photo credit: gruntzooki

Che Flash sia il male lo sappiamo già, ma in queste ore Symantec ha emesso un comunicato ufficiale che eleva il rischio a critico come risposta ad una infezione che ha riguardato almeno dalle 20.000 alle 200.000 pagine web nel mondo.
Il malware, una versione modificata del ceppo cinese di MPack, si diffonde molto probabilmente via un mass SQL injection automatizzato.

Apparentemente si tratta, come diveco, di uno Zero Day per Macromedia Flash Player segnalato poco tempo fa e si tratta, tra l’altro, di un attacco cross-piattaforma:

The attack uses multiple layers of SWF redirection and generates URLs designed to target specific Flash version and browser combinations, supporting both Internet Explorer and Firefox

L’Incident Team di Adobe riporta il problema nel loro sito web di essere a conoscenza del problema. A quando la soluzione?

Nel frattempo, secondo Symantec, bisognerebbe:

Avoid browsing to untrustworthy sites. Consider disabling or uninstalling Flash until patches are available.
Deploy script-blocking mechanisms, such as NoScript for Firefox, to explicitly prevent SWFs from loading on all but explicitly trusted sites. Temporarily** set the kill bit on CLSID d27cdb6e-ae6d-11cf-96b8-444553540000** until patches availability is confirmed.

Importante.
Diffondete.

Technorati Tags: symantec, swf, adobe, flash, zero-day

photo credit: Samuel Judge

No, non voglio.
Oddio, non che Fassino mi stia simpatico, per la cartià di Dio, ma il problema è un altro…

Il problema è che il Blog l’hanno fatto i ragazzi del Cannocchiale ed io li adoro.
Davvero.

Non quanto adori Simplicissimus, secondo me i migliori in italia come qualità dei contenuti e stile, ma mi piacciono un sacco.
Per Simplicissimus è un’altra storia… Prima o poi troverò tempo e/o coraggio per vedere magari di spostarmi da loro… Sarebbe un onore…

Comunque sia mi piace il lavoro che hanno fatto quelli del del Cannocchiale e mi piace come lo portano avanti, mi piace come si stanno muovendo.
E quindi? E quindi uscire con delle vulnerabilità mi da fastidio… Facciamo così: stavolta propongo solo errori di input sanitization, ok?

• Questo che ci dice tante cose interessanti, come il fatto che il Debug Mode è ON, che il codice è in VB.Net…
• Oppure questo che oltre a svelare la path del server, se avete avuto modo di programmare in ASP.NET e di vedere come funzionano le configurazioni potreste trovare fastidioso.

Ma porcapaletta ragazzi! Anche voi? :(

Technorati Tags: fassino, sito web, blog, cannocchiale

Avevo deciso si stare buono buonino, visto l’inizio della mia collaborazione col Punto Informatico, ma visto che iniziano loro posso mettermici anche io…

Sito web del Partito Democratico bucabile? Dopo aver letto il blog di Roberto Scaccia, che ha scoperto che con due click del mouse riesco a visualizzare nel browser il file web.config (il file di configurazione della web application del PD in cui sono contenuti i codici di access) non ci sono un gran che di dubbi… Ma per par condicio sono costretto a confessare che non sono né gli unici né, forse, quelli messi peggio.

Un’oretta a giochicchiare (nulla di stratosferico, sia chiaro) e troviamo un po’ di altre realtà da controllare, tra il ludico e l’assurdo…

Iniziamo con i Radicali che sembrano proprio, grazie ad un XSS nella forma più grezza desiderare “Paperino al Governo”… Buon per loro, visto che potrebbe essere meno peggio di tante altre scelte che abbiamo a disposizione…
Oltretutto esistono filtri in ballo che rendono difficile utilizzare javascript nella pagina. Il tutto si riduce quindi a qualcosa di semplicemente goliardico da parte di chi dovesse usare la pagina…

Sempre il Partito Democratico sembra avere ancora enormi problemi anche di URL sanitization e richiama fantomatici form quando appare un apicino strategico…. Che dire, tra questo ed il problema segnalato da Scaccia credo proprio che siano tempi duri per DOL, la società che ha curato la realizzazione e di cui trovate estremi di riferimento alla pagina del loro sito. Potete provare a sentirli in merito alle politiche di secure coding…

Molto, molto molto più pericolose invece le vulnerabilità sul sito dell’UDEUR che decide di spiegarci con un esempio da manuale cosa sia la SQL Injection, riportandone una perfetta implementazione direttamente nel sito… Che dire?
One Apostrophe to rule them ALL?!?!?!
In questo caso le voragini di Sicurezza sembrano da imputare a Neikos, la società di Senigallia che potete contattare a questi recapiti.

