Enrico Pesce

Mega bug scovato sull’eseguibile file (il pacchetto che riconosce i tipi di file passati come argomento)

Le versioni e le distribuzioni a rischio sono moltissime

Per più informazioni guardate il sito di securityfocus

Oltre a dare un servizio pessimo con qualità sempre e molto discutibile oltre a fare ciò che non dovrebbe fare ora si fa anche truffare o meglio permette di far truffare i propri clienti attraverso attività di phishing sempre più frequenti

Se vi continuano ad arrivare mail di verifica account o di servizi nel sito poste.it o bancoposta.it non fornite per nessun motivo utente e password, e seconda cosa, chiudete il conto sulle poste.. è una buffonata e pagare (CARO) un servizio pessimo come questo non ne vale proprio la pena.

Link utili:

http://www.anti-phishing.it/news/articoli/news.110520072.php

http://www.poste.it/online/phishing.shtml (manco ne parla…)

Mi chiedo se certi limiti di sicurezza sono volutamente scelti o se semplicemente una delle aziende piu ricche del mondo di sicurezza informatica ancora non ci capisce molto..

Questa non è una vulnerabilità o un exploit di windows 2000/xp ma una semplice debolezza dell’algoritmo usato per salvare le password LM (lanmanager)

Esistono vari tools per il recupero di password perse, il piu famoso a mio avviso è john the ripper che attraverso tentetivi cerca di trovare la password giusta confrontando l’hash generato con l’hash di ogni password che vogliamo recupearare.

I tentativi vengono quindi eseguiti attraverso una lista di parole (wordlist) o progressivamente a seconda di alcune regole provando tutte le combinazioni di una stringa (incremental), a seconda della lunghezza della password quindi il recupero può essere molto oneroso, ma è lunica soluzione nel caso gli algoritmi di criptazione con dei salt tra i bit di salvataggio..

..ed è per questo che le password di LM son cosi veloci da decifrare.. non usano nessun bit di salt..

Password di questo genere sono facilmente decifrabili attraverso le rainbow tables, le rainbow tables sono delle immense tabelle precompilate di equivalenze fra password in chiaro e password cifrate.

Quando si deve scoprire la password che protegge un file o un computer, si prende la versione cifrata della password (hash) e la si confronta con le voci di queste tabelle fino a che si trova una corrispondenza. Una volta trovata, risalire alla password in chiaro è banale.

Nel sito del progetto RainbowCrack è dimostrato attraverso delle demo e video la velocità del recupreo di una o più password.

L’unico “problemino” è lo spazio richiesto per le rainbow tables che a seconda dei caratteri che vogliamo usare possono occupare molti gigabyte su disco!!

Ecco dei link di rainbow tables già create, anche se vi consiglio di crearvele (scaricare 40Gbyte di tabelle da internet è un po assurdo!!)

http://rainbowtables.shmoo.com/

http://www.freerainbowtables.com/

altre info su: http://en.wikipedia.org/wiki/Rainbow_table

Per ogni azienda o organizzazione le informazioni presenti nei propri sistemi informatici costituiscono sicuramente uno dei beni di fondamentale importanza: per questo il concetto di sicurezza informatica è ormai pienamente recepito ed applicato in forma diffusa alla protezione dei propri dati e delle proprie informazioni. Malgrado questo, esiste comunque una attenzione e preoccupazione dovuta alla apparente vulnerabilità dell’accesso a tali sistemi sia da parte di crackers o persone non autorizzate che da personale interno mosso da intenzioni non corrette: queste persone possono cancellare, sottrarre o modificare le informazioni contenute. Cos’e’ l’analisi forense nell’ambito del computing?

Esistono varie definizioni. Ad ogni modo, generalmente, per analisi forense si intende l’uso di techiche analitiche ed investigative al fine di identificare, collezionare, esaminare e preservare prove/informazioni che sono memorizzate in varie modalita’ su sistemi oggetto di indagine.

Qual’e’ l’obbiettivo dell’analisi forense e della computer forensics?

Generalmente si tratta di fornire la prova tecnica (un’evidenza digitale) di una specifica o generica attivita’.

A che scopo?

Una investigazione forese può essere effettuata per più ragioni. La piu importante è l’investigazione criminale, ma le tecnice forense possono essere usate in varie situazioni come ad esempio il recupero di dati persi.

Quali sono gli scenari?

Sono molti e vari, esempi sono:

• Abuso di collegamenti internet o remotio
• Accesso non autorizzato a dati e informazioni (accidentale ed intenzionale)
• Spionaggio industriale
• Valutazione di danni
• Casi criminali di inganno e di frode
• Casi criminali più generali (molti criminali semplicemente salvano informazioni nei computer in modo intenzionale o meno)
• Altri casi di violazione

Come si affronta un analisi forense?

