Articoli

GFI: Apple e Linux i più vulnerabili del 2014?! Vediamoci chiaro…

GFI_OS_Chart

Il 18 Febbraio la GFI Software ha rilasciato una statistica che fa sicuramente discutere, e proprio per questo ho deciso di scrivere un articolo per puntualizzare ciò che non trovo corretto di questa analisi. Lo metto in chiaro fin da subito, sono di parte perché chi mi conosce sa bene che apprezzo di prodotti Apple e lavoro attivamente su Linux tanto è vero che faccio parte del team di sviluppo di BackBox Linux.

Fatta questa promessa proverò di essere il più analitico possibile, l’immagine in testata è quella diffusa dalla GFI e in tale immagine troviamo riportate in ordine crescente il numero di vulnerabilità rilevate nel ’14 per sistema operativo. La fonte dei dati è il National Vulnerability Database (NVD) e personalmente mi limiterò a giudicare solo questa immagine, nell’articolo della GFI sono riportate ulteriori statistiche sulle vulnerabilità dei software ma non mi interessa analizzarle come non voglio addentrarmi nel database del NVD per capire se i numeri riportati sono corretti o meno.

Linux e Apple raggruppati e Windows suddiviso per versioni?!

Questo è il primo dettaglio che mi è saltato all’occhio appena ho visto l’immagine, in sostanza viene fatto di ogni erba un fascio per i sistemi operativi di Apple e Linux mentre per Window no! Ma in fin dei conti vi sono centinai di versioni dell’OS X di Apple o di iOS e anche del Kernel Linux che anzi credo vinca il premio per il maggior numero di rilasci!

Così ho preso la calcolatrice alla mano è ho sommato Windows Server 2008 a Windows 8, poi a Windows Server 2012…ecc ecc fino ad ottenere la somma complessiva di 248 vulnerabilità!

Bingo, quindi Windows è al primo posto con 248 vulnerabilità! Seguito da Apple e poi da Linux!

GFI_OS_Chart_Somma_Windows

Poi se proprio vogliamo mettere i puntini sulle i dovremmo anche contare Windows XP, visto che per parte del 2014 è stato un sistema operativo supportato da Microsoft!

Linux è Open Source!

Esattamente cercare una vulnerabilità all’interno di un software Open Source è statisticamente più facile rispetto ad OS Closed Source, attenzione a non interpretare male questa mia affermazione! Individuare una vulnerabilità in un sistema Open Source è indubbiamente più facile, ma ciò non toglie che non vi son statistiche che dimostrano che un sistema Open sia più vulnerabile di un sistema Closed! Infatti nel precedente punto ho dimostrato che il sistema Closed è più vulnerabile!

Kernel? Ma non si parlava di Sistemi Operativi!?!

Questa è la terza anomalia che mi è venuta in mente, la statistica vuole riportare i sistemi operativi più vulnerabili…ma il Kernel NON è un Sistema Operativo!

In computing, the kernel is a computer program that manages I/O (input/output) requests from software, and translates them into data processing instructions for the central processing unit and other electronic components of a computer. The kernel is a fundamental part of a modern computer’s operating system. {Wikipedia}

Conclusioni

Questa analisi credo sia stata eseguita in maniera fin troppo superficiale, ma a pensar male…mi viene da dire che bisognava promuovere le “finestre”

[AGGIORNATO] HeartBleed, onestamente mi ha stancato! Considerazioni personali…

OpenSSL HeartBeat

, mi sono stancato di leggere idiozie su l’importante bug HeartBleed che va esclusivamente a colpire il morale degli sviluppatori e il sacrificio che sta dietro al mondo Open Source! Quotidiani che affermano “Allarme per il virus scassinatore, in pericolo milioni di siti internet” dovrebbero solo vergognarsi di mandare in stampa certe stupidaggini, se giustamente volete scrivere un articolo sul tema interpellate un ricercatore o un docente ma evitate di farvi ridere dietro dalla comunità ma soprattutto di mettere fango su un gruppo di sviluppatori che lavorano GRATIS!

