Category Archives: Sicurezza

News, tutorial, post, whitepapers, inchieste sulla sicurezza informatica end user e lato server.Per aiutarti a vivere la rete in sicurezza.

Vulnerabilità su WHMCS, la patch è già pronta

Posted on by
Reply

whmcs logo 300x58 Vulnerabilità su WHMCS, la patch è già prontaWHMCS è un popolare software basato su PHP utilizzato da numerosi provider per la fornitura di servizi di hosting e per la gestione dei ticket di supporto. Lo scorso 15 Ottobre il team di WHMCS ha rilasciato una patch di sicurezza dopo la scoperta di una vulnerabilità che affligge la versione 4.X del prodotto. Nel dettaglio la falla coinvolgerebbe il processo di gestione dei template. Secondo il team degli sviluppatori di WHMCS il bug consentirebbe ad un attaccante di sfruttare la debolezza per iniettare comandi malevoli con risultati imprevedibili. La scoperta della vulnerabilità non ha sollevato più di tanta preoccupazione grazie anche alla tempestiva comunicazione dello staff di WHMCS verso tutti i clienti,con il rilascio immediato di una patch tra l’altro molto semplice da applicare [http://forum.whmcs.com/showthread.php?t=42121]. Particolarmente didattico si rivela invece essere lo studio delle rilevazioni acquisite con gli IDS pochi giorni dopo l’annuncio della vulnerabilità quando sull’onda dell’entusiasmo i blackhat hanno campo libero nello sfruttamento della falla per attaccare i sistemi vulnerabili e non patchati. Ecco cosa hanno iniziato a “vedere” i sensori dislocati dal nostro staff :

BEGIN LOG
GET /billing/cart.php?a=test&templatefile=../../../../../../../../etc/passwd%00 - Offending IP: 65.111.XX.XX
GET /whmcs/cart.php?a=test&templatefile=../../../../../../../../etc/passwd%00 - Offending IP: 65.111.XX.XX
GET /whmcs/billing/cart.php?a=test&templatefile=../../../../../../../../etc/passwd%00 - Offending IP: 65.XX.XX
END LOG

In questo esempio l’ip attaccante tenta di sfruttare il bug su WHMCS con un attacco di tipo directory traversal. Nello specifico l’obiettivo è quello di leggere il file /etc/password, bersaglio ambito per qualsiasi blackhat che si rispetti. Dal momento che non è stato specificato in alcun modo come la falla su WHMCS può essere sfruttata, gli attaccanti fanno uso di scanner automatizzati per l’individuazione di punti d’ingresso vulnerabili. Nelle situazioni come quella descritta è fondamentale seguire con costanza comunicati e aggiornamenti da parte del produttore del software oltre a munirsi celermente delle ultime patch disponibili. Come sempre la tempestività e la capacità di stare al passo con il flusso delle informazioni è di vitale importanza per la protezione dei sistemi.

Post simili:

Password e abitudini,quando la sicurezza non fa rima con la comodità

Posted on by
Reply

La stragrande maggioranza delle intrusioni informatiche avviene ancora (purtroppo) a causa di politiche di gestione delle password a dir poco deboli o inesistenti.
Negli ultimi mesi abbiamo assistito a mastodontici attacchi di tipo “data leakage” che innescano spesso un effetto domino per la sicurezza dell’utente.

Login Password e abitudini,quando la sicurezza non fa rima con la comodità

Il data leakage, tradotto è l’equivalente di “perdita di dati”. Quasi giornalmente in rete si susseguono rilasci di dati sensibili composti da username e password estratti da siti web vulnerabili che sono oggetto delle attenzioni morbose di hacker e black hat.

Per approfondire :L’iniezione SQL,l’attacco che spaventa la rete“.

Questo tipo di eventi sono collegati strettamente con la sicurezza di ogni internauta non fosse altro perchè comodamente ogni utente è portato ad utilizzare una singola password con cui accede a numerosi servizi web ed ai social network preferiti… Continue reading

Post simili:

La presunta inviolabilità dei sistemi come stimolo all’innalzamento delle difese

Posted on by
Reply

A cura di Domenico – Team manager – Servermanaged.it

lucchetto La presunta inviolabilità dei sistemi come stimolo allinnalzamento delle difeseHo tratto lo spunto per questo post del sabato sera dopo essere stato attirato da una frase ad effetto, nascosta tra i paragrafi di un articolo su un noto quotidiano online.

“Il sito web è ospitato su un server che garantisce la massima inviolabilità ed è praticamente impenetrabile,la sicurezza è garantita al 100%”.

Voglio essere sincero e fare chiarezza. Nessun server è inviolabile. Chi vende la sicurezza matematica al 100% è anche un pò venditore di aria fritta, come si suol dire. Se scorriamo le cronache informatiche dei mesi passati e dei giorni che verranno possiamo e potremo notare facilmente come le violazioni e le fughe di dati su server e siti web di organizzazioni grandi,medie e piccole si susseguono quotidianamente. La sicurezza al 100% non è di questo pianeta per il semplice fatto che la parte criminale dell’underground informatico dispone sempre di una marcia in più rispetto a chi difende i sistemi. Chi difende i sistemi disponde invece di numerosi strumenti, spesso molto efficienti, ma per negligenza li utilizza poco o niente.

