Lo staff di Verizon sbircia tra le chiamate di Obama

Alcuni impiegati della compagnia americana di fonia mobile Verizon Wireless hanno avuto accesso in modo non autorizzato ad un account telefonico del neo-presidente eletto Barack Obama, dando una sbirciata tra i “dati personali”.
In una nota stampa, la compagnia ha fatto sapere che l’account è rimasto inattivo per parecchi mesi e che Obama l’ha usato unicamente per effettuare traffico voce da un normale cellulare: non quindi un Blackberry o uno smartphone in grado di supportare e-mail e servizi dati di ultima generazione.

Il numero dei dipendenti un po’ troppo curiosi non è stato reso noto, tuttavia la compagnia sta investigando a riguardo. Gli impiegati un po’ troppo zelanti sono stati momentaneamenti sospesi.
Questo spiacevole episodio mette nuovamente in evidenza il problema della sicurezza nelle comunicazioni per chi ricopre cariche cosi importanti.
La necessità inoltre di archiviare documenti ufficiali quali le stesse e-mails, porterà sicuramente Obama dal 20 gennaio 2009 (data di insediamento alla Casa Bianca) in poi a valutare soluzioni alternativa al semplice Blackberry di cui sembra fare parecchio uso negli ultimi tempi.

RIFERIMENTI:
Verizon staff break into Obama’s cell phone account, by Heise Security
Personal Cell Phone Account of President-Elect Obama Accessed by Unauthorized Employees

Intrusione informatica ai danni di una società bellica sud-coreana

Un gruppo di crackers sarebbe riuscito a rubare informazioni ad una società che fabbrica missili e armi e con sede in Corea del Sud. Stando alle notizie trapelate l’operazione sarebbe stata possibile grazie all’installazione di malware nei sistemi informatici della compagnia.

Il National Security Research Institute avrebbe infatti riferito che la rete informatica oggetto di questi attacchi è quella della LIGNex1 Hyundai Heavy Industries, società che produce missili teleguidati, armi terra-aria, navi da guerra e sottomarini.

Un portavoce ha detto che “i possibile sospetti ricadono su black hat cinesi o nord coreani, ma non è ancora certo quali informazioni sia state effettivamente rubate… La peggiore delle ipotesi è che siano stati sottratti i blueprints di alcuni missili e della nave Aegis”.
Quel che invece è sicuro è che la backdoor è stata installata già a marzo ed è stata individuata solamente il mese scorso.

FONTI E APPROFONDIMENTI:
Hackers penetrate South Korean missile manufacturer, by The Register
South Korean defence suppliers uncover malicious code
Defense Industries Assailed by Hackers

Javascript frameworks: qual è il migliore?

Personalmente ho utilizzato Prototype abbastanza da ritenerlo un ottimo “strumento” per realizzare piccole “chicche” in Ajax o per semplici operazioni quali il classico “document.getElementById()”.
Mi sono capitate però sottomano un paio di pagine interessanti.
Nella fattispecie:
Dojo vs JQuery vs MooTools vs Prototype Performance Comparison
SlickSpeed Selectors Test
Inutile dire che la lettura e l’esecuzione dei test ha scatenato in me un grosso interesse: in particolare verso Dojo che a quanto pare sembra il “migliore” di tutti.
Prototype invece non esce molto bene classificandosi in coda.
Giusto per sfizio mi sa daro’ un occhio a Dojo.

Qualcuno di voi ha esperienze a riguardo ? Consigli ?

Problemi di DNS Cache poisoning per China Netcom

Il security provider Websense ha individuato un caso riuscito di DNS cache poisoning nei confronti dei name servers di uno dei piu’ grandi ISP cinesi.
Gli utenti Netcom infatti sono stati re-indirizzati verso pagine contenenti exploits per RealPlayer, MS Snapshot Viewer, Adobe Flash Player e Microsoft Data Access Components.

