HackInBo Winter 2014

HackInBo 2014 è alle porte, l’organizzatore Mario Anglani ha fissato la data per il prossimo Sabato 11 Ottobre 2014 all’auditorium di Sala Borsa a partire dalle 10 di mattina per l’intera giornata! Ma veniamo subito alla parte che più mi coinvolge, con grande piacere all’HackInBo verrà presentata in anteprima al pubblico la quarta versione di BackBox! Spesso mi chiedete quando verrà rilasciata la nuova versione di BB, questa volta faremo una cosa in grande! Un lancio pubblico con una dimostrazione reale!

A sostenere Raffaele, che sarà presente come relatore, vi sarò anche io 😉 quindi non potete assolutamente mancare!

I relatori di questo evento saranno:

e a moderare l’evento, come ogni edizione, ci sarà Yvette Agostini!

Il tema di questa Winter Edition sarà la Mobile Security e il programma sarà così suddiviso:

  • 10.00 – 10.45 – Accoglienza, Saluti e Ringraziamenti
  • 10.45 – 11.30 – Come to the Dark Side, we have Apps! – Federico Maggi
  • 11.30 – 12.15 – CopperDroid: On the Reconstruction of Android Malware Behaviors – Lorenzo Cavallaro
  • 12.15 – 13.00 – Reverse Engineering of a Commercial Spyware for iOS and Android – Marco Grassi
  • 13.00 – 14.30 – Pausa Pranzo
  • 14.30 – 15.15 – Pentesting Android applications with BackBox 4 – Raffaele Forte
  • 15.15 – 16.00 – iOS e la protezione dal punto di vista della Mobile Forensics – Litiano Piccin
  • 16.00 – 16.45 – Little PIN, little PIN, let me in! – Davide Gabrini
  • 16.45 – 18.00 – Tavola Rotonda e Saluti Finali

Per qualsiasi altra informazione potete visitare il sito internet ufficiale!

Bash

La recente vulnerabilità ShellShock (CVE-2014-6271) sta scatenando il putiferio su Web, si il putiferio, perchè si legge ogni genere di informazioni! I terroristi, gli hacker, gli smanettoni e chi più ne ha più ne metta potrebbero sfruttare questa vulnerabilità per far esplodere testati nucleari o qualsiasi altra cosa peggiore che possa esistere! Balle! 😀

ShellShock è una vulnerabilità e come tutte deve essere presa in considerazione e valutata, a volte le vulnerabilità vengono sottovalutate mentre in questa caso è stata soppravalutata! Ma guardiamo questa recente scoperta da un lato tecnico e speriamo di fare un po’ di chiarezza sperando poi di vedere meno disinformazione sulla rete!

ShellShock o Bash Bug come voi vogliate chiamarlo è identificato con il codice CVE-2014-6271 e CVE-2014-7169 ed affiggle un tipo di shell denominata appunto Bash, shell molto usata all’interno dei sistei Unix e Linux. La shell, in informatica, è la parte di un sistema operativo che permette agli utenti di interagire con il sistema stesso, impartendo comandi e richiedendo l’avvio di altri programmi. Insieme al kernel costituisce una delle componenti principali di un sistema operativo. Il suo nome (dall’inglese shell, guscio) deriva dal fatto che questa componente viene considerata l’involucro, la parte visibile del sistema ed è dunque definibile come l’interfaccia utente o il programma software che la rende possibile.

La Bash Shell in questione è tra quelle più datate ed installata ormai di default sulle principali distribuzioni GNU/Linux, la vulnerabilità scoperta dal ricercatore Stéphane Shazelas potrebbe dare la possibilità di attaccare un sistema basato su Linux e Unix (pertanto anche i sistemi Mac OS X).

In un caso reale la vulnerabilità può essere sfruttata tramite un attacco remoto attraverso i Siti/Server Web che utilizzano CGI, un sistema ormai in disuso per eseguire script che generano una risposta all’utente che sta visualizzando il sito internet. È uno standard che venne implentato nel 1993 e che oggi vede uno scarso utilizzo nei siti web, CGI è attualmente più diffuso nel mondo Embedded come i Router di casa, elettrodomestici 2.0, ecc ecc. I dispositivi Embedded che sfruttano BusyBox non sono vulnerabili.

Un attaccante potrebbe quindi attaccare un sito web che ancora oggi sfrutta lo standard CGI, ottenere una shell remota sul server e quindi sfuttare la macchina a proprio piacimento? Ni, se il server web è ben configurato l’attaccante può certamente ottenere una shell remota ma con i soli permessi di un utente guest e non con i permessi di un amministratore di sistema, certamente se poi il server in questione ha altre vulnerabilità attraverso uno o pù exploit è possibile fare un escalation ed ottenere i permessi di amministratore e quindi il controllo completo della macchina.

