Privacy Policy

Ricerca in FOLBlog

Sicurezza

Mar 192009
 

Come da previsione, anche quest’anno Apple MacOSX è stato il primo sistema operativo ad essere violato al Pwn2Own2009[1] (la sfida tra hacker che si tiene all’interno del CanSecWest 2009) “grazie” a Safari.

A riuscirci è stato Charlie Miller, la stessa persona che violò MacOSX lo scorso anno (sempre grazie a Safari), ma stavolta ci ha messo pochi secondi anziché qualche minuto.
Miller si è concentrato su Safari perchè sostiene che, per 5.000 dollari in palio, non vale nemmeno la pena provare a violare Firefox o Internet Explorer, più resistenti, ma comunque non del tutto immuni.

Charlie Miller non è stato il solo a violare MacOSX sfruttando falle di sicurezza di Safari; a riuscirci sono stati anche Julien e Nils.
E mentre Jiulien e Nils son riusciti a violare anche Firefox, Nils è il solo che è riuscito a violare anche IE8 (la versione inclusa in Windows 7) grazie a quello che è stato definito un “brillante bug” del browser Microsoft e che ha consentito di aggirare le protezioni DEP e ASLR.
Ovviamente i dettagli sulle tecniche utilizzate per violare i sistemi presi di mira, verranno resi noti solo dopo che i relativi produttori avranno rilasciato delle patch che rimediano alle falle di sicurezza.

Ancora nessuno ha tentato di violare Google Chrome; probabilmente ci tenterà Nils durante il secondo giorno.

Quest’anno ci sono due novità che mi pare valga la pena rimarcare.
La prima è che il Pwn2Own si estende anche alle seguenti piattaforme mobili:

  • Blackberry(TBA)
  • Android(Dev G1)
  • iPhone(locked 2.0)
  • Nokia/Symbian(N95-1)
  • Windows Mobile (HTC Touch)

E fino ad ora tutte hanno resistito agli attacchi.

La seconda novità, che mi ha stupito non poco, è che tra i sistemi messi alla prova manca Linux.
Questa assenza potrebbe essere considerata attraverso varie chiavi di lettura:

  1. qualcuno potrebbe vederci la conferma del declino di interesse nei confronti di Linux come piattaforma desktop (c’era Windows 7 ma non Linux…);
  2. altri potrebbero interpretare il fatto come la conferma che è inutile tentare di violare Linux perché è troppo sicuro;
  3. altri potrebbero pensare che non si è trovato l’accordo su quale distribuzione testare.

Tenderei ad escludere la 2 perchè, come si può notare, sia MacOSX che Windows 7 sono stati violati sfruttando falle di sicurezza di Firefox.
E’ presumibile che anche la versione che gira sotto Linux le contenga dato che, molto probabilmente Firefox per MacOSX è molto molto simile (identico?) a Firefox per Linux.

Inoltre mi ha colpito che la piattaforma di test Microsoft fosse Windows 7 e non Vista (magari con l’SP2 RC installato).
A prescindere dal fatto che ha fatto più bella figura di un sistema operativo già collaudato come Leopard, non so quanto sia equa la competizione tra quest’ultimo ed un sistema operativo in versione beta.
Suppongo però che Microsoft abbia voluto sfruttare questo appuntamento per ottenere un feedback altamente qualificato sulla sicurezza di Windows 7 e di IE8.
Inoltre sembrerebbe ormai chiaro che Microsoft ha abbandonato Vista (ritenuto forse ormai talmente compromesso nell’immagine che non conviene più tentare di difenderlo) e sta puntando a tutta birra verso Windows 7.


[1]

Il CanSecWest è forse la più importante conferenza sulla sicurezza informatica; si tiene con cadenza annuale a Vancouver.
All’interno della manifestazione è prevista una sfida tra hacker (Pwn2Own) che, con in palio premi in danaro e computer, tentano di violare la sicurezza dei sistemi operativi più popolari.

