Articoli

italiano.bat is a script to change the settings of Windows from another language to Italian.

Change the region and language to Italian (formats, location, currency, keyboard layout and more) and the time zone information to W. Europe Standard Time.

I created this script to speed up the analysis of malware in the Any.run SandBox, some payloads verify the system language. If the target is an Italian user they check that Windows is in Italian, otherwise they do not execute anything.

This script is tested with Windows 7 and can be modified to make it effective in other languages (French, Spanish, etc.).

The script can be downloaded from my GitHub Gist, if you want to collaborate we can create a repository containing multiple languages.

[UPDATES 16/05/2019]

Any.run officially introduced the language change function, only for the HUNTER plan.

GFI_OS_Chart

Il 18 Febbraio la GFI Software ha rilasciato una statistica che fa sicuramente discutere, e proprio per questo ho deciso di scrivere un articolo per puntualizzare ciò che non trovo corretto di questa analisi. Lo metto in chiaro fin da subito, sono di parte perché chi mi conosce sa bene che apprezzo di prodotti Apple e lavoro attivamente su Linux tanto è vero che faccio parte del team di sviluppo di BackBox Linux.

Fatta questa promessa proverò di essere il più analitico possibile, l’immagine in testata è quella diffusa dalla GFI e in tale immagine troviamo riportate in ordine crescente il numero di vulnerabilità rilevate nel ’14 per sistema operativo. La fonte dei dati è il National Vulnerability Database (NVD) e personalmente mi limiterò a giudicare solo questa immagine, nell’articolo della GFI sono riportate ulteriori statistiche sulle vulnerabilità dei software ma non mi interessa analizzarle come non voglio addentrarmi nel database del NVD per capire se i numeri riportati sono corretti o meno.

Linux e Apple raggruppati e Windows suddiviso per versioni?!

Questo è il primo dettaglio che mi è saltato all’occhio appena ho visto l’immagine, in sostanza viene fatto di ogni erba un fascio per i sistemi operativi di Apple e Linux mentre per Window no! Ma in fin dei conti vi sono centinai di versioni dell’OS X di Apple o di iOS e anche del Kernel Linux che anzi credo vinca il premio per il maggior numero di rilasci!

Così ho preso la calcolatrice alla mano è ho sommato Windows Server 2008 a Windows 8, poi a Windows Server 2012…ecc ecc fino ad ottenere la somma complessiva di 248 vulnerabilità!

Bingo, quindi Windows è al primo posto con 248 vulnerabilità! Seguito da Apple e poi da Linux!

GFI_OS_Chart_Somma_Windows

Poi se proprio vogliamo mettere i puntini sulle i dovremmo anche contare Windows XP, visto che per parte del 2014 è stato un sistema operativo supportato da Microsoft!

Linux è Open Source!

Esattamente cercare una vulnerabilità all’interno di un software Open Source è statisticamente più facile rispetto ad OS Closed Source, attenzione a non interpretare male questa mia affermazione! Individuare una vulnerabilità in un sistema Open Source è indubbiamente più facile, ma ciò non toglie che non vi son statistiche che dimostrano che un sistema Open sia più vulnerabile di un sistema Closed! Infatti nel precedente punto ho dimostrato che il sistema Closed è più vulnerabile!

Kernel? Ma non si parlava di Sistemi Operativi!?!

Questa è la terza anomalia che mi è venuta in mente, la statistica vuole riportare i sistemi operativi più vulnerabili…ma il Kernel NON è un Sistema Operativo!

In computing, the kernel is a computer program that manages I/O (input/output) requests from software, and translates them into data processing instructions for the central processing unit and other electronic components of a computer. The kernel is a fundamental part of a modern computer’s operating system. {Wikipedia}

Conclusioni

Questa analisi credo sia stata eseguita in maniera fin troppo superficiale, ma a pensar male…mi viene da dire che bisognava promuovere le “finestre”

Lo scorso gennaio 2011 il team Security Development Lifecycle ha rilasciato una versione beta dell’Attack Surface Analyzer, e la scorsa settimana è stata annunciata la versione stabile 1.0.

Attack Surface Analyzer aiuta sviluppatori, software house ed amministratori di sistema ad identificare i cambiamenti nella superficie d’attacco di Windows dopo l’installazione di applicazioni, sia sviluppate in house che di terze parti. Ecco alcuni scenari dove il tool può essere utile:

  • Gli sviluppatori possono verificare la superficie d’attacco dopo aver installato il loro prodotto su Windows
  • I professionisti IT possono analizzare la superficie d’attacco complessiva dopo aver installato la linea di business applications aziendale
  • I security auditor possono valutare il rischio di un particolare software durante un’attività di risk assessment
  • I security incident responders possono avere maggiore informazioni sullo stato della sicurezza di un sistema durante un’investigazione

Questo tool essenzialmente permette di fare uno snapshot di informazioni relative alla sicurezza di un determinato sistema. Dopo aver installato tutte le applicazioni necessarie ed effettuando un secondo snapshot, Attack Surface Analyzer automaticamente confronterà i due risultati e mostrerà i cambiamenti in un report.

