Proteggere il proprio busineess tramite l’User-agent dei browser

Alcuni giorni fa volendo scaricare la registrazione di uno speech tenuto da un amico mi sono imbattuto in MegaUpload, uno dei tanti servizi per l’upload pubblico.

Aprendo con Firefox il link, passato dall’amico, mi si è presentata la pagina che invita ad installare la toolbar di MegaUpload la quale informa che:

Tutti gli slot di download assegnati al tuo paese ([PAESE]) sono attualmente in uso. Riprova tra qualche ora o installa la Megaupload Toolbar per l’accesso immeditato – con la toolbar installata non sussistono limitazioni di slot.

Poco più sotto sono elencati i requisiti minimi:

  • Microsoft Windows (98, ME, NT, 2000, XP or Vista)
  • Microsoft Internet Explorer version 5.0 or greater

Non volendo, sin da subito, pensare che le slot sono solamente un pretesto per far installare la toolbar, ho cercato di scaricare il file in due momenti diversi della giornata, ma evidentemente le slot, previste da MegaUpload, sono uguali a 0.
Non avendo Windows sulla mia macchina principale ho aperto la macchina virtuale con Windows 2000 Server che utilizzo per i test e ho deciso di installare la toolbar per capirne il comportamento.

Ho aperto il link del file su MegaUpload mentre uno sniffer salvava tutte le richieste HTTP inviate.
Header delle richieste inviate:

User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.50727; MEGAUPLOAD 1.0)

Capito che l’User-Agent era l’unica cosa che la toolbar personalizzava in IE non è stato difficile, tramite il plug-in Agent Switcher di Firefox crearne una ad hoc. Si noti che l’applicazione di MegaUpload controlla solamente che la stringa “MEGAUPLOAD” si trovi all’interno dell’header User-Agent pertanto è possibile utilizzarne anche uno di questo tipo:

Mozilla/5.0 (X11; U; Linux i686; it; rv:1.8.1.1) Gecko/20061228 Firefox/2.0.0.1 MEGAUPLOAD

Mi rendo conto che ciò che ho spiegato non rappresenta niente di innovativo o particolarmente tecnico, ma ciò che voglio far capire è che soprattutto nelle Web-Apps tutti i dati che arrivano dall’utente, compresi gli header HTTP, non devono mai essere considerati validi di default.
A riguardo si vedano casi di SQL-injection tramite header User-Agent e Referer.

 

Username e password nel database anti-phishing di Google

La società di sicurezza Finjan ha pubblicato due giorni fa un articolo che fa luce su un pericoloso quanto imbarazzante problema nella blacklist di siti phishing di Google.
Secondo quanto spiegato da Finjan, l’estensione antiphishing di Google, la quale permette la segnalazione di siti sospetti da parte degli utenti, ha inavvertitamente raccolto e reso pubblici gli id di sessione e alcuni indirizzi email e password.
Ciò è accaduto perchè utenti, non molto esperti, hanno segnalato il sito al database solo dopo essere caduti nella “rete dei pescatori”. E’ chiaro, quindi, che Google è solo responsabile di non aver controllato che le url inserite nel database non contenessero le username e password di ignari utenti.

Google, dopo la segnalazione di Finjan a Gennaio, ha provveduto ad eliminare (non poteva togliere la query string?) dal proprio database antiphishing tutti gli URL contenenti dati che potevano essere utilizati per scopi non leciti.
E’ stata anche rilasciata una nuova versione della toolbar in grado di togliere dall’url eventuali query string.

 

BUffer overflow nel JRE, colpa delle GIF malformate

Nel JRE (Java Runtime Environment), la macchina virtuale di Sun necessaria per far girare le applet e le applicazioni Java, è stata scoperta una vulnerabilità che mette a serio rischio gli utenti Web.

Il problema deriva da un buffer overflow nel JRE causato da una errata gestisce delle immagini GIF. Attraverso la creazione di una speciale immagine malformata, un aggressore può riuscire ad eseguire una applet Java con i massimi privilegi, inclusa, quindi, anche la manipolazione di file locali.

Per riuscire nell’attacco però deve essere l’utente a vistare un sito appositamente creato; ma oramai non è difficile nascondere iframe creati appositamente.
Sebbene la falla sia stata resa pubblica solo di recente da Zero Day Initiative, la sua correzione risale allo scorso dicembre: le versioni non vulnerabili di JRE sono la 5.0 Update 10, la 1.4.2_13, e la 1.3.1_19 e l’ultima versione 6. Per verificare quale versione di JRE sia installata nel proprio sistema, è possibile seguire le istruzioni, contenute nella parte finale, dell’advisory di Sun.

 

Controllo anti-phishing di Firefox 2 aggirato

Nella release 2 di Firefox è stato introdotta una nuova features che permette di controllare ogni url visitata se è presente dei database di Google (o quelli locali) per contrastare il phishing.

Il problema sta nel controllo sull’IP o sul dominio, fatto tramite un checksum. Basta codificare l’indirizzo IP in base ottale o esadecimale per bypassare il controllo.
Questa tecnica denota come il controllo anti-phishing fatto con liste statiche, contenenti hostname, non sia così utile come dovrebbe.

Per approfondire l’argomento vi consiglio di leggere il post dell’autore della scoperta.

 

Rilasciata OpenBSD 4.0

Come al solito in perfetto orario, dopo 6 mesi dal rilascio di OpenBSD 3.9 ecco OpenBSD 4.0.

Le migliorie sono molte, soprattutto per quanto riguarda i driver di schede Wi-Fi (Centrino, Prism GT), schede di rete Gigabit e e controller RAID. Tra le nuove funzionalità vi sono: supporto HTTPS con ftp, miglioramento dell’implementazione di IPSec (IPv6, AH, IKE dinamico…), supporto al procollo “equal cost multipath routing” e aggiunta di nuovi algoritmi al tool “trunk” per il bilanciamento del carico e failover su interfacce di rete.
Tra i pacchetti inseriti nel sistema troviamo OpenSSH 4.4, OpenBGPD 4.0, OpenBGPD 4.0, OpenOSPFD 4.0 e X.Org 6.9.0 in versione patchata, dagli sviluppatori OpenBSD i quali hanno deciso di non introdurre X.Org 7 perchè non sono stati ancora fatti i doverosi controlli sul nuovo sistema modulare che viene utilizzato dalla versione 7.

Queste sono solo una piccola parte delle nuove caratteristiche introdotte in questa realease.

OpenBSD 4.0 può essere scaricato da uno dei link contenuti qui oppure ordinato attraverso questa pagina.