Goolag Scan: il ritorno del gruppo Cult of the Dead Cow

Il nome “Cult of the Dead Cow” mi riporta alla mente vecchi ricordi.
Tempi del liceo, primi approcci un po’ da smanettoni con i classici tools hacker/underground che giravano allora.
A pensarci bene al tempo eravamo quelli che si potrebbero chiamare “script kiddies” ma d’altronde non avevamo nessuno a guidarci in questo fantastico mondo digitale.
E inoltre non c’erano le possibilità che ci sono ora. Pochi di noi avevamo il modem (ancora i vecchi 28.8k o 33.6k) e per collegarci sfruttavamo i collegamenti gratuiti settimanali o mensili Tin.it recuperati sulle riviste informatiche.
Poco importa, quello che conta è che ci capitò tra le mani questo nuovo tool “Back Orifice”, creato da un gruppo di hackers chiamato appunto “Cult of the Dead Cow” o cDc abbreviato.
A distanza di un po’ di anni hanno pubblicato un altro interessante tool denominato “Goolag Scan”.
Si tratta di un tool che raccoglie per l’esattezza 1418 “Google hacks” o “Google dorks”.
La tecnica del cosiddetto “Google Hacking” ovvero sfruttare il noto motore di ricerca come “alleato” nel trovare le vulnerabilità dei siti web, non è di certo nuova e esistono parecchi libri/ebook e siti che parlano dell’argomento.
La fonte più completa di informazioni è forse qui su ihackstuff.

Questo piccolo scanner (necessario framework .NET) raggruppa gli “hacks” in svariate categorie:
– Advisories and Vulnerabilities
– Error Messages
– Files containing juicy info
– Files containing passwors
– Files containing usernames
– Footholds
– Pages containing login portals
– Pages containing network or vulnerability data
– Sensitive Directories
– Sensitive Online Shopping info
– Various Online Devices
– Vulnerable Files
– Vulnerables Servers
– Web Server Detection

Il consiglio è chiaramente prima di provare la scansione sul proprio sito di selezionare un numero ridotto di voci.
Il programma infatti avverte come Google potrebbe tentare di bloccare l’ip nel caso riscontrasse una serie continua ed anomala di richieste provenienti dalla stessa “macchina”.
Buon divertimento! 😀

Goolag Scan - Cult of the Dead Cow

APPROFONDIMENTI:
Cult of the Dead Cow turns Google into a vulnerability scanner
Home page Cult of the Dead Cow
Download Goolag Scanner

Anche Linux nel mirino delle botnets

Il fatto che Windows sia il sistema sicuramente più diffuso è dato di fatto, così come che la maggior parte del malware e dei virus sviluppati dai vari crackers abbia come target piattaforme Microsoft, Vista o Xp che sia.
Spesso si scatenano su forum, blog, siti tecnici o meno vere e proprie guerre di religione tra i vari “taleban linux” e “taleban windows”.
Gli uni a sostenere Windows è meglio di Linux perchè blablabla, gli altri viceversa a dire Windows è una ciofecca usate Linux se volete essere dei “veri fighi”, superprotetti da qualsiasi minaccia.
Quello che penso è che non esiste un sistema operativo che possa definirsi “MIGLIORE” di altri, ognuno nel bene e nel male ha i suoi pregi e difetti.
Per motivi di lavoro uso Windows XP (in particolare) quasi tutto il tempo. Ai tempi dell’università ho smanettato parecchio con Linux, in tutte le varie salse: anche qui sul numero di distribuzioni Linux che prolificano si potrebbe aprire un dibattito.
Così come mi diverto ogni tanto a provare le varie security-distro Backtrack, Hakin9, Helix, Phlak e chi più ne ha più ne metta, anche se ormai il tempo è quello che è. Ho installato e mantenuto un serverino a casa con OpenBSD 3.9 per alcuni mesi, fino alla rottura di un disco 🙁
L’indole da smanettone ti porta poi a provare anche s.o. non troppo diffusi: il mitico QNX o il buon vecchio BeOS (ora rimpiazzato da Haiku).
Di tutti quanti ti fai un’impressione, a volte più o meno superficiale per questioni di tempo o per via di un primo impatto non troppo positivo.

