Archives For Sicurezza

I telefoni cominciano a squillare uno dopo l’altro, le linee sono tutte occupate, la gente è allarmata perché mentre lavorava tranquillamente sui propri file si vede comparire una finestra che li informa di avere dei virus all’interno del proprio computer.

Chi sarà mai questo virus che riesce a passare le difese del server e infettare contemporaneamente decine di PC? E’ presto detto: UltraVNC.

Per la seconda volta nei laboratori di Trend Micro riescono a inserire normali programmi di assistenza remota nelle definizioni antivirus aggiornate quotidianamente. Il server antivirus di $cliente01 riceve il pacchetto relativo alla giornata odierna, lo passa a tutti i client facenti parte della sede ed ecco che come per magia compare la finestra alert che mostra un processo attivo riconoscendolo come Trojan generico.

Ottimo. Qualche mese fa era successa la stessa identica cosa con RealVNC, oggi succede con UltraVNC. Non è che per caso alla Trend Micro spacciano fumo o altre sostanze stupefacenti al posto dello zucchero messo nelle macchinette automatiche del caffè?

Risoluzione temporanea fino al prossimo rilascio definizioni:

Mettete il processo di UltraVNC nelle esclusioni dell’antivirus (winvnc.exe). Un Workaround al giorno leva il medico di torno!

Firefox 2.0.0.5

Gioxx  —  18/07/2007 — 2 Comments

E’ stato finalmente rilasciato il nuovo update di Mozilla Firefox, arrivato alla versione 2.0.0.5. Per la gioia di qualcuno in questa release è stato corretto un errore grossolano (MFSA 2007-18) che causava sporadicamente crash del browser.

Sono state corrette diverse vulnerabilità che permettevano l’esecuzione di script malevoli da parte di terzi e, per la gioia di svariati utenti del forum, è stato anche archiviato il problema di esecuzione codice remoto da Internet Explorer (MFSA 2007-23) scoperto poco tempo fa.

Il pacchetto di aggiornamento è –come sempre– scaricabile selezionando la voce “Controlla gli aggiornamenti…” dal menu “?” o da Mozilla Italia in sezione download :)

La lista dei fix presa direttamente da Mozilla.com

  • MFSA 2007-25 XPCNativeWrapper pollution
  • MFSA 2007-24 Unauthorized access to wyciwyg:// documents
  • MFSA 2007-23 Remote code execution by launching Firefox from Internet Explorer
  • MFSA 2007-22 File type confusion due to %00 in name
  • MFSA 2007-21 Privilege escallation using an event handler attached to an element not in the document
  • MFSA 2007-20 Frame spoofing while window is loading
  • MFSA 2007-19 XSS using addEventListener and setTimeout
  • MFSA 2007-18 Crashes with evidence of memory corruption

Buon update ;)

Stamattina un mio conoscente mi ha chiesto delle informazioni riguardo Firefox ed il backup delle impostazioni in caso di formattazione PC o seconda postazione dove avere lo stesso browser con segnalibri e password salvate. Contrariamente alle altre volte questa persona aveva già fatto tutto ma rilevava alcun problemi durante l’utilizzo del browser nella seconda postazione. Cosa mai avrà combinato?

Ha seguito questo post trovato per caso su Google. Ora… signore buono… mi chiedo… Perché gli utenti si ostinano a prendere esempi (cattivissimi) da siti & blog che non sono in alcun modo collegati con i supporti ufficiali dei relativi software. Analizzo brevemente la pratica distruttiva che tale elemento ha riportato come metodo sicuro per effettuare il backup del proprio profilo:

Premessa : Aprite Risorse del Computer . Dal menù Strumenti andate in Opzioni cartella … ; da qui selezionale la scheda Visualizzazione . Nello spazio bianco in fondo pieno di opzioni, riempite con un click il pallino di fianco a Visualizza cartelle e file nascosti . Poi cliccate su OK
Fatto ciò, inizia il vero e proprio backup:
Andiamo su Start/Esegui, nel campo Apri: inserire
C:\documents and Settings\utente\dati applicazioni\mozilla\firefox\Profiles

dove C è il disco dove è installato firefox e utente è il nome utente in uso.

Qualcuno, cortesemente, gli spieghi che per fare quanto spiegato basta digitare “%appdata%\Mozilla\Firefox\” da Start – Esegui senza abilitare i file nascosti :(

Qui troverete una cartella dal nome tipo g06j664m.default . Questa cartella contiene tutte le impostazioni di Firefox (estensioni, temi, preferiti, cronologie, ecc.) . Copiate la su un cd o una chiavetta usb. Quì ci sono i file da ripristinare in caso di bisogno.
Per ripristinare questi dati, (per esempio dopo una formattazione del pc), basta ripetere i passaggi della premessa, poi recarsi nella cartella di cui sopra.
Dentro la nuova cartella con nome simile a g06j664m.default, COPIAMO IL CONTENUTO della cartella prima salvata (se ci chiede di sovrascrivere qualche file o cartella , diciamo di Si).
ATTENZIONE: dobbiamo copiare il contenuto della cartella salvata dentro la nuova cartella trovata. NON dobbiamo assolutamente eliminare la nuova cartella sostituendola con la vecchia.
Fine.

