uninformed magazine

Se vi occupate di sicurezza (o fate finta di farlo, come me) dovreste leggere tutte le loro pubblicazioni. Qualche giorno fa è uscito il numero 5, con articoli cosi' interessanti che e' difficile consigliarvene uno. Quindi andate e leggete:

http://www.uninformed.org/?v=5

Uninformed is a technical outlet for research in areas pertaining to security technologies, reverse engineering, and lowlevel programming. The goal, as the name implies, is to act as a medium for informing the uninformed. The research presented here is simply an example of the evolutionary thought that affects all academic and professional disciplines. Uninformed is currently not accepting general submissions at this time.

Next journal release date: January 15, 2007

Prossima release il 15 gennaio 2007.

il bug di googlemaps

Ricevo da Entropika e ve ne rendo partecipe. Il bug di googlemaps:

http://maps.google.com/maps?hl=en&t=k&q=Germany&ie=UTF8&z=18&ll=48.857699,10.205451&spn=0.002404,0.006738&om=1&mid=1159522228

:>

UPDATE: Stefano mi segnala che c'e' anche in google earth:

Latitudine: 48°51'28.15"N
Longitudine: 10°12'19.67"E

il trend delle vulnerabilita’

Un grafico riepilogativo sul trend, nel tempo, delle vulnerabilita'. Si commenta da solo e conferma cio' che io precedentemente ho scritto in questo post:

http://www.linux.it/~gaetano/blog/2006/09/19/client-side-ed-il-futuro-dellhacking/
Il grafico è stato tirato fuori dai dati forniti da Steven in questo post:  http://www.attrition.org/pipermail/vim/2006-September/001032.html

sshd attacks, di nuovo… :)

Pensavate che spostando la porta predefinita di sshd sulla 2222 non vi avremmo trovato eh?! Ci è bastato, nei vari tool di bruteforcing, cambiare solo un parametro (zero sbattimento, d'altronde pure voi per "difendervi" avete cambiato solo un parametro) e ...





... si ricomincia! :)

Adesso io propongo di spostare la porta su cui ascolta sshd sulla 666, e via di seguito. Mi par di giocare a nascondino su internet :)

By the way, da una recente statistica (l'ennesima!!!!) apparsa su secfocus (http://www.securityfocus.com/infocus/1876), sembra che la password piu' usata d questi tools sia "12345", gli account invece "root", "admin" e via di seguito.

Inutile dire che tutte le contromisure possibili - anche quelle riproposte per la milionesima volta - in quell'articolo ed in passato dai mille volumi enciclopedici che sono stati scritti per questa cazzata, non sono mai state prese in considerazione e ... non lo saranno mai. C'e' solo da tenere d'occhio i vari siti web dedicati alla sicurezza informatica e vedere quali disastri comportera' tutto questo...

Attendiamo .. :>

client-side ed il “futuro” dell’hacking.

http://www.symantec.com/security_response/writeup.jsp?docid=2006-091810-5028-99
http://sunbeltblog.blogspot.com/2006/09/seen-in-wild-zero-day-exploit-being.html

E ne potrei citare altri (tra cui il piu' famoso: WMF). Pero' il punto è questo: il futuro prossimo dell'hacking sono gli attacchi client-side. E di conseguenza per le aziende di sicurezza, i prodotti di protezioni contro tali, sono cio' su cui dovrebbero puntare. E' raro ormai pensare ad un attaccante che buca il server smtp (tanto per fare un esempio a caso), prende root sulla macchina e ... da li lanci un attacco alla rete corporate aziendale. IDS, IPS, honeypots, sonde di altro genere, e chi piu' ne ha piu' metta, rendono troppo difficile il "muoversi" su una topologia di rete piu' o meno grande.

Attuale: Web-Hacking
Futuro prossimo: Client-Side

I vari exploiting framework gia' contengono un bel po' di roba del genere, almeno quelli che ho visto personalmente.

E' chiaro che chiunque abbia l'occhio piu' lungo degli altri punti su attacchi (e relative protezioni) per dispositivi mobili, smartphones, blackberry, e robacia varia. Quello, secondo me, è davvero il futuro.