La sfida si svolge in 3 giorni, con livelli di sicurezza degradanti: man mano che si installano plugin ed applicazioni, il livello di sicurezza tende a diminuire in quanto ciascun software incrementa la probabilità che il sistema contenga una qualche falla di sicurezza.
Queste le regole per la competizione di quest’anno:

  • Giorno 1: Installazione di default senza alcuna applicazione aggiuntiva (dovrebbe essere lo scenario più sicuro)
  • Giorno 2: Si aggiungono flash, java, .net, quicktime
  • Giorno 3: Si aggiungono alcune delle applicazioni più note come Acrobat Reader, etc.
Technorati Tag: Apple,Microsoft,,,sicurezza dati,,,Firefox,Linux,

DEP e BCD (Backward Compatibility Disaster)

 Scritto da alle 00:15 del 02/03/2009  13 Risposte »
Mar 022009
 

Una delle tecniche maggiormente utilizzate per sfruttare le vulnerabilità del software sono i cosiddetti attacchi buffer overflow.
Un buffer è una zona di memoria usata temporaneamente per l’input o l’output dei dati oppure per velocizzare l’esecuzione di alcune operazioni.
L’overflow del buffer si verifica quando un’applicazione tenta di memorizzare troppi dati in un buffer causando la sovrascrittura della memoria che eccede quella allocata per il buffer.
E ciò che accade quando si fa traboccare un recipiente già colmo tentando di aggiungere altra acqua.

Il malintenzionato autore di malware potrebbe essere in grado di indurre intenzionalmente l’overflow del buffer, per poter inserire codice malevolo in quella parte di memoria che eccede lo spazio allocato per il buffer; in questo modo è possibile determinare l’esecuzione, da parte del sistema operativo, di codice dannoso.

In Windows Vista (e XP a partire da SP2) è presente una funzionalità, il Data Execution Prevention (DEP, Protezione Esecuzione programmi in italiano), in grado di proteggere da questo tipo di attacchi, che in passato (vedi worm CodeRed) ha fatto dei veri disastri.
DEP contrassegna le zone di memoria indicandone il contenuto (codice eseguibile o dati) ed evitando, in questo modo, che il sistema operativo possa eseguire il contenuto di una zona di memoria che è stata contrassegnata come contenente dati, interpretandolo come codice.

Windows Vista 32bit contiene un’implementazione software di DEP, mentre la versione a 64bit sfrutta le funzionalità di DEP incorporate nei processori a 64bit, imponendo così la protezione a livello hardware, molto più difficile da aggirare.
Questo è uno dei motivi che mi fa affermare che Windows Vista 64bit è più sicuro di Windows Vista 32bit.

Per impostazione predefinita, DEP protegge solo le applicazioni ed i servizi principali di Windows.
Per quale motivo?
Backward compatibility, cioè per garantire la massima retro-compatibilità con le applicazioni datate o foot written.

Fortunatamente è possibile abilitare DEP per tutte le applicazioni (anche se il percorso per arrivarci è tortuoso e per nulla intuitivo):

Leggi il seguito »

