Software Problematico (3)
Qualche tempo fa, ho deciso di provare sul mio laptop di casa FireFox. Era il periodo peggiore della storia dal punto di vista di infezioni telematiche ed ero anche io convinto che FireFox, non avendo gli ActiveX, fosse intrinsecamente più sicuro. La disinstallazione è avvenuta dopo qualche settimana, quando mi son reso conto che anche FireFox soffriva di problemi di sicurezza (e tra l'altro non usufruiva della semplicità di autoaggiornamento di IE). Questo il confronto di Secunia per il 2005: FireFox 22 bachi di sicurezza, IE 17 bachi di sicurezza. È notizia fresca fresca quest'altro baco nuovo di zecca. Per essere un browser intrinsecamente più sicuro, si può dire che all'atto pratico i numeri non confermano.
Come se non bastasse, ci sarebbe pure qualche problema di memory leak: neanche l'upgrade alla 1.5, che tra l'altro rompe il funzionamento di alcuni plugin, sembra risolvere il problem. Il confronto con Maxthon, basato su IE, è semplicemente schiacciante: firefox con 6 tab aperti consuma qualcosa come 130 MB di ram, Maxthon solo 93 ma con ben 36 tab aperti!!
Il motivo della presenza di tali bachi (vedi baco "simile" in FileZilla) penso risieda nella mancanza di stress test (argomento su cui torno in un prossimo post)

Pubblicato venerdì 3 febbraio 2006 alle 10:35 AM - 0 commenti so far
Archiviato in: Software, Security

P2P cinese
Tra i blog che seguo tutti i giorni c'è quello di Beppe Grillo. Uno dei post più recenti parla di IPTV made in China e di sw P2P che permette appunto di scaricare e guardare le partite online (la polemica è nata sulla legalità o meno di tutto ciò, ma non voglio entrarne nel merito). Piuttosto, considerando che in passato - dietro diversi virus e worm - c'era addirittura l'esercito Cinese (leggi in Inglese qui e qui), mi chiedo: c'è da fidarsi? Penso infatti che iIl calcio gratis - per gli Italiani - sarebbe un cavallo di Troia perfetto; ma le mie sono solo teorie (allucinanti magari). Sicuramente mi è venuta voglia di informarmi di più!

Pubblicato venerdì 3 febbraio 2006 alle 4:03 AM - 0 commenti so far
Archiviato in: Pippe Mentali, Software, Security

Siete sicuri di avere il controllo del vostro PC?

Devil La domanda è banale, ma la risposta non lo è. Analisi di un exploit (baco nella JVM di Sun).

Quando navigo di solito tendo ad evitare accuratamente quei siti che richiedono la JVM. Ormai si puo' fare quasi tutto con Flash, AJAX, ASP, .Net, ActiveX (molto meno pericolosi dopo l'uscita del Service Pack 2 grazie alla barra di IE) e davvero non vedo il motivo di scaricare applet vari. Ma il sito delle poste americano, che permette di stampare etichette e francobolli elettronici, richiedeva appunto all'utente di scaricare una applet per stampare.

Premessa:
E cos su quasi tutti i miei PC ho installato la JVM. Il problema purtroppo per questo SW di sistema di Sun è che ha gli aggiornamenti automatici che non sono semplici da configurare. In poco tempo la JVM sui miei PC è diventata obsoleta.
Fase 1:
Navigavo su repubblica.it e mi sono accorto che da qualche giorno, alla sx della foto principale c'era uno strano quadratino 3x3 pixel grigio. Ho pensato subito a qualche baco nei loro template, visto che il quadratino non è che apparisse ad ogni pagina.
Fase 2:
Un collega mi dice che il suo Internet Explorer ha smesso di funzionare. I popup fanno andare la CPU al 100% a tal punto che è costretto ad ammazzare IE ogni volta che clicca su un link malefico. Mi connetto in assistenza remota e scopro la presenza di Trojan e spyware vari.
Decido di investigare e dopo aver pulito il suo PC mi accorgo che il trojan è capace di reinstallarsi semplicemente visitando repubblica. Apro il sorgente della pagina e scopro un applet malizioso che sfruttando un buco della JVM riesce a scrivere un eseguibile in C:\ e a lanciarlo (in barba all'antivirus non ancora aggiornato). L'eseguibile ha ovviamene il controllo completo del PC e comincia a installare un sacco di immondizia.
Fase 3:
Decido di lanciare IE loggandomi come amministratore sul mio PC. Facendo refresh sulla pagina di repubblica filemon mi dice che la stessa cosa sta succedendo sul mio PC.
Fase 4:
Comincio ad indagare la URL da cui l'applet tira gi il necessario e scopro che si tratta di un server Apache misconfigurato. L'olandese (presumo che lo fosse dai commenti nel Java script) aveva trovato un buon host con impostazioni di sicurezza di default e a insaputa dell'owner ci aveva installato l'applet micidiale e i suoi file.
Fase 5:
Evidentemente l'olandese tanto stupido non è. Dopo qualche ora - magari aveva installato un daemon per loggare l'attivit sul server - tira via tutto ed io rimango con un palmo di naso (nel frattempo qualcun altro aveva avuto la stessa mia idea e l'olandese verr arrestato in pochi giorni)
L'amaro in bocca è stato il non poter capire come lo script fosse finito sulle pagine di repubblica. Mi son fatto una mia idea (forse era riuscito a farne l'upload su qualche server akamai) ma il dubbio rimarr per sempre.

Domanda: siete ancora sicuri di avere il controllo del vostro PC?

Pubblicato giovedì 26 gennaio 2006 alle 1:40 AM - 2 commenti so far
Archiviato in: Security