Se invece la macchina è esclusivamente afflitta dall’exploit Bash un utente malintenzionato potrebbe sfruttarla per lanciare attacchi DDoS, questo a mio avviso è il vero caso reale! E siccome ad oggi vi è un consistente mercato nero alle spalle degli attacchi DDoS è probabile che questo exploit venga sfruttato principalmente per lanciare DDoS, ma è indubbiamente più difficile che venga usato per sottrarre informazioni confidenziali o riservate dai siti web vulnerabili!

In definitiva la vulnerabilità ShellShock è importante e consiglio a tutti di aggiornare il pacchetto Bash quanto prima sui propri server, ma non allarmiamoci leggendo certi articoli dei quotidiani Italiani! Non rischiamo l’esplosione di una testata nucleare per colpa di ShellShock!

Cyber War

Emanuele De Lucia mi ha segnalato un suo recente lavoro sui Conflitti Digitali, il testo è molto discorsivo ed esamina l’evoluzione del Cyberwar e il modo di pensare: le guerre nel cyber spazio e i loro retroscena. Vi lascio con l’intrudizione, mentre potete leggere il testo integrale sul suo blog.

Introduzione

La bellezza, il segreto e la genialità della capacità di calcolo moderna, risiede in quella che è universalmente riconosciuta come la potenza del sistema binario. Qualsiasi numero, lettera, messaggio vocale, immagine o video può, fondamentalmente, trovare espressione mediante una sequenza di 0 e di 1, che i calcolatori sono in grado di manipolare ed interpretare; Tanto più rapidamente queste ultime operazioni vengono eseguite, tanto maggiore sarà, per l’appunto, la capacità di calcolo. Quasi la totalità delle tecnologie attuali viene supportata da tale assunzione e, all’aumentare della potenza computazionale, nuove tecnologie nascono, si diffondono per poi legarsi stabilmente al tessuto economico, sociale, governativo e militare di ogni paese.
Grazie a queste, senza dubbio, le possibilità di analisi, di interpretazione, di elaborazione e di scambio dati (e di riflesso anche le più immediate capacità operative in ogni settore) sono enormemente migliorate nel corso degli anni, legandoci a doppio filo con quello che comunemente viene definito “cyber-spazio”.
Tale iconografia della realtà virtuale, ad oggi un concetto molto diffuso e ben radicato nella mente di chiunque, ha contribuito nel tempo allo sviluppo di una percezione sociale che vede i due mondi, quello digitale e quello reale, fondamentalmente ben scissi l’uno dall’altro. Nelle idee comuni, si è sviluppato il concetto secondo il quale risulterebbe ben difficile che una minaccia appartenente al mondo virtuale possa essere considerata realmente grave ed in grado di causare seri danni nella realtà fisica e materiale.
Oggi sappiamo che purtroppo non è così e che codice malevolo mirato e azioni di Information Warfare possono pesantemente influire sulla sicurezza dei cittadini e sulle capacità di controllo e di gestione delle infrastrutture critiche di un paese (trasporti, telecomunicazioni, servizi finanziari etc. etc.). Per questo, sull’onda di una nuova consapevolezza globale, molti governi stanno mettendo in atto piani di cyber-difesa nazionali e di continuità dei servizi. L’evento che probabilmente ha alzato la soglia d’attenzione globale a tali tematiche ed ha dato una grossa spinta alla “corsa agli armamenti informatici” è l’attività di sabotaggio industriale eseguita da quello che molti esperti del settore definiscono come il malware più complesso e sofisticato mai realizzato: Stuxnet.

 

Continua a leggere –>

Violati 5 Milioni di Account Google

Precisamente sono 4.929.090 gli Account Google Violati resi pubblici ieri sera alle 23:38 GMT-4 attraverso un Forum Russo dedicato ai BitCoin. In una discussione è stato pubblicato un archivio contenente eMail e relavite password come potete vedere dall’immagine di apertura di quasi cinque milioni di account Google. L’archivio che a dire dell’autore è stato recentemente aggiornato e più del 60% della password risultano veritiere, glli amministratori del forum hanno prontamente rimosso le password lasciando visibili esclusivamente gli indirizzi eMail per poter eseguire dei controlli personali e capire se la propria casella è stata violata o meno. L’archivio in questione è denominato google_5000000.7z (HASH MD5: 4ef74c48d1599802f5ef32c04852e764) ed è liberamente scaribabile da tutti. Sulla rete Torrent è invece già disponibile l’archvio originale contenete anche le password, questo archivio preferisco non pubblicarlo garantendo la sicurezza dei quasi 5 milioni di utenti.

