linux user group brescia

----- Forwarded message from Paolo Attivissimo <topone a pobox.com> -----

Date: Fri, 24 Sep 2004 21:29:52 +0100
From: Paolo Attivissimo <topone a pobox.com>
To: ixt <internetpertutti a peacelink.it>
Subject: [ixt] JPEG assassina per Windows, pronto il kit per la strage. Adesso
 che si fa?
Reply-To: internetpertutti a peacelink.it
X-Mailing-List: <internetpertutti a peacelink.it> archive/latest/232


Questa newsletter vi arriva grazie alle gentili donazioni di "lenor8", 
"maurizio" e "rmbianchi".

Come preannunciato qualche giorno fa, la falla di sicurezza del software 
Microsoft che permette di infettare un computer semplicemente 
visualizzando un'immagine in formato JPEG appositamente confezionata 
(si', non sto scherzando) non e' piu' unaa vulnerabilita' teorica: ora 
e' un problema concreto.

Infatti sono gia' in circolazione le prime dimostrazioni e i kit per 
fabbricare le immagini infettanti. Ecco un'immagine (innocua!) del kit a 
portata di dilettanti, tratta dal sito della societa' antivirale F-Secure:

http://www.f-secure.com/weblog/

e qui c'e' un pezzo (censurato) di codice dimostrativo:

http://www.k-otik.com/exploits/09222004.ms04-28.sh.php

La spiegazione tecnica di come funziona la falla e di quanto sia 
paurosamente semplice sfruttarla e' qui:

http://marc.theaimsgroup.com/?l=bugtraq&m=109524346729948&w=2

Per gli utenti Windows, il problema a questo punto e' cosa fare, visto 
che l'ondata di piena e' sicuramente in arrivo e a breve troveremo la 
Rete infestata di siti ed e-mail contenenti immagini JPEG che infettano 
o fanno impallare Windows. E' prevedibile che nelle prossime settimane 
assisteremo alla solita litania di blocchi di sistemi informatici 
pubblici basati su Windows (Bancomat, Poste, banche, prenotazioni 
mediche, check-in aeroportuali, eccetera): tenetene conto nelle vostre 
attivita', magari tenendo in tasca qualche euro in piu' per le emergenze.

E' una raccomandazione che faccio anche agli utenti Mac e Linux, anche 
se non sono affetti direttamente da questa falla: lo saranno lo stesso 
indirettamente in caso di collasso dei PC Windows usati da colleghi, 
clienti, fornitori e servizi pubblici.

Le istruzioni fornite da Microsoft sono incasinatissime:

http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

In sintesi, potete usare Windows Update per eliminare la falla da 
Windows XP: si puo' fare anche senza installare il contestatissimo 
Service Pack 2, usando l'aggiornamento KB833987 disponibile nella pagina 
Microsoft indicata sopra.

Ma puo' non bastare: se avete Microsoft Office, potreste essere comunque 
a rischio. Anche alcune versioni di Microsoft Office, infatti, 
contengono una versione vulnerabile del componente che gestisce le 
immagini JPEG (gdiplus.dll). Per cui dovete usare anche Office Update.

Non e' finita. A prescindere dalla versione di Windows che usate, se 
avete installato alcune versioni di programmi come Project, Visio, 
Visual Studio .NET, Visual C#, Picture It, Digital Image Pro e altri 
(tutta roba Microsoft, per la serie "un nome, una garanzia"), potreste 
essere comunque vulnerabili a prescindere da patch e contropatch. Se 
usate uno dei programmi indicati da Microsoft (la lista completa e' 
sempre nella pagina Microsoft citata sopra), dovete aggiornarlo con una 
versione non vulnerabile.

Una versione semplificata della procedura e' descritta in inglese qui:

http://www.microsoft.com/security/bulletins/200409_jpeg.mspx

e in italiano qui:

http://www.microsoft.com/italy/security/security_bulletins/200409_jpeg.mspx

La procedura semplificata include una funzione che controlla la presenza 
di programmi vulnerabili nel vostro PC. Fate pero' attenzione: questo 
controllo non dice se avete una versione sicura o no dei vari programmi, 
ma si limita a ricordarvi che avete nel computer uno dei programmi 
*potenzialmente* vulnerabili.

Puo' anche darsi che i prossimi aggiornamenti degli antivirus riescano a 
gestire alcuni dei canali attraverso i quali possono arrivare immagini 
infette (gli allegati agli e-mail, per esempio). Staremo a vedere: resta 
valido il consiglio di tenere costantemente aggiornato l'antivirus e di 
diffidare di ogni allegato di qualsiasi provenienza.

Se tutto questo vi manda in bestia, vi capisco perfettamente. E' proprio 
per falle come queste che da tempo consiglio (e non sono certo il solo) 
di passare a soluzioni alternative. Una recente falla vagamente analoga 
per il formato grafico PNG si risolse con una mini-patch assolutamente 
indolore per Linux e per Mac. Con Windows non si sa neppure da che parte 
cominciare a rattoppare.

Certo migrare a Linux o Mac costa fatica, ma quanto vi costera' restare 
con Windows dopo questa falla? E cosa farete quando arrivera' la 
prossima? Pensateci. Io l'ho fatto, e ora vi scrivo tranquillo dal mio Mac.

Non voglio sembrare allarmista, ma questa e' obiettivamente una delle 
falle piu' pericolose da anni a questa parte, perche' riguarda un 
formato, il JPEG, che tutti ritenevano impossibile usare come veicolo 
d'infezione, e soprattutto riguarda un elemento assolutamente essenziale 
di Internet come le immagini. Ma quando una cosa sembra impossibile, ci 
pensa mamma Microsoft a renderla possibile. E poi dicono che zio Bill 
non sa innovare!

Di conseguenza, non state li' ad aspettare: fate qualcosa. Qualsiasi 
cosa. Installate le patch (dopo un backup o almeno un punto di 
ripristino, mi raccomando), fatevi aiutare da un amico esperto, 
tempestate di telefonate l'assistenza Microsoft o quella del vostro 
rivenditore (a seconda delle condizioni indicate nella vostra licenza di 
Windows), buttate via il computer, comprate un Mac, installate Linux, ma 
non statevene con le mani in mano. Ogni computer che rimane vulnerabile 
e' un computer in piu' che puo' diffondere l'infezione.

Proteggersi, fra l'altro, e' una questione di responsabilita' sociale, 
perché se non vi proteggete, danneggerete non soltanto voi stessi, ma 
anche altri utenti.

Siete nella posizione tutto sommato vantaggiosa di sapere che il 
pericolo sta arrivando e avete tempo per porvi rimedio. Aspettare e 
sperare che le cose si sistemino da sole sarebbe incosciente.

Ciao da Paolo.


-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2004 by Paolo Attivissimo (www.attivissimo.net).
Distribuzione libera, purché sia inclusa la presente dicitura.

Se ti piace quello che leggi, fallo sapere in giro, e mandami un po' di
focaccia!

Commenti, correzioni o risposte? Scrivimi presso topone a pobox.com.

Questa newsletter viene distribuita gratuitamente e senza pubblicità
grazie a Peacelink.it;
è e sarà sempre gratuita, ma donazioni e sponsorizzazioni sono sempre
ben accette: http://www.attivissimo.net/donazioni/donazioni.htm

Per ricevere/disdire la newsletter e per l'informativa sulla privacy:
http://www.attivissimo.net/nl/nl_istruzioni_iscrizione.htm



----- End forwarded message -----