bug permette, mediante l’uso del meccanismo per la visualizzazione dei sorgenti delle pagine, di utilizzare il protocollo resource://, in parole più semplici, è possibile visualizzare i file situati nella cartella di installazione di Firefox (di solito C:\Programmi\Mozilla Firefox). Qui trovate un proof of concept (sono due righe di codice Javascript :-P ).

Nonostante da più parti sia stato consigliato un rilascio immediato della patch per questo bug, Mozilla non sembra intenzionata a dare troppa importanza a questo problema. Ecco il pensiero di a riguardo:

In this case, it appears to me as though Ronald is simply mistaken. The files to which Ronald demonstrates access do not have the user’s settings, though he claims otherwise. Those files (the user’s data) are not stored in the Program Files hierarchy on Windows, or the equivalent on other operating systems. Instead, the preference files that he is showing in his “exploit” are ones that are defaults that are shipped with Firefox, and made freely available on the web. Again, these are not user settings, but defaults that are shipped with all copies of Firefox and contain no personal information.

(NB: this issue should not be confused with the recent “flat chrome” directory traversal vulnerability that affected users of some extensions, and which 2.0.0.12

In breve: «Quanto provato da Ronald è che Firefox permette l’accesso ai file situati nella cartella del programma, questi file non contengono informazioni o dati personali ed il loro contenuto è liberamente reperibile sul Web. Ben diverso il bug, risolto dalla versione 2.0.0.12, che permetteva di accedere ad informazioni personali.»

In altre parole, anche se la cosa è fastidiosa, sembrerebbe, secondo Mozilla, molto meno grave del previsto. Consiglio di leggere la discussione sul blog di Mike Shaver, io personalmente spero venga risolto comunque, non è mai bello che un sito abbia accesso in lettura ai file su disco. In ogni caso, non sembrerebbe un bug a cui verrà data una grossa priorità, in accordo con il commento di Boris:

take, I didn’t miss the point at all. Reading this file tells the site absolutely nothing they didn’t already know. They could just as easily get this file by getting it via http from bonsai, pulling it directly from the CVS repository.

I agree that it’s not great that even this completely safe read is allowed, because it makes a trifle harder to prove that unsafe ones are not allowed, and the added complication in the proof confuses people at tomes. So we’re working on disallowing it at some point. But since it is completely safe, this is a low priority endeavour.

Quindi, a meno che Ronald van den Heetkamp, come lascia intendere sul suo post, non proponga un attacco ben più serio che sfrutti tale vulnerabilità, non ci si deve aspettare che venga rilasciata a breve una nuova versione di Firefox.

Link di approfondimento:
Segnalazione del bug da parte di Ronald van den Heetkamp,
Mike Shaver: sourceresource vulnerability does-not expose personal-information
via Foxiewire

Technorati Tags: , , ,

Avira Antivir Premium in omaggio per sei mesi

pubblicato
da
gialloporpora
il 7 Gennaio 2008
in software
. 14 Commenti

Logo Avira AntivirPer chi ne fosse interessato, dopo l’offerta di AVG della versione Pro a pagamento, anche Avira permette di registrare una licenza valida sei mesi della versione Premium di Antivir, per maggiori informazioni vi rimando all’articolo di Megalab.it.

Per te che oggi hai cercato “come si cracka Antivir”, non è proprio la risposta, ma se ffai veloce puoi rimandare la ricerca a quest’estate :-P Per inciso, non lo so, e anche se lo sapessi::

  • Antivir offre una ottima versione freeware del prodotto;
  • parte dei guadagni vengono impiegati per opere benefiche.

Citando dal sito di Avira:

Five euro from every online sale of AntiVir PersonalEdition Premium and AntiVir Security Suite go towards the Auerbach Foundation.

This charitable foundation, which was founded by Tjark Auerbach, the company founder of Avira, supports social, scientific and cultural projects with these donation

Ma veramente non hai nulla di meglio da fare ? Se vuoi la versione Premium, acquistalo e basta :-P

AGGIORNAMENTO: visto che ho segnalato la notizia su Oknotizie (non questo post ma l’originale di ML) ve lo faccio votare (se volete) usando il plugin di Traffyk.

