Firefox ed estensioni, ancora...

Personalmente ho una idea precisa di Firefox, ed è quella che non sia un buon browser e che attualmente sia solo un pessimo fenomeno di marketing. Non mi fa paura che la gente, spinta magari dall'odio verso Microsoft, da temi etici (opensource vs closed source, etc..etc..) o da altro, scarichi ed usi felicemente FF, ma vedere esperti di sicurezza che lo fanno e che sopratutto lo consigliano è davvero qualcosa che non riesco a spiegarmi. Quando mi chiedono cosa sia la sicurezza la mia risposta è sempre uguale: un gioco di compromessi. O un processo che scaturisce in una serie di compromessi. E' uguale, la risposta varia in base a chi me lo chiede :-) Detto questo non identifico in Firefox il giusto compromesso tra le N-mila ragioni che potrebbero spingere un end-user ad usarlo.

Riprendendo un vecchio post dal mio blog:

http://blog.bacarospo.net/2008/05/firefox-e-add-ons.html

Oggi ho notato, leggendo gli archivi di bugtraq, che qualcuno ha sviluppato una estensione per FF che riprende l'idea di "attacco" (che si potrebbe trasformare anche in un vettore nuovo di attacco, se le cose non cambieranno) esposta sul mio post pubblico sulla mailing list di sikurezza.org. Eccovi il riferimento:

http://www.sikurezza.org/ml/07_07/msg00045.html

Tornando al messaggio su bugtraq:

http://www.securityfocus.com/archive/1/493585/30/0/threaded

Nel dettaglio tecnico ( ... ed in grassetto la parte di interesse):

Every Firefox extensions developer knows the 'hidden' property of 'installmanifest'. This property can be used to hide _globally_ installed extensions and it can't hide only local extension (this is a design feature so the extensions installed by users can't be hidden). But there is another way to make extension hidden..Did you know that you can't trust to what Extensions manager is saying ? For detailed information look at the function 'hide_me()' in file'src/chrome/content/ffsniff/ffsniffOverlay_orig.js' of my PoC. This bug was in older versions of Firefox and was 'inherited' also in Firefox 3.

FFsniFF is a simple Firefox extension, which transforms your browser into the html form sniffer. Every time the user click on 'Submit' button, FFsniFF will try to find a non-blank password field in the form. If it's found, entire form (also with URL) is sent to the specified e-mail address. It also has the ability to hide itself in the 'Extensions manager'. This extension is meant to be as an example of the 'evil side of Firefox extensions'.

Oltretutto, sempre sull'argomento, sarei curioso di sapere e/o capire, su quale base tecnica, l'articolo di oggi su Zeus News reperibile a questo indirizzo:

http://www.zeusnews.it/index.php3?ar=stampa&cod=7803

riesce a valutare la sicurezza di FF di mezzo punto superiore a quella di Opera.

UPDATE: Ho ricevuto una mail che mi fa notare di un bug 0day, ancora non fixato, su FF3:

http://news.softpedia.com/news/Firefox-3-Vulnerabilities-Could-Affect-Over-8-Millions-Computers-88478.shtml

Non lo avevo dimenticato, pensavo non fosse utile parlarne :-) Ma in effetti si aggancia alla valutazione dell'articolo di Zeus News. Grazie per la segnalazione.

Individuazione delle infrastrutture critiche informatiche di interesse nazionale

L'avevo messo nei bookmark tempo addietro, oggi ho avuto tempo/voglia di leggerlo per bene e ve lo segnalo, essendo qualcosa di particolarmente interessante. L'ambito del documento è quello dell'individuazione delle infrastrutture informatiche critiche e di interesse nazionale su cui il Ministero dell'interni ha la responsabilità. Il link al testo completo:

http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-04-30&task=dettaglio&numgu=101&redaz=08A02684&tmstp=1209979887854


In particolare, un estratto:

