La Fondazione Mozilla ha recentemente lanciato l’allarme su una vulnerabilità scoperta all’interno del codice di Firefox, una falla di sicurezza potenzialmente in grado di compromettere la sicurezza dei dati salvati su file locali e che risulta già attivamente sfruttata dagli attacchi on-line. (more...)

Continua a leggere Firefox, avvistati PDF malevoli

Categoria: Sicurezza

Tags: ,

Un tranquillo pomeriggio di Giugno, i pensieri vagano nella voglia di vacanze, poi all'improvviso arriva una mail scritta in inglese. All'inizio sembrava la solita pubblicità , invece riportava: IT has come to our attention that you are hosting a fraudulent "phish" website that is attempting to steal account information from customers of NatWest. in altre parole, la mail attirava la mia attenzione riguardo pagine fraudolente caricate in alcuni siti da me gestiti (Joomla 1.5 aggiornato all'ultima release senza componenti aggiuntivi) e che stavano catturando informazioni sensibili degli utenti di una banca inglese. (more...)

Continua a leggere Joomla 1.5, cronaca di un attacco

Categoria: CMS

I requisiti dei CMS sono quasi sempre gli stessi, ma la maggior parte di quelli open source richiede un ambiente comunemente chiamato LAMP o XAMP (Linux (o Windows), Apache, MySql, Php); tuttavia si presenta spesso l'esigenza di avere un CMS che possa essere visualizzato anche senza il dinamismo che si ottiene grazie all'utilizzo degli script e del database. L'esempio più banale è un CMS accessibile da supporto removibile, che possa essere riprodotto in un qualsiasi sistema operativo. Il CMS statico (basato su semplici file Html privi di script) non esiste, ma è possibile trasformare un portale in una serie di pagine web attraverso un programma di mirroring. In questa categoria rientrano tutti quei programmi, spesso chiamati anche spider, ad esempio HTTrack, in grado di navigare all'interno di un sito, raccogliere tutti i link presenti e ricreare il contenuto della pagine in un filesystem locale, in maniera strutturata e navigabile. Ogni link rilevato in una pagina viene posizionato in una coda virtuale, e il mirroring termina solo dopo aver eseguito la scansione di tutte le pagine della coda. (more...)

Continua a leggere Utilità  del mirror di un CMS

Categoria: CMS

Dopo le recenti notizie di una grave falla di tipo CSRF presente nel codice stabile di Joomla versione 1.0.13, molte community vicine al progetto si sono stupite del ritardo nel rilascio di una patch correttiva. Sfruttando la grande popolarità  di questo CMS e l'ingente numero di utilizzatori, proprio in questi giorni si sono verificati diversi attacchi verso siti sviluppati in Joomla, con l'intento di manomettere contenuti, pubblicare link verso siti di spam e divulgare malware. (more...)

Continua a leggere Joomla 1.0.14 RC1

Categoria: CMS

Quante volte avete testato applicazioni Web trovate in rete per mettere alla prova le vostre conoscenze nel campo della sicurezza informatica? Se la risposta è "molte", sappiate che avete molte volte rischiato di finire in galera. La legge italiana prevede infatti la punibilità  penale di "chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza". Anche se il legislatore aveva in mente i tipici atti di hacking, la fattispecie può essere facilmente allargata anche ad azioni di web hacking. Ma come si fa dunque a mettere alla prova le proprie conoscenze nel campo della sicurezza delle applicazioni Web? Facile, con WebGoat. Si tratta di un reale "ambiente di apprendimento" sviluppato dall'Open Web Application Security Project (OWASP). àˆ un'applicazione Web basata su J2EE volutamente sviluppata includendovi alcuni dei più tipici bug di sicurezza che si incontrano comunemente nelle applicazioni Web (Cross Site Scripting, SQL Injection, Cookie di sessione insicuri). All'interno di WebGoat sono presenti le spiegazioni degli attacchi e esercizi pratici da eseguire all'interno della stessa applicazione. L'applicativo è ovviamente gratuito e può essere installato sul Web server Tomcat. Un'alternativa per IIS è Hacme Bank di Foundstone.

Continua a leggere Esercitarsi nel web hacking

Categoria: Sicurezza

Microsoft ha pubblicato gli aggiornamenti del mese di ottobre. Gli errori corretti nei dieci bollettini, di cui 6 critici, sono ben 26 e coprono in pratica tutti i principali software di Redmond: da Windows a Office (dalle versioni 2000), da Explorer alla piattaforma .Net 2.0. Sono stati corretti anche i due recenti errori di Explorer e PowerPoint di cui già  erano pronti gli exploit. Per non meglio sepcificati errori di rete non è possibile ricevere, per il momento, le patch attraverso il sistema di aggiornamenti automatici di Windows. Non funziona nemmeno il sito Microsoft Update. Chi volesse dunque aggiornare il proprio Windows deve scaricare e installare a mano gli aggiornamenti a partire dalle pagine dei bollettini. Funziona invece regolarmente il sistema Office Update. Aggiornamento: durante la notte italiana i problemi sono stati risolti. Ora gli aggiornamenti automatici funzionano a dovere.

