Sicurezza Informatica

WordPress e la sicurezza. Proteggiamo il nostro blog dagli attacchi.

16 aprile 2011 in Sicurezza Informatica, Wordpress

WordPress è un CMS molto diffuso e pertanto bersaglio costante di attacchi.

Oggi vi voglio presentare alcune tecniche per evitare che banali exploit possano rendere inaccessibile il vostro blog.

Ovviamente, sia ben chiaro che non basta seguire alla lettera i passi elencati in questo articolo per dormire sonni tranquilli. La sicurezza informatica non è qualcosa che si acquista al supermercato e si usa. Necessita di conoscenze e di costante controllo del prodotto.

La prima regola che occorre seguire è quella di stare sempre al passo con gli aggiornamenti proposti. Se vengono pubblicati degli update vuol dire che sono stati effettuati delle correzioni e/o miglioramenti nel codice.

Ovviamente questo non vuol dire che la nuova versione sarà al 100% bug-free, però eviteremo di continuare a porgere il fianco scoperto a vulnerabilità già note.

In ogni caso prima di ogni aggiornamento e/o modifica è consigliabile :

Disattivare tutti i plugins

effettuare un backup del db e salvarlo

Detto questo iniziamo da alcuni accorgimenti basilari per metterci nella giusta ottica di protezione del nostro prodotto.

Ogni attaccante che si rispetti inizia a progettare l’attacco partendo dalle informazioni che possiede. Studia la piattaforma e il codice ( croce e delizia dell’opensource).

Pwn2Own Update :iPhone 4 cade sotto i colpi di Charles Miller

11 marzo 2011 in pwn2own, Sicurezza Informatica

Mr. Charles Miller , qui a sinistra nella foto, è riuscito anche quest’anno a violare il firmare di iIphone 4.

Miller già conosciuto per il suo precedente passato in cui era riuscito a sfruttare una falla di iPhone 2G , creato uno script in grado di leggere i log in formato chat , la rubrica, l’elenco delle chiamate e le voicemail è riuscito anche quest’anno a far nuovamente parlare di se :

All’interno del contest Pwn2own è riuscito a violare un iPhone 4 usando una falla nella versione mobile di Safari per rubarne i contatti della rubrica.

L’attacco è stato condotto facendo visitare un sito web costruito ad-hoc che ha prodotto il crash dell’iPhone 4 utilizzato come cavia.

Al riavvio è stato possibile entrare in possesso della rubrica dei contatti. Nella sua intervista rilasciata a ZDNet, Miller dichiara che l’attacco è stato condotto utilizzando un iPhone 4 con firmware iOS 4.2.1 ma non sarebbe applicabile al nuovo iOS 4.3 grazie all’introduzione di ASLR ( Address space layout randomization ), una patch di sicurezza applicata da Apple .

Da quanto si apprende dall’intervista sembrerebbe che anche aggiornando il proprio dispositivo con il nuovo firmware iOS4.3, si sarebbe a rischio di vulnerabilità , anche se di più difficile realizzazione.

Pwn2Own: Perchè Safari è caduto

11 marzo 2011 in Apple News, pwn2own, Sicurezza Informatica

La caduta di Safari dopo solo 5 secondi, nonostante le ultime patch per la sicurezza e ilcostante impegno di Apple per cercare di rendere il software di Mac OS X più robusto.

Un team di ricercatori dell’azienda francese VUPEN, infatti, è riuscito a sfruttare una falla presente nel browser per vincere l’edizione 2011 del contest.

L’attacco consiste nell’indirizzare il browser ad un determinato sito Web malevolo costruito ad-hoc per ottenere il controllo della macchina sulla quale è in esecuzione Safari.

Pwn2own: Ancora nessuna crepa per Chrome

11 marzo 2011 in pwn2own, Sicurezza Informatica

Anche con il grosso incentivo promesso da Google come premio per chi avesse trovato una vulnerabilità nel browser Chrome, ad oggi non risulta nessun ricercatore prenotato per tentare la sfida di hacking.

Se Chrome dovesse uscire illeso anche a questa competizione , sarebbe l’unico ad essere sopravvissuto a ben 3 Pwn2Owns consecutivi. In poche parole un record.