Esatto, GRATIS! OpenSSL è un’implementazione open source dei protocolli SSL e TLS ed oltre ad essere Open è anche Freeware e il team principale è composto da quattro persone che per pura volontà personale scrivono questo programma usato da oltre il 60% dei siti web che hanno implementato il protocollo SSL. Sì è proprio così loro hanno deciso di DONARE un software meraviglioso per proteggere i nostri dati e grandi multinazionali come Facebook, Google, ecc ecc le usano per ricavarci DENARO ma appena viene rilevato un bug tutti se ne lavano le mani e puntano il dito verso quattro volenterosi ragazzi!

Io e tre amici decidiamo di fare un gesto importante, partiamo per una missione volontaria nel paese X dove è in corso una sanguinosa guerra e il nostro scopo è quello di salvare più vite umane possibili. Ma purtroppo una mina anticarro colpisce un pullman pieno di superstiti e tutti muoiono! Cosa avete pensato?! “Bhe che bravi ragazzi, hanno impiegato tutto il loro tempo e le loro forze ma purtroppo il male ha prevalso sulla loro umile azione.”!

Capite il paragone?! In questa vicenda si è ribaltato TUTTO, il “male” non è stato neanche considerato ma si è solo pensato ad incolpare un team che ha agito fin dall’inizio per uno scopo ben preciso: DIFENDERE I VOSTRI DATI!

Le persone del Team lavorano per potersi mantenere, per pagare il mutuo e magari anche qualche regalino e nel tempo libero sviluppano e implementano OpenSSL. Perché le grandi multinazionali che usano OpenSSL non hanno mai contribuito al progetto? Nel ventunesimo secolo finalmente si sta scoprendo l’OpenSource, a livello governativo viene imposto l’uso di software Open e Free piuttosto che software a pagamento, a livello didattico ugual modo…ma qualcuno ci pensa al sostentamento di tali progetti?! C’è sempre dietro un essere umano ad un programma Open e Free che ha sicuramente bisogno di mangiare! Oltre a divulgare l’Open dobbiamo imparare a diffondere l’idea che l’Open è un bellissimo regalo ma va corrisposto!

OpenSSL è un esempio ma ne potrei trovare tantissimi, basta guardare su GitHub le repository più in voga o pensare semplicemente al vostro sistema operativo Linux…Mint…Ubuntu…e se pensiamo ai sistemi Server? CentOS, RedHat…certo sono grossi colossi che grazie all’assistenza ai clienti possono permettersi di pagare gli sviluppatori ma comunque ci offrono un OTTIMO prodotto gratuito e una donazione gli sarebbe dovuta!

Ma ora vediamo realmente di cosa dobbiamo preoccuparci? Tutte le nostre password, eMail, carte di credito sono state realmente rubate dai siti internet che usano OpenSSL! NO! Per tutti i siti Internet che non cifrano le comunicazioni lato client è possibile che durante la comunicazione client/server i tuoi dati siano stati rubati.

Essenzialmente la prima cosa da fare è di accertarsi che il sito internet che usate abbia aggiornato OpenSSL,  successivamente cambiate la vostra password, eseguite un logout dal sito ed effettuate un nuovo accesso, “distruggendo” i vecchi cookie precedentemente creati! Eventualmente potete anche cambiare la vostra password, ma le password quasi sempre vengono cifrate prima di essere trasmesse/elaborate e se venissero lette dalla memoria sfruttando l’Exploit difficilmente lo sarebbero in chiaro.

Impariamo ad aiutare chi ci offre gratuitamente qualcosa!

