Ricevi gli aggiornamenti nella tua email:


gen
6th

Google Trova uno Zero-Day in Windows 8.1

Author: Angelo Righi | Security

Da quando Google è entrato nel mondo della ricerca di vulnerabilità nei software, questo è il primo clamoroso risultato. Infatti è merito del Google Project Zero la scoperta di una vulnerabilità zero-day nel sistema operativo di punta di Microsoft.

La vulnerabilità scoperta colpisce Windows 8.1. Si tratta di una falla di tipo EoP (Elevation of privilege), utilizzata dagli hacker per ottenere privilegi più elevati di quelli ottenuti durante la prima fase dell’intrusione, ovvero quelli di Administrator.

La vulnerabilità si annida nella funzione NtApphelpCacheControl, e permette di eseguire programmi con i massimi privilegi, aggirando lo user account control (UAC).

Benchè questo bug non possa essere sfruttato direttamente (l’hacker deve essere già riuscito ad accedere al sistema), la vulnerabilità è grave: la scalata di privilegi è una tappa fondamentale del processo di intrusione.

;Maggiori dettagli possono essere trovati nel database del Google Project Zero

 


Altri articoli:

Google in stile dark!
JLorenz ha scritto: Siete stufi del solito bianco di Google? Allora è il momento di seguire il nostro...

Proteggi la tua Privacy Online con HTTPS Everywhere
Sai che tutte le informazioni che escono dal tuo computer transitano in chiaro su Internet? Significa...

Rilasciato Google Desktop 3.0
sconosciuto ha scritto: E' stato rilasciato Google Desktop 3.0, che permette di implementare le funzioni...

Windows Live Search: rincorrendo Google…
JLorenz ha scritto: Poco fa Microsoft ha promesso di togliere la distanza che la separa da Google,...


nov
15th

Teoria della Comunicazione Privata Sicura

Author: Angelo Righi | Security

In un mondo senza più segreti, la riservatezza delle comunicazioni è diventata utopia. Ma se la tecnologia è utilizzata quotidianamente per attentare alla nostra privacy, è la tecnologia stessa che può fornirci alcune armi di difesa. In questo post pubblico alcuni consigli e alcune tecniche per rendere meno deboli le proprie comunicazioni personali.

Da chi ci difendiamo?

Prima di capire come difendere le nostre comunicazioni private, è necessario capire da chi ci dobbiamo difendere, per capire fino a che punto potremo difenderci.

Probabilmente non saremo in grado di difenderci da soggetti globali (Facebook, Google…), e dalle grandi organizzazioni di spionaggio (NSA, CIA…). Qualche possibilità in più l’avremo se il nostro avversario sarà rappresentato da forze dell’ordine, organizzazioni criminali e/o terroristiche. Infine, contro l’hacker della porta accanto, dovremmo ottenere un facile successo.

Come possiamo difenderci?

Innanzitutto non  ci si può fidare dei grandi provider, dei servizi social, dei servizi di cloud storage. Le uniche armi che abbiamo a disposizione sono due:

Le Abitudini

Per abitudini intendo l’utilizzo di  particolari accorgimenti quando si scambiano informazioni che noi riteniamo imporanti, come non parlarne in chat (anche “private”) dei social network. Senza diventare novelli James Bond, è necessario capire che tutto quello che entra nel sistema (Internet, telefonia), è in una certa misura osservabile.

Bisogna inoltre abituarsi a trattare con maggior responsabilità i propri dispositivi (smartphone, tablet, ma anche smart tv e qualsiasi altra cosa collegata a Internet e che usiamo per comunicare, evitando di installare applicazioni di dubbia utilità e provenienza.

E’ necessario capire che i dispositivi devono essere aggiornati, che le password scelte non siamo deboli e banali, e che non siano riutilizzate tra servizi diversi.

Questi sono comportamenti basilari da apprendere, da adottare in maniera naturale, senza i quali non c’è tecnica o tool che tenga.

La Crittografia

Con la crittografia possiamo creare ostacoli (anche insormontabili) ai nostri avversari. Certo, si fa presto a dire crittografia. Non sempre i servizi che vengono presentati come sicuri perché basati su tecnologie crittografiche, lo sono veramente.

Per avere un buon grado di riservatezza, non basta che le comunicazioni siano cifrate, ma dovrebbero anche implementare un paio di caratteristiche:

E2EE (End-to-end-encryption):

La crittografia deve essere stabilita tra i due punti estremi del canale di comunicazione, ovvero dal computer (o smartphone, telefono…) del mittente al computer del destintario. Per esempio, le informazioni devono essere cifrate all’interno del browser, o del programma di IM.

PFS (Perfect forward secrecy)

Le chiavi di sessioni devono essere effimere, ovvero devono nascere e morire all’interno di una sola sessione: se anche i nostri avversari venissero in possesso di una chiave di sessione,non sarebbero comunque in grado di decifrare altre sessioni, quindi una sola conversazione, non tutte.

Naturalmente i due punti estremi della comunicazione devono essere sicuri, altrimenti l’anello debole della catena diventa il proprio computer.

