Jboss e Google Hacking

Che Google fosse da tempo diventato strumento “fidato” di white/grey/black (o che altro colore vogliate) hat è assai noto.
Quello su cui volevo soffermarmi in questo post è quanto pericolosa possa diventare una installazione “grossolana” di questo application server.
In particolare la JMX-Console di JBoss di default non prevede alcun tipo di autenticazione, per cui puntando all’indirizzo tipico http://macchina-jboss:8080/jmx-console/ è possibile accedere a tutta la parte informativa e di configurazione del server.
La cosa preoccupante e pericolosa evidenziata in questo interessante pdf, è come si possa riuscire facilmente a deployare una webapp che ci consenta di lanciare comandi sul server.
Il problema è che questi comandi verranno eseguiti con i privilegi dell’utente con il quale sta girando il JBoss server.

Trovare i server vulnerabili è piuttosto semplice, basta inserire su google le seguenti stringhe di ricerca:
intitle:”jboss management console” “application server” version inurl:”web-console” o intitle:”JBoss Management Console - Server Information” “application server” inurl:”web-console” OR inurl:”jmx-console”

Quello che si ottiene è una lista abbastanza lunga di macchine straniere (e purtropppo non solo) appartenenti a domini governativi, aziendali e istituzionali.

ATTENTI A QUELLO CHE FATE!

Internet Explorer 7 e window.open

L’uso dell’istruzione window.open per l’apertura di una semplice finestra di popup può presentare alcune sorprese con Internet Explorer 7.
Ci si puo’ ritrovare dopo aver “provato” fino all’ultimo pixel le dimensioni di altezza e larghezza, a fare i conti con gli elementi in pagina tagliati o non correttamente visualizzati.
La brutta sorpresa la si ha quando dal classico sviluppo in locale con test su “localhost” si passa sul web magari sul dominio del proprio sito web o del cliente.
Il fattore determinante dell’avere un layout “scazzato” è nella fattispecie la presenza della barra degli indirizzi bloccata e non editabile sopra e la status bar sotto.
Tutto questo nonostante si sia stati attenti a chiamare la popup con la miriade di parametri (toolbars, menubars, status) impostati a no o 0 per far scomparire tutto il possibile.

Il problema è dovuto fondamentalmente al sistema di Protezione di IE. Lavorando a zone tutto quello che sta al di fuori dei siti della intranet locale o dai siti attendibili per lui è un potenziale sito dannoso e quindi “preferisce” rendere l’utente sicuro del percorso visitato (addressbar non editabile) e del fatto che non si tratti di phishing (statusbar).
Se volete quindi farvi un’idea di come verrà visualizzata la vostra popup una volta online e regolarvi di conseguenza onde evitare la potenziale domanda del cliente “Ma come mai vedo i tasti tagliati o il logo è a metà?” potete rendere “potenzialmente insicuro” agli di IE7 il vostro sito web su localhost.
Disabilitate le check dal tab di sicurezza:

Tab Protezione Internet Explorer 7

In questo modo visitando le pagine web sul vostro localhost o 127.0.0.1 e aprendo le popup sarete in grado di vedere come comparirà online.
Tralasciando il fatto che questa scelta degli sviluppatori di IE7 di visualizzare addressbar e statusbar è stata fatta per motivi di sicurezza (tra cui in primis sicuramente il phishing) qualora voleste disabilitare il comportamento non dovete fare altro che aggiungere il sito online alla lista dei siti attendibili.
Questa pratica tuttavia la sconsiglio, meglio piuttosto adeguarsi e progettare fin dall’inizio la popup e la disposizione del suo contenuto con la presenza delle due barre.

Chi conoscesse qualche altro trick per far scomparire le barre me lo faccia sapere, sarò ben lieto di postarlo 😉

Disponibile Thunderbird 2.0.0.14

A distanza di due settimane dal rilascio della versione aggiornata 2.0.0.14 di Mozilla Firefox, è ora disponibile l’update anche per il client di posta Thunderbird.
La nuova versione corregge due bug di sicurezza che consentivano l’injection di codice.

