Archive for the Sicurezza Category

Altra vulnerabilità critica su Internet Explorer..

Posted in Microsoft, Sicurezza, Windows on dicembre 18, 2008 by ravem

Che novità eh!
Ecco qui il Microsoft Security Bulletin MS08-078 che avvisa della vulnerabilità critica che si estende da IE 5.1 all’8 beta praticamente sui ogni piattaforma e che permette l’esecuzione di codice remoto sul computer colpito.

Antivirus portable

Posted in Malware, Sicurezza, Virus on dicembre 18, 2008 by ravem

Prendo spunto da un articolo letto su Raymond.cc per dare il mio parere su alcuni antivirus portable in versione live che ho avuto modo di provare di recente. Nell’articolo troverete l’analisi di 13 prodoti diversi con alcune stime e benchmarks effettuati dall’autore.
Io ho provato di recente F-Secure Rescue CD v3, Kaspersky Rescue CD e BitDefender Rescue CD v2.
Di BitDefender Rescue CD sinceramente non posso dire molto, avendolo provato superficialmente, di diverso rispetto agli altri c’è che carica un sistema operativo completo (knoppix) con utility quali ChkRootkit per cercare rootkits, Nessus Network Scanner, Mozilla Firefox, Partition Image, GtkRecover…
Di F-Secure Rescue CD avevo già parlato in passato: il sistema operativo con cui si avvia è Linux based, si aggiorna via internet automaticamente e, in caso di mancanza di connessione, è in grado di andare a prendere le signatures da una periferica usb.
Il punto a favore di questa soluzione sta proprio nell’aggiornamento anche via usb, il contro risiede nel fatto che i files infetti vengono rinominati come .virus, e se si tratta di files essenziali per il sistema, la macchina ptrebbe non riavviarsi più. Nel caso in cui l’ho usato si è dimostrato efficace, ripulendo per bene la macchina su cui l’ho usato (da un controllo successivo con Trendmicro, Clamav e Kaspersky).
La seconda soluzione che ho testato per benino è stato Kaspersky Rescue CD. Anche in questo caso il sistema operativo è ‘nix based, e l’antivirus si aggiorna via internet velocemente.
Due cose che mi hanno colpito: l’ho avviato su un Vista Business spento di cattiveria e mi ha segnalato che il sistema operativo non era stato arrestato correttamente, avvisandomi che il sistema avrebbe potuto essere instabile al riavvio e chiedendomi se continuare o meno.
L’antivirus ha una interfaccia grafica e una volta terminata la scansione chiede che fare dei files trovati infetti.
Se poi cercate di spegnere la macchina brutalmente, prima smonta il sistema e poi avvia lo shutdown.
Non ne ho provato l’efficienza, ma Eugene Kaspersky è una garanzia assoluta di qualità e non ho dubbi in merito.

Al momento, per quello che mi riguarda queste tre sono le mie scelte di elezione da portare a spasso, fare la scansione con un solo antivirus non mi sembra infatti abbastanza sicuro…

Se vi va di provarli, ecco i link ad alcune versioni live di antivirus più o meno noti da testare:

Kaspersky
Panda
F-Secure
Trinity
Dr Web

Archiviazione dei log di IIS con un file batch

Posted in Batch, Microsoft, Sicurezza, Windows on dicembre 2, 2008 by ravem

Bè, non sono certo un mago dei file batch, ma questo scriptino mi ha aiutato parecchio ad automatizzare l’archiviazione periodica dei log di IIS.
Io di solito lo lancio come operazione pianificata, e masterizzo il prodotto per archiviazione.

Lo script richiede robocopy per copiare i files e winrar per comprimerli, per usarlo basta copiare quanto sta qui sotto e configurare le parti mancanti a seconda delle vostre esigenze.
Ovviamente è possibile applicarlo a diversi tipi di log configurando semplicemente robocopy per prenderli in maniera corretta, e adattando i parametri usati per rinominare i file, oppure è possibile usarlo su diversi server semplicemente copiando tutte le parti quante volte serve e configurandole come conviene.
Ho inserito le varie spiegazioni nei commenti, non dovrebbe essere difficile capire di che si tratta.. almeno spero :D

@echo off

REM LOGIN-SUI-SERVER
REM Mi autentico sul server prima di iniziare

REM -------------------Login su Server1----------------------------
NET USE \\xxx.xxx.xxx.xxx password /user:administrator

