October 21, 2014

Il razzismo di SixXS

Come forse saprete fornisco gratuitamente mail del tipo @archlinux.info e @archlinux.net a chiunque ne faccia richiesta.

Per essere al passo coi tempi volevo aggiungere il supporto a IPv6 e quindi ho chiesto al "fornitore" di IPv6 migliore che esista (SixXS per l'appunto) di poter avere un tunnel IPv6 verso il server che gestisce le email.

La risposta che ho ricevuto è stata alquanto shockante:

September 25, 2014

"CVE-2014-6271: remote code execution through bash" panico esagerato!

Come forse avrete già letto ieri è stata rilasciata una patch per risolvere un problema grave di bash.
Praticamente è possibile eseguire codice da remoto o da locale, semplicemente mediante un assegnamento di variabile "speciale".
Per esempio:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Secondo me però c'è più panico di quello che serva. Un blog famoso (uno fra tanti) ha scritto una serie di castronerie giganti e ora cerco di chiarire, una volta per tutte, qual è l'incidentalità di questo problema.

  1. Quasi nessun dispositivo embedded usa bash, per il semplice motivo che è grossa e occupa tante risorse. La stragrande maggioranza usano una shell che si chiama ash e che si trova nel pacchetto busybox. Quindi il problema di dover aggiornare tv, router, etc , descritto da attivissimo, è un falso-problema.
  2. Debian e Ubuntu (che sono fra le distro più usate) usano dash come shell di default (#!/bin/sh), per cui meno soggetti al problema.
  3. sudo, il pacchetto usato di default su Ubuntu per poter diventare root e/o eseguire comandi come root non è soggetto (di default) al problema, in quanto le variabile d'ambiente sono ripulite (opzione env_reset). Quindi se anche avete in sudoers dei comandi di shell da far eseguire a un altro utente come root, in linea di massima non può sfruttare questa vulnerabilità.
  4. Praticamente nessuno usa CGI scritte in bash nel 2014! Inoltre il server web non gira con i privilegi di root, per cui l'eventuale attaccante dovrebbe poi trovare un altro modo di diventare root.
Aggiornate pure bash, o usate qualche workaround se non volete aggiornarlo, ma non preoccupatevi eccessivamente!

April 22, 2014

Installare linux su Android

Se volete installare linux su Android ci sono un paio di applicazioni che fanno al caso vostro.

Linux Deploy - permette di installare Debian, Ubuntu, Arch Linux, Fedora, openSUSE, Kali Linux, Gentoo direttamente su partizioni o su immagini disco (occhio che fat32 supporta al massimo file grossi 4GiB).

Lil' Debi: Debian Installer - permette di installare Debian in una chroot, per cui si spreca meno spazio rispetto ad una immagine disco, però non ha il supporto grafico (X), ma solo la console. Comodo per utenti avanzati che hanno bisogno dei tool di linux da terminale, tipo nmap, traceroute, etc

April 18, 2014

Altro partito, altra vulnerabilità.

Ma è possibile che i partiti politici non vogliano spendere per la sicurezza dei loro siti internet?

Dopo aver trovato delle insicurezze sul sito di Beppe Grillo, ne ho anche trovate sul sito Vieniafirmare.org della Lega Nord.

Come al solito mi sono premunito di avvertire e come al solito sono stato bellamente ignorato.

La vulnerabilità in questione (SQL injection) è particolarmente grave e potrebbe permettere ad un utente malevolo di modificare i contenuti presenti sul sito stesso, (defacing o simili).

Potrebbe anche permettere di eseguire codice malevolo sul server che ospita il sito in questione (anche se è un attacco più difficile da effettuare).

March 5, 2014

Le insicurezze del sito di Beppe Grillo

Dopo aver informato i tecnici del sito di Beppe Grillo delle varie vulnerabilità (SQL Injection, XSS), mi sono scontrato (per caso) in altre vulnerabilità gravi:

L'autenticazione viene fatta in chiaro, senza usare HTTPS o altri sistemi per evitare che un malintenzionato che abbia accesso ai pacchetti trasmessi dal tuo browser al suo server, possa accedervi.

Questo significa che se vi loggate sul Blog (http://www.beppegrillo.it/login.php) e siete in una rete pubblica o aziendale o avete una WiFi poco sicura la vostra password può essere caduta in mano a chiunque.

