Colpito e affondato. Erano le ore 12 quando la rete Anonymous, a cui fanno riferimento hacker in tutto il mondo, ha sferrato l’attacco al sito internet dell’Autorità per le Garanzie nelle Comunicazioni. Un’ora dopo il sito www.agcom.it è andato in tilt. L’azione è stata rivendicata con il motto: “la libertà di avere internet libero è un diritto che nessuno deve ostacolare”. Al centro della protesta la fatidica data del 6 luglio, quando entrerà in vigore il nuovo regolamento sui contenuti pubblicati online che violano il diritto d’autore. “In Italia – si legge nel comunicato degli hachers – l’Agcom che ha il compito di vigilare sui servizi media audiovisivi in realtà svolge un ruolo censorio e repressivo. L’ente – prosegue Anonymous – vorrebbe istituire una procedura veloce e puramente amministrativa di rimozione di contenuti online considerati in violazione della legge sul diritto d’autore. L’Autorità, potrebbe sia irrogare sanzioni pecuniarie molto ingenti a chi non eseguisse gli ordini di rimozione, sia ordinare agli Internet Service Provider di filtrare determinati siti web in modo da renderli irraggiungibili dall’Italia. Il tutto – conclude la nota – senza alcun coinvolgimento del sistema giudiziario”. In sintesi, Anonymous ha detto basta “a questa dittatura, ai metodi repressivi e censori, alla sistematica violazione della privacy per scopi di lucro e basta allo strapotere delle lobby del cinema e della TV, che per i loro interessi economici ledono il diritto degli utenti”.

Fonte | La7

RSA Security è una divisione della EMC Corporation fondata nel 1982 con l’intendo di progettare i migliori sistemi di protezione di dati personali ed aziendali, il nome deriva dall’omonimo sistema crittografico nato nel 1976 dai due ingegneri Whitfield Diffie e Martin Hellman.

Il loro prodotto più diffuso è sicuramente la SecurID, ovvero una chiavetta OTP (One Time Password ) sfruttata principalmente per l’accesso online agli Istituti Bancari ma anche alle infrastrutture aziendali. La SecurID genera una password composta da sei numeri ogni sessanta secondi e visualizzabile attraverso un piccolo schermo posto sulla chiavetta.

Il funzionamento dei SecurID si riassume attraverso i seguenti tre elementi:

  • RSA Authentication Manager: ha il compito di verificare i dati immessi dall’utente;
  • RSA Agent: si installa sulle risorse da proteggere, creando un sottolivello di sicurezza che permette il colloquio con l’Authentication Manager;
  • Tokens: generano i codici numerici denominati Tokencode sincronizzati temporalmente con l’Authentication Manager.

Durante la fase di login l’utente dovrà digitare il Tokencode visualizzato sul display della chiavetta in quale dovrà corrispondere a quello generato dal RSA Authentication Manager, se i dati corrispondono RSA Agent procede ad abilitare l’utente consentendoli l’accesso alle risorse richieste. Importante precisare che per il corretto funzionamento il token e server devono essere perfettamente allineati con il clock UTC, infatti calcoleranno nel medesimo istante lo stesso codice.

Art Coviello, Chief Executive Officer della RSA, attraverso un comunicato stampa ha reso noto che la propria società è rimasta vittima di un sofisticato attacco informatico finalizzato al furto di dati sensibili e del tipo APT (Advanced Persistent Threat), per colpire l’azienda è stato effettuato un Spear Phishing collegato ad una falla 0-Day di Adobe Flash Player.

Lo Spear Phishing non è un attacco generico di Phishing ma è mirato ad un obbiettivo ben preciso e lascia intendere che il mittente sia una persona conosciuta (amico, famigliare, collega o datore di lavoro) abbassando notevolmente la guardia del bersaglio. In realtà le informazioni sul mittente vengono falsificate o ricavate tramite “spoofing”, mentre il phishing tradizionale si propone lo scopo di sottrarre informazioni da singoli utenti le frodi che si basano sullo spear phishing hanno come obiettivo quello di penetrare all’interno del sistema informatico di una società e realizzare un attacco di tipo APT.