Telecom Italia: Cookie Handling Vulnerability

Telecom Italia Cookie Handling Vulnerability

Un nostro lettore, Pietro Tedeschi, ci ha comunicato lo scorso 17 Luglio una grave vulnerabilità nella WebeMail di Alice, Tin.it, Virgilio o Tim. La vulnerabilità permette ad un malintenzionato di poter accedere alla nostra casella eMail sfruttando i cookie precedentemente scambiati tra il vostro Browser e i server di Telecom Italia. Possiamo sfruttare la tecnica di Cookie Handling per accedere alla casella eMail di una terza persona, semplicemente importando ed esportando i cookie di un utente, e riutilizzarli dopo la fase di LogOut.

Vediamo nel dettaglio la Security Disclosure che Pietro ci ha gentilmente inviato:

Continua a leggere

WPScan Android, torna disponibile e cambia nome!

WPScan_Android_01

Vi abbiamo già parlato in passato di WPScan per Android, una applicazione dedicata allo scannnig di vulnerabilità all’interno della piattaforma di blooging WordPress.

A causa di una violazione di copyright con l’omonimo progetto WPScan per Linux e una violazione di regole del Play Store l’applicazione era stata rimossa dal market, Alessio ha quindi pensato di cambiare il nome in aWPVSCAN (Android WordPress Vulnerability Scanner) e rendere disponibile l’APK dell’applicazione per permettere a tutti una rapida installazione ovviando le restrizioni del market.

Nella nuova versione sono state inoltre implementate queste nuove funzioni:

  • Aggiunto il supporto per l’enumerazione dei file backup di wp-config.php;
  • Aggiunto il supporto per l’enumerazione del nome / versione del server e della versione di php;
  • Aggiunto il supporto per l’enumerazione del file robots.txt

Potete scaricare l’applicazione tramite il sito ufficiale di Alessio, al seguente link.

[AGGIORNATO] Vulnerabilità XSS in cPanel e WHM

WHM e cPanel XSS

[AGGIORNAMENTO – Aggiunto screenshot con la versione più recente di WHM 11.34.1.5]

Il ricercatore Christy Philip Mathew ha individuato in data odierna diverse vulnerabilità di tipo XSS (Cross Site Scripting) in uno dei più affermati pannelli di controllo per server linux, cPanel e il relativo Host Manager WHM.

Abbiamo testato personalmente la vulnerabilità sfruttando la piattaforma demo messa a disposizione da cPanel, accedendo al portale WHM dal sito ufficiale con le credenziali “demo”-“demo” è possibile verificare tale vulnerabilità. Di seguito la procedura passo a passo:

Test XSS in WHM

  1. Accedere a WHM > http://demo.cpanel.net:2086/login/?user=demo&pass=demo
  2. Accedere al tab “Server configuration”;
  3. Accedere al tab “Basic cPanel & WHM Setup”
  4. Inserire in una qualsiasi delle quattro text post il codice JavaScript.

Test XSS in cPanel

  1. Accedere a cPanel > http://x3demob.cpx3demo.com:2082/login/?user=x3demob&pass=x3demob
  2. Accedere a “Bandwidth Transfer Detail”;
  3. Iniettare il parametro “domain” con il codice JavaScript;

Link diretto al XSS

Dopo il salto vi lasciamo con un ulteriore video dimostrativo..

Via | The Hacker News

Continua a leggere

Rilevate altre vulnerabilità in siti istituzionali nostrani!

I nostri lettori continuano a segnalarci vulnerabilità di siti istituzionali Italiani, con un po’ di rammarrico ve li riportiamo sperando che questi errori non vengono più compiuti dai nostri webmaster e che vi sia un maggior controllo da parte degli enti preposti.

La prima vulnerabilità, segnalataci da Ciro Rutigliano, affligge il sito dell’Ufficio Italiano Brevetti e Marchi nel quale una importante SQL Injection permette di ottenere username e password degli utenti come ben visibile nell’immagina di apertura.

