.:: Securnetwork.net Blog – Massimo Rabbi ::.

A questo indirizzo potete trovare una serie di test sulla stabilità/sicurezza del vostro browser preferito.
Al momento la lista dei test inclusi è di 16, alcuni pero’ sono specifici per tipo di browser, di conseguenza l’opzione consigliata è “Only test for bugs specific to my type of browser“.
Questa la lista delle vulnerabilità che vengono provate durante il test:
1. Windows animated cursor overflow (CVE-2007-0038) Detailed test information
2. Mozilla crashes with evidence of memory corruption (CVE-2007-0777) Detailed test information
3. Internet Explorer bait & switch race condition (CVE-2007-3091) Detailed test information
4. Mozilla crashes with evidence of memory corruption (CVE-2007-2867) Detailed test information
5. Internet Explorer createTextRange arbitrary code execution (CVE-2006-1359) Detailed test information
6. Windows MDAC ADODB ActiveX control invalid length (CVE-2006-5559) Detailed test information
7. Adobe Flash Player video file parsing integer overflow (CVE-2007-3456) Detailed test information
8. XMLDOM substringData() heap overflow (CVE-2007-2223) Detailed test information
9. Mozilla crashes with evidence of memory corruption (rv:1.8.1.5) (CVE-2007-3734) Detailed test information
10. Opera JavaScript invalid pointer arbitrary code execution (CVE-2007-436) Detailed test information
11. Apple QuickTime MOV file JVTCompEncodeFrame heap overflow (CVE-2007-2295) Detailed test information
12. Mozilla code execution via QuickTime Media-link files (CVE-2006-4965) Detailed test information
13. Mozilla crashes with evidence of memory corruption (rv:1.8.1.8) ( CVE-2007-533) Detailed test information
14. Mozilla memory corruption vulnerabilities (rv:1.8.1.10) (CVE-2007-5959) Detailed test information
15. Mozilla crashes with evidence of memory corruption (rv:1.8.1.12) (CVE-2008-0412) Detailed test information
16. Apple QuickTime ‘QTPlugin.ocx’ ActiveX Control Multiple Buffer Overflows () Detailed test information

TANTI AUGURI A TUTTI I LETTORI DEL BLOG, AMICI E CONOSCENTI.
BUONA PASQUA 2008!

I creatori del noto software anti-spyware SpyBot Search&Destroy si son dati da fare e hanno realizzato un aggiornamento sotto forma di plugin che consente di cercare e individuare eventuali rootkits.
Il tool può essere eseguito anche come programma standalone.

RootAlyzer, questo il nome del software, è ancora in fase di sviluppo ma può essere scaricato gratuitamente dal forum di Spybot Search&Destroy. Agisce controllando il registro, il file system e i processi in esecuzione alla ricerca di incoerenze e utilizzi sospetti di chiamate di sistema di vario tipo e API Win32 (possibile segnale di rootkits “a bordo”).

Per effettuare il download del programma cliccate qui.

RIFERIMENTI:
- L’annuncio sul sito di Spybot Search&Destroy
- Spybot Search&Destroy learns to sniff out rootkits, by Heise Security

Apple con l’aggiornamento di sicurezza 2008-002 ha fixato ben 46 vulnerabilità in Mac OS X e programmi di terzi parti in esso inclusi. Ben 25 delle vulnerabilità consentirebbero di effettuare code-injection.

L’aggiornamento fixa vulnerabilità presenti in: AFP client e server, Appkit, Application Firewall, CFNetwork, CoreFoundation, CoreServices, Foundation, Help Viewer, Image Raw, libc, Podcast Producer, Preview, printing, system configuration e UDF.
Tra gli aggiornamenti dei software di terze parti inclusi da segnalare: Apache, ClamAV, CUPS, curl, Emacs, file, Kerberos, mDNSResponder, notifyd, OpenSSH, pax, PHP, Wiki Server e X11.

L’aggiornamento a Safari rilasciato ieri fixa altre 13 vulnerabilità di sicurezza.
Tutti gli aggiornamenti sono disponibili attraverso il sistema automatico di update.
Aggiornamento consigliato appena possibile!

Riferimenti:
- About Security Update 2008-002, security advisory from Apple
- About the security content of Safari 3.1, security advisory from Apple
- Apple security update fixes 46 bugs, by Heise Security

La Distributed Computing Industry Association e il suo “P4P Working Group” stanno lavorando ad un nuovo protocollo peer-to-peer, chiamato “Proactive network Provider Participation for P2P” o P4P. Esso viene descritto come un “sistema di trasferimento file peer-to-peer carrier-grade”.

