INSTALLAZIONE
Il pacchetto software si installa in pochi semplici passi e permette di indicare le informazioni di registrazione quali la chiave di licenza e la mail associata.
Al termine della procedura è possibile (e consigliabile) effettuare la registrazione online alla Community online sul sito answers.websitex5.com. E’ possibile infatti, tra le altre cose, ottenere supporto tecnico e scambiare informazioni con altri utenti, oltre ad accedere alla gallery e template online aggiuntivi.

PRIMO AVVIO
All’avvio del programma la schermata principale propone la possibilità di scegliere di cominciare a lavorare subito mediante il tasto Start(in primo piano) o Avvia (in basso a destra), o di consultare le gallery e le foto online, oltre al Social Help Center.
Non passa inosservato anche il collegamento al video tutorial, diviso nei famosi “5 passi”, che è sicuramente un valido aiuto per chi vuole prima di cominciare iniziare ad esplorare nel dettaglio il funzionamento del software.

Probabilmente sarebbe stato utile fare in modo che il playing del video fosse disponibile anche off-line, visto che il collegamento rimanda ad un sito Internet.

SCELTA DEL PROGETTO
Una volta scelto di cominciare a lavorare (tasto Start) la prima operazione proposta è quella di scegliere se creare un nuovo progetto o se modificarne uno di già esistente.
Da notare che gli eventuali progetti già salvati e presenti nella cartella di default del programma vengono mostrati sotto forma di anteprima automaticamente. L’utente può tuttavia navigare il filesystem e individuare file di progetti magari copiati da altri gruppi di lavoro.

FASE 1: IMPOSTAZIONI GENERALI
Il primo passo è la configurazione delle informazioni generali del proprio progetto. La sezione “Base” (pre-selezionata) consente di configurare informazioni classiche quali autore, titolo, descrizione e icona. E’ tuttavia possibile scegliere già qui una serie di keywords che vengano ritenute importanti per una corretta indicizzazione da parte dei motori di ricerca.
La sezione “Esperto” invece consente di inserire codice personalizzato nella sezione HEAD, così come definire l’aggancio a sistemi di statistiche o la configurazione all’uso degli strumenti per webmaster fornito da Google.
Lo step seguente prevede la scelta di un modello per il proprio sito avendo la possibilità di scegliere tra diverse categorie di template e per ognuno in differenti varianti di menu (orizzontale e verticale) e di colori. Ben 1500 template, ognuno in 4 diverse varianti di stile.
L’utente può altresì definire un proprio modello personalizzato, andando a scegliere informazioni essenziali quali tipo di menu, margini, sfondo oltre a definire direttamente le differenti sezioni della pagina stessa (contenuto, piè di pagina, intestazione, etc.).
Il modello scelto (personalizzato o template) può infine essere ulteriormente customizzato, andando ad agire su intestazione e piè di pagina.

FASE 2: CREAZIONE MAPPA
Dal modello si passa quindi a definire la mappa del sito tramite l’inserimento di livelli e pagine (con relativo titolo e descrizione). Per ogni pagina è possibile mediante l’apposita toolbar attivare la visualizzazione o meno della pagina stessa nel menu, impostare una protezione di pagina (access list/permessi) ed effettuare personalizzazione avanzate.

FASE 3: CREAZIONE PAGINE
E’ venuto quindi il momento di inserire i contenuti veri e propri per dar “vita” alle nostre pagine.
Per fare questo dobbiamo prima di tutto decidere quali e quanti contenuti vorremo mostrare nelle pagine.
Dovremo inoltre decidere come impaginare il tutto, e lo possiamo fare in maniera molto semplice e intuitiva mediante la comoda griglia che ci permette di organizzare i nostri contenuti che possono andare dal classico oggetto testo, alla galleria, passando per un più sofisticato elenco prodotti o un insieme di widgets già pronti (Facebook, Twitter, Google+, Shinystat, etc.). In fin dei conti la griglia altro non è che una rappresentazione della pagina stessa che stiamo di volta in volta creando.
Non basta far altro che draggare l’oggetto desiderato all’interno di una delle celle della griglia e configurarlo.
E’ ovviamente possibile fare in modo di aggiungere/eliminare righe e/o colonne, oltre a disporre un contenuto su più celle affiancate.
Molto comodo risulta essere l’editor interno per le immagini che consente di effettuare modifiche e applicare filtri on-the-fly ad una semplice immagine caricata da disco. In molti casi sarà quindi possibile fare a meno di utilizzare programma di photo-editing esterni quali Gimp o Photoshop.