Generalmente le fasi principali sono queste:

• assicurare l’integrita del sistema in oggetto
• creare una copia identica dell’hard disk (se applicabile)
• identificare e recuperare tutte i files (compresi quelli cancellati)
• accesso/copia dei file nascosti protetti e temporanei
• studiare le zone’ speciali’ del disco (esempio: residuo dei file precedentemente cancellati)
• studiare cosa fanno applicazioni/programmi installati (file,memoria)
• valutare il sistema nell’insieme, compreso la relativa struttura
• considerare i fattori generali concernente l’attività degli utenti
• generare il rapporto dettagliato dei risultati
• tenere traccia di un log dettagliato delle proprie attività effettuate

Durante la ricerca, è importante creare un log di tutte le attività effettute.
Cosa che non dovrebbe essere fatto durante la ricerca?

In genere è importante evitare il cambio di date/time stamps (dei files per esempio) e la modifica dei dati. Lo stesso si applica alla sovrascrittura o creazioni di file sopra dello spazio non usato (che può succedere durante un reboot per esempio). Lo studio del `non cambia’ è la regola principale di chi vuol intraprendere l’ambiente forense.
Anche se tutto ciò può accadere malgrado le migliori misure preventive intraprese, esistono comunque mezzi e modalità volte alla investigazione ed analisi delle eventuali intrusioni capaci di raccogliere elementi che possano indicare chi, quando ed in che modo ha fatto un uso non autorizzato delle informazioni, arrivando perfino al loro recupero nel caso queste siano state distrutte.

PANORAMICA

L’analisi forense non si limita ad analizzare informazioni in formato digitale ma richiede conoscenze in molti altri campi. Alcuni di questi
campi implicano la conoscenza di una moltitudine di apparati hardware e di tipi di software.
Non è possibile prevedere quali tipi di hardware o di periferiche si dovranno analizzare.
La gestione dei casi richiede una grande versatilità e che il team di lavoro sia in possesso di tutte le conoscenze necessarie.
Allo stesso modo non è possibile prevedere quali tipi di software si troveranno durante l’analisi, e non sempre sono pubblicamente disponibili le informazioni necessarie.

Come condurre un’analisi forense

L’arcinoto Mark Russinovich, autore delle eccezionali utility freeware di Sysinternals.com, è da vari mesi impegnato in una battaglia personale contro i rootkit.

Il frutto di questo scontro è l’ottimo Rootkit Revealer che Russinovich aggiorna con nuove tecniche di riconoscimento ogni volta che i ragazzi di Hacker Defender (noto rootkit per Windows) e compagnia bella trovano un nuovo metodo per nascondere file e processi.

Ultimamente, nel testing dell’ultima versione di Rootkit Revealer, Mark ha inaspettatamente rilevato un rootkit proprio su una sua macchina e ha proceduto all’analisi forense del sistema interessato.

La procedura è descritta minuziosamente, mostrando l’impiego di tool fondamentali nella forensic analysis su Windows come Autoruns, Process Explorer, FileMon e RegMon (questi ultimi dovrebbero presto fondersi insieme in un unico strumento).

Uno dei migliori casi studio su piattaforme Windows mai scritto. Caldamente consigliata la lettura: http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html

Aggiornamento: fortunatamente la stampa specializzata ha rilanciato immediatamente la notizia del rootkit Sony (segno del grande peso che Russinovich ha nel mondo IT odierno) che, per non perdere la faccia più del dovuto, ha altrettanto prontamente rilasciato un aggiornamento.

L’aggiornamento però compromette gravemente la stabililtà del sistema e Mark si è cimentato in una seconda analisi forense, stavolta sconfinando anche nel networking, per capire cosa fa effettivamente la patch: http://www.sysinternals.com/blog/2005/11/more-on-sony-dangerous-decloaking.html

Secondo aggiornamento: poichè non c’è due senza tre Mark Russinovich pubblica una terza ulteriore analisi del traffico effettuato nel tentativo di rimuovere il software di Sony:

http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html

Software che intanto viene bollato come spyware in queste ore da alcuni vendor antivirus (mentre altri, come Microsoft, stanno ancora decidendo che posizione prendere in merito).

Perciò se avete acquistato e ascoltato CD Sony sul vostro sistema casalingo non stupitevi nei prossimi giorni di vedere i vostri antivirus rilevare la minaccia all’improvviso.