Se si mette in pratica la soluzione suggerita, verranno sovrascritti file che al 99% creeranno dei problemi durante il normale utilizzo del browser, come ampiamente descritto e sconsigliato nell’apposito post da sempre esistente sul forum di Mozilla Italia.

Approfitto del post per segnalare anche un altro problema che accomuna diversi utenti alle prime armi con il software Mozilla. Scaricano fantomatici Firefox 3.o (siamo alla versione 2.0.0.4), versioni modificate con la barra di Google e altra roba indesiderata e/o si ritrovano su siti nei quali è facile perdersi tra le pubblicità. Ok, è un problema noto. Registrare domini con nomi che riportano “*zilla“, “fire*“, “*fox*” in mezzo all’url è una pratica molto diffusa tra webmaster che riescono a ricavare qualche soldino dalla pubblicità esposta nelle pagine web del sito non ufficiale.

Posso ricordarvi quali sono i siti dai quali scaricare Mozilla Firefox e affini?

Tra i più quotati nel settore “pubblicità” trovano spazio questi due (non me ne voglia il buon Francesco che almeno non pubblicizza Firefox inesistenti! :P ).

La cosa che fa più sorridere è la tipica situazione nella quale l’utente combina danni in modo autonomo facendo riferimento a fonti “alternative” al forum italiano ma poi arriverà su quest’ultimo per riparare il danno “irreversibile” ;)

Recupero questo articolo scritto su GxWare.org qualche tempo fa, per chi se lo fosse perso :)

Avete mai provato a dare una occhiata alla cartella “Recent” del vostro profilo Windows? No? Male. Provate ad eseguire questo percorso da Start – Esegui:

C:\Documents and Settings\VOSTROUTENTE\Recent

Sostituendo VOSTROUTENTE con lo username che vi sete dati in fase di installazione del sistema operativo (o in seguito, se avete aggiunto altri utenti alla macchina), si accederà alla cartella che contiene tutti i collegamenti agli ultimi file utilizzati / programmi lanciati / ecc.

Questa potrebbe “risultare scomoda” nel caso in cui qualcuno voglia ficcare il naso in affari non propri. Può venirvi in aiuto il buon vecchio DOS con una stringa in grado di fare piazza pulita:

Aprite Blocco Note (o qualsiasi altro editor di testo) e incollate il seguente codice:

@echo off
echo;
echo (( Cancella History da Windows ))
echo S | del "C:\Document and Settings\VOSTROUTENTE\recent\"*.*

Ricordate di cambiare VOSTROUTENTE con lo username giusto! Occorre salvare il file come *.bat (al posto dell’asterisco mettete il nome che più vi piace) e tenere questa piccola utility in una cartella da voi facilmente accessibile.

Dopo aver lanciato il file bat attendete la chiusura automatica della finestra. La history sarà cancellata senza lasciare traccia, ottenendo spazio su disco e quel pizzico di privacy in più che può fare sempre comodo ;)

Correva l’anno 2004 d.C. Quel pomeriggio la rete era in fermento ed il sesto senso aveva quella percezione di qualcosa “di sbagliato” nell’aria. Non è la trama di un film horror… è solo la soddisfazione di un povero pirla pseudo-tecnico/sistemista che durante tutto questo tempo ha sempre ripetuto che di Aruba non c’è da fidarsi assolutamente. Frotte di conoscenti, amici, blogger e chi più ne ha più ne metta, continuava a ripetere di trovarsi particolarmente bene con l’azienda aretina leader del settore italiano.

Poveri stolti. E’ solo questione di tempo“. Una frase che ho ripetuto più di una volta. Aruba è ufficialmente entrata nelle blacklist del sottoscritto da quando subì quel mass-deface nel 2004. Migliaia di siti devastati da un solo script lanciato dopo aver ottenuto i diritti di root su una macchina (e da quella alle altre nello stesso identico modo). Non pensavo potesse succedere ancora o almeno non subito. Ultime parole famose.

Stamattina in azienda abbiamo ricevuto la lista completa dei siti bucati. Stavolta niente deface. Solo un simpaticissimo iframe con codice di installazione automatica del trojan di turno. Una sana coltivazione di PC zombie da sfruttare per futuri attacchi.

Il codice dell’iFrame è particolarmente semplice e preciso (come da immagine), i codici maligni inseriti sono i seguenti:


Clicca per ingrandire

  • HTML_IFRAME.CU (info)
  • JS_DLOADER.NTJ (info)
  • TROJ_SMALL.HCK (info)
  • TROJ_AGENT.UHL (info)

Per difendere i vari clienti dai potenziali problemi che tali siti possono ancora arrecare, parecchie aziende hanno deciso di inserire l’intera lista nei filtri di Squid e dei proxy server in generale. Dal canto mio ho già provveduto ad inserire le 464 vittime negli “squid filters” di 3 clienti. So che i webmaster non c’entrano nulla e che la colpa è come al solito di Aruba, ma non ci si può permettere la minima distrazione, altrimenti si rischia di dover rimettere a posto decine di client.

Dell’evento ne parla anche Symantec che riporta il tutto con un apposito documento:

symantec.com/…/2007/06/italy_under_attack_mpack_gang.html

La lista completa dei domini è disponibile leggendo tutto il post (così da evitare di farvi arrivare la pagina alle stelle) ! ;)

Che dire se non “Ve lo avevo detto“? :P

Continue Reading…