Facciamo un esempio spostandoci nel modo reale. Prendiamo come esempio Giovanni Rossi, vive in un’accogliente villino in periferia ed ogni sera ha l’abitudine di lasciare la sua auto posteggiata davanti casa. Giovanni lavora in una banca ed è un’amante della tecnologia. Ha acquistato l’ultimo smartphone in vendita sul mercato e non vede l’ora di utilizzarlo anche per lavoro. Giovanni è sempre molto attento, riesce a non farsi sfuggire mai nessun dettaglio. Per ironia della sorte però ieri sera rincasando il nostro Giovanni commette una disattenzione. Posteggia la sua auto ma non inserisce l’antifurto,nè chiude a chiave le portiere. E dimentica il suo nuovissimo smartphone sul cruscotto. Molto stanco per la massacrante giornata di lavoro Giovanni si addormenta molto presto. Il risveglio sarà amaro. Nella notte infatti un ladro ha avuto buon gioco con il furto dell’auto del Sig.Rossi.

Cos’è accaduto? E’ successo che dopo aver ignorato alcune procedure di sicurezza molto elementari come chiudere a chiave le portiere dell’auto il primo criminale di passaggio ha impiegato pochi minuti a provocare un danno enorme. E’ esattamente ciò che accade sui sistemi server più trascurati. Molti lettori obbietterano che un ladro esperto può rubare un’auto anche senza avere le chiavi esatte o anche senza sporcarsi le mani più di tanto. Ciò che possiamo fare non è garantire la sicurezza al 100% (quasi impossibile) ma piuttosto innalzare gradualmente il grado di protezione in modo da rendere sempre più difficile l’intrusione sui sistemi. Il segreto è appunto applicare una protezione a strati in modo da scoraggiare il tentativo di attacco o quantomeno rallentarlo. Per garantire una protezione efficace dobbiamo sfatare questo falso mito della sicurezza totale. Nell’informatica moderna due cose non potranno mai raggiungere il 100% : gli uptime e l’inviolabilità. Chi garantisce un uptime al 100% sui suoi datacenter fa un grosso errore di valutazione (Amazon AWS ad esempio ha subito dei clamorosi downtime nei mesi scorsi) e chi garantisce la sicurezza al 100% non è credibile. Tra gli ingredienti della vita c’è l’umiltà. Chi riesce ad ammettere di essere anche minimamente vulnerabile potrà anche prepararsi al meglio nel momento della difesa. Molti professionisti di fama mondiale amano ripetere questo mantra : “Non credere di poter essere invulnerabile. Non pensare che la tua organizzazione non potrà mai essere violata ma piuttosto aspettati sempre di poter essere attaccato da un momento all’altro.”

Giovanni Rossi ha subito il furto del suo veicolo ed inoltre ha consegnato nelle mani di un criminale un telefonino ricco di contatti e di informazioni personali. Durante un attacco informatico gli attaccanti compiono un’escalation grazie alla mole di dati sottratti durante le fasi di ricognizione. Se questi soggetti hanno buon gioco nella compromissione di un server (ad esempio l’auto nel modo reale) colmo di dati riservati, oltre al danno circoscritto alla macchina attaccata seguirà tutta una serie di danni collaterali : email trafugate, password rubate, username e password di tutti gli utenti pubblicate online.

La vostra sfera personale che necessita di più protezione deve essere attrezzata come un campo minato che renderà il lavoro duro per gli attaccanti ed alla lunga li scoraggerà :

  • modifica spesso le password dei tuoi account di posta e dei tuoi servizi online
  • modifica periodicamente le password dei tuoi spazi ftp
  • utilizza un pin per bloccare lo schermo del tuo smartphone
  • utilizza la crittografia per proteggere i tuoi dati personali su portatili e pc fissi
  • dota tablet e smarphone di un buon antivirus e non scaricare mai applicazioni provenienti da fonti non fidate
  • non cliccare mai su link contenuti in messaggi email sospetti e non scaricare mai allegati non fidati

Organizza una difesa a strati piuttosto che affidarti ad un singolo meccanismo di protezione. Esempio : non utilizzare solo un firewall ma accoppialo ad un HIDS. Non utilizzare un solo pin di accesso ma piuttosto limita anche l’accesso alle applicazioni più sensibili proteggendole con un “locker”

Una recente indagine a cura di una nota società di sicurezza ha rilevato che la maggior parte delle intrusioni informatiche non avviene solo ed esclusivamente grazie agli exploit 0day ma anche e soprattutto facendo leva su attacchi automatizzati e su furti massivi di username e password ingenuamente utilizzati dagli utenti per l’iscrizione a numerosi servizi online che verranno violati a catena nel momento in cui la password verrà trafugata. Ecco perchè una buona gestione delle password di accesso e l’abitudine a diversificarle può aiutare a vivere serenamente la tecnologia. Una minaccia avanzata e persistente richiede un grado di allerta adeguato in un’epoca dove la vita reale si interlaccia sempre di più con quella reale. Proteggerle entrambi è il modo migliore per godersi la tecnologia nel modo più sicuro possibile. Buon lavoro.

Post simili: