Pressplay: faremo scaricare tutto agli utenti

Parere spassionato
Se i bug che ogni volta vengono citati come "letali, feroci, pericolosi, ecc" fossero realmente tali, nessuno potrebbe lavorare con Office o Windows. Al di la dei moralismi su open e close, al di la degli odii personali, sappiamo che le cose non sono poi così gravi.Certo, "se qualcuno sfrutta.... ed entra..." sono parole che incutono timore ma si tratta di "se se se" e tali restano. Io penso (correggetemi se sbaglio) che i reali attacchi che procurano reali danni (valutabili monetariamente, intendo), siano creati con ben altri mezzi che non con i buchi di Office o IE.Mi vengono in mete tutti gli utilizzatori di mini-firewall (software) come Zone Alarm, che ci raccontano di incredibili attacchi alla loro macchina (da chi? per cosa? anche se fosse, cosa potrebbe accadere)?Anche io ero paranoiato poi mi sono un po' rotto le balle ed in effetti ho notato che è un po' come per i virus: i problemi si possono evitare tranquillamente. Non so cosa direbbe Zone alarm sulla mia sicurezza ma non ho bisogno che me lo dica lui :) perchè non ho mai avuto alcun prob in tanti mesi/anni, pur visitando siti più o meno leciti ed usando software più o meno sicuri (file sharing, chat varie, ecc ecc).Se qualcuno vuole andare all'attacco e massacrarci il pc (client, server, workstation, ecc), lo farà con o senza bachetti di IE. Realmente parlando, questi buchi GRAVISSIMI che spuntano di tanto in tanto, quanti significativi danni hanno creato?Altrimenti andrebbero chiuse anche le autostrade: hanno un grosso bug riscontrabile nei weekend, non sono strade sicure, non impediscono gli incidenti (e siamo nel 2002). Idem treni, aerei, bla bla bla. Però si fa un rapporto danni/sopravvissuti. Se è un buon rapporto, si va avanti senza troppe paranoie.

Re: Parere spassionato
> Certo, "se qualcuno sfrutta.... ed entra..."> sono parole che incutono timore ma si tratta> di "se se se" e tali restano.I bug vengono sfruttati eccome. Il fatto che non vengano sfruttati massivamente non significa che restino un-exploited. Non tutti i bug diventano così stranoti come il famoso Nuke sulla porta 139 (era comune subirne un attacco mentre si era tranquillamente in chat).Trascuri poi un particolare: questo è un bug che affligge Explorer e Excel, che tipicamente si trovano su macchine desktop e non server. Presumibilmente, quindi, l'exploit colpirà dei privati e non dei server e difficilmente ne sentirai parlare sui giornali, non trovi? La notizia dei singoli attacchi non avrà certo la stessa rilevanza di un attacco portato a termine su un grosso sito come Amazon.La pericolosità del bug è comunque elevata. Questo perchè difficilmente un attacker si limita ad applicare un singolo exploit: è normalissimo che un attacco si porti a termine in più passi, sfruttando più vulnerabilità e più bug. Semplicemente, questo è un ulteriore bug a disposizione.Tieni conto poi che si parla di esecuzione di codice arbitrario. Dov'è il pericolo? Esempio semplice semplice:- attacco, sfruttando questo bug, una macchina desktop di un'azienda- installo sulla macchina una brava backdoor- la backdoor mi permette di iniziare un attacco degli altri host della LAN, compresi i server: la backdoor mi permette di agire dall'interno della LAN (il che potrebbe essere il primo passo per saltare a piè pari il firewall..)[Sul giornale leggerai che la tale azienda ha perso i suoi dati per un attacco etc etc, e non credo che troverai le singole fasi dell'attacco; se l'attacker lavora bene, lascerà anche poche tracce; e il singolo bug di Explorer (che è stata una delle tanti fasi, apparentemente "innoqua") non sarà quello che fa' la notizia.]Oppure, ancora più semplicemente, installo un keylogger e mi chiappo tutte le password di quella macchina, e presumibilmente quelle degli altri servizi interni alla LAN, e perchè no?, quella dei servizi accessibili da internet. E da lì, via con altri attacchi.Oppure semplicemente, installo un virus o un trojan che fa' piazza pulita dell'hard disk dell'host e degli hard disk degli altri computer nella LAN.> Mi vengono in mete tutti gli utilizzatori di> mini-firewall (software) come Zone Alarm,> che ci raccontano di incredibili attacchi> alla loro macchina (da chi? per cosa? anche> se fosse, cosa potrebbe accadere)?ZoneAlarm non fa' testo. E soprattutto non fanno testo i suoi utilizzatori. Il tipico utilizzatore di ZoneAlarm non ha idea di cosa sia una demilitarized zone, si sente protetto ad installare un firewall sulla stessa macchina su cui lavora e su cui salva i dati e si spaventa quando ZoneAlarm gli segnala un ping di troppo, ignorando la differenza tra un hijacking e un synflood. Gli attacchi di cui raccontano sono il 99% delle volte dei ping sweep o poco più.> mesi/anni, pur visitando siti più o meno> leciti ed usando software più o meno sicuri> (file sharing, chat varie, ecc ecc).Esatto. Basta un minimo di background informatico per ottenere un'ottima protezione dagli attacchi più comuni: bastano davvero poche precauzioni semplicissime. Navigare sul WEB è pericoloso solo per chi scarica i .PIF e li lancia senza problemi.. O chi usa Explorer ;-)Diversissimo è il discorso della sicurezza di un server. Li', al contrario, è necessaria una grandissima competenza, una buona politica di manutenzione e tanto lavoro. Ma certo non si usa ZoneAlarm ;)> Se qualcuno vuole andare all'attacco e> massacrarci il pc (client, server,> workstation, ecc), lo farà con o senza> bachetti di IE. Realmente parlando, questi> buchi GRAVISSIMI che spuntano di tanto in> tanto, quanti significativi danni hanno> creato?Ti ripeto, se parli di danni come l'abbuiamento di Yahoo.com o la cancellazione di tutte le caselle di Hotmail, credo che tu stia sottovalutando il fatto che gli attacchidi grandi dimensioni sono spesso anche complessi ma articolati in tanti piccoli passi. Avere a disposizione un "passo" in più che permette di eseguire codice arbitrario su una macchina è un passo *molto* *molto* sfruttabile per obiettivi ben più pericolosi.

Re: Parere spassionato
eccellente commento... di nuovo mi scopro ad applaudirti, stai diventando il mio eroe!...

Re: Parere spassionato
Grazie per il reply, in effetti la tua descrizione è sicuramente convincente. L'unica cosa che mi sento di dire è questa: a leggere PI, pare che il Pc su cui il 99% delle persone lavora... è un pericolo nazionale, un pericolo personale, un pericolo totale.Cosa che -secondo me- non è assolutamente vera. Ci sono dei bug e ci sono hacker in giro per la rete. L'equazione "bug = sicuro attacco = pericolosissimo" la trovo molto ma molto esagerata.

Re: Parere spassionato
- Scritto da: ---> Grazie per il reply, in effetti la tua> descrizione è sicuramente convincente.> L'unica cosa che mi sento di dire è questa:> a leggere PI, pare che il Pc su cui il 99%> delle persone lavora... è un pericolo> nazionale, un pericolo personale, un> pericolo totale.Klez è diffuso su milioni di host, principalmente grazie a stranoti bug di Outlook. E come lui decine di altri virus. I danni provocati da virus e troiani si misurano in migliaia di miliardi. Ti pare poco?Lo so che ci siamo abituati, ma non è affatto normale dover acquistare un antivirus. Il problema è che ci siamo desensibilizzati, ma non è normale, non è per niente normale che compriamo software per parare i danni causati da big di altri software. E' un chiaro indice che la sicurezza è l'ultima delle priorità delle software house. > Cosa che -secondo me- non è assolutamente> vera. Ci sono dei bug e ci sono hacker in> giro per la rete. L'equazione "bug = sicuro> attacco = pericolosissimo" la trovo molto ma> molto esagerata.Dillo alle aziende che hanno perso miliardi (milirardi!) con il virus che sfruttava il bug di IIS....PS. Era il mio ultimo post... Parto, a fra 15 giorni! Buone vacanze a tutt ;-)

Re: Parere spassionato
> Trascuri poi un particolare: questo è un bug> che affligge Explorer e Excel, che> tipicamente si trovano su macchine desktop e> non server. Presumibilmente, quindi,gli office web components non sono installati di defaulte servono solo lato server...

Re: Parere spassionato - come ti rigiro le carte
- Scritto da: Così> Se i bug che ogni volta vengono citati come> "letali, feroci, pericolosi, ecc" fossero> realmente tali, nessuno potrebbe lavorare> con Office o Windows. Al di la dei moralismi> su open e close, al di la degli odii> personali, sappiamo che le cose non sono poi> così gravi.> Se il fumo delle sigarette fosse così nocivo per la salute come tutti dicono, allora nessuno sarebbe realmente in grado di fumare.Al di la di filosofie puramente igeniste e non, sappiamo che le cose non sono così gravi.> Certo, "se qualcuno sfrutta.... ed entra..."> sono parole che incutono timore ma si tratta> di "se se se" e tali restano. Io penso> (correggetemi se sbaglio) che i reali> attacchi che procurano reali danni> (valutabili monetariamente, intendo), siano> creati con ben altri mezzi che non con i> buchi di Office o IE.> Certo, il "se mi becco un tumore" è una frase che incute timore, ma si trata pure sempre di un "se" e tale resta. Io penso (e correggetemi se sbaglio) che i danni più gravi ai nostri polmoni, dipendano da ben altri mezzi e non alle sole sigarette.> Mi vengono in mete tutti gli utilizzatori di> mini-firewall (software) come Zone Alarm,> che ci raccontano di incredibili attacchi> alla loro macchina (da chi? per cosa? anche> se fosse, cosa potrebbe accadere)?> Mi vengono in mente tutte quelle persone che fanno uso di cerotti alla nicotina, graffette all'orecchio e chissà cos'altro, per smettere di fumare, e che una volta riusciti ci raccontano di chissà quali mirabolanti imprese sportive che riescono a compiere senza avere il fiatone (e anche se fosse, a che pro mi domando? e io che fumo da 20 anni? che cosa mi dovrei perdere a non farmi 10 Km in bicicletta ogni mattina)> Anche io ero paranoiato poi mi sono un po'> rotto le balle ed in effetti ho notato che è> un po' come per i virus: i problemi si> possono evitare tranquillamente. Non so cosa> direbbe Zone alarm sulla mia sicurezza ma> non ho bisogno che me lo dica lui :) perchè> non ho mai avuto alcun prob in tanti> mesi/anni, pur visitando siti più o meno> leciti ed usando software più o meno sicuri> (file sharing, chat varie, ecc ecc).> Anche io ero paranoiato poi mi sono un po' rotto le balle ed in effetti ho notato che è un po come l'alcool: i problemi si possono evitare tranquillamente. Non so cosa direbbe il mio dottore sullo stato di salute del mio cuore, ma in fin dei conti non ho bisogno che me lo dica lui ;) dal momento che non ho mai avuto alcun problema alle coronarie in tutta la mia vita, pur fumando quasi un pacchetto di sigarette al giorno e non negandomi neanche tre o quattro birre medie il sabato sera.> Se qualcuno vuole andare all'attacco e> massacrarci il pc (client, server,> workstation, ecc), lo farà con o senza> bachetti di IE. Realmente parlando, questi> buchi GRAVISSIMI che spuntano di tanto in> tanto, quanti significativi danni hanno> creato?> Se qualcosa ha deciso che la nostra ora è giunta (ictus, infarto o quant'altro) ci toccherà comunque congedarci da questo mondo, indipendentemente dal fatto di fumare o no. Realmente parlando, questi allarmismi su malori GRAVISSIMI che spuntano di tanto in tanto, quante persone hanno realmente colpito?> Altrimenti andrebbero chiuse anche le> autostrade: hanno un grosso bug> riscontrabile nei weekend, non sono strade> sicure, non impediscono gli incidenti (e> siamo nel 2002). Idem treni, aerei, bla bla> bla. Però si fa un rapporto> danni/sopravvissuti. Se è un buon rapporto,> si va avanti senza troppe paranoie.(l'ultimo paragrafo lo riporto integralmente: sei un grande)Altrimenti andrebbero chiuse anche le autostrade: hanno un grosso bug riscontrabile nei weekend, non sono strade sicure, non impediscono gli incidenti (e siamo nel 2002). Idem treni, aerei, bla bla bla. Però si fa un rapporto danni/sopravvissuti. Se è un buon rapporto, si va avanti senza troppe paranoie.