I crackers non hanno modificato i record di siti web importanti, ma hanno semplicemente modificato l’indirizzo della pagina pubblicitaria dell’ISP.
La maggior parte dei clienti arriva a questa pagina quando per esempio sbaglia a digitare l’url di un qualsiasi sito web. Gli ISP usano questo metodo di redirection, conosciuto anche come Typosquatting, per pubblicizzare la disponibilità di domini e di prodotti correlati.
A seguito dell’attacco tuttavia i clienti non raggiungono la pagina del provider, bensi’ una serie di pagine contraffatte e riempite di ogni sorta di trojan e malware.

Molto probabile quindi che i name servers di Netcom non siano stati adeguatamente patchati.
Gli unici attacchi “ufficiali” di cache-poisoning sono stati quelli che hanno visto coinvolta AT&T.
All’ultima conferenza Black Hat, Dan Kaminsky ha riportato lo stato attuale di patching dei sistemi delle compagnie all’interno della Fortune 500: il risultato è che attualmente il 70% di essi hanno applicato le dovute contromisure mediante aggiornamenti mirati.

Riferimenti:
* DNS poisoners hijack typo domains, by Heise Security
* China Netcom DNS cache poisoning, warning from Websense

Aptana IDE bug: permessi sui file via ftp

Da un po’ di tempo a questa parte ho abbandonato definitivamente Dreamweaver come ambiente di sviluppo web e php.
Visto che per lavoro utilizzo quotidianamente Eclipse, ho pensato di impiegare questo ottimo IDE oltre che per lo sviluppo J2EE anche per piccoli progetti PHP.
E l’ho fatto mediante Aptana.
Aptana Studio è un IDE per lo sviluppo web e ajax, Eclipse-based, che puo’ essere utilizzato come applicazione standalone oppure come plugin per una installazione esistente di Eclipse.
Io ho appunto optato per quest’ultima soluzione.
Per incorporarlo in una installazione già esistente di Eclipse (nel mio caso una Eclipse Europa 3.3) è sufficiente seguire le istruzioni reperibili a questo indirizzo.
Una volta fatto questo per avere a disposizione anche strumenti e funzionalità di sviluppo PHP è sufficiente integrare l’apposito plugin (qui le istruzioni).

Dopo questa digressione su Aptana, tornando all’argomento vero e proprio del post, volevo porre l’accento su un bug che interessa la modalità di editing via FTP.
Per comodità e rapidità puo’ rivelarsi necessario intervenire direttamente via ftp su un sito/webapp già presente per modificare alcuni file o aggiungerne di nuovi in maniera immediata.
Nel far questo bisogna prestare attenzione al fatto che di default Aptana crea i nuovi file con permessi settati a 666 o rw-rw-rw.
Questa soluzione puo’ pero’ creare problemi in alcuni contesti.
Molti servizi di hosting infatti per motivi di sicurezza precludono la possibilità di impostare per file e cartelle il (w)rite bit per “All Users” e “Group Users”.
Questo comportamento è dovuto spesso all’uso di suphp (modulo per apache) o altri tool simili.
Accedendo quindi alla propria pagina php ci si potrà cosi’ trovare di fronte ad un bel messaggio d’errore “Server 500…etc.etc.”.
Va detto che per le modifiche sui file non v’è alcun problema (almeno non l’ho riscontrato), pero’ per i nuovi file che vengono creati si.
La soluzione sta quindi nel modificare a mano i permessi per i nuovi files a 644 o rw-r–r– o caricarli via qualche client ftp come Filezilla.

Attualmente infatti a quanto pare non v’è possibilità di cambiare i permessi dei file direttamente da Aptana o almeno questa funzionalità è preclusa per gli utenti della Community Edition.
Gli utenti della versione Pro invece possono intervenire seguendo queste istruzioni.

Sul forum di supporto di aptana si trovano parecchi topic a riguardo, tant’è che è stata aperta anche una segnalazione (STU-1792) sull’apposito sistema di bug tracking.
A quanto pare con la prossima versione 1.2 di Aptana dovrebbe venire introdotta una finestra di opzioni per consentire di impostare i permessi di default da assegnare ai nuovi file remoti.

