XSSDetect Public Beta now Available

XSSDetect runs as a Visual Studio plug-in and can detect potential XSS issues in managed code.
XSSDetect is a static code analysis tool that helps identify Cross-Site Scripting security flaws found within Web applications. It is able to scan compiled managed assemblies (C#, Visual Basic .NET, J#) and analyze dataflow paths from sources of user-controlled input to vulnerable outputs. It also detects whether proper encoding or filtering has been applied to the data and will ignore such "sanitized" paths.

Guida ai rischi connessi alle violazioni del copyright

La Federazione contro la Pirateria Musicale (FPM) ha annunciato oggi l'invio ai responsabili delle strutture informatiche delle università italiane ed altre istituzioni accademiche collegate, di una guida informativa realizzata per evidenziare i possibili rischi che i sistemi informativi accademici possono incorrere con l'utilizzo di applicazioni o siti di web potenzialmente pericolosi da parte di studenti, dipendenti o utilizzatori estemporanei delle tecnologie rese disponibili all'interno degli atenei. Ad esempio, tramite l’accesso a reti p2p, si possono esporre le reti informatiche ad infezioni da parte di virus, spyware, malware e soprattutto si possono violare dati riservati e materiale protetto da copyright.

hakin9: Metasploit 3.0 Autopwn

Il nostro Daniele Costa ha realizzato un nuovo articolo per la rivista hakin9, questo mese potete trovare "Metasploit 3.0 Autopwn"; tema di questo articolo è una dettagliata analisi del framework Metasploit, una piattaforma di sviluppo, completamente gratuita, per la creazione di tool dedicati al mondo della security ed in particolare alla creazione ed esecuzione di exploit.

infected or not?

Un semplice controllo via browser (realizzato da Panda), permette di sapere velocemente se il nostro PC è stato infettato dai più diffusi malware.

Vulnerabilità XSS in Blogger

Durante alcuni esperimenti condotti negli ultimi giorni ho scoperto che la piattaforma Blogger soffre di una vulnerabilità XSS.

In pratica chiunque abbia la possibilità di postare su un blog tramite l'interfaccia di Blogger può iniettare codice javascript come ad esempio il semplice :

[script]alert(document.cookie)[/script] (sostituite le '[' con '<;') Ho notato in particolare che se il blog è ospitato su blogspot.com il codice viene eseguito ma i cookie non vengono mostrati...mentre se si inietta il codice su un blog ospitato all'interno di un sito web come, per esempio, quello di Siculezza.it i cookie vengono visualizzati correttamente...probabilmente ciò dipende da una diversa configurazione del web server. Per una POC della vulnerabilità visitate questo sito: http://pocasiculezza.blogspot.com

Oppure guardate attentatmente il prossimo paragrafo

Anche Banco di Sicilia entra nel phishing nazionale

Si arricchisce di un nuovo l’ ormai corposa lista degli obiettivi del phishing nazionale, grazie ad un e-mail rilevata quest’oggi ai danni dell’istituto di credito Banco di Sicilia. Nonostante la novità i phisher hanno voluto utilizzare come messaggio di posta elettrica la medesima comunicazione già impiegata per CartaSi, Maestro e successivamente anche per Banca Intesa e Banca di Roma.
La comparsa quest’oggi come obiettivo di Banco di Sicilia e nella giornata di ieri del gruppo bancario Banco Popolare rappresenta una pericola tendenza dei phisher i quali a quanto pare non si limitano come in passato a concentrare la loro azione verso determinati istituti di credito, ma cercano nuovi obiettivi, i quali potrebbero rivelarsi particolarmente fruttuosi, dato che le nuove potenziali vittime potrebbero essere impreparate o totalmente ignare al pericolo phishing.