Re: Parere spassionato - come ti rigiro le carte
buffone

Re: Parere spassionato
buffone

Re: Parere spassionato
- Scritto da: PorcoWeb> buffonesbruffone

Per la redazione, un errore
Nel terzultimo paragrafo:Un altro problema, questa volta legato ad una vulnerabilità descritta da Guninski in un advisory che risale addirittura al 2000, riguarda la possibilità di passare a IE il comando che, sebbene non visibile, fa eseguire a Excel il file ".xla"Manca questa parte: tra "il comando" e "che,"... È stata scritta senza utilizzare i codici < e > per i tag html utilizzati...

Re: Per la redazione, un errore
Grazie!Abbiamo sistemato.Questi redattori d'agosto.... :)))))

Non è una novità
Che tutti i bug, specialmente con ActiveX, java e javascript, c'è da aspettarsi di tutto

Re: Non è una novità ma:
Java non direi anche perche' se non viene invocata la JVM un virus in java non puo' far niente (e non e' molto intelligente fare un virus che esegue un file.class invocando la JVM) e un applet java "infetta" o sfrutta bachi del browser o se ne sta' tranquilla.javascript e' un'altra cosa. Ma se non lo vuoi lopuoi disabilitare.ActiveX non so...- Scritto da: TheNinja> Che tutti i bug, specialmente con ActiveX,> java e javascript, c'è da aspettarsi di> tutto

Re: Non è una novità ma: e l'utonto ignurant non
si smentisce.applauso per l'utonto di turno ma se non sai un tubo perchè non evitate di postare idiozie, sfruttando appositi buchi della jvm si possono scrivere file sul disco locale, (ad esempio nella cartella esecuzione automatica e al prossimo avvio piallare la macchina dell'utonto ignaro)comunque già te lo detto in un altro post non scrivete se siete ignurant.- Scritto da: Volta&Gabbana> Java non direi anche perche' se non viene> invocata la JVM un virus in java non puo'> far niente (e non e' molto intelligente fare> un virus che esegue un file.class invocando> la JVM) e un applet java "infetta" o sfrutta> bachi del browser o se ne sta' tranquilla.> > javascript e' un'altra cosa. Ma se non lo> vuoi lopuoi disabilitare.> ActiveX non so...> > - Scritto da: TheNinja> > Che tutti i bug, specialmente con ActiveX,> > java e javascript, c'è da aspettarsi di> > tutto

I Buchi ce li hai in TESTA
Dimmi SOLO UN software che NON ha BUchi. O bachi che dir si voglia.Non ho mai scritto che sia sicura in assoluto ma secondo te in percentuale quanti sono i casi di sfruttamento dei bachi della JVM rispetto ad altri metodi, senz'altro piu' produttivi (dal punto di vista dell' Hacker ovviamente). Quanti casi si leggono di coinvolgimenti della JVM? quanti degli ActiveX O del Vbscript? Quanti del Javascript? E quanti qualli del S.O.?JAVA e'un linguaggio che non permette di accedere né tantomeno manipolare gli indirizzi dimemoria attraverso i puntatori.La stessa Java Virtual Machine si caratterizza per la presenzadi un Security Manager che impone un controllo sulla legittimitàdell'accesso alle risorse di sistema. La garanzia assoluta non esiste ma certamente non e' fra i migliori sistemi da sfruttare. E poi che io sappia tutti ipochi "buchi" noti (compreso quello che dici tu) della JVM sono stati corretti. Correggi piuttosto i BUCHI che hai in testa.

