HackInBo 2014

Dopo l’entusiasmante evento del 2013 torna HackInBo a Bologna il prossimo 3 Maggio 2014, un interessate momento di incontro totalmente gratuito debito ad approfondire i temi di Sicurezza Informatica!

Location e speaker d’onore anche per questa seconda edizione:

Auditorium Enzo Biagi di Sala Borsa
Piazza del Nettuno 3, Bologna
40100 Italia

  •  10:00-10:30 Accoglienza Partecipanti
  • 10:30-10:45 Saluti e Ringraziamenti Sponsor
  • 10:45-11:30 “Infiltrare, Manipolare, Compromettere e Distruggere: i Social Media come Campo di Battaglia” Andrea Zapparoli Manzoni
  • 12:15-13:00 “La Strategia Italiana in Materia di Cyber Security” Stefano Mele
  • 13:00-14:30 Pausa Pranzo
  • 15:15-16:00 “Uso, ma specialmente Abuso, delle Tecniche di Investigazione e Sorveglianza Digitale” Andrea Ghirardini
  • 17:30-18:00 Saluti Finali e Ringraziamenti

L’evento è rivolto ai dirigenti d’azienda, agli it-manager, ai sistemisti, agli appassionati e a tutte quelle persone interessate ad approfondire argomenti di estrema attualità riguardanti la sicurezza informatica.

Per chi fosse interessato a maggiori dettagli sull’evento può visitare il sito internet ufficiale, per chi fosse invece interessato a registrasi all’evento per assicurarsi un posto può farlo tramite Eventbrite!

 Tabnabbing, un caso reale di Phishing

Grazie alla segnalazione di Claudio Rizzo (~Zip~) i primi giorni di Marzo 2014 abbiamo rilevato un particolare attacco di phishing ai danni di Facebook e del portale WhatsApp Hacking, la particolarità di questo attacco è lo sfruttamento della tecnica di Tabnabbing.

Il Tabnabbing è una tecnica di attacco informatico di tipo phishing con un minimo di arguzia in più.
Viene presentato infatti alla vittima un link ad una pagina internet del tutto innocua e con del contenuto interessante. L’utente medio ha ormai l’abitudine di navigare su più tab (schede) all’interno del suo browser e la pagina in questione sfrutta questa abitudine per cambiare d’aspetto nel momento in cui l’utente la lascia aperta per visitare una nuova tab. Il nuovo aspetto rispecchierà in tutto e per tutto quello di una pagina di accesso a dei servizi online in cui vengono chieste username e password (per esempio il sito di posteitaliane, quello di un homebanking oppure la pagina di login di gmail come riportato dal link esterno). La vittima, tornando sulla scheda del sito attaccante, non si ricorderà più che quella deriva da un link non sicuro che ha cliccato, potrà invece pensare che aveva aperto tale pagina senza aver ancora effettuato l’accesso. Ovviamente l’inserimento dei dati in questa pagina verranno inoltrati all’account dell’attaccante e l’utente verrà reinderizzato sul sito reale in modo che non si accorga di essere stato derubato delle credenzialità. {Wikipedia}

Visto il forte interesse a “controllare” le conversazioni altrui di WhatsApp l’utente medio che faceva una ricerca online trovava nei principali risultati il portale “WhatsApp Hacking”, sito ospitato gratuitamente presso un importante provider che offre domini di terzo livello gratuitamente. Il sito in questione è una copia speculare dell’originale http://www.whatsapphack.com ma tradotto in Italiano, il sito civetta era stato costruito per trafugare le credenziali di accesso degli utenti Facebook!

Grazie alla collaborazione del D3Lab siamo riusciti a ricostruire integralmente il portale ed abbiamo riprodotto in locale l’esperienza di navigazione, che vi proponiamo nel seguente video:

Entrando più nello specifico il sito internet era composto da i seguenti file:

  • home.php
  • index.php
  • send.php
  • tabnabbing.js
  • contatti.txt

Il file index.php incorporava questa porzione di codice:

<script language="javascript" src="tabnabbing.js"></script>
<meta charset="UTF-8" />
<title>Whatsapp Hack - Whatsapp Hack Tool</title>

che richiama il file tabnabbing.js che incorpora la seguente porzione di codice:

function createShield(){
div = document.createElement("div");
div.style.position = "fixed";
div.style.top = 0;
div.style.left = 0;
div.style.backgroundColor = "white";
div.style.width = "100%";
div.style.height = "100%";
div.style.textAlign = "center";
document.body.style.overflow = "hidden";

window.location = 'home.php'

var oldTitle = document.title;
var oldFavicon = favicon.get() || "/favicon.ico";

div.appendChild(img);
document.body.appendChild(div);
img.onclick = function(){
div.parentNode.removeChild(div);
document.body.style.overflow = "auto";
setTitle(oldTitle);
favicon.set(oldFavicon)
}

Come è possibile vedere il precedente Java Script crea l’effetto Tabnabbing, una volta che l’utente cambia il focus su un’altra pagina/applicazione automaticamente entra in azione lo script che va a caricare la pagina home.php! Tale pagina emula la pagina di accesso di Facebook con un form che rimanderà al file send.php per il salvataggio delle credenziali:

<form id="login_form" action="send.php" method="post" onsubmit="https://www.facebook.com">

quest’ultimo file send.php contiene invece la seguente porzione di codice che rimanda l’utente sull’autentico portale di Facebook mostrandoli una foto del Concorso Protagoniste della Creatività:

<meta http-equiv="refresh" content="0; url=https://www.facebook.com/photo.php?fbid=539777592726633&set=a.539291452775247.1073741830.539232656114460&type=3&theater">

