E’ da tenere in considerazione la grande differenza di software e prodotti creati tra Orace\SUN e Apple,  che proclama Apple la società che produce software più insicuro dei ultimi 5 anni.

La ricerca si basa su valori pubblici (CVE) e riguardano la sicurezza del software che non è da confondere esclusivamente con la stabilità.

Per esempio facilmente qualcuno puo accedere come amministratore senza avere i diritti su Os X server, ma magari il server non si blocca mai!

Un po inquietante come cosa!

La terza società è Microsoft che resta stabile negli anni ma anche questa produce molti piu prodotti rispetto Apple!

Per non parlare dei confronti tra uno o altri podotti, che cercano in ogni modo di differenziarsi tra l’uno e l’altro proponendo le solite cose con nomi diversi e con una confusione tale da far credere di avere sempre qualcosa di piu innovativo.

Parlare quindi di “deep inspection” per chi non vuole vendervi niente si intende semplicemente di un sistema che in tempo reale decodifica i pacchetti in transito con lo scopo di identificare anomalie secondo delle regole di confronto.

E’ importante capire questo semplice concetto perchè molti produttori vendono il proprio apparato come “copper speed”, avere un sistema di analisi IDS di certo non vuol dire leggere i dati a velocità rame.. (come si definisce la velocità del rame??)

Sorvolando sulla polemica di come vengono vendute certe funzionalità, solitamente un firewall per fare il “deep inspection” deve avvalersi di una scheda di calcolo ulteriore perchè logicamente il firewall non è nato per fare IDS, quindi se non acquistato, o se comunque non sufficiente, potenzialmente si può ridurre le potenzialità e la stabilità del vostro apparato.

Tutti gli IDS inclusi nei firewall hanno un insieme di firme (essenziali per definire le anomalie) inferiore ai veri IDS software dedicati come uno dei più famosi: SNORT. Questo fa già capire quindi come l’aggiunta di queste funzionalià di IDS (ma anche di ANTI SPAM e ANTI VIRUS) siano semplicemente degli optionals per far rendere il proprio sistema Firewall commercialmente piu appetible e utile ai piu creduloni e\o inesperti.

Un sistema Firewall\IDS “all in one” fa drasticamente diminuire la scalabilità dell’infrastruttura di rete. Immaginate di comprare una soluzione firewall con IDS e di voler sfruttare tale funzionalità aggiungendo molte regole di matching. Ci accorgeremo che piu regole inseriamo piu il carico di calcolo aumenta rubando risorse anche alla semplice funzione di firewalling.

Ha quindi senso investire su un firewall che probabilmente un giorno non potrà soddisfare le nostre esigenze di analisi IDS (o viceversa)? Sinceramente se implemento una soluzione IDS vorrei sfruttarla il piu possibile e vorrei che fosse scalabile. Preferirei un giorno sostiturie o il Firewall o l’IDS, ma non tutti e due.

Molto spesso le soluzioni piu complete e piu costose sono le meno produttive, ho molti esempi di soluzioni firewall vendute come “con questo sei apposto, fa tutto!”, alla fine va sempre a finire che metà delle funzioni non vengono abilitate perchè il prodotto non è in grado di gestirle tutte assieme!

Quindi, se volete proteggere la vostra rete con dei sistemi di analisi anti intrusione lasciate perdere gli appliance che fanno tutto e passate a qualcosa di professionale.

Ad ogni apparato il suo compito!! Un router deve fare routing, un firewall, firewalling, un IDS da IDS! Sennò tutti pontenzilmente si dovrebbero chiamare con lo stesso nome! ;)

Alla prossima con un bel articolo su SNORT!

Nel sito ufficiale lo staff ringrazia e consiglia a tutti di eliminare le proprie liste dai server anti spam.

