Emanuele Gentili blog

Gestire un blog non e` mai stato facile, dare notizie pubblicare analisi e star dietro a tutti gli interessi che seguo e` un compito veramente arduo, specialmente da quando di blog ne gestisco due: uno in lingua italiana ed uno in lingua simil inglese.

Vedro` in questo post di riassumere brevemente “a mo di newsletter” tutto quello che in questi giorni ho pubblicato solo dall` altra parte per rilanciare le notizie su questo blog cercando (ve lo prometto) di mantenere il parallelo il piu` possibile.

0×001 Cambio di Grafica

Come avete notato la grafica dei blog e` cambiata, ho deciso di utilizzare il tema scritto e disegnato da   “Aldolat“.

No, non è una sottomarca della Parmalat!  E` il nickname utilizzato da Aldo Latino

Tornando al template.. come potete vedere è molto vivace, pulito e ben gestito, unica pecca? I font. Che a breve vedro` di modificare.

0×002 Ubuntu Sempre, comunque e dovunque

La foto parla da sola..

0×003 SECURITY: MoinMoin “tana pel gatto e pel topo”

La scorsa settimana, o giu di li, mi son deciso a fare del sano auditing a MoinMoin, wiki “crucco” molto utilizzato dai Loco Team di Ubuntu.

Risultato della lettura dei codice e dei test, una bella falla di sicurezza che permetteva l`injection di codice html e la possibilità di cookies grabbing.

Vulnerabilità prontamente notificata al moinmoin main coder Thomas Waldmann con il quale ho lavorato anche per la stesura della fix.

Inutile dire che tutte le piattaforme utilizzate in ubuntu con moinmoin risultassero vulnerabili, lo stesso help.ubuntu.com e` stato finalmente patchato utilizzando la mia fix.

Per quanto concerne i repository, solo in intrepid era presente la vulnerabilità, poiche` introdotta dall` Upstream nella versione 1.7.

A tal proposito, come gia` fatto in altra sede, ringrazio Scott Kitterman per la sua veloce sponsorizzazione della mia fix in Ubuntu Main, Bug 248167.

MoinMoin 1.6 http://hg.moinmo.in/moin/1.6/rev/8686a10f1f58

MoinMoin 1.7 http://hg.moinmo.in/moin/1.7/rev/383196922b03

Guardare anche: http://moinmo.in/SecurityFixes

0×004 Sono diventato Master Of The Universe

So che e` importante, ma mi ero dimenticato di scriverlo anche qui.. Sono diventato Ubuntu MOTU!

Cio` mi permettera gli upload diretti senza alcuna sponsorizzazione nei repository di Ubuntu.

Leggi qui l`annuncio

Tremate, gente, Tremate!

0×005 Window Maker - Desktop Minimale per GNU/Linux.

Dopo alcuni bugfix proposti ai maincoder di Window Maker, mi hanno proposto di diventare sviluppatore ufficiale del famosissimo desktop manager fossile veloce, performante, stabile e leggero.

Inutile dire che io abbia accettato, vista il lungo utilizzo che ne ho fato.. (Dicembre 2001) L`affetto che ho per il mio primo desktop manager che io abbia mai utilizzato ha prevalso!

0×006 Window Maker Contest.

Inutile dire che dopo esser diventato sviluppatore di Window Maker mi sia stato chiesto di prendere il mano il pacchetto in Ubuntu abbandonato da dio (che non esiste).

Ho preso il pacchetto e l`ho rimesso a nuovo, a volte a suon di bestemmie visto il nuovo update di libtool.

Comunque il contest che portera` alla decisione dello sfondo e` aperto… maggiori informazioni le trovate qui.

0×007 Security: BIND9 l`exploit e` pubblico. Corri ad aggiornare i tuoi DNS.

L`analisi che ho scritto è abbastanza lunga, vi consiglio di andarvela a vedere direttamente qui.

E anche questa e` fatta…

E` stata scoperta una vulnerabilità nel generatore di numeri casuali usato da OpenSSL su Debian e Ubuntu.

Come risultato di questa vulnerabilità, alcune chiavi cifrate sono molto più comuni di quanto dovrebbero essere, tali che un ipotetico aggressore può scoprire la chiave con un attacco di forza bruta e usando un livello minimo di conoscenza del sistema.

