SQL Injection: novità da HP e Microsoft
29 Giugno 2008
HP e Microsoft hanno rilasciato due tool per l’analisi del codice alla ricerca di SQL injection
- HP Scrawlr: Scrawlr, developed by the HP Web Security Research Group in coordination with the MSRC, is short for SQL Injector and Crawler. Scrawlr will crawl a website while simultaneously analyzing the parameters of each individual web page for SQL Injection vulnerabilities. Scrawlr is lightning fast and uses our intelligent engine technology to dynamically craft SQL Injection attacks on the fly.
- Microsoft Source Code Analyzer for SQL Injection: Microsoft Source Code Analyzer for SQL Injection is a static dataflow analysis tool to help find SQL Injection vulnerabilities in Active Server Pages (ASP) code.
Sul blog Security Vulnerability Research & Defense c’è un confronto tra Scrawlr, MSCASI e UrlScan.
PISA contro Skype
16 Agosto 2007
Ancora dal BlackHat 2007: PISA contro Skype o più precisamente Protocol Identification via Statistical Analysis per identificare i nuovi protocolli P2P.
Nelle applicazioni P2P si nota un’evoluzione determinata da cause non necessariamente tecniche. I protoccoli P2P si sono dovuti via via adeguare ai giri di vite dei legislatori e degli ISP e alle sempre più precise tecniche di rilevazione degli amministratori di rete. Il frutto di queste necessità è Skype, ovvero al posto dei vecchi limpidi protocolli dalle specifiche pubbliche si iniziano a vedere degli oscuri protocolli proprietari (Skype ne è il capostipite).
All’ultimo BlackHat, Rohit Dhamankar e Rob King della TippingPoint hanno presentato un sistema di identificazione basato sull’analisi statistica del traffico.
Gli autori partono dal presupposto che d’ora in poi i protoccoli P2P, ma non solo, faranno grande uso di crittografia e dunque le vecchie tecniche di identificazione basate sull’analisi del contenuto dei pacchetti scambiati risulteranno completamente inutili.
Il PISA rappresenta il traffico in uno spazio a 10 dimensioni i cui assi sono: la dimensione media dei pacchetti verso il client e verso il server, i tempi di risposta, sulla deviazione standard dei suddetti parametri e sulla differenza di traffico tra server e client e infine l’entropia di Shannon. Quest’ultima viene utilizzata per determinare se il protocollo usa una qualche forma di crittografia oppure dati in chiaro.
La sperimentazione per questo sistema è stata condotta cercando di venire a capo di uno dei grandi problemi degli amministratori di rete: separare il traffico Skype da tutto il resto. Gli incoraggianti risultati, basati sulle proprietà statistiche dei protocolli, hanno stabilito che è possibile identificare il traffico prodotto da Skype, con un minimo errore, analizzando solo 600 pacchetti (ovvero circa 1,5 secondi di chiamata).
L’approccio è sicuramente interessante ma bisogna valutare, come al solito in queste situazioni, i falsi positivi generati da una simile analisi. Il codice non è ancora disponibile, quindi non ci resta che attendere sintonizzati su http://dvlabs.tippingpoint.com/projects/PISA
Da citare: statistics is like a bikini that reveals what is interesting and hides what is vital.
Un nuovo approccio ai penetration test
11 Agosto 2007
I tizi di Metasploit hanno presentato, a BlackHat 2007, un nuovo (ma non troppo) approccio al penetration testing. Il metodo presentato (Tactical approach) si basa sul presupposto che le vulnerabilità sono transitorie e che i veri bersagli sono le applicazioni, i rapporti di fiducia, i processi e soprattutto le persone.
Gli autori introducono il concetto di meatware come elemento centrale della fase di raccolta delle informazioni poiché sono le persone a scrivere il software, ad installarlo, a configurarlo e a gestirlo. Quindi il primo passo consiste nel recuperare informazioni su coloro che hanno creato e che gestiscono tutte le infrastrutture da testare. A tale proposito citano un interessante tool da utilizzare per recuperare da internet tutte le informazioni e le relazioni relative a una persona o a un dominio, si tratta di Evolution della Paterva.com.
A proposito invece del network discovery citano, oltre ai classici tool, il sito DomainTools come fonte pricipale di informazioni. Dopo le persone e le reti l’approccio tattico prevede una fase di application discovery perché “se le reti sono i toast, le applicazioni sono il burro”… in questa fase i tool utilizzati sono i classici Nmap, Amap, Nikto e Nessus. Da citare una frase sul port scanning che ogni pentester dovrebbe mandare a memoria: “A slow, single port scan is able to evade common defensive measures. Slow and steady wins the deface. Scan for specific port, one port only.”. D’ora in poi nmap solo con -T0 contro una sola porta.
Dopo i server è il turno delle applicazioni client, e siamo alla fase client app discovery. Il presupposto è che ora i client, soprattutto i web browser e i programmi per la posta, hanno funzionalità che vanno oltre la visualizzazione delle pagine web e delle email. Inoltre i client sono quasi sempre vulnerabili, non è semplice per gli amministratori gestirne la sicurezza e sono anche facilmente identificabili da remoto. Infine l’ultima fase prevista per la raccolta di informazioni è quella di process discovery, ovvero tenere traccia di cosa fa il nostro bersaglio.
La seconda fase della presentazione riguarda l’utilizzo delle informazioni raccolte, vengono descritti attacchi al web server, al DNS server, ai CGI, in gran parte portati utilizzando la versione SVN di Metasploit, niente di particolarmente innovativo comunque.
In conclusione quello che gli autori tengono a sottolineare è che “Hacking is not about exploits. The target is the data, not r00t”. Dunque una rete sicura dalla quale è possibile recuperare/controllare importanti dati è una rete vulnerabile. Quindi un’intrusione, e anche un penetration test, possono dirsi riusciti non solo quando si ottiene un completo accesso alla rete…
Un altro elemento, sicuramente da approfondire, che viene fuori dal paper è l’inutilità dei penetration test improvvisati, fatti utilizzando i soliti noti tool che vorrebbero automatizare l’intero processo di testing.
Il mantra dell’intera faccenda, che andrebbe stampato ovunque, è
“Tools cannot replace talent”. Amen.
