Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : SQL Security

Analisi di rischio sui Bollettini di sicurezza Microsoft - febbraio 2009

Feliciano Intini — Tue, 10 Feb 2009 20:50:37 GMT

Come anticipato lo scorso venerdì, questa emissione di sicurezza di febbraio 2009 vede la pubblicazione di 4 bollettini che risolvono un totale di 8 vulnerabilità, tutte non note pubblicamente fino ad oggi tranne quella relativa al bollettino di SQL che...(read more)

4 bollettini di sicurezza Microsoft in arrivo per febbraio 2009

Feliciano Intini — Fri, 06 Feb 2009 14:16:22 GMT

Rapido post di anticipazione per il prossimo patch tuesday , che cade il prossimo 10 febbraio (al solito sarà la tarda serata di martedì per noi in Italia), e prevede l'emissione di 4 bollettini , di cui 2 Critical e 2 Important : Uno sguardo sulle versioni...(read more)

4 bollettini di sicurezza Microsoft in arrivo per settembre 2008

Feliciano Intini — Fri, 05 Sep 2008 15:10:37 GMT

Rieccoci a parlare di bollettini, grazie al consueto preavviso che arriva 3 giorni lavorativi prima dell'emissione programmata (questo mese il patch tuesday cade martedì prossimo, 9 settembre). Dopo la "grandinata" :-) del mese scorso,...(read more)

Analisi di rischio sui Bollettini di sicurezza Microsoft - luglio 2008

Feliciano Intini — Wed, 09 Jul 2008 14:53:40 GMT

Rieccoci al consueto appuntamento di analisi dei bollettini di sicurezza Microsoft: come già anticipato venerdì scorso , questo mese vede l'emissione di 4 bollettini , tutti con rating Important , che risolvono un totale di 9 vulnerabilità...(read more)

4 bollettini di sicurezza Microsoft in arrivo per luglio 2008

Feliciano Intini — Fri, 04 Jul 2008 12:01:34 GMT

Approccio per così dire... semi-estivo... al rilascio dei bollettini di sicurezza Microsoft previsti per il prossimo 8 luglio: sono attesi solo 4 bollettini e solo con rating Important , come potete osservare dalla tabella di sintesi Maggiori dettagli...(read more)

Security Advisory 954462: nuovi tool per identificare le vulnerabilità che espongono ad attacchi SQL injection

Feliciano Intini — Wed, 25 Jun 2008 11:47:36 GMT

Due mesi fa vi avevo parlato di nuove ondate di attacchi di tipo SQL Injection , poi un mese fa ho ritenuto utile riaccennare al problema durante il video-editoriale su SQL Server (per chiarire che questo tipo di attacchi non sfruttano specifiche vulnerabilità...(read more)

Video-editoriale sulla sicurezza di maggio - SQL Server 2008

Feliciano Intini — Thu, 29 May 2008 15:36:18 GMT

Lo so che eravate in ansia... :-)... e già da diversi giorni vi stavate domandando "...ma quando uscirà la nuova puntata di SECs & the City con Francesca Di Massimo e Feliciano Intini???". Et voilà... eccovi accontentati... intenditori... :-)))!

Vi vedo... state ridendo nel vedere il formato del video, vero? Vi spiego tutto. Dopo il ciak finale del video editoriale ho richiesto un favore alla regia... ehm... un piccolo video ritocco... "non è che potreste manipolare il fattore di forma del filmato per farmi apparire un po' più snello e longilineo? Diciamo... alla Ridge di Beautiful!". Mi hanno risposto: "sì sì, OKKK, stai traaanquillo... ci pensiamo noi!..." Il risultato è sotto i vostri occhi: hanno sì schiacciato il video... ma dal lato sbagliato! Ora più che Ridge sembro Lino Banfi (il mitico), più tarchiatello di prima!!! E' una congiuraaa! :-(((

Spero che almeno i contenuti (le principali funzionalità di sicurezza di SQL Server 2008, lo straordinario trend di assenza di vulnerabilità di SQL server e un chiarimento su cosa sia un attacco di SQL Injection) siano Beautiful! ;-)

Per le puntate precedenti vi rimando alla pagina sugli editoriali del sito Sicurezza di Microsoft Italia e ai miei post precedenti.

Share this post :

Nuova ondata di attacchi SQL Injection/iFrame: l'importanza della sicurezza applicativa e del security patching

Feliciano Intini — Mon, 28 Apr 2008 17:05:02 GMT

La blogosfera "sicura" (nome scherzoso con cui identifico l'insieme di blog/e-magazines in tema sicurezza che cerco di leggere quotidianamente) ha già ampiamente battuto questa notizia, e quindi dovreste essere già tutti consapevoli di quanto sto per riportarvi, ma in questo caso ho deciso che fosse giusto il "melius abundare" e unirmi al coro per ribadire alcuni concetti forse ovvi ai più esperti ma indubbiamente utili per comprendere come si sta evolvendo lo scenario di rischio su Internet.

E' in corso una nuova ondata di attacchi SQL Injection/iFrame che sta coinvolgendo progressivamente alcune centinaia di migliaia di siti web.

