Archive for gennaio 2008

Vista: Report sulla Sicurezza 1 Anno Dopo

Posted on gennaio 25, 2008. Filed under: News |

Microsoft ha rilasciato l’atteso report sulla sicurezza che mostra il confronto tra le vulnerabilità di Windows Vista e quelle di altri sistemi operativi client paragonabili, prendendo in esame il primo anno di vita dei prodotti; il commento ufficiale al report ed al primo anno di Windows Vista è stato pubblicato sul blog Windows Vista Security. Il report è disponibile a questo indirizzo in PDF.

Austin Wilson, direttore del Windows Client Security Product Management, commenta: “Credo che sia corretto dire che Windows Vista sta dimostrando di essere la versione più sicura di Windows mai rilasciata. I nostri investimenti nel SDL e il nostro approccio di difesa profonda nella creazione di Windows Vista sembrano dare i loro frutti. Diamo uno sguardo ad alcune aree in cui abbiamo fatto progressi: l’impatto della defense-in-depth; la protezione delle informazioni personali in IE7; vulnerabilità e infezioni; e risparmio dei costi“.

Andando a guardare l’impatto di funzionalità come User Account Control e Internet Explorer Protected Mode, si può notare che queste funzionalità hanno aiutato a ridurre il rischio e la gravità dei bollettini di sicurezza, offrendo alle imprese maggiore tempo per l’installazione delle patch. Eseguire il sistema come standard user, configurazione raccomandata e più semplice in Vista grazie a User Account Control, aiuta a ridurre l’impatto di qualsiasi vulnerabilità. Dei 23 bollettini di sicurezza che sono stati rilasciati per Vista fino al 12 Gennaio 2008, 12 evidenziano nello specifico un più basso impatto per coloro che eseguono il sistema con privilegi amministrativi.

Grazie a IE Protected Mode, il bollettino MS07-056 di Ottobre 2007 è stato classificato importante su Windows Vista e critico su Windows XP. Un numero minore di aggiornamenti critici aiuta le organizzazioni a mantenere processi regolari di patch management. Internet Explorer 7, il browser predefinito in Vista, aiuta a proteggere i dati personali degli utenti finali. Microsoft ha visto circa 1 milione di tentativi di phishing bloccati alla settimana, da parte della nuova funzionalità integrata nel prodotto. In aggiunta ci sono più di 3.500 siti con Extended Validation SSL Certificates (EV SSL). IE7 è il primo browser ad integrare il supporto completo per EV SSL.

Per quanto riguarda gli aggiornamenti, le vulnerabilità e le infezioni, Microsoft ha notato un progresso deciso in positivo, rispetto a Windows XP. Secondo il rapporto redatto da Jeff Jones, Microsoft Security Strategy Director, durante il primo anno di disponibilità di Windows XP, gli aggiornamento sono stati rilasciati in 26 giorni separati; grazie al programma mensile di aggiornamento ed al numero inferiore di vulnerabilità, Windows Vista è stato aggiornato solo nove volte durante il suo primo anno. Questo dato secondo Microsoft è uno dei più importanti dal punto di vista dei professionisti della sicurezza.

Nel dettaglio il report mostra: Meno vulnerabilità, bug del codice corretti e non corretti (36 corrette/30 non corrette per Windows Vista contro 68 corrette/54 non corrette per Windows XP). Meno mesi con aggiornamenti. Meno infezioni (60% meno infezioni malware e 2.8 volte meno software indesiderato su Vista rispetto XP SP2). Infine un recente report commissionato da Microsoft di GCR sul risparmio dei costi per i computer portatili mostra $251 per macchina per anno di risparmio con Windows Vista, di cui $55/per macchina sono attribuibili alle nuove funzioni di sicurezza e protezione dati come User Account Control e BitLocker Drive Encryption.

Feliciano Intini, Chief Security Advisor di Microsoft Italia, commenta: “In estrema sintesi si può dire che Windows Vista esce ancora una volta vincente nel confronto sulle vulnerabilità rispetto agli altri sistemi operativi scelti per il paragone (che vi ricordo sono Windows XP, Red Hat Ent. Linux 4 Wks, Ubuntu 6.06 LTS, Apple Mac OS X 10.4). Il risultato, inoltre, è anche più significativo se pensiamo che il numero di vulnerabilità totali cresce negli anni (dato confermato dall’ultimo Microsoft Security Intelligence Report) grazie all’evidente evoluzione dell’ecosistema di ricerca delle vulnerabilità: oggi ci sono più ricercatori, più strumenti automatici e più metodi per trovarle“.

