Nuovo firewall per il kernel Linux

Patrick McHardy del team di sviluppo Netfilter ha rilasciato una versione alpha di nftables, la nuova implementazione del firewall per il kernel Linux, assieme ad un tool user space per utilizzarlo.
nftables introduce una distinzione fondamentale tra le regole definite in user space e gli oggetti di rete nel kernel: il componente kernel funziona con dati generici come indirizzi IP, porte e protocolli e fornisce delle operazioni generiche per confronto delle informazioni di pacchetto con costanti o per scartare pacchetti.

Le regole del firewall, vengono definite attraverso il tool nft: a seguito di un controllo sono convertite in operazioni e oggetti kernel.
Da un’occhiata agli esempi nella pagina di annuncio, sembra proprio che nftables abbia una sintassi differenta da iptables.
Le regole possono essere aggiunte in maniera incrementale da command line oppure venir lette da un file appositamente scritto.

Il codice di nftables è attualmente in status alpha: contiene quindi bugs e non tutte le features sono state implementate.
E’ quindi assolutamente sconsigliato un suo utilizzo in ambiente di produzione, anche se gli sviluppatori hanno confermato che è sufficientemente robusto per poter cominciare a fare i primi esperimenti in ambienti di test.
Stando a McHardy infatti: “…tutte le funzionalità base e gran parte del resto, dovrebbero funzionare correttamente. L’ultimo crash serio al kernel si è infatti verificato mesi fa.”.

RIFERIMENTI:
New firewall for the Linux kernel, by Heise Security

Apple: rilasciate svariate patch di sicurezza

Apple col suo Security-Update 2009-001, ha rilasciato numerosi fix di sicurezza per Mac OS x v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6 e Mac OS X Server v10.5.6.
L’aggiornamento risolve anche il problema riguardante il browser Safari scoperto a metà gennaio. Il bug consentiva attraverso un particolare feed RSS di leggere i file dall’hard disk dell’utente.
Un update separato è disponibile per la versione di Safari 3.2.2 su Windows.
Risolti anche altri problemi scoperti in vari componenti Mac OS X inclusi X11, Samba, Squirrelmail, Python, Perl, CUPS, CFNetwork, ClamAV, e AFPServer CarbonCore.
Aggiornate anche le versioni di Java per Mac OS X 10.5 e e 10.4.
Risolti bugs inerenti Java Web Start e il plugin Java.

Riferimenti:
* About the security content of Security Update 2009-001, report from Apple.
* About the security content of Java for Mac OS X 10.4, Release 8, report from Apple.
* About the security content of Java for Mac OS X 10.5 Update 3, report from Apple.
* Apple closes critical security vulnerability in Safari, by Heise Security

Licenza gratuita per Parallels Workstation (Windows e Linux)

Tra i vari software di virtualizzazione sicuramente da tenere in considerazione c’è anche Parallels, che si è fatto conoscere all’inizio con la sua versione “Parallels Desktop” dedicata all’ambiente Mac.
Parallels Workstation è la versione del software dedicata ai sistemi Windows e Linux e di norma viene distribuito con licenza commerciale al prezzo di 50$.
Qui di seguito vedremo tuttavia i passi per ottenere una licenza gratuita e illimitata del software.
1) Puntare all’indirizzo web http://www.parallels.com/getkey/lunarp/ e registrarsi fornendo una mail valida.
2) Alla pagina di download selezionare la versione di interesse: EXE per la piattaforma Windows o TGZ/DEB/RPM per piattaforma Linux.
3) Controllare l’indirizzo email per recuperare il seriale di attivazione.
4) Installare Parallels e ignorare la richiesta di effettuare la registrazione (tasto “Skip registration”). Inserire semplicemente la chiave quando viene richiesto.

Buon download!

Fonte:
FREE Parallels Workstation for Windows and Linux Activation Key, RaymondCC Blog

Microsoft: chiusa pericolosa falla nel servizio RPC

Microsoft chiude una pericolosa falla di sicurezza relativa al servizio RPC, che stando all’advisory avrebbe consentito di inserire ed eseguire in maniera remota codice nel sistema “vittima”.
In particolare per portare a termine l’attacco sarebbero sufficienti richieste RPC appositamente modificate e su un sistema Windows 2000,XP e 2003 non sarebbe nemmeno necessario autenticarsi affinche’ le richieste vengano processate.