La seconda vulnerabilità, segnalataci da s1ckb0y, colpisce l’istituto di credito BNL nello specifico il portale dedicato al Fondo Pensionistico. Nonostante il recende accordo con la CA Technologies per migliorare la sicurezza della Banca, il nostro utente ha individuato una vulnerabilità di tipo SQL Injection con la quale possiamo recuperare informazioni private.

Infine il portale dell’Aereuonatica Italiana dedicato alla stampa è soggetto ad un Cross-site scripting come è possibile visualizzare dall’immagine dopo il salto, anche quest’ultima segnalazione ci è stata segnalata da s1ckb0y.

Infine voglio riportare un caloroso ringraziamento ai nostri lettori che da sempre ci segnalano novità dell’IT Security e vulnerabilità! Grazie!

Continua a leggere

[AGGIORNATO] WhatsApp Hacked – Impersoniamo un’altra persona

 

ATTENZIONE: La vulnerabilità è stata risolta, non è più possibile utilizzare la procedura illustrata!

Continuano i problemi del famoso software di messaggistica istantanea WhatsApp, risolto il problema della memorizzazione in chiaro delle conversazioni un ricercatore Tedesco  Sam Granger ha individuato una nuova vulnerabilità ancor più preoccupante.

L’autenticazione degli utenti durante l’invio o la ricezione dei messaggi è violabile, ciò permette ad un estraneo di prendere pieno possesso di un account WhatsApp inviando messaggi o di leggere anche le eventuali risposte.

Ogni utente che vuole inviare un messaggio o verificare se ha dei messaggi da leggere si autentica sui server attraverso una “password” generata automaticamente dal software. La password è però facilmente riconducibile perché si basa sul codice IMEI degli Smartphone non Apple o del MAC Address per gli utenti Apple.

[AGGIORNATO 18/12/2012]
Generazione della Password per i dispositivi Android:

$imei = “112222223333334”; //  IMEI di esempio
$androidWhatsAppPassword = md5(strrev($imei)); // calcolo della Password (inversione dell’IMEI e generazione del MD5)

Generazione della Password per i dispositivi iOS a cura di Ezio Amodio:

$wlanMAC = “AA:BB:CC:DD:EE:FF”; // WLAN MAC address di esempio
$iphoneWhatsAppPassword = md5($wlanMAC$wlanMAC); // calcolo della Password

Generazione della Password per i dispositivi BlackBerry:

$imei = “112222223333334”; //  IMEI di esempio
$BBWhatsAppPassword = md5(strrev($imei)); // calcolo della Password (inversione dell’IMEI e generazione del MD5)

Per i dispositivi BB non è possibile avviare una conversazione interattiva, il servizio BIS vi scollegherà una volta inviato il primo messaggio rendendo impossibile la lettura della risposta.

Generazione della Password per i dispositivi Windows Phone a cura di Ezio Amodio:

$DeviceUniqueID = “112222223333334” // ID del Dispositivo
$WPWhatsAppPassword = $DeviceUniqueID // calcolo della Password

Per la lettura del vostro ID Dispositivo potete affidarvi all’applicazione gratuita Device Unique Id disponibile nel Market Place.

L’username è ancor più semplicemente il vostro numero di cellulare anteposto dal prefisso internazionale senza il simbolo + o il doppio zero (Es. 393481234567).

Continua a leggere

CMS, analisi automatica delle vulnerabilità

Lo scorso Luglio 2012 si è tenuto l’evento HTML.it Release Party nel quale è stato presentato al pubblico il nuovo layout del noto portale per Web developer e programmatori, nonché come uno dei più visitati e autorevoli siti italiani di informazione tecnologica. In quell’occasione Raffaele Forte, founder della distribuzione BackBox, ha dimostrato come è possibile effettuare un’analisi automatizzata di una piattaforma CMS alla ricerca di eventuali vulnerabilità, nel video di presentazione vedremo inizialmente una attenta descrizione dei software utilizzati e per finire Raffaele effettuerà una dimostrazione live su un server Apache, con piattaforma CMS WordPress.

