Matteo Carli » BSD

Proteggere il proprio busineess tramite l’User-agent dei browser

Matteo Carli — Sat, 10 Feb 2007 00:33:12 +0000

Alcuni giorni fa volendo scaricare la registrazione di uno speech tenuto da un amico mi sono imbattuto in MegaUpload, uno dei tanti servizi per l’upload pubblico.

Aprendo con Firefox il link, passato dall’amico, mi si è presentata la pagina che invita ad installare la toolbar di MegaUpload la quale informa che:

Tutti gli slot di download assegnati al tuo paese ([PAESE]) sono attualmente in uso. Riprova tra qualche ora o installa la Megaupload Toolbar per l’accesso immeditato – con la toolbar installata non sussistono limitazioni di slot.

Poco più sotto sono elencati i requisiti minimi:

Microsoft Windows (98, ME, NT, 2000, XP or Vista)

Microsoft Internet Explorer version 5.0 or greater

Non volendo, sin da subito, pensare che le slot sono solamente un pretesto per far installare la toolbar, ho cercato di scaricare il file in due momenti diversi della giornata, ma evidentemente le slot, previste da MegaUpload, sono uguali a 0.
Non avendo Windows sulla mia macchina principale ho aperto la macchina virtuale con Windows 2000 Server che utilizzo per i test e ho deciso di installare la toolbar per capirne il comportamento.

Ho aperto il link del file su MegaUpload mentre uno sniffer salvava tutte le richieste HTTP inviate.
Header delle richieste inviate:

User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.50727; MEGAUPLOAD 1.0)

Capito che l’User-Agent era l’unica cosa che la toolbar personalizzava in IE non è stato difficile, tramite il plug-in Agent Switcher di Firefox crearne una ad hoc. Si noti che l’applicazione di MegaUpload controlla solamente che la stringa “MEGAUPLOAD” si trovi all’interno dell’header User-Agent pertanto è possibile utilizzarne anche uno di questo tipo:

Mozilla/5.0 (X11; U; Linux i686; it; rv:1.8.1.1) Gecko/20061228 Firefox/2.0.0.1 MEGAUPLOAD

Mi rendo conto che ciò che ho spiegato non rappresenta niente di innovativo o particolarmente tecnico, ma ciò che voglio far capire è che soprattutto nelle Web-Apps tutti i dati che arrivano dall’utente, compresi gli header HTTP, non devono mai essere considerati validi di default.
A riguardo si vedano casi di SQL-injection tramite header User-Agent e Referer.

Username e password nel database anti-phishing di Google

Matteo Carli — Wed, 24 Jan 2007 13:15:38 +0000

La società di sicurezza Finjan ha pubblicato due giorni fa un articolo che fa luce su un pericoloso quanto imbarazzante problema nella blacklist di siti phishing di Google.
Secondo quanto spiegato da Finjan, l’estensione antiphishing di Google, la quale permette la segnalazione di siti sospetti da parte degli utenti, ha inavvertitamente raccolto e reso pubblici gli id di sessione e alcuni indirizzi email e password.
Ciò è accaduto perchè utenti, non molto esperti, hanno segnalato il sito al database solo dopo essere caduti nella “rete dei pescatori”. E’ chiaro, quindi, che Google è solo responsabile di non aver controllato che le url inserite nel database non contenessero le username e password di ignari utenti.

Google, dopo la segnalazione di Finjan a Gennaio, ha provveduto ad eliminare (non poteva togliere la query string?) dal proprio database antiphishing tutti gli URL contenenti dati che potevano essere utilizati per scopi non leciti.
E’ stata anche rilasciata una nuova versione della toolbar in grado di togliere dall’url eventuali query string.

BUffer overflow nel JRE, colpa delle GIF malformate

Matteo Carli — Fri, 19 Jan 2007 23:17:01 +0000

Nel JRE (Java Runtime Environment), la macchina virtuale di Sun necessaria per far girare le applet e le applicazioni Java, è stata scoperta una vulnerabilità che mette a serio rischio gli utenti Web.

Il problema deriva da un buffer overflow nel JRE causato da una errata gestisce delle immagini GIF. Attraverso la creazione di una speciale immagine malformata, un aggressore può riuscire ad eseguire una applet Java con i massimi privilegi, inclusa, quindi, anche la manipolazione di file locali.

Per riuscire nell’attacco però deve essere l’utente a vistare un sito appositamente creato; ma oramai non è difficile nascondere iframe creati appositamente.
Sebbene la falla sia stata resa pubblica solo di recente da Zero Day Initiative, la sua correzione risale allo scorso dicembre: le versioni non vulnerabili di JRE sono la 5.0 Update 10, la 1.4.2_13, e la 1.3.1_19 e l’ultima versione 6. Per verificare quale versione di JRE sia installata nel proprio sistema, è possibile seguire le istruzioni, contenute nella parte finale, dell’advisory di Sun.

