All’inizio di questo mese i ricercatori di AlienVault e Intego hanno rilevato un nuovo attacco che ha colpito l’organizzazione non governativa ONG Tibetana. L’attacco permetteva attraverso la visita dell’utente ad un sito Web dannoso lo sfruttamene della vulnerabilità Java CVE-2011-3544 per eseguire un Payload sul terminale della vittima.

Il Payload provvedeva a caricare nei sistemi Windows una variante del trojan Gh0st RAT, ma con sorpresa caricava nei sistemi Mac OS X un nuovo payload chiamato OSX/Lamadai.A.

Il Payload OSX/Lamadai.A ha lo scopo di infettare tutti i documenti di Microsoft Word, il trojan si attiverà all’apertura dei documenti inviando ad un server Cinese informazioni private quali IP, Nome del mac, username e password. Lo scopo è chiaramente quello di rubare informazioni private attraverso la creazione di una backdoor nel proprio terminale.
Il consiglio è quindi quello di aggiornare quanto prima il pacchetto di Microsoft Office per MAC.

Mercury è un Framework gratuito in grado di trovare vulnerabilità, scrivere proof-of-concept exploit e “giocare” nel mondo Android. Sfrutta l’analisi dinamica delle applicazioni Android e dei dispositivi per effettuare una analisi di sicurezza veloce ed esaustiva. L’applicazione è di facile utilizzo ed inoltre è possibile estendere le funzioni base grazie all’integrazione di plug-in o script esterni.

Il mondo Android è in piena espansione e l’utilizzo di applicativi come Mercury può rendere le applicazioni più sicure, gratificando il lavoro del programmatore assicurando una maggior tutela della Privacy per l’utente finale.

È possibile consultare tutti i dettagli su Mercury nel sito ufficiale, infine vi lasciamo con un video dimostrativo nel quale illustra come individuare e sfruttare falle di tipo SQL Injection nelle applicazioni Android.

Continua a leggere

Mutillidae è un software sviluppato dalla fondazione OWASP per acconsentire a tutti gli appassionati di sicurezza informatica di testare in locale le 10 principali vulnerabilità raccolte nella famosa graduatoria “OWASP Top 10“.

In particolare è possibile effettuare dei test di:

  • SQL Injection
  • XSS
  • Broken Authentication and Session Management
  • Insecure Direct Object References
  • Cross Site Request Forgery (CSRF)
  • Security Misconfiguration
  • Insecure Cryptographic Storage
  • Failure to Restrict URL Access
  • Insufficient Transport Layer Protection
  • Unvalidated Redirects and Forwards

Mutillidae può essere installato su Linux, Windows e Mac utilizzando XAMPP (una distribuzione di Apache di facile installazione contenente MySQL, PHP e Perl), permettendo all’utente una facile e veloce installazione senza compromettere eventuali server dedicati alla distribuzione di siti internet.

Mutillidae contiene decine e decine di vulnerabilità e anche i principali suggerimenti su come sfruttare o correggere le vulnerabilità, possiamo così creare rapidamente il nostro Hack-Lab e magari lanciare qualche gara tra amici. Viene utilizzato nei corsi di laurea di sicurezza informatica, da istituti di formazione o nei principali corsi promossi dalla OWASP.

Un utente intento ad imparare ad usare un software di security scanner (Es. W3af, Websecurify, SqlMap, ecc ecc) o a sfruttare una vulnerabilità potrà così caricare in locale Mutillidae, avviarlo XAMPP ed iniziare a fare i propri test.

È possibile scaricare Mutillidae attraverso SourceForge: http://sourceforge.net/projects/mutillidae/ oppure vedere dei video dimostrativi sul canale ufficiale di YouTube.

Negli ultimi anni i siti internet sono notevolmente aumentanti e non vengono più utilizzate pagine statiche HTML ma sempre più piattaforme sfruttano i contenuti dinamici per interagire con l’utente, PHP è in assoluto il linguaggio più utilizzato per creare script in grado di creare piattaforme dinamiche.

Il recente avvento del Web 2.0 ha visto incrementare novantennalmente i siti dinamici e interattivi con un chiaro rischio per la sicurezza delle piattaforme e dei dati degli utenti, basti pensare che negli ultimi anni il 30% delle vulnerabilità rilevate erano correlate a PHP.

Molto spesso le vulnerabilità sono frutto di una errata scrittura del codice, una lacuna o una semplice distrazione possono mandare in tilt un sito internet con il rischio di vedere migliaia di dati riservati sparsi per la rete.

È pertanto utile utilizzare un analizzatore di codice PHP per individuare facilmente e autonomamente eventuali errori di programmazione, RIPS è un software distribuito sotto licenza GNU in grado di aiutare lo sviluppatore a testare la sicurezza del proprio codice.

Tramite RIPS è possibile determinare vulnerabilità di tipo:

  • XSS;
  • SQLi;
  • File disclosure;
  • LFI/RFI;
  • RCE.

RIPS è scaricabile gratuitamente attraverso SourceForge: http://sourceforge.net/projects/rips-scanner/

Fonte | ClsHack

Dopo aver sorpreso tutti per lo spostamento della famosa gara di Cracca al Tesoro da Milano a Genova, il team ha recentemente ufficializzato l’apertura delle iscrizioni alla gara.

È possibile procedere ad iscriversi gratuitamente attraverso il sito internet ufficiale vi ricordo che la gara si terrà si terrà il prossimo 12 Maggio 2012 a Genova in occasione della fiera MARC DI PRIMAVERA – 19ª Mostra attrezzature radioamatoriali e componentistica,  hi-fi, car stereo, fai-da-te, informatica.

