IppatsuBlog

Una “botnet” indica in gergo informatico un gruppo di computer infetti da un trojan che permette a un cracker di controllare completamente da remoto il computer “zombie”.

Un classico uso di una botnet è quello di mandare spam: pubblicità per viagra, imitazioni di orologi, falsi diplomi, truffe pump-and-dump e quant’altro possono essere inviate a milioni di caselle email in poco tempo sfruttando una botnet. Un altro utilizzo è il lancio di attacchi DDoS: tutti i computer della botnet mandano richieste di collegamento a un unico server, saturandone la banda e bloccandone a tutti gli effetti l’accesso alla rete.

Una botnet che sta suscitando particolari preoccupazioni da Gennaio 2007 è la cosiddetta Storm Botnet, che prende nome dal trojan che l’ha creata (noto anche come Zhelatin, W32/Small.DAM, Trojan.Peacomm, Win32/Nuwar). Non ci sono stime realmente affidabili sulla dimensione della botnet: generalmente si pensa che sia formata da un numero compreso tra 1.000.000 e 50.000.000 di macchine Windows infette (anche se Brandon Enright ha sostenuto al Toorcon che potrebbero essere appena 160.000).

È importante notare che Storm non si diffonde sfruttando falle di sicurezza di Windows come è successo per altri worm come Nimda, Blaster o Code Red, ma usa unicamente il “social engineering”: si autoinvia ai contatti email trovati sulle macchine infette spacciandosi come una notizia politica, come un programma per scaricare musica gratis e così via. Ultimamente ha sfruttato un bug su youtube.com per inviare come messaggio personale un link che portava a un sito malizioso che si spacciava come correlato a Halo 3 che induceva la vittima a scaricare il trojan.

Gli effetti che permettono di stimare la dimensione della botnet sono preoccupanti: si stima che ogni giorno le macchine controllate da Storm inviino miliardi se non decine di miliardi di email; quando Artists Against 419 fu sottoposto a DDoS, l’attaccò superò i 400GiB all’ora – era quindi portato a segno da qualcosa come 300.000 macchine con connessione ADSL.

Read the rest of this entry »

Finalmente il Mac OS ha raggiunto la massa critica e è diventato un sistema operativo diffuso. La prova del 9 è data dal fatto che per la prima volta si è osservato “in the wild” un trojan per Mac OS X.

Gadi Evron, un po’ melodrammatico, ha detto “OS X è il nuovo Windows ’98″. E ancora: “Il giorno di Apple è arrivato, e gli utenti Apple saranno colpiti duramente” (fonte).

La base di utenti dei Mac si sta sempre più allargando: Apple è il terzo venditore di laptop negli Stati Uniti dopo Dell e Hewlett Packard: gli utenti Mac non sono più gli utenti avanzati di una volta, osserva Alex Eckelberry (CEO di Sunbelt), e i meno smaliziati potrebbero cascarci.

Infatti il trojan per Mac non usa alcuna falla di sicurezza per autoinstallarsi né è un concetto particolarmente nuovo: si spaccia come codec necessario per vedere gratuitamente dei filmati pornografici, l’utente volontariamente lo scarica, lo installa e da quel momento la macchina è in mano a chiunque controlli quel malware. Trojan del genere esistono ormai da diversi anni sulle piattaforme Windows – ma solo ora stanno compiendo il “salto di specie”.

E proprio di salto di specie sembra trattarsi, visto che stando a quanto dicono Alex Eckelberry e Dave Marcus (ricercatore per la McAfee) il trojan sembrerebbe scritto dalla stessa crew che ha scritto i malware che vanno sotto il nome di Zlob e DNSChanger per Windows.

Quello che fa il malware per Mac è impossessarsi del meccanismo che si occupa di trasformare gli indirizzi “testuali” in indirizzi IP. Questo sistema, detto DNS, si occupa di trasformare il leggibile www.google.com in 209.85.135.99 .