Il file send.php contiene inoltre lo script di memorizzazione delle credenziali sottratte all’utente, porzione di codice che non riusciamo a mostrarvi perché nidificato all’interno del Hypertext Preprocessor  “<?php” – “?>” ma che abbiamo scoperto salverà le credenziali all’interno del file contatti.txt che al momento della nostra analisi conteneva più di 160 credenziali sottratte come è possibile vedere nel seguente screenshot appositamente oscurato:

Credenziali_Phishing_Web

In conclusione l’utente che cercava online un metodo per leggere le conversazioni di WhatsApp di una terza persona trovava tra i primi risultati di Google il sito internet http://whatsapphack.provider123.com, tale sito era una copia speculare dell’autentico sito www.whatsapphack.com ma tradotto in Italiano e non permetteva il download di alcuna applicazione, ma non appena si cambiava il focus del scheda/pannello del Browser magari per vedere una notifica su Twitter o un altro risultato della ricerca entrava in funzione lo script di Tabnabbing che sostituiva la pagina con un form di autenticazione di Facebook falso debito esclusivamente a sottrarre le credenziali.

Quanto prima provvederò a contattare tutti gli utenti coinvolti e gli avviserò che le loro informazioni sono state trafugate!

Ringrazio Claudio Rizzo per la segnalazione e Denis Frati del D3Lab per il supporto.

Book_Penetration_Testing_with_BackBox

Stefan Umit Uygur (Aka Ostendali) ha recentemente pubblicato un libro sulla nostra distribuzione Italiana di Penetration Testing, BackBox! Il libro scritto in Inglese è possibile scaricarlo in versione eBook oppure in versione cartacea sul sito internet di PacktPub a 11,89euro per la versione digitale o 21,89euro per la versione cartacea.

Per i più curiosi è possibile visualizzare un estratto del primo capitolo in formato PDF, di seguito vi riporto in Inglese i principali punti discussi sul libro:

  • Perform reconnaissance and collect information about an unknown system
  • Perform vulnerability scanning, management, and assessment, as well as understand false positives
  • Understand how SQL injection attacks work and find injectable pages on a web server
  • Sniff the network to capture sensitive data and learn different methods of privilege escalation
  • Maintain permanent access on a target server once access is initially granted
  • Use exploitation tools like Metasploit to exploit the reported vulnerabilities
  • Learn how to document and generate reports from the entire auditing process

Buona Lettura!

DeftCon[AGGIORNATO con il programma definitivo]

L’associazione DEFT Linux nata nel 2012 per volontà di Stefano Fratepietro anche per il 2014 organizza un evento gratuito sul mondo della Digital Forensics, evento che si terrà a Milano il prossimo 11 Aprile e vedrà la partecipazioni di numerosi esperti del settore. Come anticipavo l’evento sarà assolutamente gratuito ma vista l’importanza dei relatori è ben gradita una donazione che verrà ripagata con la consegna di due gadget a marchio DEFT!

Il DEFT CONFERENCE si terrà 11 aprile 2014 dalle ore 9.30 alle 17.00 presso l’edificio 3 Gino Cassinis, Piazza Leonardo Da Vinci 32, Milano! Google Maps!

Il programma dell’evento è il seguente:

Moderatrice: Francesca Bosco (Tech and Law Center)

Ore 9:30 – Saluti del Presidente DEFTA e introduzione alla conferenza
Stefano Fratepietro (Presidente Associazione No profit DEFT)
Ore 9:45 – Presentazione delle principali novità di DEFT 8.1
DEFT dev team
Ore 10:30 – Digital Forensics sui dispositivi SSD
Stefano Zanero (Assistant Professor Politecnico di Milano)
Ore 11:00 – Windows 8 e Windows Phone 8 Forensics
Mattia Epifani (Tech and Law Center)

Ore 11:30 – Coffe Break

Ore 11:45 – Windows Shellbag Forensics
Luigi Ranzato
Ore 12:15 – The dark side of Digital Investigation
Giuseppe Vaciago (Tech and Law Center)
Ore 12:45 – Metodologie di acquisizione di dispositivi Android
Marco Giorgi (DEFT team)

Ore 13:15 – Pausa pranzo

Ore 14:00 – Stato dell’arte della computer forensics in Italia: formazione, percorsi di studio e spunti di ricerca
Giovanni Ziccardi (Professore associato Statale di Milano)
Ore 14:30 – Anti-Malware in Cloud con Deft
Andrea Ghirardini (IISFA)
Ore 15:00 – Electronic Evidence Guide – Traduzione Italiana delle linee guida del Consiglio d’Europa
Pasquale Stirparo e Marco Carlo Spada (Tech and Law Center, DFA)
Ore 15:30 – Nuovi strumenti a supporto delle indagini digitali
Marco Albanese e Federico Grattirio (studenti ricercatori UniPV)

Side event organizzato dal Tech and Law Center
Ore 16:00 – Origini, stato attuale e prospettive future del protocollo Bitcoin e delle monete matematiche
Giacomo Zucco (consulente) e Carola Frediani (giornalista)

Ore 17:00 – Saluti finali e ringraziamenti

Grazie al Politecnico di Milano, quest’anno la location potrà ospitare fino ad un massimo di 270 persone. L’iscrizione all’evento è gratuita ma vi è data la possibilità al partecipante di poter fare una donazione al momento della prenotazione del posto a sedere mediante Eventbrite. Per le sole persone che faranno una donazione, l’associazione DEFTA vi regalerà due gadget a marchio DEFT.

 

Per chi fosse interessato a partecipare all’evento può iscriversi attraverso Event Brite ed effettuare anche la donazione!