Il taccuino di Armando Leotta Rotating Header Image

Microsoft

Defacciato l’Apple Store di Amburgo?

Defacement preventivo 1.0

 

 

 

Chissà perchè hanno invertito i colori blu e verde 😉

IBM 2010 X-Force Mid-Year Trend and Risk Report: un trend pericoloso con illustri bocciati

Da qualche giorno il team X-Force di IBM ha reso disponibile il Mid-Year Trend and Risk Report.

Tale report viene pubblicato due volte l’anno (a metà ed a fine anno) e fornisce dei dati statistici circa tutti gli aspetti di minacce riconducibili alla sicurezza informatica incluso vulnerabilità, exploiting, malware, phishing, attacchi web-based ed in generale al cybercrime e alle sue dinamiche. Il report appena pubblicato si riferisce al primo semestre 2010.

Un primo aspetto particolarmente allarmante riguarda un sensibile aumento nella divulgazione delle vulnerabilità. Nel periodo di osservazione X-Force ha identificato 4.396 nuove vulnerabilità (cioè +36% rispetto ad analogo periodo 2009). Per oltre la metà delle vulnerabilità totali (55%) divulgate al termine del periodo non erano ancora state rilasciate le relative patch (+3% rispetto ad analogo periodo 2009).

Se da una parte le vulnerabilità della applicazioni web-based si confermano come maggiore minaccia e criticità dall’altra si registra l’aumento della complessità e della frequenza degli attacchi nascosti in PDF (grazie anche all’ausilio di botnet come Zeus e Pushdo) e Javascript (obfuscation).

Il phishing sembra essere diminuito ma gli istituti finanziari continuano ad essere i bersagli preferiti.

Nota positiva: viene segnalato un maggiore e proficuo impegno da parte delle organizzazioni nell’identificazione e

Vulnerability Disclosure first half of 2000-2010 (fonte X-Force 2010 Mid-Year trend and risk report) -Clicca per ingrandire-

pubblicazione delle vulnerabilità di sicurezza con ricadute positive per l’abbattimento del tempo in cui una postazione rimane potenzialmente attaccabile (se, dall’altra parte venissero rilasciate tempestivamente le relative patch).

Estremamente importante e chiara la tabella “Best & Worse  patchers” ovvero la classifica dei dieci vendor con maggior numero di vulnerabilità (1°colonna) e vulnerabilità critiche (2° colonna) non sanate:

Best and worse patchers, H2010

Best and worse patchers, H2010 (fonte X-Force 2010 Mid-Year Trend and risk report) - Clicca per ingrandire -

Per le tendenze per l’immediato futuro il team X-Force segnala non a sorpresa i rischi connessi alla virtualizzazione ed al cloud computing.

Per gli addetti ai lavori e per chi volesse leggere il report, è disponibile qui previa registrazione gratuita. Inoltre, se volete approfondire le modalità di funzionamento della botnet Zeus non perdetevi la sezione apposita nel paper.

OpenGL, Mesa, GLU/GLUT e C/C++: ricordi grafici in viewport. Hands on camera

Devo restituire il mio PC storico: vuoi non dargli un’occhiata e fare qualche backup?

Ovvio che sì. Cosa ho trovato oltre al giurassico?

Ancora coding, ancora C ma su librerie grafiche.

Ecco il sommario, i controlli utente e l’interfaccia su linux e su windows (ovvio, cross-platform).

Sommario

Controlli utente

 

 

 

 

 

Per chi volesse ho ancora tutti i sorgenti 🙂

P.S.: Si è capito che mi piace Escher?

Attendendo il BlackHat USA 2010 e il DEFCON 18

BlackHat USA 2010

Anche quest’anno si attendono con estremo interesse i contenuti della BlackHat Conference del 28 e 29 luglio al Caesars Palace e del DEF CON 18 entrambi a Las Vegas.

Le agende sono molto fitte (qui i briefing & topics del BlackHat e qui l’agenda del DEF CON 18).

I molti i nomi conosciuti e gli argomenti trattati mi fanno invidiare chi riuscirà ad andarci di persona.

Ad ogni modo, tanto interesse e preoccupazione desta la nuova vulnerabilità del WPA2, il cosiddetto hole 196, presentato anche al DEFCON del 31 luglio, vulnerabilità annunciata ben più grave della precedente al TKIP.

