SQL "self-injection"?

Posted on November 6, 2007 by claudio

Ebbene, al peggio non c’è mai fine. Leggetevi questo post su… bah, mi mancano le parole. Cito perciò il post: “Gulp! L’intera SQL passata via querystring in bella mostra.”.  Seguire il consiglio del post e guardare cosa restituisce la ricerca con Google è molto istruttivo. In realtà quello dei CMS è un grosso problema. Recentemente stavo per scrivere un post sul defacement del sito di un piccolo Comune che aveva usato un CMS praticamente “artigianale”. Dopo il defacement erano passati a Joomla!. Stavo per criticare la scelta, dato che Joomla riporta ben 30 entry su Securityfocus solo per lo scorso anno, poi ho visto che WordPress, che uso io, ne riporta quaranta ed ho deciso di soprassedere 😉 Una collega ieri mi ha detto di avere a sua volta avuto problemi con Joomla!.

Il fatto è che i CMS sono anche quelli dei “middleware” fortemente interattivi e  con un mare di funzionalità “evolute”. È facile trovarci quindi delle vulnerabilità. è difficile invece scegliere. Wikipedia riporta  circa 80 prodotti diversi, e spesso la scelta è basata su consigli di amici o su “l’ho provato e funziona”. Inoltre è un prodotto che nasce “per l’utente” e solo successivamente diventa “per l’azienda”, e quindi nasce in un contesto in cui l’attenzione per la sicurezza è minima. Il risultato di questi ed altri problemi è che si può trovare in giro codice come quello descritto nel post di cui sopra, ma anche che alcuni fra i prodotti più diffusi possono avere trenta o quaranta vulnerabilità in un anno.

Parlando di pubbliche amministrazioni, questo è un altro  tipo di prodotti in cui sarebbe auspicabile, secondo me, che da una parte ci fosse un centro nazionale che supporti lo sviluppo e l’utilizzo di uno o al più due prodotti Open Source, dall’altra che le singole amministrazioni rinunciassero all’eccessiva autonomia nella scelta del prodotto, e soprattutto agli “estri” dei webmaster, e usassero i prodotti supportati. Questo da una parte eviterebbe i costi di licenze e, peggio ancora, di prodotti sviluppati ad hoc che riproducono un sottoinsieme di quando già disponibile, dall’altra favorirebbe l’adozione dello stesso strumento più sicuro anche in altri contesti.

Posted in ict, Sicurezza | Comments Off on SQL "self-injection"?

Un'occhiata alla sfera di cristallo

Posted on November 6, 2007 by claudio

Spafford racconta le sue previsioni per il futuro. Vi sembrano banali? Come dice lui, o avete anche voi una sfera di cristallo, o lavorate nella sicurezza 😉 C’è anche una certa amarezza e disillusione che traspare, e che traspare sempre più spesso in quello che scrivono i vecchi guru della sicurezza. Si sente in frasi come “il governo continuerà a spendere più soldi per impedire di vedere donne nude su Internet di quanti ne spende per la ricerca sulla sicurezza” oppure “il governo continuerà a chiedere ‘consigli da esperti’ a quelle stesse industrie che hanno creato i prodotti insicuri che ci hanno messi in questo pasticcio”.

Altre previsioni sono più interessanti, come quando dice che alcuni paesi diventeranno noti  come paradisi per i cybercriminali,  e che la disponibilità di quei paesi a combattere il crimine dipenderà dai rapporti finanziari fra il governo e la criminalità.

Ci aggiungo una mia previsione personale: sempre più spesso verranno scoperti abusi commessi da personale di  pubbliche amministrazioni, telco, asl e tutte le vaire organizzazioni che trattano comunicazioni e dati personali o comunque riservati. Gli abusi avverranno per mancanza di controllo degli accessi legato ai ruoli  e per mancanza di controlli interni. La maggior parte degli abusi comunque non verrà scoperta.

Posted in Sicurezza | Comments Off on Un'occhiata alla sfera di cristallo

Anche Vista nasconde le estensioni dei file

Posted on November 5, 2007 by claudio

È una banalità, ovviamente. Tuttavia la davo talmente per scontata che non ci avrei mai fatto caso se non fosse stato per questo post, che peraltro sembra pensare che sia un problema legato a XP, mentre è decisamente più vecchio. Ma forse la notizia sta proprio nella banalità. Si sa da dieci anni che è una pessima idea, che questa “funzionalità” è meglio disabilitarla, che gli utenti che lo fanno non subiscono particolari traumi né danno segni di disorientamento per il fatto di vedere le estensioni, che parte del lavoro dei vari programmi di protezione del desktop sta nell’evitare che gli utenti clicchino su file con nomi/icone fasulli… ma nonostante questo, a quanto pare la funzionalità è stata ancora messa in Vista e attiva per default. Così, si devono ancora ripetere per Vista gli stessi consigli sui default da disabilitare…

Posted in Sicurezza | Comments Off on Anche Vista nasconde le estensioni dei file