hit counter
29 July 2008

Gli attacchi DNS aiutano a colpire i meccanismi di aggiornamento online insicuri (per ora sono a rischio Sun Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP, Notepad++, Speedbit)

Avrei voluto intitolare questo post con "La rivincita di Windows Update", ricordando il post in cui avevo dovuto smontare le false accuse portate a Windows Update di poter essere un veicolo di infezione malware, ma non volevo darvi l'impressione che questa notizia mi faccia gioire: se il livello generale di sicurezza non aumenta ne paghiamo le spese tutti, non importa che siano competitor di Microsoft.

Purtroppo la possibilità di iniettare sul vostro PC dei finti aggiornamenti pericolosi è proprio quello che è possibile realizzare oggi a danno di tutte quelle applicazioni che usano meccanismi di aggiornamento online insicuri, dove per "insicuri" si intende il mancato uso dell'HTTPS (per verificare l'autenticità del server che ci fornisce gli aggiornamenti) e il mancato uso di firme digitali (per identificare in modo sicuro il produttore dell'aggiornamento che stiamo installando).

Si legge infatti da diverse testate online (ZDNet, The Register, SecurityFocus) che il toolkit Evilgrade appena annunciato dalla Infobyte Security Research è in grado di sfruttare tramite l'exploit di Metasploit anche la recente vulnerabilità DNS per realizzare un classico attacco man-in-the-middle e riuscire a colpire una serie nutrita di applicazioni: la versione attuale del toolkit ha una serie di moduli per indirizzare appunto Sun Java plugin, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP (download accelerator), Notepad++, Speedbit, ma naturalmente è molto elevato il rischio che venga presto esteso a diverse altre applicazioni che usano un meccanismo debole di aggiornamento online.

Questo scenario mi porta a fare le seguenti considerazioni:

  • rinnovare l'urgenza di aggiornamento rispetto alla vulnerabilità DNS a tutti gli interessati: utenti finali, aziende e soprattutto Internet Service Provider; il nostro osservatorio di sicurezza sui grandi clienti sta operando un nuovo sollecito diretto: avendo già qualche riscontro di ISP non ancora aggiornati, temiamo che la situazione italiana non sia così rosea... :-((
  • l'importanza di definire delle best practice per i meccanismi di aggiornamento online e automatico: avevo già iniziato a porre queste considerazioni a fronte del recente security update di Adobe, e ora questa situazione rende questa necessità ancora più attuale e urgente.
  • la conferma che nessun vendor può sottrarsi dall'affrontare gli aspetti di sicurezza in modo serio e rigoroso...

Altri post/risorse correlate:

Share this post :
Filed under: , , , , ,
 

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Gli attacchi DNS aiutano a colpire i meccanismi di aggiornamento online insicuri (per ora sono a rischio Sun Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP, Notepad++, Speedbit) said:

PingBack from http://www.grabbernews.com/gli-attacchi-dns-aiutano-a-colpire-i-meccanismi-di-aggiornamento-online-insicuri-per-ora-sono-a-rischio-sun-java-winzip-winamp-mac-os-x-openoffice-itunes-linkedin-toolbar-dap-notepad-speed-2737.html

29 July 08 at 8:48 AM
# ANDREA said:

CIAO FELICIANO,

SONO ANDREA TI FACIO I MIEI COMPLIMENTI X IL TUO BLOG.

POSSO CHIEDERTI UN INFORMAZIONE?

DA QUALCHE TEMPO NEL REGISTRO DI SISTEMA MI APPARE L'ERRORE HTTPEVENT 15016.

SISTEMA OPERATIVO VISTA ULTIMATE.

MI DEVO PREOCUPARE?

29 July 08 at 9:08 AM
# Feliciano Intini said:

Ciao Andrea, grazie dei complimenti.

In generale quando hai dei dubbi su un evento di Windows ci sono diversi modi per approfondire. In Windows Vista il più immediato è quello di utilizzare il link "Event Log online help" presente all'interno della descrizione di ogni evento, dal componente Event Viewer. Per verificare poi la presenza di un problema noto, il modo migliore è quello di fare una ricerca nella KB: http://support.microsoft.com . Per verificare se è una problematica comune ad altri utenti il modo migliore è l'uso dei newsgroup. Nel tuo caso specifico, ho cercato l'evento che mi hai segnalato nella KB e ho trovato questo articolo http://support.microsoft.com/kb/949213/en-us : se l'evento si presenta da quando hai messo (se hai messo) l'SP1 di Vista, potrebbe trattarsi della situazione indicata dall'articolo e allora l'evento si può tranquillamente ignorare.

29 July 08 at 10:20 AM
# ANDREA said:

TI RIGRAZIO PER LA CONFERMA CHE MI HAI DATO, PER LA DISPONIBILITÀ E LA GENTILEZZA! TI RIFACCIO I MIEI COMPLIMENTI.

SALUTI ANDREA

29 July 08 at 11:51 AM
# dovella said:

THX

Pingback http://dovellas.spaces.live.com/blog/cns!B957C4A398135A12!2323.entry

30 July 08 at 3:53 AM
# Franz Grua said:

Apple ha rilasciato l'aggiornamento sicurezza 2008-005 che riguarda la vulnerabilità (abbastanza chiacchierata) sugli attacchi DNS. In realtà Apple non ha affrettato l'aggiornamento poiché (come certamente sapete) affida la gestione dei DNS BIND. Questo server aveva già da tempo ricevuto l'aggiornamento in questione.

PS: Dovella, ma che fai spammi sempre?

;-)

01 August 08 at 4:20 AM
# Security Blog di Feliciano Intini said:

Forse la maggior parte di voi non avrà bisogno di consultare questo recente piccolo whitepaper fresco

08 October 08 at 10:17 AM

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

(required) 
(optional)
(required) 
Page view tracker