Fonte Megalab.it - Avira regala AntiVir Premium

Technorati Tags: ,

Rimuovere il popup che Antivir propone dopo aver eseguito l’aggiornamento

pubblicato
da
gialloporpora
il 24 Dicembre 2007
in software
. Commenti

Antivir è il mio antivirus preferito: è leggero, non rompe tanto le scatole, è gratuito (per uso personale), ha buone capacità di rilevazione dei malefici batteri di stagione ed è stato uno dei primi ad accorgersi che iexplorer.exe è un virus :-P . Battutaccie a parte - il problema è stato risolto con l’aggiornamento delle firme virali -, Antivirr, a mio avviso, è davvero un ottimo antivirus, lo consiglio per un uso domestico, e non è l’unico che di tanto in tanto dà falsi positivi abbastanza preoccupanti , è recente la notizia che il super rinomato Kaspersky se l’è presa con l’explore.exe :-P .

Mi fa sempre una certa tenerezza chi, fra amici e parenti, cerca di utilizzare antivirus più rinomati (e non per questo migliori) fuori licenza, riuscendo nell’impresa di infettarsi nel tentativo di trovare una crack efficace. A questo si aggiunga che l’acquisto di una licenza della versione Premium non è, se paragonata ad altri software simili presenti sul mercato, nemmeno tanto costosa, solo 20 euro (19,95 usando il prezzo psicologico), 36 euro per la Suite che include protezione proattiva,firewall e filtro anti spam. Per maggiori informazioni vi rimando al sito di Avira:

Logo Antivir

Ha un solo difettuccio, ogni qualvolta finisce l’aggiornamento delle firme virali (cioè ogni giorno) espone un gigantesco, e dopo un po’ assai noioso, popup per invitare ad acquistare una versionePremiumche offre maggiori livelli di protezione:

Popup Antivir

(dimensioni dimezzate rispetto a quelle reali)

Questo popup diventa assai fastidioso soprattutto se si sta lavorando in modalità full screen. Cercando con Google ecco come si può impedire la visualizzazione della fastidiosa finestrella pubblicitaria:

  • Start -> Esegui, digitare secpol.msc e dare invio;
  • All’apertura della finestra delle “Impostazioni protezione locale”, dal menu a sinistra navigare in: Criteri di restrizione software -> regole aggiuntive;
  • cliccare col tasto destro nel riquadro a destra e scegliere “Nuova regola percorso”;
  • vietare il file avnotify.exe (di solito in C:\programmi\AntiVir PersonalEdition Classic).

Fino al prossimo aggiornamento del processo avnotify.exe non verranno più mostrati popup alla fine dell’aggiornamento di Antivir, se il file verrà aggiornato è necessario ripetere la procedura.

Fonte: ghacks.net.

Technorati Tags: , , , ,

Scanner online

pubblicato
da
gialloporpora
il 24 Settembre 2007
in Senza categoria
. Commenti

In questa pagina si possono trovare l'elenco di tutti gli strumenti per eseguire scansioni online alla ricerca di virus, malware, spyware, trojan e robaccia simile. L'uso di uno scanner online può essere utile per avere un ulteriore parere sulla pericolosità di alcuni file presenti sul nostro PC.

Sono raccolti sia tool che permettono di effettuare scansioni globali , sia tool per l'analisi di singoli file. Per ognuno di essi è indicato:

  • tecnologia usata per effettuare la scansione (ActiveX, Java, plugin distribuiti dal produttore);
  • capacità di eseguire scansioni mirate ad aree predefinite dell’HD;
  • disponibilità di uno scanner stand alone da poter scaricare gratuitamente;
  • capacità di ripulitura della minaccia rilevata durante la scansione.

A parte Trend Micro HouseCall e Panda TotalScan tutti i tool che permettono di eseguire una scansione completa necessitano di Internet Explorer in quanto fanno uso degli ActiveX. Rispetto ai tool stand alone la scansione online ha il vantaggio di aggiornarsi al volo, anche se è praticamente inutilizzabile se non si ha una connessione a banda larga. Prima di eseguire la scansione è comunque sempre consigliabile assicurarsi di non avere qualche rootkit installato che nasconda i malware presenti sul PC.

Per quanto riguarda i file scanner, scioè i tool per scansionare singoli file uploadati, il migliore resta VirusTotal che utilizza più motori per analizzare il file anche se, quello messo a disposizione dalle aziende antivirali sul proprio server utilizza versioni più aggiornate del database virale rispetto a quello utilizzato da VirusTotal. E' anche disponibile un'estensione per Firefox che permette un semplice upload dei file da far controllare a VirusTotal.

