Articoli

Un team di studiosi ha scoperto una falla nel modo in cui vengono generate le chiavi pubbliche utilizzando l’algoritmo RSA per cifrare le comunicazioni sensibili e le transazioni online. In particolare, sembra che una piccola frazione delle chiavi pubbliche (27.000 su un campione di circa 7 milioni) non fosse generata in modo casuale come avrebbe dovuto essere. Ne segue che un cybercriminale potrebbe decifrare i numeri primi segreti che sono stati usati per creare la chiave pubblica. L’esito della ricerca è stato pubblicato in un articolo dettagliato del New York Times.

I pagamenti online non sono protetti?

La ricerca è stata condotta da James P. Hughes, esperto di crittografia indipendente di Palo Alto e da Arjen K. Lenstra, un matematico olandese che insegna presso l’Ecole Polytechnique Fédérale de Lausanne in Svizzera. “Abbiamo eseguito un controllo di integrità delle chiavi pubbliche raccolte sul web”, hanno spiegato.

“Il nostro obiettivo era verificare che a ogni generazione delle chiavi corrispondessero scelte casuali. Abbiamo scoperto che la stragrande maggioranza delle chiavi pubbliche (99,8%) funziona come previsto. La scoperta più sconcertante è che due su ogni mille moduli RSA che abbiamo raccolto non offrono alcuna sicurezza.”

Stando a quanto riferito dal NYT, le chiavi pubbliche in questione sarebbero già state rimosse da un database accessibile al pubblico, per impedire che qualcuno ne sfruttasse la debolezza. Il documento dei due studiosi precisa in ultima analisi che i siti web dovranno apportare modifiche ai loro sistemi di sicurezza per assicurarne l’integrità.

Ovviamente non si può escludere a priori l’eventualità che qualche hacker si sia accorto della falla prima che i ricercatori la portassero alla luce. A riconferma il documento riepilogativo cita: “la mancanza di sofisticazione dei nostri metodi e dei risultati ottenuti rendono difficile credere che ciò che abbiamo presentato sia inedito”.

Per la loro ricerca i due studiosi hanno utilizzato l’algoritmo di Euclide – un modo efficace per trovare il massimo comun divisore di due interi – per esaminare i numeri della chiave pubblica. In questo modo sono stati in grado di produrre la prova che una piccola percentuale dei numeri analizzati non era veramente casuale. A questo punto non è stato troppo difficile determinare i numeri sottostanti, e ricavare le chiavi segrete usate per generare la chiave pubblica.

“Il sistema richiede che l’utente crei e pubblichi il prodotto di due grandi numeri primi, e lo aggiunga poi a un altro numero per generare così una chiave pubblica. I valori originali sono mantenuti invece segreti. Per codificare il messaggio una seconda persona usa una formula che contiene i valori pubblici. In pratica, solo chi conosce i valori originali può decodificare il messaggio”.

“Affinché questo sistema sia sicuro è però essenziale che i due numeri primi originali siano generati in modo casuale (altrimenti si potrebbero recuperare applicando un algoritmo, NdR). I ricercatori hanno scoperto che in un limitato numero di casi la generazione casuale non funzionava correttamente”

Lo studio è stato condotto sui database di chiavi pubbliche archiviati presso il Massachusetts Institute of Technology e l’Electronic Frontier Foundation, conosciuto come Osservatorio SSL, creato appositamente per le ricerche sulla sicurezza dei certificati digitali usati per la protezione delle informazioni online.

L’importanza della falla è che chiama direttamente in causa il sistema di cifratura impiegato in tutto il mondo per lo shopping online, l’home banking, la posta elettronica e altri servizi Internet, che fondano interamente sulla segretezza offerta dalle infrastrutture crittografiche a chiave pubblica.

Non è la prima volta che si verifica un problema simile, a riconferma che il sistema non è infallibile. Nel 1995 due ricercatori della University of California avevano scoperto una falla nel modo in cui il browser Netscape generava numeri casuali, rendendo possibile la decodifica delle comunicazioni criptate. L’anno scorso un gruppo di hacker aveva rivelato che la Sony aveva commesso un errore grossolano, utilizzando un unico numero casuale nell’algoritmo su cui si basava il sistema di sicurezza della PlayStation 3, ed era così possibile recuperare la chiave segreta che avrebbe dovuto proteggere i contenuti digitali.

Fonte | Tom’s Hardware

TimThumb è una Utility per l’auto ridimensionamento delle immagini presente in tantissimi Temi per Worpress nella quale è stata trovata una falla 0Day che consentirebbe ad un malintenzionato di caricare sul Blog qualsiasi tipo di file, compresa una webshell che permetterebbe di ottenere il pieno controllo del sito internet.

La scoperta è da attribuirsi a Mark Maunder, CEO della Seattle-based Feedjit, che ha rilasciato un comunicato ufficiale lunedì 8 Agosto 2011 spiegando che la vulnerabilità affligge circa 39 milioni di blog disponibili in internet ed è dovuto ad una errata configurazione dell’utility TimThumb.

