Recentemente molti blog di sicurezza informatica hanno scritto a riguardo della vulnerabilità (se così possiamo chiamarla) nell’ActiveX LunchApp.APlunch preinstallata nei laptop venduti da Acer (non si conosco con precisione tutti i laptop interessati ma sicuramente sono molti modelli).
Il LunchApp.Aplunch, come si può dedurre dal nome, serve ad Acer per aprire URL per l’aggiornamento del software presente sui propri portatili.
Conoscendo il path intero di un file esegubile residente sul sistema vittima, tramite l’ActiveX, è possibile aprirlo senza nessuna interazione dell’utente in quanto LunchApp.APlunch (clsid: D9998BD0-7957-11D2-8FED-00606730D3AA) è settato come “safe for scripting” e “safe for initializing from persistent data”.
Aggiornando Internet Explorer alla versione 7 si risolvono i problemi di sicurezza in quanto la nuova versione del browser Microsoft disabilita l’opzione “safe for scripting” degli ActiveX precedentemente installati sul sistema.
Acer ha rilasciato una patch denominata Acer Preload Security Patch for Windows XP. E’ possibile comunque risolvere ponendo il kill-bit sul CLASS-ID dell’ActiveX come spiegato nella KB 240797 di Microsoft.
Un PoC è disponibile sulla pagina dell’autore della scoperta.
Paypal per combattere i numerosi attacchi di phishing fatti ai propri utenti ha pensato di dotare loro di un porta chiave che genera one-time password ogni 30 secondi.
In questo modo, anche se un malintenzionato riuscisse a venire in possesso di username e password di un account PayPal senza il security token (meglio key in questo caso) non sarebbe in grado di effettuare il login.
PayPal aferma, tramite un porta voce, che questo dispositivo non servirà ad eliminare le frodi ma solo aumentare il livello di sicurezza nella gestione del proprio account.
Il Security Key è stato sperimentato tra gli impiegati di PayPal per alcuni mesi. La sua sperimentazione tra gli utenti dovrebbe partire dal mese prossimo in U.S, Germania e Australia. Tramite una apposita pagina sarà possibile richiedere l’invio del porta chiave; per account personali avrà un costo di 5$, mentre per account business sarà gratuito.
Il dispositivo sarà basato su tecnologia VeriSign, società con la quale eBay ha stretto una partnership dal 2005.
Il nuovo toolkit, denominato dagli esperti di RSA “Universal Man-in-the-Middle Phishing Kit”, si trova in vendita su negozi underground per circa 1000$.
Diversamente dagli altri kit, per attacchi phishing, diffusi ormai da un po di tempo, questo è unico nel suo genere perchè comprende una semplice interfaccia web che permette, anche ad un utente inesperto, di quale sito creare una copia.
Le uniche due cose necessarie da configurare sono l’URL del sito da falsificare e dove queste pagine saranno ospitate. Successivamente il tool, creerà una pagina PHP la quale potrà essere ospitata su server Web compromessi o spazi free.
A differenza degli altri kit che hanno una pagina Web statica che riproduce fedelmente quella di un sito Web di una banca, di sito di e-commerce, ect la pagina dinamica creata richiederà direttamente la vera pagina, ospitata sul sito dell’organizzazione oggetto del furto delle credenziali, visualizzandola all’utente e intercettando tutti i caratteri immessi nel form della pagina. L’utente difficilmente si accorgerà di qualcosa in quanto il login verrà effettuato sul sito Web vero e proprio dell’organizzazione.
La pagina PHP è talmenente ben fatta che riesce a capire se username e password inseriti nel form hanno generato un login-in corretto oppure hanno generato un errore. Anche dopo il login andato a buon fine i dati passati al sito ufficiale saranno intercettati dallo script. In questo modo è in grado di rubare codici di verifica o PIN segreti.
Tutti i nuovi browser hanno un filtro anti-phishing, essendo basati però su URL blacklist, non è garantito che siti di phishing appena nati siano presenti nei database. E’ bene prestare la massima attenzione a dove vengono inseriti e inviati i propri dati di accesso!
Captcha, acronimo di “completely automated public Turing test to tell computers and humans apart“, indica, nel campo della sicurezza informatica, una immagine contenente testo utile a capire se l’utente con il quale si sta interagendo è un bot oppure un essere umano.
In questa tecnica si pone un problema non da poco: l’accessibilità. Captcha troppo robusti, ovvero “sporchi”, compromettono l’interpretazione corretta anche all’occhio umano. Senza pensare poi alle persone daltoniche o ipovedenti che anche su immagini semplici si trovano in difficoltà.
Ultimamente molti dei captcha creati si sono resi inutili in quando software studiati appositamente riescono, a volte con probabilità del 100%, ad interpretare numeri e lettere nascoste su sfondi “sporchi”.
I captcha sono nati principalmente per combattere registrazione automatiche su forum e social network. Ma specialmente i primi sono spesso riempiti di spam con software appositamente scritto, da sviluppatori senza scrupoli, per riconoscere in automatico i caratteri presenti nell’immagine.
Ecco un esempio:
C’è chi ha ben pensato di fare pubblicità con i captcha.
Sicuramente una trovata interessante dal punto di vista del marketing ma dal punto di vista della sicurezza può comportare seri problemi. Ci sono spam bot che riconoscono senza problemi captcha complessi figuriamoci quanto tempo impiegherebbero ad interpretare il testo basato su parole di un dizionario o ancor peggio su nomi di marche famose.
Seth Godin, l’ideatore di questo nuovo tipo di captcha, dopotutto non è un esperto in sicurezza ma un esperto in marketing.
Il GrUSP (Gruppo Utenti e Sviluppatori PHP italiani) organizza per Venerdì 18 Maggio 2007 la quarta edizione del PHPDay, giornata interamente dedicata al linguaggio PHP. Saranno presentati argomenti inerenti l’uso di PHP in azienda (percorso Enterprise) e conferenze di taglio più tecnico (percorso Developer). Presenti, tra gli altri, relatori di Zend ed eZ Systems. Le ultime novità e le modalità per presentare un proprio argomento o sponsorizzare la manifestazione su www.phpday.it
Salvo impegni imprevisti spero di esserci!