Uri Rivner, capo delle nuove tecnologie della RSA, ha rilevato nel suo Blog che l’attacco è accaduto principalmente in tre fasi.
Nella prima fase l’attaccante ha inviato a due piccoli gruppi di dipendenti una eMail con oggetto “Piano di Assunzioni 2011” contenente un file Excell, un dipendente incuriosito ha aperto l’allegato il quale realmente conteneva un malware che ha sfruttato la falla 0-Day di Adobe Flash Player per installarsi sul terminale.
Successivamente l’attaccante ha iniziato la scalata verso gli account più importanti della RSA Security, sfruttando il terminale compromesso ha rubato credenziali di accesso e si è propagato a macchia d’olio in
tutta l’infrastruttura aziendale. Sembrerebbe che le credenziali d’accesso di ogni singolo utente siano utilizzabili su molti terminali della società e non esclusivamente nel terminale in uso dal dipendente, questo ha permesso all’attaccante di identificarsi con le credenziali dell’utente di basso livello (dipendente) nei terminali dei diversi responsabili aziendali rubando ulteriori password e materiale importante.
La terza e ultima fase ha visto l’invio di tutti i documenti rubati ad un computer esterno presso un Hosting Provider, in precedenza violato, dal quale l’attaccante ha recuperato i dati eliminando quasi tutte le tracce.
Brian Krebs, famoso giornalista Americano sul CyberCrime, ha dichiarato che sarebbero stati identificati tre indirizzi IP sfruttati per l’intrusione uno dei quali proveniente dalla P.r.C. (People’s Republic of China) ma ovviamente potrebbe essere stato uno stratagemma per rallentare le indagini.

Inizialmente non si sapeva esattamente cosa era stato sottratto dai sistemi informatici della RSA i giornali più distratti hanno reso noto il furto dell’algoritmo, ma essendo pubblico dal 2000 è facile rubarlo 🙂 piuttosto è possibile sia stata trafugata una Master Key. Infine non dimentichiamoci che la RSA Security non produce esclusivamente SecurID il furto potrebbe riguardare tutt’altro anche un semplice database con l’archivio dei clienti.
Ed è stato proprio Whitfield Diffie ad ipotizzare il furto della Master Key ossia una stringa molto grande, utilizzata come parte integrante dell’algoritmo presente nei server di Authentication Manager. Attraverso la Master Key nei peggiori dei casi l’attaccante riesce a riprodurre dei Tokens gemelli a quelli originali, rendendo così più facile l’accesso ad un sistema informatico protetto.

La notizia più recente è del 7 Giugno, la RSA ha annunciato attraverso un comunicato stampa la sostituzione di  40 milioni di Token SecurID a causa dell’attacco informatico subito a Marzo 2011, questa ammissione avvalora ancora di più la tesi che sia stata trafugata una Master Key ed è pertanto necessario sostituire i token in distribuzione per assicurare la sicurezza dei propri clienti.

Questo avvenimento che ha colpito una delle più imponenti aziende di Sicurezza Informatica ci insegna che non dobbiamo mai abbassare la guardia nemmeno da una eMail inviataci dall’amico di infanzia e soprattutto apportare una corretta politica di IT Security all’interno delle aziende includendo nei corsi tutte le persone che quotidianamente usano un terminale e addestrarli ad evitare un attacco di Ingegneria Sociale che è sicuramente il sistema più diffuso per rubare informazioni importanti.

WiRouter KeyRec giunge al suo settimo aggiornamento, in questo caso viene introdotto l’algoritmo per i Router Wireless dell’operatore Irlandese Eircom e precisamente il modello Netopia prodotto da Motorola.

