Nella giornata di ieri Twitter e Facebook sono stati soggetti di un un attacco DoS ( Denial of Service ), un attacco che aveva lo scopo di mettere KO due dei più famoso siti di Social Network di tutto il mondo. Anche i TG serali italiani hanno dedicato 20 secondi ( si sono proprio sprecati no? ) alla questione, non svelando però i dettagli dell’attacco.

L’attacco è stato portato a termine in maniera congiunta sui due siti da un’unica fonte. Oggi si è cercato di fare un po’ di chiarezza sulle motivazioni dell’attacco di ieri.
Secondo alcune ipotesi il DoS è stato scatenato a causa di motivazioni politiche, tale ipotesi viene avanzate sulla base delle considerazioni fatte da un blogger di nazionalità georgiana, conosciuto nel mondo virtuale con il nickname di Cyxymu. Quest’utente, in possesso di diversi account su siti di social network famosi, come: YouTube, Facebook, Twitter e LiveJournal sarebbe stato preso di mira per via della sua posizione filo-occidentale.

Non è ancora stata rilasciata nessuna notizia ufficiale sul come due colossi del Web possano essere stati messi in ginocchio da un attacco DoS.
Alcuni ipotizzano che sia stato un attacco congiunto di spam e DoS ad aver fatto collassare Twitter per alcune ore e rallentare pesantemente Facebook.

Attendiamo notizie ufficiali….

Twitter nel proprio blog assicura che l’attacco non ha minimamente attaccato i dati degli utenti, ma che si è trattato di un attacco DoS in piena regola. Sia i tecnici di Facebook che di Twitter stanno lavorando per riportare i server allo stato di stabilità.

Queste sono le voci che circolano al momento, credo comunque che l’ipotesi dell’attacco all’utente Cyxymu sia poco probabile. Attaccare due colossi del social network per UN utente… un lavoro “di fino”

Stay Tuned ~

Vediamo come aumentare la sicurezza del nostro blog. Ogni installazione di WordPress crea automaticamente l’utente di default “admin”, infatti, durante l’installazione ci viene data la password dell’utente per effettuare l’accesso alla parte amministrativa del blog.
Quest’utente però è standard ed un eventuale malintenzionato saprà già a priori dell’esistenza dell’utente admin, e quindi gli basterà solo trovare la password ( non che questo sia facile ). Vediamo però di toglierli questa certezza.

Non è possibile modificare l’account dell’utente admin dal pannello amministrativo, dovete per forza modificare il record dell’utente admin nel database MySQL.
Per fare questo è necessario loggare in phpmyadmin, selezionare il database che utilizzate per WordPress e visualizzare la tabella wp_users, la tabella che contiene tutti i dettagli sugli utenti registrati al vostro blog. Di default la tabella ha il prefisso wp_.

Se volete fare le cose in modo geek, potete eseguire la query sottostante per selezionare subito il record dell’utente admin.

SELECT * FROM wp_users WHERE id =1;

Ora dovete solo modificare l’attributo user_login e user_nicename, inserendo la medesima stringa. Magari lasciate l’attributo display_name al valore di default admin. Facendo così, se utilizzate l’utente admin per scrivere post nel vostro blog, un visitatore non può sapere che avete modificato la login name dell’utente amministratore.

È comunque buona regola non utilizzare l’utente admin, ma bensì creare un altro utente ( anche con privilegi minori ) ed usare sempre quello.
Io utilizzo WordPress da più di sei mesi e non ho mai loggato con l’utente admin ( tranne ovviamente la prima volta ).

Rilasciato oggi il terzo minor update di del trunk 2.8 di WordPress, come gli altri due, anche questo è incentrato sulla risoluzione di bug di sicurezza.
Si tratta infatti di vulnerabilità di privilege escalation non fixate nella versione 2.8.1. Fortunatamente la community di WordPress ha scoperto queste falle e riportate prontamente al team di sviluppatori. Grazie al loro aiuto i bug rimanenti sono stati risolti in questa 2.8.3.

Potete visionare i dettagli nel blog degli sviluppatori a questo indirizzo.

Vi ricordo, come sempre, di consultare questa guida per l’aggiornamento se avete un dominio Aruba.

Buon Update

Gli esperti di sicurezza Charlie Miller e Collin Mulliner sono riusciti a trovare una vulnerabilità di sicurezza nel servizio SMS ( Short Message System ) che affligge tutti i “melafonini” e gli appena nati sistemi Android. I due esperti pensano che anche Windows Mobile possa soffrire di questa vulnerabilità, anche se al momento non ne è possibile la dimostrazione, in tal proposito Charlie e Collin continuato a lavorare sullo stack telefonico del sistema operativo.

