[Google] I filtri di Gmail

Oggi volevo spedire da lavoro dei documenti preventivamente zippati al mio indirizzo gmail per potermeli consultare a casa.

Ma Gmail si rifiutava di inoltrare la mia posta. Il motivo è che Gmail spacchetta gli archivi e analizza i files al suo interno: se li giudica pericolosi, rigetta la richiesta di inoltro della posta. La sua policy è spiegata qui.

I documenti in questione erano un pdf e un libro in formato CHM (il noto formato proprietario della Microsoft).
Ora non so quanto possa esser pericoloso un file CHM e quale insidie possa nascondere, ma sta di fatto che è sufficiente alterare l'estensione dei files considerati "pericolosi" per far si che google torni ad inoltrare la posta, confermando che Google si basa su un mero riconoscimento dei file in base all'estensione piuttosto che sulla lettura del loro codice testuale /binario.

[Sicurezza] Exploit per Wordpress 2.5.1

Se non erro la 2.5.1 dovrebbe essere l'ultima release del celebre CMS. Ma questo exploit dovrebbe in teoria funzionare per tutte le versioni, basandosi sui permessi delle directory dei plugin installati.

Ebbene qualche giorno fa alcuni cracker (o lamer, come preferite) siriani hanno sfruttato una falla di sicurezza dovuta ai permessi delle directory dei plugin di Wordpress (Akismet ed Hello dolly, i più famosi) su Linux Feed, blog del mio collega di lavoro e di banco Andrea. Segue quanto riferisce Andrea:

Il problema stava nel fatto che gli utilizzatori di wordpress spesso lasciano le directory dei plugins e dei template con i permessi settati a 777, in modo da poter modificare tali files direttamente dalla piattaforma [ndA il pannello di controllo per la gestione dei temi]. Questo, tuttavia, permette ai cracker di scrivere su tali files.

Nel nostro particolare caso, i cracker, sono andati a colpo sicuro, cercando i due plugins di default installati con wp, ovvero akismet e hello dolly. Entrambi i files sono stati modificati, inserendo il loro codice.

Essendo akismet incluso ovunque ecco il defacciamento completo del sito.

Quindi il problema NON risiede in Wordpress, ma nei permessi dei files relativi ai plugin.

Fonte: Inside the World

[Link] Raccolta di cheet sheet

Qui di seguito una raccolta di "bigini" online :)

• Google: uno | due;
• Firefox | Thunderbird;
• Wordpress;
• CSS: uno | due | tre | quattro; HTML entità;
• Bash; VI; Ubuntu;
• LaTeX;
• DOS; Win32;
• Wikipedia;
• XSS; SQL Injection;
• SEO;
• Building cheat sheets in Eclipse;

Raccoglitori di cheet sheet e altro materiale

Ecco una lista di ottimi siti web che raccolgono liste di memorandum in formato PDF in merito a svariati argomenti:

• Pete Freitag;
• ILoveJackDaniels;
• LoadAvergageZero;
• TechCheatSheet;
• BookmarkBliss;
• Cheat-Sheet;
• WhatIs?;
• Smashing Magazine;
• Virtual Hosting;

"Where is bug": hacking and learning game

Segnalo un'iniziativa lanciata da NeCoSi:

NeCoSi di Geekplace.org, collaboratore di Oilproject.org e Shannon.it, ha sviluppato un giochino per mettere alla prova le vostre capacità “non convenzionali”.
Le prove da superare sono abbastanza varie, ed il tempo vola. Attenti a non trascorrere notti insonni…
Vi segnaliamo quindi molto volentieri Where is Bug e, già che ci siamo, vi proponiamo anche la presentazione/spot scritta dagli stessi autori del gioco:
“Una gara contro voi stessi… una sfida contro il tempo… Chi arrivera’ primo? Chi riuscira’ a sopravvivere fino alla fine? Prepara lo snffer, il tuo editor preferito e carica i plugin che pensi possano servirti sul browser.
Ci saranno livelli di semplice reverse engineering, di steganografia, di sql-injection, di semplice spoofing, ed altro ancora.
Wib, il gioco che ti insegna a pensare come un hacker. Non fare il lamer, sfoga qui la tua voglia di bucare!
Una piattaforma per testare le proprie abilità. Non ci sono enigmi, solo bug da individuare e sfruttare.”
Grazie per l'attenzione.