Se rispetteremo tutte queste indicazioni, potremo stare tranquilli? No. Ancora una volta, ci si deve domandare da chi ci si difende e per quale motivo.

Però, adottando i suggerimenti descritti in questo post, saremo in grado di raggiungere un ragionevole livello di sicurezza delle comunicazioni personali, e avremo reso assai più complesso il lavoro dei nostri nemici “intercettatori”.

 


Altri articoli:

Hamachi, una VPN in pochi click
admin ha scritto: Vi serve una VPN (Virtual Private Network, rete privata virtuale), ma siete spaventati dalla...

Come Inviare Velocemente e Semplicemente Email Cifrate
Viviamo in un mondo di spioni, la nostra privacy è quotidianamente minacciata da mille occhi indiscreti,...

Guerra Fredda 2.0 e Pedinamento dei MAC Address
La profezia non si è avverata. La Storia non è finita nel 1989 dopo il crollo del muro di Berlino...

GSM Craccato:Usare il Cellulare Non è Mai Stato Così Pericoloso
La notizia comparsa sul Sole 24 Ore il 30 dicembre appena passato ha fatto un po' meno scalpore di quel...


ott
31st

Perchè le SQL Injection Sono Ancora Pericolose

Author: Angelo Righi | Security

La SQL Injection rimane oggi, dopo oltre quindici anni dalla sua apparizione pubblica, una delle principali tecniche per attaccare una web application, basti guardare cosa sta succedendo ad un CMS popolare e diffuso come Drupal.

In breve ricordo che per SQL Injection si intende la possibilità da parte di un attacker, di iniettare codice arbitrario all’interno di una interrogazione SQL, sovvertendone il comportamento, e aprendo le porte dell’aggressore all’accesso non autorizzato a dati, al sistema, o addirittura ad una rete.

Questo post che scrissi alcuni anni fa dimostra come ottenere i massimi privilegi di un sistema partendo da una vulnerabilità SQL Injection.

La soluzione del problema sarebbe abbastanza semplice, ovvero trattare in maniera adeguata i parametri di input. L’utilizzo di framework riduce il rischio ma non lo annulla. In più, l’ignoranza e l’arroganza di presunti o sedicenti programmatori fa il resto.

Ma anche nel caso in cui i parametri venissero adeguatamente trattati, permane comunque il rischio di incappare in un diverso tipoo di attacco: la Second Order SQL Injection.

In qusto genere di attacco, l’injection non viene sfruttata direttamente nella pagina  in cui viene infiltrata, pagina dove potrebbe anche essere effettuata una corretta input sanitization, ma l’attacco viene portato in un altro punto secondario, dove la query viene richiamata senza un adeguato controllo dei parametri.

In questo interessante post, Davie Girardi detto “GiRa” dimostra come funziona questo attacco, e mostra anche un interessante approccio su come usare uno strumento ampiamente utilizzato per sfruttare SQL Injection convenzionali durante un penetration  test, sto parlando di Sqlmap, insieme ad uno script artigianale creato ad hoc.

Dopo tanti anni le SQL Injection sono ancora tra noi, e le tecniche ortodosse per evitarle possono non bastare. L’unico rimedio è la formazione continua del personale, dei programmatori, degli addetti alla sicurezza, per fare in modo che la conoscenza reale del pericolo si adeguata ai tempi.


Altri articoli:

Vista Vulnerabile ad un Nuovo Attacco DoS
Mese difficile per  Microsoft. Dopo il bug dell'Ftp di IIS, ha fatto la sua apparizione pubblica un...

SQL-Injection in Joomla DigiFolio Component 1.52
Il componente Joomla "DigiFolio" versione 1.52 è vulnerabile ad un attacco SQL-Injection. DigiFolio...

SQL Injection contro Tremonti
L'Onda Anomala della protesta studentesca travolge anche il sito del ministro Giulio Tremonti. Qualche...

Scarica Gratuitamente Insecure Magazine 25
Come sta cambiando il penetration testing? Conoscete le tecniche più inusuali di SQL injection? A...


set
29th

I Tre Fattori dell’Autenticazione

Author: Angelo Righi | Security

Non passa giorno che i media specializzati o di massa non portino alla luce l’ennesima clamorosa violazione hacker in cui vengono pubblicate online milioni di password provenienti dai più famosi siti Internet. Nel corso degli anni, è stato evidenziato come uno dei più grandi punti deboli dei servizi offerti in rete sia la password, o per essere più precisi, il meccanismo di autenticazione.

Il problema è che spesso le password utilizzate dagli utenti sono deboli, e quasi a nulla valgono le iniziative tese a incoraggiare l’uso di password forti e pratiche più sicure (l’utilizzo di password manager, il non riutilizzo della password per servizi diversi…).

I Tre Fattori

Un modo per rendere più difficile il compito degli hacker, è quello di adottare meccanismi di autenticazione multi fattore. Di che cosa si tratta? La sicurezza dei meccanismi di autenticazione si basa essenzialmente su tre elementi:

1. Qualcosa che sai: un segreto che solo l’utente conosce, come una password o un PIN; questo è il primo fattore, il più comune su Internet.

