Net&System Security 2007: analisi e vulnerabilità dei sistemi informatici

Net and System security@Systemgroup, una collaborazione tra @System e Bitflow, organizza il V Convegno Net&System Security – analisi e vulnerabilità dei sistemi informatici. L’evento avrà luogo il 27 Novembre 2007 presso il Palazzo dei Congressi di Pisa, e vedrà la partecipazione di alcuni esperti e delle maggiori aziende leader del settore della sicurezza informatica.

Nell’ambito del convegno si terra’ la seconda edizione del Call For Paper, per cui sono previste due categorie di partecipazione; “Professional” e “Student”.

Tutti i paper selezionati saranno inseriti negli atti del convegno ed avranno il valore di una pubblicazione scientifica. Inoltre, agli autori dei migliori elaborati sara’ data la possibilità di presentarli durante l’evento.

Al vincitore di ogni categoria sarà assegnato il riconoscimento come “Best Paper Award”, e per l’autore dell’elaborato piu’ meritevole della categoria “Student” è prevista l’assegnazione di un celluare Linux-Based “Neo1973 Advanced Edition” .

La partecipazione al CfP è gratuita. Maggiori informazioni sono disponibili alla sezione dedicata presente sulla pagina web del convegno.

 

Windows indicato come sistema operativo più sicuro

La notizia proviene dall’undicesimo Symantec Internet Security Threat Report. L’analisi rilasciata da Symantec prende in esame le vulnerabilità (inclusi quelli dei sistemi operativi) degli ultimi sei mesi del 2006.
Durante questo periodo 39 vulnerabilità, 12 delle quali gravi, sono state scoperte in Microsoft Windows. Il tempo medio impiegato per il rilascio di patch, da parte di Microsoft, è di 21 giorni. Nel primo semestre 2006 le vulnerabilità segnalate sono state 22 con 13 giorni medi per il rilascio delle patch.
Al secondo posto della classifica si trova Red Hat Linux con 208 vulnerabilità, di cui 2 gravi e 58 giorni di media per il rilascio dei fix. Nella prima metà del 2006 il numero dei bug segnalati in RHL sono stati 42 con 13 giorni medi per il fix.
La classifica continua con Mac OS X e HP-UX.

Sono sicuro che gli investimenti di Microsoft, fatti negli utlimi anni, abbiano contribuito a rendere più sicuri prodotti come Windows XP (SP2) e Windows Vista.
Da una ricerca fatta da Jeff Jones, rilasciata il giorno dopo quella di Symantec, Vista si è dimostrato più sicuro nei 90 giorni successivi al lancio sul mercato rispetto a XP.
Anche in questo documento viene messo a confronto Windows con sistemi come Red Hat Linux (Workstation 4), Ububtu (6.06 TLS), SUSE (Desktop 10) e altri.
Le ricerche di Symantec e di Jones non riportano la lista delle vulnerabilità prese in esame per le loro statistiche, così ho deciso di percorrere a ritroso la lista su Secunia, per Ubuntu le parti interessate sono: mono, gdm, kernel, ruby, gpg, ecc…
Nella lista di Windows XP Pro si trovano (sempre in ordine cronologico inverso): CSRSS (kernel), NetrWkstaUserEnum (kernel), CSRSS (kernel), Outlook Expres, CSRSS (kernel), ecc…

Non ci vuole molte a capire che il tipo di vulnerabilità dei due sistemi operativi sono completamente differenti; nella prima lista sono presenti maggiormente funzionalità non facenti parte del Kernel essendo applicazioni di terze parti, la seconda lista invece riporta problemi relativi al kernel di Windows.
Com’è possibile mettere a confronto un sistema operativo, come Ubuntu, che fornisce nativamente circa 10.000 pacchetti con uno come Windows che ne fornisce si e no 20?

In questa gara non ci sono vincitori, ma solo vinti.

 

Proteggere il proprio busineess tramite l’User-agent dei browser

Alcuni giorni fa volendo scaricare la registrazione di uno speech tenuto da un amico mi sono imbattuto in MegaUpload, uno dei tanti servizi per l’upload pubblico.