Si potrebbe andare avanti dicendo che anche in casa Rauti esistono problemi di SQL injection, ma probabilmente qui hanno dalla loro il fatto che il sito web è stato fatto da un piccolo studio, quel Pino Mannarino che pare essere il titolare di StyleFactory.

Ne ho ancora un bel po’ in canna, ma vediamo se questi sono per ora sufficienti…

Sia chiaro, non sono per nulla tecniche da hacker, ma semplici e banali apicini posizionati a destra e manca che qualunque idiota (me compreso) può mettere e destra e sinistra…
Per il resto fa impressione vedere come società come DOL, Neikos e StyleFactory possano programmare all’alba del 2007 siti che non abbiano (non dico che le società non l’abbiano, constato non l’hanno i siti web) la benchè minima implementazione non solamente della sicurezza web ma anche e semplicemente del secure coding e dell’input sanitization…

Che dire? “Uelcom tu Itali, spaghetti, pizza, arp spoofing e web application p0rn”.

Al solito lasciate commenti o contattatemi :).

P.S. Ciao a tutti quelli che arrivano qui partendo dai link del Punto Informatico
P.P.S. Ho eliminato i link diretti alla vulnerabilità… Ma se mettete un apicino qui e la la ritrovate :)

bucabile, vulnerabilità, partito, udeur, rauti, partito democratico, pd, neikos, dol, sito web

Technorati Tags: bucabile, vulnerabilità, partito, udeur, rauti, partito democratico, pd, neikos, dol, sito web

E sul Punto Informatico di oggi, facendo Auting, comunico che le vulnerabilità le ho segnalate io:

Così capita che, nelle stesse ore, a Punto Informatico giungano tre segnalazioni di altrettanti problemi a siti piuttosto noti. In tutti e tre i casi si tratta di vulnerabilità di media entità, ma abbastanza serie da essere prese subito in considerazione. E in tutti e tre i casi si trattava di vulnerabilità XSS che, dopo la segnalazione di Punto Informatico, sono state eliminate in poche ore.

E subito dopo potere leggere l’intervista sulla “professione” di bug hunter…

Eccone qualche estratto:

Punto Informatico: Come si scoprono le vulnerabilità di un sito web?
Matteo Flora: Le falle si “scoprono” spesso e volentieri grazie all’esperienza, che fa subito emergere come lampanti eventuali errori trasportati dal mezzo di comunicazione. Dopo un po’ di tempo passato a ricercare questo tipo di vulnerabilità, l’osservare come vengono maneggiate ed inoltrate le richieste molte volte è tutto quello che serve per ipotizzare la presenza di talune problematiche.

PI: Questione di mestiere, di pratica?
MF: Non è certo magia né tantomeno mistero: solo metodo, spirito di osservazione e spesso impegno pregresso. “It’s not Rocket Science”, anche se devo ammettere che da taluni soggetti, spesso anche italiani, ho visto emergere strategie di exploiting degne dell’ammirazione di chi osserva un’artista all’opera.

PI: Quali sono le principali vulnerabilità in circolazione?
MF: Nell’ambito della WebApplication Security tra le vulnerabilità più diffuse abbiamo il Cross Site Scripting (esecuzione di codice javascript non autorizzato all’interno di pagine web), varie ed eventuali declinazioni di SQL Injection (possibilità di sovvertire la comunicazione con la base dati al fine di sottrarre o alterare le informazioni ivi contenute) e RFI, Remote File Inclusion (la possibilità in “includere” tramite falle codice malevole lato server in applicativi).

PI: E quali di queste si portano dietro maggiori rischi per il navigatore?
MF: Alcune di queste vulnerabilità, che di per sé potrebbero essere poco o nulla pericolose, possono con perizia e maestria essere declinate ad esempio in CSRF, Cross Site Request Forgery (il meccanismo mediante il quale un utente malevolo “penetra” in un sito protetto da password utilizzando le credenziali di un utente già loggato), che ovviamente rendono altamente pericolose anche vulnerabilità che sembrerebbero “banali”.

PI: Cosa occorre fare quando si scopre una falla?
MF: Personalmente dopo decine e decine di questi episodi ho deciso di pubblicare una precisa policy scritta, adattando al panorama normativo italiano la famosa dislcosure policy di RFP (RainForrest Puppy).