2. Qualcosa che hai: un dispositivo, come per esempio un token RFID o qualsiasi cosa che sia necessario possedere per poter effettuare un’autenticazione; banalmente, una chiave è qualcosa che hai.

3. Qualcosa che sei: chi non ha mai visto un film dove per poter accedere ad un bunker, il personaggio deve  sottostare al riconoscimento della retina o dell’impronta digitale? Qualcosa che sei è l’autenticazione biometrica, come può essere il riconoscimento facciale (“sblocca col sorriso”), o l’impronta digitale.

L’autenticazione a più fattori è l’utilizzo di due o più fattori di autenticazione sopra elencati. Nulla di fantascientifico: l’autenticazione multi fattore (in genere a due fattori) l’utilizziamo praticamente tutti i giorni, per eempio quando ritiriamo denaro dal bancomat (qualcosa che sai, ovveto il PIN, e qualcosa che hai, ovvero il bancomat stesso).

Il Diavolo fa le Pentole

Recentemente alcuni ricercatori hanno dimostrato come il battito cardiaco, o addirittura le lacrime potrebbero essere usati come fattori di autenticazione biometrica. Ma l’autenticazione basata sulle tecnologie biometriche ha dei limiti.

Se infatti, cambiare un password compromessa è abbastanza semplice se non banale, più difficile è cambiarsi le impronte digitali o la retina (per non parlare del battito cardiaco, delle lacrime o dell’intera faccia…). Nel caso in cui il sistema di autenticazione dovesse essere in qualche modo vulnerabile, i rimedi potrebbero non essere così facili e/o veloci da implementare.

Siamo destinati a rimanere vittime degli hacker? Probabilmente, a meno di sconvolgimenti improvvisi e imprevedibili, la situazione non cambierà a breve.

Al di là del cinema, credo che più della biometria, possa bastare un po’ di buonsenso. Quindi, coca-cola e pop-corn e prepariamoci alla prossima clamorosa pubblicazione di password rubate dal sito mega-famoso.

 


Altri articoli:

I Mercanti delle Armi Digitali
Come funziona il mercato degli exploit? Cosa faccio se ho scoperto un bug, ho creato un codice che dimostra...

Come Hackerare un Boeing
Direttamente dagli scenari dei thriller fanta-politici di Tom Clancy ecco una notizia veramente clamorosa:...

Un Virus all’Attacco dei Droni Predator
E’ una notizia che se confermata sarebbe clamorosa: sembra che i droni americani Predator siano stati...

Risolvere i Problemi di Accesso alle Risorse Condivise
Tentate di accedere al vostro Windows Xp tramite rete ma ottenete un Access Denied Error 5? Cerchiamo...


ago
31st

Ransomware: Come Decifrare i File Sequestrati da Cryptolocker

Author: Angelo Righi | Risorse, Security

Negli ultimi anni si è affiancato, alle classiche forme di malware, una nuova tipologia di minaccia informatica, il cosiddetto ransomware. Per ransomware si intende un ricatto elettronico, operato da un programma che cifra tutti i dati sensibili presenti sull’hard disk del computer infettato rendendoli illeggibili. Soltando pagando il riscatto, l’utente sarà in grado di accedere di nuovo ai propri file.

Preciso che i file non vengono cancellati o “trasferiti” altrove, semplicemente vengono cifrati con una chiave che solo gli autori dell’attacco conoscono.

Uno dei ransomware più diffusii è Cryptolocker, il cui comportamento è esattamente quello descritto sopra. Secondo Symantec, il 3% degli utenti colpiti da Cryptolocker ha pagato il riscatto, ma secondo alcuni utenti, anche dopo aver pagato, i criminali non hanno fornito la chiave per poter decifrare i file “sequestrati”.

Per venire incontro agli utenti colpiti da questo malware, FireEye e Fox-it, due prestigiose aziende che si occupano di sicurezza informatica, hanno realizzato un servizio gratuito per il recupero dei file cifrati da Cryptolocker, ovvero Decryptolocker.

Il funzionamento è abbastanza semplice: bisogna effettuare l’upload di un file cifrato da Cryptolocker sul sito  https://www.decryptcryptolocker.com/ e inserire un indirizzo email.

Successivamente, all’indirizzo email fornito verrà inviata una master-key da utilizzare con un recovery program per decifrare i file “sequestrati”. Naturalmente ogni master-key è diversa da sistema a sistema.

Una nota sul sito Decryptolocker consiglia di non uploadare file cifrati che contengano informazioni sensibili.


Altri articoli:

Analisi del MBR Rootkit
E' di questi giorni la notizia che alcuni ricercatori hanno identificato in Internet un rootkit MBR per...

[Eventi] 5 e 6 Giugno: Security Summit 2013 a Roma
Si terrà presso il SGM Conference Center la tappa romana del Security Summit 2013. L’evento si aprirà...

Top Cyber Security Risk Report
Periodicamente le grandi organizzazioni che si occupano di sicurezza presentano analisi e studi sulla...

DirectX + Quick Time = Zero Day
Questa volta tocca a DirectX. Dopo Excel e PowerPoint, colpiti da bug negli ultimi mesi, bug che hanno...