My You Tube channel

Erano parecchi mesi che sui forum si sussurrava di uno 0day, applicabile a tutti gli hosting condivisi, la maggioranza. Parecchi siti venivano ownati senza che l'applicazione presentasse vulnerabilità note o presunte.

Poi, un po' in sordina, è apparso questo: PHP 5.2.12/5.3.1 symlink() open_basedir bypass
La storia ha inizio qualche mese fa, quando sono incominciati ad accadere misteriosi deface. Quando non capisci nulla, l'unica cosa è cercare con google e provare. Così siamo arrivati in breve tempo ad accorgerci di una cosa comune in quasi tutti i più famosi servizi di hosting italiano: caricando una shell sul proprio spazio e sfruttando la possibilità di eseguire comandi, con un semplice ls -l  era possibile scorrazzare per tutto il server che ospitava il nostro e gli altri siti.
Il limite era evidente, i permessi. Infatti pur potendo vedere i nomi dei files e delle cartelle non era possibile leggerne il contenuto, così se vedevo che sul mio stesso server c'era la home di pippo.it contenente il file config.php, non potevo comunque fare nulla, pur sapendo che quel file conteneva tutti i dati per poter accedere al servizio ftp e mysql.
Come è possibile che un hoster permetta comunque anche la sola visualizzazione dei files altrui non me lo so spiegare e chiederlo a loro, spesso, è fonte di inutili diatribe con supercevelloni che per definizione "sanno".
Le "dimostrazioni di potenza" di chi conosceva questa tecnica continuavano e anche siti come questo, molto controllato, subivano iniezione di codice un po' ovunque, database, index, etc.
Per accorgersi di quello che accadeva bisognava essere i possessori della macchina e spulciare per bene i log, secondo voi un hoster permette questo? Infatti i soli log di accesso, sentinel e ammennicoli vari a protezione dell'applicazione venivano beatamente skippati.
Finalmente, l'11 di novembre veniva pubblicata questa disclosure con poc allegato: PHP 5.2.12/5.3.1 symlink() open_basedir bypass
E questa è proprio la soluzione! Ciò che non era leggibile ora poteva diventarlo, come? Semplicemente creando un link simbolico tra un nostro fantomatico file ciccio.txt e l'altrui config.php.
Visitando ciccio.txt ottieni il print a video del contenuto del file config.php, contenente tutti i dati necessari per accedere come proprietario sullo spazio, sulla casella mail e sul database MySql... poco noo?
Nonostante chi mi ospita ad una tariffa veramente competitiva, abbia solertemente messo una patch a questo problema, per cui quì, questa vulnerabilità, non è più sfruttabile, ci sono da fare molte considerazioni.
La prima, la più importante è che, visto che l'advisory reca una data di un mese fa, questo lasso di tempo non è bastato ai sysadmin per riuscire a capire il problema. Ancor più grave il fatto che possedevano tutti gli strumenti per le ricerche, contrariamente ad un cliente.
La seconda, e che non riguarda questo hosting, è che un'altro molto importante e noto, era stato avvertito della prima parte di questo problema molto  prima dell'11 novembre.
Aveva anche le sue ragioni a ritenersi diffamato per quello che era stato pubblicato, ma come tutti gli stolti si è limitato a guardare il modo e non la sostanza, che lo riguardava più direttamente e a cui avrebbe potuto mettere una pezza già da tempo assicurando la tutela della privacy dei propri clienti.
Sì, perchè tra le promesse e le garanzie che ci forniscono, è compresa anche questa forma di attenzione verso il cliente, cosa che viene tranquillamente sottovalutata da tutti: sono nostri i dati che prendono il volo e ssono nostre le successive rotture di scatole  nel sistemare l'applicazione e cestinare migliaia di mail di spam.
Grazie a chi ha divulgato questa vulnerabilità, oggi, abbiamo un gradino di sicurezza certamente maggiore, quindi onori a chi ci ha lavorato (un po' meno a chi si è divertito a ownare), e grazie anche al solito Federico (aka Sergetto) che non mi dimentica e mi tiene sveglio quando con la sua solita coincitazione tenta di spiegarmi cose che per lui sono chiarissime attraverso un susseguirsi di mail, che puntualmente comprendo solamente il giorno dopo...

Multirotori

Multicopters I miei droni multirotore. Una semplice curiosità diventata una passione e qualcosa di più.
Il punto di incontro tra programmazione, volo, arduino, tecnica e manualità ...stimolante!
Consigli ed esperienze realizzative di vari modelli dedicati sia al divertimento che all'uso professionale.

Joomla

Joomla! Un Framework promettente ed un collaudato CMS che, con l'adeguata conoscenza, può diventare un avanzato strumento di lavoro.
Come si può conoscere uno strumento se non usandolo, sperimentando sempre nuove soluzioni e seguendo le sue problematiche di sicurezza?

Lifehacking

Lifehacking Non c'è oggetto per casa che non ho aperto, è maniacale ma non riesco a rinunciare, come se quelle quattro viti, quella fessura a scatto mi impedisse di conoscere, scoprire, imparare qualcosa, sigillandolo come un segreto.
Tutto può funzionare meglio o diventare più utile e versatile ...è Life Hacking!

Parapendio

Parapendio Volare è un po' come avere la possibilità di osservare le cose da un'altra prospettiva, senza i vincoli di una forza che ti costringe a muoverti come un pedone degli scacchi per le strade di una città. Il mio sogno sta nell'armadio, pronto a farmi evadere quando ne sento il bisogno e l'aria lo permette.