tanasi.it » Security

Malware trovato sull’Android Market

jekil — Mon, 11 Jan 2010 14:47:48 +0000

L’Android Market, come quasi tutti saprete, è l’applicazione per smarphone android che permette di accedere e scaricare applicazioni, a pagamento e non, dallo shop gestito in modo restrittivo e controllato da Google.

Leggo ora di questa notizia “Banking malware found on Android Marketplace” che in sintesi ci racconta come:

An application for smartphones running the Google Android operating system has been reported to steal users’ banking information.

Bisogna dire che per qualsiasi gestore di un market simile non è affatto facile ideare e addottare dei processi di verifica del software per prevenire casi come questo.

Quindi, come in tutte le cose, non fidatevi dei repository supposti trusted e occhio a quello che installate!

Random Posts

Lol: IT security, Italia e magistratura

jekil — Mon, 29 Jun 2009 18:37:26 +0000

Uno parla tanto… e poi i livelli di IT security in Italia sono questi: http://www.corriere.it/cronache/09_giugno_27/pippo_entrava_nei_computer_dei_pm_luigi_ferrarella_9b5e6b00-62e9-11de-ac0d-00144f02aabc.shtml

“Niente password, protezioni nulle. Per oltre un mese, alla Procura di Milano una copia dei dati contenuti nei computer della Direzione distrettuale antimafia è rimasta su una delle «cartelle» aperte e condivise della rete informatica. Chiunque poteva accedere anche con un banale nome di fantasia (tra quelli usati, Pippo) e soprattutto senza la possibilità di essere rintracciato.”

SecDocs – Documenti vari di IT security

jekil — Sun, 22 Mar 2009 20:57:25 +0000

(Photo credits: chrismetcalf)

Come i più astuti tra di voi avranno notato, nella barra in alto è comparso un nuovo link: secdocs.lonerunners.net.

SecDocs è nato dalla mia personale esigenza di dover catalogare e centralizzare tutti i documenti inerenti la sicurezza informatica che vedo, che siano papers di ricerca, slides di convegni, o video di talk.

Archiviando il tutto in categorie, utilizzando i tags, e aggregando e correlando i documenti in base alle caratteristiche comuni.

Dopo un week end di sviluppo e molto tempo per rendere la grafica non dico decente ma almeno accettabile, perchè si sa, le mie capacità grafiche sono inferiori a quelle di un bambino di 6 anni, è nato SecDocs, che ora è abbastanza maturo per essere reso pubblico in una versione beta.

Quindi se siete interessati a consultare un elenco sempre aggiornato di documenti di IT security andate su SecDocs oppure abbonatevi al suo feed RSS.

Se trovate qualche bug o volete proporre qualche nuova feature scrivetemi.

Le migliori tecniche di Web Hacking del 2008

jekil — Sun, 15 Mar 2009 17:17:44 +0000

(Photo credits: Juan23)

Come ogni anno Jeremiah Grossman pubblica la sua personale classifica delle migliori tecniche di hacking web scoperte dai ricercatori nell’anno appena trascorso.

E fa molto piacere scoprire che nella classifica delle migliori dieci ricerche ci sono ben due italiani:

A Different Opera (Stefano Di Paola)
Abusing HTML 5 Structured Client-side Storage (Alberto Trivero)

Inoltre vi consiglio di dare un occhio alla lista di tutti i partecipanti che rappresenta un ottimo punto di partenza e di studio per quello che e` stata la web security nel 2008:

Qualcuno spia il nostro cellulare?

jekil — Wed, 26 Nov 2008 23:01:16 +0000

(photo credits: gruntzooki)

Nel post “Come spiare un cellulare per intercettare chiamate e SMS” si è parlato di come mettere sotto controllo un telefono cellulare con mezzi tanto semplici quanto efficaci, ma che di certo non sono quelli utilizzati da professionisti o dalle Forze dell’Ordine.

Visto che la tecnologia di sorveglianza presentata si basa sull’installare un software sul dispositivo (cellulare) da spiare basta un po’ di logica e scaltrezza per accorgersi della sua presenza.

Come abbiamo visto il cellulare spiato riceve i comandi via un canale di controllo che utilizza gli SMS e il software spia si occupa di nascondere tali messaggi alla vista dell’utente.