Durante il primo giorno del contest il team francese di Vupen è riuscito a violare Safari in ben 5 secondi aggiudicandosi $15.000 e il portatile MacBook Air in cui era stato installato il browser.

Sarà utile sapere che l’exploit utilizzato sarà valido anche con Safari 5.0.4, rilasciato da Apple solo pochi minuti prima dell’inizio della competizione.

Oggi sono previste le sfide per quattro sistemi operativi per smartphone (iOS di Apple, Android di Google, Microsoft Windows 7 e BlackBerry OS di RIM), poi toccherà anche a Firefox di Mozilla.

Pwn2Own 2011: Cadono ancora Safari e IE. Resiste Chrome

10 marzo 2011 in Apple News, pwn2own, Sicurezza Informatica

Anche quest’anno l’unico sopravvissuto è stato il browser di casa Google, mentre Safari e IE8 hanno ceduto al primo attacco.

Il browser di Apple (versione 5.0.3) installato su un sistema operativo aggiornato Mac OS X 10.6.6. è stato il primo a cadare e a scardinarne le difese è stata l’azienda di sicurezza francese Vupen.

Le procedure dettagliate dell’attacco non possono essere rese note pubblicamente, come da regolamento, ma la tecnica utilizzata dagli esperti di Vupen è stata quella di far visitare al browser un sito maligno confezionato per l’occasione e, dopo solo cinque secondi, sono stati in grado di avviare l’applicazione della calcolatrice e scrivere un file sull’hard disk. Così facendo i ricercatori hanno soddisfatto i due requisiti della gara: l’avvio di codice arbitrario e l’aggiramento dei sistemi di protezione sandbox.

Chaouki Bekrar, cofondatore di Vupen, ha spiegato che l’exploit è stato difficile da realizzare per l’assenza di documentazione sulle tecniche di exploit di Safari a 64 bit. Per l’occasione Vupen ha messo al lavoro tre ricercatori per due settimane, in modo da realizzare gli strumenti adeguati e trovare un attacco efficace. Il team francese si è quindi portato a casa 15 mila dollari e un nuovo MacBook Air, su cui si è svolta la prova.

Il secondo browser a cadere è stato Internet Explorer 8, in versione a 32 bit su un sistema Windows 7 con Service Pack 1 a 64 bit. L’autore dell’attacco è stato Stephen Fewer, ricercatore di Harmony Security. Anche in questo caso l’efficacia dell’exploit è stata dimostrata avviando l’applicazione della calcolatrice e scrivendo un file sull’hard disk.

Per portare a termine l’attacco il ricercatore si è avvalso di tre vulnerabilità distinte: due per eseguire codice all’interno del browser e la terza per oltrepassare le difese della sandbox di Internet Explorer, in modalità protetta. L’attacco è stato confezionato in circa cinque/sei settimane. Fewer si è portato a casa 15 mila dollari e un portatile Sony Vaio.

Ora tocca a Microsoft e Apple risolvere le falle di sicurezza rilevate nella gara, prima che queste informazioni siano rese pubbliche, a vantaggio e/o discapito di chiunque.

Domani , ultimo giorno della competizione , toccherà a Firefox mettere alla prove le barriere contro gli attacchi dei ricercatori registrati alla competizione Pwn2Own.

Le regole della competizione tra browser prevedevano che il software installato sui sistemi fosse aggiornato alla settimana scorsa, quindi alcuni recenti aggiornamenti – come Safari 5.0.4 – non sono stati applicati.

Sarebbe stato utile vedere in gara anche Internet Explorer 9, ma per ora non è ancora in versione finale, dato che verrà presentato il 14 marzo.

Una nota curiosa è i ricercatori registrati per attaccare Chrome non si sono presentati (probabilmente un recente aggiornamento ha invalidato il loro attacco)

In seguito il focus passerà sugli smartphone e in gara ci saranno: iPhone, Blackberry OS, Android e Windows Phone 7.

Le App Apple spiano gli utenti ?

7 marzo 2011 in Sicurezza Informatica

Secondo quanto emerso da un’indagine condotta dal Wall Street Journal lo scorso dicembre, sarebbero molte le App che in background inoltrerebbero dati senza autorizzazione.