Buon gioco ;)

[video] La sicurezza informatica

Alcuni blog stanno diventando tendenzialmente vlog e ci sfornano succulenti video che in 5-10 minuti ci regalano qualche perla di saggezza. Cliccate sul nome per vedere il video relativo.

• Il ragazzo dal maglione salmonato: la formula? Windows aggiornato, AVG, Zone Alarm e cancellazione immediata di e-mail di phishing;
• Marta: tenere aggiornati sti benedetti programmi, backup antisfiga, un po' di definizioni e raccomandazioni (antivirus, firewall), comportamento consapevole verso fenomeno spam/fishing;
• Giacomo:

  "L'antivirus che installi non cambia molto, è la tua testa che cambia il modo in cui si comporta il tuo computer".

  direi che è la frase che ben riassume e risponde al personaggio citato per primo in questa lista, si dai, il censuratore, ricordate?
• Matteo Flora: video di risposta alla trota salmonata, forse per segnalare l'aspetto più ampio e complesso che riveste la "sicurezza" e che va oltre i programmi installati sul proprio computer.

Traete voi le vostre conclusioni sul termine "sicurezza".

[Sicurezza]A proposito di ctfmon.exe

A riguardo avevo scritto un articolo,in cui rimuovevo i files pericolosi tramite Ubuntu una volta che montavo le pennine USB al sistema.

Per chi volesse fare i conti con questo worm che si insedia alla radice di tutte le partizioni all'interno di una finta cartella del cestino ("Recycled") potrebbe far comodo quanto suggerisce Trend Micro.

Potete scaricarvi il tool e il file dei pattern. Metteteli tutti e due nella stessa directory e poi eseguite la scansione.

E' consigliabile inoltre:

• disattivare il ripristino del sistema;
• disattivare la funzione di AutoPlay al montaggio di dispositivi;

Altri dettagli tecnici riguardo al worm su McAfee.

CTFMON.EXE: possibile trojan

In certe locazioni quali la sottocartella di Windows (C:\Windows\System32) ,CTFMON è un processo innocuo che "attiva il processore per l'input di testo (TIP, Text Input Processor) di Input alternativo utente e la barra della lingua di Microsoft Office.
Controlla le finestre attive e fornisce il supporto per il servizio di input del testo per il riconoscimento vocale, il riconoscimento della grafia, la tastiera, la traduzione e altre tecnologie di input alternativo dell'utente.
La rimozione di Ctfmon.exe può causare problemi di funzionamento dei programmi di Office XP, pertanto si sconsiglia di rimuoverlo".
Tuttavia se troviamo un suo omonimo da qualche parte,dobbiamo preoccuparci. Mi è capitato di frequente di vedere questo simpatico virus/trojan(?) nelle chiavette USB nella cartella Recycled. Ovviamente questa cartella è inaccessibile da Windows e oltre a contenere il virus contiene un file di configurazione per l'avvio automatico così strutturato:

[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)

Niente di buono. Avast era solito localizzare tale file all'inserimento della penna USB peccato non riuscisse mai a rimuoverlo. Se ciò dovesse accadere,non dovete far altro che montare tale pennina su una quasiasi distribuzione Linux,accedere a tale cartella settando i permessi di scrittura (nelcaso non ci fossero) e cancellare tutto senza pietà. Per una guida su come montare una penna USB vedere qui.

Tor e Cassandra Crossing

Oggi mi son letto i Cassandra Crossing di Marco Calamari degli ultimi mesi di quest'anno,più qualche articoletto del 2006. Devo dire che Calamari scrive molto bene e ho scoperto cose interessanti e che non sapevo sulla rete Tor: tanto per cominciare la sua suscettibilità ad alcuni attacchi,fra i quali Man in the Middle dell'exit node,da qui la necessità di non inviare dati sensibili nemmeno via HTTPS: crittografare tutto al massimo! Poi l'esistenza di Torbutton anche per Thunderbird,i risvolti legali dovuti alla creazione di un server Tor e via dicendo.
Ho riassunto e copiato fedelmente alcuni stralci dei suoi articoli in questa pagina sul mio sito.
Riporto qui per completezza alcuni link iteressanti,relativi a Tor e alla sicurezza:

