40th anniversary of the Net
where is my mind.
Il 10% dei mali d’internet proviene dall’Italia
Symantec oggi ha rispettato l'appuntamento rilasciando l'ultimo "Internet Security Threat Report", un estensivo documento di 104 pagine relative alle maggiori minacce che affliggo la rete.
L'italia, a quanto sembra, inizia a prendere (in negativo) spazio nella classifica delle nazioni con attività "maligne" (tab 1). Attualmente posizionata in 10 posizione, il bel paese è alla pari con le seguenti nazioni:
Dei 7 parametri di giudizio, primeggiamo nella categoria "Bot Rank", la quale denota lo scarso interesse che il popolo nostrano ha per la sicurezza e prevenzione. Ma non solo, nelle categorie Attack Rank siamo secondi solo a Taiwan. Le conclusioni sono presto tratte.. siamo un popolo d'ignoranti, ma, nel nostro piccolo, con elementi molto validi.
L'articolo è decisamente una miniera d'oro e contiene moltissime informazioni che fanno riflettere. Il fattore che mi ha decisamente colpito è stato il nascere di molti dei così detti "Underground Economy Servers" in Svezia (15%). Ma cosa sono questi server dal nome così originale? La risposta è presto data. Gli Underground Economy Servers sono pc utilizzati dalle organizzazioni criminali attraverso i quali vengono vengono vendute informazioni rubate i quali di solito provengono da attacchi mirati. I materiali che si possono "acquistare" sono i seguenti.
Tornando alle statistiche che c'interessano, Symantec conta in Italia l 8,4% degli zombie dediti allo spamming. Quindi, affermare che il (quasi) 10% dello spam generato a livello mondiale parte dalle nostre macchine non è più un eresia.
Fin tanto che avremo delle connessioni pessime non correremo il rischio di perdita di dati. Resteremo emarginati (fortunatamente) dal mercato delle identità e dei dati sensibili.. ma cosa sarà quando questa situazione cambierà? Allo stato attuale, con i pochi esperti di sicurezza nel nostro territorio, sarebbe una catastrofe.
BlackHat Europe : 27-30 Amsterdam
Fa sempre male non poter partecipare ad un Black Hat. Specialmente quando la location è Amsterdam. Peccato, sarebbe stato un bel regalo di compleanno.
La location confermata è il Moevenpick Hotel e le classi in cui si divideranno i partecipanti sono numerose e decisamente interessanti. Tra dieci dei corsi possibili avrei sicuramente scelto tra una di queste due
MetaSploit Internals 3.0
This course will provide attendees with an in-depth understanding of
the 3.0 version of the Metasploit Framework. The Metasploit Framework is
Enterprise Security From Day 1 to Completion:
an advanced, open-source exploitation framework that is designed to aide
A Practical Approach to Developing an Information in the research, development, and testing of exploits.
Web Application (In)Security
In this course we cover all areas of web application security from Cross-
Site Scripting, SQL Injection, LDAP Injection, Java Applet disassembly,
Command Injection, Shared Hosting security bypasses, IDS Evasion and
This course will cover the best practice procedures for deploying
vulnerabilities in off-the-shelf products.
Sarà per la prossima volta. Promesso! 
Incident Response – IrItaly.org
Mai avuto il sospetto che la vostra macchina sia stata vittima di un attacco informatico?
Se anche voi, come un utente di Microsoft.public.it.sicurezza, avete questo dubbio.. è giunto il momento di far entrare in azione il livecd di iritaly.
La presentazione del progetto, ormai avviato da tempo, la prelevo direttamente dal loro sito. Il consiglio, come sempre, è di giocarci un pochettino.. potrebbe esservi utile un giorno.
"IRItaly (Incident Response Italy) è un progetto nato presso il Dipartimento di Tecnologie dell'Informazione dell'Università Statale di Milano, Polo Didattico e di Ricerca di Crema. Lo scopo principale è informare e sensibilizzare la comunità scientifica italiana, le aziende piccole e grandi, gli attori privati e pubblici sui temi dell'Incident Response.
Il progetto si sviluppa in due parti fondamentali: la prima, documentale, che fornisce istruzioni dettagliate e ad ampio spettro.La seconda, elettronica, consta di un cdrom bootable. I temi affrontati riguardano le problematiche relative ad attacchi informatici, in particolare i sistemi di difesa, Computer and Network Forensics sulla gestione degli incidenti e le modalità per il recupero dei dati."
