Archive for November, 2007

Python and Gtk: PyGTK

Friday, November 30th, 2007

PyGTK lets you to easily create programs with a graphical userinterface using the Python programming language.
The underlaying GTK+ library provides all kind of visual elements and utilities for it and, if needed, you can develop full featured applications for the GNOME Desktop.

PyGTK applications are truly multiplatform and they’re able to run, unmodified, on Linux, Windows, MacOS X and other platforms.

Other distinctive features of PyGTK are, besides its ease of use and rapid prototyping, its first class accesibility support or the capability to deal with complex multilingual or bidirectional text for fully localized applications.

PyGTK is free software, so you can use, modify, distribute and study it with very few restrictions (LGPL license).

Week’s Links

Wednesday, November 28th, 2007

The best security links of this week from Planet Security.

How to became a successful computer security professional

Saturday, November 24th, 2007

If your dream is to became a successful computer security professional and you spend your time posting fucking question in mailing lists like “How i can became an hacker?”, “What is a SQL Injection?” and “Where can i buy Matrix like wear?” instead using google, this post is for you.
This is a how to that we can call “How to became a successful
computer security professional in 30 days
” or “Computer security for dummies”, Fabio Pietrosanti will help you with this message on full-disclosure:

Buy an offshore university degree in computer science.
Use the CISSP, CISA, CISM, etc, etc certificate title in your email
signature and start writing in mailing lists.
Go at security conferences to meet people and spread your name and if
you want to be really considered cool organize one yourself.
Write some article on some local magazine by translating (stealing)
articles from securityfocus and other international websites.
Setup a blog stating that you are a master in what you do.

Ok, now you can be considered a computer security professional even if
you know nothing about computer security.

With an investment in marketing and personal promotion for a budget of,
mmmmm about 10.000 USD, you should be able
to became a well valuated computer security professional selling your
activity for a high consultancy daily rate.

Then, don’t worry! You can work successfully even if you don’t know
anything about security!
Just hire a small consultancy company that provide you serious
professionals at a lower rate than the amount of your invoices and
that’s all.
And now, you can write on your Linkedin profile that you are a security evangelist, even if you have 20 or less years old.

Le vulnerabilita` XSS sono sottovalutate

Monday, November 19th, 2007

Vi racconto una storiella accaduta circa un paio di settimane fa.

Come spesso accade qualcuno incolla un link in una delle chat che frequento, io ci clicco sopra e mi trovo un sito di uno dei maggiori partiti politici italiani, con un form che richiede l’inserimento di dati personali per la registrazione a una sottoscrizione.
Non menzionero` ne il partito politico ne a cosa serviva quella sottoscrizione, ho visto che proprio ieri lo hanno fatto altri, quindi lascio a loro gloria e fama sulle riviste patinate.ieri

La cosa attira la mia attenzione, do` una rapida occhiata ai sorgenti html della pagina, [snip], e noto che il modulo di registrazione non valida assolutamente nulla.

Non soltanto gli sviluppatori di tale sito si fidano ciecamente dell’input immesso da un utente, ma si fidano anche ciecamente della sua lealta`. Esatto, perche` non soltanto la form di immissione dei dati non valida la loro natura, ma non valida nemmeno il voto, e` infatti possibile effettuare innumerevoli volte la sottoscrizione, di fatto invalidando la consistenza di tale sottiscrizione, che prevede una registrazione per ogni persona fisica.

Quindi e` possibile far le peggior cose con tale sito, in particolare:

  1. Falsare i risultati della sottoscrizione
  2. Inserire dell’input malformato, cioe` non previsto dagli sviluppatori, al fine di mettere l’applicazione web in uno stato non previsto o di riuscire ad iniettare del codice

Notate come il punto 2 puo` portare a tutta una serie di problematiche di sicurezza, chiamate ad esempio html injection, sql injection, XSS.

E infatti secondo voi, un sito sviluppato da programmatori che fanno il solito, tipico, classico errore di fidarsi dell’utente, sara` sicuro?

Guarda caso noto proprio tutta una serie di vulnerabilita` XSS, molto gravi per la sicurezza del sito e dei suoi utenti.

Di solito quando trovo questo tipo di vulnerabilita`, nell’ottica di una responsible disclosure, prima avverto i gestori concedendo un tempo ragionevole per tappare la falla, e poi rendo pubblica la vulnerabilita`.

Cosi faccio spedendo una mail ai gestori del sito.

Un bel po’ di giorni dopo, evidentemente queste persone il week end non lavorano nemmeno per le problematiche di sicurezza, ricevo una risposta di questo tipo:
"La ringraziamo per la segnalazione, abbiamo verificato quello che lei dice e ci e` stato confermato il fatto dai nostri sistemisti, che dicono che il sistema e` sicuro e che anche in presenza di XSS non sarebbe pericoloso. Grazie bla bla yadda yadda"
Eh?! Ma scherziamo?
Riassumendo in poche righe buttate giu a getto, quale e` l’impatto di una vulnerabilita` di tipo XSS:

  • La privacy: Può trasmettere dati privati dell’utente, tracciare le sue abitudine, trafugare la history
  • Autenticazione: furto di credenziali, furto del password manager
  • Integrità: Può alterare il sito visitato, redirigere l’utente ad un altro sito, visualizzare siti di terze parti o parti di esso, praticamente un paradiso per il phishing
  • Disponibilità: causare DoS
  • Attaco all’utente: Exploitation del browser e sue estensioni
  • Attacco alla lan dell’utente

Ora io non direi che anche in presenza di vulnerabilita` XSS un sito puo` essere considerato in sicurezza, perche` minaccia sia le sicurezze degli utenti che lo visitano, sia la sicurezza e la reputazione del sito.

Che dire… Io ho segnalato il fatto, i sistemisti hanno affermato che non e` una minaccia per la sicurezza.
Bene, sapanno fare il loro mestiere, o almeno glielo auguro, perche` proprio ieri leggevo di una persona che ha fatto 100000 (si, cento mila) sottoscrizioni in due minuti, e spero, per loro, che nessuno si pensi di utilizzare una di quelle vulnerabilita` per visualizzare il sito del partito politico opposto in vece del sito vero.

La mancanza di cultura, e` un problema del mondo moderno, la non coscienza della propria ignoranza, anche.
In certi mestieri questo puo` essere letale.

Week’s Links

Sunday, November 18th, 2007

The best security links of this week from Planet Security.