I risultati dei due ricercatori sono stati esposti accuratamente durante il Black Hat Cybersecurity Conference tenutasi a Las Vegas.
La vulnerabilità in questione è critica, in quanto un apposito messaggio SMS inviato ad uno di questi sistemi può causare il crash dello stack telefonico. Nel caso di iPhone l’exploit avrà il compito di far crashare il servizio CommCenter, mentre per quanto riguarda Android toccherà al demone /system/bin/rild.
Non si sa ancora se con tale exploit è possibile attaccare anche i terminali Windows Mobile.

L’unica soluzione, che permette di essere al sicuro da questo tipo di vulnerabilità SMS, è spegnere il telefono. Una soluzione praticamente improponibile. Lo stesso Miller afferma che gli SMS sono strumenti potentissimi per effettuare attacchi in mobilità, in quanto non richiedono l’interazione dell’utente che li riceve e al malintenzionato basta conoscere il numero di telefono della vittima.

La paura attuale è che tramite tale exploit sia possibile effettuare un attacco virale, che colpisca tutti i contatti in rubrica della vittima attaccata. Passando quindi da vulnerabilità ad un vero e proprio worm.

Al momento solo Apple, vanta di avere rilasciato un aggiornamento firmware ( iPhone OS 3.0.1 ) in tempi relativamente brevi, si parla 24 ore dopo la dimostrazione dell’exploit. L’aggiornamento risolve solo questa vulnerabilità e pertanto è caldamente consigliato. Il nuovo firmware 3.0.1 occupa in totale 280MB.

Ecco le parole Tom Neumayr riguardo al rilascio del nuovo aggiornamento.

We appreciate the information provided to us about SMS vulnerabilities which affect several mobile phone platforms. This morning, less than 24 hours after a demonstration of this exploit, we’ve issued a free software update that eliminates the vulnerability from the iPhone. Contrary to what’s been reported, no one has been able to take control of the iPhone to gain access to personal information using this exploit.

iPhone quindi potenzialmente al sicuro, mentre per Android e Windows Mobile ancora nessuna soluzione.

Per conosce in modo più dettagliato le dinamiche di funzionamento dell’exploit vi raccomando la lettura di “Fuzzing the Phone in your Phone“, articolo con il quale Charlie e Collin hanno presentato la situazione al Black Hat.

Si tratta di una GUI ( interfaccia grafica ) del noto programma di wireless cracking “Aircrack-NG” disponibile per tutte le piattaforme Linux. L’interfaccia scritta con le librerie Python+QT permette di usufruire delle potenzialità di Aircrack in maniera molto più intuitiva, rendendo automatiche tutte le varie tecniche per effettuare un attacco ad un Router wireless o ad un Access Point.

Wifi Cracker NG dovrebbe essere presente nativamente in BackTrack 4 ( versione finale ) e da tutte le distribuzioni Debian-based. Potete ad ogni modo scaricare i sorgenti del software e lanciare lo script in python gerix.py.
Le dipendenze di questo software sono: aircrack-ng, xterm, zenity e ovviamente le librerie grafiche python-qt3.

Lo sviluppatore del software, per dare un’idea della sua reale semplicità, ironicamente afferma: “questo software e` talmente semplice da usare, che con lui saprebbe craccare Reti Wireless anche farlo mia nonna!”.

Potete trovare altre informazioni ( e foto ) ed ovviamente l’indirizzo per il download in questo post del blog dello sviluppatore o qui.

Ora lo provo anche io

Qualche istante fa è stato reso disponibile il download del nuovo aggiornamento 2.8.2 per WordPress. Quando ho visto la notifica non sapevo cosa pensare; questo è il secondo aggiornamento del trunk 2.8 a poco più di 10 giorni dal primo, davvero incredibile. :suprised:

Questo aggiornamento svolge il ruolo di minor update e corregge una vulnerabilità di tipo XSS ( Cross-site scripting ). La vulnerabilità era localizzata nel panello di admin dove i link degli autori del commento non erano codificati correttamente. Tale vulnerabilità poteva essere utilizzata per effettuare un redirect ad un altro sito.

La notizia della nuova release la trovate a questo post del blog sviluppatori WordPress.
Ovviamente è caldamente consigliato l’update della piattaforma via FTP o tramite il comodo aggiornamento automatico.