FASE 4: Impostazioni avanzate
Il passaggio successivo consente di modificare in maniera avanzata configurazioni del sito che stiamo creando, agendo per esempio, sulla configurazione dei menu. E’ infatti prevista la possibilità di editare grafica dei pulsanti, aspetto dei testi, colori e stili.
Altre funzionalità prevedono la possibilità di:

• cambiare gli stili e modelli del progetto;
• impostare una pagina di benvenuto;
• gestire un messaggio pubblicitario da mostrare in home page o in tutte le pagine;
• usare le funzionalità di blog (creazione articoli, gestione categorie e commenti) e feed RSS;
• creare utenti diversi per poter gestire l’accesso protetto a pagine del sito: è infatti possibile tornare indietro al punto 2 (creazione mappa) e agganciare i profili alle pagine desiderate;
• creare un negozio online con tanto di categorie prodotti e relativi metodi di pagamento/spedizione abilitati;

FASE 5: Esportazione
Ultimo step, ma non per questo meno importante, anzi, è quello dell’esportazione del prodotto finale appena creato.
C’è la possibilità di esportare il progetto su disco (CD/DVD/USB) o in una semplice cartella del computer.
Inoltre tramite il motore FTP interno c’è il modo di pubblicare i contenuti creati direttamente su Internet.
Quest’ultima operazione è ovviamente molto semplice e sono sufficienti i classici dati forniti dal provider di hosting quali indirizzo, username e password in primis.
Completata l’operazione si è arrivati al termine del lavoro e come proposto dal programma, è possibile segnalare il proprio lavoro via Facebook agli amici o per esempio su Twitter per chi ci legge!

CONCLUSIONI
Il prodotto WebSiteX5 Evolution 9 rispetta in pieno le aspettative dell’acquirente, che dietro la frase “Crea un sito in 5 passi”, si aspetta di trovare un prodotto semplice e veloce da usare ma che al tempo stesso dia la possibilità di creare un prodotto finale professionale.
Per rendersi conto di come questo sia chiaramente possibile è sufficiente seguire il tutorial video presente sul sito e linkato all’interno del programma. I 5 video proposti sono un valido strumento per iniziare e meritano sicuramente di essere consultati prima di “buttarsi” ad esplorare il programma e le sue funzionalità.
Tra i punti di forza di questo software ricordiamo la già citata semplicità di utilizzo e le ottime potenzialità di customizzazione proposte, e a volte “nascoste”, tra i vari tab e opzioni accessibili nei vari passi.
Il prezzo proposto per una licenza del prodotto e’ sicuramente conveniente considerando i soli 69,95€ richiesti per la versione WebSiteX5 Evolution 9.
Ricordiamo inoltre che la registrazione del programma dà la possibilità di sfruttare gratuitamente per 12 mesi uno spazio web di 3GB, registrazione dominio e email illimitate. Il tutto grazie alla collaborazione con One.com per il quale viene fornito un voucher gratuito riscattabile dalla sezione personale su answers.WebSiteX5.com.

WebSite X5 Free: http://bit.ly/wFzvKp
WebSite X5 Demo: http://bit.ly/gQYZUT

RINGRAZIAMENTI
Il programma da testare mi è stato gentilmente concesso in licenza da Incomedia S.r.l.
Ringrazio ovviamente Dolores Francescato, della parte Web Marketing di Incomedia, con la quale mi sono interfacciato via mail per la preparazione della recensione.

Partendo dalla necessità di venire incontro anche a chi di programmazione ne sa poco o nulla, WebSite X5 consente di create “un sito in 5 passi”, e nello specifico:

1. scelta del template;
2. organizzazione del sito;
3. creazione delle pagine;
4. aggiunta di funzioni avanzate;
5. pubblicazione del sito finale;

L’utente ha la possibilità di scegliere tra piu’ di 1500 template, potendo personalizzare funzionalità avanzate quali l’integrazione con MySQL, la gestione di accessi utente e aree riservate oltre alle classiche funzionalità di feed RSS e news.
Il risultato finale lo si può infine vedere online grazie alla possibilità di pubblicare il tutto usando il motore FTP interno.

Qui sotto trovate la locandina del software WebSite X5 Evolution 9 e del suo “fratello minore” WebSite X5 Compact 9.
Ovviamente è possibile scaricare e provare il programma che pero’ nella versione demo ha salvataggio limitato a 10 pagine e pubblicazione disabilitata.
Appuntamento a presto con la recensione completa del prodotto!

PRESS KIT: WebSite X5 Evolution 9
SITO WEB: WebSite X5 Evolution 9

Adobe Flash incorpora questo concetto tra i suoi meccanismi base di sicurezza per consentire l’accesso solo a determinate tipologie di file locali, tra questi ovviamente i cookies Flash.
Comunemente quindi tutti gli altri file locali della macchina dell’utente sono off-limits, in modo da prevenire il furto di dati da parte di applet Flash malevoli.

Billy Rios, ricercatore di sicurezza presso Google, ha dimostrato come questo modello di sicurezza e le restrizioni imposte in Flash possa essere bypassato in modo da ottenere libero accesso a file locali.

Il “trucco” della vulnerabilità sfrutta la funzione “getURL()” impiegata da Flash per ottenere l’accesso a file remoti.
Una versione dummy dell’attacco utilizzerebbe la funzione getURL usando “file://” per puntare alle risorse del file system locale, tuttavia Adobe ha blacklistato alcuni protocol-handler.

Il blocco imposto non è tuttavia sufficiente e consente di impiegare il protocol-handler “mhtml“, che funziona sulle comuni piattaforme Windows e non è appunto blacklistato. Nessun avviso o messaggio di conferma viene mostrato all’utente in questo caso.