Lo scopo è quello di intercettare le connessioni verso siti come www.paypal.com o siti di home banking e dirigerli verso pagine maliziose identiche alle originali. Se la vittima inserisce il proprio nome utente e password, questa verrà spedita al phisher, che difficilmente ne farà un uso caritatevole.

Insomma: la minaccia non è particolarmente minacciosa e la novità non è particolarmente nuova. Gli utenti Mac dovranno semplicemente iniziare a fare un po’ più di attenzione e dovranno essere un po’ meno ingenui (nel caso in cui lo fossero prima). L’unico vero aspetto interessante è che dei blackhat (cracker? ladri?) si siano presi la briga di scrivere un malware per utenti comuni ma per un sistema non diffuso come Microsoft Windows. Il battesimo del fuoco.

C’è stata una piccola tempesta nei vari blog/siti 2.0/del.icio.us/newswine (…) relativo alla supposizione che *ubuntu possa portare a un logoramento prematuro degli hard disk.

Tutto è partito da un post di linux-hero (opportunamente amplificato da digg.com) che faceva riferimento al bug #104535 di Ubuntu: il riassunto del bug è che quando viene collegato alla batteria Ubuntu attiverebbe delle impostazioni che portano a un continuo arresto e riavvio dell’hard disk, cosa che da una parte aumenta l’autonomia del sistema, dall’altra causa uno stress meccanico che può accorciare la vita utile dell’hard disk.

Inizialmente il caos ha regnato e tutti hanno iniziato a incolpare Ubuntu della rottura del proprio hard disk. In realtà le cose sono un po’ più complicate di così (come ha segnalato Matthew Garrett — sviluppatore per Debian e lead developer per Ubuntu). Per sapere se il fantomatico bug vi affligge eseguendo il comando:

grep ENABLE_LAPTOP_MODE /etc/default/acpi-support

se vi viene restituito “false” allora non correte alcun pericolo.

laptop_mode è una variabile con cui si comunica al kernel Linux che si intendono attivare alcuni comportamenti che portano a un “miglioramento” del comportamento del sistema sui laptop (ad esempio bufferizzando le scritture su disco e scrivendole a burst, diminuendo così gli accessi all’hd e allungando conseguentemente la durata della batteria).

Tale variabile si può impostare modificando il file /etc/default/acpi-support . Il problema nasce dal fatto che quando viene alimentato dalla batteria, Ubuntu esegue il file /etc/acpi/power.sh , che contiene tra le altre cose il codice:

function laptop_mode_enable {...$HDPARM -S $SPINDOWN_TIME /dev/$drive 2>/dev/null

$HDPARM -B 1 /dev/$drive 2>/dev/null

}

Se vengono avviati, questi comandi cambiano le impostazioni del risparmio energetico dell’hard disk. Il primo comando riduce il tempo di spindown, cioè il tempo che deve passare dall’ultimo accesso prima che l’hard disk smetta di ruotare. Il valore di default, che si può leggere nel file /etc/default/acpi-support , è di appena 12 secondi. Questo continuo fermarsi e ripartire causa stress meccanico all’hard disk, accorciandone la vita utile. Il secondo comando invece imposta la politica di ACPI per l’hard disk al valore più aggressivo (eseguite man hdparm per ulteriori informazioni).

Ma questa funzione viene richiamata solo da un’altra funzione:

if [ x$ENABLE_LAPTOP_MODE = xtrue ]; then
    (sleep 5 && laptop_mode_enable)&
fi

Questo vuol dire che se la variabile ENABLE_LAPTOP_MODE allora verrà richiamata la funzione laptop_mode_enable riportata sopra. Di default, come si può controllare sempre nel file /etc/default/acpi-support , tale variabile è impostata a false, per cui l’odiatissimo codice che corrode gli hard disk non verrà abilitato.