Ricordo che gli utenti Aruba dovranno seguire questa procedura prima di effettuare l’update.

Buon aggiornamento

TrueCrypt è uno dei più famosi software di criptazione “on the fly“, questo termine indica il fatto che tutte le informazioni criptate sono immediatamente disponibili dopo aver fornito la chiave per la decriptazione ( una password, ad esempio ).
Questo software ci permette in pochi steps di creare un volume, ossia un disco fisso virtuale, criptato, accessibile solo per mezzo di una password. Le applicazioni di questo “volume sicuro” sono innumerevoli, all’interno possiamo memorizzare documenti riservati, archivi password e quant’altro. Praticamente qualsiasi cosa che non deve cadere nelle mani altrui, e ve lo dice uno che usa questo software già da più di un annetto.

TrueCrypt non significa solo questo, nel suo codice sono implementate molte altre funzioni come l’encrypting di intere partizioni fisiche ( come chiavette USB ) o della partizione di sistema in cui si trova il sistema operativo. Ovviamente queste sono soluzioni ad hoc per casi particolari. Inoltre dalla versione 6 è stata introdotta una nuova funzionalità che permette di creare ed eseguire un hidden disk, presente all’interno della partizione principale criptata.
Va però detto che è da maniaci criptare la partizione di sistema se poi all’interno non vi è nulla di compromettente, proprio per questo io ho optato per un semplice e flessibile volume virtuale criptato che sicuramente è la funzionalità più amata da tutti gli utilizzatori di TrueCrypt.

Il programma di basa su forti algoritmo di cifratura, si parla di AES (256-bit key), Blowfish (448-bit key), Serpent (256-bit key). AES attualmente è utilizzato come standard dal governo degli Stati Uniti d’America per via della sicurezza che offre e negli ultimi anno ha rimpiazzato l’obsoleto DES. In più TrueCrypt offre 5 combinazioni Cascades di questi algoritmi: AES-Twofish, AES-Twofish-Serpent, Serpent-AES, Serpent-Twofish-AES e Twofish-Serpent, introducendo così il concetto di Superencryption. Il processo di supercifratura però comporterà inevitabilmente una diminuzione delle prestazioni in lettura e scrittura del volume. Questo aspetto però diventa superfluo se la nostra “cassaforte digitale” dovrà contenere solo piccoli file di testo.

C’è inoltre la possibilità di adottare uno dei seguenti algoritmi di hash: RIPEMD-160, SHA-512 e Whirlpool.

TrueCrypt è un software open source ed è un cross-platform, disponibile per sistemi Windows, Linux e Mac OS.
Se l’inglese non è il vostro forte, sarete felice di sapere che sul sito ufficiale sono disponibili cirta una trentina di language pack, tra cui ovviamente c’è anche l’italiano.
Il sito offre una buonissima documentazione su tutte le funzionalità del programma, sfortunatamente queste sono solo in inglese, ad ogni modo sono ben comprensibili e ricche di immagini. Per creare un vostro volume criptato vi basterà da un’occhiata a questo breve tutorial.

L’ultima versione nota al momento, la 6.2a è disponibile a questo indirizzo ed aspetta solo di essere scaricata da voi.

Good encryption

A pochi giorni dal rilascio di Firefox 3.5 è stata scoperta una vulnerabilità critica che affligge il noto browser di casa Mozilla su sistemi Windows. L’exploit in questione sfrutta una falla del nuovo interprete JavaScript permettendo l’esecuzione di un codice arbitrario. L’exploit è già stato pubblicato sui più famosi siti di sicurezza, ad esempio Milw0rm. La tipologia della vulnerabilità è il buffer overflow che consente l’esecuzione di un codice, nell’esempio fornito da Milw0rm, l’exploit eseguirà la calcolatrice di Windows ( calc.exe ). Ovviamente tale codice può essere modificato in modo da effettuare operazioni ben diverse dall’avviare la calcolatrice.

La vulnerabilità riguarda Tracemonkey, il compilatore Just In Time ( JIT ) per JavaScript, introdotto da Mozilla in quest’ultima versione di Firefox per permettere una navigazione e l’esecuzione di applicazioni web più veloce. La modalità d’attacco dell’exploit è una delle più classiche, l’utente arriva ad una pagina web che apparentemente sembra normale, invece nasconde all’interno il codice per sfruttare la vulnerabilità.