Auspichiamo anche per quest’anno di vedere una squadra utilizzatrice di BackBox sul podio! In bocca al lupo ragazzi!

AIPSI, Associazione Italiana Professionisti Sicurezza Informatica, e’ il capitolo italiano di ISSA®, un’organizzazione internazionale no-profit di professionisti ed esperti praticanti.

Il prossimo 5 Aprile si terrà a Milano l’evento “Facciamo quadrato sulla sicurezza” sul tema “Consumerization, Millennials, Mobile… ” due fenomeni che hanno molto in comune, Tablet, smartphone, e altri strumenti di nuova generazione. L’IT deve evolvere verso un nuovo approccio, con particolare attenzione alla sicurezza.

L’evento inizierà alle 17:00 fino alle 20:00, con la “moderazione” di  Gaetano Di Blasio, partecipano: Susanna Simari Benigno (Vodafone), Gabriele Faggioli, Cesare Garlati (Trend Micro), Stefano Zanero (AIPSI e ISSA International Board).

Per qualsiasi informazione potete consultare il sito internet ufficiale.

Websecurify è un ottima piattaforma per la ricerca di vulnerabilità all’interno di piattaforme Web, il software disponibile per molteplici sistemi operativi raggiunge ora la compatibilità con  i dispositivi iOS.

Websecurity permette di individuare le seguenti vulnerabilità:

  • SQL Injection
  • Cross-site Scripting
  • Carriage Return Linefeed Injection
  • Cross-site Request Forgery
  • Directory Listing Denied
  • Directory Listing Enabled
  • Email Disclosure
  • SQL Error
  • File Upload
  • WWW Authentication
  • Banner Disclosure
  • Session Cookie not HTTPOnly
  • IP Disclosure
  • Session Cookie not Secure
  • Discovered SOAP Service
  • Path Disclosure
  • Error Disclosure
  • Local File Include
  • User Disclosure
  • Open Redirect
  • Source Leakage

L’interfaccia dell’applicazione è veramente semplice e minimale, nelle immagini di apertura possiamo notare la scansione di un sito internet il quale ci riporta una vulnerabilità di alto rischio di tipo SQL Injection. Ogni scansione è poi possibile salvarla e recuperarla velocemente attraverso il menu Targets oppure inviare un completo report tramite eMail.

È possibile acquistare Websecurity sull’Apple Store alternativamente trovate altre informazioni sul sito internet ufficiale del Team.

Di seguito una serie di screenshot per comprendere al meglio il funzionamento dell’applicazione.

Continua a leggere

La seconda edizione del Facebook Hacker Cup è giunta al termine, il vincitore di questa edizione è il russo Roman Andreev che ha completato uno dei tre problemi proposti in 1h e 4 minuti battendo il secondo classifico, Tomek Czajka, di appena un minuto. Il terzo classificato è il cinese Tiancheng Lou ormai abituato ad arrivare terzo.

Non sono ancora stati pubblicati i problemi proposti, non appena lo saranno vi aggiorniamo così potete allenarvi. Magari per il 2013 vi sarà qualche Italiano nel gruppo…

Si svolgerà a Milano presso AtaHotel Executive il 20 e 21 Marzo, la quarta edizione dell’Hacking Film Festival, rassegna serale dedicata a lungometraggi e filmati indipendenti sul tema dell’hacking e della (in)sicurezza, presentati e commentati da esperti del settore.
Il Festival nasce all’interno del progetto Security Summit, il convegno di tre giorni dedicato alla sicurezza informatica, organizzato da Clusit, la principale associazione italiana che riunisce gli esperti sulla sicurezza informatica, e CEventi. La rassegna è realizzata in collaborazione con la Facoltà di Informatica Giuridica dell’Università degli Studi di Milano.

Tra gli esperti hacker e studiosi italiani del fenomeno coinvolti ci sono i nomi di Raoul Chiesa, Alessio Pennasilico, Pierluigi Perri e Giovanni Ziccardi, consulenti del settore e docenti dell’Università degli Studi di Milano che, insieme ad altri ospiti, coordineranno un breve dibattito sui contenuti e ascolteranno e commenteranno le osservazioni del pubblico. Tra gli ospiti delle due
serate è confermata la presenza del filosofo Lele Rozza.
Nel corso della prima serata (20 marzo, ore 18:15) verrà proiettato “The KGB, the Computer and Me“, storia di un astronomo, Clifford Stoll, che, ipotizzando un hacking in un computer del Lawrence Berkeley Laboratory si trova coinvolto in una caccia all’intruso che lo porta sino a Markus Hess, cracker del KGB, e a intriganti vicende narrate nel suo best seller “The Cuckoo’s
Egg”. L’altra versione della storia, interpretata da un punto di vista “hacker”, sarà narrata nel film “23“.

Durante la seconda serata (21 marzo, ore 18.15) gli spettatori potranno assistere alla proiezione di “Cybercriminals” di Misha Glenny, dove si analizzano i profili di sei cybercriminali raccontandone la storia, senza tralasciare aspetti psicologici e personali.

Il Festival è a partecipazione gratuita, ma la prenotazione è obbligatoria. Per iscriversi alla rassegna cinematografica è sufficiente inviare una email all’indirizzo [email protected] precisando se ci si iscrive ad entrambe le serate o a quale delle due.
Al termine, gli spettatori sono invitati a partecipare ad un aperitivo.