Fonte: anti-phishing.it

26 ARRESTS IN ITALY FOR ASSOCIATION TO COMMIT OFFENCES OF PHISHING

The Provincial Command of the Military Financial Police (Guardia di Finanza) of Milan executed 26 Arrests Warrants for the people belonging to two criminal associations. These two criminal associations were connected through and made up of Italian and Foreign citizens, who were responsible of a series of deceptions of hundreds of users taking advantage of Home Banking Services, through techniques better known as phishing.
The operation, called “PHISH & CHIP“, allowed the Judicial Authorities to identify 18 Italian citizens and 8 foreign citizens from Eastern Europe, regularly living in our Country, who took advantage of the Home Banking Services’ personal access codes of the clients of “Poste Italiane” (holders of on-line bank accounts or PostePay Cards). The access codes were illegally wormed out through the answers given to the e-mails apparently sent by their Credit Institutions.
(Fonte: CastleCops)

Libro: Computer Forensics

Computer Forensics: scritto a quattro mani da Andrea Ghirardini (esperto di indagini forensi nel "mondo elettronico") e da Gabriele Faggioli (legale specializzato negli aspetti giuridici degli illeciti digitali), questo libro descrive l’applicazione di un metodo investigativo scientifico al mondo digitale per ricavare elementi, informazioni, prove da portare in sede processuale.

hakin9: Web Penetration Test

Il nostro Daniele Costa guadagna la copertina e lo spazio dedicato al primo e più importante articolo sulla rivista hakin9 di questo mese.
L'articolo di 8 pagine, dal titolo "Web Penetration Test - Guida allo sfruttamento di un remote code exploit", tratta uno dei maggiori pericoli per i server presenti in rete, lo sfruttamento improprio di vulnerabilità legate alle applicazioni web basate su tecnologie di scripting come il PHP, il PERL oppure ancora l'ASP.

Complimenti!

Google Online Security Blog

Anche Google si dota di un blog sulla sicurezza informatica; il Google Online Security Blog inizia con un post dal titolo "Introducing Google's online security efforts" a cura di Panayiotis Mavrommatis e Niels Provos dell'Anti-Malware Team.

Libro: Cross Site Scripting Attacks

Cross Site Scripting Attacks starts by defining the terms and laying out the ground work. It assumes that the reader is familiar with basic web programming (HTML) and JavaScript. First it discusses the concepts, methodology, and technology that makes XSS a valid concern. It then moves into the various types of XSS attacks, how they are implemented, used, and abused. After XSS is thoroughly explored, the next part provides examples of XSS malware and demonstrates real cases where XSS is a dangerous risk that exposes internet users to remote access, sensitive data theft, and monetary losses. Finally, the book closes by examining the ways developers can avoid XSS vulnerabilities in their web applications, and how users can avoid becoming a victim. The audience is web developers, security practitioners, and managers.

The Ghost in the Browser: Analysis of Web-based Malware

From HotBots '07, First Workshop on Hot Topics in Understanding Botnets:
The Ghost in the Browser: Analysis of Web-based Malware
Niels Provos, Dean McNamee, Panayiotis Mavrommatis, Ke Wang, and Nagendra Modadugu
Google, Inc.

Network Monitor 3.1 Beta Has Released

The NM3.1 Beta is available on http://connect.Microsoft.com and simmering with new features for you to test. What's New in Network Monitor 3.1:

• Wireless (802.11) capturing and monitor mode on Vista - With supported hardware, (Native WIFI), you can now trace wireless management packets. You can scan all channels or a subset of the ones your wireless NIC supports. You can also focus in on one specific channel.
• RAS tracing support on Vista - Now you can trace your RAS connections so you can see the traffic inside your VPN tunnel. Previously this was only available with XP.
• Right click add to filter - Now there's an easier way to discover how to create filters. Right click in the frame details data element or a column field in the frame summary and select add to filter.
• Microsoft Update enabled - Now you will be prompted when new updates exist. NM3.1 will occasionally check for a new version and notify you when one is available.
• New public parsers - These include ip1394, ipcp, ipv6cp, madcap, pppoE, soap, ssdp, winsrpl, as well as improvements in the previously shipped parsers.
• ...
  

virus dal dischetto alla penna USB

Il primo computer virus che ho visto (ed eliminato..) è stato Stoned nel 1989; si diffondeva attraverso il boot sector dei floppy disk (allora da 5 pollici ed un quarto!), se ti beccavi il virus appariva la frase "your PC is now stoned" ed il computer si bloccava...
Adesso Sophos ci avverte dei rischi connessi ad una nuova famiglia di worm che si diffonde attraverso le memory stick USB... uno schema di spreading che si ripete...