Aprendo con Firefox il link, passato dall’amico, mi si è presentata la pagina che invita ad installare la toolbar di MegaUpload la quale informa che:

Tutti gli slot di download assegnati al tuo paese ([PAESE]) sono attualmente in uso. Riprova tra qualche ora o installa la Megaupload Toolbar per l’accesso immeditato – con la toolbar installata non sussistono limitazioni di slot.

Poco più sotto sono elencati i requisiti minimi:

  • Microsoft Windows (98, ME, NT, 2000, XP or Vista)
  • Microsoft Internet Explorer version 5.0 or greater

Non volendo, sin da subito, pensare che le slot sono solamente un pretesto per far installare la toolbar, ho cercato di scaricare il file in due momenti diversi della giornata, ma evidentemente le slot, previste da MegaUpload, sono uguali a 0.
Non avendo Windows sulla mia macchina principale ho aperto la macchina virtuale con Windows 2000 Server che utilizzo per i test e ho deciso di installare la toolbar per capirne il comportamento.

Ho aperto il link del file su MegaUpload mentre uno sniffer salvava tutte le richieste HTTP inviate.
Header delle richieste inviate:

User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 2.0.50727; MEGAUPLOAD 1.0)

Capito che l’User-Agent era l’unica cosa che la toolbar personalizzava in IE non è stato difficile, tramite il plug-in Agent Switcher di Firefox crearne una ad hoc. Si noti che l’applicazione di MegaUpload controlla solamente che la stringa “MEGAUPLOAD” si trovi all’interno dell’header User-Agent pertanto è possibile utilizzarne anche uno di questo tipo:

Mozilla/5.0 (X11; U; Linux i686; it; rv:1.8.1.1) Gecko/20061228 Firefox/2.0.0.1 MEGAUPLOAD

Mi rendo conto che ciò che ho spiegato non rappresenta niente di innovativo o particolarmente tecnico, ma ciò che voglio far capire è che soprattutto nelle Web-Apps tutti i dati che arrivano dall’utente, compresi gli header HTTP, non devono mai essere considerati validi di default.
A riguardo si vedano casi di SQL-injection tramite header User-Agent e Referer.

 

“Month of Apple Bugs” non va d’accordo con i visitatori

Circa 10 giorni fa Heise Security ha fatto notare che cercando di accedere ad un bollettino di sicurezza, non ancora rilasciato da MOAB, cambiando la data nel nome del file html si veniva redirezionati ad un sito porno con contenuti alquanto scabrosi.
Oltre ad aprire le pagine del sito porno, la pagina cercava di aprire un client IRC che indirizzava verso un canale di sviluppatori Mac.

I due autori del MOAB, LMH e Kevin Finisterre, dopo che nei giorni precedenti erano già stati accusati di focalizzare l’attenzione su di essi senza concentrarsi sui reali problemi di sicurezza da loro segnalati, sono stati classificati come egoisti e arroganti.

Nei giorni successivi alla publbicazione delle critiche mosse da Heise, LMH ha risposto scaricando le accuse e accusando Heise Security di diffamazione; nonostante tutto però le pagine delle advisory sono state modificate in modo che non si venisse più redirezionati ad un sito pornografico ma ad una pagina di errore.

Qualche giorno dopo, precisamente al rilascio del bollettino di sicurezza su iChat, nella pagina della stessa advisory è stata nascosta una “easter egg”. La sorpresa inserita è una immagine JP2, che secondo quanto scoperto da una persona del team di MOAB causerebbe un loop (abbastanza grande da causare un DoS) nella libreria libJP2.dylib utilizzata da Safari per il rendering.

MOAB JP2 Safari DoS

 

Corretta la vulnerabilità su rtsp:// di QuickTime

Apple, il 23 Gennaio scorso, ha rilasciato il fix per la vulnerabilità nell’URL handler RTSP di QuickTime. Contrariamente a quanto detto è stata rilasciata solamente la versione Mac del fix, ignorando completamente gli utenti Windows.
Attualmente a tutti gli utenti Windows è consigliato disinstallare QuickTime fin quando non verrà rilasciata una nuova versione o una apposita patch.

I tempi di risposta di Apple sono stati buoni. Ricordo che l’advisory è stata pubblicata il primo Gennaio.

Nota per utenti Mac: sembra vi siano problemi nell’installazione automatica della patch scaricata da “Apple Software Update”. Per risolvere il problema settare ASU in modo che effettui solamente il download per poi poter fare l’installazione della patch manualmente.