Quindi semplicemente togliendo la scheda SIM da un cellulare e mettendola in un altro che si considera “pulito” si può verificare la presenza di un canale di controllo verificando che in un intervallo temporale ragionevolmente lungo (qualche giorno) arrivino dei messaggi strani e incomprensibili, in tal caso questi rappresentano dei comandi rivolti al software spia del cellulare da cui è stata tolta la scheda SIM.

Un altro modo per verificare la presenza di un canale di controllo o un canale utilizzato per la trasmissione dei dati intercettati è verificare accuratamente il proprio traffico telefonico.

Tutti gli operatori di telefonia mettono a disposizione nei loro siti un pannello di controllo dove è possibile avere un rapporto dettagliato del traffico voce e dati corrispondente al proprio numero telefonico.

Se verificando tali tabulati si notano addebiti per SMS o MMS che non si ricorda di aver inviato o la presenza di SMS, MMS o telefonate che non si ricorda di aver ricevuto, questa potrebbe essere l’evidenza di un canale di controllo.

Alla fine c’è ben poca tecnologia e molta astuzia in queste tecniche di “controspionaggio”, come sempre la mente è la miglior arma.

Content separation: lab.lonerunners.net

jekil — Sun, 16 Nov 2008 18:23:09 +0000

(photo credits: Cyb3rbl@ck)

Per rendere più ordinato e più facilmente leggibile questo blog ho deciso di separare tutti i contenuti riguardanti la sicurezza informatica e la ricerca in un’altra sezione, precisamente un dominio chiamato lab.lonerunners.net.

Le notizie più importanti saranno comunque commentate qui in italiano.

Tutti post in inglese e quello che io chiamo pillole di sicurezza informatica o security drugs da oggi avranno quindi una nuova casa, che potete visitare su lab.lonerunners.net oppure seguire via RSS feed.

Hot link: cosa sono e perche` evitarli

jekil — Sat, 06 Sep 2008 12:29:15 +0000

Inline linking o hot-link è uno stratagemma usato nella creazione di siti web nei quali le pagine fanno riferimento ad oggetti che non appartengono al dominio in cui questi vengono visualizzati o usati.
Ad esempio quando viene inserita in una pagina web un’immagine vista su un sito di terze parti si possono adottare due tecniche: si puo` copiarla sul proprio sito e visualizzarla, oppure visulizzarla direttamente indicando come fonte il sito di terze parti.

Utilizzando il secondo metodo, molto più veloce e sbrigativo, si realizza un’hot-link, rimanderete sempre all’immagine che risiede sul server dove è ospitato il sito dove l’avete trovata.

In particolare, gli hot-link sono usati con immagini di grosse dimensioni provenienti da altri siti web. Tale procedura comporta un forte sfruttamento in termini di banda e risorse del server in cui sono realmente memorizzate e un utilizzo praticamente nullo del server che contiene il sito web visualizzato.

Tale procedura non è molto corretta e neppure gradita da molti siti, infatti l’utilizzo di hot-link viene spesso proibito, perche` ruba della banda, oltre che dello spazio e delle risorse da un server che non appartiene a chi realizza l’hot-link, e questo non è bello né certamente educato.

Vediamo ora con un esempio pratico perche` realizze un hot-link e` una gran brutta idea.

Un po’ di giorni fa vedo nei file di log di questo web server che e` stato realizzato un hot-link ad un’immagine che avevo postato tempo fa senza nemmeno citarmi come fonte. Oggi e` venerdi`, mi sento buono, e non riporto chi ha realizzato l’hot-link.

Non che a me interessi se mi ruba un po’ di banda o qualche ciclo di CPU, per mia fortuna questo server e` abbastanza sovradimensionato, ma vorrei spiegare cosa comporta quel hot-link e cosa poteva accedere, al di la` di qualche megabyte di banda.