FONTE:
Flash Local-with-filesystem Sandbox Bypass, by SANS Technology Institute

APPROFONDIMENTI:
- Bypassing Flash’s local-with-filesystem Sandbox, sul blog di Billy (BK) Rios
- Flash Player Security Basics
- Security Domains, Application Domains, and More in ActionScript 3.0

Alcune falle che interassano il software di casa Mozilla, possono essere sfruttate per lanciare attacchi “drive-by-download” e conseguente esecuzione di malware, semplicemente navigando apposite pagine web.
11 vulnerabilità su 13 sono state etichettate come “critical”, poichè per l’appunto non richiedono alcuna interazione utente al di là della normale navigazione.
Una patch, è in realtà un nuovo aggiornamento per una issue che Mozilla era convinta di aver definitivamente fixato già nel mese di marzo.

Altre possibili conseguenze delle falle individuate sono attacchi di tipo cross-site scripting (XSS), Denial-of-Service (DoS) e bypass della sicurezza Java.

Ecco una lista delle vulnerabilità critiche che interessano le versioni Firefox 3.5 e 3.6:

• MFSA 2010-84 XSS hazard in multiple character encodings
• MFSA 2010-83 Location bar SSL spoofing using network error page
• MFSA 2010-82 Incomplete fix for CVE-2010-0179
• MFSA 2010-81 Integer overflow vulnerability in NewIdArray
• MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
• MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
• MFSA 2010-78 Add support for OTS font sanitizer
• MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
• MFSA 2010-76 Chrome privilege escalation with window.open and <isindex> element
• MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
• MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)

Gli utenti dovrebbero aver già aggiornato il proprio browser tramite il classico sistema di aggiornamento automatico, alle versioni 3.5.16 e 3.6.13.
Nel caso cosi’ non fosse, l’update è fortemente consigliato.

I responsabili di Twitter hanno fatto sapere che non appena la diffusione del worm è stata scoperta, hanno provveduto a notificare la procedura di password reset per tutti coloro che sono stati interessati dal problema.
E’ stato anche consigliato un controllo sulle connessioni oAuth “autorizzate” per verificare la possibilità che ne siano state aggiunte alcune in maniera illecita ed eventualmente rimuoverle.

Per tutti coloro che hanno cliccato sui link sopra riportati, l’effetto è stato quello di un primo redirect verso un sito compromesso di una compagnia francese di mobili, e successivamente ad altri domini.
La cosa interessante è come il worm sembra si sia diffuso principalmente attraverso le piattaforme Twitter per dispositivi mobile.
Gerry Egan, direttore di Symantec Security Response, ha fatto sapere come gli URL malevoli in questione punti in effetti ad una copia del “Neosploit attack toolkit“.

I servizi di URL shortening non sono nuovi al fatto di essere sfruttati per questo tipo di attacchi.
Da un lato la loro utilità nel “comprimere” un URL di molti caratteri, specie quando si usano piattaforme come Twitter che impongono un limite di 140 caratteri per messaggio. Dall’altra il fatto che si prestano bene a nascondere i domini reali, rendendo cosi’ all’utente finale più difficile individuare un sito trappola.

Hon Lau, ricercatore presso Symantec, ha comunque evidenziato come alcuni servizi siano migliori di altri. Tiny.cc per esempio offre una pagina di statistiche dove chiunque può verificare il numero di click effettuati verso un particolare link e la destinazione reale dell’URL compresso. Altri invece come bit.ly, integrano dei meccanismi di blacklisting per filtrare in maniera (semi)automatizzata i tentativi di creare short link per far puntare a siti contenenti malware.

La nuova cifra è infatti di ben 3000$, un grosso salto se si considerano i “soli” 500$ che fin dal 2004 venivano pagati per i vari bug scoperti.

Nel programma di bug-hunting di Mozilla sono stati aggiunti due nuovi prodotti: Mozilla Services e Firefox Mobile.

Lucas Adamski, security engineer director di Mozilla, ha scritto sul blog del gruppo riguardo la nuova “taglia” e indicato quelle che sono le regole fondamentali per aggiudicarsela:

• il bug deve essere originale e mai stato pubblicato prima;
• il bug deve essere di tipo remote exploit;
• il bug deve essere individuato in una delle ultime versioni ufficiali, beta o release candidate dei vari Firefox, Firefox Mobile, Thunderbird o Mozilla Services;
• il bug non deve essere causato o individuato in plugin/estensioni di terze parti.

Stranamente ho notato l’errore:

The email address or password you provided does not match our records

Dopo i classici tentativi di reinserire la password e cancellazione di cache e cookie, ho pensato ci fosse qualcosa non andasse.

La prima supposizione è stata che per qualche motivo il sistema avesse accettato i caratteri speciali della password ma fosse andato storto qualcosa nella fase di salvataggio.
Ho proceduto quindi alla procedura di recupero password e inserito una nuova password di 24 caratteri senza caratteri speciali.

Tuttavia al tentativo di login ancora una volta lo stesso errore.
Dopo una rapida ricerca su Google ho trovato questo interessante post a riguardo: “LinkedIn Password Length Confusion“.
Il problema sembra sia che la password del proprio account deve avere una dimensione minima di 6 caratteri e massima di 16.
Il sistema ha infatti troncato la mia password di 24 (caratteri speciali o no non fa alcuna differenza), tant’è che provando a prendere i primi 16 si riesce ad effettuare correttamente il login.