Verba volant…di Apple, malware e giravolte

 Scritto da alle 00:15 del 02/12/2008  30 Risposte »
Dic 022008
 

Puttanate
In uno dei primi articoli scritti su questo blog, scrivevo che una delle principali ragioni per cui circolavano così tanti malware per piattaforma Windows, era, a mio parere, l’enorme diffusione di quest’ultima rispetto alle alternative concorrenti, il che la rendeva bersaglio ideale per chi si poneva l’obiettivo di colpire il maggior numero di PC con il minor sforzo.
Era nient’altro che quelle che poi ho scoperto essere (a proposito di scoperta dell’acqua calda…) la teoria detta Security by Minority (adattamento, se non ho capito male, della teoria Security by obscurity).
A me sembrava semplicemente un ragionamento di buon senso, basato sul “due più due” che qualunque Bertoldo, Bertoldino o Cacasenno sarebbe stato in grado di fare.
Da ciò derivava il mio consiglio a non credere troppo alla favoletta di chi ci raccontava che era solo Windows ad avere problemi di sicurezza e chi usava Linux o MacOSX stava in una botte di ferro.
Anche perché ci sono minacce e sistemi di attacco che funzionano a prescindere dal sistema operativo o dal browser utilizzato.
Da qualche giorno circola in rete una notizia molto interessante che riguarda il clamoroso cambio di atteggiamento di Apple riguardo alla sicurezza.
Se prima Leopard era pubblicizzato dal marketing by Cupertino come l’emblema della sicurezza informatica, ora Apple sembra, oplà, aver fatto una giravolta di 180° e consiglia l’adozione di un antivirus ai propri utenti.

Apple incoraggia la diffusione di più utilità antivirus così da obbligare i creatori di virus a ponderare un numero maggiore di applicazioni da aggirare, rendendo così l’intero processo di produzione di un virus più difficoltoso

Stavolta è Apple stessa a far fare una gran misera figura ai presunti esperti che, nemmeno due mesi fa, si lanciavano a corpo morto in difesa della loro amata.
E’ interessante rileggere ora, alla luce del mutato atteggiamento di Apple, articoli in cui si teorizza la presunta superiorità di Leopard anche nel campo della sicurezza, ed affermazioni come:

la quota di mercato dei Mac è andata aumentando, mentre i virus sono spariti.

Se le illazioni basate sulla percentuale di mercato delle vendite di Apple fossero giuste, allora i virus sarebbero dovuti triplicarsi, invece che sparire.

La realtà della mancanza di virus su Mac è che la struttura di OS X è sufficientemente solida da evitare che certi programmi (i virus non sono altro che applicazioni maligne) non possano essere creati.

Uno spasso. (….scripta manent 😉 )
C’è chi, con tempismo invidiabile, non ha perso occasione per ridicolizzare il rischio derivante da malware scritto per MacOSX. Suppongo che ora da quelle parti si starà già lavorando ad un articolo per ridicolizzare le raccomandazioni di Apple….

Ovviamente, nonostante la notizia sia lì da sei giorni, non c’è blog di Apple-fan che si sia azzardato fino ad ora a commentarla o riportarla.
Forse staranno studiando il modo di interpretare a loro favore la cosa, o sperando in una smentita da parte di Apple.
Per ora, silenzio assoluto.

Cosa cambia ora che Apple sembra pensarla come quei Microsoft-fan, che osavano ipotizzare che MacOSX non fosse così sicuro come la propaganda lo dipingeva?
Nulla, per chi come me la pensava in un certo modo.
Temo però che nel mondo degli Apple-fan si sia sentito qualche crack….

Aggiornamenti

Mi sa che è cominciato il campionato di arrampicata sugli specchi.
Non senza qualche vetta di ilarità:
“Un’altro motivo potrebbe essere il fatto che molti dei virus che arrivano a sistemi Windows passano per computer Mac. Usando un antivirus ci sarebbe un ulteriore filtro.”

Qui leggo:
A prima vista potrebbe sembrare un evento storico, per la prima volta infatti Cupertino se non raccomanda quantomeno suggerisce l’adozione di un software antivirus. Leggendo la nota per intero però scopriamo che non vengono citati punti deboli nel sistema e nemmeno attacchi o minacce incombenti.
Il suggerimento di Apple è in pratica una forma di prevenzione contro lo sviluppo di codice malevolo. Apple suggerisce l’adozione dei programmi di sicurezza su Mac in questo modo gli utenti possono giocare un ruolo fondamentale nel rendere più difficile la vita e l’obiettivo di tutti i malintenzionati che desiderano creare virus, cavalli di troia e altro codice malevolo per la piattaforma della Mela

Non c’è che dire. Evidentemente sono veramente convinti che gli utenti Apple siano tutti degli allocchi pronti a bersi qualsiasi storiella, in barba ad ogni evidenza.