Nello script vengono abilitati 7 importanti siti internet nel caricare file e a ridimensionare immagini remotamente, nello specifico:

$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
‘photobucket.com’,
);

Ma tale funzione si basa sulla libreria PHP strpos che esegue una verifica superficiale, il dominio può apparire in qualsiasi parte dell’host. Per esempio il sito internet http://www.pirata.com/picasa.com/ ha i completi permessi di scrittura nel blog.

Il Team di TimThumb ha già corretto la vulnerabilità e nel sito internet ufficiale è già disponibile la patch: http://timthumb.googlecode.com/svn/trunk/timthumb.php

Per maggiori dettagli potete, infine, consultare il comunicato ufficiale di Mark Maunder.

Un estate di fuoco per chi si occupa di sicurezza! Il giorno 1 Agosto il sito www.backbox.org è stato defacciato da un gruppo di cracker iraniani conosciuti con lo pseudonimo di eMP3R0r TEAM. La loro pagina è rimasta online per circa 2 ore prima che il sito venisse ripristinato. In verità la vicenda ha dei risvolti clamorosi, come emerge dal comunicato stampa rilasciato dal Team di BackBox. Il problema era dovuto ad una errata configurazione del server condiviso del noto provider italiano Netsons che per diversi giorni ha esposto le home di migliaia di utenti agli attacchi dei cracker! Per nostra fortuna backbox.org è stato l’unico sito a subire il deface ma non è da escludere che i dati di altri siti siano stati trafugati per attacchi futuri. Dall’analisi condotta dal team di BackBox ben 5000 account erano vulnerabili!

L’attacco è partito da un sito web con una installazione insicura di Joomla residente sullo stesso server condiviso, per stessa ammissione di Netsons il server HP4. I cracker dopo aver sfruttato un bug di Joomla hanno caricato una webshell grazie alla quale hanno avuto accesso alla home di backbox.org. “Stranamente” da diversi giorni tutte le home degli account hostati sul server condiviso potevano essere navigate senza alcuna restrizione da qualsiasi utente! I cracker ottenuti i dati relativi all’installazione del forum di BackBox (SMF) e utilizzando la stessa webshell, non hanno avuto problemi a modificare il record del database MySQL relativo all’account admin ottenendo cosi accesso al pannello di amministrazione del forum. Il passo successivo è stato caricare una backdoor nella home di backbox.org che hanno poi utilizzato per modificare i files index.php del sito.

La vulnerabilità è stata individuata da Raffaele Forte esperto di sicurezza e responsabile del progetto BackBox Linux. Da una sua dichiarazione risulta che il provider italiano è intervenuto a fixare il problema solo dopo che lui stesso abbia dato dimostrazione di come i dati dei loro utenti fossero liberamente accessibili. Dalla prima segnalazione sono passati ben cinque giorni prima che Netsons prendesse in considerazione quanto denunciato dal Team di BackBox. Stando alle dichiarazioni del provider sembra che il problema sia stato causato da un aggiornamento ad una nuova versione di php. In breve i permessi della directory “public_html” dei vari account sono stati impostati con valori errati spalancando le porte ai cracker iraniani.

Alla luce dei fatti la vicenda ha avuto dei risvolti drammatici per come è stata gestita dall’ISP italiano. Essendo un hosting condiviso la responsabilità dell’accaduto non è certo del Team di BackBox il quale, nonostante il rifiuto da parte di Netsons di fornirgli i log degli accessi al loro sito, hanno avviato una indagine interna che ha poi portato a risolvere il problema. Ci chiediamo come si sarebbe evoluta la vicenda se il Team di BackBox si fosse limitato solo a ripristinare il loro sito. Avremmo forse assistito al piu grande un “mass defacement” della storia dei provider italiani? La cosa inquietante è che ad oggi nessuna comunicazione ufficiale è stata rilasciata da Netsons che a questo punto sembra voler nascondere l’intera vicenda. Invitiamo pertanto tutti gli utenti ad effettuare un backup preventivo e cambiare le password di accesso ai loro siti.

Un importante falla di sicurezza affliggerebbe l’ultima relase di Unreal IRCD permettendo l’esecuzione di codice arbitrario sulla macchina che ospita il sever IRC.

Ricordiamo che UnrealIRCD è sicuramente il più diffuso server IRC ed una falla di tale importanza è sicuramente di grande importanza.

E’ possibile pertanto eseguire codice malevolo a piacimento, disattivare o cancellare completamente il server IRC in esecuzione.

L’autore di tale ritrovato è anonimo ma ha diffuso lo script perl tramite exploit-db e noi ve lo proponiamo dopo il salto…

Continua a leggere

Importante falla scoperta nei giorni scorsi su FaceBook, permetteva la visualizzazione di qualsiasi profilo (comprensivi messaggi privati, chat ed altro) con due semplici click. Qui sopra un video dimostrativo…

[AGGIORNAMENTO] A seguito di vostre segnalazioni abbiamo aggiornato il video dimostrativo, il precedente non era più disponibile.