La cosa alquanto strana è che da nessuna parte venga riportato che i caratteri non possono superare i 16, né tanto meno viene notificato che il campo sta superando la lunghezza consentita in fase di modifica.
Nella home page la maschera di registrazione, ad esempio, sotto il campo password riporta il messaggio:

6 or more characters

Lo stesso autore del post che ho trovato, è venuto a conoscenza del motivo solo dopo aver inviato una mail al supporto tecnico.
Occhio dunque alla lunghezza della password scelta

Le considerazioni di questo post riguardano l’attuale versione di Ubuntu 9.04 (Jaunty Jackalope) installata sul mio pc desktop, ma penso possano essere applicate tranquillamente alla più recente 9.10.
In particolare quello che ci serve è prelevare direttamente dal sito del progetto pidgin-facebookchat l’ultima versione, nel mio caso la 1.63.
E’ necessario inoltre procurarsi il .deb della libreria libjson-glib-1.0-0: pidgin-facebookchat infatti richiede una versione >= 0.7.6.
Quest’ultimo è disponibile direttamente da qui:
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_i386.deb
- http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_amd64.deb

Una volta installati entrambi i .deb e creato l’apposito account da Pidgin sarà possibile sfruttare la chat dal nostro programma di instant messaging preferito.
Le versioni di pidgin-facebookchat e libjson-glib-1.0-0 disponibile sui repository ufficiali e accessibili ad esempio da “Sistema->Amministrazione->Gestore pacchetti” sono datati.
Personalmente tempo addietro ho avuto modo di provarli e ho notato parecchi problemi.
Buona chat dunque!

Il problema è stato individuato nella mancata validazione dell’input da parte dell’applicazione in una chiamata alla funzione eval(): ciò può consentire l’eventuale esecuzione di codice Javascript arbitrario.

Una volta lanciato il codice viene eseguito con i privilegi di sistema e questo consente l’accesso alle risorse della macchina bersaglio. Affinché l’attacco avvenga con successo è necessario che l’utente visiti una pagina web “contraffatta” e che sia “ingannato” e portato a cliccare su determinati pulsanti della toolbar.

Secunia ha individuato il bug nella versione 0.5.9, ma potenzialmente altre versioni potrebbero essere affette dal problema.
L’ultima versione rilasciata ovvero la 0.5.9.2 risolve il problema ma non è ancora stabile, ma taggata come “experimental“.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3

Il team di sviluppo ha fixato la validazione certificati in php_openssl_apply_verification_policy e aggiunto dei sanity check in imagecolortransparent() e nel codice di processing dei file EXIF (Exchangeable Image File Format).
I dettagli completi sono visibili alla pagina delle Release notes.

Secondo un post pubblicato sul blog ufficiale di Google, le performance Javascript sono state migliorate del 150% rispetto alla prima beta e di ben il 25% rispetto all’ultima stable release: tutto questo grazie agli aggiornamenti al motore Javascript V8.

La release include una nuova pagina “New Tab” riprogettata per essere personalizzabile secondo le preferenze dell’utente e customizzabili nel look-and-feel mediante il supporto built-in per i temi.
La barra degli indirizzi “Omnibox” utilizza ora icone diverse per distinguere azioni come la ricerca, bookmarks e pagine precedentemente visitate.
Il nuovo Google Chrome 3.0 inoltre introduce nuove caratteristiche HTML 5, gli elementi <audio> e <video>.

Questa ultima release inoltre corregge un problema di sicurezza riguardante i contenuti dei feed RSS o Atom, onde prevenire i tentativi di injection di codice Javascript e attacchi cross-site scripting (XSS).
La versione è disponibile in 50 lingue differenti per i sistemi operativi Windows XP e Vista.

Ancora da rilasciare invece una versione stabile per Chrome su sistemi Linux e Mac OS X.
L’ultima versione rilasciata circa una settimana fa attraverso il Developer Channel è la 4.0.207.0, e corregge alcuni bug oltre a fixare un problema di XSS.

Sembra infatti che la versione Firefox 4.0 sarà rilasciata ad ottobre o novembre del prossimo anno.

Nel frattempo compariranno le minor release 3.6 e 3.7 previste rispettivamente per la fine di quest’anno e l’inizio/metà del prossimo.

Già all’inizio di questa estate erano stati annunciati alcuni dei cambiamenti all’interfaccia di Firefox che interverranno in occasione della major release.

Accolti con favore anche i rumor di rendere il browser più Chrome-like con la separazione dei processi di UI e gestione dei contenuti Web.

Sempre da Google Chrome dovrebbe essere ripresa l’idea un processo per ogni tab onde evitare fastidiosi crash e perdite di sessioni, rendendo così più stabile la navigazione.

Con tutta probabilità Mozilla sceglierà di rilasciare Firefox 3.6 in un periodo concomitante l’uscita del nuovo Microsoft Windows 7, prevista il 22 ottobre prossimo.

La versione codenamed Namoroka e basata su Gecko 1.9.2 porterà con sé alcuni miglioramenti tra cui una migliore browser-interaction, temi più leggeri, migliorie al motore Javascript TraceMonkey e un restore delle sessioni più affidabile.

Il consiglio è quindi quello di verificare le installazioni ColdFusion esistenti ed eventualmente patchare i sistemi. Gli amministratori dovrebbero anche controllare l’eventuale presenza di applicazioni ColdFusion “vecchie” e mai disinstallate: anche queste potrebbero essere un potenziale target degli attacchi.