Evidentemente si tratta di una versione concordata nella rete degli Apple-fan; perchè stranamente i blog targati zoccolo duro oggi hanno iniziato in coro a ripetere la storiella di Cappuccetto Rosso,  la stessa litania, nel tentativo di smentire la Apple, ma non troppo, poco poco, piano piano.
…l’installazione di un Antivirus è consigliata solamente per “complicare la vita” agli sviluppatori di codice malevolo e non è spacciata per necessaria, dato che semplicemente non lo è”

Da notare che l’ultima annotazione è quasi obbligatoria per TAL; va bene smentire a bassa voce, poco poco, piano piano la Apple, ma come si fa ad auto-sputtanarsi?
Siamo all’apoteosi dell’ilarità.
Entro pochi giorni scommetto si vedranno questi concetti (per partorire i quali sono stati necessari sette giorni) ripetuti pari pari in tutti i blog e forum frequentati dagli Apple-fan.
Insomma, ecco  ancora una volta il pensiero unico….

Technorati Tag: Apple,sicurezza dati,antivirus

Smascherato il falso allarme clickjacking

 Scritto da alle 00:15 del 23/11/2008  Nessuna risposta »
Nov 232008
 

Alcuni giorni fa, ho parlato del Clickjacking, una tecnica che può essere utilizzata per ridirigere i click effettuati dall’utente su un oggetto differente (e nascosto) rispetto a quello visualizzato.
Per avere una dimostrazione di come sia possibile utilizzare questa tecnica anche per scopi poco leciti, vi invito a visitare questa innocua pagina dimostrativa (magari utilizzando diversi browser)e a seguire le istruzioni in essa contenute.
Nessun browser è immune da questa minaccia e al momento solo l’estensione NoScript per Firefox consente un minimo di protezione (con la demo è possibile apprezzarne l’efficacia).

NoScript mi aveva segnalato un possibile tentativo di clickjacking dalla dashboard WordPress del blog. E la cosa mi ha fatto sospettare un falso positivo.

Effettivamente, e per fortuna, si trattava proprio di un falso allarme. Purtroppo non si trovano molte informazioni al riguardo e capire quale fosse il problema è stata un’impresa più faticosa del previsto.
Ho provato ad aggiornare il plugin Adobe Flash Player alla versione 10.0.12.36, effettuato test e prove di ogni tipo, letto decine e decine di articoli al riguardo, senza cavarne piede.
Alla fine mi son rivolto direttamente all’autore di NoScript (Giorgio Maone), postando un messaggio sul forum di Mozilla nel thread dedicato al plugin, scoprendo che questa falsa segnalazione di un possibile tentativo di clickjacking dipendeva dallo zoom impostato in Firefox. 😯
E’ stato sufficiente riportare lo zoom al 100% per far sparire il difetto.
Impostando lo zoom per il solo testo, invece, ovviamente il problema non si ripresenta.
Così come non si presenta installando la development build versione 1.8.5.4 del plugin.
Buono a sapersi.

Aggiornamento 23/11/2008
Rilasciata una nuova versione del plugin che corregge il malfunzionamento nel caso si utilizzi la funzione zoom di Firefox.

Contro Clickjacking solo il duo Firefox NoScript

 Scritto da alle 15:10 del 17/11/2008  6 Risposte »
Nov 172008
 

image

Robert Hansen e Jeremiah Grossman, due ricercatori americani, hanno recentemente messo in evidenza un nuovo e allarmante sistema di attacco contro i browser.
Si tratta del Clickjacking (letteralmente “scippo dei click”), una nuova minaccia potenzialmente molto pericolosa che consiste nel catturare con l’inganno il click del mouse ridirigerlo su un oggetto diverso da quello che l’utente intendeva cliccare.