Tutto questo affligge, in modo particolare, l’uso di chiavi cifrate in OpenSSH, Open VPN e SSL.

Questa vulnerabilità riguarda solamente i sistemi (come Ubuntu) basati su Debian. Non si può peraltro escludere che altri sistemi ne siano affetti, se le chiavi vulnerabili venissero importate al loro interno.

Si considera questa vulnerabilità estremamente seria, e si raccomanda a tutti gli utenti di intervenire con urgenza per mettere in sicurezza il proprio sistema.

Questo avviso si applica ugualmente alle versioni corrispondenti
di Kubuntu, Edubuntu e Xubuntu.

Il problema può essere corretto aggiornando il proprio sistema alle
seguenti versioni dei pacchetti:

Ubuntu 7.04:
libssl0.9.8                     0.9.8c-4ubuntu0.3

Ubuntu 7.10:
libssl0.9.8                     0.9.8e-5ubuntu3.2

Ubuntu 8.04 LTS:
libssl0.9.8                     0.9.8g-4ubuntu3.1

In generale, un aggiornamento standard del sistema sarà sufficiente per
apportare i cambiamenti necessari.

USN-612-1

USN-612-2

USN-612-3

Attualmente l`aggiornamento per ubuntu gutsy sembra fallire, la comunità sta lavorando per risolvere il problema in tempi rapidi.

Consigliamo l`aggiornamento immediato e la creazione di una nuova coppia di chiavi in caso di necessità.

Come già scritto da Gabriele Pastorino in questo post, Il team di LaunchPad ha deciso di controllare le chiavi di ogni utente e di eliminare quelle che risultassero deboli.
Consiglio quindi a tutti di controllare il proprio profilo di LaunchPad, di aggiornare openssl e openssh, e di ricreare chiavi nuove in caso di necessità.

Aggiornamento:

(18:37:12) cjwatson: it’s a single sodding blank line *sigh*

problema risolto, fix in arrivo anche per gutsy.

Come già fatto da Luca Falavigna anche io estendo la classifica degli sviluppatori che hanno lavorato in hardy.

TOP UPLOADERS
1 Jonathan Riddell (831 packages)
2 Sebastien Bacher (606 packages)
3 Matthias Klose (563 packages)
4 Luke Yelavich (404 packages)
5 Martin Pitt (362 packages)
6 Michael Bienia (348 packages)
7 Michael Vogt (340 packages)
8 Timo Aaltonen (303 packages)
9 Colin Watson (276 packages)
10 Steve Kowalik (253 packages)
11 Stephan Hermann (245 packages)
12 Mario Limonciello (240 packages)
13 Luca Falavigna (240 packages)
14 Steve Langasek (213 packages)
15 Scott Kitterman (179 packages)

TOP ITALIAN UPLOADERS
13 Luca Falavigna (240 packages)
22 Cesare Tirabassi (115 packages)
31 Andrea Colangelo (78 packages)
41 Michele Angrisano (61 packages)
60 Mario Bonino (35 packages)
61 Fabio M. Di Nitto (35 packages)
65 Emanuele Gentili (30 packages)
84 Andrea Gasparini (18 packages)
92 Andrea Veri (15 packages)
110 Matthew East (10 packages)
134 Daniel Schwitzgebel (6 packages)
140 Alberto Milone (tseliot) (5 packages)
165 Salvatore Palma (4 packages)
218 Maurizio Moriconi (2 packages)
234 Paolo Naldini (2 packages)
235 Naldini Paolo (2 packages)

Cordando con Luca sulle ottime posizioni italiane faccio anche io notare la crisi d`identità di “Paolo Naldini”

P.S. Faccio notare come il mio lavoro svolto prevalentemente nel settore sicurezza mi abbia portato a scrivere solo 30 fix in hardy, molte di piu` invece le altre fix nelle vecchie versioni ancora supportate di Ubuntu.

cen|sù|ra: controllo esercitato da un’autorità civile o religiosa su pubblicazioni, spettacoli, mezzi di informazione, per adeguarli ai principi della legge, di una religione o di una dottrina morale.
(Tullio De Mauro, il dizionario della lingua italiana.)