Non mancheranno argomenti ed autori di primissimo rilievo come Moxie MarlinspikeChanging Threats To Privacy:

DEF CON 18

From TIA To Google” (vi ricorderete il caso della chiave privata di PayPal), Mikko Hypponen “You will be billed $90,000 for this call“, Jeremiah Grossman “Breaking Browsers: Hacking Auto-Complete“, Tavis Ormandy & Julien Tinnes “There’s a party at Ring0 (and you’re invited)” (vedi questo e questo), Dan Kaminsky “Black Ops Of Fundamental Defense: Web Edition” (ricorderete questo e questo).

Non mancano gli italiani come Iozzo (ricorderete questo), Claudio Criscione, Marco Bonetti e altri.

Tanti gli argomenti interessati, troppi per elencarli tutti.

I miei alert? Su Wi-fi (WPA2), privacy, vulnerabilità su browser, botnet, mobile botnet e tor.

Prepariamoci ad una valanga di 0-day e di patch.

Stay tuned.

Ricercatore di Google scopre nuova falla in windows XP e windows server 2003 (helpctr.exe) e Microsoft?

E’ stata scoperta una nuova falla sui sistemi operativi XP e windows server 2003. Il problema è legato a vulnerabilità a cross site script (XSS) nella gestione degli URI (Uniform Resource Identifier) hcp:// (Windows Help e Support Center cioè Guida in linea e supporto tecnico, helpctr.exe).

A scoprirla ed a comunicare a Microsoft la scoperta il 5 giugno è stato ancora Tavis Ormandy, Security Engineer presso Google. Se vi ricordate è lo stesso che lo scorso gennaio pubblico la full discloser circa la vulnerabilità di una funzione legacy per le routine a 16-bit che colpiva il kernel NT della microsoft dal 1993 in poi.

La stessa Microsoft, che ha confermato la ricezione del report di Ormandy lo stesso giorno dell’invio dello stesso, ha confermato (il 10 giugno) la presenza della falla nella Security Advisor 2219745 (che non cita la fonte della scoperta, ndr).

Lo stesso giorno, Ormandy pubblica il full discloser con un proof-of-concept, un exploit funzionante e dei workaround temporanei.

Microsoft si è premurata a pubblicare questo MSRC post e questo SRD post.

Anche Microsoft Italia, per voce del suo responsabile dei programmi di sicurezza e privacy Feliciano Intini, riporta la notizia che chiosa faziosamente in “Poi lascio a voi commentare come si possa giudicare l’operato di Google al riguardo…“.

Credo occorra contestualizzare lo scenario. In primo luogo, Google (probabilmente per implicita promozione dell’imminente uscita di Chrome OS) ha dichiarato di rimuovere windows dai propri computer per problemi di sicurezza. Secondariamente, credo che quattro giorni di tempo (sebbene stiamo parlando di Microsoft e non di Pizza & Fichi Inc.) possano essere risicati per produrre una hotfix pubblica.

Detto questo, sono convinto che se Ormandy non avesse pubblicato un exploit funzionante la sua segnalazione sarebbe finita archiviata. Inoltre, proprio Microsoft ci ha abituati a ben altri tempi:

“Per mantenere il supporto legacy per le applicazioni 16-bit, dal 1993 tutti i sistemi Microsoft si portano dietro questa vulnerabilità.

La cosa interessante è che la stessa Microsoft, a detta dello scopritore della vulnerabilità, fu informata il 12 giugno 2009 la quale confermò la ricezione 10 giorni dopo.

Nessuna patch o workaround ufficiale. Un silenzio che ha portato l’autore alla pubblicazione della vulnerabilità.”

(estratto da Microsoft e sicurezza: ossimoro? su Il Taccuino e sul blog del Clusit).

Il clima tra i giganti non sembra essere dei migliori e forse 4 giorni sono pochi ma mesi se non anni di silenzio a cui ci hanno abituato sono troppi, secondo i miei parametri.

E’ importante sottolineare che il problema è di chi immette le falle, non di chi le segnala e le ha sempre segnalate responsabilmente al fine di raggiungere prima possibile ad una risoluzione.

Detto questo, forse, invece di soddisfatti ed improbabili proclami di parte, occorrerebbe una sana autocritica e prendere atto che servono prodotti con meno bug e rapidamente sanati.

Puntare il dito contro chi identifica i propri errori non sempre è costruttivo.