 Fonte

Leggi l'articolo intero | Make a Comment ( None so far )

Migliaia di fonts gratis e un editor nascosto di Xp per crearle

Posted on gennaio 23, 2008. Filed under: Consigli e Suggerimenti |

Better Fonts: 10.000 fonts gratis, scaricabili con tanto di demo.
Bello e pulito, in stile web 2.0.

Abstract Fonts: idem come sopra, più di 10.000 fonts suddivise per categorie, non tutte freeware però, con tanto di preview delle mappe dei caratteri, descrizione, links e commenti dei membri del sito. Classifiche delle più scaricate.

Infine un programma nascosto di Windows Xp pittosto curioso che consente di disegnare fonts, loghi ed icone: Private Character Editor.
Si fa partire dallo Start Menu, digitando eudcedit su Esegui e premendo invio.

Quando si avvia il programma si deve selezionare un codice esadecimale, il resto è soltanto immaginazione pura. Si possono creare più di 6000 caratteri, loghi e simboli attraverso alcuni intuitivi strumenti di disegno.
Una volta concluso il lavoro, il carattere può essere salvato ed usato. Può anche essere creato un nuovo carattere a partire da uno già esistente.

Leggi l'articolo intero | Make a Comment ( None so far )

Skype: Vulnerabilità Cross-Zone Scripting

Posted on gennaio 23, 2008. Filed under: News |

Una vulnerabilità che permette ad un attacker di eseguire codice arbitrario non autorizzato su un PC Windows con installato Skype, il popolare client VoIP, è stata isolata e dimostrata tramite PoC da alcuni ricercatori di sicurezza. L’azienda, in un advisory dedicato e sul blog ufficiale, ha confermato che la problematica di sicurezza è legata ad un bug di Cross-site Scripting su DailyMotion, sito di video-sharing utilizzato per permettere lo scaricamento e l’aggiunta di video clip in messaggio di stato e chat.

La vulnerabilità poteva affliggere gli utenti di Skype 3.5 e 3.6 per Windows, che nella galleria video di Skype, selezionavano un video Dailymotion modificato ad arte nel titolo per sfruttare la falla. Skype ha informato di aver bloccato il vettore d’attacco lato server in modo da impedire eventuali tentativi di exploit della falla, fino ad una risoluzione completa del problema. Skype ha temporaneamente disabilitato la possibilità di aggiungere video dalla galleria Dailymotion in attesa di un fix ufficiale (resta disponibile la galleria video di Metacafe).

Una descrizione più dettagliata del problema di sicurezza è stata pubblicata in un Skype Security Bulletin dedicato. Skype utilizza il controllo web di Internet Explorer per renderizzare contenuti HTML. Questo è necessario per fornire le funzionalità “aggiungi un video al messaggio del mio umore” e “aggiungi video alla chat”. La funzione viene eseguita sfruttando l’interfaccia JS/ActiveX che permette l’esecuzione di script nel contesto di sicurezza Local Zone di IE. Per sfruttare maliziosamente questa caratteristica, un attacker deve attaccare una vulnerabilità di iniezione codice sul sito un partner. Questo tipo di bug è stato isolato sul sito web di Dailymotion. Un attacker che crea un Titolo di un video in un modo particolare è in grado di eseguire codice arbitrario sul PC preso di mira. Affinché l’exploit venga condotto con successo, l’utente vittima deve trovare questo video nella galleria video di Skype nelle sezione Dailymotion. La visione del video nella chat Skype o nel messaggio di umore del client è sicuro, in quanto non viene utilizzato il controllo di Internet Explorer. Il codice proof of concept che mostra l’exploit di questa vulnerabilità è stato pubblicato dai ricercatori Aviv Raff e Miroslav Lucinskij.