Microsoft esprime la sua preoccupazione circa la possibilità che questo bug diventi una potenziale via di diffusione per un worm.
In particolare il worm MSBlaster, conosciuto anche come Lovsan, si diffuse attraverso una falla simile del servizio RPC nella metà del 2003, provocando danni ingenti a infrastrutture e sistemi in tutto il mondo. Questo pero’ fu dovuto anche alla mancata attivazione del firewall di Windows XP (o di terzi parti) su sistemi che si affacciavano su Internet e poi sulle rete locali senza alcun tipo di protezione.

Nel security bullettin MS08-067, Microsoft fa presente che sono già stati segnalati attacchi che sfruttano questo bug, anche se apparentemente non c’è ancora un exploit pubblico in circolazione.
I pc che hanno attivata una qualsiasi forma di firewall sono “teoricamente” al sicuro.
In Windows Vista e Windows Server 2008, è altresi’ necessaria una autenticazione prima che l’errore possa essere sfruttato.

Il codice bacato è stato scoperto solo recentemente, tanto che è addirittura contenuto nelle prime versione beta di Windows 7.
La raccomandazione è quella di installare prima possibile l’update.
Tutti i sistemi operativi (a parte Windows 2000) configurati per gli aggiornamenti automatici dovrebbero venire notificati della patch da installare.

RIFERIMENTI:
Microsoft patches critical hole in its RPC service, by Heise Security
Vulnerability in Server Service Could Allow Remote Code Execution MS08-067, by Microsoft

In arrivo le nuove tecniche per i rootkits

In occasione dei prossimi convegni sulla computer security, vari hackers/security researchers stanno preparando il proprio materiale in tema di rootkits.
Sebastian Muñiz di Core Security ha sviluppato un rootkit per i router Cisco e sta pensando di presentarlo all’EuSecWest Conference che si terrà a Londra il 21 e 22 di maggio.
Sherri Sparks e Shawn Embleton di Clear Hat Consulting sfruttano un operational mode poco conosciuto dei processori Intel per nascondere il codice. Il loro lavoro sarà presentato alla conferenza Black Hat USA 08 il 6-7 agosto al Caesars Palace Hotel and Casino di Las Vegas.

Il rootkit sviluppato da Sparks e Shawn usa il System Management Mode (SMM) dei processori Intel per nascondere in memoria un key logger.
Il System Management Mode è pensato per individuare e reagire a eventi di sistema come errori della memoria e del chipset, estendendo le funzionalità della scheda madre e gestendo il controllo della temperatura e dell’alimentazione.
SMM è implementato su tutti i moderni processori x86 e x64, inclusi quelli prodotti da Via e AMD.
Il sistema operativo non è in grado di interrompere una chiamata SMM.
Quando il processore riceve un System Management Interrupt (SMI) non-maskable, viene sospesa l’esecuzione del s.o. stesso e dei programmi, salvato lo stato della macchina, ed eseguito il codice da una zona di memoria privilegiata e nascosta.
Uno dei pericoli è che il codice non può accedere alcun drivers del sistema operativo in modalità SMM, ma deve “dialogare” direttamente con l’hardware.

Alla CanSecWest Conference del 2006, Loic Duflot ha presentato un articolo in cui mostra come i superusers possano innalzare i propri privilegi grazie a SMM su un sistema OpenBSD. Al tempo pero’ non fu reso pubblico alcun rootkit per SMM.

Il rootkit per l’IOS Cisco sviluppato da Sebastian Muñiz di Core Security Technologies presumibilmente gira su diverse versioni del sistema operativo.
Un attaccante deve prima di tutto ottenere l’accesso alla macchina che vuole compromettere, magari mediante una vulnerabilità nota (della particolare versione) e code injection.
Il codice viene quindi memorizzato nel firmware e immediatamente eseguito una volta che il device viene riavviato.
Apparentemente, i router Cisco possono essere controllati e monitorati senza che nessuno se ne accorga.
Muñiz ha già fatto sapere che non rilascierà il codice sorgente per questo rootkit.