PI: In cosa consiste?
MF: Il contenuto è breve e preciso: la vulnerabilità viene comunicata al vendor (proprietario del sito, del prodotto o ditta ed ente responsabili) e ci si attende una conferma della ricezione entro 5 giorni. Se la risposta non arriva si ritenta e si attendono altri 5 giorni.

PI: Se non arriva alcuna risposta?
MF: Se ancora una volta la risposta non arriva in nessuna forma, si pubblica la vulnerabilità dopo essersi sincerati di avere un contatto (quando possibile) con responsabili di sicurezza, admin, abuse, responsabili stampa o call center.

PI: E se invece gli interessati rispondono?
MF: Se invece si viene contattati allora si spiega in modo estremamente preciso tutta la problematica e si decide mutualmente come procedere. Non è necessario risolvere immediatamente la vulnerabilità, basta dare una scadenza compatibile con il buon senso.

PI: La storia finisce qui?
MF: Trascorsa la scadenza ed una volta che la vulnerabilità è stata sanata si procede in coppia o singolarmente a comunicare la vulnerabilità ritrovata: questo per un duplice motivo.

PI: Quale?
MF: Innanzitutto per permettere agli utenti che non avessero fatto un upgrade alla nuova versione di sapere che è necessario un upgrade viste le problematiche incontrate, ed in secondo luogo per permettere ad altri ricercatori indipendenti di controllare se la problematica si riflette anche su altri prodotti simili o simili realtà. Succede infatti spessissimo che una vulnerabilità su un prodotto o servizio sia riproponibile in ambiti simili o derivati.

PI: Ma chi sono i bug hunter, perché fanno quello che fanno?
MF: Se lo chiedono in molti… Alcuni ci vedono come esaltati in cerca di fama e gloria imperitura, altri come schizofrenici maniaci di protagonismo (che per diamine ci può stare, ma dopo un po’ è discretamente tedioso). Alcuni ci vedono come prezzolati cacciatori di teste o come ricattatori di società, ma anche qui non ci siamo: nessuno di noi, se serio, accetta soldi dalle società trovate vulnerabili per “tacere” su questa o quella falla.

PI: E allora perché?
MF: Almeno nel mio caso, e di quegli italiani e non che ho avuto modo di conoscere e stimare (e ce ne sono tantissimi!), siamo fermamente convinti che le società non stiano minimamente interessandosi della sicurezza come primo approccio, della sicurezza come tutela degli utenti in primis e della collettività in generale.

PI: Una questione sociale ed etica?
MF: Lo facciamo perché ci piacerebbe che i nostri dati fossero conservati gelosamente e con la massima attenzione: vedere società che non lo fanno magari per un errore o una svista fa scattare il desiderio di miglioramento. Si segnalano, le vulnerabilità, e si diffondono al grande pubblico solamente quando (spessissimo, ahimé) anche a distanza di mesi dalla segnalazione permangono online e non vengono sanate.

Sul PuntoInformatico di oggi è presente una mia intervista con Luca Annunziata in merito al sito .

Ne riporto alcuni stralci:

Punto Informatico: Sul sito rivotiamo.it è possibile inserire firme fasulle. I gestori hanno rimosso quelle palesemente dubbie, ma è tuttora possibile continuare ad inserire false sottoscrizioni: c’è modo di verificare l’identità e l’autenticità dei firmatari?
Matteo Flora: Per come il sistema è strutturato attualmente, il coefficiente di realtà delle firme espresse è prossimo allo zero. Con pochi spiccioli posso acquistare su web un elenco di centinaia di migliaia di nomi plausibili ma creati artificialmente, con relativa plausibile mail. Ma il sistema attuale non controlla nemmeno la mail di destinazione.

PI: Qualche esempio?
MF: Personalmente ho testato un semplice script che ha creato parecchi voti con dati plausibili. Vedo chiaramente salire il contatore ma non l’ho mai visto scendere una sola volta. Ho monitorato il sistema negli ultimi 4 giorni e mai una volta mi sono ritrovato a vederlo scendere per la rimozione dei dati spuri.

PI: Si potrebbe migliorare la situazione?
MF: Quanta difficoltà vi sarebbe stata nel predisporre per lo meno una mail di conferma? E soprattutto, essendo la soluzione così semplice, perché non approntarla e accollarsi invece tutti questi falsi positivi?

