PHPXMLRPC è un componente incluso in decine di web application scritte in PHP. Il suo scopo è quello di implementare in PHP il protocollo XML-RPC per consentire remote call tra differenti host che utilizzano differenti sistemi: garantisce scambio e portabilità  di dati. In particolare viene utilizzata per gestire i ping che i blog si trasmettono per aggiornare i messaggi inviati.Il protocollo ha sofferto nei mesi scorsi di alcuni problemi di sicurezza. Una vulnerabilità  dello scorso luglio 2005 ha avuto enorme eco tra gli sviluppatori. La libreria infatti viene utilizzata in sistemi come Drupal, Wordpress, Phpgroupware, PostNuke rendendo vulnerabili tutti i sistemi su cui sono installati. Exploit e codici per sfruttarla, come del resto la patch, comparvero subito ma non vi furono attacchi su larga scala, anche se alcuni siti non aggiornati subirono diversi defacement.Oggi qualcuno ci riprova, ma il fine non è quello di "bucare" il sito ma di creare una Botnet. Un wormetto chiamato da Symantec Plupii, e segnato come livello 2 di pericolosità  (su 5), gira da alcuni giorni sul web alla ricerca di versioni di PHPXMLRPC vulnerabili per installare backdoor. In recenti installazioni naturalmente il componente è aggiornato, ma la Botnet che il worm cerca di creare riuscirà  sicuramente a trovare qualche vecchio sistema vulnerabile da sfruttare. Dunque "occhio" e aggiornate le web application installate.

Continua a leggere Una Botnet sfruttando XML-RPC

Categoria: Sicurezza

Tra i servizi del progetto Live divulgati da Microsoft alcuni giorni fa uno è passato quasi inosservato. àˆ il Windows Live Safety Center, una sorta di strumento di analisi delle performance e della sicurezza di un sistema Windows (Windows 2000, XP, e Server 2003). La logica del programma è identica a quella di OneCare, l'antivirus di Microsoft che tuttora è in fase di beta testing e che sarà  lanciato forse l'anno venturo. Accanto alla tradizionale scansione online antivirus, il Windows Live Safety Center offre anche due controlli supplementari: Clean up e Tune Up. (more...)

Continua a leggere Una protezione Live per Windows

Categoria: Sicurezza

Sembra che installare programmi di monitoraggio sul nostro computer sia una pratica che attrae molte software house. L'ultima a cascarci è però un'azienda che vende musica, la Sony. Un'eccellente analisi di Mark Russinovich, sviluppatore di Sysinternals, ha rivelato che installando il player utilizzato da Sony per riprodurre alcuni CD musicali sul PC, ci si trova installato sul computer addirittura un rootkit.Un rootkit è un programma utilizzato per nascondere agli occhi dell'utente le attività  di uno o più software. I rootkit sono di solito utilizzati per mascherare le azioni di uno spyware, di un logger di tastiera e di altri softwarini simili. Sono componenti decisamente intrusivi: modificano in profondità  le attività  del sistema operativo monitorando, filtrando e modificando ogni API in modo da ripulire ogni chiamata al sistema. Se un software è coperto da un rootkit non viene visualizzato né sfogliando l'hard disk, né visualizzando i processi in esecuzione e così via.Non è normale che per ascoltare un CD il sistema debba essere forzato ad operazioni così intrusive, ma è inaccettabile che tentando di rimuovere il rootkit, Windows faccia sparire il CD-Rom dalla lista dei drive installati. È proprio quello che è successo a Russinovich quando ha cercato di cancellare i riferimenti al software che, oltre a non essere citato nella End User License Agreement (EULA), non era provvisto di nessuno strumento tradizionale di disinstallazione.Sony utilizza un sistema sviluppato dalla First 4 Internet, una società  che vende sistemi di protezione per contenuti digitali normalmente riuniti sotto la denominazione DRM (Digital Right Management). "Non penso - conclude Russinovich - che si sia trovato il giusto equilibrio fra sistemi di protezione digitale e il loro legittimo uso. Questo è un chiaro caso in cui Sony ha spinto il DRM troppo in là ".