Preoccupante inoltre come recentemente, l’FBI abbia individuato moduli e appliances Cisco piratati, utilizzati dal governo e dai militari. L’ipotesi alquanto preoccupante è che qualcuno stia già utilizzando questi devices per scopi di spionaggio.
Il rootkit di Muñiz potrebbe dimostrare come questo pericolo non sia solamente teorico, ma effettivamente reale, anche Cisco non ha individuato nulla di anomalo nei dispositivi sequestrati dall’FBI.

Va ricordato a riguardo quanto successe in occasione del Black Hat 2005, quando Michael Lynn parlò di alcune vulnerabilità dei router Cisco che consentivano l’injection e l’esecuzione di codice malevole.
Cisco scatenò l’inferno tentando di impedire a Lynn di fare la presentazione, addirittura intentandogli causa.
L’avvocato Jennifer Granick di Electronic Freedom Foundation (EFF), che rappresentò Lynn nel caso contro Cisco, avverte che la cosa potrebbe ripetersi, con Cisco che potrebbe intentare causa contro Muñiz per violazione di segreti commerciali.
A quanto pare però Muñiz non sembra molto preoccupata dalla cosa visto la brutta figura che ci fece Cisco nel 2005.
Dice infatti: “Cisco si definisce come una società molto vicina e amichevole nei confronti di chi svolge ricerca… Ci penseranno bene prima di intentare un’azione legale.”.

FONTI:
* Security Researcher to release Cisco rootkit at EUSecWest, news sul blog di Nathan McFeters
* A New Breed of Rootkit: The System Management Mode (SMM) Rootkit, annuncio della presentazione di Shawn Embleton e Sherri Sparks al BlackHat USA 08
* Hackers present new rootkit techniques, by Heise Security

Windows XP Service Pack 3: un'agonia!

Oggi ho voluto provare l’installazione del Service Pack 3 di Windows XP.
Partiamo subito col dire che ho avuto una marea di problemi.
Al primo tentativo ho scaricato il pacchetto completo da 300 e passa mega e ne ho lanciato l’installazione: dopo la classica estrazione e verifica dei file la schermata è “scomparsa” lasciando appeso il processo WindowsXP-KB936929-SP3-x86-ITA.exe in background.
Dopo un’inutile attesa ho terminato il processo e riavviato.
Al secondo tentativo ho rilanciato il setup ma dopo le solite verifiche e controlli ho ottenuto un criptico messaggio d’errore “Accesso negato”.
Ho provato quindi a effettuare l’update mediante il sistema Microsoft Update direttamente dal sito Microsoft.
Questa volta il file d’installazione era chiaramente ridotto: approssimativamente sui 60MB. Una volta effettuato il download e partita l’installazione ancora una volta questo fantomatico errore che potete vedere dallo screenshot.

Windows XP SP3 Problemi 1

Al che mi sono messo a ricercare su google a cosa fosse dovuto questo problema di “ACCESSO NEGATO”.
Girando per i forum ho visto che parecchi si erano imbattuti in problemi simili.
Sono incappato in un post piuttosto utile all’interno del newsgroup di Microsoft su Windows XP.
Il titolo del topic è abbastanza significativo “Primi problemi Windows XP SP3 in Italiano“.
Ho provato quindi a lanciare il comando seguente:
secedit /configure /cfg %windir%repairsecsetup.inf /db secsetup.sdb /verbose
Il comando in questione non fa altro che ripristinare le impostazioni di protezione predefinite (maggiori info qui).
A quanto pare infatti il problema di questo errore sembra sia dovuto all’impossibilità di agire su alcuni chiavi di registro.
Nulla da fare. Ancora una volta il fantomatico errore.
Ho quindi trovato questo articolo nel sito Support Microsoft: Messaggio di errore quando si tenta di installare 3 Windows XP Service Pack
Inutile dire che le prime due soluzioni proposte sono risultate assolutamente inutili visto che avevo già provato ad installare col pacchetto completo da 300 mega e che avevo altresì disattivato Kaspersky Internet Security onde evitare problemi.
Leggendo la sezione 3) Reimpostare il Registro di sistema e le autorizzazioni di file, ho notato come il comando che avevo trovato in precedenza fosse consigliato dopo aver pero’ effettuato con il tool subinacl.exe (di cui ho già parlato) una reimpostazione di grant su chiavi di registro e cartelle di sistema.
Ho quindi creato il file Reset.cmd contenente le seguenti righe:
@echo off
cd C:ProgrammiWindows Resource KitsTools
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=administrators=f /grant=system=f
subinacl /subdirectories %windir%*.* /grant=administrators=f /grant=system=f
secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose
pause


Inutile dire che l’esecuzione dello script ha preso un bel po’ di tempo.
Al termine ho lanciato per l’ennesima volta il pacchetto di installazione.
Attendo fudicioso e finalmente la schermata che conferma l’avvenuta installazione del Service Pack 3.

