Poison Ivy: ovvero come l’attaccante può finire per essere l’attaccato
La sicurezza nel progettare e scrivere software è importante a tutti i livelli, anche nella realizzazione di un trojan: è quello che ha scoperto Andrzej Dereszowski, ricercatore di Signal 11, dopo una dettagliata analisi di un software un pò particolare: Poison Ivy.
Poison Ivy è un tool di amministrazione remota (Remote Administration Tool, o RAT), con un'architettura client/server che permette di controllare una macchina da remoto. Poison Ivy ha però una piccola particolarità, in quanto fornisce ai "cattivi" una serie di agevolazioni per la creazione di malware: l'infezione consiste nell'installare in modo malizioso la componente server del software con uno dei tanti metodi di attacco possibili (come, ad esempio, la creazione di un PDF ad-hoc) e di iniettarla all'interno di uno dei processi del sistema windows oggetto dell'attacco... ed il contenuto del PC è a completa disposizione dell'attaccante.
Per darvi un'idea di come anche un beota sia in grado di utilizzare tool come questi vi mostro qui di seguito un video-tutorial su come utilizzare Poison Ivy.
Andrzej Dereszowski, ricercatore di Signal 11, si è preso la briga di analizzare nel dettaglio i meccanismi utilizzati da Poison Ivy per sottrarre i dati dalla macchina attaccata, nello stesso modo in cui molti ricercatori di sicurezza analizzano applicazioni come IE o Adobe Reader, riuscendo a scovare una vulnerabilità che permette di esecuire codice remoto... In pratica la vittima ha la possibilità di contrattaccare il suo aguzzino. Di seguito il suo dettagliatissimo paper con i particolari tecnici della vulnerabilità riscontrata.
Link: "Targeted attacks: From being a victim to counter attacking"
Se invece siete in ansia per la sicurezza del vostro sistema l'infezione da Poison Ivy è rilevata dalla maggior parte degli antivirus/antimalware in circolazione; maggiori dettagli sulla sua rimozione potete trovarli qui.
È Adobe Reader l’applicazione più attaccata
Questo è quello che dice F-Secure, in relazione agli attacchi mirati individuati negli ultimi anni: gli attacchi basati sul software Adobe sono circa il 49% del totale del 2009, confrontati con il 39% che mirano a sfruttare vulnerabilità di Word. Ed il trend per l'anno attuale non è positivo.
Attenzione quindi a tenere Adobe Reader aggiornato... o in alternativa preferite un software differente per leggere i file PDF.
Disponibile la Beta 2 del framework .NET 4 su Windows Update
La nuova versione del framework .NET (la quattro, per intenderci) è in beta testing pubblico, disponibile per il download: per chi lo desiderasse è possibile scaricare la beta 2 del nuovo framework direttamente da Windows Update. Per abilitare l'aggiornamento è sufficiente aggiunge un'apposita chiave di registro eseguendo questo comando:
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4B2WU" /v OptIn /t REG_DWORD /d 1 /f
L'aggiornamento non verrà scaricato, però, se avete già altre versioni beta del framework 4 installate sulla vostra macchina.
VMware vSphere
Avevate mai avuto modo di vedere vSphere di VMware? In pratica è una tecnologia in grado di astrarre tutte le risorse hardware messe a disposizione di una serie di host e di mettele a disposizione ad una serie di applicazioni prendendole da un pool: se si rompe una macchina fisica le risorse vengono assegnate diversamente le diverse applicazioni, ma nessuna smette di funzionare (= alta affidabilità).
Il cloud che si viene a formare permette inoltre di allocare dinamicamente le risorse alle applicazioni secondo le necessità, oltre alla possibilità di upgrade hardware decisamente facilitati (basta "attaccare" un pò di risorse in più al pool e associarle alle applicazioni)
I costi di licenza (ai quali bisogna aggiungere la pecunia per il supporto, che si paga a parte) non sono certo alla portata di tutti, ma sono però più che accettabili per business che giustificano un'architettura ad alta affidabilità.
Aprire i file di OpenOffice con Microsoft Office
Mi capita sempre più spesso di trovarmi a che fare con documenti realizzati con OpenOffice: sono sempre di più le persone che apprezzano la gratuità della suite da ufficio di Sun e che stanno lentamente abbandonando la ben più costosa suite Microsoft.
OOo è in grado di aprire senza eccessivi problemi tutti i documenti realizzati con Microsoft Office... ma vi siete mai trovati con il problema opposto?
La soluzione più immediata sarebbe quello di effettuare la conversione direttamente con OpenOffice, ma non tutti possono (o vogliono) scaricare ed installare un nuovo software sul proprio PC. Data la risicatezza del mio disco rigido, anch'io mi sono trovato in questa situazione.
Per Word, ho risolto con questo plugin rilasciato dalla stessa Sun: davvero nulla di più immediato, doppio click ed il vostro winword vi aprirà come per magia il file creato da openoffice.
Link: ODT Plugin for MS Word