Concludo semplicemente confermando la bontà di questo plugin e il consiglio per chi sviluppa webapp in Java di integrarlo comunque visto l’ottimo sistema di code assist/formatting e syntax highlighting/validation per i linguaggi Javascript, Html e Css.

Aggiornamenti di sicurezza per il CMS Drupal

In un security bullettin, gli sviluppatori del CMS Drupal hanno reso noto alcuni problemi di sicurezza che interessano le versioni 5.x e 6.x. Le maggior parte sono state classificate come “highly critical”.

Accanto ad un problema di cross-site scripting (XSS), vengono elencate due possibili attacchi di tipo cross-site request forgery (CSRF).
Problemi per il modulo di upload di Drupal 6 che contiene vulnerabilità che rendono possibile un’escalation di privilegi da parte degli utenti che hanno impostato il permesso “upload files”.
Altra vulnerabilità legata l’upload riguarda il modulo BlogAPI che non effettua una corretta validazione delle estensioni dei file caricati.

Disponibili per il download le versioni aggiornate 5.10 e 5.4 e le relative patches per versioni precedenti.

RIFERIMENTI:
* Security updates for Drupal CMS, by Heise Security
* SA-2008-047 – Drupal core – Multiple vulnerabilities, security advisory by the developers

Pericolosa falla per Joomla già in circolazione

Gli sviluppatori del noto CMS Joomla hanno fatto sapere che è già in circolazione un pericoloso exploit che sfrutta una vulnerabilità presente nelle versioni del software dalla 1.5.x alla 1.5.5.
Il bug riguarda la funzionalità di password reset e potenzialmente può consentire ad un utente di ottenere l’accesso amministrativo al CMS.

Quando viene richiesto un password reset viene inviato via mail un token.
Il problema risiede nel sistema di validazione del token quando questo viene presentato dall’utente: la falla consente infatti ad un utente non autorizzato e non autenticato di effettuare il reset della password del primo utente abilitato.
Tipicamente il primo utente attivo è quello dell’amministratore: ecco spiegata la pericolosità del bug.
Il team di Joomla fa notare come cambiando lo username dell’account di amministratore può limitare l’impatto del problema visto che l’attaccante sa solamente che sta andando a resettare la password del primo account registrato e deve indovinarne il login name.

Consigliatissimo quindi l’upgrade alla versione 1.5.6 o l’applicazione diretta della patch all’installazione esistente.
E’ necessario intervenire sul file: /components/com_user/models/reset.php
Aggiungere dopo global $mainframe, alla linea 113, il seguente snippet di codice:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

Riferimenti:
Joomla suffers already-exploited critical vulnerability, by Heise Security
Joomla 1.5.x Remote Admin Password Change, by Milw0rm

AVG Free 8.0 italiano: un milione di download in un solo mese!

AVG Technologies, produttore dell’omonimo software per la sicurezza su internet, annuncia che il suo prodotto, AVG Free 8.0, è stato scaricato da più di un milioni di utenti italiani attraverso www.html.it nel giro di un solo mese, dal 14 giugno al 14 luglio 2008.

AVG Free risulta così l’applicazione più scaricata in assoluto in un periodo di tempo così breve (v. http://download.html.it). Da aprile, quando è stato lanciato il prodotto in inglese sul mercato, gli italiani che lo hanno scaricato da html.it sono circa 3.300.000.

L’altissimo numero di download raggiunto conferma quanto AVG sia davvero apprezzato dagli utenti. AVG Free è il software più scaricato su html.it tra il 14 Giugno e il 14 Luglio 2008. Solo un altro anti-virus è presente nella top-ten del sito. Si tratta di Avast, che occupa la nona posizione e che raggiunge solamente il 20 per cento dei download registrati da AVG nello stesso periodo.