• Tor home page;
  
• TorFAQ;
  
• "Torrificazione" di altri protocolli rispetto all'HTTP;
  
• Torbutton per Firefox e per Thunderbird;
  
• PrivacyBar per Firefox;
  
• Torcheck: ci dice se stiamo usando la rete Tor;
  
• OperaTOR;
  
• JAP: applicazione java per la navigazione anonima;
  
• Gianni Bianchini e gli hidden services; [PDF]
  
• XeroBank browser; (ex TorPark)
  
• Cassandra Crossing: articoli di Marco Calamari su Punto informatico.
  
• Lista del progetto Winston Smith;

Muffin e il filtraggio del Web

Muffin è un programma in java per il filtraggio delle pagine Web. Se ho ben inteso vedendo gli screenshot direi che è un browser a tutti gli effetti,in cui possiamo scrivere dei nostri filtri personalizzati.
A differenza di AdBlock per firefox (che rimuove banner e amenicoli vari) ,quest'applicazioni è in grado di rimuovere immagini,cookies,javascript o effetti sgradevoli come il blinking e il marquee per le pagine HTML. La demo è visibile qui.

[PHP-MySQL]Curare l'output di eventuali errori

E' importante non dare mai troppe informazioni all'attaccante circa il nostro database o la sua struttura. La semplice funzioncina che segue semplicemente dà un output informativo utile allo sviluppatore quando il server su cui gira è quello il locale,altrimenti ritorna un messaggio di circostanza.

function showErrors($query,$error) {
 $server = $_SERVER['HTTP_HOST'];
 $msg = "Failed Query: {$query}
SQL Error: {$error}";
 if($server == "localhost")
   echo $msg;
 else "Dati momentaneamente irreperibili. Se l'errore persiste contattare l'admin.";
}

// esempio d'uso
$sql = "show tablesf";
$result = mysql_query($sql) or die(showErrors($sql,mysql_error()));

Approfondimenti su SQL Injection

Sul mio sito di appunti,potete trovare un riassuntino abbastanza esaustivo su quest'argomento,comprensivo di svariate fonti,tra le quali spicca come al solito Wikipedia. Infatti l'enciclopedia libera mi ha fornito una gran serie di link. Per chi non avesse voglia di vedere il mio riassuntino,puà vedere le fonti che lo hanno interessato qui sotto:

• Programming:PHP/SQL Injection;
  
• Espressioni regolari in PHP;
  
• Serie di link,pdf e presentazioni su Wikipedia;
  
• MySQL injection: guide to security;
  
• Classe anti-sqlinjection e classe PEAR Validate;

File .inc

Capita di vedere da alcune parti (o in alcune guide) l'inclusione di file .inc all'interno di porzioni di codice PHP tramite include o require. Questa pratica non è sicura se tali files sono contenuti all'interno della directory pubblica del Web Server,in quanto sono perfettamente visionabili da qualsiasi utente tramite il proprio browser,una volta che riescono ad indovinarne il nome.
Se invece includiamo file .php,questi dovranno comunque esser parsati prima di venir visionati, quindi il problema non si pone.

Blogger infettato

Riporto la notizia direttamente da Punto Informatico:

Sarebbero oltre 400 i siti della piattaforma Blogger, di proprietà di Google, infettati dal famigerato worm denominato Storm. A mesi di distanza dalla prima individuazione, questo "cavallo di troia" continua a cambiare identità mentre i suoi creatori non perdono occasione per escogitare nuove forme di diffusione.

La notizia continua dicendo che:

non è ben chiaro come il malware sia stato in grado di scavalcare le protezioni di BigG, ma l'ipotesi più probabile resta quella dei post inseriti via email dai proprietari dei blog a cui potrebbe essere allegato un messaggio contenente il codice indesiderato.

non ho mai sfruttato fino ad oggi la possibilità di usare il proprio MUA per postare,rimane il fatto,da quel che ho capito,che bisogna prima infettarsi con il worm,per infettare anche il proprio blog. Un worm con i fiocchi!