Quando ho letto questa news su Heise Security riguardo il moltiplicarsi di macchine Linux che “entrano a far parte” delle cosiddette botnets, un po’ mi è venuto da sorridere.
Pensavo a come molto spesso si decanti tanto la superiorità di Linux (per carità molto spesso a ragione), e poi si legga come una backdoor (Linux/Rst-B backdoor) di ben 6 anni fa sia il motivo principale del problema.
L’indagine realizzata da Sophos evidenzia come stia aumentando il numero di Linux servers che vengono infettati e diventino a tutti gli effetti zombies pc nelle mani di crackers sparsi nel globo pronti ad utilizzarli come nodi per gli attacchi più svariati (spam, DDoS, etc.).
Come suggerisce l’articolo già solo il fatto di avere anche su Linux installato un antivirus basterebbe ad evitare tutto ciò, visto che la vulnerabilità in questione è individuabile da tutti gli antivir in circolazione.
Tra quelli free ricordiamo:
* Avira: Avira AntiVir PersonalEdition Classic
* AVG Technologies (formerly Grisoft) AVG Anti-Virus Free Edition 7.5 for Linux
* Avast: avast! Linux Home Edition Download
* F-Prot: F-PROT Antivirus for Linux Workstations
* ClamAV: Clam AntiVirus

La verità è quella racchiusa in una frase che fa il giro della rete da anni e che sembra estratta da un vecchio proverbio: “l’unico sistema sicuro è quello spento“.
D’altronde anche Windows può essere reso un po’ più sicuro in pochi passaggi:
– lavorare sempre e cmq con un account non privilegiato, si puo’ fare tutto dal programmare al giocare
– installare un buon firewall e antivirus
– installare un paio di tools per la rilevazione di spyware e malware
Ci vuole poi cosi’ tanto?

APPROFONDIMENTI:
* Sophos: Linux machines hijacked for botnets, by Heise Security
* Botnets, a free tool and 6 years of Linux/Rst-B, blog entry by Sophos
* Botnet study: bots spread through old loopholes

Da Intel "switching wifi – wimax"

Il colosso Intel ha presentato di recente il proprio dispositivo di rete in grado di switchare in maniera istantanea il segnale fra una classica rete WiFI ed una WiMax. La compagnia ha dichiarato infatti che gli utenti in questo modo potranno continuare a restare connessi e navigare, indifferentemente che si trovino in presenza di reti Wireless, WiMax o di entrambe.
La tecnologia è stata mostrata lunedi’ a Barcellona in occasione del GSMA Mobile World Congress.
Con Intel allo sviluppo hanno collaborato anche Nokia e Siemens Networks.
L’idea è appunto quella di un dispositivo che consenta all’utente di muoversi liberamente per la città col proprio notebook, palmare, pocketpc restando perennemente connesso a quella che si potrebbe definire una “rete globale” priva di interruzioni di servizio.
Tutto questo anche e sopprattutto grazie al fatto che il device sarebbe in grado di farlo in modo completamente trasparente all’utilizzatore.

APPROFONDIMENTI:
Intel Device Freely Switches Between Wi-Fi, WiMax Networks, by InformationWeek

StopBadware classifica RealPlayer come "badware"

A quanto pare recentemente (28 gennaio scorso) StopBadware, l’iniziativa creata da varie società IT e istituzioni, ha classificato il noto software RealPlayer come “badware”.
Questo nomignolo viene affibiato a tutti quei software come spyware, adware e malware di vario tipo che “spiano nel tempo” la navigazione degli utenti (tracciandone le abitudini), generano una miriade di finestre popup contenenti pubblicità e nei casi peggiori addirittura tentano di intercettare le password memorizzate sui computer infetti.

Il motivo per cui StopBadware ha classificato RealPlayer 10.5 come badware è perchè il software in questione non espone in maniera chiara all’utente finale che viene installato anche un adware. Il componente pubblicitario è il cosiddetto RealPlayer Message Center. L’EULA (End User License Agreement) per RealPlayer indica che questo componente fornisce aggiornamenti importanti/utili. In realtà Message Center continua a mostrare un fastidioso avviso se gli utenti non registrano i propri dati personali creando un account su RealNetworks.

RealPlayer 11 dal canto suo non informa l’utente che il player Rhapsody (utile per l’online music store di RealNetworks) viene installato, ma non rimosso quando si va ad effettuare la disinstallazione del prodotto.
Nessun avviso ne’ in fase di installazione, ne’ in fase di disinstallazione avverte l’utente del legame che c’è tra RealPlayer e il Rhapsody Player.

Attualmente la versione 10.5 viene installata anche attraverso il Mozilla Plugin Finder, mentre la 11 è disponibile per il download direttamente sull’homepage di RealPlayer.
StopBadware sconsiglia quindi vivamente l’installazione di questo software e in particolare di queste versioni fino a quando RealNetworks non risponderà alla segnalazione rilasciando una versione pulita del proprio programma.

In alternativa è possibile usare VLC Mediaplayer per ascoltare musica in formato RealMedia, prestando però attenzione ai data stream RTSP visto che il software soffre ancora di un bug scoperto qualche settimana fa.
Altra possibilità è l’uso di Real Alternative, player che incorpora i codec RealPlayer, tuttavia senza il permesso di RealNetworks.
Risulta evidente che si tratta di una soluzione non propriamente legale 😀

RIFERIMENTI:
StopBadware initiative rates RealPlayer as “badware”, by Heise Security
RealPlayer, report by StopBadware