Se fossi stato di fretta
Se volevo risolvere velocemente la questione, rinomivavo o spostavo l’immagine. Il mio sito non avrebbe avuto problemi ma chi avrebbe visualizzato la pagina contentente l’hot-link non avrebbe visualizzato l’immagine, avrebbe ottenuto un errore di immagine mancante, e avrebbe dato la colpa ad un webmaster incompetente.
Se fossi stato professionale
Se volevo risolvere la questione in modo professionale avrei aggiunto qualche riga per mod_rewrite come queste:
```
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?miosito.it [NC]
RewriteRule \.(jpg|jpeg|png|gif|bmp)$ - [NC,F,L]
```
Cosi che tutti i visitatori che richiedessero l’immagine provenendo dal sito con l’hot-link non la visualizzassero. I visitatori avrebbero dato la colpa nuovamente al webmaster.
Se fossi stato vena di scherzi
Avrei sostituito l’immagine con un altra. L’immagine oggetto del’hot-link e sul mio sito, quindi sotto il mio totale controllo. E posso farci quello che voglio, se fossi stato in vena di scherzi l’avrei sostituita con un immagine pornografico o di insulti verso i navigatori. Immagino che i visitatori del sito in cui viene visualizzata tale immagine non sarebbero molto felici, e se la prenderebbero con il webmaster di tale sito. E questo ne e` un esempio. (V.M. 27).
Se fossi stato cattivo
Avrei fatto in modo di sostituire l’immagine con un mio script javascript. Questo sarebbe stato eseguito dal browser del visitatore del sito che mi hot-linka.
A quello script potrei far fare molte cose, ad esempio far apparire come defacciato il sito al visitatore.
Se fossi veramente cattivo
Avrei fatto in modo di sostituire l’immagine con un mio script javascript. Questo sarebbe stato eseguito dal browser del visitatore del sito che mi hot-linka.
Tale javascript avrebbe mostrato l’immagine originaria, come nulle fosse, con la differenza che ad esempio richiamava attack-api, rubava le credenziali e dati di ogni visitatore del sito, e me le inviava. Ogni visitatore di quel sito sarebbe stato attaccato, la privacy della maggior parte di loro sarebbe stata violata e dei dati importanti sarebbere stati trafugati. Con un po’ di fortuna avrei rubato anche le credenziali dell’amministratore del sito che mi ha fatto l’hot-link.

Ora, siamo d’accordo che l’hot-link e` cosa brutta?

Random Posts

ASP.NET and input validation against XSS

jekil — Thu, 04 Sep 2008 23:01:52 +0000

The today’s topic is XSS under ASP.NET and how validation filters and request filters works and are applied under ASP.NET.

The Microsoft .NET framework comes with a request validation feature, configurable by the ValidateRequest setting. ValidateRequest has been a feature of ASP.NET since version 1.1. This feature consists of a series of filters, designed to prevent classic web input validation attacks such as HTML injection and XSS (Cross-site Scripting).

Procheckup describe how bypass ValidateRequest in a whitepaper.

On the other side, some ASP.NET controls offers by default automatic html encoding, a great resource when you are reviewing your code for possible Cross-Site Scripting (XSS) or double encoding problems is this table that list all ASP.NET control and which property offers html, script or url encoding.

What’s new in the Flash 10 security

jekil — Wed, 03 Sep 2008 23:41:58 +0000

The new version of Adobe Flash (actually 10 beta) has a variety of features and enhancements aimed to increase the security.

You can read a detailed article of Trevor McCaulery here: http://www.adobe.com/devnet/flashplayer/articles/fplayer10_security_changes.html

It seems that the Adobe security is based on:

require user interaction: to avoid automatic explotation and warn user about flash actions
new features that ovverride olds with a more secure implemtation

splmap 0.6 released

jekil — Sun, 31 Aug 2008 23:36:19 +0000

My friend inquis today released one of the best SQL injection tools available to the public: sqlmap.
For the ones of you that do not know this tool yet, sqlmap is an automatic SQL injection tool developed in Python. Its goal is to detect and take advantage of SQL injection vulnerabilities on web applications. Once it detects one or more SQL injections on the target host, the user can choose among a variety of options to perform an extensive back-end database management system fingerprint, retrieve DBMS session user and database, enumerate users, password hashes, privileges, databases, dump entire or user’s specific DBMS tables/columns, run his own SQL SELECT statement, read specific files on the file system and much more.

After almost a year of extensive programming I am done with complete code refactoring, many bugs fixes and many new features.
Some of the new features include:

Added multithreading support to set the maximum number of concurrent HTTP requests.
Implemented SQL shell (–sql-shell) functionality and fixed SQL query (–sql-query, before called -e) to be able to run whatever SELECT statement and get its output in both inband and blind SQL injection attack.
Added an option (–privileges) to retrieve DBMS users privileges, it also notifies if the user is a DBMS administrator.
Added support (-c) to read options from configuration file, an example of valid INI file is sqlmap.conf and support (–save) to save command line options on a configuration file.
Implemented support for HTTPS requests over HTTP(S) proxy.
Enhanced logging system: added three more levels of verbosity to show also HTTP sent and received traffic.

Complete list of changes at http://sqlmap.sourceforge.net/doc/ChangeLog.