Continua a leggere Un rootkit made in Sony

Categoria: Sicurezza

Tags: , ,

Uno spyware è definito come un software che illegittimamente installato nel computer ne monitora le attività  e le invia ad un server per l'elaborazione. Ma se un software spia viene installato con tanto di licenza e di spiegazione, scritta in quelle spesso illegibili End User License Agreement (EULA) che siamo abituati ad ignorare? Forse è spyware, forse no.Il problema, riportato da SecurityFocus, è stato sollevato da Greg Hoglund, un esperto di sicurezza che ha notato come un piccolo software installato assieme al gioco World of Warcraft monitorava l'attività  di tutte le applicazioni installate sul computer, anche quelle che con il gioco non avevano nulla a che fare.Blizzard, la produttrice di World of Warcraft, si difende dicendo che lo spyware non è un vero e proprio spyware: viene utilizzato solamente per rilevare alcuni hack del gioco che, nel gaming online, potrebbero favorire gli utenti più smaliziati. Per fare questo tuttavia Warden, questo il nome dell'applicazione, deve scansionare il computer alla ricerca degli hack, rintracciando i nomi delle finestre aperte e le proprietà  di alcuni processi in esecuzione.Secondo Hoglund, che ha anche scritto un software in grado di rilevare le attività  di Warden, resta comunque uno spyware: "scansionare le attività  di altre applicazioni che nulla hanno a che fare con il gioco stesso è una violazione della privacy".

Continua a leggere Gli spioni autorizzati

Categoria: Sicurezza

Tags:
di

Un interessante articolo di Luca De Nardo per ICTBlog racconta di un breve viaggio in moto nel quale il portatile dell'autore ha potuto denotare come a Milano siano varie le reti Wi-Fi (teoricamente da ufficio) raggiungibili tranquillamente dalla strada. In più, tali reti sono spesso senza protezione ed è possibile accedervi senza problema alcuno navigando tranquillamente in rete. Dall'articolo emergono quantomeno 3 riflessioni: Dove sta la sicurezza se così tanti uffici non proteggono minimamente la propria rete? Come sarebbe bello il mondo cittadino (ma non solo, anzi!!) se il Wi-Fi fosse davvero libero ovunque, stile Google-San-Francisco... Il wardriving è una attività  in bilico tra legalità  ed illegalità , con l'etica e le modalità  d'uso a fare da ago della bilancia. Qui la definizione di Wikipedia

Continua a leggere Milano, il Wi-Fi é ovunque

Categoria: Sicurezza

Tags:

La notizia è vecchia, ma si gonfia di giorno in giorno. Lo scorso 7 ottobre, la polizia olandese ha arrestato tre persone (19, 22 e 27 anni) che avevano creato una botnet, ossia una rete di computer da utilizzare per diverse finalità  criminali. La botnet, dalle prime notizie, sembrava composta da 100 mila computer. Un bel numero, ma ancora minimo in confronto al milione e mezzo di macchine che, come riporta l'Internet Storm Center, erano in realtà  controllate dai tre.Con un esercito di un milione e mezzo di macchine si può fare qualsiasi cosa. I tre, sembra, avevano per prima cosa tentato di estorcere denaro da una compagnia americana minacciandola di utilizzare i milioni di computer per inondare di dati i suoi server (un Denial of Service). Poi avevano cominciato col phishing.La Botnet serviva a tutti gli scopi: lanciare Dos distribuiti, inviare spam, ospitare siti truffa. La rete è stata creata attraverso l'invio, ripetuto in più passaggi, di un worm chiamato Toxbot. Il worm non si replicava via mail, ma sfruttando tre vecchi bug di Windows (due del 2003 e uno del 2002), di cui uno, il bug del DCOM/RPC, fu addirittura sfruttato da Blaster nell'estate del 2003.