Petko D. Petkov, fondatore della security consultancy GnuCitzen.org, commenta in un intervento dedicato: “L’utente deve solo visitare DailyMotion da ‘Add video to chat’ di Skype e imbattersi un filmato che include il vettore di Cross-site Scripting. Questo tipo di scenario può essere ottenuto in diversi modo ma io credo che gli approcci più ovvi siano il social engineering o lo spam di DailyMotion con centinaia di filmati infetti relativi a chiavi di ricerca popolari“. Petkov evidenzia inoltre che, a parte questa vulnerabilità che mostra chiaramente i pericoli derivanti dal modello usato da Skype, esiste un altro vettore d’attacco che va tenuto in seria considerazione; sebbene funzioni solo nelle reti in cui l’attacker è in grado di influenzare la comunicazione (mitm attacks, packet injection su wifi networks, network spoofing, etc.). Petkov spiega che parte del traffico Skype viaggia su canale non crittato, come per esempio nella trasmissione degli annunci pubblicitari. In questo caso gli attacker potrebbero eseguire l’hijack di questi pacchetti rimpiazzandoli con contenuti nocivi che verrebbero eseguiti nell’ambito del controller IE senza restrizioni.

Fonte 

Leggi l'articolo intero | Make a Comment ( None so far )

Microsoft: Novità per la Virtualizzazione

Posted on gennaio 23, 2008. Filed under: News |

Durante un evento dedicato alla Virtualizzazione, Microsoft ha fatto importanti annunci relativi a questa tecnologia emergente ed alla sua strategia a riguardo. La novità più importante è che il colosso di Redmond ha eliminato le precedenti restrizioni sull’utilizzo delle edizioni Windows Vista Home Basic e Home Premium in ambienti virtualizzati. Si tratta di una modifica al contratto di licenza del sistema operativo che ha un impatto diretto sui clienti che non utilizzano Vista in ambito aziendale.

Già a Giugno 2007 Microsoft era sul punto di approvare questo tipo di modifiche ai termini di licenza del suo nuovo sistema operativo per semplificare le restrizioni riguardanti la virtualizzazione del sistema operativo, che sono state varie volte criticate da clienti e partner dell’azienda. Tuttavia i dirigenti di Redmond avevano votato contro questa nuova mossa, ed avevano quindi cancellato i piani di modifica del contratto d’uso, peraltro già annunciati agli outlet di news e blogging, sotto accordo di non-disclosure. Fino ad oggi l’EULA (end-user license agreement) di Vista, infatti, garantiva solo agli utenti di Vista Business e Ultimate il diritto di eseguire il sistema in macchine virtuali tramite le tecnologie di virtualizzazione di Microsoft stessa e degli altri vendor. Nonostante la nuova attesa modifica all’EULA, Microsoft non ha effettuato nessuna modifica per permettere l’uso del information-rights management e della crittazione BitLocker in ambiente virtualizzato (altre modifiche che erano state annunciate a Giugno, e poi annullate).

Il colosso di Redmond aveva affermato che le originali restrizioni imposte per la virtualizzazione di Vista erano legate ai potenziali rischi di sicurezza, spiegando che “i ricercatori di sicurezza avevano mostrato che le tecnologie di virtualizzazione hardware possono essere sfruttate dai malware” e che Vista richiedeva un livello avanzato di know-how per impedire questo tipo di exploit.

Gli altri annunci fatti ieri sono legati alla strategia di Virtualizzazione Microsoft relativa al mondo aziendale:  1. Acquisizione di Calista Technologies: è stata completata l’acquisizione di Calista Technologies, una azienda specializzata nell’ottimizzazione delle performance grafiche e della user experience per 3D e multimedia in ambienti virtualizzati e in scenari Terminal Services; Microsoft non è ancora pronta per parlare dei dettagli riguardo i piani di integrazione della tecnologia di Calista nei suoi prodotti. I dirigenti dell’azienda vedono tuttavia questa tecnologia come una “platform technology” che sarà resa disponibile su vasta scala (integrazione in Windows 7?).