Security link di aprile

• FireGPG - use GPG easily in Firefox !

• StopBadware.org

• » How to REALLY erase a hard drive | Storage Bits | ZDNet.com

Libro: Sicurezza informatica - di Salvatore Aranzulla

Security link di febbraio

• Daily Cup of Tech » Protect Your Privacy With A LiveCD

• The 20 Minute Guide to PC Security

• Turning Firefox to an Ethical Hacking Platform

infosecurity: la sicurezza in fiera

Dal 6 all’8 febbraio 2007 a Milano, in Fieramilanocity (MIC – Via Gattamelata 2 ), si svolgerà la settima edizione di Infosecurity e Storage Expo Italia, l'evento dedicato alla protezione e gestione dei dati aziendali; ricco il calendario di convegni, sviluppati grazie a un connubio fra relatori istituzionali e case history aziendali.

libro: Profilo hacker, di Raoul Chiesa

Forte della sua ormai ventennale esperienza, Raoul Chiesa, coadiuvato dal criminologo Silvio Ciappi, ha scelto il 2007 per il suo debutto editoriale con Profilo hacker, un volume di 288 pagine, denso di informazioni, di storie, di sfide. Una porta sull'underground hacker, per scoprirlo, "leggerlo", decifrarlo, provare a capirlo, anche con gli occhi di chi quotidianamente si confronta con una certa tipologia di hacker, quella criminale.

pericolo server, non toccare

Oggi ho passato tutto il giorno in un noto ospedale della città. Presentandomi in accettazione l'occhio "clinico" si è fermato sulla schermata della loro intranet nuova fiammante, per la registrazione dei casi di pronto soccorso; più tardi scattavo questa foto ad un pannello elettrico in bella vista...
Che salute ha la vostra sicurezza informatica oggi?

freeware per la sicurezza informatica

Ecco una lista di software freeware per la sicurezza dei vostri sistemi; ovviamente non esaustiva, se avete altri suggerimenti non esitate a scrivermi, il post sarà frequentemente aggiornato...

Antivirus

• AVG Free
  
• Avast Home Free
  
• AntiVir PersonalEdition
  
• BitDefender Free
  
• ClamWin
  

Internet Security Suite

• CyberDifender
  

Anti-spyware

• Ad-aware
  
• Spybot: Search & Destroy
  
• Windows Defender
  
• SpywareBlaster
  
• Spyware Terminator
  

Rootkit detection utility

• Rootkit Reveaker
• Sophos Anti-Rootkit
  
• RootKit Hook Analyzer
  
• Icesword
  
• McAfee Rootkit Detective Beta
  

System protection

• Winpooch
  
• HiJack Free
  

Hijackers detector

• HiJackThis
  

Firewall

• Comodo Personal Firewall
  
• Kerio Personal Firewall
  
• Sygate Personal Firewall
  
• ZoneAlarm

storie di questi giorni

per la serie "si salvi chi può"...

• Multiple vulnerabilità in Microsoft Outlook
• Privilege Escalation in Mac OS X
• Esecuzione di codice arbitrario in Adobe Reader
• Multiple vulnerabilità in Microsoft Excel
• Esecuzione di codice arbitrario in Kerberos kadmin “xprt->xp_auth
• Esecuzione di codice arbitrario in Kerberos kadmin “mechglue”
• Multiple vulnerabilità in Cisco Secure ACS
• Vulnerabilità critica in Microsoft Windows

Sicurezza Microsoft Gratis

Una lista con oltre 150 tools Microsoft gratuiti è stata portata velocemente alla ribalta da oltre 3.000 segnalazioni su Digg e da altrettante su del.icio.us; tra le diverse sezioni analizziamo i software suggeriti per la sicurezza dei nostri sistemi:

• Baseline Security Analyzer: permette di eseguire scansioni di sicurezza sia su sistemi locali che remoti su Windows 2000, XP, Server 2003, IIS 5.0 & 6.0, SQL Server 7.0 & 2000, MSIE 5.01 e successivi, e su Office 2000, 2002 & 2003. MBSA individua le patch non installate e propone gli aggiornamenti.
• Malicious Software Removal Tool: verifica se il sistema è stato infettato dai più diffusi malicious software (ad esempio Blaster, Sasser e Mydoom) ed aiuta a rimuoverli se individuati; il software è aggiornato mensilmente.
  