Se volete un'autorevole opinione sulla bontà dei database virali (e non della bontà degli antivirus desktop che utilizzano tali database) potete dare un'occhiata a questo test condotto da AV-Comparatives. Per una comparativa dei vari prodotti desktop invece, vi rimando a questo articolo di Megalab.it.

Un po' di spam

pubblicato
da
gialloporpora
il 14 Settembre 2007
in Senza categoria
. Commenti

Questa è una simpatica mail che ha passato sia il filtro antispam di Yahoo, sia quello di Thunderbird :-P. La mail fa riferimento ad un contest lanciato qualche mese fa da Geekissimo, un famoso blog italiano, mediante cui era possibile vincere un Ipod Shuffle. Tutti i link (rimossi) rimandano ad una pagina phishing del sito di Poste.it (che novità :-P). Il link sembra ispirato da Lino Banfi:
posteitaliene-bancoposteonline.net/bancopostaonline.poste.it/bpol/cartepr/
Ah, non incollatelo nella barra degli indirizzi che altrimenti vi catapultate sul sito truffa.

Finalmente oggi pomeriggio alle 14 circa è stato decretato il vincitore del contest sull?iPod Shuffle .L?estrazione è stata realizzata in diretta oggi omeriggio qui su Geekissimo e Dissacration alle 12.30 per chi non ha potuto assistere, qui sotto potete registrare per contest.Loro non centra niente con la famosa serie televisiva, si tratta di un contest dove è possibile vincere 5000Euro per il primo classificato. Per partecipare bisogna avere uno carta PostePay o di un conto BancoPosta ,a seguito di verifiche nei nostri database clienti, necessario per l'utilizzo online la conferma dei suoi dati.Le chiediamo di confermarci i dati in nostro possesso entro 2 giorni dalla presente.

Accedi ai servizi online di Poste.it e verifichi il suo account

L'Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicita, provvedera immediatamente ad attivare il suo participatione

Per chi non fosse ancora cliente di Poste.it
Da oggi la possibilita di usufruire dei servizi online di Poste.it anche ai titolari di carte di credito-debito di altri gestori, potendo tenere sempre sotto controllo il proprio saldo, gli ultimi 40 movimenti, potendo ricaricare carte postepay, pagare le sue bollette direttamente da casa e moltissimo altro!
Sarebe inoltre possibile per tutti i possessori di carte di creditodebito dei circuiti VISA Electron, Mastercard, American Express, ricaricare il proprio telefono cellulare * senza alcun costo aggiuntivo
Contact Center

*Numero gratuito 803.160* (dal lunedi al sabato dalle ore 8 alle ore 20).

E visto il numero di computer infettati dal Worm Storm, aspettatevi un sacco di spam prossimamente :-P

TotalScan di Panda disponibile anche con Firefox

pubblicato
da
gialloporpora
il 25 Agosto 2007
in software
. 16 Commenti

Dopo aver messo a disposizione un plugin per Firefox per la scansione in stile “”sveltina” , lanciata col nome di NanoScan, Panda software rende disponibile un plugin che permette di accedere alla scansione completa: TotalScan. Il fatto che l’azienda spagnola abbia sviluppato dei plugin per rendere i suoi prodotti accessibili anche con il browser di casa Mozilla, è sicuramente una buona cartina di tornasole sul sempre maggior interesse che Firefox conquista in rete. Quasi tutte le scansioni online, infatti, sfruttano la tecnologia activeX e sono praticamente inacessibili con browser diversi da Internet Explorer. Oltre ai prodotti Panda, infatti, esiste solamente un’altra scansione che è possibile fare con Firefox e si tratta di Trend Micro HouseCall, che utilizza la tecnologia Java per effettuare la scansione. Speriamo che altre aziende antivirus seguano ben presto la strada tracciata da Trend Micro e Panda.

Una volta installati entrambi i plugin, digitando about:plugins si vedranno due nuove componenti associate ai file: npnanoscanner.dll e npwrapper.dll.

NanoScan è veramente rapida (pure troppo :-P), nel giro di un minuto vi presenta il responso:


Your PC doesn't have viruses

Details:
Dangerous Threat name (0)
Time: 34 seconds
Recommendations
Scan your PC thoroughly with TotalScan
naturalmente vi viene fatto notare che per una scansione più approfondita è meglio utilizzare il TotalScan che controllerà l’intero PC alla ricerca di ospiti indesiderati. In ogni caso, vista la velocità con cui viene eseguita la scansione con NanoScan, farci un giretto di tanto in tanto non fa certo male :-P. Sicuramente sarà utile a quei visitatori con user agent mostruoso che ho visto passare da queste parti ! Chi usa Netvibes o la home page personalizzata di Google può anche aggiungerlo come gadget ed eseguire la scansione direttamente da lì. i possessori di blog o siti Web possono invece ricevere il codice per inserire Nanoscan nelle proprie pagine contattando Panda software via email, vi rimando qui per maggiori informazioni.