Controllo anti-phishing di Firefox 2 aggirato

Matteo Carli — Wed, 01 Nov 2006 07:47:39 +0000

Nella release 2 di Firefox è stato introdotta una nuova features che permette di controllare ogni url visitata se è presente dei database di Google (o quelli locali) per contrastare il phishing.

Il problema sta nel controllo sull’IP o sul dominio, fatto tramite un checksum. Basta codificare l’indirizzo IP in base ottale o esadecimale per bypassare il controllo.
Questa tecnica denota come il controllo anti-phishing fatto con liste statiche, contenenti hostname, non sia così utile come dovrebbe.

Per approfondire l’argomento vi consiglio di leggere il post dell’autore della scoperta.

Rilasciata OpenBSD 4.0

Matteo Carli — Tue, 31 Oct 2006 22:10:53 +0000

Come al solito in perfetto orario, dopo 6 mesi dal rilascio di OpenBSD 3.9 ecco OpenBSD 4.0.

Le migliorie sono molte, soprattutto per quanto riguarda i driver di schede Wi-Fi (Centrino, Prism GT), schede di rete Gigabit e e controller RAID. Tra le nuove funzionalità vi sono: supporto HTTPS con ftp, miglioramento dell’implementazione di IPSec (IPv6, AH, IKE dinamico…), supporto al procollo “equal cost multipath routing” e aggiunta di nuovi algoritmi al tool “trunk” per il bilanciamento del carico e failover su interfacce di rete.
Tra i pacchetti inseriti nel sistema troviamo OpenSSH 4.4, OpenBGPD 4.0, OpenBGPD 4.0, OpenOSPFD 4.0 e X.Org 6.9.0 in versione patchata, dagli sviluppatori OpenBSD i quali hanno deciso di non introdurre X.Org 7 perchè non sono stati ancora fatti i doverosi controlli sul nuovo sistema modulare che viene utilizzato dalla versione 7.

Queste sono solo una piccola parte delle nuove caratteristiche introdotte in questa realease.

OpenBSD 4.0 può essere scaricato da uno dei link contenuti qui oppure ordinato attraverso questa pagina.

Rilasciato Mozilla Firefox 2.0 [updated]

Matteo Carli — Tue, 24 Oct 2006 10:50:54 +0000

~~Anche se non~~ ufficialmente (~~sul sito di Mozilla non compare ancora niente a riguardo~~) Firefox 2.0 è presente nei mirror.
Le novità di Firefox 2.0 sono molte, anche se alcune che erano state preventivate non sono state rilasciate; un esempio può essere la gestione dei bookmark e la cronologia tramite un engine in SQLite. La caratteristica più interessante inserita in questa versione è senza dubbio il controllo antiphishing relizzato in parthership con Google.
Il comunicato stampa ufficiale dovrebbe avvenire oggi nel pomeriggio.

Jeremiah Grossman, esperto di sicurezza in browser, pensa che basteranno solo 3 giorni ai ricercatori per trovare il primo bug sul nuovo “panda di fuoco”, vista anche la recente storia di IE7.

Aggiornamento: sul sito di Mozilla è stata inserita la news ufficiale.

Mozilla Firefox è un web browser Open Source multipiattaforma prodotto da Mozilla Foundation. La versione 1.0, dopo quasi due anni di sviluppo, è stata rilasciata il 9 novembre 2004. La versione 1.5, dopo un ulteriore anno di sviluppo, è stata rilasciata il 29 novembre 2005.

Politica di gestione dei bug di sicurezza in FreeBSD

Matteo Carli — Fri, 29 Sep 2006 23:55:53 +0000

iDefense negli scorsi giorni ha pubblicato due advisory (1 e 2) per problemi di sicurezza nel Kernel di FreeBSD, il FreeBSD Security Team ha classificato i due bug locali spiegando la loro particolare gestione di essi:

The policy of the FreeBSD Security Team is to not issue security advisories for local denial of service attacks; since we have not been able to demonstrate that this bug can result in anything more severe than a denial of service, we will not be issuing a security advisory relating to this problem.

The policy of the FreeBSD Security Team is that local denial of service bugs not be treated as security issues; it is possible that this problem will be corrected in a future Erratum.

Non so il perchè di questa decisione nel team di sicurezza, ma mi piacerebbe avere un parere da chi usa FreeBSD in produzione, meglio sarebbe averlo da chi la usa per lo shared hosting.