PI: E il filtro sugli IP suggerito dai gestori di rivotiamo.it.
MF: Anche il filtro su base IP, tanto declamato, è in realtà molto dubbio: ad esempio per Fastweb (che espone su internet centinaia di migliaia di utenti da pochissimi IP utilizzando NAT) sarei curioso di sapere se si è deciso di non fare votare tutte queste persone o se si è preferito non implementare filtri.

PI: Esiste un sistema per creare una petizione online “sicura”? Una petizione, insomma, che sia valida a tutti gli effetti?
MF: Ebbene sì, basterebbe che l’amministrazione statale avesse istruito i cittadini all’utilizzo della firma digitale! Senza andare a questi livelli di complessità, basterebbe un controllo formale più aggressivo, magari con nome, cognome e data di nascita, a tamponare l’enorme quantità di falsi positivi.

PI: Ci sono alternative al fai-da-te?
MF: Esistono piattaforme storiche per la gestione delle petizioni, ma ciascuna di queste implementa per lo meno una serie di meccanismi di autenticazione. Che sia una mail di conferma, che sia un controllo formale dei dati o anche, solamente, l’invito a firmare una dichiarazione di conformità alla realtà dei dati immessi.

PI: E quindi?
MF: E quindi sono perplesso.

Mettiamo le cose in chiaro: non sono alla ricerca di facile notorietà e lo script esiste davvero. Si basa su Ruby e Watir e qui sotto ne trovate l’intero sorgente:

[Ruby] require ‘rubygems’ require ‘SafariWatir’

startUrl = “http://www.rivotiamo.it/”

b = Watir::Safari.new b.speed = :fast

(1..1000).each do |x| begin fakeName = rand(500000000).tos(26) b.goto(startUrl) b.textfield(:id, “name”).set(fakeName) b.textfield(:id, “surname”).set(fakeName) b.textfield(:id, “cap”).set(20000 + rand(400)) fakeName = “#{fakeName}@#{fakeName}.com” b.textfield(:id, “email”).set(fakeName) b.link(:id, “bsign”).click() rescue puts ” Sh*i happens…” end end [/ruby]

Cosa genera questo script?
Semplicemente voti spuri che vengono conteggiati normalmente dal sistema. Eccone qui sotto la dimostrazione pratica:

Certo che i voti generati in questo modo sono assolutamente semplici da individuare (ed era esattamente l’obiettivo), ma basterebbe anche semplicemente acquistare qualche decina di migliaia di indirizzi “spuri” ma plausibili ad un sito come http://www.fakenamegenerator.com e lo script genererebbe voti che non sono distinguibili da quelli reali.

Che dire? Semplicemente rimango ancora più perplesso. E che dire poi anche del simpatico numero “899″ che tanti hanno chiamato truffa?

P.S. Giusto per dovere di cronaca: sono un elettore di DESTRA e teoricamente un elettore della compagine di Berlusconi. Quindi, per cortesia, evitate di darmi del comunista che mi offendo =]

UPDATE Dietro al sito web fervono movimenti e una serie di brave manovre… Il codice sta cambiando a gran velocità e sembra che si stiano impementando una serie di blocchi, tra cui quello IP.
Mi chiedo come faranno cone Fastweb e tutte le centinaia di utenti nattati sotto stesso IP. Mi sa che i prossimi test li farò da casa di un amico con Fastweb :)
Probabilmente entro domani avremo una bella differenza dal risultato che ho ottenuto io… Pazienza, buone o cattive che siano le intenzioni l’importante, come al solito, è che le problematiche vengano risolte :P

Come qualcuno ha già notato sono apparsi su full disclosure due nuovi advisory che riguardano il motore di ricerca di Arianna e l’Ad Server di Libero, entrambi XSS e Open Redirectors… Entrambe risolte in accordo con Libero/Wind e l’ottima guida della Direzione Sicurezza, ora cooperativa, competente e veloce…

Gli Advisory sono:

• 0×070xB: Open Redirector ARIANNA.LIBERO.IT
• 0×070xC: Open Redirector ADSERVER.LIBERO.IT

Rimangono ancora “in the wild” presso il vendor una serie di problematiche sul Comune di Milano e un paio di giornali. La lista, come al solito, è in coda a www.MatteoFlora.com…

A questo proposito sarei grato se qualcuno dei lettori mi facesse contattare da Repubblica.it (i recapiti sono alla voce contatti). Gli altri giornali sono stati contattati e le problematiche sulle banche non vengono pubblicate in full disclosure…

Grazie.