Vi ricordo che il tool è disponibile su riga di comando ed è compatibile con tutti i sistemi operativi, potete scaricarlo attraverso la pagina ufficiale dello sviluppatore Salvatore Fresta oppure se usate BackBox lanciando il seguente comando:

$ sudo apt-get update && sudo apt-get upgrade && sudo apt-get install wirouterkeyrec

valido sia per un installazione ex nova oppure per aggiornare la versione già presente sulla vostra distribuzione di Penetration Testing.

WhatWeb è un tool sviluppato da Andrew Horton nel Novembre del 2009 ed ha come scopo l’estrapolazione di maggiori informazioni tecniche su uno o più host. Per informazioni tecniche si intendono tutti i dati rilevanti per una corretta analisi di IT Security quali la versione del
server Apache, PHP, CMS ed altre informazioni che andremo a scoprire in questo articolo.

Installazione

WhatWeb è un applicativo per ambienti Linux e richiede Ruby per poter funzionare ed altre importanti dipendenze, di seguito vi riporto un esempio di installazione in ambiente Ubuntu.

Innanzitutto installiamo Ruby da riga di comando con il seguente comando:

sudo apt-get install ruby ruby-dev libopenssl-ruby rubygems1.8

successivamente dovremo installare le seguenti dipendenze di Ruby, sempre da riga di comando imputiamo:

sudo gem install anemone em-resolv-replace json bson bson_ext mongo rchardet

Terminata questa prima fase scaricate WhatWeb dal sito di Andrew Norton (http://bit.ly/kspIud) e salvatelo dove preferite.

Avvio

L’avvio di WhatWeb è veramente semplicissimo, si utilizza esclusivamente da riga di comando, basterà digitare il comando ./whatweb che immediatamente ci apparirà a monitor l’help con tutti i possibili comandi da sfruttare.

Utilizzo

L’imponente Help che vi è apparso a monitor una volta lanciato l’applicativo non vi deve spaventare 🙂 l’utilizzo è abbastanza semplice e comunque vi riepilogherò le principali funzioni.
WhatWeb funziona attraverso dei plugin, più di 800, che permettono la corretta scansione di un host e vengono gestiti dal software in base al livello di “aggressione” che preferite:

  1. 1. PASSIVA: Effettua una sola richiesta sul target, fatta eccezione per i reindirizzamenti.
  2. 2. VUOTO: Livello ad oggi non implementato, verrà sviluppato in futuro.
  3. 3. AGGRESSIVO: Effettua una scansione approfondita del host principale
  4. 4. PESANTE: Scassinamento approfondito su tutti gli URL del host.

Il livello di default è il primo, ma personalmente vi consiglio di utilizzare sempre il terzo ed attivare la modalità VERBOSE in modo da avere nozioni più esplicative.
È inoltre possibile impostare l’User Agent, il server Proxy, l’esportazione personalizzata dei log e la possibilità di gestire i redirect.

Esempio

Lanciando il seguente comando:

whatweb –log-verbose=log.txt –aggression=3 www.iltrillo.com

andremo ad avviare il programma con il terzo livello di aggressività e gli chiederemo di generare un file “log.txt” contenente il risultato in modalità verbose della scansione ma di riportarci a monitor immediatamente le nozioni essenziali sul host www.iltrillo.com.
Visualizzando il risultato della scansione notiamo immediatamente che il software ha analizzato l’host da noi fornitogli ma ha proseguito ad analizzare il redirect www.iltrillo.com/forum/ dal quale possiamo trarre nozioni importanti.

Il server che ospita il nostro Host è di tipo Unix con Apache 2.0.63 e PHP 5.2.14. Si trova in Olanda, le nostre visite vengono monitorate tramite Google Analytics, il forum è basato sulla piattaforma vBulletin 4.0.4 e vi è un blog basato su WordPress.

Basterà pertanto approfondire le ricerche per capire se le versioni rilevate soffrono di Exploit permettendoci di compilare un completo report da IT Security Researcher.

Dropbox Forensics Tools è un nuovo pacchetto di utility reso disponibile dalla Cybermarshal che permette di analizzare l’utilizzo del famoso File Storage Dropbox da parte di un utente che sfrutta l’ambiente Desktop per gestire i propri file online, le utility scritte in Python possono essere utilizzare sui sistemi Windows, Macintosh, e Linux .