 

Schermata 2014-09-10 alle 12.59.53

Concludo lasciandovi i consigli di Google per scegliere una password robusta e nel dubbio cambiate subito la password ed abilitate la verifica in due passaggi!

Se dovessero esserci ulteriori novità vi terrò aggiornati!

[AGGIORNAMENTO]

In molti mi segnalate che il Forum Russo risulta Down e quindi non è possibile scaricare l’archivio, ho quindi pensato di renderlo disponibile da una fonte alternativa. Potete scaricare il file clicando qui google_5000000.7z!

[AGGIORNAMENTO x2 x5]

Accedendo al sito internet https://isleaked.com/en.php è possibile inserire il proprio indirizzo di gMail e scoprire se fate parte del leak in questione, se fosse presente l’indirizzo il sito vi riporterà i primi due caratteri della vostra password. Il mio consiglio è comunque quello di NON sfruttare il sito internet in questione, piuttosto scaricatevi l’archivio che ho reso disponibile anche tramite una seconda fonte. È possibile che questo servizio sia stato creato appositamente per creare un elenco di eMail che verranno sfruttate chissà come (spam, phishing, ecc ecc). Un grazie a MyWeb per aver alimentato un po’ di sana paranoia 🙂

[AGGIORNAMENTO x3]

Nell’archivio pubblico o comunque in quello contenenete le password non sono presenti esclusivamenti indirizzi di posta elettronica @gmail.com ma son presenti anche 123224 eMail con estensione @yandex.ru che provengono sicuramente dal leak del 8 Settembre scorso, ma andiamo per ordine così posso mostrarvi dalla mia piccola analisi cosa ho rilevato:

drego85$ wc -l google_5000000.txt
4929090 google_5000000.txt

Il file come vi anticipavo dovrebbe contenere 4.929.090 eMail di Google ma successivamente decido di eliminare dall’elenco le porzioni di test non valide, prelevando esclusivamente le eMail

drego85$ fgrep @ google_5000000.txt -c
4927698

scopro conseguentemente che le eMail valide solo realmente 4.927.698 e me le salvo all’interno del file google_5000000_validemail.txt, proseguendo:

drego85$ grep @yandex.ru google_5000000_validemail.txt -c
123224

di esse però vi sono 123.224 eMail di @yandex.ru, le rimanenti eMail saranno tutte di Google?

 drego85$ sed -n -e ‘s:.*@::p’ google_5000000_validemail.txt | sort | uniq -c | sort -n -r
sed: RE error: illegal byte sequence
4723698 gmail.com
123224 yandex.ru
600 gmail.com777
335 gmail.com.vn
254 gmail.com.br
234 gmail.com.au
187 gmail.com7777
171 gmail.com.com
120 gmail.com.
95 gmail.comm
89 gmail.com_abuse
68 gmail.com|login
59 gmail.com
47 gmail.com.pl
44 gmail.com777777
43 gmail.comn
43 gmail.com77777
38 gmail.coml
37 gmail.com.ar
33 gmail.com.mm
31 gmail.com\r\n
29 gmail.com.my
27 gmail.com.sg
25 gmail.comq
24 gmail.coma
23 gmail.come
23 gmail.com.tw
23 gmail.com.mx
22 hotmail.com
21 gmail.com_xtube
19 yahoo.com
19 gmail.como
18 gmail.com.il
16 gmail.com`
16 gmail.com.in
15 gmail.com|googlemail}.com
15 gmail.comi
15 gmail.com,
15 gmail.com%
12 gmail.com1
11 gmail.comt
11 gmail.coms
11 gmail.comr
11 gmail.comj
11 gmail.com777777777
10 gmail.comk
10 gmail.com.tr
10 gmail.com.ph
10 gmail.com.hk

Bene scopriamo quindi che il file non è ancora perfettamente formattato, ma tralasciando questo dettaglio scopriamo che nell’archvio vi sono realmente 123224 di @yandex.ru e 22 eMail di @hotmail.com con le relative password. Ma mi balza all’occhio l’estensione _xtube che appartire a 21 account eMail quasi come se il creatore dell’archivio avesse voluto specificare la fonte degli indirizzi eMail in questione. XTube fa parte di una delle più grandi società di Pornografia online, detiene infatti la proprietà di YouPorn, ed è proprio YouPorn ad essere stato vittima di un attacco nel 2012 che esponeva le credenziali di accesso come vi riportai in questo articolo. Ho quindi deciso di analizzare le eMail contrassegnate con “Xtube”:

drego85$ grep @gmail.com_xtube google_5000000_validemail.txt | sort
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
edwin.d[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube

Gli archivi che avevo pubblicato nell’articolo sull’attacco a YouPorn purtroppo non sono più accessibili, ma cercando su internet ed usando l’archivio di Dazzlepod scopro che solo [email protected] appartiene al portale XTube ma non fa parte del Leak pubblicato nel 2012.

