A novembre vi avevamo informati su una vulnerabilità scoperta nella fase di rinegoziazione di SSL/TLS.

L’Internet Engineering Task Force (IETF) ha rilasciato la nuova specifica RFC5246 (Transport Layer Security [TLS] Protocol Version 1.2) che introduce una nuova estensione TLS per immagazzinare le informazioni crittografiche di una connessione.

Un attaccante avrebbe potuto iniettare pacchetti all’interno di una connessione SSL/TLS e, per esempio, compromettere un’applicazione web anche se non è possibile ottenere il plain text della connessione.

La rinegoziazione può avvenire in vari casi, per esempio quando un client vuole accedere ad un’area protetta di un sito web ed il server richiede un certificato SSL per l’autenticazione.

Per poter capire meglio l’attacco ed il meccanismo che c’è dietro potete leggere TLS & SSLv3 renegotiation vulnerability dell’azienda lussemburghese specializzata in sicurezza G-SEC.

Via | HOnline

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

Post originale su Linux e dintorni

Scoperta la prima falla del nuovo OS Microsoft

Uscito da qualche tempo il nuovo sistema operativo Microsoft, denominato con molta fantasia Windows 7, non aveva ancora presentato grandi problemi sul fronte sicurezza.

In questi giorni un esperto di sicurezza, tale Laurent Gaffié, ha pubblicato sul proprio blog un bug scoperto all’interno del prodotto Microsoft che permetterebbe, a chiunque voglia, di creare una pagina web ad hoc in grado di bloccare una macchina equipaggiata con l’ultimo os di Redmond.

Parliamo di un blocco di sistema che non comporta alcuna BSOD ma un totale freeze della macchina che va ovviamente riavviata attraverso la brutale pressione del tasto reset o la totale disconnessione della stessa dalla linea elettrica.

Microsoft è già a lavoro per riparare al bug ma sembra sia veramente adirata con l’esperto di sicurezza che ha scoperto il problema, si critica sopratutto il metodo con il quale ha operato l’esperto; solitamente in questi casi si procede alla comunicazione del bug al produttore che, in tempi brevissimi, dovrebbe comunicare con lo scopritore al fine di comunicare la presa in carico del problema.

Ci si impegna quindi a non rendere pubblico il problema se non dopo che la stessa azienda abbia rilasciato un patch ufficiale che metta fine alla vulnerabilità; questo è un agire corretto, consapevole che porta comunque alla notorietà visto che una volta coretto il bug può essere rivelato senza alcun problema.

Spesso si ricade però in una sgradevole situazione, lo scopritore del problema è in qualche modo obbligato alla pubblicazione dello stesso senza rispettare questa procedura causa uno scarso interessamento del produttore alla correzione del codice.

Non si conoscono i dettagli della vicenda ma di sicuro si sa dove risiede il codice in grado di dare grane di questo tipo, si tratta del codice che gestisce il protocollo SMB (server message block) il quale è chiamato a rispondere in caso di condivisione di file, stampanti o altri risorse su rete.

In attesa della risoluzione ufficiale del problema Microsoft consiglia, attraverso un ufficiale comunicato, di installare GNU/Linux bloccare le porte TCP 139 e 445 attraverso il firewall e bloccare ogni comunicazione SMB da e verso Internet.

Ricordo come Vista o Xp non siano affetti da tale problema.

Link

Ciao a tutti.

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

Si sta espandendo velocemente in rete la notizia che ci sarebbe una vulnerabilità nel protocollo SSL/TLS che può essere sfruttata per inserire dati all’interno di una connessione sicura.

Questo mette a rischio tutti i protocolli che utilizzano questi protocolli, a partire dalle connessioni https. Il problema non è nella singola implementazione, ma proprio nel protocollo stesso e si fonda su una svista nella gestione della rinegoziazione che consente attacchi di tipo Man in the middle.

Al momento sono sicuramente vulnerabili le ultime versioni di openSSL, Apache, IIS e molti altri software che utilizzano il protocollo. Le prime patch che sono uscite puntano alla disabilitazione della rinegoziazione in attesa di una soluzione a lungo termine che è ancora oggetto di discussione.

Per un approfondimento potete seguire la discussione sulla mailing list del working group IETF sul TLS.