Al momento Mozilla lavora per garantire un aggiornamento nel più breve tempo possibile. A tutti gli utilizzatori di Firefox 3.5 si consiglia di effettuare un roleback alla versione 3.0. Oppure in alternativa potete utilizzare questo workaround per disabilitare Tracemonkey. Le operazioni da eseguire sono:

• Nella barra degli indirizzi inserire: about:config;
• Promettete di fare attenzione =D, e scrivete nella casella del filtro jit;
• Fate doppio click sull’opzione “javascript.options.jit.content” e impostate il valore a false.

Utilizzando questo metodo inibirete temporaneamente le prestazioni di Firefox 3.5, in quanto utilizzerà il vecchio interprete JavaScript, quello presente nella versione 3.0.
RICORDATE, appena Mozilla rilascerà la nuova versione dovrete seguire lo stesso procedimento e settare true al posto di false.

UPDATE

Secondo il comunicato rilasciato da MozillaLinks, Mozilla ha confermato che il primo aggiornamento di sicurezza per il nuovo ramo Firefox 3.5 sarà disponibile entro fine settimana. Mentre un secondo aggiornamento sarà rilasciato per la fine di luglio.

UPDATE 2

Mozilla ha rilasciato al versione 3.5.1, che prontamente risolverà questa vulnerabilità. Il download è disponibile a questo indirizzo, oppure tramite il servizio di aggiornamento automatico. Come sempre Mozilla si è rilevata efficiente nel risolvere questo tipo di problematiche.

Durante la notte del 11 luglio ImageShack, noto servizio di hosting per immagini, è stato hackato dal movimento Anti-Sec ( Anti-Security Movement ). L’hack si è basato su un deface della home page e nella sostituzione di tutte le immagini hostate con il loro manifesto. Inoltre gli stessi hacker hanno usato le email ufficiali di ImageShack per diffondere il loro messaggio a tutti gli iscritti al servizio.

Questo è il manifesto diffuso dal movimento Anti-Sec:

Clicca per ingrandire

Riassumendo in poche parole, il movimenti Anti-Sec si oppone accanitamente, e si prefigge lo scopo di eliminare, Full Disclosure. La loro motivazione è molto semplice: non è corretto che i vari exploit, scoperti dalle società di sicurezza, vengano resi pubblici ( per fini economici ). Questo comportamento fa si che chiunque possa copiare gli exploit e utilizzarli per attaccare il bersaglio designato, con relativa facilità.

Il manifesto si conclude con una minaccia abbastanza pesante ai possessori di blog e siti legati al mondo della sicurezza:

If you own a security blog, an exploit publication website or you distribute any exploit…”you are a target and you will be rm’d ( removed ). Only a matter of time.”
Thist isn’t like before. This time everyone and everything is getting owned.

Nella giornata di ieri sul sito ufficiale di WordPress è stato pubblicato il comunicato stampa del rilascio della nuova release di WordPress, la 2.8.1. Con questa versione si fa riferimento alla prima versione di mantenimento del trunk 2.8. Nel comunicato è presente una breve sintesi dei cambiamenti introdotti da questa 2.8.1, mentre un changelog completo è disponibile a questo indirizzo.

Tra le novità introdotte vediamo la risoluzione della vulnerabilità di sicurezza trattata in questo post, nella giornata di ieri. Tutte le informazioni relative a questa vulnerabilità sono consultabili nell’advisory CORE-2009-0515 pubblicato su Core Security Technologies.
Con questa nuova release si pone anche fine al problema di memoria insufficiente durante il caricamento della dashboard. Inoltre è stata disabilita la funzione di colorazione della sintassi (syntax highlighting ) nell’editor dei plugin e dei temi, in quanto incompatibili con diversi browser. Io stesso, con Opera 9.64, avevo notato dei piccoli bug all’interno dell’editor.

L’aggiornamento quindi è caldamente consigliato, soprattutto dal punto di vista della sicurezza. Il download è disponibile a questo indirizzo ( per i più smanettoni ). Altrimenti potrete seguire la procedura d’aggiornamento automatica offerta da WordPress, presente nel menù di amministrazione.

La versione in italiano seguirà a breve, potete comunque aggiornare alla 2.8.1 in inglese e in seguito riaggiornare alla versione in italiano.

Vi ricordo che se avete un dominio Aruba dovrete seguire questa procedura prima di procedere con l’aggiornamento automatico. Il post si riferisce all’aggiornamento verso la 2.7.1, comunque la procedura è generica e funzionerà anche per la 2.8.1.