Sono state analizzate 101 applicazioni tra le più scaricate per iPhone, iPad e Android e ben 56 trasmettono l’ID del dispositivo a terze parti, 47 localizzano senza chiedere autorizzazione e 5 raccolgono e diffondono dati personali sensibili.

Secondo il Wall Street Journal le applicazioni analizzate non propongono all’utente nessuna policy relativa alla privacy e le destinazioni delle raccolta dei dati sarebbero società di comunicazione e agenzie pubblicitarie.

Ovviamente la reazione dei consumatori americani e in breve tempo è stata avviata una “class action” contro le applicazioni incriminate e i loro sviluppatori.

Oltre Apple sono accusati di aver violato la privacy degli utenti alcune tra le più note applicazioni

TextPlus

Pandora

Paper Toss

Grindr

The Weather Channel

Dictionary.com

Qui potete trovate l’articolo originale.

BlackHole RAT : un malware per Mac OS X

6 marzo 2011 in Apple News, Sicurezza Informatica

E’ stato individuato da parte della società di sicurezza informatica Sophos, un malware concepito per infiltrarsi nel sistema operativo Mac OS X che permette il controllo parziale del Mac a distanza. L’antidoto per rimuovere la minaccia è già pronto ma il cracker promette che la versione definitiva sarà molto più insidiosa.

La release Beta del RAT (Remote Administration Tool) per Mac OS X che circola online al momento è ancora limitata, ma un utente malizioso potrebbe usarlo per riavviare e spegnere il computer da remoto, impartire comandi nella shell, far comparire un file di testo sulla scrivania o una finta finestra di log-in che richiede l’inserimento della password administrator.

Come tutti i trojan, anche BlackHole deve comunque trovare un modo per arrivare ad installarsi sul computer dell’utente. Antivirus o meno, sarà quindi buona consuetudine evitare l’apertura di allegati sospetti,

A quanto pare, BlackHole RAT è stato creato partendo dal codice del “collaudato” darkComet, cavallo di Troia digitale nato sui computer con sistema operativo Windows.

Secondo i ricercatori Sophos, neanche il prossimo Mac OS X Lion potrà considerasi al riparo dalla minaccia.

Ghostmarket.net. Il forum delle truffe on line.

6 marzo 2011 in Sicurezza Informatica

Si chiama Ghostmarket.net il sito creato da quattro teenager inglesi, ora condannati a fino a cinque anni di carcere, considerato uno dei forum più operativi in tutto il mondo nelle truffe alle carte di credito. I giudici lo hanno rinominato “Crimebook” ovvero una sorta di Facebook per criminali.

Si sono stimati danni per circa 16,2 milioni di sterline, quasi 20 milioni di euro. Si pensa che il sito, che contava circa 8mila membri sparsi in tutto il mondo, sia ricollegabile a centinaia di migliaia di sterline rubate da 65mila conti bancari.

Nicholas Webber, proprietario e fondatore del sito, era stato arrestato nell’ottobre del 2009 insieme all’amministratore Ryan Thomas, dopo aver cercato di pagare un conto di un hotel usando i dati di una delle carta di credito sottratta.

I due avevano rispettivamente 18 e 17 anni. Ora, il tribunale ha condannato Webber a cinque anni di carcere e Thomas a quattro anni di reclusione.

Dalle analisi dei dati dei notebook degli arrestati la polizia ha scoperto la presenza di oltre 100mila numeri di carte di credito.

Dopo il primo arresto, il giovane avrebbe minacciato su un forum gli agenti di polizia specializzati in cybercrime e avrebbe sfruttato le sue abilità di cracker per tracciare gli indirizzi dei poliziotti.

Il giudice ha affermato che i crimini di cui si è macchiato Ghostmarket sono stati realizzati su larga scala: “È stata un’avventura criminale che ha offerto consigli sofisticati su come manomettere un computer, causando malfunzionamenti e il prelievo di informazioni personali, il tutto condotto su larghissima scala“.

Pwn2Own 2011: al via l’evento di Sicurezza Informatica più atteso.

6 marzo 2011 in Sicurezza Informatica

Mancano ormai pochi giorni all’edizione 2011 del Pwn2Own, la celebre sfida di hacking ospitata dalla convention sulla sicurezza CanSecWest che mette sotto torchio i principali browser web.