Ciò che potrebbe però sorprendere è che tra le compagnie che compongono l’associazione rientrano non solo aziende come LimeWire, BitTorrent e Skype, ma anche AT&T e Verizon.
Il New York Times ha di recente pubblicato un articolo in cui enfatizza l’allarmante quantità di traffico dati che passa su Internet.
Nonostante la storia punti l’attenzione su siti come YouTube, è pur vero che il traffico P2P rappresenta per la maggior parte degli ISPs una grossa percentuale del traffico di rete.

Lo scopo del P4P è quello di ridurre il traffico sfruttando la topologia di rete nel trasferimento dati “selezionando” in maniera intelligente piuttosto che casuale i differenti peers, migliorando così l’efficenza del routing globale.
Riducendo infatti il numero di hops che un pacchetto deve fare da sorgente a destinazione si migliorano le condizioni globale del network.
Il paper intitolato “P4P: Explicit Communications for Cooperative Control Between P2P and Network Providers” è stato presentato in occasione della conferenza inaugurale del DCIA P2P Market a New York City, lo scorso venerdi’.
E’ stato mostrato come il P4P migliori il download rate del 205% rispetto a un classico download P2P, e dimininuisca il numero di hops necessari nell’instradamento interno degli ISP da 5.5 hops a a 0.89 hops.

E le informazioni sulla topologia di rete? Se ne occupa Verizon.
Questo non significa assolutamente che Verizon approvi i trasferimenti P2P, quelli illegali per lo meno.
Nel PDF infatti leggendo gli obiettivi del P4P Working Group: “… lavorare assieme e in maniera coordinata con i più grandi Internet Service Providers (ISPs), aziende distributrici di software peer-to-peer (P2P) e ricercatori al fine di individuare le best practices per l’uso del P4P come meccanismo di distribuzione dei contenuti e onde ottimizzare l’uso delle risorse di rete degli ISPs, garantendo la migliori performances possibili all’utente finale…”

APPROFONDIMENTI:
- P4P Aims to Speed Peer-to-Peer File Transfers, Reduce Traffic – by RealTechNews
- P4P: Explicit Communications for Cooperative Control Between P2P and Network Providers, research paper
- P4P Working Group’s mission statement

A quanto pare Intel ha deciso di ribattezzare la nuova piattaforma per cpu da portatili: il vecchio codename Montevina diventa ora ufficialmente Centrino 2.
Centrino 2 utilizzerà la tecnologia Intel 45m Penryn con velocità di clock fino a 2.8Ghz, e sostituirà l’esistente piattaforma Centrino verso il secondo quarto di quest’anno.
Con sè porterà alcune interessanti caratteristiche come supporto integrato per Blu-Ray, Wimax e Wi-fi.
Verrà inoltre sostituito anche il chipset grafico Intel X3100: al suo posto il GMA x4500.

Centrino 2 entrerà nel mercato tradizionale e business in due diverse versioni, Centrino 2 e Centrino 2 vPro rispettivamente.
L’annuncio segue a ruota quello recente del lancio della piattaforma Intel Atom di processori a basso consumo destinati a subnotebook come l’EEE PC e altri dispositivi come palmari e PDA Phone di ultima generazione.

Il vicepresidente esecutivo di Intel, Sean Maloney, ha affermato che questi “sono i nostri processori più piccoli, costruiti con i transistors più piccoli al mondo”.

RIFERIMENTI:
* Intel touts Montevina as ‘Centrino 2′, by Vnunet.com

L’esperto di sicurezza Adam Boileau ha rilasciato il tool winlockpwn, che consente di bypassare il sistema di login di Windows attraverso una porta Firewire, senza conoscere la password da digitare.
Il programma è in grado di manipolare le routines di login in RAM di un sistema che gira, usando il direct memory access (DMA), attraverso una connessione Firewire.
Il tool supporta Windows XP SP2 come sistema target. La tipologia di attacco e il software non sono “nuovi”, in quanto Boileau aveva presentato il problema ad una presentazione ben 2 anni fa.

“Persone che hanno accesso fisico ad un sistema hanno la possibilità di entrare in molti modi…” questa è l’opinione di Boileau, che nel suo sito scrive come con winlockpwn sia “semplice e veloce”.
Come detto poco sopra, a riguardo della vulnerabilità Firewire era stata fatta una presentazione alla conferenza di sicurezza Ruxcon 2006. Nella presentazione è stato spiegato anche qual è il principio di funzionamento dell’hack: usando un Firewire ID copiato, il software inganna il sistema operativo facendogli credere che sia un dispositivo come ad esempio un iPod che necessita DMA.