Seclists.org shut down by Myspace and GoDaddy
Stamane Fyodor si è svegliato e dopo vari casini.. è riuscito a mandare un messaggio alla mailing list nmap-hackers. Riporto solo alcune parti della mail che di sicuro fa riflettere.
"I woke up yesterday morning to find a voice message from my domain registrar (GoDaddy) saying they were suspending the domain SecLists.org. One minute later I received an email saying that SecLists.org has "been suspended for violation of the GoDaddy.com Abuse Policy". And also "if the domain name(s) listed above are private, your Domains By Proxy(R) account has also been suspended."
WTF??! Neither the email nor voicemail gave a phone number to reach them at, nor did they feel it was worth the effort to explain what the supposed violation was. They changed my domain nameserver to "NS1.SUSPENDED-FOR.SPAM-AND-ABUSE.COM". Cute, eh?
<
Apparently Myspace is still reeling from all the news reports more than a week ago about a list of 56,000 myspace usernames+passwords making the rounds. It was all over the news, and reminded people of a completely different list of 34,000 MySpace passwords which was floating around last year. MySpace users fall for a LOT of phishing scams. They are basically the new AOL. Anyway, everyone has this latest password list now, and it was even posted (several times) to the thousands of members of the fulldisclosure mailing list more than a week ago. So it was archived by all the sites which archive full-disclosure, including SecLists.Org. Instead of simply writing me (or abuse@seclists.org) asking to have the password list removed, MySpace decided to contact (only) GoDaddy and try to have the whole site of 250,000 pages removed because they don't like one of them."
A quanto sembra che GoDaddy, sotto pressione da parte di MySpace.com siano abbiano offuscato SecLists.org perchè uno dei post contenuniti in lista presentava un link da dove scaricare il file contenente tutto lo "scam" di MySpace.
Invece di sistemare il loro applicativo.. sfruttando la loro influenza, hanno deciso d'iniziare a chiudere tutti i siti che riportavano la notizia. Personalmente non gradisco questo genere di comportamenti. E quindi ecco la provocazione..
Ecco la lista che ha fatto chiudere (temporaneamente) SecLists.Org
Just Released
E' finalmente disponibile per l'acquisto l'ultimo libro della collana Stealing the Network.
Stealing the Network : How to Own a Shadow
By Johnny Long, Timothy Mullen, Ryan Russell
The best-selling Stealing the Network series reaches its climactic conclusion as law enforcement and organized crime form a high-tech web in an attempt to bring down the shadowy hacker-villain known as Knuth in the most technically sophisticated Stealing book yet. . As with previous title, How to Own a Shadow is a fictional story that demonstrates accurate, highly detailed scenarios of computer intrusions and counter-strikes. In How to Own a Shadow, Knuth, the master-mind, shadowy figure from previous books, is tracked across the world and the Web by cyber adversaries with skill to match his own. Readers will be amazed at how Knuth, Law Enforcement, and Organized crime twist and torque everything from game stations, printers and fax machines to service provider class switches and routers steal, deceive, and obfuscate. From physical security to open source information gathering, Stealing the Network: How to Own a Shadow will entertain and educate the reader on every page. The book;' companion Web site will also provide special, behind-the-scenes details and hacks for the reader to join in the chase for Knuth.
link : O'reilly Shop
Notebook Acer con vulnerabilità di sicurezza preinstallata
Da HWUpgrade.
"Nei giorni scorsi vari blog dedicati alla sicurezza informatica hanno riportato una notizia preoccupante per i possessori di alcuni notebook Acer. Secondo Chew Keong alcuni modelli di notebook Aspire e Travelmate sono stati commercializzati con "in bundle" una pericolosa vulnerabilità che si annida nel componente ActiveX LunchApp.APlunch. Il software malevolo di fatto si comporterebbe come una sorta di backdoor e sarebbe contenuto in una suite di componenti software che Acer fornisce coi propri notebook. Al momento le informazioni disponibili in rete segnalano la presenza del problema nei modelli Acer TravelMate 4150 e Acer Aspire 5600. Per risolvere il problema è sufficiente interrompere l'esecuzione del controllo seguendo ad esempio le istruzioni fornite direttamente da Microsoft a questo indirizzo. Il problema interessa solo gli utenti di Internet Explorer 6 quindi, aggiornando il browser Microsoft o utilizzando software alternativi è possibile ovviare ai potenziali pericoli. Per valutare se il proprio sistema è a rischio o meno è stato realizzato un apposito proof-of-concept che apre da remoto l'innocua calcolatrice. Ulteriori informazioni sono disponibili a questo indirizzo. Nella giornata di ieri abbiamo contattato Acer per chiedere un diretto riscontro in merito alla vicenda; ci è stato risposto che entro poche ore sarebbe stato distribuito un comunicato ufficiale. Non appena tali informazioni saranno disponibili aggiorneremo questa notizia."