Inoltre la tua password viene salvata nei cookie in chiaro (e senza l'attributo httpOnly).
Questo significa che se visitate un link malevolo, la tua password può esservi sottratta senza che ve ne accorgiate (sfruttando un bug di tipo XSS). E visto che la password del sistema operativo è la stessa del blog, questo rende ogni voto fatto fin'ora non valido!

Visto che potrebbe già esserci un malintenzionato con una lista di utenze rubate, di cui ha sottratto il nome utente e la password, e sta manipolando i voti aggiungendo un numero considerevole di voti falsi.

Se i tecnici del sito di Beppe Grillo desiderano contattarmi, sono più che disponibile a spiegare la vulnerabilità e le varie contromisure che potrebbero adottare in futuro, anche gratuitamente ;-).

April 12, 2013

Attacco hacker a Beppe Grillo... peccato che lo sapessero già

Stamattina Beppe Grillo ha scritto sul suo blog che sono stati sogetti ad un attacco hacker.
Peccato che avessi già informato sia loro che la Casaleggio Associati che il sito è un colabrodo e mi sono offerto di fare un audit completo di sicurezza.
Ovviamente non ho mai ottenuto una risposta.

Quindi o non gli interessa se il sito è un colabrodo e se i vostri dati sono in pericolo (ricordate che hanno anche la scansione dei vostri documenti eh), oppure pensano di essere in grado da soli di fare audit di sicurezza.
Peccato che un audit di sicurezza come si deve va fatto da un professionista e non dal primo script kiddie che trovano.

Segue la discussione mail  (con i dettagli sui bug oscurati per ovvi motivi):

Ciao,
l'e-mail è arrivata.
Abbiamo passato le segnalazioni ai nostri tecnici.

grazie

Un saluto
Lo staff di Beppe Grillo


Il giorno 01 marzo 2013 12:49, Timothy M. Redaelli ha scritto:

Salve,
volevo solo sapere se vi era arrivata la email oppure se si era persa
in mezzo ai milioni di email che, presumibilmente, ricevete ogni
giorno?

Grazie Mille


---------- Forwarded message ----------
From: Timothy M. Redaelli
Date: 2013/2/26
Subject: Re: [beppegrillo.it] SQJ injection (- Sito web - - Segnalazione)
To: Staff Beppegrillo


Ciao,
ho rilevato solo qualche XSS, non sfruttabile da Google Chrome (e
forse Internet Explorer 9+) per le protezioni anti-XSS che questi
browser hanno (che comunque potrebbero venire superate):

<URL RIMOSSI>

Probabilmente ce ne sono diversi altri, ma non è facile verificare
tutti i possibili buchi in queste circostanze e quindi sono
disponibile a collaborare con la sezione tecnica del sito per un
eventuale audit approfondito o un code review.

Vi sto offrendo queste informazioni in quanto ci sono diversi gruppi
di "hacker" (e simili) in italia, sfruttati da partiti politici e
alcuni di questi potrebbero star lavorando su come fare un "deface" al
sito o su come rubare dei dati sensibili e questo non deve accadere.

Sono un grande sostenitore degli ideali di MoVimento 5 stelle e della
democrazia "diretta" che questo modello propone e sarei più che felice
di poter dare una mano in questo o in qualsiasi altra questione
tecnica.


2013/2/26 Staff Beppegrillo
>
> Ciao,
>
> grazie, hai notato se ci sono altri buchi?
>
> Un saluto
> Lo staff di Beppe Grillo
>
>
>
> Il giorno 26 febbraio 2013 14:45, Timothy M. Redaelli ha scritto:
>
>> Ciao,
>> scusate il ritardo, ma sono stato indisposto negli ultimi 4 giorni.
>>
<URL RIMOSSO>
>>
>>
>> 2013/2/22 Staff Beppegrillo
>>>
>>> Ciao,
>>>
>>> puoi specificare dove è?
>>>
>>> grazie
>>>
>>> Un saluto
>>> Lo staff di Beppe Grillo
>>>
>>> Il giorno 21 febbraio 2013 18:26, Timothy Redaelli ha scritto:
>>>>
>>>> Salve,
>>>> volevo segnalare che nel Vostro sito è presente un SQL injection che potrebbe essere usata per cancellare i dati presenti nel database.
>>>> Inoltre la stessa falla può, mediante XSS, essere usata per "rubare" il cookie di accesso al sito e questo equivale a rubare la password di accesso.
>>>>
>>>> Contattatemi al più presto per i dettagli specifici sulla falla.
>>>>
>>>
>>
>

January 25, 2013

Usare Wireshark da remoto

Se avete la necessità di sniffare da remoto con ssh, ma volete avere la comodità della visualizzazione grafica di Wireshark potete usarlo via pipe con tcpdump sull'host remoto e Wireshark sull'host locale.