Il pacchetto include i seguenti sei tools:

  • read_config script outputs the contents of the Dropbox config.db file in human-readable form. This includes the user’s registered e-mail address and Dropbox identifier, software version information, and a list of the most-recently-changed files.
  • read_filecache_config script outputs configuration information from the Dropbox filecache.db file. This includes information about shared directories that are attached to the user’s Dropbox account.
  • read_filejournal script outputs information about Dropbox synchronized files stored in the filecache.db file. This includes local and server-side metadata and a list of block hashes for each Dropbox-synchronized file.
  • read_sigstore script outputs information from the Dropbox sigstore.db file, which is an additional source of block hashes.
  • hash_blocks script produces a block hash list for any file. This block hash list can be compared to the block hashes from read_filejournal or read_sigstore.
  • dropbox_contains_file script hashes one or more files (as per hash_blocks) and compares the resulting block hash list to the files listed in filecache.db (as per read_filejournal) and reports whether the files are partially or exactly the same as any Dropbox-synchronized files.

È possibile effettuare il download di Dropbox Forensics Tools direttamente sul sito ufficiale dello sviluppatore.

Via | Stefano Zanero

L’hackmeeting è l’incontro annuale delle controculture digitali italiane, di quelle comunita’ che si pongono in maniera critica rispetto ai meccanismi di sviluppo delle tecnologie all’interno della nostra societa’. Ma non solo, molto di piu’. Lo sussuriamo nel tuo orecchio e soltanto nel tuo, non devi dirlo a nessuno: l’hackit e’ solo per veri hackers, ovvero per chi vuole gestirsi la vita come preferisce e sa s/battersi per farlo. Anche se non ha mai visto un computer in vita sua.

Tre giorni di seminari, giochi, feste, dibattiti, scambi di idee e apprendimento collettivo, per analizzare assieme le tecnologie che utilizziamo quotidianamente, come cambiano e che stravolgimenti inducono sulle nostre vite reali e virtuali, quale ruolo possiamo rivestire  nell’indirizzare questo cambiamento per liberarlo dal controllo di chi vuole monopolizzarne lo sviluppo, sgretolando i tessuti sociali e relegandoci in spazi virtuali sempre piu’ stretti.

L’evento è totalmente autogestito: non ci sono organizzatori e fruitori, ma solo partecipanti.

E’ possibile avere maggiori informazioni sull’evento direttamente dal sito ufficiale.

PAYPAL E POLIZIA DI STATO INSIEME

PER LA PROTEZIONE DELLO SHOPPING ONLINE

Milano, 14 giugno 2011 – Sicurezza in rete, tutela dei dati personali, protezione da frodi e rischi negli acquisti: temi “caldi” e particolarmente sentiti da chi utilizza Internet.

“Quello dei raggiri su Internet è un fenomeno del quale Polizia Postale e delle Comunicazioni si occupa costantemente”, afferma Antonio Apruzzese Direttore Polizia Postale e delle Comunicazioni. Nel 2010 sono state presentate 5.051 denunce da parte di utenti truffati, portando all’arresto di 285 persone e alla denuncia di 3.965 persone”.

Questi dati impongono di sensibilizzare le persone a un uso appropriato della Rete e PayPal, che investe molto sulla sicurezza delle transazioni e dei pagamenti, in collaborazione con la Polizia Postale e delle Comunicazioni, ha realizzato una Guida all’e-commerce sicuro.

A conferma della necessità di educare a un e-commerce protetto, vi è anche il quadro d’insieme prospettato dall’Osservatorio eCommerce B2C per Shool of Management Politecnico di Milano di Netcomm, che evidenzia una crescente propensione all’utilizzo della Rete come strumento per gli acquisti. Dal 2009 al 2010, infatti, il valore complessivo degli acquisti online è cresciuto del 15% (da 5.772 a 6.659 milioni di euro).