 2. Office 2003 e Office 2007: entrambi i prodotti sono ora supportati per l’esecuzione in una “bolla applicativa virtualizzata” tramite Microsoft Application Virtualization 4.5 e SoftGrid Application Virtualization 4.2, anche side-by-side sulla stessa macchina;  3. Gestione centralizzata dei desktop aziendali: è stata ampliata l’offerta relativa al deployment e alla gestione centralizzata dei desktop aziendali, che comprende Microsoft Desktop Optimization Pack, Windows Vista Enterprise Centralized Desktop, e Terminal Services di Windows Server 2008;  4. Lancio di nuovi “Solution Accelerator”: con Windows Server 2008 saranno rese disponibili nel sito dedicato una serie di guide, risorse e strumenti per facilitare il deployment in azienda di Terminal Services di Windows Server 2008, Hyper-V, e Microsoft Application Virtualization.

Altri annunci riguardano la partnership con Citrix nel mondo della Virtualizzazione e l’interoperabilità con XenServer:  1. Citrix estenderà il supporto per Windows Server 2008 Hyper-V e Microsoft System Center a tutti i suoi prodotti per la virtualizzazione: XenDesktop, Presentation Server and XenServer;  2. Nelle prossime versioni di Microsoft System Center Virtual Machine Manager sarà possibile gestire direttamente Citrix XenServer, e Citrix svilupperà un software che permetterà lo spostamento delle VM da XenServer a Hyper-V;  3. Citrix XenDesktop si integrerà con Microsoft Desktop Optimization Pack e con le altre tencnologie per la gestione centralizzata dei desktop aziendali, e le offerte di Microsoft e Citrix saranno presentate insieme per facilitarne il deployment nelle aziende.

Fonte 

Leggi l'articolo intero | Make a Comment ( None so far )

Internet Explorer 8 (IE8) e Compatibilità

Posted on gennaio 23, 2008. Filed under: News |

Microsoft prevede di introdurre una nuova modalità opzionale”super standards” nella prossima versione del suo browser, Internet Explorer (IE) 8; lo rivela un nuovo intervento sul blog ufficiale degli sviluppatori del software. Chris Wilson, IE Platform Architect, ha spiegato in che modo Microsoft intende fornire maggiore compatibilità con gli standard a partire dalla prossima release del popolare browser.

Secondo Wilson, Microsoft prevede di offrire agli sviluppatori web tre diverse modalità in IE8: la modalità “quirks”, che fornirà piena compatibilità con le attuali pagine e applicazioni per IE; una modalità “standards”, la stessa offerta da IE7, che sarà compatibile con i contenuti attuali; e una terza modalità, “super standards” che potrà essere abilitata inserendo nelle pagine un elemento HTML dedicato “meta” e che fornirà il massimo livello di compatibilità con gli standard.

Wilson spiega: “Riteniamo che questo approccio offra il miglior compromesso, che permetterà agli sviluppatori web di scrivere facilmente codice per gli standard web interoperativi senza causare problemi di compatibilità con i contenuti correnti. Riteniamo inoltre che questo approccio permetta agli sviluppatori di eseguire l’opt in per il comportamento degli standards seguendo un proprio programma e nel momento per loro più appropriato, invece di forzarli a prendere provvedimenti reattivi quando una nuova versione di IE si comporta diversamente sulle loro attuali pagine web“.

Come riporta Mary Jo Foley su All About Microsoft, molti utenti, tra coloro che hanno lasciato un commento all’intervento del team IE, hanno criticato il modo in cui Microsoft intende rendere IE8 più standards-compliant rispetto alle precedenti release del browser. Secondo alcuni infatti, il colosso dovrebbe abilitare la modalità “super standars” in maniera predefinita, dato che la compatibilità con gli standard è più importante della retro-compatibilità. Altri ritengono che Microsoft debba rimuovere completamente la modalità “quirks” in IE8.

Wilson ha varie volte ribadito che Microsoft non può trascurare il fattore della retro-compatibilità, in quanto esistono attualmente più di mezzo miliardo di utenti di IE. Nel suo ultimo intervento Wilson ha spiegato che l’azienda ha “rotto il Web” per molti con l’introduzione di IE7, e che non intende ripetere questo errore. Microsoft ha lavorato con il Web Standards Project (WaSP) per definire i piani si supporto per gli standard in IE8. Aaron Gustafson, uno dei membri del WaSP-Microsoft Task Force, ha scritto un articolo (pubblicato su A LIST apart) in cui offre maggiori dettagli tecnici sulla modalità “super standards”.