Continua a leggere Microsoft: pronte (?) le patch di Ottobre

Categoria: Sicurezza

Ha fatto molto discutere la presentazione che Robert Auger ha tenuto alla recente Black Hat di Las Vegas (di cui troverete un breve reportage in un recente articolo di HTML.it). Il tema era certamente dei più ghiotti: "Zero Day Subscriptions: Using RSS and Atom feeds As Attack Delivery Systems", ossia come usare i feed RSS per eseguire attacchi informatici. La presentazione ha trovato eco in vari articoli (su Cnet o su Internetnews.com per esempio) poiché circoscrive uno scenario più che interessante. Auger ha infatti analizzato diversi gestori di RSS, sia basati sul Web sia utilizzati come applicazioni standalone, e ha notato che in molti di essi sussistono le possibilità  di eseguire diversi tipi di attacchi: dai Denial Of Service alla violazione del file system dell'utente. Anche su programmi ben noti come RSS Reader, RSS Owl, Feed Demon e Sharp Reader. Se un cracker riuscisse ad accedere ai feed RSS di un canale molto frequentato, potrebbe cercare di sfruttare questi exploit su migliaia di sottoscrittori. In un sol colpo. Da Microsoft, si fa sapere, hanno imparato la lezione.

Continua a leggere Feed RSS anche per cracker

Categoria: Sicurezza

Tags: , ,

L'utenza Microsoft è stata avvisata: entro pochi giorni potrebbe comparire una minaccia particolare in grado di colpire la vulnerabilità  risolta dalla patch numero 40 distribuita in Agosto dal gruppo di Redmond. Per questo motivo non solo Microsoft ma addirittura l'US-CERT ha chiesto ad alta voce all'utenza di aggiornare quanto prima i propri sistemi in quanto se un exploit dovesse trovare applicazione in un qualche worm (e la cosa è data per certa) il pericolo per tutti è ingente. Urge, dunque, intervenire quanto prima ed azionare il passaparola. E intanto penso a quanti in questo momento si sollazzano sulla spiaggia ed al ritorno non sapranno presumibilmente di tutto cià e magari lasceranno i loro sistemi nella totale vulnerabilità  ancora per giorni e giorni... Si consiglia dunque di leggere il servizio completo sul problema e di aggiornare il sistema o tramite l'installazione manuale della patch, o meglio ancora tramite il tradizionale Microsoft Update.

Continua a leggere Urgente: alto rischio per l’utenza Microsoft

Categoria: Sicurezza

HD Moore, uno dei fondatori della società  di sicurezza Digital Defense, dal primo luglio ha iniziato a pubblicare su un blog creato ad hoc un exploit, o hack come vengono chiamati dall'autore, per browser al giorno. L'iniziativa si chiama Month of Browser Bugs (MoBB) ed è, come recita il primo messaggio dello stano blog, una sorta di monnezzaio ("dumping ground", 'discarica') degli errori non conosciuti dei maggiori browser in circolazione.Sinora sono stati pubblicati 7 MoBB: quattro per Explorer, uno per Outlook Express, uno per Safari e uno per Firefox. I bug, molti dei quali causano un blocco (DoS) dell'applicazione, vengono mostrati con il loro esempio pratico ed alcune informazioni che, comunque, non mettono in grado chiunque di poter sfruttare l'errore per finalità  nocive. Via Digg.

Continua a leggere Un hack al giorno toglie i browser di torno

Categoria: Sicurezza

Sottotitolo del post: un minuto di insana cultura del sospetto.Dietro alle leggende metropolitane c'è spesso un pizzico di verità . Un pizzico, un'inezia, ma c'è. Da quando navigo sul web sento ciclicamente dire che i virus sono creati da chi sviluppa antivirus, così da avere sempre nuova materia su cui lavorare, per cui vendere. Con il tempo ho imparato a sospettare ed infine a negare questa ipotesi, ma ho anche imparato il fatto che "a pensar male si fa peccato ma spesso ci si azzecca".Ora: pochi giorni dopo l'uscita di Google Spreadsheet ecco comparire un pericoloso exploit per Microsoft Excel, e poco prima del famigerato GBuy ecco un exploit che colpisce PayPal. Coincidenze, clamorose coincidenze, ma queste due sono solo le ultimissime di una serie più vasta e quantomai variegata. Coincidenze, si, ok. Ma chi ci ha perso del denaro che cosa dovrebbe pensare?

Continua a leggere Toh, una falla: che coincidenza

Categoria: Sicurezza