• Promqry and PromqryUI: verifica se uno sniffer è in esecuzione sul computer.
• Windows Defender: protegge dalle popups, e dai problemi di sicurezza causati dagli spyware.
• Windows Live Safety Center: Web service che offre uno scanning tools online per la rimozione di malicious software.
  

google blacklist: la lista dei cattivi

Per impedire la navigazione in siti di phishing o in pagine contenenti malware, Google ha sviluppato (tempo addietro) l'estensione per Firefox "Google Safe Browsing", adesso la tecnologia è stata integrata nella "Google Toolbar for Firefox".
Il meccanismo principale con cui sono identificate le visite a siti web dannosi, in tempo reale, è il costante confronto con una blacklist (ad altissima velocità di aggiornamento) contenente gli indirizzi da evitare.

L'indirizzo web della blacklist si recupera rinominando il file dell'estensione della Google Toolbar google-toolbar-win.xpi, in google-toolbar-win.zip; come saprete, infatti, le estensioni di Firefox non sono altro che (semplificando) una serie di file javascript e XML, compressi in un file zip...
Dentro il file amulet-jslib\globalstore.js è presente il dominio http://sb.google.com/safebrowsing/ (con diverse funzioni: lookup?, update?, report?, results? e getkey?), nel file amulet-jslib\phishing-warden.js sono presenti i vari elenchi da prelevare da questo dominio: goog-black-url (la blacklist che cercavamo), goog-black-enchash (una versione della blacklist codificata), goog-white-domain e goog-white-url (domini ed indirizzi autorizzati).

Molti dei siti indicati nella blacklist, non sono più attivi, perchè identificati e bloccati dalle autorità, ma tantissimi sono quelli ancora vivi e dannosi; è evidente, analizzando la lista, che i siti più emulati, per ottenere i dati sensibili degli ignari utenti, sono quelli dei servizi bancari (Banca Intesa o Mediolanum, per citare casi italiani) e quelli di commercio elettronico (ebay, paypal, amazon, ecc..)

Gli sforzi per fare in modo che l'indirizzo da visitare contenga il nome del dominio da emulare sono tra i più fantasiosi, come ad esempio http://www.paypal.logins-submits.cgi-bins.XXXX.com, dove naturalmente il reale nome di dominio è XXXX.com e non Paypal...; in questo momento è sotto feroce attacco www.volksbank.de (con 342 indirizzi falsi, dai quali i phisher tentano di ottenere le username e le password dei clienti della banca)..

Un elenco utile quindi, per monitorare i trend di attacco, le entità più colpite e per analizzare le tecniche sempre più raffinate di questi furbacchioni...

Pericolo in rete : Occhio ai PDF!!!!

E' di queste ore la notizia che uno dei più noti e più utilizzati software in circolazione, Adobe Acrobat Reader, è vulnerabile ad un'attacco UXSS (Universal Cross Site Scripting).
In parole povere chiunque sia a conoscenza di questa vulnerabilità può sfruttarla a suo vantaggio per una moltitudine di sistuazioni che vanno dal furto dei cookies ad attacchi di Phishing vero e proprio.
Un paio di esempi per meglio comprendere il problema.
Test 1 - Test 2
Chiaramente nessun navigatore 'esperto' farebbe click su un link che contiene al suo interno una chiamata ad una funzione JavaScript vero?
Test 3
Questa vulnerabilità è stata scoperta da 2 Italiani, Stefano Di Paola e Giorgio Fedon ed illustrata durante la 23C3 security conference; eccovi il link al loro white paper dall'inquietante titolo 'Subverting Ajax'.
Chiudiamo dicendovi che al momento Adobe Acrobat Reader è vulnerabile fino alla versione 7.0 (inclusa)....peccato che la versione 8.0 al momento sia disponibile soltanto in inglese...