Intanto iniziamo a scaricare iexploder, comraider, axman e altri fuzzers per Internet Explorer e ... diamo inizio alle danze. :)

Per una piu' che buona infarinatura su di essi, ricordo che coresec aveva rilasciato delle belle slides proiettate per blackhat, quindi google: "core security + client side attacks slides".

p.s.: hint: Comraider da buone soddisfazioni, da quel che mi dicono... ;PPpPppp

compleanno… +1

+1

Un po' triste, sono a Milano, senza famiglia e persone care con cui lo avevo festeggiato da sempre. Forse ho voltato pagina, e cambiato vita, troppo velocemente e in modo troppo radicale. O forse anche no e va bene cosi'.

Lo passero' con la mia dolce meta', un paio di colleghi e qualche amico fidato. Certo è che fa tenerezza (ed insieme anche molta tristezza) sentire mia mamma al telefono che mi dice:

"comprati anche una fetta di torta, come abbiamo fatto sempre... "

hping3 + clock skew detection

Se avete letto il paper che vi ho consigliato in qualche post precedente adesso potete scaricare:

http://hping.org/hping3-clockskew-0.tar.gz

Buon divertimento... :)

la futura “gestione” delle vulnerabilità

Su questo argomento volevo scrivere da molto, ma sono pigro e me lo ero sempre risparmiato. Adesso che qualcuno sulla lista "ml" di sikurezza mi ha fornito l'assist e siccome in questi giorni non ho avuto tanto da fare... eccovi qui la mia risposta alla domanda "Secondo voi come verranno gestite le vulnerabilità in futuro?" :

http://www.sikurezza.org/ml/09_06/msg00043.html

Archivio: Settembre 2006 ml@sikurezza.org
Soggetto: Re: [ml] Disclosure survey
Mittente: Gaetano Zappulla
Data: Sun, 10 Sep 2006 18:18:00 +0200 (CEST)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> Secondo voi come verranno gestite le vulnerabilità in futuro?

in nessuna maniera diversa dall'attuale, c'e' solo da capire quale sara'
- tra gli attuali metodi - quello che la spuntera' (leggi, quello piu'
comodo e che fa fare piu' soldi).

* bughunter -> grossa realta' di sicurezza -> vendor.

La societa' che sta in mezzo è quella predominante:

1) paga il bughunter quanto vuole.
2) Ricatta i vari vendors. Se il vendor vuole una notifica immediata
deve iscriversi ad un programma di patnership costoso. Usa i vari codici
acquisiti per i propri scopi (dal piu' semplice pentest alla piu'
complessa azione di intelligence). Oltre questo decide ed attua una
policy di rilascio un po' piu' onorevole, almeno dovrebbe, in teoria.
(vedi caso tippingpoint, per esempio).
3) Se il bughunter cerca di bypassarla, non becca una lira e si brucia
uno 0day, quindi tanto vale passare per lei e prendere quello che ti da.

* piccola/media realta' di sicurezza -> compratore.
1) il compratore crea una patnership col il venditore, pagando e
firmando delle NdA alquanto restrittive.
2) il venditore da accesso al compratore ad alcune e limitate (nella
maggior parte dei casi, e anche in funzione dei soldi versati) fonti di
informazioni, approfondimenti tecnici e varia roba 0day.

* Bughunter -> vendor
1) ti becchi i credits
2) ti crei il nome da "vendere" e magari qualche offerta di lavoro dal
manager di turno.

* Vendita in proprio
1) Il bughunter fa il prezzo
2) Il compratore (per lo piu' phishers, prestanomi mandati dai vendors,
agenzie di investigazioni private, terroristi, etc..etc..) paga, senza
problemi.

* Vendita col tramite
1) Conosci Y che conosce gli "interessanti"
3) il bughunter fa il prezzo
4) Y aggiunge un paio di zeri al prezzo
... poi avviene lo scambio, con Y che la sera andra' a festeggiare al
prive' dell'Alcatraz. :>

* 0day exploits packs
Pacchi, in generale, nel vero senso della parola. Il commerciante di
turno prende una decina di 0day, li mette in un .tar e te lo vende. Ti
rivende pure supporto tecnico per eventuali problemi di porting sui vari
exploiting framework, e tu sei contento (ma lui di piu' di te
:PpPPPppP), oltre questo per X mesi ti fa contento con vari upgrade.

* Sharing Clubs
Dammi "METTIQUIUNACIFRA" di euro/dollari, entri nel mio club elite, e
inizia a condividere, gli altri condivideranno con te. Generalmente sono
suddivisi a livelli, dal piu' basso dove si trova relativamente poco (e
quindi meno costoso) a quello piu' alto e costoso, dove ci stanno
vendors e altra gente poco raccomandabile.

