Lo scorso gennaio 2011 il team Security Development Lifecycle ha rilasciato una versione beta dell’Attack Surface Analyzer, e la scorsa settimana è stata annunciata la versione stabile 1.0.

Attack Surface Analyzer aiuta sviluppatori, software house ed amministratori di sistema ad identificare i cambiamenti nella superficie d’attacco di Windows dopo l’installazione di applicazioni, sia sviluppate in house che di terze parti. Ecco alcuni scenari dove il tool può essere utile:

  • Gli sviluppatori possono verificare la superficie d’attacco dopo aver installato il loro prodotto su Windows
  • I professionisti IT possono analizzare la superficie d’attacco complessiva dopo aver installato la linea di business applications aziendale
  • I security auditor possono valutare il rischio di un particolare software durante un’attività di risk assessment
  • I security incident responders possono avere maggiore informazioni sullo stato della sicurezza di un sistema durante un’investigazione

Questo tool essenzialmente permette di fare uno snapshot di informazioni relative alla sicurezza di un determinato sistema. Dopo aver installato tutte le applicazioni necessarie ed effettuando un secondo snapshot, Attack Surface Analyzer automaticamente confronterà i due risultati e mostrerà i cambiamenti in un report.

Lo snapshot include diverse informazioni sulla macchina, per esempio:

  • Informazioni di sistema
    • Processi in esecuzione
    • Pagine di memoria eseguibili
    • Impersonation Tokens
    • Oggetti del Kernel
    • Moduli
  • Informazioni di rete
    • Porte di rete
    • Named Pipe
    • Endpoint RPC
  • Ambiente di sistema, Utenti e Gruppi
    • Account
    • Gruppi
    • Group Membership

 

La scheda “Security Issues” dell’immagine di apertura evidenzia potenziali problemi, come per esempio eventuali ACLs impostate in maniera non siucra. La sezione “Attack Surface” fornisce dettagli sui cambiamenti del sistema e della superficie d’attacco.

Attack Surface Analyzer è disponibile gratuitamente sul sito ufficiale di Microsoft.

 

Via | TechNet

Continuano gli interessanti corsi in ambito di Sicurezza Informatica offerti dal D3Lab, il nuovo corso di Computer Forensics si terrà ad Ivrea da mercoledì 17 Ottobre a venerdì 19 Ottobre 2012; un mese prima rispetto al corso di Analisi dei siti web compromessi che si terrà da mercoledì 17 Ottobre a venerdì 19 Ottobre 2012.

I partecipanti seguiranno 32 ore di lezione (8.30-12.30 e 14.00-18.00) nell’arco delle quali il docente Antonio Deidda, forte della propria esperienza di Sovrintendente della Polizia Postale, illustrerà le molte tematiche, tecniche e normative, legate ad una disciplina tanto complessa.

D3Lab, conscia delle responsabilità connesse con l’attività di analisi forense, spesso svolta nell’ambito di attività investigative che tante conseguenze possono avere sulla vita delle persone coinvolte, ha scelto di affidarsi ad un docente che, grazie alla propria esperienza investigativa, può avvicinare i partecipanti all’analisi forense non solo dal punto di vista nozionistico, illustrando il funzionamento dei vari strumenti, ma anche illustrando la pianificazione organizzativa dell’attività, mirata all’ottenimento dei risultati richiesti, e le corrette modalità per integrarla proficuamente ed in sinergia Forze dell’Ordine e Magistratura.

Durante il corso verrà illustrato, con prove pratiche, il funzionamento di dispositivi hardware quali i write blocker, i duplicatori, nonché di diversi software di analisi forense, sia open source che commerciali.

I partecipanti al corso fruiranno inoltre di un codice promozione che garantirà uno sconto del 10% sull’acquisto di strumenti hardware e software presso GOV Forensics S.r.l.

Il corso è indirizzato a coloro che già operano all’interno delle Forze dell’Ordine o con esse collaborano quali consulenti tecnici e/o ausiliari di polizia, a legali che vogliano comprendere le modalità con cui tali attività vengono svolte, a personale dei reparti ICT delle aziende pubbliche e private che nell’ambito della propria professione possa essere chiamato ad intervenire per preservare la scena del crimine digitale a tutale degli interessi aziendali, a coloro che desiderano ampliare il proprio bagaglio professionale verso settori lavorativi emergenti.