Foto | Dazzie D
Via | links

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

Piccolo aggiornamento per la nuova versione del browser made in Google; gli sviluppatori sono riusciti a chiudere un’importante falla di sicurezza la quale, se sfruttata da un qualsiasi malintenzionato, permetteva di eseguire codice maligno a scapito della vittima dell’attacco.

Il bug affliggeva il Chrome’s V8 JavaScript engine ma con il rilascio delle scorse ore tutto sembra essere stato risolto. Vi basterà aggiornare il browser alla versione 3.0.195.24 e non correrete più rischi di questo genere. Per maggiori informazioni potete ovviamente fare riferimento al sito ufficiale di Google Chrome.

Via | H-Online

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

Nokia ha rilasciato un insieme di patch per l’ambiente Qt per risolvere una vulnerabilità potenziale della classe QSslCertificate. Il problema riguarda il parsing di certificati Subject Alternate Names (SAN) di X.509 che contengono embedded NUL characters.
La vulnerabilità interessa tutti i rilasci a partire da Qt 4.3.0 ed ha un livello di rischio Moderato su una scala Basso/Moderato/Importante/Critico.
Le patch per Qt 4.3.x e 4.4 sono disponibili per il download a questi indirizzi.

•  Download the patch for Qt 4.3.5
•  Download the patch for Qt 4.4.x and Qt 4.5.x

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

Post originale su Linux e dintorni

Un filmato semplice che dimostra come la vulnerabilità sia reale e sfruttabile

Dopo la scoperta della vulnerabilità dei kernle Linux 2.6.30 e 2.6.18 ecco comparire i primi filmati che dimostra come l’hack sia effettivamente reale e soprattutto sfruttabile:

Clicca qui per vedere il video incorporato.

Non è necessario comunque ricadere in allarmismi isterici; anche se il secondo kernel citato, ovvero il 2.6.18, è quello utilizzato da distribuzioni enterprise come quelle rilasciate da Red Hat il la risoluzione del problema è di una facilità estrema.

Il problema si manifesta con la gestione dei puntatori nulli, sfruttando tale caratteristica è possibile aggirare in modo efficace le forme di sicurezza implementate da quasi tutte le distro reperibili, tale problema si viene a creare a causa della gestione che il compilatore GCC ha dei puntatori nulli, il software infatti elimina il controllo su di essi nel preciso instante che essi si riferiscano ad una variabili già precedentemente assegnata.

La risoluzione consiste nel controllo del valore della variabile prima che il puntatore venga assegnato.

Ciao a tutti.

Condividi questo post:

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

OpenSSH ancora a rischio vulnerabilità

Post originale su Linux e dintorni

Ancora problemi per OpenSSH, scovata ennesima vulnerabilità

OpenSSH è l’omonimo progetto open che ha donato a tutta la comunità la versione free e totalmente aperta di tutti quei tool che ogni giorno permettono a moltissimi di noi di stabilire delle sessioni di comunicazione crittografate con il celebre protocollo SSH.

L’attuale versione sembra essere stata affetta da un grave bug che ne permette l’attacco in modo semplice, la notizia della scoperta potrebbe anche rivelarsi una bufala, o giù di li, visto che la vulnerabilità non è stata ancora pubblicata ma  è stata soltanto annunciata attraverso questa mail:

Dear Reader,
In 48 hours, the anti-sec movement will publicly unveil working exploit code
and full details for the zero-day OpenSSH vulnerability we discovered. It
will be posted to the Full-Disclosure security list.

Soon, the very foundations of Information Technology and Information
Security will be unearthed as millions upon million of systems running ANY
version of OpenSSH are compromised by wave after wave of script-kiddie and
malicious hacker.

Within 10 hours of the initial release of the OpenSSH 0-day exploit code,
anti-sec will be unleashing powerful computer worm source code with the
ability to auotmatically find and compromise systems running any and all
versions of OpenSSH.

This is an attack against all White Hat Hackers who think that running a
Penetration Test simply searching for known vulnerabilities is all they have
to do in order to receive their payment. Anti-sec will savor the moment when
White Hat Hackers are made to look like fools in the eyes of their clients.

Sincerely

penso che non ci siano troppi dubbi però riguardo l’autenticità del messaggio che sembra anche una provocazione, quasi una dichiarazione di incompetenza, verso i programmatori OpenSSH.

Restiamo a guardare ed attendiamo nuove notizie.

Ciao a tutti.