* Io do a te, tu dai a me
Difficile oramai trovare qualcuno che attua questo metodo, tranne in
comunita' di hackers e blackhats molto uniti, che si fidano l'un l'altro.

* Fattore Divineint
Vai su IRC e/o AIM, cerchi lo pseudonimo divineint (o "aprodite", il suo
nick attuale di *copertura" :PppPPPpp), lo si contatta, gli si da
qualche exploit (anche fake, pare li preferisca), ed in cambio gli si
chiede qualcosa. Lui te lo da, si scappa via, e si ha - con poco sforzo
- lo 0day piu' tradato del momento. Attenzione a non dargli qualcosa di
utile, è un ragazzo motivato: tempo fa riusci' a tradare una versione
privata di suckit trasferendolo file per file. :PpPPPpp

* 0dayebay.com (nome inventato sul momento...)
Ebay, con prodotti 0day. Tu bughunter ti registri, fai l'upload del
codice che vuoi vendere, chi gestisce l'infrastruttura lo verifica, lo
approva e lo mette disponibile alla "community". Dopodiche' inizia
l'asta. Chi gestisce il tutto puo' decidere pure a *chi* rendere
disponibile l'asta, e altro. Ovviamente dopo la verifica, il gestore
deve pagare qualcosa al bughunter, altrimenti si ritroverebbe con uno
0day a prezzo nullo. E qui ritorniamo al primo caso, quando si aveva il
venditore di sicurezza ambulante in mezzo. Cambia solo il metodo di
vendita, ad asta. Il piu' forte vince.

By the way:

Bug Auctions: Vulnerability Markets Reconsidered
http://www.cl.cam.ac.uk/~jo262/papers/weis04-ozment-bugauc.pdf

"Measuring software security is difficult and inexact; as a result, the
market for secure software has been compared to a ‘market of lemons.’
Schechter has proposed a vulnerability market in which software
producers offer a time-variable reward to free-market testers who
identify vulnera- bilities. This vulnerability market can be used to
improve testing and to create a relative metric of product security.
This paper argues that such a market can best be considered as an
auction; auction theory is then used to tune the structure of this ‘bug
auction’ for efficiency and to better defend against attacks. The
incentives for the software producer are also considered, and some
fundamental problems with the concept are articulated."

Impact of Software Vulnerability Announcements on the Market Value of Software Vendors – an Empirical Investigation
http://infosecon.net/workshop/pdf/telang_wattal.pdf

Researchers in the area of information security have mainly been
concerned with tools, techniques and policies that firms can use to
protect themselves against security breaches. However, information
security is as much about security software as it is about secure
software. Software is not secure when it has defects or flaws which can
be exploited by hackers to cause attacks such as unauthorized intrusion
or denial of service attacks. Any public announcement about a
software defect is termed as ‘vulnerability disclosure’.
In this paper, we use the event study methodology to examine the role
that financial markets play in determining the impact of vulnerability
disclosures on software vendors. We collect data from leading national
newspapers and industry sources by searching for reports on published
software vulnerabilities. Our main result is that vulnerability
disclosures do lead to a negative and significant change in market value
for a software vendor. On average, a vendor loses around 0.6% value in
stock price when a vulnerability is reported. This is equivalent to a
loss in market capitalization values of $0.86 billion per vulnerability
announcement. To provide further insight, we use the
information content of the disclosure announcement to classify
vulnerabilities into various types. This is the first study
to measure vendors’ incentive to develop secure software and also
provides many interesting implications for software
vendors as well as policy makers.

Economic Analysis of Incentives to Disclose Software Vulnerabilities
http://infosecon.net/workshop/pdf/20.pdf

Non sono l'oracolo, ma sono abbastanza sicuro che nell'immediato futuro
ci saranno/nasceranno molte piu' societa' con lo scopo di intermediare
tra il bughunter e i vari vendors.

- --
Gaetano Zappulla http://www.linux.it/~gaetano/
mail : echo "d^bq^kl=pfhrobww^+lod" | perl -pe 's/(.)/chr(ord($1)+3)/ge'
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (Darwin)

iD8DBQFFBDqdmr4O+8Bd6ekRAumdAJ9kNPS9PqTtlaIkxHtBNVZ2F8voHwCgu89C
1Fht6BkRSMpPHbVTcepFBZU=
=fEeN
-----END PGP SIGNATURE-----

tippingp0(day)int

Questo è quello che penso riguardo il modo alquanto coreografico di TippingPoint sul modo di rilascio di questi 0day:

http://www.sikurezza.org/ml/08_06/msg00050.html

Archivio: Agosto 2006 ml@sikurezza.org
Soggetto: [ml] $ecurity: zeroday initiative...
Mittente: Gaetano Zappulla
Data: Tue, 29 Aug 2006 14:43:14 +0200 (CEST)
TippingPoint ha rilasciato la sua lista di "upcoming advisory", imho con
l'intento di dire "Se non compri noi magari non sei protetto abbastanza...":

http://www.zerodayinitiative.com/upcoming_advisories.html

O forse perche' la maggior parte compra in posti differenti e volevano
far vedere che loro non sono da meno. :>