Microsoft Windows XP SP3 Problemi 2

Veramente un’agonia questa installazione, soprattutto snervante il dover ogni volta attendere il ripristino del backup e della vecchia configurazione ogni qualvolta riscontravo l’errore.
La prossima volta mi sa che optero’ per preparami un cd con Windows XP SP3 già dentro. 😉

Windows XP "morirà" il 30 giugno

A quanto pare sembra resti confermata la data del 30 giugno come deadline per la scomparsa di Microsoft Windows XP Professional Edition e Home Edition dagli scaffali.
Dopo quella data infatti cessarà definitivamente la vendita di XP al pubblico, così come i distributori di hardware (Dell e HP in primis) non potranno più preinstallare il sistema operativo sui nuovi pc venduti.
La decisione lascia sicuramente alquanto delusi un po’ tutti, dai distributori agli utenti, visto anche il fatto che un altro recente studio, qualora ce ne fosse bisogno (Ndr), ha dimostrato come Vista sia più lento del suo predecessore XP.

AGGIORNAMENTO: da notare che per i pc low-cost e ultra portatili la data finale sarà il 30 giugno 2010, unicamente per Windows XP Home Edition. Vedi sito Microsoft pagina life-cycle policy.

Ben 46 fix per l'ultimo aggiornamento di Apple

Apple con l’aggiornamento di sicurezza 2008-002 ha fixato ben 46 vulnerabilità in Mac OS X e programmi di terzi parti in esso inclusi. Ben 25 delle vulnerabilità consentirebbero di effettuare code-injection.

L’aggiornamento fixa vulnerabilità presenti in: AFP client e server, Appkit, Application Firewall, CFNetwork, CoreFoundation, CoreServices, Foundation, Help Viewer, Image Raw, libc, Podcast Producer, Preview, printing, system configuration e UDF.
Tra gli aggiornamenti dei software di terze parti inclusi da segnalare: Apache, ClamAV, CUPS, curl, Emacs, file, Kerberos, mDNSResponder, notifyd, OpenSSH, pax, PHP, Wiki Server e X11.

L’aggiornamento a Safari rilasciato ieri fixa altre 13 vulnerabilità di sicurezza.
Tutti gli aggiornamenti sono disponibili attraverso il sistema automatico di update.
Aggiornamento consigliato appena possibile!

Riferimenti:
About Security Update 2008-002, security advisory from Apple
About the security content of Safari 3.1, security advisory from Apple
Apple security update fixes 46 bugs, by Heise Security

Winlockpwn tool: come bypassare il sistema di login di Windows via FireWire!

L’esperto di sicurezza Adam Boileau ha rilasciato il tool winlockpwn, che consente di bypassare il sistema di login di Windows attraverso una porta Firewire, senza conoscere la password da digitare.
Il programma è in grado di manipolare le routines di login in RAM di un sistema che gira, usando il direct memory access (DMA), attraverso una connessione Firewire.
Il tool supporta Windows XP SP2 come sistema target. La tipologia di attacco e il software non sono “nuovi”, in quanto Boileau aveva presentato il problema ad una presentazione ben 2 anni fa.

“Persone che hanno accesso fisico ad un sistema hanno la possibilità di entrare in molti modi…” questa è l’opinione di Boileau, che nel suo sito scrive come con winlockpwn sia “semplice e veloce”.
Come detto poco sopra, a riguardo della vulnerabilità Firewire era stata fatta una presentazione alla conferenza di sicurezza Ruxcon 2006. Nella presentazione è stato spiegato anche qual è il principio di funzionamento dell’hack: usando un Firewire ID copiato, il software inganna il sistema operativo facendogli credere che sia un dispositivo come ad esempio un iPod che necessita DMA.