Microsoft non ha mai rilasciato alcun fix perchè non considera il Firewire DMA un problema di sicurezza, visto che comunque rientra tra le specifiche dell’ IEEE-1394.
Il Direct Memory Access è fondamentalmente un qualcosa di indipendente dal sistema operativo, quindi anche Linux e MacOsX sono suscettibili al problema.
Di norma quindi per proteggere sistemi in cui la sicurezza è critica, le porte FireWire inutilizzate andrebbe disabilitate.

MAGGIORI INFORMAZIONI:
* Firewire, DMA & Windows, Project page by Adam Boileau
* Hit By A Bus: Physical Access Attacks with Firewire, Presentation by Adam Boileau at Ruxcon 2006
* Windows login bypass tool released, by Heise Security

La scansione di circa 2,5 milioni di IP da parte di Adrian Pastor di GNUCitizen ha rivelato come 5320 sistemi possano “potenzialmente” essere controllati e/o compromessi via Internet attraverso il protocollo SNMP.
Le comunicazioni SNMP tipicamente avvengono per mezzo di testo in chiaro (passwords e “community strings” ad esempio).
Per ragioni di sicurezza l’utilizzo di SNMP se necessario, va limitato e ristretto al proprio perimetro di rete.

Purtroppo questa precauzione spesso non viene presa in considerazione, e vengono lasciate impostate le community strings con i valori di default.
Tra i sistemi più diffusi individuati da Pastor nella sua indagine vi sono: router Zyxel Prestige, Netopia, Cisco, dispositivi Apple AirPort/Base Station e modem voip Touchstone di Arris. Sono stati identificati anche sistemi Windows 2000.
Durante il suo test, Pastor ha inviato query con object ID (OID) 1.3.6.1.2.1.1.1.0, che ritorna il modello di router e il costruttore.
Non sono state ricercate specifiche vulnerabilità, tuttavia lo stesso Pastor ha in passato pubblicato un’analisi che rivela numerose vulnerabilità in routers molto diffusi come ad esempio gli Zyxel Prestige, incluse alcune legate a SNMP.
E’ stato mostrato come l’accesso SNMP possa rivelare la lista degli utenti su macchine Windows 2000 Server, dati relativi all’accesso DSL sui routers BT Voyager, passwords di amministrazione sulle stampanti HP e altri parametri inclusi quelli di login per il dns dinamico su routers Zyxel.

Di per sè il protocollo SNMP non rappresenta un problema di sicurezza, visto che comunque moltissimi tools tra cui HP OpenView, Cisco Works LMS e Nagios lo utilizzano ampiamente: tuttavia è intrisecamente insicuro e progettato per essere usato in ambito locale e interno. Detto questo ogni sua “esposizione” su Internet dovrebbe andare caldamente evitata!

APPROFONDIMENTI:
* Exploring the UNKNOWN: Scanning the Internet via SNMP!, report from Adrian Pastor
* ZyXEL Gateways Vulnerability Research (PDF) , report from Adrian Pastor
* Systems disclose sensitive data via SNMP , news by Heise Security

La società di sicurezza Finjan ha scoperto sul web un database contenente all’incirca 8700 account ftp rubati e appartenenti a siti web, alcuni dei quali di “alto profilo”: società governative, servizi finanziari, fornitori tecnologi e industriali oltre a vari security vendors.
La maggior parte appartiene a organizzazioni dislocate negli Stati Uniti e Russia, con l’Australia e i paesi asiatici del pacifico al secondo posto.

Il database sembra sia stato ricavato mediante l’uso di Neosploit versione 2, uno fra i numerosi toolkits automatici che facilitano attacchi di tipo iframe injection sui server web per la distrubuzione di trojans.
Di origine chiaramente russa il software è caratterizzato da una interfaccia utente ben realizza che include anche un “servizio statistiche”.

Nel suo “Malicious Page of the Month” di febbraio, Finjan descrive in maniera approfondita il “crimeware tool”, incluso un componente chiamato FTP-Toolz pack 2.7, che in aggiunta ad installare iframes, può importare e esportare liste di account da database come quello scoperto di recente.

APPROFONDIMENTI:
- Over 8000 ftp credentials found on crimeware database, by Heise Security
- Malicious Page of the Month – February 2008, report by Finjan