Per fortuna esistono molte altre liste, infatti per questo non me ne ero accorto direttamente, un buon punto di partenza per trovare dei servizi simili è come sempre wikipedia!

mymac$ osascript -e ‘tell app “ARDAgent” to do shell script “id”‘;

uid=0(root)gid=0(wheel)egid=20(staff)groups=0(wheel),1(daemon),

2(kmem),8(procview),29(certusers),3(sys),9(procmod),4(tty),

5(operator),80(admin),20(staff)

fonte: http://it.slashdot.org/article.pl?sid=08/06/18/1919224&from=rss

L’analisi delle statistiche dei commenti definiti spam rappresentano una situazione molto triste, piu del 90% dei commenti nei blogs sono spam..

dal primo lancio di Akismet (11-2005) a oggi sono stati registrati 2 BILIONI di record classificati SPAM…

Per avere piu informazioni vi giro al sito ufficiale di Akismet

Le versioni e le distribuzioni a rischio sono moltissime

Per più informazioni guardate il sito di securityfocus

Se vi continuano ad arrivare mail di verifica account o di servizi nel sito poste.it o bancoposta.it non fornite per nessun motivo utente e password, e seconda cosa, chiudete il conto sulle poste.. è una buffonata e pagare (CARO) un servizio pessimo come questo non ne vale proprio la pena.

Link utili:

http://www.anti-phishing.it/news/articoli/news.110520072.php

http://www.poste.it/online/phishing.shtml (manco ne parla…)

Questa non è una vulnerabilità o un exploit di windows 2000/xp ma una semplice debolezza dell’algoritmo usato per salvare le password LM (lanmanager)

Esistono vari tools per il recupero di password perse, il piu famoso a mio avviso è john the ripper che attraverso tentetivi cerca di trovare la password giusta confrontando l’hash generato con l’hash di ogni password che vogliamo recupearare.

I tentativi vengono quindi eseguiti attraverso una lista di parole (wordlist) o progressivamente a seconda di alcune regole provando tutte le combinazioni di una stringa (incremental), a seconda della lunghezza della password quindi il recupero può essere molto oneroso, ma è lunica soluzione nel caso gli algoritmi di criptazione con dei salt tra i bit di salvataggio..

..ed è per questo che le password di LM son cosi veloci da decifrare.. non usano nessun bit di salt..

Password di questo genere sono facilmente decifrabili attraverso le rainbow tables, le rainbow tables sono delle immense tabelle precompilate di equivalenze fra password in chiaro e password cifrate.

Quando si deve scoprire la password che protegge un file o un computer, si prende la versione cifrata della password (hash) e la si confronta con le voci di queste tabelle fino a che si trova una corrispondenza. Una volta trovata, risalire alla password in chiaro è banale.

Nel sito del progetto RainbowCrack è dimostrato attraverso delle demo e video la velocità del recupreo di una o più password.

L’unico “problemino” è lo spazio richiesto per le rainbow tables che a seconda dei caratteri che vogliamo usare possono occupare molti gigabyte su disco!!

Ecco dei link di rainbow tables già create, anche se vi consiglio di crearvele (scaricare 40Gbyte di tabelle da internet è un po assurdo!!)

http://rainbowtables.shmoo.com/

http://www.freerainbowtables.com/

altre info su: http://en.wikipedia.org/wiki/Rainbow_table

Esistono varie definizioni. Ad ogni modo, generalmente, per analisi forense si intende l’uso di techiche analitiche ed investigative al fine di identificare, collezionare, esaminare e preservare prove/informazioni che sono memorizzate in varie modalita’ su sistemi oggetto di indagine.

Qual’e’ l’obbiettivo dell’analisi forense e della computer forensics?

Generalmente si tratta di fornire la prova tecnica (un’evidenza digitale) di una specifica o generica attivita’.

A che scopo?

Una investigazione forese può essere effettuata per più ragioni. La piu importante è l’investigazione criminale, ma le tecnice forense possono essere usate in varie situazioni come ad esempio il recupero di dati persi.

Quali sono gli scenari?

Sono molti e vari, esempi sono:

• Abuso di collegamenti internet o remotio
• Accesso non autorizzato a dati e informazioni (accidentale ed intenzionale)
• Spionaggio industriale
• Valutazione di danni
• Casi criminali di inganno e di frode
• Casi criminali più generali (molti criminali semplicemente salvano informazioni nei computer in modo intenzionale o meno)
• Altri casi di violazione

Come si affronta un analisi forense?