Il corso è proposto al costo di 990,00 Euro I.V.A. inclusa, per qualsiasi altra informazione potete visitare il sito internet ufficiale.

WPA Tester per Android si aggiorna raggiungendo la quarta versione, il famoso software per il recupero della propria chiave WPA è stato completamente rivisto!

Di primo impatto troviamo una nuova veste grafica che nasconde una rivisitazione totale del codice sorgente del software e l’introduzione di ben 12 nuovi algoritmi (Arcor, EasyBox, OTE, Blink, Vodafone(no IT), P1, PBS, ZON, CONN-X, HITACHI, Andared, Megared)  e l’aggiornamento dei vecchi router.

Potete scaricare il software cliccando qui oppure tramite il seguente QrCode:

 

Per chi ancora non conoscesse Fern è un interfaccia grafica per la suite AirCrak-NG, un software scritto in Python ed oltre ad offrire un valido supporto al cracking delle reti WEP e WPA/WPA2 permette di localizzare una rete Wireless sfruttando le API di Google Maps e recentemente nell’ultima versione 1.6 ha introdotto la funzionalità di Cookie Hijacker Wireless!

La funzione di Cookie Hijacker permette di catturare all’interno di una rete Wireless i cookie di sessioni internet di altre persone, garantendoci ci accedere a tale sessione anche dal nostro portatile. Come potrete vedere dal video esempio dopo il salto è stato possibile accedere alla sessione di Facebook di un’altra persona grazie allo sniffing della rete WiFi alla ricerca di Cookie.

Per evitare di cadere in trappola vi ricordo l’importanza di utilizzare sessioni SSL e di collegarsi a reti con protezione WPA2 e magari con l’isolamento dei client.

Potete scaricare Fern dal sito internet ufficiale, per chi fosse alle prime armi può consultare la guida all’installazione e all’uso su Sicurezza.HTML.IT oppure lo trovate già preinstallato in BackBox.

Continua a leggere

Weevely, per chi ancora non lo conoscesse, è un generatore di Backdoor PHP sviluppato dal nostro compaesano Emilio Pinna. Il software Weevely permette quindi di creare un ambiente simile ad una shell SSH/Telnet per acconsentirci di eseguire comandi sul server remoto, nonostante funzioni in ambiente PHP il software tenta diversi approcci per fornire all’utente una shell funzionante con i maggiori permessi ottenibili.

Recentemente Weevely si è aggiornato alla versione 0.7.1 recependo il seguente changelog:

  • net.proxy module forwards your HTTP traffic trough remote target machine as a real proxy. First run :net.proxy, then set ‘http://localhost:8080′ as HTTP proxy in your favourite web browser and browse anonymously through target web server.
  • net.php_proxy module installs a PHP script to browse anonymously through remote target machine.
  • net.scan module performs port scan from your target web server
  • file.rm module removes files and directories, also in restricted PHP enviroinments

Weevely lo trovate preinstallato nella famosa distribuzione di Pen Testing BackBox, oppure lo potere scaricare attraverso il sito internet ufficiale. Dopo il salto vi lasciamo con una breve video guida dimostrativa.

Continua a leggere

Arbor Networks ha pubblicato sul proprio blog un’analisi relativa alle tracce lasciate in rete dai  Remote Access Trojan (RAT),  dei programmi malware che consentono  di acquisire da remoto il controllo del computer attraverso la connessione Internet.

Questi tool rappresentano una vera minaccia alla sicurezza in quanto riescono a spiare password e qualsiasi combinazione di tasti, controllano  i file in upload e in download, sottraggono documenti sensibili e possono inoltre scaricare e  installare altri malware , il tutto all’insaputa dell’utente.

L’osservazione di Arbor si concentra in particolare sul RAT Dark Comet, un software di semplice utilizzo recentemente balzato agli onori della cronaca dopo essere stato utilizzato anche dal Governo Siriano per spiare i propri oppositori politici. Nel blog post si analizzano diverse campagne Dark Comet , tra cui una probabilmente realizzata in Italia, e vengono individuati alcuni indicatori come password e indirizzi IP  per tentare di comprendere le motivazioni e l’origine degli attacchi.