Date da shell questo comando, sostituendo $host_remoto con l'host remoto e $intf con l'interfaccia remota che volete sniffare:

ssh root@$host_remoto tcpdump -n -s 1500 -i $intf -w- | wireshark -k -i -

March 30, 2012

Ecco perché non compro musica online

I miei due motivi per non comprare musica online:

  1. Troppi negozi di musica online usano DRM che non è compatibile col mio sistema operativo.
  2. Non ho ancora trovato nessun negozio che venda musica in un formato lossless, ormai il prezzo dei dischi rigidi è irrisorio (rispetto ad anni fa) e la banda larga è una realtà moltissimo diffusa, per cui prefersco scaricare un album da 500 MiB in formato lossless, che poi posso riconvertire come voglio senza perdere ulteriore qualità; ad esempio in Ogg Vorbis, che è leggibile tranquillamente da Android e ha una qualità superiore, a parità di bitrate, ad mp3 ed aac.

March 26, 2012

Scaricare o vedere video Mediaset (linux)

Se volete vedere (o scaricare) una puntata intera da http://video.mediaset.it/ sotto linux, non potete usare il browser, dato che video mediaset usa una tecnologia proprietaria e non portabile (Microsoft Silverlight).

Per ovviare a questo problema potete usare mediasetviewer, oppure se non usate Gnome (o volete scaricare la puntata) e non volete installare Zenity potete eseguire il seguente comando da shell:

curl -s "http://cdnselector.xuniplay.fdnames.com/GetCDN.aspx?streamid=`curl -s URL | sed -n 's/^\s*var videoMetadataId = '\''\([0-9]*\)'\''.*/\1/p'`" | grep -o 'http://[^"]*.wmv'

Sostituendo URL con l'indirizzo della pagina che volete vedere.
Ad esempio se volete vedere la puntata del 23 Marzo di Quarto Grado, il comando diventa:

curl -s "http://cdnselector.xuniplay.fdnames.com/GetCDN.aspx?streamid=`curl -s "http://www.video.mediaset.it/video/quarto_grado/full/292401/puntata-del-23-marzo.html" | sed -n 's/^\s*var videoMetadataId = '\''\([0-9]*\)'\''.*/\1/p'`" | grep -o 'http://[^"]*.wmv'

Che restituirà uno o più url con estensione .wmv che potete dare in pasto al vostro player video preferito oppure scaricare con wget o altri download manager.

May 4, 2011

Usare passthrough con PulseAudio

PulseAudio è un sound server usato da quasi tutte le principali distribuzioni e ha un bug aperto da oltre 3 anni che impedisce di poter mandare il flusso AC3 o DTS direttamente all'amplificatore (via S/PDIF o HDMI).

Nonostante alcuni passi in avanti siano stati fatti da alcuni sviluppatori esterni al progetto, infatti Arun ha rilasciato delle patch per gstreamer e cbxbiker61 ha adattato quelle patch per XBMC, nulla è ancora stato rilasciato ufficialmente dal team di PulseAudio.

L'unico workaround possibile è quello di usare pasuspend.

Per esempio
pasuspender -- mplayer -ac hwac3,hwdts, -ao alsa:device=hw=0.1 yourfilehere.avi

Il tool pasuspender disabilita PulseAudio finché il comando specificato (dopo --) è in esecuzione, permettendone l'accesso esclusivo al device audio.

Ovviamente è possibile creare un alias in .bashrc (o .zshrc) per evitare di doversi ricordare tutto il comando completo ogni volta.

Ad esempio potete mettere la seguente riga in .bashrc e lanciare ac3mplayer yourfilehere.avi direttamente
alias ac3mplayer="pasuspender -- mplayer -ac hwac3,hwdts, -ao alsa:device=hw=0.1"

Ovviamente al posto di hw=0.1 dovete usare il device corretto.