L’evento del Pwn2Own 2011 è fissato per il 9, 10 e 11 marzo a Vancouver

L’edizione del 2010 scorso anno il contest ha avuto un enorme successo, registrando la caduta di Safari Internet Explorer 8 e Firefox, caduti sotto i colpi degli exploit degli esperti di sicurezza iscritti al contest. Il vincitore incontrastato fu stato Chrome.

Il vincitore della scorsa edizione, Peter Vreugdenhil quest’anno farà addirittura parte della giuria.

Per l’edizione di quest’anno la commissione del Pwn2Own aveva inizialmente deciso di non includere nel contest Crome con la motivazione ufficiale che il core del broswer di casa Google si basa sullo stesso motore Webkit utilizzato dal browser Apple. Ma il colosso di Mountain View non ha accettato l’esclusione.

In casa Google sono consapevoli, come spiegato dal noto hacker Miller, dell’elevata difficoltà nel trovare falle nel loro prodotto e quindi hanno deciso di sfidare i partecipanti mettendo in palio la ricca somma di ventimila dollari ed un nuovo Cr-48 ( equipaggiato con Sistema Operativo Crome) per ogni esperto di sicurezza che riuscirà a trovare, nella prima giornata, una vulnerabilità nella blindatissima sandbox di Chrome utilizzando le vulnerabilità presenti direttamente nel codice scritto da Google, senza ricevere nessun aiuto.

Se verrà oltrepassato questo limite di tempo e i bug verranno scovati nei due successivi giorni, Google e tutta l’organizzazione del Pwn2Own doneranno, entrambi, 10 mila dollari fornendo anche dei piccoli suggerimenti e offrendo la possibilità di ricercare i bug in elementi esterni come le estensioni, i plugin ecc…

A fare compagnia a Google Chrome ci saranno ovviamente Mozilla Firefox, Internet Explorer ed Apple Safari. Gli ultimi due sono le prede preferite dagli hacker in quanto, come già accaduto negli anni precedenti, vengono violati in breve tempo (per Safari sono bastati addirittura un paio di secondi!).

Tutti i browser verranno eseguiti su Windows 7 e Mac OS X, entrambi a 64 bit. Non ci sono informazioni sulle versioni dei vari “navigatori web” interessati.

Per quanto riguarda gli smartphone, il discorso è analogo. Verranno messi alla prova vari protagonisti del settore, ovvero:

Dell Venue Pro con Windows Phone 7, ultimo OS mobile di Microsoft;
iPhone 4 con iOS4 e l’ultima versione del firmware installata;
Blackberry Torch 9800 con Blackberry 6 OS, nuova versione del sistema operativo;
Nexus S con Android, precisamente la versione 2.3 denominata Gingerbread.

Il ricercatore Ralf-Philip Weinmann, metterà in evidenza un nuovo hack che può colpire indistintamente sia gli smartphone Android che gli iPhone. Questo hack sfrutta la falla presente nel chip della baseband, prodotti sia da Infineon Technology che da Qualcomm.

Lo scopo di tutti gli hacker sarà quello di riuscire a portare gli attacchi compromettendone i dati. Vengono inclusi inoltre tipologie di hacking che possono causare costi al titolare del dispositivo (chiamate a lunga distanza, intercettazioni su conversazioni, e via discorrendo).

I risultati della manifestazione saranno riportati qui su EndlessLab.org non appena saranno resi noti. Restetate sintonizzati!

Attacco sito web aeroporto Catania : denunciato un ragazzo di 22 anni

5 marzo 2011 in Sicurezza Informatica

Aveva condotto degli attacchi ai siti web dell’aeroporto e di Confindustria di Catania durante l’estate del 2010, con la complicità di un connzionale.

Subito avevano rivendicato le loro azioni su alcuni siti web di fondamentalisti islamici arabi.

A distanza di pochi mesi la polizia postale di Catania ha denunciato un ragazzo di origine marocchina di 22 anni e residente a Lucca.

Il giovane ha reso ampia confessione ammettendo che la matrice sarebbe religiosa.

Continuano le indagini per comprendere se vi possano essere collegamenti con organizzazioni terroristiche.