E dovrebbero tappare anche quest'altro
E' il colmo che non sia ancora stato patchato questo bug di IE, che esegue qualsiasi comando sul computer dell'utente.... (nell'esempio "c:/windows/system32/calc.exe") <object classid="clsid:11111111-1111-1111-1111-111111111111" codebase="$WHATFILE$"> </object>

Re: tappalo tu utonto non aspettare MS
che cattivoni quelli della microsoft non ti paccano er buccone, un craccor te potrebbe ciccar la macchinina non pianser, ora papa bello te consola.a utonto ma che vai in giro per internet con le protezioni a zero sugli activex bravo bravo, invece di scrivere pirlate, spreca quarche secondo e alza la protezione vedrai che nessun cracco te insidia la macchina aprendo calc.exe in automatico

Re: tappalo tu utonto non aspettare MS
Senti imbecille, se tu non vuoi usare activex va bene, ma non vedo controindicazioni nel rendere pubblica una falla in modo che Micro$oft faccia una patch.Se non ti sta bene, me ne frego.Usa pure il tuo Lynx e tanti saluti.

Re: E che dire dell'FTP ignurant
mi ma se siete utonti continuate ad esserlo, non e una cosa brutta win vi permette anche questo basta che vi ricordate ogni tanto di lanciate windows update (questo e il bello di win), ed il gioco e fatto.non lanciatevi in lavori che non fanno per voi

Re: E che dire dell'FTP ignurant
Non mi sembra il commento appropriato in quanto ritengo di essere un esperto (e non solo di windows). Tanto per rispondere anche a maks: mai sentito parlare di FTP over SSH2 o di SFTP?E comunque, forse non mi sono espreso io correttamente, intendevo dire che non mi sembra corretto poter visualizzare/stampare anche la password con cui mi sono connesso ad un sito ftp.Bye

Re: E che dire dell'FTP ignurant
> E comunque, forse non mi sono espreso io> correttamente, intendevo dire che non mi> sembra corretto poter visualizzare/stampare> anche la password con cui mi sono connesso> ad un sito ftp.> a parte che usare internet explorer per l'ftp e' da masochisti...se faccio il mirror di un sito ftp con wget la password sta li bella in chiaro sulla console...non c'e' troppo da scandalizzarsi per queste cose...ciao

Re: E che dire dell'FTP ignurant confermato sei ut
onto- Scritto da: Neo> Non mi sembra il commento appropriato in> quanto ritengo di essere un esperto (e non> solo di windows). Tanto per rispondere anche> a maks: mai sentito parlare di FTP over SSH2> o di SFTP?> > E comunque, forse non mi sono espreso io> correttamente, intendevo dire che non mi> sembra corretto poter visualizzare/stampare> anche la password con cui mi sono connesso> ad un sito ftp.> > Byesi ma qui si sta parlando di ie che centra l'ftp.e gli utonti continuano, come si riconosce un utonto sempllice quando metti in dubbio le sue conoscenze sbandiera di essere un esperto comincia a parlare per acronimi sftprut ciccotfg ecc...e confermato sei un utonto

Re: E che dire dell'FTP ignurant confermato sei ut
IE è anche un client FTP da quel che so.Usarlo non è il massimo ma fa anche quello.

Re: E che dire dell'FTP ignurant confermato sei ut
vabbè, lasciamo stare, parlare con "bambini" che probabilmente non hanno mai visto un sistema differente da windows lascia il tempo che trova...

Re: E che dire dell'FTP ignurant
Mi sa che l'ignorante sei tu.IE è nche un client FTP e puoi lanciare Windows update finchè vuoi che la password (per ragioni oscure che potrai conoscere solo studiando TCP/IP) si vedrà sempre.Questo NON E' un bug ma un comportamento normalissimo.