Global code

Pubblico volentieri l’evento che si terrà domani sera 1 Agosto presso la sede dell’Associazione Radioamatori Italiani di Mestre sulla Sicurezza Informatica, il talk parlerà dei problemi di sicurezza che ci sono navigando in internet, di come vengono svolti alcuni attacchi e di come proteggersi da essi.

Programma della serata:

  • Storia della  sicurezza informatica;
  • Chi attacca e perchè;
  • L’attacco DOS/DDOS;
  • L’attacco Diffing;
  • L’attacco “brute forcing”;
  • Il buffer overflow;
  • Il Code Injection;
  • L’attacco MITM (Man in the middle);
  • Virus/Worm/etc ;
  • Come viene svolto un’ attacco informatico;
  • Come proteggersi;
  • Domande del pubblico.

Per maggiori informazioni potete visitare il sito internet ufficiale dell’Associazione.

 BackBox 4.0 Preview - Anonymous Mode

BackBox 4 è alle porte ed alcuni di voi mi hanno scritto per avere maggiori informazioni sulla data di rilascio e sulle nuove funzionalità, ad oggi manteniamo il massimo riservo su tutte le caratteristiche della distribuzione di Penetration Testing. Già dall’immagine di apertura potete però apprezzare qualche nuovo dettaglio, una rivisitazione della grafica del menu e un nuovo sfondo…eh chissà magari anche l’ambiente grafico è cambiato :D!

Oggi voglio mostrarvi un video realizzato da Raffaele Forte pochi minuti fa nel quale si possono apprezzare le nuove caratteristiche dello Script Anonymous, questo script è stato creato per garantire l’anonimato dell’intero Sistema Operativo BackBox attraverso Tor!

Buona Visione!

Traffico di Rete

Sono due giorni che l’accesso al mio Blog e ad altri siti Europei va a singhiozzo, inizialmente pensavo fosse un problema del mio server o al provider OVH in cui è collocato il mio server ma ho eseguito ulteriori test e grazie alla collaborazione di alcuni utenti del Forum di Harware Upgrade ho capito di non essere un caso isolato ma la problematica si presenta per tutti i clienti Telecom Italia ADSL o vDSL.

Ho così eseguito un paio di test sfruttando SpeedTest di Ookla il quale ha confermato le mie ipotesi, la mia connessione riporta buoni valori su server Italiani mentre per i server Europei e Americani il Ping subisce un innalzamento importante e la velocità di download cala drasticamente!

Vi riporto un po’ di risultati di seguito, ma non preoccupatevi fortunatamente non siamo sotto attacco DDoS, come alcuni di voi mi hanno chiesto, ma è un problema di lentezza che affligge Telecom dal 10 Luglio!

Server Italiani

Fidenza

Bologna

Chiaravalle

Salerno

Server Europei

Roubaix

Madrid

Leira

Monaco

Francoforte

Amsterndam

Server Americani

Boston

Morristown

Denver

Oklahoma City

Indianapolis

Server Australiani

Sydney

 

[AGGIORNAMENTO 13 Luglio 2014]

Il problema risulta essere rientrato.

Libero Mail

Nel corso delle ultime due settimane da alcune analisi effettuate mi è risultato un invio anomalo di eMail contenente SPAM provenienti da account di @libero.it, entrando più nel dettaglio ho ricevuto delle eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi 8 anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!

Pertanto diverse eMail @libero.it con le quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato un link contenente SPAM, mittenti che sono scollegati tra loro e non si conoscono ne virtualmente ne nella vita reale! Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani. Di seguito vi riporto in una tabella l’eMail che ho rilevato:

 

I Casi Rilevati
Data
Mittente Destinatario Ultimo Contatto con il Mittente Contenuto
29/05/2014 al************[email protected] d*****[email protected]*****ti.it 08/07/2013 SPAM
29/06/2014 adri********[email protected] d*****[email protected]*****ti.it 24/01/2013 SPAM
30/06/2014 li*******[email protected] [email protected]********.net 30/09/2011 SPAM
03/07/2014 sp****ni.de**[email protected] [email protected]*****i.it 08/02/2010 SPAM
05/07/2014 m****[email protected] [email protected]*****i.it 05/07/2006 SPAM
08/07/2014 ca****[email protected] a*****[email protected]******ti.it 21/03/2014 SPAM
08/07/2014 al************[email protected] d*****[email protected]*****ti.it 08/07/2013 SPAM
09/07/2014 f******[email protected] [email protected]*****i.it 24/10/2013 SPAM

 

 

Confrontando i dati in mio possesso con i dati di Phishing raccolti dal laboratorio del D3Lab ho trovato conferma che è in corso un insolito traffico di posta elettronica da account di Libero Mail, infatti nel secondo trimestre del 2014 gli attacchi di Phishing verso utenti @libero.it è cresciuto rispetto alla media dell’ultimo anno.

Secondo i dati attualmente in mio possesso è plausibile che una vulnerabilità nel portale Libero Mail ha permesso a malintenzionati di accedere alle caselle eMail di ignari utenti, sfruttare la loro rubrica inviando eMail ad utenti conosciuti scavalcando possibili filtri Anti Spam! Un ulteriore ipotesi può invece vedere colpevoli gli utenti di Libero Mail che usando password notevolmente deboli e pertanto sono stati facili bersagli da parte di Lamer/Cracker che hanno violato gli account proprio allo scopo di inviare questa eMail di Spam!