Entrambe le vulnerabilità sono legate a Javascript, fortunatamente disabilitato di default in Thunderbird.
Il security bullettin MFSA2008-15 discute circa la possibilità di crash del programma e code-injection.
Il report MFSA2008-14 spiega come un attaccante possa sfruttare Javascript per elevare i propri privilegi di sistema e eseguire codice arbitrario.
L’update è disponibile direttamente sul sito Mozilla o attraverso la classica funzionalità “Check for Updates” dal menu Help.

Maggiori informazioni:
* Thunderbird 2.0.0.14 E-mail client available, by Heise Security
* Thunderbird 2 Release Notes for Thunderbird 2.0.0.14
* List of the security holes closed in Thunderbird 2.0.0.14
* Download Thunderbird 2.0.0.14

Per sopravvivere in rete bisogna sapere l'inglese… anche scolastico!

Questo post sicuramente avrebbe potuto essere inserito in un commento di risposta a tal Massimiliano Sandano che si è preso la briga di commentare qui ad una vecchia notizia sull’uscita di Cain&Abel 4.5 che avevo postato.
Rispondo qui semplicemente per chiarire una cosa su tutte: in questo blog posto le news che mi pare, i tools che mi pare e soprattutto quando e come mi pare, visto il poco tempo che ormai mi restano tra lavoro e altri impegni extra.

Detto questo analizziamo un attimo il contenuto dei commenti:
[COMMENTO 1 da parte di dariio]

vi prego sto impazzendo nn posso più stare davantoi al pc a cercare
come si usa sto programma maledetto la guida in inglese è in arabo.
nn c’è una guida in italiano o quanto meno qualcuno che mi possa spiegare come si puo sniffare

[COMMENTO 2 da parte mia]

Scusa se te lo dico ma la guida in inglese non mi sembra affatto arabo.
Se si tratta poi del fatto che non conosci l’inglese quello allora è un altro paio di manica. Sinceramente sottomano non ho link a siti o forum che contengano na guida.
Ripeto se il problema è che non conosci l’inglese ti consiglio di imparare prima quello, anche perchè se ti interessa approfondire le tue conoscenze informatiche sicuramente senza l’inglese non vai da nessuna parte 🙂
bye

[COMMENTO 3 da parte di Massimiliano Sandano]

Ammesso che l’amico non sappia l’inglese mi sembrerebbe utile creare o tradurre il manuale anche in italiano,visto che il creatore di cain e abel e’ un italiano!,anch’ io sto cercando la versione in italiano ma sembra inesistente,quindi caro Massimo Rabbi al di la di sfoggiare le tue superlative conoscenze dell’ inglese sarebbe piu utile che tu dessi risposte piu’ utili che evasive.
SALUTI .
Massimiliano Sandano.

Forse al nostro caro Massimiliano Sandano sono sfuggite un paio di cose:
– non mi sembra di aver mai sfoggiato le mie superlative conoscenze dell’inglese
– non mi sembra di aver dato una risposta evasiva, conosco tonnellate di tutorial e video in cui si illustrano le potenzialità di Cain&Abel, ma sono in inglese.
– per di più ho semplicemente constatato un dato di fatto: in rete se si vuole ampliare il proprio bagaglio culturale specie in ambito prettamente tecnico si deve per forza conoscere l’inglese.