Questo vuol dire che di default Ubuntu non modifica le impostazioni di risparmio energetico, e coloro che hanno osservato un aumento del valore di load_cycle_count (visualizzabile con sudo smartctl -A /dev/sda dove sda potrebbe cambiare e essere hda, hdb,… o sdb, sdc…) sono “vittime” delle impostazioni aggressive per il risparmio energetico impostate nel bios o nel firmware presente sui laptop. Ubuntu, di default, non modifica alcunché per questo aspetto.

Come osserva Matthew Garret, si potrebbe affermare che Ubuntu dovrebbe forzare politiche che non portino all’usura dell’hardware, ma del resto si suppone che il produttore del portatile ne sappia più degli sviluppatori di Linux su cosa quell’hardware possa o non possa fare.

Skype ha rilasciato la versione 2.0 del suo programma per Linux, finalmente con supporto al video. Tutti i dettagli relativi a questa release si possono trovare presso la Developer Zone di Skype.

Le feature principali di questa release sono tutte relative alla possibilità di utilizzare la webcam: è disponibile una finestra per la configurazione dei dispositivi video, è possibile inviare e ricevere immagini dalla webcam e eventualmente visualizzarle a tutto schermo.

Sono già disponibili i pacchetti binari per Ubuntu 7.04, Fedora 7, OpenSUSE 10+ e molte altre distribuzioni. Male che vada è possibile scaricare il pacchetto contenente tutte le librerie necessarie per il funzionamento di Skype.

Essendo una versione beta, ci sono anche un po’ di bug:

• i driver uvc possono causare crash se utilizzati con webcam Logitech o con i driver fglrx (i driver proprietari per le schede ATI)
• il driver gspca può andare in crash all’inizio o durante una chiamata
• ci sono problemi relativo a sistemi il cui server X esporti una sola porta video o non ne esporti affatto (che vanno dalla possibilità di solo inviare o solo ricevere il video al completo non funzionamento)
• in generale l’uso del driver fglrx porta a memory leak e crash in qualunque momento.

Di sicuro i problemi quindi non mancano, ma è bello vedere che finalmente lo sviluppo di Skype per Linux è in fermento. Non faccio un uso eccessivo di Skype e le novità mi interessano solo relativamente, ma ogni volta che un’azienda si preoccupa di sviluppare una versione delle proprie applicazioni per il pinguino, non può che essere un passo avanti (anche applicazioni proprietarie, non sono un integralista).

Oggi avevo bisogno di convertire su Linux un filmato dal formato di Apple Quicktime (.mov) in un file .avi. Se avete il pacchetto mencoder installato (in genere è installato insieme a mplayer), il comando da eseguire è:

mencoder originale.mov -ovc lavc -lavcopts 'vcodec=mpeg4:vbitrate=1000:vhq:vqmin=2:autoaspect' -ffourcc DX50 -oac mp3lame -lameopts 'vbr=0:br=128' -o codificato.avi

Gli apici attorno alle opzioni servono perché altrimenti la bash trova irritanti gli “=” sulla riga di comando.
Un po’ di pazienza e il filmato sarà in formato .avi con traccia video in MPEG4 e traccia audio in MP3. Nel caso in cui il comando mencoder non sia presente, potete installarlo su Ubuntu e derivate con sudo aptitude install mencoder (credo che anche su Debian il nome del pacchetto sia lo stesso).

Riporto questo meraviglioso articolo tratto da NetworkWorld:

The Case of the 500-mile Email
Submitted by Miles Baska on Sat, 06/09/2007 – 4:34pm.

I got this story a few years ago, but it looks like it originated some years before that. I haven’t traced it back, but it’s still a pretty good story, and seems plausible. You be the judge, and let me know what you think in the “comments”.

---

Here’s a problem that *sounded* impossible… I almost regret posting the story to a wide audience, because it makes a great tale over drinks at a conference. :-) The story is slightly altered in order to protect the guilty, elide over irrelevant and boring details, and generally make the whole thing more entertaining.I was working in a job running the campus email system some years ago when I got a call from the chairman of the statistics department.”We’re having a problem sending email out of the department.”"What’s the problem?” I asked.