Condividi questo post:

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

In questi giorni i media hanno dato molto risalto alla notizia della diffusione di una nuova variante del noto worm/Conficker, che avrebbe dovuto colpire migliaia di utenti Windows il primo di aprile. Come sempre accade quando TV e giornali si interessano di certi fenomeni, si è creato un clima di allarmismo e trepidazione. Ormai, la fatidica data è passata, e non si hanno ancora notizie di infezione. È ancora presto per dire che si è trattato di un falso allarme, certo è che i produttori di antivirus hanno colto al volo l’occasione per rifilare agli utenti impauriti, appositi tool di rimozione. Che il rischio fosse reale ce lo dimostrano comunque le contromisure prese da Nessus e Nmap per arginare l’eventuale epidemia.

Nessus

Nessus, ha rilasciato la versione 2.0 del Conficker plugin che permette, anche da Linux, di controllare che i computer Windows della propria rete non siano inffetti. Chi ha già installato Nessus deve solo assicurarsi di aver registrato il software per ricevere gli aggiornamenti dei plugin. Se non l’avete ancora fatto, registratevi gratuitamente, da qui, al personal feed (il professional costa 1200) e, quando vi arriverà il messaggio col codice, date:

sudo /opt/nessus/bin/nessus-fetch –register vostrocodice

e poi:

/opt/nessus/sbin/nessus-update-plugins

per aggiornare i plugin manualmente. Per controllare che siano abilitati gli aggiornamenti automatici date:

sudo gedit /opt/nessus/etc/nessus/nessusd.conf

e controllate che la voce “auto_update” sia impostata su yes. Qui trovate le istruzioni per controllare la presenza di Conficker nelle macchine della vostra rete.

Nmap

Nmap invece, ha rilasciato una nuova beta, Nmap 4.85BETA7, che permette di individuare il worm. Per installarla, gli utenti Gnu/Linux, dopo aver rimosso la versione precedente, devono dare:

wget http://nmap.org/dist/nmap-4.85BETA7.tar.bz2
bzip2 -cd nmap-4.85BETA7.tar.bz2 | tar xvf -
cd nmap-4.85BETA7
./configure
make
sudo make install

Per controllare i PC con Nmap date:

nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args safe=1 192.168.111.0

naturalmente inserendo l’indirizzo di rete della macchina da controllare. Se non ci sono problemi, l’output dovrebbe essere:

Conficker: Likely CLEAN

Qui comunque trovate tutte le informazioni sulla nuova release di Nmap.

Articoli correlati:

nUbuntu 8.04 alpha: la distro per la sicutrezza basata su Ubuntu

Aircrack-ng con una scheda Wireless Intel 3945 ABG

Rilasciato LimeWire 5 alpha: condividere i nostri file con gli amici e i contatti Gmail

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

Analizzare la sicurezza di un prodotto Open come il browser di Google prevede una analisi del codice sorgente in tutte le sue parti.

Un compito difficile e molto lungo che sicuramente viene eseguito in modo scrupoloso dai programmatori Google ma che, grazie al modello di sviluppo open del progetto, può essere eseguito da qualsiasi esperto di sicurezza che vuole dare una mano al progetto del browser targato BigG.

Una prima valutazione della sicurezza del browser può però essere data attraverso uno studio concettuale, e non solo, del software.

Chrome è stato concepito per ottenere un browser veloce, sicuro e multi piattaforma; il modello concettuale di sicurezza applicato al progetto è sicuramente vincente, ogni singola pagina web è un processo separato all’interno del programma quindi rendering, spazio di memoria, strutture dati globali, token di accesso, scheda URL e tutto il resto sono separati per ogni singola pagina visualizzata.

Questo limita il campo di azione di un possibile codice maligno alla sola tab riguardante il processo stesso la quale può essere considerata come una istanza di sistema del browser stesso infatti lo stesso software presenta una propria utility per la gestione dei processi interni allo  stesso.

Volendo fare una paragone estremo, ma ovviamente non corretto, possiamo dire che il browser si comporta come una macchina reale dove ad ogni sito aperto corrisponde una macchina virtuale che ne garantisce il corretto accesso ed il suo funzionamento.

Non mancano comunque delle riserve sul software; potrebbe essere discutibile la scelta di Google di produrre un browser che per essere installato non richiede privilegi di amministratore, in questo caso il controllo da parte dei gestori di grandi reti è sicuramente molto difficile.