L’analisi integrale è consultabile direttamente sul blog di Arbor Networks.

Le vulnerabilità svelate al Black Hat di Las Vegas continuano a stupirci, un gruppo di ricercato guidati da Javier Galbally ha dimostrato come sia possibile eludere i sistemi di autenticazioni basati sull’iride. La Bio-Autenticazione dell’iride è stata finora considerata la protezione informatica più sicura, ma il team è riuscito a dimostrate alla conferenza di IT Security che il sistema è violabile.

Per violare il sistema sono stati raccolti in un database vari schemi e caratteristiche dell’iride umana, successivamente un algoritmo elabora le caratteristiche immagazzinate per generare più iridi artificiali fino a raggiungere la configurazione specifica per accedere al sistema. Durante la presentazione sono bastati dieci minuti per trovare la combinazione corretta e ottenere accesso al sistema, senza aver a disposizione l’iride del soggetto autorizzato.

Galbally ha precisato infine che comunemente il sistema di Bio-Autenticazione dell’iride viene accoppiato ad altri sistemi di riconoscimento basati sulla personalità, su una password o sul possesso i quali diminuiscono sensibilmente il successo dell’attacco. Tuttavia il sistema di difesa ritenuto più sicuro è stato violato in meno di dieci minuti.

Via | Diario del Web

Ci sono tanti vantaggi ad essere il più diffuso sistema operativo mobile ma altrettanti negativi, uno di questi è la sicurezza della piattaforma.

Android è costantemente preso di mira da malintenzionati utenti che tentano di accedere illecitamente negli Smartphone alla ricerca di informazioni personali, per contrastare gli attacchi Google ha introdotto il supporto alla tecnologia ASLR dell’ultima versione del suo sistema operativo v4.1 nome in codice Jelly Bean.

La ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi) è una misura di protezione contro buffer overrun e exploit che consiste nel rendere (parzialmente) casuale l’indirizzo delle funzioni di libreria e delle più importanti aree di memoria. In questo modo un attacco informatico che cerca di eseguire codice malevolo su un computer è costretto a cercare gli indirizzi del codice e dei dati che gli servono prima di poterli usare, provocando una serie di crash del programma vettore (infettato o apertamente malevolo).

Normalmente, se durante l’esecuzione di codice si accede a una struttura dati con l’indirizzo sbagliato si ottengono dati errati, e se si chiama una funzione con l’indirizzo errato si provoca una eccezione, che porta alla terminazione del programma da parte del sistema operativo; un programma malevolo sfrutterà però l’eccezione generata (legittimamente: non è possibile né consigliabile impedire ai programmi di generare eccezioni) per tenere traccia di quale tentativo è fallito, raccogliendo così sempre maggiori informazioni ad ogni fallimento, fino a conoscere prima o poi con precisione l’indirizzo di memoria delle risorse che gli servono. Questa attività di raccolta di informazioni genera però una serie ripetuta di crash del programma in questione, che è quindi ben visibile all’utente o ai programmi antivirus. {Wikipedia}

Via | MobileBlog

Charlie Miller durante il recente Black Hat di Las Vegas ha dimostrato com’è possibile controllare i dispositivi Android attraverso la tecnologia NFC.

Sfruttando la tecnologia Android Beam è possibile indirizzare il dispositivo Android ad un sito internet malevole che sfrutta una vulnerabilità del Browser stock per installare nello Smartphone un Malware ottenendo la possibilità di consultare senza autorizzazione cookie e pagine web visitate. Se l’utente ha inoltre acconsentito all’installazione di applicazioni di terze parti è possibile prendere il controllo completo del telefono.

La vulnerabilità è stata dimostrata sulla linea di Smartphone Nexus supportata direttamente da Google, la versione più vulnerabile è Gingerbread, Ice Cream Sandwich risolve alcune vulnerabilità del Browser che rendono più difficile lo sfruttamento della falla mentre non sono stati effettuati test sulla recente versione Jelly Bean.

Via | The Inquirer