Lo snapshot include diverse informazioni sulla macchina, per esempio:

  • Informazioni di sistema
    • Processi in esecuzione
    • Pagine di memoria eseguibili
    • Impersonation Tokens
    • Oggetti del Kernel
    • Moduli
  • Informazioni di rete
    • Porte di rete
    • Named Pipe
    • Endpoint RPC
  • Ambiente di sistema, Utenti e Gruppi
    • Account
    • Gruppi
    • Group Membership

 

La scheda “Security Issues” dell’immagine di apertura evidenzia potenziali problemi, come per esempio eventuali ACLs impostate in maniera non siucra. La sezione “Attack Surface” fornisce dettagli sui cambiamenti del sistema e della superficie d’attacco.

Attack Surface Analyzer è disponibile gratuitamente sul sito ufficiale di Microsoft.

 

Via | TechNet

Il noto programma televisivo le Iene ha recentemente trasmetto un servizio sulla protezione delle reti Wireless dove è possibile visionare come sia possibile accedere ad una rete WiFi altrui utilizzando diverse metodologie di attacco ed una volta connessi visualizzare tutto il traffico di rete della vittima.

I metodi descritti per accedere alla Wireless sono principalmente due:

  • Attacco dizionario della password wireless tramite AirCrack-NG
  • Recupero della password Wireless preimpostata dall’operatore telefonico Fastweb o Alice

successivamente attraverso Wireshark è possibile analizzare il traffico di rete generato e sfruttare a proprio piacimento i dati catturati.

E’ possibile recuperare la chiave Wireless preimpostata attraverso uno dei tanti software da noi recensiti e visualizzabili nella sezione WPA Recovery compatibili con Windows, Unix, Mac e Dispositivi Mobili mentre per l’utilizzo del primo metodo è possibile consultare i nostri articoli su AirCrack-NG.

Per chi volesse visualizzare il servizio integrale può accedere al sito di Mediaset Video, infine vi ricordiamo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge art. 615-ter c.p.

Salvatore Fresta ha rilasciato un aggiornamento del suo software WiRouter KeyRec che raggiunge la versione 1.0.4 aggiornando i Magic Numbers e il loro sistema di aggiornamento ed infine ha introdotto un breve README con la guida all’utilizzo del software su Microsoft Windows.

Per vostra comodità vi riporto la guida, con alcune personali integrazioni:

  1. Scaricare il compilatore GCC per Windows, le versioni consigliate sono: TDM-GCCMinGW;
  2. Estrarre l’archivio di WiRouter KeyRec nella directory di GCC (solitamente C:\MinGW o c:\MinGW\bin);
  3. Eseguire il file Makefile_windows.bat contenuto nell’archivio.

GCC creerà un file denominato wirouterkeyrec.exe che vi permette di recuperare la vostra chiave WPA di FastWeb o Alice, vi ricordo che WiRouter KeyRec funziona esclusivamente tramite riga di comando data l’estrema facilità di utilizzo pertanto dovete avere un minimo di abilità nel uso di MS-DOS.

Chi invece utilizza un sistema operativo diverso può effettuare il download dell’ultima versione tramite questo link, invece gli utilizzatore di BackBox riceveranno automaticamente l’aggiornamento facendo un semplice aggiornamento dei pacchetti col classico comando:

sudo apt-get update && sudo apt-get upgrade

 

 

Un ricercatore di Tel Aviv conosciuto come  “Arkon“ avrebbe rilevato una vulnerabilità nel Kernel di Windows la quale permetterebbe una scalata dei privilegi e l’esecuzione da remoto di software malevolo.

L’exploit risiederebbe in “CreateDIBPalette()”, funzione contenuta in “Win32k.sys.”

Tutte le versioni di Windows sono affette da tale vulnerabilità e si sta attendendo quanto prima una Patch da parte di Microsoft.

Via | TheRegister

Krystian Kloskowski ha recentemente scoperto una nuova vulnerabilità che affligge il Browser Safari per Windows che permette l’esecuzione di codice malevolo a piacimento del lamer.

Il codice sfrutta una vulnerabilità nell’evento di chiusura dei PopUp , attualmente confermata su Safari 4.0.5.

A questo link troverete l’exploit ed un esempio per l’esecuzione della calcolatrice di Windows.

Un falso positivo a seguito dell’ultimo aggiornamento di MacAfee provoca la cancellazione del file svchost.exe mettendo immediatamente fuori rete il PC.

Secondo quanto riportato dal New York Times, l’update (5958 DAT), trova un falso positivo del virus w32/wecorl.a nel file svchost.exe. Come risultato, McAfee cancella il file, e i pc dotati di Windows XP SP3 incominciano un reboot che non si concluderà mai, ovviamente.

Fonte