Con l’installazione del prodotto viene installato anche un programma per la gestione degli update di tutti quei software prodotti da Google, l’applicazione è totalmente trasparente all’utente e si prende in carico la gestione degli aggiornamenti del browser e di tutti gli altri prodotti.

Se da un lato la funzionalità potrebbe essere lodevole, visto che tiene il sistema sempre aggiornato con le ultime patches di sicurezza per il software, si potrebbe anche percepire una forma mancato controllo sulla propria macchina.

Lodevole invece la macchina vituale java denominata V8, un sistema sicuramente veloce che protegge anche in modo efficace dai fastidiosi pop-up.

Anche se efficiente ci sono dei problemi di maturità per questo componente che sicuramente verranno però risolti al più presto.

Una delle funzionalità che è possibile apprezzare sul nuovo browser è la modalità di navigazione anonima, una funzione che potrebbe salvare molti utenti da tentativi di phishing o altre subdole minacce che è possibile incontrare sul web.

Ma ora è giunto il momento di mostrare il rovescio della medaglia visto che non siamo in presenza di un software perfetto (e possiamo dire che nessun software è perfetto).

Per prima cosa è possibile evidenziare come risulti impossibile escludere l’esecuzione dei tanto utili quanto pericolosi componenti javascript delle pagine web.

Tutti i browser concorrenti permettono di usufruire di una navigazione “più sicura” escludendo l’esecuzione di questi script ma Google Chrome no e questa potrebbe essere sicuramente vista come una grave mancanza verso il fronte sicurezza.

Volendo essere più pignoli le impostazioni di default riguardo alla navigazione non sono poi così sicure vista la totale accettazione di ogni tipo di cookie; le impostazioni che l’utente può gestire non sono così fini da permettere una gestione personalizzata ed oculata di tutti quei parametri che indubbiamente possono fare la differenza per quel che concerne la sicurezza.

Stessa considerazione può essere fatta per il passaggio da connessioni di tipo https a http, non ci sono avvertimenti per l’utente che può facilmente passare da una connessione protetta ad una non protetta senza accorgersi di nulla.

Altra nota dolente è la gestione delle password, oltre ad un pannello di gestione scarno e inefficace, è possibile carpire le credenziali di accesso usate in modo rapido e senza particolari difficoltà semplicemente con pochi click del mouse.

Sicuramente tutti gli altri browser presentano una componente molto più sicura con possibilità di gestione delle password ricorrendo alla propria autenticazione attraverso l’uso di una master password personale.

Anche se la propria quota di mercato è ancora ristretta gli hacker si sono gettati sul progetto in modo molto aggressivo e, pur considerando le varie patches di sicurezza rilasciate, siamo ancora di fronte ad un prodotto che presenta molti bug e numerose possibilità per quel che concerne exploit come confermato da siti sullo stile milw0rm.com.

E’ risultato fin troppo facile per gli hacker dimostrare come l’idea di separazione dei processi per ogni singola pagina visualizzata non sia stata implementata in modo così efficace da ritenere sicuro il prodotto, prototipi di attacco infatti hanno rivelato che il software è preda di blocchi ed errori che portano ad una negazione dei servizi o più semplicemente al blocco totale del pc.

I primi esempi di codice maligno sfruttavano falle di sicurezza note da molto tempo e, anche se gli errori sono stati prontamente corretti, queste possibilità denotano come il team di programmatori sia ancora lontano dal raggiungere l’esperienza dei loro diretti rivali in campo browser.

Concludendo è possibile vedere come un ottimo progetto, concettualmente estremamente sicuro ed innovativo, possa soffrire a causa di scelte poco lungimiranti o inesperienza degli addetti ai lavori.

Sicuramente non è da considerare lo stesso come un fallimento ma piuttosto si potrà osservare come un approccio di sviluppo Open del software porterà ad un prodotto che sul lungo periodo si rivelerà come vincente e soprattutto atto ad una navigazione sicura.

Non scordiamoci che il software è ancora in versione beta e speriamo che, come quasi la totalità dei progetti Google, questa beta non duri in eterno.

Ciao a tutti.

Popularity: 1% [?]

Puoi visualizzare il post originale qui.