Per ulteriori, e più approfondite recensioni del Panda NanoScan, vi rimando a questi due articoli:
Megalab.it - Panda NanoScan scopre i virus in un minuto
Casperize - Panda Nanoscan Beta

Ben più importante della toccata e fuga con NanoScan, comunque, è la possibilità di accedere a TotalScan ,mediante il quale è possibile fare una vera scansione al proprio computer utilizzando l’ottimo database virale di Panda Software.

A me le scansioni online sono sempre piaciute, fare una scansione con l’antivirus installato serve a poco o nulla visto che se il virus è passato sarà davvero difficile che si riesca a beccarlo eseguendo una scansione manuale, molto meglio invece usare un database diverso, e sopratutto un tool esterno alla macchina potenzialmente infetta. Per questo motivo sono davvero contento che anche Panda renda disponibile il suo scanner online via Firefox :-).

Personalmente comunque continuo a preferire HouseCall, che, al contrario di Panda, non fa installare nulla ma sfrutta Java che è già installato. Fra l’altro, l’utilizzo di Java rende potenzialmente possibile utilizzare House Call su qualunque browser in circolazione, com’è giusto che sia :-)..A proposito… mai notato che nella presentazione dei tool di scansione online viene scritto che non sarà necessario installare nulla, salvo poi chiedervi di attivare un controlo activeX od un plugin ?

In tema di antivirus e Firefox: ecco un’ altra simpatica novità in arrivo con Firefox 3.

Tool trattati:
Panda NanoScan, Panda TotalScan, Trend Micro HouseCall.

Altro problema col password manager

pubblicato
da
gialloporpora
il 23 Luglio 2007
in Senza categoria
. Commenti

Della serie: "quando ne arriva uno poi ne arrivano altri cento", ecco che dopo i bug segnalati nella scorsa settimana si ripresenta di nuovo un problema col password manager interno. La vulnerabilità è molto simile a quella segnalata da Chapin e che affligeva la versione 2.0 del browser di casa Mozilla (risolta nella versione 2.0.03).

Secondo quanto riportato da Heise-Security è difatti possibile, usando del codice javascript, forzare Firefox a completare i campi di login in una pagina ospitata sullo stesso server In altre parole, questo può essere sfruttato in siti come Myspace o similari per creare una pagina per il furto delle credenziali d'accesso all'account.

I siti dove tale vulnerabilità può essere sfruttata sono dunque relativamente pochi, ma occorre fare molta attenzione. . In ogni caso richiedendo codice Javascript per essere attivata è meno grave di quella precedentemente riportata, in quanto l'inserimento di codice Javascript è solitamente bloccato all'interno dei server stessi per ovvi motivi di sicurezza.

La cosa migliore sarebbe quella di non memorizzare mai le password, ma è anche vero che molti non seguono questa sana precauzione preferendo il salvataggio dei dati di autentificazione nel password manager. Io personalmente, è da un po' che utilizzo l'estensione PasswordMaker che permette la creazione di password a partire da un'unica master password, questa soluzione però impone di dover modificare tutte le password utilizzate nei vari siti/forum.

Un'altra ottima soluzione è utilizzare l'estensione Secure Login, che blocca l'autocompletamento dei campi di login e vi dà la possibilità di eseguire l'accesso semplicemente cliccando nell'iconcina sistemata nella barra di stato (od opzionalmente nella barra degli strumenti). L'estensione supporta il multi utente ed è molto comoda, nonchè sicura, se decidete di memorizzare le password nel gestore interno di Firefox.

Qui trovate la pagina con il proof of concept della vulnerabilità.

Ancora sul Firefox URI…

pubblicato
da
gialloporpora
il 19 Luglio 2007
in Senza categoria
. Commenti

AGGIORNAMENTO2: nuovi sviluppi ora sembra sia colpa di Windows :-P
MegaLab.it - Il baco negli URI? E' colpa di Windows

Non è colpa né di Firefox né di Internet Explorer. Il problema di sicurezza che tanto sta facendo discutere in questi giorni si trova ancora più in basso, a livello di sistema operativo.