A dicembre, Microsoft aveva annunciato una importante milestone nello sviluppo della prossima versione del suo browser: una recente build interna di Internet Explorer 8 ha superato con successo il famigerato test “Acid 2“. La notizia, che rappresentava anche la prima “disclosure pubblica” ufficiale relativa alla prossima versione del popolare browser, è arrivata una settimana dopo la causa antitrust di Opera contro Microsoft, che si focalizza in parte proprio sullo scarso supporto per gli standard da parte di Internet Explorer (oltre a richiedere la modifica della politica del colosso sul bundling di IE in Windows).

Microsoft aveva anche confermato che maggiori dettagli su IE8 saranno resi disponibili durante il prossimo evento MIX08 (che si svolgerà a Marzo 2008) e che una prima Beta di IE8 sarà resa disponibile entro la prima metà del 2008.

Fonte 

Leggi l'articolo intero | Make a Comment ( None so far )

Master Boot Record Rootkit “in-the-wild”

Posted on gennaio 6, 2008. Filed under: News |

Marco Giuliani, malware analyst dell’azienda di sicurezza PrevX, ha segnalato sul suo PC al Sicuro e sul blog ufficiale di PrevX, la diffusione in-the-wild di uno nuovo pericoloso codice malware rootkit che attacca il Master Boot Record del disco di sistema per compromettere il sistema operativo sin dall’avvio.

Giuliani scrive: “Abbiamo avuto modo di vedere differenti tecniche di attacco utilizzate per compromettere il sistema operativo e nascondere le componenti dell’infezione all’interno del pc. Ogni volta, tuttavia, la guerra è stata combattuta dall’interno del sistema operativo, una continua guerra tra i ricercatori delle società antivirus e malware writer per riuscire a garantirsi il controllo del pc. 

Solo ultimamente abbiamo visto alcuni proof of concept di rootkit che possono compromettere la macchina fuori da Windows – vedi SubVirt di Microsoft o BluePill di Joanna Rutkowska. Entrambi i progetti molto interessanti ma, fortunatamente, restano al momento solo proof of concept … Qualcosa però sta cambiando. Nel 2005 alcuni ricercatori della eEye Digital Security pubblicarono un nuovo progetto, chiamato BootRoot. Il progetto era essenzialmente un nuovo tipo di rootkit che tentava di compromettere Windows dall’esterno, sovrascrivendo il Master Boot Record con del codice che aveva la capacità di modificare il driver di Windows ndis.sys sin dall’avvio. Qualche giorno fa GMER, l’autore di uno dei più noti tool antirootkit gratuiti, ha pubblicato un’interessante e dettagliata analisi di ciò che potrebbe diventare il nuovo trend delle infezioni: sfortunatamente, quel proof of concept chiamato BootRoot è ora in the wild“.

Giuliani conferma la diffusione in the wild di questa infezione alla luce di segnalazioni ricevute durante lo stesso periodo segnalato da GMER nella propria analisi. L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare PC con software e/o sistema operativo non aggiornati. Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse – una tattica molto diffusa negli ultimi periodi. La notizia ancora più preoccupante è che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.

Giuliani spiega: “Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema. Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa viene caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk. Il codice modifica il kernel in modo tale che il driver del rootkit sia caricato nel sistema. Nessuna chiave di registro è necessaria, nessun file è presente. Per nascondersi all’interno di Windows, il rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys, responsabile in Windows dell’accesso ai dischi. Quando si tenta di leggere il Master Boot Record, il rootkit mostrerà come risposta il codice memorizzato al settore 62, cioè il codice originale. In aggiunta, il driver è responsabile di alcune connessioni verso host remoti. La maggior parte del codice utilizzato dal malware è stato copiato dal progetto BootRoot“. Per rimuovere il rootkit è sufficiente utilizzare il comando “fixmbr” da Console di Ripristino.

In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record ma, se UAC è abilitato, il tentativo viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da quello di Windows XP. Ora che questa tipologia di rootkit è in the wild dovremo aspettarci una nuova ondata di attacchi di questo tipo, soprattutto perché gran parte delle attuali tecnologie antirootkit sono inefficaci contro questa minaccia.

Fonte. 

Leggi l'articolo intero | Make a Comment ( 5 so far )

Liked it here?
Why not try sites on the blogroll...