Continua a leggere Controllare 1,5 milioni di PC

Categoria: Sicurezza

Tags: , ,

Ajax è davvero una bella tecnologia. La capacità  di riportare le interazioni fra web server e l'interfaccia in modalità  asincrona conferisce più fluidità  di utilizzo e una migliore, come si dice, "user experience". Ma, nel campo delle applicazioni software, aggiungendo complessità  spesso si aggiunge anche minor controllo.Un tale Samy, qualche giorno fa, ha "bucato" Myspace.com, una delle più grandi comunità  di relazioni sul Web, utilizzando le potenzialità  di Ajax. Il giovane, che ha 19 anni e si definisce un "playboy/software developer", ha semplicemente aggiunto al proprio profilo del codice JavaScript che non solo, anche grazie alla complicità  del browser, ha eluso i diversi controlli dell'applicazione Web, ma è riuscito a rendersi praticamente invisibile all'esecuzione utilizzando l'oggetto XMLHTTPRequest. (more...)

Continua a leggere Samy is my hero: Ajax o della sicurezza

Categoria: Sicurezza

Patchare un software per correggerne bug o vulnerabilità  o semplici errori comporta sempre alcuni problemi di compatibilità  con i sistemi reali installati dall'utente. Patchare pezzi di sistema operativo Windows ne comporta decine di altri e la complessità  aumenta a dismisura.La patch distribuita nel bollettino di sicurezza MS05-051 potrebbe creare diversi problemi in alcune configurazioni di Windows. Stando ad un articolo della Knowledge Base potrebbe: Interrompere il servizio Windows Installer Smettere di far funzionare il Firewall Manomettere la cartella Connessioni di rete Impedire l'aggiornamento tramite Windows Update Bloccare l'interpretazione delle pagine ASP Bloccare alcuni servizi di interconnessione (come COM+) Insomma, ce n'è per tutti i gusti. Chi avesse registrato, dopo l'installazione delle patch di Ottobre, alcuni dei problemi di cui sopra, può fare riferimento alle istruzioni di risoluzione contenute nella già  citata pagina di Microsoft. In attesa di una patch della patch.

Continua a leggere Patchare una patch di Microsoft

Categoria: Sicurezza

Tags: ,

Dopo poche ore dalla diffusione delle recenti vulnerabilità  di Windows ed Explorer sono già  stati preparati due exploit in grado di sfruttare i bug descritti nel bollettino MS05-046 e nel bollettino MS05-051. Gli exploit, un Proof Of Concept e un "trigger", sono stati rilasciati alla comunità  dei clienti e partner di Canvas di Immunity, un prodotto di penetration test in grado di scovare vulnerabilità  presenti su reti e sistemi.Gli exploit sono stati sviluppati dal laboratorio della Immunity e dovrebbero essere utilizzati solamente per testare le proprie macchine. I partner e i clienti di Canvas sono legati anche alla confidenzialità  delle informazioni.Delle due vulnerabilità , Microsoft considera critica solamente quella del servizio Microsoft Distributed Transaction Coordinator (MSDTC) divulgata nel bollettino MS05-51 che coinvolge Windows 2000 (non sono affetti Windows XP Service Pack 2 e Windows Server 2003). L'altra coinvolge solamente quesi sistemi Windows in cui è installato un client Netware, non attivo di default e del tutto assente in sistemi Windows XP Home.Come già  capitato in passato, aspettiamoci nelle prossime ore la distribuzione online di malware che si propagano sfruttando questa vulnerabilità . Update: Eccone altri tre, questa volta disponibili per tutti. Li ha pubblicati FrSIRT: Microsoft Collaboration Data Objects Buffer Overflow PoC Exploit (MS05-048), Microsoft Windows Network Connection Manager Local DoS Exploit (MS05-045) e Microsoft Windows FTP Client File Location Tampering Exploit (MS05-044).

Continua a leggere Pronti gli exploit per i nuovi Bug di MS

Categoria: Sicurezza

Una delle novità  più utili, in termini di sicurezza, del prossimo Explorer 7 sarà  la possibilità  di far girare il programma nel cosiddetto Protected Mode. Attraverso questa tecnologia attorno al browser viene costruita una sorta di barriera che impedisce agli script e ai programmi caricati ed eseguiti nel navigatore di intaccare risorse di sistema. Il Protected Mode funzionerà  solo con Windows Vista poiché solo questo sistema operativo supporta la tecnologia UAP (User Account Protection).Anche su Explorer 6 si può però utilizzare un sistema simile. Vediamo come. (more...)

Continua a leggere Modalità  protetta anche per Explorer 6

Categoria: Sicurezza