Oltre i presunti interessanti (solo perche' sono segnalati come impatto
"high") bug su microsoft, sun, CA e ibm, questo mi è caduto all'occhio:

ZDI-CAN-077 WinZip High 2006.08.28, 1 days ago

Magari è un bel "client-side" per WinZip, che non guasta mai :)

Sono sempre piu' convinto che e' stata una semplice azione di marketing, per dare una bella "scossa" al mercato dove al momento la fa da padrona IDefense.

Hot or Not: Revealing Hidden Services by their Clock Skew

Sara' presentato/discusso il mese prossimo al 13° ACM Conference on Computer and Communications Security http://www.acm.org/sigs/sigsac/ccs/CCS2006/, io ve lo consiglio da adesso:

http://www.cl.cam.ac.uk/~sjm217/papers/ccs06hotornot.pdf
"Hot or Not: Revealing Hidden Services by their Clock Skew"

Location-hidden services, as offered by anonymity systems such as Tor, allow servers to be operated under a pseudonym. As Tor is an overlay network, servers hosting hidden services are accessible both directly and over the anonymous channel. Traffic patterns through one channel have observable effects on the other, thus allowing a service’s pseudonymous identity and IP address to be linked. One proposed solution to this vulnerability is for Tor nodes to provide fixed quality of service to each connection, regardless of other traffic, thus reducing capacity but resisting such interference attacks. However, even if each connection does not influence the others, total throughput would still affect the load on the CPU, and thus its heat output. Unfortunately for anonymity, the result of temperature on clock skew can be remotely detected through observing timestamps. This attack works because existing abstract models of anonymitynetwork nodes do not take into account the inevitable imperfections of the hardware they run on. Furthermore, we suggest the same technique could be exploited as a classical covert channel and can even provide geolocation.

il pacco di exploits

Pacco intenso come il suo corrispondente e piu' famoso cugino napoletano :)

http://www.sikurezza.org/ml/09_06/msg00005.html

Archivio: Settembre 2006 ml@sikurezza.org
Soggetto: Re: [ml] $ecurity: zeroday initiative...
Mittente: Stefano Zanero
Data: Fri, 1 Sep 2006 18:51:03 +0200 (CEST)
vitamona wrote:

> Oltre a WinZip tutte le altre advisories sono di almeno 15 giorni fa.

Ci sono dei bachi di Oracle (alcuni dei quali non propriamente
"zero-day", visto che vengono raccontati per esempio nei corsi di
Alexander Kornbrust) che sono aperti da quasi 2 anni...

aggiungo io:

... aperti da 2 anni sulla quale il commerciante di sicurezza informatica ambulante di turno si fa sviluppare i POC (da i primi due ragazzini che trova, pagandoli quattro lire ovviamente) che impacchetta tutti insieme e ci fa il suo "0day exploit pack" che rivende a fior di quattrini.

Si, la moda di questo periodo sono i cosidetti "0day exploit pack" per i penetration testing framework. A quanto pare (ed a quanto mi dicono...) è una moda che fa guadagnare parecchio.

p.s.: si trovano facilmente in giro, google. Tutte le persone che li hanno comprati mi hanno riferito che sono veramente un pacco, nel vero senso della parola, quindi evitate di spendere soldi inutilmente. Conservateli o usateli per qualcosa di piu' onorevole. O se proprio dovete spenderli, offritemi una birra.

browzar ?

http://www.browzar.com/

Questo e' quello che - apparentemente - promette:

With Browzar you can search and surf the web without leaving any visible trace on the computer you are using.
Browzar is based on the Internet Explorer browser engine. Its free and only takes seconds to download and you don’t even need to install it, so you can download Browzar time and time again, whenever and wherever you need it to protect your privacy.

Belle parole, peccato che non sia proprio cosi':

http://web3.0log.org/2006/09/01/new-secure-browser-browzar-is-fake-and-full-of-adware/