REM COPIA-FILES
REM Copio i files dai server con robocopy (http://en.wikipedia.org/wiki/Robocopy)
REM attenzione all'opzione /MOV che elimina i files dalla sorgente dopo la copia
robocopy \\xxx.xxx.xxx.xxx\nome_della_condivisione\LogWeb\ c:\tmp\logweb\server1\ *.log /E /MOV /MINAGE:1 /LOG+:log.txt

REM RINOMINO I FILES E LI COMPRIMO
REM Vado nella directory dove ho copiato i files
cd c:\tmp\logweb\server1

REM Rinomino i files di log come NOMESITO_NOMEFILE
REM in modo da memorizzare nel nome sia il nome del sito
REM sia la data del file di log
REM (utilizzo /b/s per estrarre il path pulito dalle directory
REM e scelgo i token che mi interessano dal path)
REM riadatta questa linea a seconda del path che hai
REM per informazioni su "for /f" vedi http://www.computerhope.com/forhlp.htm#03
FOR /F "tokens=1-7 delims=\" %%B IN ('DIR /B /S *.log') do rename %%B\%%C\%%D\%%E\%%F\%%G\%%H %%F_%%H

REM Compatto con winrar singolarmente (winrar -a) i files di log
REM escludendo le informazioni sul path(-ep) e testo l'archivio creato (-t)
REM con -ibck eseguo in background il processo.
FOR /F "tokens=*" %%G IN ('DIR /B /S *.log') DO c:\programmi\winrar\winrar -ibck A -ep -t -m4 "%%~nG".rar "%%G"

Patch critica rilasciata da Microsoft

Posted in Exploit, Microsoft, Sicurezza, Windows on ottobre 25, 2008 by ravem

Il security bulletin MS08-067 annuncia una patch che corregge una vulnerabilità critica per tutte le versioni di windows da 2000 a 2008 server. La vulnerabilità potrebbe consentire l’esecuzione di codice in modalità remota se un sistema interessato riceve una richiesta RPC appositamente predisposta.
La falla è piuttosto grave e ricorda molto da vicino quella che ha fato sfracelli qualche anno fa tramite Blaster e Sasser.
Microsoft consiglia di applicarla IMMEDIATAMENTE.

Impedire ad un computer l’accesso in rete

Posted in Sicurezza, Windows on settembre 9, 2008 by ravem

La questione mi si è posta visto che un utente della mia rete è recidivo nel volersi collegare con il proprio portatile alla rete aziendale; volendo evitare le punizioni corporali ho scelto la soluzione più sottile e bohf oriented: bloccare il mac address sul dhcp.
E’ possible con una dll che consente di filtrare le richieste DHCP in base all’indirizzo MAC della macchina in base ad una lista di indirizzi MAC impostata dall’Amministratore e che è stata rilasciata dal Microsoft DHCP team.
Il tool è raggiungibile tramite questo post DHCP Server Callout DLL for MAC Address based filtering (MacFilterCallout.zip).
Scaricate il file in formato .ZIP, estraete il contenuto ed lanciate il pacchetto il file contenuto all’interno del file compresso. In questo modo partirà l’installazione, ultimata l’installazione all’intenro della cartella %SystemRoot%/System32 troverete due file MacFilterCallout.dll e SetupDHCPMacFilter.rtf, ovvero la dll responsabile del filtro e la guida all’uso del tool.

Anche le stampanti violano il copyright :)

Posted in Sicurezza with tags on agosto 24, 2008 by ravem


La prima indagine approfondita che mira a capire se e come sono individuabili violazioni dei diritti d’autore analizzando il traffico p2p Bittorrent.
I risultati sono comici, sono risultate colpevoli anche delle stampanti e un access point wifi.
Dall’altra parte della barricata sono risultati inefficienti i sistemi di protezione basati sui filtri di classi di indirizzi ip… a buon intenditore..

Un cdrom per una efficace scansione antivirus

Posted in Sicurezza, Software, Virus with tags on agosto 24, 2008 by ravem

F-Secure, la nota azienda finlandese leader nel settore anitivirus ha rilasciato il F-Secure Rescue CD 3.00.
Si tratta di un cd di boot che vi permette di effettuare una scansione di partizioni Fat e Ntfs, o dischi usb.
Il database delle definizioni viene aggiornato automaticamente se il computer è collegato ad internet, o è aggiornabile tramite un disco usb.
Qui un archivio zip con l’iso del cdrom, il manuale e le relese notes.