L’email contiene naturalmente un link che porta ad una pagina di login SquirrelMail contraffatta.
Va chiarito tuttavia che la versione attuale è la 1.4.19 e come detto sopra non ci sono possibilità che il codice sorgente sia stato manipolato.

RIFERIMENTI:
– SquirrelMail open source project’s web server hacked, by Heise Security

A seconda di come è configurato il web server, la prima richiesta può quindi fare in modo che vengano mantenute delle risorse per la response in attesa che venga completata l’intera request.
I web server vulnerabili a questa sorta di “freno a mano” remoto sono stranamente proprio quelli che implementano strategie per evitare gli overload, per esempio, consentendo solo un determinato numero di richieste HTTP parallele.
Stando a quanto dichiarato da Hansen fra questi Apache Server 1.x e 2.x, dhttpd, GoAhead WebServer e Squid. Non vulnerabili al problema IIS6.0, IIS7.0 e lighttpd.
I web server possono essere protetti mediante l’utilizzo di load balancers come Perlbal o web applications firewall che forwardino in maniera completa le richieste HTTP al server.
In caso di attacchi improvvisi, il problema può essere “mitigato”, semplicemente riducendo il parametro di time-out per le richieste http.

RIFERIMENTI:
* Remote handbrake for web servers by Heise Security
* Slowloris HTTP DoS, an explanation of the Slowloris concept from RSnake.

Volendo essere precisi non ci sono vere e proprie vulnerabilità nelle API di Twitter: si tratta invece di implementazioni errate o poco attente delle API di querying da parte di terzi.
Raff afferma di aver già individuato un numero di bug nei servizi di terze parti (che usano le API Twitter) tale da “riempire” tutto il mese di segnalazioni.
Detto questo è comunque disponibile a ricevere notifiche da parte di qualunque sviluppatore o appassionato che abbia scoperto qualche falla.
Lo scopo dell’iniziativa è sensibilizzare circa i potenziali problemi derivanti da uso non accorto delle API Twitter, ma in generale di API Web 2.0 generiche.
Vista comunque la possibilità di diffondere worms utilizzando queste vulnerabilità Raff ha deciso di dare 24 ore di “pre-avviso” agli operatori Twitter e sviluppatori interessati ogni qualvolta verrà rilasciato un report.
Bisognerà vedere se i fix riusciranno ad essere rilasciati in così poco tempo.

Il “Month of Twitter Bugs” prosegue la serie di iniziative simili che ha visto in precedenza i vari”Month of Browser Bugs”, “Month of Apple Bugs”, “Month of PHP Bugs” e “Month of Kernel Bugs”.
Il “Month of Java Bugs” si è invece rivelato, almeno per ora, un pesce d’aprile.

FONTE: July to be the “Month of Twitter Bugs” by Heise Security

Dopo essersi accorta che la sua protezione può essere scavalcata dal supporto RTMPE integrato in rtmpdump, ha fatto partire un avviso “cease-and-desist”, invocando il Digital Millennium Copyright Act (DMCA) per impedire la distribuzione del software.
Una analisi del RTMPE pubblicata di recente giunge alla conclusione che, nonostante l’algoritmo utilizzi un modello di sicurezza end-to-end simile al protocollo SSL, a differenza di questo non fornisce alcuna sicurezza o autenticazione di sorta.
Non viene utilizzata da nessuna parte una chiave segreta, una password o una pass-phrase per cifrare/decifrare il contenuto.
Il processo di verifica necessita semplicemente dell’SWFHash (hash di 32 bytes), della dimensione del file SWF, e degli ultimi 32 bytes della prima risposta del server.
Alla luce di questo sembra alquanto strano che Adobe invochi il DMCA per classificare questa situazione come un tentativo di aggirare un meccanismo di protezione delle copie.

Di certo tutto ciò non pone in buona luce Adobe di fronte ai suoi clienti,network televisivi e studios cinematografici in primis.
L’uso del protocollo RTMPE per la distribuzione di contenuti DRM-protected è diventato sempre più diffuso infatti.
Nel contempo si segnala flvstreamer, una versione “ridotta” di rtmpdump, che non include il supporto RTMPE.

RIFERIMENTI:
Adobe acts against Flash video stream recorder, by Heise OpenSource

Stando a Carettoni e Di Paola, questo può causare comportamenti anomali e indesiderati, oltre a prestarsi a potenziali attacchi di sicurezza.
Gli stessi WAFs (Web Application Firewalls) e i moduli di sicurezza dei server sarebbero vulnerabili ad attacchi di tipo HPP.
Mentre il modulo Apache’s ModSecurity è infatti in grado di riconoscere un attacco SQL-injection come questo:
/index.aspx?page=select 1,2,3 from table where id=1
non è in grado di inviduare quest’altro:
/index.aspx?page=select 1&page=2,3 from table where id=1
La tecnica HPP potrebbe altresì essere usata per lanciare attacchi di tipo Cross-Site-Scripting (XSS) a danno dei vari web browsers.
Il filtro anti-XSS di Internet Explorer 8 è infatti tra i componenti vulnerabili.

Carettoni e Di Paola come “rimedio” consigliano un filtering appropriato e rigoroso dei parametri oltre all’uso dell’URL encoding. Suggerito anche l’uso di un URL rewriting che utilizzi espressioni regolari “sicure”.

RIFERIMENTI:
- New type of attack on web applications: Parameter Pollution, by Heise Security

Link per effettuare il download della nuova versione 1.4.18.