Con un advisory (SA31010) pubblicato nella giornata di ieri, la nota società danese di sicurezza Secunia ha reso note più di dieci vulnerabilità, classificate come highly critical, che affliggerebbero Java JRE e JDK.

La notevole pericolosità sta nel fatto che, se sfruttate, tali falle potrebbero permettere il superamento di alcune restrizioni di sicurezza, attacchi di tipo DoS, la diffusione di dati potenzialmente sensibili o, addirittura, l’intera compromissione di un sistema vulnerabile. Il problema è risolvibile, effettuando l’aggiornamento di Java JRE e Java JDK alle ultime versioni disponibili (6 Update 7, 5.0 Update 16, SDK/JRE 1.4.2_18 e 1.3.1_23).

Per maggiori dettagli, vi rimandiamo agli avvisi di Sun Security Blog.

Via | Secunia

Popularity: 3% [?]

Puoi visualizzare il post originale qui.

Segnalata una vulnerabilità, legata ad OpenSSL, che interesserebbe Ubuntu 8.04 LTS e le relative versioni di Kubuntu, Edubuntu e Xubuntu.

Maggiori dettagli sono disponibili sul sito ufficiale della distribuzione.

Popularity: 3% [?]

Puoi visualizzare il post originale qui.

Scoperta ieri una importante vulnerabilità dei Kernel 2.6.24-17 di Ubuntu 8.04 e derivate (Kubuntu, Edubuntu e Xubuntu). Sfruttando a dovere questa falla di sicurezza un qualunque malintenzionato sarebbe in grado di causare un crash di sistema grazie ad un Denial of Service.

Il problema è stato prontamente risolto e nei repository ufficiali della distribuzione sono già disponibili le versioni corrette del Kernel in questione, avanzate però nel numero di release, ora 2.6.24-18.

Da sottolineare infine come, sempre a causa di questo cambiamento, sarà necessario reinstallare e ricompilare manualmente tutti i moduli di terze parti precedentemente installati. Maggiori informazioni sulla falla di sicurezza sono comunque disponibili a questo indirizzo.

Via | Softpedia

Popularity: 3% [?]

Puoi visualizzare il post originale qui.

Internet Explorer ci svela l’ennesimo bug questa volta scoperto da Aviv Raff che a dire il vero non è nuovo a queste scoperte, ricordo il caso Skype per chi non avesse notizie.

Il bug è stato reso noto per ora solo alla Microsoft che però, a detta dello scopritore, ha fatto orecchie da mercante tanto da spingerlo a rendere pubblico lo stesso entro la settimana se la stessa risolva il problema in breve tempo.

L’errore permette di eseguire codice arbitrario tramite il caricamento di codice maligno costruito ad hoc.

Per rendere il tutto più credibile Aviv ha dichiarato che all’interno del suo sito è riportato un proof of concept in grado di sfruttare questa vulnerabilità non ancora risolta.

Che dire…………aprite il codice e vedrete che qualcuno, accorgendosi dell’errore, lo correggerà senza chiedere nulla e nel più breve tempo possibile.

Link

Ciao a tutti.

Popularity: 2% [?]

Puoi visualizzare il post originale qui.

Ad affermare quanti detto sul titolo non sono certamente io ma il famoso sito Wired.

La vulnerabilità scoperta è di tipo cross-site scripting e pubblicata nel lontano 12/2/2007 in questa pagina web con tanto di codice vulnerabile.

Evidentemente alla CIA hanno avuto meglio da fare, scovare presunte armi di distruzione di massa, che prendere sul serio questa vulnerabilità all’interno del loro sito.

Ed ecco che a distanza di più di un anno i ragazzi di Wired hanno deciso di fare una bella incursione in pieno stile piratesco.

Ma il bello della storia è che non sono solo loro gli uniche che hanno deciso di intraprendere tale iniziativa ecco infatti due screenshot prese dal mio browser proprio nella giornata di oggi:

il risultato dei ragazzi di wired (link alla pagina)

il risultato di ignoti burloni (link alla pagina)

Ora cara CIA che ne dici di pensare un po di più alla sicurezza interna ed un po meno agli affari esterni??

Magari così il tuo acronimo diventa vero (CIA = Central Intelligence Agency) dato che tanta intelligenza non l’abbiamo notata.

Link

Ciao a tutti.

Popularity: 2% [?]

Puoi visualizzare il post originale qui.