Sono da considerare infrastrutture critiche informatizzate di interesse nazionale i sistemi ed i servizi informatici di supporto alle funzioni istituzionali di:
a) Ministeri, agenzie ed enti da essi vigilati, operanti nei settori dei rapporti internazionali, della sicurezza, della giustizia, della difesa, della finanza, delle comunicazioni, dei trasporti, dell'energia, dell'ambiente, della salute;
b) Banca d'Italia ed autorita' indipendenti;
c) societa' partecipate dallo Stato, dalle regioni e dai comuni interessanti aree metropolitane non inferiori a 500.000 abitanti, operanti nei settori delle comunicazioni, dei trasporti, dell'energia, della salute e delle acque;
d) ogni altra istituzione, amministrazione, ente, persona giuridica pubblica o privata la cui attivita', per ragioni di tutela dell'ordine e della sicurezza pubblica, sia riconosciuta di interesse nazionale dal Ministro dell'interno, anche su proposta dei prefetti - autorita' provinciali di pubblica sicurezza.

2. I collegamenti telematici necessari per assicurare i servizi di protezione informatica delle infrastrutture critiche informatizzate di cui al comma 1 sono definiti sulla base dell'individuazione delle strutture medesime da parte delle istituzioni,amministrazioni, autorita', societa', enti, persone giuridiche pubbliche o private di cui al medesimo comma 1, mediante apposite convenzioni ai sensi dell'art. 15 della legge 7 agosto 1990, n. 241 e dell'art. 39 della legge 16 gennaio 2003, n. 3, stipulate, per il Ministero dell'interno, dal Capo della polizia direttore generale della pubblica sicurezza e, per le istituzioni ed altri soggetti interessati, dai competenti organi amministrativi di vertice.

MELANI: un altro report sullo stato della sicurezza

Questo però, in confronto ad altri simili ben più famosi, è interessante ma sopratutto pieno di considerazioni fatte da persone che di sicurezza sicuramente ne capiscono.

Eccovi il link diretto al download:

http://www.melani.admin.ch/dokumentation/00123/00124/01048/index.html?lang=it&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1ah2oZn4Z2qZpnO2Yuq2Z6gpJCDdIB7gGym162epYbg2c_JjKbNoKSn6A--

con relativo abstract e sommario degli argomenti trattati all'interno:

L'interfaccia uomo / computer come punto vulnerabile, l'evoluzione nell'ambito
dello spionaggio industriale e dei furti di dati nonché il pericolo proveniente
dalle reti bot e dagli attacchi Distributed-Denial-of-Service (DDoS)
costituiscono il tema centrale del sesto rapporto semestrale della Centrale
d'annuncio e d'analisi per la sicurezza dell'informazione (MELANI). Il rapporto
valuta la situazione nel corso del secondo semestre del 2007.

Il capitolo 2 descrive la situazione attuale, nonché i pericoli e rischi del
semestre precedente. Il capitolo 3 presenta in prospettiva le evoluzioni
ipotizzate.
I capitoli 4 e 5 abbordano le avarie e i crash, gli attacchi, la criminalità e il terrorismo che presentano relazioni con le infrastrutture TIC. Per il tramite di esempi scelti sono illustrati i principali avvenimenti degli ultimi sei mesi del 2007. Il lettore dispone qui di esempi illustrativi e di informazioni complementari sui capitoli generali due e
tre.
Il capitolo 6 è consacrato di volta in volta a una tematica attuale in ambito di prevenzione, in stretta relazione con i pericoli menzionati nel capitolo 2.
Il capitolo 7 è focalizzato sulle attività dello Stato e dell’economia privata in ambito di
sicurezza dell’informazione in Svizzera e all’estero.
Il capitolo 8 riassume le modifiche delle basi legali.
Il capitolo 9 contiene il glossario dei principali concetti utilizzati nel rapporto.
Il capitolo 10 è un allegato contenente spiegazioni e istruzioni tecniche estese su tematiche scelte del rapporto semestrale.

Attenzione, è pur sempre qualcosa di divulgativo, quindi non vi aspettate di trovarci il graal della sicurezza informatica...

Buona lettura.

devo farlo assolutamente!

... deve essere spettacolare.

Mentre questo:




... e' veramente per pazzi :)