Riferimenti:
– Security Update for SquirrelMail, by Heise Security

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
- Future Firefox to run separate processes, by Heise Open Source

Stando a quando dichiarato da Graham Cluley di Sophos, il cracker avrebbe avuto accesso all’interfaccia di admin dopo aver indovinato la “domanda segreta” dell’account email di un impiegato di Twitter.
Questo gli ha cosi’ consentito di resettare la password e di individuare le credenziali di login dell’impiegato nella casella di posta.
Twitter afferma, dopo aver esaminato l’accaduto, che solamente dieci account personali sono stati “violati”. In ogni caso non sono state modificate le password o consultati i messaggi personali.
Verrà ora condotto un audit più approfondito di tutti i sistemi interni e verranno adottate ulteriori misure di sicurezza contro tentativi di intrusione.

RIFERIMENTI:
- Twitter vu de l’intérieur – Interface admin piratée !, Korben blog
- Twitter confirms security breach, by Heise Security

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.

Gli aggiornamenti sono disponibili per le piattaforme Windows, Mac OS X e Linux, e fixano due vulnerabilità.
Uno è per l’appunto il problema legato al parsing XSL, scoperto da Guido Landi e precedentemente segnalato da un utente della comunità Ubuntu come problema di stabilità.
L’altra vulnerabilità riguarda la possibilità di eseguire codice, legata ad un bug del metodo XUL tree. Questo bug è stato reso noto da Nils al Pwn2Own 2009.

Disponibili le Release Notes di Firefox 3.0.8.

RIFERIMENTI:
- Firefox 3.0.8 now available, by Heise Security

Il software una volta preso in input l’SWF da analizzare è in grado di decompilare il bytecode ActionScript 2/3 in codice sorgente originale, permettendone la scansione, alla ricerca di oltre 60 vulnerabilità conosciute.
Il tool è in grado di controllare svariati tipi di vulnerabilità, inclusi problemi di escalation di privilegi cross-domain, cross-site scripting (XSS) e altri leak nella sicurezza di informazioni confidenziali.
A tutto questo si aggiunge un check con le “best practices” di Adobe in fatto di sicurezza.

Stando a quanto riferito da Billy Hoffman, manager dell’HP Web Security Research Group, durante la fase di testing, gli autori hanno scaricato e scansionato col tool oltre 4000 applicazioni Flash in giro per la rete.
All’incirca il 35% di queste viola alcune delle security best practices di Adobe.
Dati sensibili come chiavi di crittazione, username e password sono spesso memorizzate nel codice Flash client-side.
Inoltre su 250 applicazioni con un form di login, ben il 15% conteneva username e password hard-coded.
E’ disponibile un video che dimostra come questi tipi di vulnerabilità in applicativi Flash possono essere sfruttati.

Il tool supporta tutte le versioni pubbliche di Flash e include delle funzionalità in grado di identificare e evidenziare pratiche di programmazione non sicura, suggerendo di volta in volta le best practices.
SWFScan consente agli sviluppatori di fare auditing anche su applicazioni di terze parti, senza avere accesso ai sorgenti originali.
Maggiori informazioni si possono trovare sulla pagina delle FAQ di SWFScan.

RIFERIMENTI:
- HP publishes free security tool for Flash developers, by Heise Security
- Creating more secure SWF web applications, report from Adobe.

Riferimenti:
- PHP 5.2.9 Release Announcement
- PHP 5.2.9 published, by Heise Security

La falla riguarda i moduli mod_sql_mysql e mod_sql_postgres utilizzati da coloro che hanno abilitato l’autenticazione degli utenti da database SQL.
L’attacco è di tipo SQL injection: mediante username e passwords “creati” usando caratteri multi-byte è possibile bypassare i metodi di “string escaping” e eseguire codice SQL.
Questo puo’ consentire di rilevare ad esempio la lista degli utenti o addirittura di effettuare un reset delle passwords.
Tutte quelle installazioni che usano un’autenticazione utente basata sul s.o. non corrono alcun rischio.

La versione 1.3.2 che corregge il problema è già disponibile.
A breve dovrebbe essere rilasciata anche una patch per le versioni 1.3.1.
A ruota dovrebbe seguire gli aggiornamenti automatici forniti da tutte le maggiori distribuzioni Linux.

Riferimenti:
- Encoding-dependent SQL injection vulnerability, ProFTPD bug report with patch.
- SQL injection vulnerability in ProFTPD closed, by Heise Security

I tentativi di phishing sembrano provenire da account email del tipo:
customerserviceXXXX@gmail.com
dove XXXX è un numero di 4 cifre.
Una volta cliccato, agli utenti viene presentata una vera pagina di evento Google Calendar che contiene numerosi errori grammaticali.
Il contenuto è simile a questo “we are having congestions due to the anonymous registration of Gmail accounts so we are shutting down some Gmail accounts”. Dopo di che viene richiesto di confermare le proprie credenziali.

Informazioni aggiuntive:
- Google Calendar Phishing returns, by Heise Security
- Phishing with Google Calendar, Graham Cluley’s blog

ESET Smart Suite per Windows è invece interessata da un problema riguardante il driver epfw.sys: sarebbe possibile ottenere i privilegi di sistema utilizzando particolari richieste IOCTL.
E’ già stato rilasciato un aggiornamento che fixa il problema.