Continueremo ad analizzare la vicenda, se avete ulteriori informazioni cortesemente avvisatemi 😉 grazie!

[AGGIORNAMENTO 09/07/2014]

Analizzando i sorgenti delle eMail ricevute vi riporto i seguenti dati:

 

Analisi sorgenti eMail
Data Paese Mittente X-Mailer Server SMTP
29/05/2014 Estonia Microsoft Windows Live Mail 16.4.3522.110 estpak.ee
29/06/2014 Biellorussia Microsoft Windows Live Mail 16.4.3522.110 trjdesigns.com
30/06/2014 Kazakistan Microsoft Windows Live Mail 16.4.3522.110 telecom.kz
03/07/2014 Argentina Microsoft Windows Live Mail 16.4.3522.110 eigbox.net
05/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 ccg.ua
08/07/2014 Paesi Bassi Microsoft Windows Live Mail 16.4.3522.110 dehostingfirma.nl
08/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 mailgun.org
09/07/2014 Indonesia Microsoft Windows Live Mail 16.4.3522.110 melvincruz.com

 

da tali sorgenti deduco che gli spammer non hanno usato direttamente il portale eMail di Libero (http://posta.libero.it) ma sfruttavano una connessione SMTP per inviare eMail ed il software Microsoft Windows Live Mail (oppure uno script creato ad hoc che si identifica per tale client) usufruendo di diversi servizi SMTP.

Federico ‘glamis‘ Filacchione, mi ha gentilmente inviato un suo sorgente eMail nel quale vengono riproposte le stesse caratteristiche delle eMail che ho ricevuto personalmente.

Ad oggi pertanto dai dati raccolti possiamo riassumere le seguenti caratteristiche dell’attacco:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione.

Ipotesi

Non avendo inviato le eMail direttamente dal sito internet di Libero, tecnica che gli avrebbe permesso di inviare eMail attraverso un server SMTP che prevede l’autenticazione e quindi migliorando il Rank contro i filtri AntiSpam è plausibile che il Portale eMail di Libero.it contenga una vulnerabilità con la quale è stato possibile estrarre la rubrica eMail di ogni singolo account. Rubrica che poi è stata sfruttata per inviare l’eMail contenenti SPAM.

Punti da chiarire:

  • Gli account eMail @libero.it sfruttati per inviare SPAM hanno subito un cambio password non voluto? Quindi l’attaccante è riuscito anche a cambiare la password di tali account?
  • Libero ha comunicato ai propri utenti un utilizzo anomalo del proprio account invitandoli ad effettuare qualche procedura?

[AGGIORNAMENTO 21/07/2014]

Venerdì 11 Luglio 2014 ho commentato sul Blog Ufficiale di Libero.it la vicenda linkando il mio articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!

Stando invece ai molti lettori che mi hanno aiutato nell’indagare su questa vicenda posso trarre nuove conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
  • eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
  • eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it.

Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.

Attendo, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!

UniBO_Logo

È passato ormai più di un mese dal mio ultimo articolo sul Blog, e vi chiedo inizialmente scusa per la discontinuità che sto avendo nel pubblicare notizie e nel rispondere alle eMail ma lo scorso 24 Maggio ho affrontato una nuova avventura, il Matrimonio che sommato al trasloco mi sta impegnando molto tempo…spero possiate capire! http://matrimonio.draghetti.it per chi è curioso di vedere la mia signora 🙂

Da oggi voglio avere nuovamente una continuità nel scrivere articoli, sperando anche di ottenere a breve l’allaccio della linea vDSL2 nella mia nuova abitazione, parto nel proporvi un evento importante sull’Informatica Forense che si terrà venerdì 4 Luglio 2014 presso l’università di Bologna ed ho grande stima sui relatori ed il moderatore! Personalmente non riuscirò ad essere presente ma se voi riuscite a ritagliarvi una mezza giornata son sicuro che non vi pentirete 😉

Luogo

Scuola di Giurisprudenza, Via Zamboni 22, Bologna , Sala Armi, 4 luglio 2014

Orario

9.30 – 12.30

Programma

Saluti
Prof.ssa Nicoletta Sarti, Presidente della Scuola di Giurisprudenza, Università di Bologna
Avv. Alessandro Valenti, Vicepresidente della Camera Penale di Bologna
Prima Sessione – I profili giuridici
Presiede: Avv. Prof. Pierluigi Perri, Università di Milano
Avv. Donato La Muscatella, Tech and Law Center
Linee guida in materia di investigazioni digitali: il tentativo del Consiglio d’Europa
Avv. Francesco Morelli, Università di Ferrara
La prova scientifica e le migliori pratiche. L’evoluzione dei mezzi di ricerca della prova
nella prospettiva comunitaria
Seconda Sessione – I profili tecnici
Presiede: Prof. Cesare Maioli, Università di Bologna
Dr. Michele Ferrazzano, Università di Bologna
La codificazione di linee guida: profili di informatica forense e metodologie operative
Dr. Stefano Fratepietro, Tesla Consulting
L’apprensione delle evidenze digitali: l’importanza nella prassi di valide metodologie
scientifiche
Moderazione e conclusioni
Avv. Antonio Gammarota, Università di Bologna

 

Evento formativo accreditato con tre crediti dall’Ordine degli Avvocati di Bologna.
Accreditato dalla Fondazione Forense di Bologna.
La partecipazione è libera; essendo i posti limitati è OBBLIGATORIA la prenotazione da indirizzare a [email protected]