DREAMSNET.IT - IT Solutions. Realizzazioni Siti Web, Siti Internet, Software gestionali, consulenza sistemistica Linux, Civitanova Marche » Security

WordPress a rischio : timthumb.php vulnerabile ad attacchi di tipo Remote File Include

Marco Marcoaldi — Thu, 04 Aug 2011 19:55:24 +0000

TimThumb, l’utility di ridimensionamento delle immagini compresa in molti template della famosa piattaforma WordPress, sta dando problemi di sicurezza in quanto evidenzia vulnerabilità che eventuali cracker potrebbero sfruttare per attaccare siti e blog che utilizzano tale piattaforma.

Mark Maunder, amministratore delegato di Feedjit, ha scoperto il problema quando il suo blog ha cominciato a caricare contenuti pubblicitari che originariamente non erano stati da egli stesso inseriti. Proprio sul blog ha parlato dal problema, spiegando che è correlato alla libreria timthumb.php, utilizzata dal tema che egli ha acquistato per il suo spazio web. «Dal momento che sono appena stato attaccato attraverso essa, immagino sia giusto parlare della vulnerabilità al grande pubblico», ha scritto Maunder.

TimThumb.php, continua, è “intrinsecamente insicuro” perché scrive i file in una directory quando si carica l’immagine e la si ridimensiona. Tuttavia, questa directory è accessibile alle persone che visitano il sito, diventando quindi fonte di attacchi per i pirati informatici. Un utente malintenzionato può anche compromettere il sito agendo direttamente dalla directory, “riempendola” di file infetti.

Non solo (aggiungiamo noi), il problema infatti non si limita solo a caricare file infetti ma anche file php maliziosi come le famose phpshell, e nel caso in cui non fosse stato fatto hardening a livello di configurazione PHP (separazione privilegi con su_php o php-fpm, o la disabilitazione di funzioni pericolose come l’allow_url_fopen,system,exec,ecc…) può compromettere seriamente la sicurezza dell’intero server Web oltre che del vhost specifico.

Il tipo di attacco è quello comunemente definito RFI (Remote File Inclusion), http://it.wikipedia.org/wiki/Remote_File_Inclusion

Maunder ha dunque spiegato che al momento conviene disabilitare TimThumb o, al limite, limitarne l’accesso.

Per quanto il discorso di Maunder possa essere corretto e sensato, esso tende a creare dei fraintendimenti ad utenti WordPress e webmaster non troppo esperti.

Va ricordato infatti che timthumb non è un plugin di WordPress ma bensì un file php “sfuso” inserito come parte funzionale di molti template WordPress (ma non solo wordpress).

Risulta dunque impossibile disabilitare questo plugin da pannello di controllo come si farebbe normalmente nell’attivazione e disattivazione di plugin wordpress e sopratutto non bisogna illudersi che basti aggiornare la versione di WordPress attuale all’ultima stabile per risolvere questo problema.

Bisogna (purtroppo) fare un’attività di ricerca manuale nelle cartelle del proprio template, individuare il file timthumb.php (se presente) e sostituirlo con la nuova versione che potete scaricare qui http://code.google.com/p/timthumb/
Uomo avvisato …

Perchè cambiare la password predefinita del vostro router Alice e Fastweb : WiRouter KeyRec !

Marco Marcoaldi — Thu, 02 Dec 2010 02:31:22 +0000

Come ben saprete per accedere alla vostra rete wi-fi bisogna immettere una key di autenticazione una volta era WEP oggi WPA2.

Questa chiave viene fornita di default e stampata su carta e inclusa nella confezione del router Telecom o Fastweb noleggiatovi dal fornitore ADSL.

Qualcuno si chiederà dunque : ma chi è che configura il nome della rete SSID e setta la chiave WPA nelle impostazioni predefinite del router ?

Sicuramente non è un essere umano a farlo, ma bensì un automa software che associa una WPA a un nome di rete (SSID) mediante un algoritmo proprietario.

Salvatore Fresta, italianissimo sviluppatore e ricercatore, ha surrogato il lavoro di numerosi reverse enginner e ricercatori di sicurezza come lui in un software chiamato WiRouter KeyRec.

Esso è scritto in linguaggio C, rilasciato sotto licenza GPL (codice sorgente aperto dunque) e permette di recuperare la password predefinita per la rete WiFi del vostro router.

Al momento sono supportati i modelli: Telecom Italia Alice AGPF, Fastweb Pirelli, Fastweb Tesley.

Tutto quel che serve è il SSID della rete per cui volete calcolare la password predefinita che potete passare sia a linea di comando sia da file.

Se avete ancora impostato la password di default dunque è VIVAMENTE CONSIGLIATO provvedere a sostituirne con una nuova da voi scelta.

Intervista Securitydate a Camerino – 2010

Marco Marcoaldi — Fri, 21 May 2010 22:25:02 +0000

Sicurezza informatica al Securitydate a Camerino il 7 Maggio 2010

Marco Marcoaldi — Thu, 29 Apr 2010 19:52:31 +0000

Come ogni anno l’università di Camerino in collaborazione con il Camelug organizzano una giornata informativa che ha come tematica la sicurezza informatica.

Il programma della giornata è molto articolato ed attuale : si parlerà infatti di concetti nuovi e moderni come la Virtualizzazione, Cloud computing, Wi-fi, e concetti più generici come il penetration testing, e il lockpicking; ovvero l’arte di scassinare serrature.