Il fatto poi che il tool in questione sia stato realizzato da un italiano non centra una fava col fatto che il manuale debba per forza esserci anche in italiano. Se la scelta dell’autore del software è stata quella di creare una guida in inglese per coprire un più vasto pubblico, nulla da ridire.
Chiunque poi abbia dato un occhiata alla guida presente online e reperibile qui non credo possa parlare di “arabo”!
Se non si sa l’inglese è un altro discorso… sicuramente quello che c’è scritto risulta arabo, come lo sarebbe qualsiasi altra lingua che non si conosce.
Quindi caro Massimiliano Sandano se proprio vuoi fare un servizio alla comunità traduci tu la guida in italiano e se non sai l’inglese, beh imparalo… perchè oggi è la guida di Cain&Abel ma domani potrebbe essere quella del tool XYZ. 😀

Evento 1nn0va – 29 maggio 2008

Pubblico volentieri una segnalazione del mio ex-collega di università Lino Possamai circa un evento organizzato da 1nn0va in collaborazione con xe.net e il Consorzio Universitario di Pordenone.
Il “Web Congress” si terrà nella giornata 29 maggio 2008 alle ore 18.00 presso il Polo Universitario di Pordenone – Via Prasecco 3/a – 33170 Pordenone.

Qui di seguito la sintesi del programma:
Silverlight è una tecnologia creata per gli sviluppatori web che permette di creare e pubblicare online contenuti interattivi e applicazioni di grafica 2D, audio, video, animazioni vettoriali e giochi.
Rispetto a Flash, Microsoft Silverlight crea contenuti più facilmente indicizzabili dai motori di ricerca, e supporta nativamente lo
standard HD (video in alta definizione) e il DRM. Scritto in XAML Silverlight permette di cancellare la diversità di interfaccia
esistente tra tecnologie web e desktop, creandone una vera e propria unica piattaforma.

ASP.NET è una piattaforma di sviluppo web molto potente e popolare. ASP.NET 3.5 rappresenta lo stato dell’arte ed aggiunge nuove funzionalità rispetto alle release precedenti, come il supporto a Visual Studio 2008, l’integrazione con il nuovo linguaggio LINQ (Language Integrated Query) ed aggiunge nuovi controlli che aumentano la flessibilità nella presentazione di dati.

Web Service (Servizio Web) è un sistema software progettato per supportare l’interoperabilità tra diversi elaboratori appartenenti alla stessa rete; caratteristica fondamentale di un Web Service è quella di offrire un’interfaccia software (descritta in un formato automaticamente elaborabile quale, ad esempio, il Web Services Description Language) con cui altri sistemi
possono interagire con il Web Service stesso, attivando le operazioni descritte nell’interfaccia tramite appositi “messaggi”
inclusi in una “busta” (la più famosa è SOAP).

Per prelevare la locandina dell’evento cliccate qui.

Patch per 7 vulnerabilità di Adobe Flash Player

Adobe ha rilasciato la versione 9.0.124.0 del suo Flash player per Windows, Linux, Mac e Solaris: corrette sette 7 falle di sicurezza.
Stando al report un attaccante sarebbe in grado di prendere il controllo di un computer mediante l’uso di un file SWF “contraffatto”.
Una delle vulnerabilità è relativa a quanto emerso durante il recente “Pwn to Own” contest, che ha visto Shane Macaulay riuscire con successo ad hackerare un portatile con Windows Vista.

Per sfruttare il bug si forza il player Flash ad accedere in maniera “errata” ad oggetti ActionScript.
Secondo il report di Zero Day Initiative è necessario manipolare il tag DeclareFunction2. Tuttavia per “scavalcare” la protezione data execution prevention (DEP) di Vista, Macaulay ha sfruttato un trucco usando Java.
A quanto pare infatti Java su Vista sembra non funzionare correttamente in presenza del DEP attivato, ed è per questo che spesso viene disabilitato per Java.

Le altre vulnerabilità riguardano principalmente errori nella conformità della domain policy, che ha come scopo quello di evitare l’accesso al contenuto proveniente da altri domini.
L’aggiornamento re-imposta alcuni settaggi di sicurezza del Flash Player in modo da garantire un piu’ alto livello di sicurezza.
Stando ad Adobe, alcuni files SWF potrebbero non funzionare più, visto che Flash non supporta più in maniera completa gli URL Javascript.
Ulteriori dettagli in merito sono reperibili nel documento “Understanding Flash Player 9 April 2008 Security Update compatibility“.

