Normalmente i siti che nascondono exploit o codice malevolo vengono chiusi dalle autorità o dagli ISP in tempo breve. Esistendo però, cache o backup server, grazie ai quali tali pagine “riescono a vivere anche dopo la morte ufficiale”.
Oltre ai cache server dei motori di ricerca più diffusi queste pagine potrebbero rimanere anche nelle immense cache dei proxy di grandi aziende.
La tecnica di “infection-by-proxy” è stata descritta nell’ultima analisi pubblicata da Finjan riguardante la “Web security”.

Lo scorso 25 Agosto è stato annunciato il rilascio di LiveView un software veramente interessante per chi fa analisi forense o usa immagini grezze per recupero dati.
Questo software è in grado di creare, partendo da un harddisk o da un immagini grezza fatta con dd (e fratelli maggiori), una immagine compatibile con VMWare server e Workstation.
Salvando le modifiche che verranno fatte durante l’uso della macchina virtuale verranno salvate in un file diverso dall’originale così da permettere una perfetta integrità dello stesso.

Ecco l’annuncio ufficiale:

Hi,

We’d like to announce the public availability of Live View, a free,
open-source (GPL) forensics tool that creates a VMware virtual machine out of
a raw (dd-style) disk image or physical disk. Live View allows the forensic
examiner to “boot up” the image and gain an interactive, user-level
perspective of the environment, all without modifying the underlying image or
disk itself. Because all changes are written to a separate file, the examiner
can “install” analysis software on the target machine, interact in other ways
with the system and instantly revert all changes.

LiveView is written in Java and provides a simple, intuitive graphical
interface. It works either with VMware Workstation or the free VMware Server.

Please see the project site at:
http://liveview.sourceforge.net/
for more details or to download the latest version.

Live View was written by Brian Kaplan, and it’s development was supported by
CERT (http://www.cert.org).

Google ha lanciato un nuovo servizio, appunto codesearch, con il quale è possibile ricercare righe di codice sorgente, anche tramite espressioni regolari, dei più diffusi linguaggi.

Questo servizio è in grado anche di indicizzare tutti i file presenti in archivi (anche compressi), limitare la ricerca ad un solo linguaggio, limitare la ricerca solo a sorgenti rilasciati sotto una precisa licenza, cercare un pattern nei file con un determinato nome e molte altre cose.

Vista la sua potenza nelle ricerche c’è subito chi si è messo a scrivere stringhe per cercare bug o hacks (meglio dire workarround) nei sorgenti indicizzati da Google.
Siete curisosi di sapere in quanti non validano in PHP le variabili ricevute in POST prima di usarle come parametro di una query, in quanti scrivono in output parametri ricevuti dall’utente senza validarli, in quanti usano backdoor o presunte tali nel proprio software? Mi sono fermato qui ma ce ne sarebbe molte altre, per crearne di proprie basta leggersi la documentazione per le espressioni regolari e pensare agli errori più comuni nei software.
Jose Nazario ha stilato una classifica delle vulnerabilità più comuni nei software che è riuscito a trovare tramite codesearch.

Google come sempre ha creato un servizio veramente potente!

Mischa Spiegelmock, uno dei due relatori alla ToorCon che aveva annunciato le 30 vulnerabilità ancora 0day in Firefox, ha ritrattato spiegando che il tono della loro conferenza era umoristico e lui non è a conoscenza di nessuna atra falla oltre a quella presentata dettagliatamente nel loro talk e non ha intenzione di utilizzare nessun bug di Firefox per creare botnets.

Spiegelmock, dopo il talk ha scelto di fornire maggiori informazioni al Mozilla Security Team spiegando che il bug scoperto non può essere usato per l’esecuzione di codice arbitrario ma solo per un DoS.

Non sono a conoscenza dell’atmosfera che c’era al ToorCon durante il loro talk, ma è strano che a quei livelli si faccia un talk inventando il 70% del materiale.

Queste le parole di Mischa Spiegelmock sul Mozilla Developer Blog:

The main purpose of our talk was to be humorous.
As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.
I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.
I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim. I have no undisclosed Firefox vulnerabilities. The person who was speaking with me made this claim, and I honestly have no idea if he has them or not.

I apologize to everyone involved, and I hope I have made everything as clear as possible.

Sincerely,
Mischa Spiegelmock

Al recente talk di Mischa Spiegelmock e Andrew Wbeelsoi hanno effettuato un “live exploiting” su Firefox 1.5.07 tramite un bug da loro scoperto nel motore di gestione di Javascript. Che questo linguaggio non sia mai stato simpatico a Firefox è risaputo ma che esistessero 30 exploit gravi al suo interno è una novità.
News.com.com spiega che i due blackhat hanno dichiarato di aver scoperto almeno 30 bug all’interno dell’ultima release di Firefox (tutte le versioni: Windows, Linux e Mac OSX).

A detta della neo assunta dalla Mozilla Foundation, Windows Snyder, le slides presentate dai due hackers sarebbero state così dettagliate da poter permettere a qualcuno dei presenti di scrivere un exploit per sfruttare tale vulnerabilità.

A fine conferenza Mischa Spiegelmock e Andrew Wbeelsoi hanno gentilmente specificato che non intendono fornire dettagli sulle vulnerabilità scoperte ne al pubblico ne agli sviluppatori di Firefox. Non è servita a molto la chiaccherata con Jesse Ruderman (Mozilla security Staff) il quale ha cercato di convincerli a consegnare le vulnerabilità ricordandogli che la Mozilla Foundation paga 500 dollari per ogni bug riportato.
Le parole di Wbeelsoi sono state: “It is a double-edged sword, but what we’re doing is really for the greater good of the Internet, we’re setting up communication networks for black hats“.

In pratica le vogliono usare per creare una botnet o come la chiamano loro: una rete di comunicazione per blackhat.