L’evento a cui abbiamo partecipato attivamente nelle scorse edizioni con talk sulla Web security in particolar modo focalizzando sul RFI (Remote File Include) e SQL Injection, quest’anno ci vedrà come “supporter” esterni non partecipando direttamente con nostri talk all’evento ma supportando l’evento a livello informativo e “logistico”.

Ricordiamo che la partecipazione all’evento è del tutto gratuita ed è senz’altro un’occasione importante per tutti gli appassionati (professionisti, docenti e semplici smanettoni) di rimanere aggiornati su un tema così vasto dalle mille sfaccettature e tremendamente moderno.

Per ulteriori informazioni www.securitydate.org e www.camelug.it

L’importanza dei backup : cronaca di un disastro annunciato.

Marco Marcoaldi — Wed, 24 Feb 2010 22:22:56 +0000

“Salve, il computer non si accende più e da una schermata blu che segnala la rottura del disco“.

Sono queste le povere ma eloquenti parole ricevute in prima mattinata da un nostro cliente.
Domandando nello specifico di quale computer stesse parlando, ci viene poi risposto che il guasto riguardava il server dove veniva gestita e archiviata la contabilità.

Ad un tratto capiì e ricordai che circa un mese prima avevo chiaramente avvertito i titolari di questa media azienda sull’incoscienza e ottimismo immotivato di tenere un gestionale con oltre 7 anni di contabilità fiscale e logistica su un “server” che non aveva nemmeno un RAID1 e nessun sistema di backup ne tantomeno procedure di disaster recovery.

Rendere atto nero su bianco dell’incompetenza del loro precedente fornitore e della pericolosità di non utilizzare opportune procedure di disaster recovery evidentemente non è bastato per accettare il nostro modesto preventivo per l’aggiunta di un disco in RAID1 (mirroring) e un disco esterno (o interno hot swap con slitta estraibile) da utilizzare come destinazione per i backup incrementali generati tramite il software Acronis True Image.

Un prezzo molto modesto da pagare confrontato al beneficio che un sistema funzionale di disaster recovery possa portare ad un’azienda quando un disco si rompe.

Ogni alternativa sarebbe stata comunque più dispendiosa in termini di costi, tempo e sicurezza dei dati.

Mandiamo a recuperare tutto in un centro specializzato di recupero dati ?

Costo dell’operazione non minore di 1000 euro e senza nessun risultato garantito.
Tempo di intervento e riconsegna non minore ad una settimana.
E in quel periodo come vive l’azienda ?

E’ valsa davvero la pena risparmiare 250 euro per ritrovarsi in situazioni folli e difficoltose come questa ?

Diffondere l’idea che la tecnologia è soggetta a guasti e che un investimento di 250 euro può salvarvi davvero la vita in casi estremi come questo, non è terrorismo ma realismo allo stato puro.

Se non avete nessuna procedura di backup dei vostri dati, non pensateci troppo contattateci.

Domani potrebbe essere troppo tardi.

Attacco hacker a 2.500 aziende in ben 196 paesi.

Marco Marcoaldi — Fri, 19 Feb 2010 06:57:36 +0000

Oltre 75.000 tra computer e server di circa 2.500 aziende violati in 196 Paesi: è il bilancio del più grande e sofisticato attacco hacker mai registrato sino ad oggi. Lo rivela il Washington Post. L’attacco telematico è stato scoperto da una ditta della Virginia, la Netwitness, ed è iniziato alla fine del 2008. La scoperta è avvenuta il mese scorso: sono state prese di mira email, dati aziendali, carte di credito, le credenziali di accesso dei dipendenti delle aziende della sanità e della tecnologia. Tra i Paesi più colpiti da una rete di hacker est-europei figurano gli Usa, il Messico, l’Arabia Saudita, l’Egitto e la Turchia.

L’intrusione è stata scoperta il 26 gennaio scorso da Alex Cox, un ingegnere di NetWitness: l’esperto ha individuato il cosiddetto Kneber bot, un sistema interlacciato di almeno 20 server e computer gestito da un gruppo di hacker localizzati nell’Est Europa, che avevano creato un centro di controllo in Germania. Secondo gli esperti, gli attaccanti sono riusciti a far scaricare ad ignari dipendenti di molte aziende dei software da siti controllati dagli stessi hacker, oppure inviando mail infette che hanno aperto loro le porte dei sistemi informatici di migliaia di aziende. Per l’intrusione è stato utilizzato uno tra gli spyware più insidiosi, denominato ZeuS. Secondo il Wall Street Journal, l’attacco ha colpito anche dieci agenzie governative statunitensi. In almeno un caso, ha scoperto NetWitness, gli hacker sono riusciti ad entrare in possesso dei dati di accesso email di un soldato. Un portavoce del Pentagono sentito dal quotidiano Usa ha detto che i militari non sono usi commentare specifiche minacce o intrusioni.

Tra le aziende colpite, i giganti farmaceutici Merck & Co. e Cardinal Health Inc., che hanno confermato l’attacco, ed altri colossi come la Paramount Pictures – che ha rifiutato di commentare l’episodio. La NetWitness, guidata da un ex ufficiale dell’aviazione americana, Amit Yoran, si occupa di sicurezza telematica e fornisce i propri servizi ad agenzie governative e a numerose aziende.

(Fonte ANSA.IT)