“We can’t send mail more than 500 miles,” the chairman explained.

I choked on my latte. “Come again?”

“We can’t send mail farther than 500 miles from here,” he repeated. A little bit more, actually. Call it 520 miles. But “no farther.”
Read the rest of this entry »

KNetworkManager è lo strumento di KDE per la gestione delle connessioni di rete. Supporta le connessioni tramite Ethernet wired (802.3), wireless (802.11) sia crittate con WPA o WEP che non crittate, OpenVPN, VPNC e PPP. Tutte cose che ci rendono allegri. KNetworkManager è lo strumento di default per la gestione delle connessioni su Kubuntu dalla versione 7.04 Feisty Fawn (ma era installabile opzionalmente anche sulle versioni precedenti).

Purtroppo l’interfaccia di KNetworkManager soffre di un piccolo bug, attivabile facilmente da Kubuntu selezionando anche solo una volta la voce “Manual Configuration”: una volta configurata manualmente la connessione, il menu che permette di collegarsi al volo alle varie reti si disattiva. Ripristinarlo è abbastanza semplice. Per prima cosa fate una copia di sicurezza del file interfaces:

sudo cp /etc/network/interfaces /etc/network/interfaces.bak

Ora avviate il vostro editor di testo preferito con privilegi di root per modificarlo. Tipicamente su Kubuntu potete usare:

kdesu kate /etc/network/interfaces

Se volete fare tutto da riga di comando potete eseguire sudo nano /etc/network/interfaces. Cancellate tutto il contenuto del file e lasciate solo quanto segue:

auto lo
iface lo inet loopback

Salvate il file, chiudete e riavviate: KNetworkManager tornerà perfettamente funzionante. Se qualcosa andasse storto ripristinare il file di backup eseguendo:

sudo cp /etc/network/interface.bak /etc/network/interfaces

Perla di saggezza in un log di IRC:

DragonflyBlade21: A woman has a close male friend. This means that he is probably interested in her, which is why he hangs around so much. She sees him strictly as a friend. This always starts out with, you’re a great guy, but I don’t like you in that way. This is roughly the equivalent for the guy of going to a job interview and the company saying, You have a great resume, you have all the qualifications we are looking for, but we’re not going to hire you. We will, however, use your resume as the basis for comparison for all other applicants. But, we’re going to hire somebody who is far less qualified and is probably an alcoholic. And if he doesn’t work out, we’ll hire somebody else, but still not you. In fact, we will never hire you. But we will call you from time to time to complain about the person that we hired.

Aaah… quant’è vero…

Nota: ho tratto e tradotto questo articolo da wired.com. Perciò non rispecchia necessariamente il mio punto di vista, i miei ideali o quant’altro. L’ho trovato semplicemente interessante.

L’esercito degli Stati Uniti d’America ha assemblato la crew di hacker più formidabile al mondo: un programma di guerra top-secret e da milioni di dollari pronto a lanciare cyberguerre senza sangue contro le reti nemiche – dal sistema elettrico alle reti telefoniche.

L’esistenza del gruppo è stata rilevata durante il U.S. Senate Armed Services Committee lo scorso mese (marzo 2005). Comandanti dell’esercito dal Comando Strategico degli Stati Uniti, o Stratcom, hanno riferito dell’esistenza di una unità chiamata Joint Functional Command for Network Warfare, o JFCCNW.

In parole povere e senza alcun gergo militare, questa unità potrebbe essere meglio descritta come la più potente crew di hacker del mondo. Che ci sia mai stata.

Read the rest of this entry »

In ogni blog c’è la tragedia del primo post. È come la ceretta, meglio dare uno strappo secco e il dolore passerà.

Ecco, l’ho fatto.