La guida, che sarà disponibile sul sito di PayPal e di Polizia di Stato, offre alcuni utili consigli e pratici suggerimenti per muoversi tra i negozi online senza problemi, grazie alla sicurezza dei pagamenti.

Si tratta di consigli particolarmente utili all’avvicinarsi del periodo estivo quando, sempre secondo Polizia Postale e delle Comunicazioni, il fenomeno delle truffe sembra acutizzarsi, complice anche la ricerca di offerte a bassissimo costo per le tanto attese vacanze.

Del resto, che la scelta di acquistare in rete sia legata anche alla possibilità di ottenere risparmi, oltre che alla comodità, non è una sorpresa: alcune ricerche confermano che il modello dell’acquisto di impulso legato a offerte speciali, ad esempio stock limitati o con prezzi scontati per un tempo definito, si è diffuso ed è proposto ormai da molti attori dell’e-commerce anche per i servizi.

“I consumatori – ma anche le aziende – devono poter usufruire dei vantaggi di Internet per le proprie attività quotidiane, indipendentemente dal proprio livello di informatizzazione”, afferma Luca Cassina, Country Manager Italia di PayPal. “Nonostante i casi di truffe la stragrande maggioranza degli acquirenti online continua con sicurezza ad affidarsi alla Rete per gli acquisti, e oltre a fornire loro un sistema di pagamento protetto e sicuro, il nostro obiettivo è anche aiutare chi non è esperto a comprare in Italia e all’estero in totale tranquillità. Per questo motivo abbiamo chiesto il supporto di Polizia Postale e delle Comunicazioni, che ha dato un contributo prezioso a questa campagna informativa. La nostra guida aiuterà i navigatori, occasionali o assidui, a sentirsi più confidenti in occasione del loro prossimo acquisto”.

I team IHTeam ha recentemente diffuso i risultati di una ricerca per velocizzare la ricerca di dati sfruttando una condizione booleana, la tecnica sfrutta ovviamente una Regular Expression e i risultati ottenuti sono i medesimi:

Hash Found.
Hash: 5f4dcc3b5aa765d61d8327deb882cf99
Number of request: 183
Number of request with bruteforce ( 0-9 a-f ): 320

Come potete vedere tramite l’utilizzo della tradizionale tecnica Bruteforce sarebbero necessarie 320 richieste, alternativamente con il nuovo ritrovato il numero scende a ben 183 richieste.

Potete trovare maggiori dettagli sul sito ufficiale del Team ma vi lascio anche il collegamento diretto al PDF descrittivo.

Grazie ad Alessio della Segnalazione

Un consulente di sicurezza informatica per il Dipartimento del Primo Ministro ed il Governo ha riconosciuto che l’identificazione a radiofrequenza (RFID), per tutti i passaporti e carte di credito sono un rischio per la sicurezza delle informazioni, e ha sottolineato che il governo sta cercando il modo per renderle più sicure.Parlando alla conferenza annuale Biometrics Institute Australia a Sydney la scorsa settimana, il dott Helen Cartledge ha detto che i chip RFID, inclusi quelli situati all’interno di carte bancarie e quei passaporti rilasciati dal governo, sono a rischio per i dispositivi wireless.

Il Passaporto elettronico utilizza il controllo di accesso di base (BAC) per evitare che le informazioni personali vengono estratte senza la consegna del documento. Extended Access Control è usato per proteggere altre informazioni come le impronte digitali . Carte di credito , tuttavia, non hanno lo stesso tipo di garanzie e alcune delle informazioni in essi contenute possono essere vulnerabili se gli aggressori siano vicini con un transceiver [lettore con la stessa gamma di frequenze]

Mentre i dati in un passaporto richiedono una chiave cifrata da usare, alcuni ricercatori olandesi hanno scoperto un modo per leggere alcune informazioni memorizzate in remoto.Se vuoi altre info utili vedi questo protocollo utilizzato RFID.

Fonte | GeekIT