AGGIORNAMENTO: in realtà ci sono stati sviluppi riguardanti il bug dei Firefox URI (che è stato corretto nella versione 2.0.0.5) e che attribuiscono totalmente la responsabilità al browser Mozilla. A questo si aggiunga il fatto che Firefox tiene lo stesso comportamento di IE, rendendo inutile lo stratagemma dell'escaping dei caratteri Potete leggere anche questo post che entra nei dettagli riguardo la registrazione dell'URI handler e di come avviene il passaggio dei dati dall'applicazione chiamante a quella chiamata.

La nuova versione di Firefox sistema, fra gli altri, il bug riguardante il Firefox URI, di cui avevo parlato poco tempo fa, ora però sembra che Firefox non sia l'unica applicazione che può essere sfruttata per eseguire chiamate arbitrarie utilizzando IE come vettore:

However, I can still automatically launch a wide range of external applications from Internet Explorer and provide them with arbitrary command line arguments. AcroRd32.exe (Adobe Acrobat PDF Reader), aim.exe (AOL Instant Messenger), Outlook.exe, msimn.exe (Outlook Express), netmeeting.exe, HelpCtr.exe (Windows Help Center), mirc.exe, Skype.exe, wab.exe (Windows Address Book) and wmplayer.exe (Windows Media Player) - just to name a few :)

In altre parole usando IE tali applicazioni (e probabilmente non sono le uniche) possono essere richiamate e sfruttate per portare un attacco al vostro computer. Microsoft non ritenendo questo un problema specifico di IE, ma bensì delle applicazioni chiamate, si rifiuta di mettere una pezza facendo in modo che IE gestisca in modo più intelligente le chiamate.

Conclusione: anche se la responsabilità non è di Internet Explorer, utilizzando questo browser (e solamente questo) è possibile sfruttare praticamente tutte le applicazioni installate sul vostro PC per portare a segno un attacco.

Soluzione: non usate Internet Explorer, almeno fino a quando non sarete certi che tutte le applicazioni installate sul vostro PC saranno in grado di rifiutare le chiamate fatte da IE stesso :-P.

Fra l'altro, dando una rapida occhiata alle applicazioni vulnerabili, sembra che microsoft dia pure il cattivo esempio.

Fonte: pseudotecnico blog

Virus vi cripta il disco e vi chiede 300$ per ripristinarlo

pubblicato
da
gialloporpora
il 15 Luglio 2007
in Senza categoria
. Commenti

ormai le licenze me le hanno date, in ogni caso questo post sul blog di PrevX è abbastanza interessante da poter essere linkato anche senza avere nulla in cambio :-).

E' stato rilevato un nuovo virus: "NTOS.EXE" classificato come generico Win32.PSWSteal.Gen. Il simpatico applicativo una volta attivato vi cripta l'Hard Disk usando l'algoritmo di cifratura RSA, questo è il messaggio che vi segnala l'avvenuta cifratura dell'HD:

"Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: tristanniglam@gmail.com and provide us your personal code -xxxxxxxxx. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data — Glamorous team."

Soluzioni:

  • vi fidate e gli pagate la licenza di 300$;
  • avete un backup da ripristinare e sperate che non siano stati inviati dati sensibili;
  • risolvete uno dei problemi più complicati della matematica, cioè create un algoritmo di fattorizzazione che possa venire eseguito in tempi accettabili da un computer.

La parte interessante della notizia (per cui vi rimando allarticolo originale sul blog di PrevX) è vedere le aziende che hanno questo file nel loro sistema , e che forse, non sanno nemmeno di averlo, visto che non tutti gli antivirus lo rilevano come codice maligno :-P.

Ricordo che ho ancora una licenza di PrevX da poter regalare, e qualche altra la dovrebbe avere Sbronzo di Riace.

Fonte: PrevX

AGGIORNAMENTO: grazie a The King of GnG di Megalab.it, ecco cosa viene detto sul blog di Kaspersky riguardo al virus sopracitato:

Viruslist.com - Analyst's Diary

Of course, we've analyzed the files, and in spite of the text above, there's no sign of RSA-4096. Interestingly, this nasty little piece of work, which we detect as Virus.Win32.Gpcode.ai, has a very limited shelf life, from 10th to 15th July 2007. Why? We can only guess.

Quindi sembrerebbe una mezza bufala visto che dalle analisi di Kasperky non risulta nessuna traccia dell'uso dell'algoritmo RSA per la cifratura dei dati, e si sta già lavorando ad un tool di decriptazione.