Per quanto riguarda AVG per Linux è stata riscontrata una falla nel parsing dei pacchetti UPX che potenzialmente puo’ essere usata per code injection exploits.
La versione interessata è la 7.5.51 e non c’è alcuna patch disponibile al momento.
Problemi anche per la versione linux di BitDefender che soffre di integer overflows in fase di analisi di binari PE corrotti compressi con i packers Neolite o ASProtect.
In questo caso pero’ la casa madre ha già fixato il problema nelle versioni successive alla 7.6.0825.
Sempre in ambito Linux problemi di crash per Sophos SAVScan 4.33.0 che nella scansione di alcuni tipi di file compressi (con i packers Armadillo, ASProtect, asprotectSKE, CAB).
A quanto pare sono stati risolti i problemi con i file .CAB ma non con gli altri.
A chiudere la lista una vulnerabilità in Avast per Linux v1.0.8 (trial) già eliminata nelle successive (disponibile per il download la 1.2.0).

Ulteriori informazioni:
- Vulnerabilities in several virus scanners by Heise Security
- Trend Micro HouseCall “notifyOnLoadNative()” Vulnerability, Secunia advisory
- Bitdefender antivirus for Linux multiple vulnerabilities, iViZ advisory
- ESET Smart Security (epfw.sys) Privilege Escalation Vulnerability, NT Internals advisory
- Sophos Anti-Virus fuzzed CAB archive vulnerability reported; Sophos advisory
- Sophos Antivirus for Linux, iViZ advisory
- AVG antivirus for Linux, iViZ advisory
- Avast antivirus for Linux multiple vulnerabilities, iViZ advisory

Il numero dei dipendenti un po’ troppo curiosi non è stato reso noto, tuttavia la compagnia sta investigando a riguardo. Gli impiegati un po’ troppo zelanti sono stati momentaneamenti sospesi.
Questo spiacevole episodio mette nuovamente in evidenza il problema della sicurezza nelle comunicazioni per chi ricopre cariche cosi importanti.
La necessità inoltre di archiviare documenti ufficiali quali le stesse e-mails, porterà sicuramente Obama dal 20 gennaio 2009 (data di insediamento alla Casa Bianca) in poi a valutare soluzioni alternativa al semplice Blackberry di cui sembra fare parecchio uso negli ultimi tempi.

RIFERIMENTI:
- Verizon staff break into Obama’s cell phone account, by Heise Security
- Personal Cell Phone Account of President-Elect Obama Accessed by Unauthorized Employees

Il National Security Research Institute avrebbe infatti riferito che la rete informatica oggetto di questi attacchi è quella della LIGNex1 Hyundai Heavy Industries, società che produce missili teleguidati, armi terra-aria, navi da guerra e sottomarini.

Un portavoce ha detto che “i possibile sospetti ricadono su black hat cinesi o nord coreani, ma non è ancora certo quali informazioni sia state effettivamente rubate… La peggiore delle ipotesi è che siano stati sottratti i blueprints di alcuni missili e della nave Aegis”.
Quel che invece è sicuro è che la backdoor è stata installata già a marzo ed è stata individuata solamente il mese scorso.

FONTI E APPROFONDIMENTI:
- Hackers penetrate South Korean missile manufacturer, by The Register
- South Korean defence suppliers uncover malicious code
- Defense Industries Assailed by Hackers

Qualcuno di voi ha esperienze a riguardo ? Consigli ?

I crackers non hanno modificato i record di siti web importanti, ma hanno semplicemente modificato l’indirizzo della pagina pubblicitaria dell’ISP.
La maggior parte dei clienti arriva a questa pagina quando per esempio sbaglia a digitare l’url di un qualsiasi sito web. Gli ISP usano questo metodo di redirection, conosciuto anche come Typosquatting, per pubblicizzare la disponibilità di domini e di prodotti correlati.
A seguito dell’attacco tuttavia i clienti non raggiungono la pagina del provider, bensi’ una serie di pagine contraffatte e riempite di ogni sorta di trojan e malware.

Molto probabile quindi che i name servers di Netcom non siano stati adeguatamente patchati.
Gli unici attacchi “ufficiali” di cache-poisoning sono stati quelli che hanno visto coinvolta AT&T.
All’ultima conferenza Black Hat, Dan Kaminsky ha riportato lo stato attuale di patching dei sistemi delle compagnie all’interno della Fortune 500: il risultato è che attualmente il 70% di essi hanno applicato le dovute contromisure mediante aggiornamenti mirati.

Riferimenti:
* DNS poisoners hijack typo domains, by Heise Security
* China Netcom DNS cache poisoning, warning from Websense

Dopo questa digressione su Aptana, tornando all’argomento vero e proprio del post, volevo porre l’accento su un bug che interessa la modalità di editing via FTP.
Per comodità e rapidità puo’ rivelarsi necessario intervenire direttamente via ftp su un sito/webapp già presente per modificare alcuni file o aggiungerne di nuovi in maniera immediata.
Nel far questo bisogna prestare attenzione al fatto che di default Aptana crea i nuovi file con permessi settati a 666 o rw-rw-rw.
Questa soluzione puo’ pero’ creare problemi in alcuni contesti.
Molti servizi di hosting infatti per motivi di sicurezza precludono la possibilità di impostare per file e cartelle il (w)rite bit per “All Users” e “Group Users”.
Questo comportamento è dovuto spesso all’uso di suphp (modulo per apache) o altri tool simili.
Accedendo quindi alla propria pagina php ci si potrà cosi’ trovare di fronte ad un bel messaggio d’errore “Server 500…etc.etc.”.
Va detto che per le modifiche sui file non v’è alcun problema (almeno non l’ho riscontrato), pero’ per i nuovi file che vengono creati si.
La soluzione sta quindi nel modificare a mano i permessi per i nuovi files a 644 o rw-r–r– o caricarli via qualche client ftp come Filezilla.

