Security – Page 3

Metasploit 3.0 e MacOSX 10.4.9

*update* 9 Maggio 23:05: la coincidenza e` impressionante.
Nello stesso momento (quasi, non ho fatto i conti di chi prima e chi dopo) Richard Bejtlich (TaoSecurity) scriveva piu` o meno dello stesso argomento. E commentando gli stessi problemi!

Questa sera ho provato a dare uno sguardo a Metasploit sul Mac: l’ultima versione con cui avevo giocato era una delle beta della 3.0, e avevo ancora il Mac PPC.
Sono su un Mac aggiornato alla ultima release (10.4.9 / Intel), ruby dice di essere
ruby 1.8.2 (2004-12-25) [universal-darwin8.0]

ma visto che mi sono guardato bene dal leggere la documentazione, all’esecuzione della console con interfaccia web di Metasploit sono stato accolto da questo messaggio:

./script/../config/boot.rb:18:in `require': No such file to load -- rubygems (LoadError) from ./script/../config/boot.rb:18 from ./script/server:2:in `require' from ./script/server:2 from ./msfweb:82:in `load' from ./msfweb:82

dal che ne ho brillantemente dedotto che non ci fosse rubygems installato.
Ora, si presentavano due opzioni:

installare rubygems dai ports (MacPorts), il che si porta dietro altre cosette fastidiose come tutto il Perl (che non ho nessuna intenzione di compilare un’altra volta)
installare il tutto dritto sulla parte di ruby di sistema

La seconda opzione e` decisamente piu` rapida.
Continue reading “Metasploit 3.0 e MacOSX 10.4.9”

the MS07-017 Windows ANImated cursor exploit

Better late than never:
* the very cool Determina demo (flash) of metasploit using it
* the timeline from the guys at Arbor Networks

I would have posted the link to the third party patch, but it’s useless now.

Mark Russinovich e il kernel di Vista

In questo interessante articolo (in inglese), Mark Russinovich (ex-Sysinternals) parla di alcune delle feature di sicurezza, disponibilita` ed altro implementate nel kernel di Windows Vista.
Ad una occhiata rapida, e per quello che ho letto negli ultimi mesi, mi sembra davvero che la parte piu` interessante e bella del nuovo sistema operativo di Microsoft stia sotto l’appariscente interfaccia.

Da utente Mac, mi rammarico invece che molte delle nuove funzionalita` che Vista ha pare non siano state introdotte in MacOSX 10.5 che probabilmente sara` in uscita tra Aprile e Maggio.
Me ne rammarico soprattutto in quanto si tratta, a mio modo di vedere, di caratteristiche cosi` profonde che se non vengono lanciate in una major release difficilmente le vedremo in una delle versioni del train 10.5.x.

Mi rendo conto di essere stato poco chiaro, ma il post era nato semplicemente per segnalare il link: magari nei prossimi giorni stendero` un breve riassunto commentato di quello che possiamo (o potremo) trovare come feature di sicurezza in 10.4, Vista e la “proiezione” su 10.5.

Online le slide di Infosecurity 2007

Ho messo online nel solito posto le slide dell’intervento che ho tenuto quest’anno ad Infosecurity su architettura e sicurezza di UMA/GAN.
Sara` stato l’allontanarsi un po’ dal contesto in cui mi muovo di solito o analizzare una tecnologia cosi` nuova, ma preparare le slide per questo intervento e` stata una delle cose piu` interessanti che mi e` capitato di fare di recente; di contro, la probabilita` di venire smentito o contraddetto nel breve periodo e` molto piu` alta del solito. :)

Stamattina ho anche ricevuto l’offerta di andare Sabato (17 Febbraio) nel pomeriggio a Bologna a Villa Guastavillani, per parlare un paio d’ore ai ragazzi del Master in Tecnologia del Software Libero e Open Source: ho accettato.

Da parte del Prof. Davoli il preavviso non e` stato tanto, ma a parte la vostra [ragazza|fidanzata|moglie] c’e` un’altra categoria di persone alle quali non si puo` dire di no facilmente: un professore con cui dovete ancora dare l’esame. :)

Pare che potro` anche godere della compagnia di una persona piuttosto famosa: subito dopo di me dovrebbe esserci l’intervento di Andrea Arcangeli. :)

Infosecurity 2007

Ieri ho passato la giornata ad Infosecurity, complice anche una presentazione che ho tenuto su infrastruttura e sicurezza di UMA/GAN (le slide online tra poco qui e sul sito di sikurezza.org).
Come sempre e` stata una giornata fitta di incontri e chiacchiere con moltissime persone che non riesco a vedere durante l’anno, ed anche l’occasione di conoscerne di nuove ed interessanti (Paul Böhm – TESO, Dave Wichers – OWASP).

Al di la` dell’aspetto fortemente commerciale dell’evento, sono rimasto davvero sorpreso da un fatto accaduto durante la presentazione di Matteo: sappiamo che ci sono diversi siti di scommesse che AAMS ha tentato di bloccare con una poco furba operazione sui DNS dei provider italiani. All’affermazione su come fosse possibile oltrepassare le limitazioni imposte semplicemente cambiando DNS, una persona del pubblico ha dato di gomito all’altra esclamando “Oh!, hai visto?” con l’aria di chi ignora totalmente questa possibilita`.

Voglio dire, mi rendo conto che il mio punto di vista sul mondo dell’informatica possa essere fortemente distorto (tendo a frequentare persone tecnicamente molto brave, in ufficio sono stato fortunato con i colleghi, …) ma devo dire che la cosa mi ha lasciato piuttosto stupito.

Intendiamoci, a me capita spesso di non sapere, e quindi viva le occasioni di studio ed approfondimento, pero` mi aspettavo che una minima conoscenza di come funzionano le cose — almeno ad una fiera specialistica di sicurezza informatica — si potesse dare per scontata. E invece.

Io spero che questa non fosse la media dei partecipanti e degli spettatori nelle conferenze dell’area demo: solo alla luce di eventi come questi capisco come l’argomento che trattavo (ed anche quelli di altri, temo) fosse con ogni probabilita` completamente al di fuori del target di pubblico presente.

Al termine dello speech, dopo aver chiesto se c’erano domande, visto il silenzio mi era venuto spontaneo commentare scherzosamente:
“Sono tutti morti, impauriti o addormentati — ma non puo` essere la prima ipotesi, c’e` gente in piedi!“
In retrospettiva, la terza ipotesi forse era la piu` probabile.

E` davvero cosi`? Oppure no? Era il posto ad essere sbagliato? Sono io?

Boh. “Ai poster l’ardua sentenza.” :)