Non tutti lo sanno, ma anche lo stato Italiano con il decreto Gentiloni ha fatto un passo verso la Cina per la censura dei contenuti web.

Quindi basta essere invidiosi e pronunciare frasi come “tanto piu` si va avanti e piu` lo stato ci imbavaglia”, e` gia` successo!

Lo stato Italiano infatti imponendo agli Internet Service Provider (ISP) l`utilizzo di un kit-censore, riesce a deviare ed oscurare determinati contenuti o domini internet.

A questo punto si potrebbe pensare:  “ma se le liste di indirizzi censurati vengono filtrati dai dns dei provider, quindi basta usare un dns aperto, tipo opendns (208.67.222.222 e 208.67.220.220)”

Niente di piu` sbagliato!

Infatti non e’ cosi’ semplice, l’implementazione pratica consente il blocco degli ip e non solo della risoluzione come si puo` leggere dalle analisi di censura fatte da privacyinternational. 

In questa pagina trovate informazioni utili per comprendere l’analisi e le sue difficolta’.

E` possibile tuttavia bypassare i filtri censori utilizzando e deviando la propria connessione Internet, vari strumenti anche di tipo open sono disponibili in rete.

La maggior parte degli utenti cinesi si servono di server proxy aperti.

Essendo “aperti” questo tipo di server sono insicuri per definizione e possono essere facilmente monitorati. Inoltre molti di questi server finiscono rapidamente su delle block list, e quindi diventa estremamente difficile farne uso.

Altri utenti cinesi si servono di Tor, un software che distribuisce le richieste dei navigatori lungo una lunga serie di nodi che anonimizzano l’identità di chi naviga.

Anche quando non vengono bloccate, questo tipo di connessioni hanno il problema di essere estremamente lente.

Maggiori informazioni su TOR, attualmente migliore risorsa per bypassare i filtri di censura,  potete reperirle qui.

Per esaminare il kit di programmi censori imposti dallo Stato Italiano agli ISP  per bloccare  IP e dominio all’accesso dei siti internet (CNCPO, Decreto Gentiloni), invece cliccate qui.

In alcuni casi però il blocco viene solo e soltanto fatto sull`hostname  (nel caso di siti di scommesse che non pagano le tasse al monopolio di stato italiano) portando ad una falsa visualizzazione e risuluzione dell` IP.

qualche esempio:

Se proviamo ad andare su www.casinonazionale.com, il dns di telecom, per obblighi di stato, ci risponde

emgent@freeworld:~$ host www.casinonazionale.com
www.casinonazionale.com has address 217.175.53.72

dove via web compare il sito dell’Amministrazione Autonoma dei Monopoli
di Stato che dice “AVVERTENZA - SITO NON RAGGIUNGIBILE”

Quindi, se proviamo ad aprire il nostro browser e digitare www.casinonazionale.com, saremo mandati al sito web dell`Amministrazione Autonoma dei Monopoli di Stato.

mentre se digiteremo sul nostro browser l`indirizzo ip REALE del sito 217.15.106.34, lo visualizzeremo correttamente.

In ogni caso, per non incorrere in alcun tipo di censure, consiglio sempre l`utilizzo di TOR, anche se come detto va a rallentare la visualizzazione delle pagine internet.

Alla CanSecWest Vancouver 2008, una delle più importanti conferenze annuali sulla sicurezza digitale, è stato organizzato un evento per testare la sicurezza dei tre principali sistemi operativi attualmente disponibili: OsX, Ms Windows e Ubuntu Linux.

Il CanSecWest PWN to OWN contest, aperto a tutti gli hacker che partecipavano alla conferenza e sponsorizzato attraverso un premio in denaro, consisteva nel tentativo di violare uno dei sistemi operativi in questione in 30 minuti, rispettando alcune “regole d’ingaggio”.
Risultato: l’unico sistema a rimanere inviolato è stato Ubuntu.

Questo a dimostrazione dell` ottimo lavoro fatto dal gruppo sicurezza di Ubuntu, di cui anche io faccio parte, e da quello di Debian con cui siamo in continua collaborazione.