AVG Free offre protezione di base contro virus e spyware, insieme alla componente di navigazione sicura fornita dalla tecnologia brevettata da AVG LinkScanner®. La versione free non include la componente di navigazione sicura proattiva, che fa parte del modulo completo di LinkScanner® e si può trovare invece inclusa nei prodotti AVG destinati al commercio. AVG Free non fornisce inoltre protezione contro hackers, keyloggers, spam, attacchi di phishing e download di file infetti.

Ulteriori dettagli e informazioni sui prodotti AVG sono reperibili sul sito www.avg.it.

AVG Free 8.0 è realizzato per l’utilizzo personale e non commerciale su singoli computer che supportano Windows 2000, XP o Vista ed è attualmente disponibile in inglese, giapponese e italiano. Sebbene AVG Technologies non offra supporto per l’utilizzo di AVG Free 8.0, l’azienda ospita un sito web e un forum per favorire la diffusione del supporto fornito da parte degli utenti, all’indirizzo http://free.avg.it (che è assimilabile a free.avg.com per questioni di corporate appearance).

FONTE: Comunicato stampa di AVG Technologies

Allerta virus per i fan di Homer Simpson

Alcuni anni fa (nel 2003) molti fans dei Simpons alla loro lista dei contatti AIM aggiunsero “Chunkylover53” dopo aver saputo che il produttore dello show rispondeva online alle domande degli spettatori facendo le veci di Homer e usando l’account “Chunkylover53@aol.com”.
Lo screen name è rimasto inattivo sin da allora, fino a quando qualche giorno fa il messaggio “away” (non al computer) di Chunkylover53 è apparso indicando la possibilità di vedere in anteprima su Internet una nuova puntata dei Simpsons.
Naturalmente non esiste alcun video. Si tratta chiaramente di un file .exe infetto che una volta eseguito installa un Trojan trasformando la macchina in uno zombie pc appartenente ad una botnet turca, stando a quanto dichiarato da FaceTime.

AIM Virus Homer Simpson

AIM Virus Homer Simpson

FONTE:
Homer Simpson and the Kimya Botnet, by FaceTime Security Labs Blog

IE Dev Toolbar 1.00.2188.0 Dll Patching

Innanzitutto parto col ringraziare il mio collega Massimo Zugno aka Zuegg per avermi segnalato come fixare questo fastidiosissimo problema.
Riassumendo: dopo aver reinstallato la IE Developer Toolbar di Microsoft (il “Firebug” per IE giusto per intenderci) ho cominciato a notare ogni volta che avviavo Internet Explorer 7, la comparsa di una fastidiosissima popup che chiede l’avvio di uno dei debugger tra quelli installati nel sistema.
Questo comportamento è tipico quando un’applicazione va in crash o si verificano errori che si vuole magari andare a debuggare usando il debugger di Visual Studio per esempio.
Accortomi che il problema derivava dalla fantomatica IE Dev Toolbar ho chiesto al buon Massimo se era mai incappato nel problema.
Ecco quindi che mi accenna al fatto che aveva proceduto al patching “manuale” della dll IEDevToolbar.dll proprio per far scomparire questo fastidioso popup.
Le istruzioni su come effettuare le modifiche sono disponibili su questa pagina.
Riassumendo:
1. Chiudere eventuali istanze aperte di Internet Explorer.
2. Individuare il file C:ProgrammiMicrosoftInternet Explorer Developer ToolbarIEDevToolbar.dll
3. Utilizzare un tool come Resource Extractor per Total Commander o XN Resource Editor (io ho usato questo) per individuare ed estrarre la risorsa TXT/235/1033
4. Aprire con un qualsiasi editor di testo il file estratto che chiameremo 235.txt e individuare la sezione di codice:
Ie Dev Toolbar javascript code
5. Modificare la riga segnata in rosso aggiungendo un blocco try-catch.
6. Salvare il file 235.txt e rimpiazzare la “vecchia” risorsa del file originale con quella nuova.

Da adesso in poi non dovreste più vedere alcun popup 😉
Grazie ancora a Massimo!