Generalmente le fasi principali sono queste:

• assicurare l’integrita del sistema in oggetto
• creare una copia identica dell’hard disk (se applicabile)
• identificare e recuperare tutte i files (compresi quelli cancellati)
• accesso/copia dei file nascosti protetti e temporanei
• studiare le zone’ speciali’ del disco (esempio: residuo dei file precedentemente cancellati)
• studiare cosa fanno applicazioni/programmi installati (file,memoria)
• valutare il sistema nell’insieme, compreso la relativa struttura
• considerare i fattori generali concernente l’attività degli utenti
• generare il rapporto dettagliato dei risultati
• tenere traccia di un log dettagliato delle proprie attività effettuate

Durante la ricerca, è importante creare un log di tutte le attività effettute.
Cosa che non dovrebbe essere fatto durante la ricerca?

In genere è importante evitare il cambio di date/time stamps (dei files per esempio) e la modifica dei dati. Lo stesso si applica alla sovrascrittura o creazioni di file sopra dello spazio non usato (che può succedere durante un reboot per esempio). Lo studio del `non cambia’ è la regola principale di chi vuol intraprendere l’ambiente forense.
Anche se tutto ciò può accadere malgrado le migliori misure preventive intraprese, esistono comunque mezzi e modalità volte alla investigazione ed analisi delle eventuali intrusioni capaci di raccogliere elementi che possano indicare chi, quando ed in che modo ha fatto un uso non autorizzato delle informazioni, arrivando perfino al loro recupero nel caso queste siano state distrutte.

PANORAMICA

L’analisi forense non si limita ad analizzare informazioni in formato digitale ma richiede conoscenze in molti altri campi. Alcuni di questi
campi implicano la conoscenza di una moltitudine di apparati hardware e di tipi di software.
Non è possibile prevedere quali tipi di hardware o di periferiche si dovranno analizzare.
La gestione dei casi richiede una grande versatilità e che il team di lavoro sia in possesso di tutte le conoscenze necessarie.
Allo stesso modo non è possibile prevedere quali tipi di software si troveranno durante l’analisi, e non sempre sono pubblicamente disponibili le informazioni necessarie.

Come condurre un’analisi forense

L’arcinoto Mark Russinovich, autore delle eccezionali utility freeware di Sysinternals.com, è da vari mesi impegnato in una battaglia personale contro i rootkit.

Il frutto di questo scontro è l’ottimo Rootkit Revealer che Russinovich aggiorna con nuove tecniche di riconoscimento ogni volta che i ragazzi di Hacker Defender (noto rootkit per Windows) e compagnia bella trovano un nuovo metodo per nascondere file e processi.

Ultimamente, nel testing dell’ultima versione di Rootkit Revealer, Mark ha inaspettatamente rilevato un rootkit proprio su una sua macchina e ha proceduto all’analisi forense del sistema interessato.

La procedura è descritta minuziosamente, mostrando l’impiego di tool fondamentali nella forensic analysis su Windows come Autoruns, Process Explorer, FileMon e RegMon (questi ultimi dovrebbero presto fondersi insieme in un unico strumento).

Uno dei migliori casi studio su piattaforme Windows mai scritto. Caldamente consigliata la lettura: http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html

Aggiornamento: fortunatamente la stampa specializzata ha rilanciato immediatamente la notizia del rootkit Sony (segno del grande peso che Russinovich ha nel mondo IT odierno) che, per non perdere la faccia più del dovuto, ha altrettanto prontamente rilasciato un aggiornamento.

L’aggiornamento però compromette gravemente la stabililtà del sistema e Mark si è cimentato in una seconda analisi forense, stavolta sconfinando anche nel networking, per capire cosa fa effettivamente la patch: http://www.sysinternals.com/blog/2005/11/more-on-sony-dangerous-decloaking.html

Secondo aggiornamento: poichè non c’è due senza tre Mark Russinovich pubblica una terza ulteriore analisi del traffico effettuato nel tentativo di rimuovere il software di Sony:

http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html

Software che intanto viene bollato come spyware in queste ore da alcuni vendor antivirus (mentre altri, come Microsoft, stanno ancora decidendo che posizione prendere in merito).

Perciò se avete acquistato e ascoltato CD Sony sul vostro sistema casalingo non stupitevi nei prossimi giorni di vedere i vostri antivirus rilevare la minaccia all’improvviso.