Microsoft non ha mai rilasciato alcun fix perchè non considera il Firewire DMA un problema di sicurezza, visto che comunque rientra tra le specifiche dell’ IEEE-1394.
Il Direct Memory Access è fondamentalmente un qualcosa di indipendente dal sistema operativo, quindi anche Linux e MacOsX sono suscettibili al problema.
Di norma quindi per proteggere sistemi in cui la sicurezza è critica, le porte FireWire inutilizzate andrebbe disabilitate.

MAGGIORI INFORMAZIONI:
* Firewire, DMA & Windows, Project page by Adam Boileau
* Hit By A Bus: Physical Access Attacks with Firewire, Presentation by Adam Boileau at Ruxcon 2006
* Windows login bypass tool released, by Heise Security

Anche Linux nel mirino delle botnets

Il fatto che Windows sia il sistema sicuramente più diffuso è dato di fatto, così come che la maggior parte del malware e dei virus sviluppati dai vari crackers abbia come target piattaforme Microsoft, Vista o Xp che sia.
Spesso si scatenano su forum, blog, siti tecnici o meno vere e proprie guerre di religione tra i vari “taleban linux” e “taleban windows”.
Gli uni a sostenere Windows è meglio di Linux perchè blablabla, gli altri viceversa a dire Windows è una ciofecca usate Linux se volete essere dei “veri fighi”, superprotetti da qualsiasi minaccia.
Quello che penso è che non esiste un sistema operativo che possa definirsi “MIGLIORE” di altri, ognuno nel bene e nel male ha i suoi pregi e difetti.
Per motivi di lavoro uso Windows XP (in particolare) quasi tutto il tempo. Ai tempi dell’università ho smanettato parecchio con Linux, in tutte le varie salse: anche qui sul numero di distribuzioni Linux che prolificano si potrebbe aprire un dibattito.
Così come mi diverto ogni tanto a provare le varie security-distro Backtrack, Hakin9, Helix, Phlak e chi più ne ha più ne metta, anche se ormai il tempo è quello che è. Ho installato e mantenuto un serverino a casa con OpenBSD 3.9 per alcuni mesi, fino alla rottura di un disco 🙁
L’indole da smanettone ti porta poi a provare anche s.o. non troppo diffusi: il mitico QNX o il buon vecchio BeOS (ora rimpiazzato da Haiku).
Di tutti quanti ti fai un’impressione, a volte più o meno superficiale per questioni di tempo o per via di un primo impatto non troppo positivo.

Quando ho letto questa news su Heise Security riguardo il moltiplicarsi di macchine Linux che “entrano a far parte” delle cosiddette botnets, un po’ mi è venuto da sorridere.
Pensavo a come molto spesso si decanti tanto la superiorità di Linux (per carità molto spesso a ragione), e poi si legga come una backdoor (Linux/Rst-B backdoor) di ben 6 anni fa sia il motivo principale del problema.
L’indagine realizzata da Sophos evidenzia come stia aumentando il numero di Linux servers che vengono infettati e diventino a tutti gli effetti zombies pc nelle mani di crackers sparsi nel globo pronti ad utilizzarli come nodi per gli attacchi più svariati (spam, DDoS, etc.).
Come suggerisce l’articolo già solo il fatto di avere anche su Linux installato un antivirus basterebbe ad evitare tutto ciò, visto che la vulnerabilità in questione è individuabile da tutti gli antivir in circolazione.
Tra quelli free ricordiamo:
* Avira: Avira AntiVir PersonalEdition Classic
* AVG Technologies (formerly Grisoft) AVG Anti-Virus Free Edition 7.5 for Linux
* Avast: avast! Linux Home Edition Download
* F-Prot: F-PROT Antivirus for Linux Workstations
* ClamAV: Clam AntiVirus

La verità è quella racchiusa in una frase che fa il giro della rete da anni e che sembra estratta da un vecchio proverbio: “l’unico sistema sicuro è quello spento“.
D’altronde anche Windows può essere reso un po’ più sicuro in pochi passaggi:
– lavorare sempre e cmq con un account non privilegiato, si puo’ fare tutto dal programmare al giocare
– installare un buon firewall e antivirus
– installare un paio di tools per la rilevazione di spyware e malware
Ci vuole poi cosi’ tanto?

APPROFONDIMENTI:
* Sophos: Linux machines hijacked for botnets, by Heise Security
* Botnets, a free tool and 6 years of Linux/Rst-B, blog entry by Sophos
* Botnet study: bots spread through old loopholes