I migliori hacker del 2006

Interessante articolo su eweek dal titolo "Five Hackers Who Left a Mark on 2006" (i 5 hacker che hanno lasciato un segno nel 2006), naturalmente il termine hacker è utilizzato nella sua accezione originale: ricercatore informatico che individua problemi/inventa soluzioni per il bene della comunità... ; eccoli:

• H.D. Moore: autore di Metasploit, utile strumento per attuare "penetration testing", ha mantenuto la promessa di individuare un nuovo problema di sicurezza al giorno per tutto il mese di luglio del 2006; durante l'anno ha rilasciato un Malware Search Engine che, sfruttando Google, permette di individuare i siti che ospitano virus, troiani o codice maligno.
  
• Jon "Johnny Cache" Ellch e David Maynor: dovevano presentare un paper scottante sulle falle presenti nei driver delle reti wireless nei Mac al Black Hat Briefings 2006 di Las Vegas, ma sono stati pregati dalle loro rispettive compagnie (Secureworks ed Apple) a desistere dal loro intento; il loro lavoro è stato inserito comunque sul progetto Month of Kernel Bugs; altri vendor, compresi Broadcom, D-Link e Toshiba, hanno successivamente rilasciato dei fix per la stessa classe di bug individuata dalla coppia.
  
• Mark Russinovich: nel 1996 ha fondato Winternals (acquisita da Microsoft nel luglio del 2006), è noto per avere individuato il rootkit della Sony/BMG; ha rilasciato nel corso del 2006 un nuovo gioiello software: Process Monitor, strumento che permette di individuare i malware attivi sui personal computer.
  
• Joanna Rutkowska: ricercatrice polacca, ha presentato al Black Hat Briefings 2006 di Las Vegas una metodologia per inserire codice maligno nel prossimo Windows Vista senza essere individuati; in una recente intervista ha manifestato l'evidente inefficacia degli attuali sistemi antivirus.

Wireshark Network Protocol Analyzer

Qualche mese fa Ethereal, il più famoso prodotto per l'analisi dei protocolli di rete open source, ha cambiato nome diventando Wireshark.
Il cambiamento si è reso necessario grazie all'iniziativa di CACE Technologies che ha assunto il creatore del tool Gerald Combs, contemporaneamente sono stati assunti i programmatori della libreria per la cattura di pacchetti WinPcap (indispensabile per il funzionamento di Wireshark), Loris Degioanni e Gianluca Varenni, provenienti dal Politecnico di Torino.
Il prodotto, giunto alla versione 0.99.4, dispone di una ricca documentazione, consultabile in diversi formati elettronici a cui si aggiunge, da qualche giorno, un volume da 500 pagine edito da Syngress Publishing dal titolo: "Wireshark & Ethereal Network Protocol Analyzer Toolkit".

Infezioni informatiche in Italia nel 2006

Marco Giuliani, del sito Pc al sicuro, ha preparato un interessante report sull'effetto che le infezioni informatiche hanno avuto nel territorio italiano nel 2006; il titolo riassume il contenuto: "Italia, il miele che attira i malware".

Sicuramente siculi

Vi presento tre giovani (soltanto perché più piccoli di me per età..) ragazzi siciliani, che occupandosi di sicurezza informatica hanno fatto parlare di loro nel resto d'Italia e nel mondo, leggete le loro biografie, studiate i loro siti, apprezzate il loro successo..

• Gianni Amato da Avola (SR), classe 1976: scrive per Internet Magazine, GO! ONLINE, e Win Magazine, è autore del blog Exploit - Tips & Tricks di sicurezza informatica
  
• Salvatore Aranzulla da Mirabella Imbaccari (CT), classe 1990: ha scritto per Punto Informatico, ZEUS, News, WebMasterPoint, Programmazione.it, Zone-h, Hacker Journal e Hackers oltre che per il suo seguitissimo blog; ha trovato bug di sicurezza su servizi di Google e di Microsoft..
  
• Giorgio Maone da Palermo, classe 1972: ha fondato Informaction, è autore di due tra le più diffuse ed apprezzate estensioni per Mozilla Firefox nel mondo: Flashgot e NoScript