L’aggiornamento è stra-consigliato visto che il numero di siti che sfrutta queste vulnerabilità sta aumentando a vista d’occhio.

Informazioni aggiuntive:
* Flash Player update available to address security vulnerabilities, security advisory from Adobe
* Adobe Flash Player DeclareFunction2 Invalid Object Use Vulnerability, security advisory from ZDI
* Adobe fixes seven vulnerabilities in Flash Player, by Heise Security

Sony BMG accusata di usare software pirata

Ironia della sorte, questa volta chi sta dalla parte del torto è Sony BMG, che più volte in passato si è resa protagonista di battaglie e scelte discutibili in materia di antipirateria.

L’accusa viene da una piccola compagnia di software francese che accusa la nota casa di far uso di software piratato.
L’episodio può essere riassunto come segue: la software house PointDev ha dichiarato che un impiegato Sony BMG ha contattato il supporto tecnico per ricevere assistenza circa l’uso dell’applicazione Ideal Migration.
Il problema è che alla richiesta del codice seriale del software, l’impiegato ha indicato un numero che stando a quanto afferma PointDev è sicuramente piratato. La società ha inoltre aggiunto che il loro tool sarebbe stato usato illegalmente ben dal 2004.

Il chief executive di PointDev, Henry Agustoni, ha spiegato a 01net che “Non siamo interessati ad un patteggiamento. Non si tratta semplicemente di una questione di soldi, ma quanto più di una questione di principio”.
Il caso ha provocato un enorme imbarazzo a Sony BMG, che in passato si è fatta promotrice di migliaia di azioni legali contro il filesharing e il download illegale di musica.

Va ricordato inoltre come la società tempo fa abbia introdotto un particolare sistema anti-copia sui propri cd, rivelatosi in realtà un rootkit in grado di porre a rischio attacco i pc dei propri acquirenti.
Thomas Hesse, presidente di Sony Global Digital Business, disse al tempo: “La maggior parte della gente, non sa nemmeno cosa sia un rootkit, perchè preoccuparsene quindi?”.
Sony tuttavia fu costretta ad ammettere lo sbaglio e ripagare i propri clienti.

Browser Security Test

A questo indirizzo potete trovare una serie di test sulla stabilità/sicurezza del vostro browser preferito.
Al momento la lista dei test inclusi è di 16, alcuni pero’ sono specifici per tipo di browser, di conseguenza l’opzione consigliata è “Only test for bugs specific to my type of browser“.
Questa la lista delle vulnerabilità che vengono provate durante il test:
1. Windows animated cursor overflow (CVE-2007-0038) Detailed test information
2. Mozilla crashes with evidence of memory corruption (CVE-2007-0777) Detailed test information
3. Internet Explorer bait & switch race condition (CVE-2007-3091) Detailed test information
4. Mozilla crashes with evidence of memory corruption (CVE-2007-2867) Detailed test information
5. Internet Explorer createTextRange arbitrary code execution (CVE-2006-1359) Detailed test information
6. Windows MDAC ADODB ActiveX control invalid length (CVE-2006-5559) Detailed test information
7. Adobe Flash Player video file parsing integer overflow (CVE-2007-3456) Detailed test information
8. XMLDOM substringData() heap overflow (CVE-2007-2223) Detailed test information
9. Mozilla crashes with evidence of memory corruption (rv:1.8.1.5) (CVE-2007-3734) Detailed test information
10. Opera JavaScript invalid pointer arbitrary code execution (CVE-2007-436) Detailed test information
11. Apple QuickTime MOV file JVTCompEncodeFrame heap overflow (CVE-2007-2295) Detailed test information
12. Mozilla code execution via QuickTime Media-link files (CVE-2006-4965) Detailed test information
13. Mozilla crashes with evidence of memory corruption (rv:1.8.1.8) ( CVE-2007-533) Detailed test information
14. Mozilla memory corruption vulnerabilities (rv:1.8.1.10) (CVE-2007-5959) Detailed test information
15. Mozilla crashes with evidence of memory corruption (rv:1.8.1.12) (CVE-2008-0412) Detailed test information
16. Apple QuickTime ‘QTPlugin.ocx’ ActiveX Control Multiple Buffer Overflows () Detailed test information

Spybot Search&Destroy ora anche anti-rootkit!