link : Notebook Acer con vulnerabilità di sicurezza preinstallata
Orinoco Gold WarDriving Kit
Purtroppo Stealing the Network : How to Own a Shadow ancora non è uscito. Così, dopo aver ricevuto l'ennesima brutta notizia, ho iniziato a girellare tra i libri proposti da Amazon.
Sorpresa, non mi offrivano libri ma un particolare Kit che ben presto sarà mio. Quella che segue è la descrizione disponibile sul sito. La cosa che mi ha convinto è stata la qualità dei componenti : Orinoco .. e sopratutto della serie Gold.
"You have heard about Wardriving: the peaceful sport and you want to go hunting for Wi-Fi hot spots and access points (APs) in your area. We have assembled everything you need to get started Wardriving with a complete and easy-to-use package of NEW hardware and software. Our packages include all NEW equipment from reputable manufacturers, nothing is used or refurbished. You will receive a powerful 802.11b wireless PCMCIA card & protective case, a 7.0 dBi magnetic mobile antenna with an integrated 5 foot cable, a magnetic desk stand, and a CD containing Wardriving software and instructions on how to go Wardriving. This package includes a NEW PCMCIA 802.11b Wi-Fi card manufactured by Orinoco (formerly Lucent.) The card has an internal 2 dBI antenna and an MC-connector to accept the magnetic mobile antenna. We have upgraded the firmware and programming in these Gold cards with the latest available (ver. 8.72) optimally tuning them for use at home or wardriving. These Gold Classic cards have both 64-bit and 128-bit WEP encryption and using Windows-98 SE, Windows-2000 or Windows XP, no special driver software is required. Our cards are NEW and include a custom-fitted protective hard plastic jewel case to safely store the Wi-Fi card when you are not Wardriving. All of our hardware is 100% tested and we warranty that it is compatible with Netstumbler."
[Security 31] Windows/Forms/Passport-Identity
Come si può facilmente intendere dal nome, una WindowsIdentity identifica uno specifico utente Windows. La maggiore differenza che si può incontrare facendo la comparazione tra WindowsIdentity e GenericIdentity sta nella costruzione dell'oggetto.
Una WindowsIdentity si propone con quattro costruttori, il primo argomento di questi è di tipo IntPtr.
IntPtr windowsToken /* =...*/; IIdentity windowsUser = new WindowsIdentity(windowsToken, "NTLM", WindowsAccountType.Normal, true);
Questo esempio mostra come il costruttore usi più argomenti. Il secondo argomento è dato dalla tipologia di autentificazione. Il terzo invece è valore di enumerazione di tipo WindowsAccountType, il quale, identifica la tipologia di account rappresentato dall'identity stessa.
WindowsAccountType può assumere quattro tipi di valore
- Anonymous: Un account di tipo anonimo
- Guest : Un account di tipo Guest
- Normal : Un account tradizionale Windows
- System : Un account di sistema
Il quarto parametro (nell'esempio settato a True), permette di specificare l'avvenuta autentificazione dell'utente rappresentato.
Come visto nel precedente snippet, si può avere bisogno di maggior lavoro per specificare l'oggetto identity ad un utente. Tuttavia basti sapere che, per ricavare tutte le informazioni necessarie sull'utente corrente, è necessario chiamare il metodo GetCurrent() in questo modo:
IIdentity currentWindowsUser = WindowsIdentity.GetCurrent();
Il risultato di questa operazione ritornerà un valore nel formato domain\user e la tipologia di autentificazione ricevuta. In questo caso "NTLM". Nel caso si voglia ricevere un utente di Windows Anonimo si può invocare il metodo GetAnonymous() come mostrato di seguito:
IIdentity anonymousUser = WindowsIdentity.GetAnonymos();
Per quanto riguarda le FormsIdentity e le PassportIdentity vorrei rimandare la loro spiegazione nei futuri posts, per ora ci basti sapere che :
- Le FormsIdentity sono principalmente usate nelle applicazioni ASP.NET
- Le PassportIdentity rappresentano un utente autentificato grazie al servizio Microsoft .NET Passport.