Vi lasciamo con il video, subito dopo il salto! Buona Visione!

Continua a leggere

Vulnerabilità nell’Alice Gate AGPF – “CSRF Reconfiguration Vulnerability”

Una nuova ed imponente vulnerabilità affligge i router di Telecom Italia, marchiati Alice Gate AGPF, a scoprire la nuova falla è stato Emilio Pinna del team BackBox.

La vulnerabilità permette ad un utente malintenzionato di acquisire il pieno controllo del router in maniera permanente con gravi conseguenza sulla privacy dell’utente, una volta acquisito l’accesso al router l’attaccante potrà:

  • Intercettare i siti visitati dall’utente e redirezione verso siti copia fasulli per rubare credenziali di mail, social network, home banking, etc modificando i record del DNS;
  • Ascoltare le chiamate telefoniche, telefoni analogici compresi, sostituendo l’indirizzo del server VoIP ufficiale con quello di uno preparato per le intercettazioni;
  • Instradare tutto il traffico verso una macchina dell’attaccante allo scopo di analizzare il traffico e sottrarre dati sensibili;
  • Aprire dei pannelli di controllo del router verso internet con il quale l’attaccante mantiene l’accesso remoto al router nel tempo, con una interfaccia web esposta verso internet e tracciata via dns dinamico.

Secondo una prima stima approssimativa sui 9 milioni di clienti di Telecom Italia il 25% è in possesso del modem vulnerabile, circa 2 milioni di clienti sono vulnerabili all’attacco mettendo gravemente a rischio la privacy degli utenti.

È possibile ottenere il pieno controllo del router  grazie alla presenza di due vulnerabilità nel software che opportunamente sfruttate in conseguenza danno accesso ai parametri interni, in primis il parametro HTTP stack_set della pagina admin.cgi dell’interfaccia web permette di riscrivere qualsiasi parte della configurazione interna del router (vulnerabilità comunemente sfruttata dal legittimo proprietario del router per sbloccare funzionalità nascoste). Inoltre il router di Alice non offre nessuna protezione contro gli attacchi CSRF: pubblicando una semplice pagina appositamente preparata si può forzare il browser dell’utente che la visita ad effettuare una richiesta HTTP post verso l’interfaccia web del router.

In pratica per sferrare l’attacco è necessario effettuare una particolare richiesta HTTP all’URL http://192.168.1.1/admin.cgi con la quale è possibile riscrivere completamente la configurazione interna del router, ipotizzando un attacco su larga scala un utente malintenzionato potrebbe pubblicare una porzione di codice HTML in una pagina internet molto trafficata e in poche ore trovarsi una botnet di Router a propria disposizione.

Emilio ha reso disponibile una pagina  per verificare autonomamente se il proprio router Alice ADSL è vulnerabile, inoltre per chi volesse approfondire gli aspetti tecnici è disponibile la Full Disclosure.

Android e la vulnerabilità della tecnologia NFC

Charlie Miller durante il recente Black Hat di Las Vegas ha dimostrato com’è possibile controllare i dispositivi Android attraverso la tecnologia NFC.

Sfruttando la tecnologia Android Beam è possibile indirizzare il dispositivo Android ad un sito internet malevole che sfrutta una vulnerabilità del Browser stock per installare nello Smartphone un Malware ottenendo la possibilità di consultare senza autorizzazione cookie e pagine web visitate. Se l’utente ha inoltre acconsentito all’installazione di applicazioni di terze parti è possibile prendere il controllo completo del telefono.

La vulnerabilità è stata dimostrata sulla linea di Smartphone Nexus supportata direttamente da Google, la versione più vulnerabile è Gingerbread, Ice Cream Sandwich risolve alcune vulnerabilità del Browser che rendono più difficile lo sfruttamento della falla mentre non sono stati effettuati test sulla recente versione Jelly Bean.

Via | The Inquirer