I creatori del noto software anti-spyware SpyBot Search&Destroy si son dati da fare e hanno realizzato un aggiornamento sotto forma di plugin che consente di cercare e individuare eventuali rootkits.
Il tool può essere eseguito anche come programma standalone.

Spybot Search&Destroy RootAlyzer

RootAlyzer, questo il nome del software, è ancora in fase di sviluppo ma può essere scaricato gratuitamente dal forum di Spybot Search&Destroy. Agisce controllando il registro, il file system e i processi in esecuzione alla ricerca di incoerenze e utilizzi sospetti di chiamate di sistema di vario tipo e API Win32 (possibile segnale di rootkits “a bordo”).

Per effettuare il download del programma cliccate qui.

RIFERIMENTI:
L’annuncio sul sito di Spybot Search&Destroy
Spybot Search&Destroy learns to sniff out rootkits, by Heise Security

P4P: la naturale evoluzione del trasferimento peer-to-peer

La Distributed Computing Industry Association e il suo “P4P Working Group” stanno lavorando ad un nuovo protocollo peer-to-peer, chiamato “Proactive network Provider Participation for P2P” o P4P. Esso viene descritto come un “sistema di trasferimento file peer-to-peer carrier-grade”.

Ciò che potrebbe però sorprendere è che tra le compagnie che compongono l’associazione rientrano non solo aziende come LimeWire, BitTorrent e Skype, ma anche AT&T e Verizon.
Il New York Times ha di recente pubblicato un articolo in cui enfatizza l’allarmante quantità di traffico dati che passa su Internet.
Nonostante la storia punti l’attenzione su siti come YouTube, è pur vero che il traffico P2P rappresenta per la maggior parte degli ISPs una grossa percentuale del traffico di rete.

Lo scopo del P4P è quello di ridurre il traffico sfruttando la topologia di rete nel trasferimento dati “selezionando” in maniera intelligente piuttosto che casuale i differenti peers, migliorando così l’efficenza del routing globale.
Riducendo infatti il numero di hops che un pacchetto deve fare da sorgente a destinazione si migliorano le condizioni globale del network.
Il paper intitolato “P4P: Explicit Communications for Cooperative Control Between P2P and Network Providers” è stato presentato in occasione della conferenza inaugurale del DCIA P2P Market a New York City, lo scorso venerdi’.
E’ stato mostrato come il P4P migliori il download rate del 205% rispetto a un classico download P2P, e dimininuisca il numero di hops necessari nell’instradamento interno degli ISP da 5.5 hops a a 0.89 hops.

E le informazioni sulla topologia di rete? Se ne occupa Verizon.
Questo non significa assolutamente che Verizon approvi i trasferimenti P2P, quelli illegali per lo meno.
Nel PDF infatti leggendo gli obiettivi del P4P Working Group: “… lavorare assieme e in maniera coordinata con i più grandi Internet Service Providers (ISPs), aziende distributrici di software peer-to-peer (P2P) e ricercatori al fine di individuare le best practices per l’uso del P4P come meccanismo di distribuzione dei contenuti e onde ottimizzare l’uso delle risorse di rete degli ISPs, garantendo la migliori performances possibili all’utente finale…”

APPROFONDIMENTI:
P4P Aims to Speed Peer-to-Peer File Transfers, Reduce Traffic – by RealTechNews
P4P: Explicit Communications for Cooperative Control Between P2P and Network Providers, research paper
P4P Working Group’s mission statement