.:: Securnetwork.net Blog – Massimo Rabbi ::.

Alcuni giorni fa tra i post Facebook di uno dei miei contatti, è comparso un interessantissimo talk di Mikko Hypponen, intitolato “Fighting viruses, defending the net”.
Per chi non lo conoscesse Hypponen è uno dei pezzi di grossi di F-Secure, compagnia nella quale è dal lontano 1991. Di sicuro è uno che in fatto di virus, malware e security in genere “ne sa a pacchi” per usare un’espressione.
Il talk merita veramente di essere visto, 20 minuti godibilissimi dall’inizio alla fine ad alto contenuto tecnico, ingegno e un pizzico di humor.

L’esperto di sicurezza Aviv Raff ha nominato il mese di luglio come “Month of Twitter Bugs” (MoTB).
Lo scopo è quello di pubblicare i dettagli di una vulnerabilità al giorno, legata all’uso delle API di Twitter.
Le API consentono ai normali utenti di configurare, gestire e interrogare lo stato del proprio account mediante richieste http.
Raff ha infatti già fatto notare come sia possibile sfruttare le API che interrogano twitpic.com (servizio immagini di Twitter) per diffondere worms.

Volendo essere precisi non ci sono vere e proprie vulnerabilità nelle API di Twitter: si tratta invece di implementazioni errate o poco attente delle API di querying da parte di terzi.
Raff afferma di aver già individuato un numero di bug nei servizi di terze parti (che usano le API Twitter) tale da “riempire” tutto il mese di segnalazioni.
Detto questo è comunque disponibile a ricevere notifiche da parte di qualunque sviluppatore o appassionato che abbia scoperto qualche falla.
Lo scopo dell’iniziativa è sensibilizzare circa i potenziali problemi derivanti da uso non accorto delle API Twitter, ma in generale di API Web 2.0 generiche.
Vista comunque la possibilità di diffondere worms utilizzando queste vulnerabilità Raff ha deciso di dare 24 ore di “pre-avviso” agli operatori Twitter e sviluppatori interessati ogni qualvolta verrà rilasciato un report.
Bisognerà vedere se i fix riusciranno ad essere rilasciati in così poco tempo.

Il “Month of Twitter Bugs” prosegue la serie di iniziative simili che ha visto in precedenza i vari”Month of Browser Bugs”, “Month of Apple Bugs”, “Month of PHP Bugs” e “Month of Kernel Bugs”.
Il “Month of Java Bugs” si è invece rivelato, almeno per ora, un pesce d’aprile.

FONTE: July to be the “Month of Twitter Bugs” by Heise Security

Per tutti gli appassionati di Web Application Security, segnalo questo blog che ha aperto i battenti giusto la settimana scorsa.
Si tratta del SANS Web Application Security blog: http://blog.appsecstreetfighter.com/
Gli autori sono Johannes Ullrich and Jason Lam, gestori dell’ISC (Internet Storm Center), oltre ad altri istruttori certificati SANS.

SourceForge, uno tra i piu’ famosi hoster per progetti opensource, ha rimosso dal proprio network le pagine riguardanti il software di stream-recording rtmpdump.
Tutto questo a seguito dell’ultimatum di Adobe, che era già pronta a passare alle vie legali.
Il programma utilizza il Real-Time Messaging Protocolo (RTMP) per registrare non solo semplici media Flash, ma anche stream criptati.
Adobe ha aggiunto un sistema di crittografia al proprio protocollo proprietario con l’introduzione di Flash Media Server 3, al fine di impedire la registrazione e il download “selvaggio” dei contenuti flash.
Il protocollo RTMPE (RMTP encrypted) è stato ideato proprio a questo scopo.

Dopo essersi accorta che la sua protezione può essere scavalcata dal supporto RTMPE integrato in rtmpdump, ha fatto partire un avviso “cease-and-desist”, invocando il Digital Millennium Copyright Act (DMCA) per impedire la distribuzione del software.
Una analisi del RTMPE pubblicata di recente giunge alla conclusione che, nonostante l’algoritmo utilizzi un modello di sicurezza end-to-end simile al protocollo SSL, a differenza di questo non fornisce alcuna sicurezza o autenticazione di sorta.
Non viene utilizzata da nessuna parte una chiave segreta, una password o una pass-phrase per cifrare/decifrare il contenuto.
Il processo di verifica necessita semplicemente dell’SWFHash (hash di 32 bytes), della dimensione del file SWF, e degli ultimi 32 bytes della prima risposta del server.
Alla luce di questo sembra alquanto strano che Adobe invochi il DMCA per classificare questa situazione come un tentativo di aggirare un meccanismo di protezione delle copie.

Di certo tutto ciò non pone in buona luce Adobe di fronte ai suoi clienti,network televisivi e studios cinematografici in primis.
L’uso del protocollo RTMPE per la distribuzione di contenuti DRM-protected è diventato sempre più diffuso infatti.
Nel contempo si segnala flvstreamer, una versione “ridotta” di rtmpdump, che non include il supporto RTMPE.

RIFERIMENTI:
Adobe acts against Flash video stream recorder, by Heise OpenSource