Intanto è importante sottolineare, come già fatto dal blog del MSRC, che questi attacchi non stanno sfruttando la vulnerabilità segnalata nel recente security advisory e tanto meno stanno sfruttando vulnerabilità già note relative alla piattaforma Microsoft (e quindi già corrette, con tanto di security patch risolutiva già disponibile): gli attacchi sono di tipo SQL Injection, come ribadito dal post sul blog di IIS al riguardo (dove potete trovare una ricca serie di link di approfondimento alle best practice di protezione rispetto a questo tipo di problematiche).

Questo mi porta a fare la prima considerazione: l'importanza fondamentale della sicurezza applicativa rispetto all'evoluzione del cosiddetto Web 2.0. Come riportato dal post di F-Secure, l'aumento di soluzioni web che accettano dei dati in ingresso direttamente forniti dagli utenti (blog, forum di discussione, moduli di feedback, e così via...) e il contemporaneo utilizzo dei server SQL nel backend di tali soluzioni, espone inevitabilmente ad attacchi di SQL injection se tali dati non vengono verificati prima di essere memorizzati. Quindi non basta aggiornare i sistemi web server con le patch di sicurezza di TUTTO il software che ci gira su: è doveroso anche assicurarsi di aver scritto codice sicuro per tutto il codice custom che viene eseguito da tali web server. Questo per quanto riguarda le responsabilità degli amministratori dei web server.

Guardiamo poi in breve alla dinamica con cui si sviluppano questi attacchi (descritta con qualche dettaglio in più dagli ultimi due post del blog di Panda Security, qui e qui): la compromissione dei web server di cui detto si realizza con l'aggiunta di uno script a tutte le pagine web; il malcapitato utente che atterra su questi siti che ritiene sicuri (mentre sono stati "infettati") esegue lo script e viene dirottato inconsapevolmente verso alcuni siti web sotto il controllo di questi pirati informatici (fino ad ora si segnalano 3 domini, nmidahena.com, aspder.com e nihaorr1.com che sarebbe utile filtrare sui vostri proxy). Tali siti eseguono del codice che è in grado di installare del malware sul vostro computer se questo viene trovato vulnerabile ad una serie di vecchie vulnerabilità per cui esiste già la patch (un esempio di quelle che sembrano essere utilizzate: MS06-014, MS07-004, MS07-018, MS07-033, MS07-055).

Seconda considerazione: il security patching urgente è una best practice che non si deve abbandonare mai. Per le aziende questo vuol dire dotarsi di processi di patch management che non siano ostacolati da troppa burocrazia e di strumenti che abilitino alla distribuzione rapida ed estesa degli aggiornamenti di sicurezza. Per gli utenti finali questo vuol dire assicurarsi di aver abilitato l'automatismo degli aggiornamenti di sicurezza, sia per i prodotti Microsoft che per tutti quelli che lo prevedono (e di operare una revisione periodica del livello di aggiornamento di quelli che non lo prevedono: esempio, WinZip). Un PC perfettamente aggiornato non è attaccabile in modo silente e l'unico rischio residuo rimane quello del consenso da parte dell'utente all'installazione di quanto questi siti pericolosi possano proporre in modo più o meno subdolo.

Share this post :

Primi spunti di security in SQL Server 2008 (codename Katmai)

Feliciano Intini — Wed, 01 Aug 2007 12:59:49 GMT

Apprendo che oggi è stata rilasciata la CTP di luglio (CTP4) di SQL Server 2008, Katmai per gli amici, disponibile sul sito http://connect.microsoft.com/sqlserver.

Per coloro che si stanno domandando cosa sia una CTP: la Community Technology Preview è appunto la condivisione con la comunità degli sviluppatori di una pre-release di prodotto per ricevere da essi feedback diretto man mano che il prodotto viene realizzato; è importante sapere che non è equiparabile ad una versione Beta: è possibile che alcune funzionalità siano assenti o non funzionino come dovrebbero , e non sono supportati gli aggiornamenti verso le versioni beta o le versioni RTM.

In attesa che il prodotto si completi nelle varie funzionalità, ho dato una veloce occhiata agli aspetti di security: mi riprometto di trovare in futuro qualche dettaglio meno marketing, ma per ora abbiate pazienza e leggete questo estratto dai whitepaper che trovate sul sito dedicato a SQL Server 2008:

Transparent Data Encryption: SQL Server 2008 enables encryption of an entire database, data files or log files, without the need for application changes. Some of the benefits include: search encrypted data using both range and fuzzy searches, search secure data from unauthorized users, and data encryption without any required changes in existing applications.

Extensible Key Management: SQL Server 2005 provides a comprehensive solution for encryption and key management. Encryption enables organizations to meet the demands of regulatory compliance and overall concern for data privacy, organizations are leveraging, as a way to provide a comprehensive solution. SQL Server 2008 delivers an excellent solution to this growing need, by supporting third-party key management and HSM products.

Auditing: SQL Server 2008 allows users to create and manage auditing via DDL while simplifying compliance by providing more comprehensive data auditing. This enables organizations to answer common questions such as “What data was retrieved?”

Non voglio portare sf...ortuna ma se andate a vedere sulla pagina che elenca i bollettini di sicurezza e cercate per SQL Server 2005 quanti ne trovate ? Zero. E l'ultimo bollettino di SQL Server 2000 a quando risale ? A QUATTRO anni fa. I prodotti diretti concorrenti di SQL Server possono dire altrettanto ? Lascio a voi le riflessioni del caso ... ;-))))