Si tratta di una vulnerabilità cosiddetta zero-day (gli zero-day o 0day sono tipi d’attacchi informatici che sfruttano bug software non ancora noti  ai produttori del software ne’ tanto meno agli utenti e per il quale non esistono patch.
Tutti i browser in circolazione sono affetti da questa grave vulnerabilità e solo i browser molto vecchi e quelli puramente testuali ne sono immuni (esempio Lynx e Links).

Come funziona il Clickjacking?
L’hacker può agire in due modi differenti:

1) Manipolare un Javascript in modo da modificare il collegamento ad un indirizzo esterno;
2)
Creare Inner Frame trasparenti, cioè delle cornici html invisibili all’utente, capaci di collegare una parte della pagina ad un sito web diverso.

Esempi: l’utente fa click su un link per accedere ad una pagina web e questa sua azione viene ridiretta a sua insaputa su un pulsante per attivare una certa azione.

Oppure, pensiamo ad un utente con router wireless autenticato per poter andare su un sito legittimo; in questo caso l’hacker potrebbe creare un iframe che ridirige il click dell’utente su un pulsante che invia un comando al router router, ad esempio quello di cancellare tutte le regole che riguardano il firewall, esponendo il computer ad un possibile attacco su più larga scala.

O ancora potrebbe nascondere in un iframe un programma che l’utente potrebbe avviare cliccandoci inconsapevolmente sopra.

Insomma, sfruttando questa vulnerabilità, è possibile costringere l’utente a fare quasi qualunque cosa all’interno di una pagina web.
Anche al momento questo meccanismo viola semplicemente le regole della privacy e viene utilizzato per scopi pubblicitari, e fino ad ora i più colpiti sono soprattutto i siti di giochi interattivi in flash, in cui l’utente si trova ad usare di più il mouse e quindi aumenta il rischio di click ‘rubati’.

Come difendersi dal Clickjacking?
Il Clickjacking sfrutta un difetto strutturale sul modo in cui funziona il browser, non può essere risolto con una semplice patch.
Anche le ultime versioni d’Internet Explorer (compresa la versione 8), Safari, Opera  e Firefox 3 sono vulnerabili.
L’unica cosa che si può fare è quella di  disabilitare gli script del browser ed i plugin.

Oppure (per fortuna c’è un oppure…..) l’unica difesa efficace consiste nell’utilizzare Firefox abbinato al estensione NoScript.

Perché ho parlato di Clickjacking?
Perché oggi, utilizzando la dashboard di WordPress ho avuto una sorpresina:

Oooopssss.....

Ora, sperando che si tratti solo di un falso allarme, non posso che ringraziare NoScript che mi ha rilevato la potenziale minaccia.

Technorati Tag: ,,,sicurezza,
Nov 042008
 

image
Windows Vista Business, Ultimate ed Enterprise includono la funzione Complete PC Backup che consente il backup completo del proprio PC.
Complete PC Backup effettua un backup del volume, blocco per blocco, su un file di immagine disco (.VHD), che può essere salvato sia localmente che su HD esterni e network drives.
Le successive esecuzioni di Backup Complete PC, effettuano automaticamente il backup incrementale dei volumi selezionati; in altri termini, solo le porzioni del disco rigido (blocchi) modificate dall’ultimo backup, vengono salvate sul backup completo esistente.
Questo consente di avere un’immagine dei volumi sempre aggiornata senza dover ricreare daccapo il file immagine di disco, ma aggiornando solo quelle parti che lo necessitano.

Incredibilmente, tramite la GUI del Centro Backup e Ripristino del Pannello di Controllo non è possibile schedulare (programmare) Complete PC Backup ne’ selezionare HD ethernet (NAS) o unità di rete condivise come destinazione del backup.
In effetti si tratta o di una clamorosa svista da parte di Microsoft, oppure di una scelta che francamente resta difficile da capire.

Per sfruttare al massimo l’utilissimo tool dei Backup incluso in Vista, è necessario ricorrere al comando WBAdmin, versione da riga di comando del Complete PC Backup.

Leggi il seguito »