Attualmente infatti a quanto pare non v’è possibilità di cambiare i permessi dei file direttamente da Aptana o almeno questa funzionalità è preclusa per gli utenti della Community Edition.
Gli utenti della versione Pro invece possono intervenire seguendo queste istruzioni.

Sul forum di supporto di aptana si trovano parecchi topic a riguardo, tant’è che è stata aperta anche una segnalazione (STU-1792) sull’apposito sistema di bug tracking.
A quanto pare con la prossima versione 1.2 di Aptana dovrebbe venire introdotta una finestra di opzioni per consentire di impostare i permessi di default da assegnare ai nuovi file remoti.

Concludo semplicemente confermando la bontà di questo plugin e il consiglio per chi sviluppa webapp in Java di integrarlo comunque visto l’ottimo sistema di code assist/formatting e syntax highlighting/validation per i linguaggi Javascript, Html e Css.

Accanto ad un problema di cross-site scripting (XSS), vengono elencate due possibili attacchi di tipo cross-site request forgery (CSRF).
Problemi per il modulo di upload di Drupal 6 che contiene vulnerabilità che rendono possibile un’escalation di privilegi da parte degli utenti che hanno impostato il permesso “upload files”.
Altra vulnerabilità legata l’upload riguarda il modulo BlogAPI che non effettua una corretta validazione delle estensioni dei file caricati.

Disponibili per il download le versioni aggiornate 5.10 e 5.4 e le relative patches per versioni precedenti.

RIFERIMENTI:
* Security updates for Drupal CMS, by Heise Security
* SA-2008-047 – Drupal core – Multiple vulnerabilities, security advisory by the developers

Quando viene richiesto un password reset viene inviato via mail un token.
Il problema risiede nel sistema di validazione del token quando questo viene presentato dall’utente: la falla consente infatti ad un utente non autorizzato e non autenticato di effettuare il reset della password del primo utente abilitato.
Tipicamente il primo utente attivo è quello dell’amministratore: ecco spiegata la pericolosità del bug.
Il team di Joomla fa notare come cambiando lo username dell’account di amministratore può limitare l’impatto del problema visto che l’attaccante sa solamente che sta andando a resettare la password del primo account registrato e deve indovinarne il login name.

Consigliatissimo quindi l’upgrade alla versione 1.5.6 o l’applicazione diretta della patch all’installazione esistente.
E’ necessario intervenire sul file: /components/com_user/models/reset.php
Aggiungere dopo global $mainframe, alla linea 113, il seguente snippet di codice:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}


Riferimenti:
- Joomla suffers already-exploited critical vulnerability, by Heise Security
- Joomla 1.5.x Remote Admin Password Change, by Milw0rm

AVG Free risulta così l’applicazione più scaricata in assoluto in un periodo di tempo così breve (v. http://download.html.it). Da aprile, quando è stato lanciato il prodotto in inglese sul mercato, gli italiani che lo hanno scaricato da html.it sono circa 3.300.000.

L’altissimo numero di download raggiunto conferma quanto AVG sia davvero apprezzato dagli utenti. AVG Free è il software più scaricato su html.it tra il 14 Giugno e il 14 Luglio 2008. Solo un altro anti-virus è presente nella top-ten del sito. Si tratta di Avast, che occupa la nona posizione e che raggiunge solamente il 20 per cento dei download registrati da AVG nello stesso periodo.

AVG Free offre protezione di base contro virus e spyware, insieme alla componente di navigazione sicura fornita dalla tecnologia brevettata da AVG LinkScanner®. La versione free non include la componente di navigazione sicura proattiva, che fa parte del modulo completo di LinkScanner® e si può trovare invece inclusa nei prodotti AVG destinati al commercio. AVG Free non fornisce inoltre protezione contro hackers, keyloggers, spam, attacchi di phishing e download di file infetti.

Ulteriori dettagli e informazioni sui prodotti AVG sono reperibili sul sito www.avg.it.

AVG Free 8.0 è realizzato per l’utilizzo personale e non commerciale su singoli computer che supportano Windows 2000, XP o Vista ed è attualmente disponibile in inglese, giapponese e italiano. Sebbene AVG Technologies non offra supporto per l’utilizzo di AVG Free 8.0, l’azienda ospita un sito web e un forum per favorire la diffusione del supporto fornito da parte degli utenti, all’indirizzo http://free.avg.it (che è assimilabile a free.avg.com per questioni di corporate appearance).

FONTE: Comunicato stampa di AVG Technologies

FONTE:
- Homer Simpson and the Kimya Botnet, by FaceTime Security Labs Blog

Da adesso in poi non dovreste più vedere alcun popup
Grazie ancora a Massimo!