Onestamente speravo di aver trovato la fonte, o almeno parziale, di questo mega archivio di indirizzi Gmail e relative password…ma ho sbagliato strada! Scorro l’elenco manualmente e scopro che diverse email vengono espresse nel seguente formato: [email protected]. Un formato assolutamente anomalo perchè il carattere “+” viene spesso ignorato oppure usato per creare filtri personalizzati.

Allora analizzo meglio i risultati e tento di capire se dall’espressione “+sitointernet.estensione” posso ottenere qualche dettaglio in più, tramite il comando sed ottengo l’elenco dei nomi maggiornmente usati successivamente al + e antecedenti a @gmail.com. Poi inizio a contarli:

drego85$ grep +daz google_5000000_validemail.txt -c
213

drego85$ grep +xtube google_5000000_validemail.txt -c
196

drego85$ grep +savage google_5000000_validemail.txt -c
117

grep +filedropper google_5000000_validemail.txt -c
90

grep +daz3d google_5000000_validemail.txt -c
69

drego85$ grep +eharmony google_5000000_validemail.txt -c
65

Quindi è possibile, ma ovviamente non posso esserne sicuro, che tali eMail e relative password siano state sottratte dai siti in qestione (Daz, xTube, Filedropper, ecc) e memorizzate con la dicitura “+sito.estesione” per ricordarsi la fonte.

Concludo questo sito articolo confermando che a mio giudizio le password sono state sottratte tramite attacchi di Phishing oppure attraverso SQL Injection su siti non appartenenti a Gmail e quindi l’abitudine frequente di usare sempre una stessa password permette di accedere comunque all’indirizzo di posta elettronica fornito da Google.

[AGGIORNAMENTO x4]

Un’analisi similare alla mia che mostra altri aspetti e punti di vista l’ha condotta Diego Elio Pettenò in Inglese, vi invito a leggerla perchè è interessante.

For English readers, Diego Elio Petternò wrote in English an analysis similar to mine. Here you can read, it is interesting!

FRITZ!OS 5.50 für alle aktuellen FRITZ!Box-Modelle / FRITZ!OS 5.50 for all current FRITZ!Box models

Da qualche giorno nella mia nuova abilitazione mi hanno allacciato la VDSL di Telecom Italia, venduta come Fibra Ottica ma realmente è una VDSL! Il nome deriva da “Very High-speed Digital Subscriber Line” proprio perché permette di raggiungere velocità elevate, attualmente viene venduto esclusivamente il profilo 30Download/3Upload da Telecom Italia ma già a Vicenza è in fase di test il profilo 100Download/50Upload grazie all’utilizzo della tecnologia Vectoring.

È ormai abitudine del provider fornire un modem incluso nell’offerta per fare accedere l’utente ad Internet, nel mio caso si trattava di un “Technicolor AG plus VDNT-S Router VDSL2” pesantemente personalizzato da Telecom a livello di software e di dubbioso design, la personalizzazione Telecom prevede fin troppi paletti ed ho preferito sostituire questo modem con una soluzione più personalizzabile. Scartando la possibilità di mettere un Router in cascata al modem di Telecom, sfruttando la porta WAN, per evitare un calo del Ping e soprattutto per una questione di risparmio energetico mi sono messo alla ricerca di un dispositivo appropriato per questa linea.

Esistono già in commercio diversi modem VDSL, Asus per esempio produce il modello DSL-N55U che in passato provai su una ADSL, ma non vi nego che la mia attenzione è subito andata sui prodotti Fritz!Box che li reputo attualmente i migliori in assoluto nel settore ADSL. Questa considerazione non è campata in aerea per puro piacere personale, ma dopo 1 anno di problemi su una ADSL 20Mb che si sconnetteva 2/3volte al giorno a causa della saturazione della centrale Telecom e sostituendo 4 diversi tipi di modem (Dlink, Asus, Cisco, TPLink) son capitato su Fritz!Box e l’uptime di tale linea è salito drasticamente dai primi giorni di Gennaio 2014 a differenza del passato come può testimoniare la seguente immagine estratta dal report di Pingdom:

Pingdom_DSL_Fava

Sul settore VDSL son sincero, son rimasto deluso dei Fritz!Box, ma mi metto una mano sul cuore e gli perdono perché capisco che è una tecnologia nuova e soprattutto dialogare con il reparto tecnico di Telecom per capire come vengono configurati gli apparati nei cabinet è assai difficile. Acquistai un Fritz!Box 7390 per poter sfruttarlo sulla mia linea a Giugno di quest’anno, configurato ad-hoc nell’attesa dell’arrivo della VDSL giovedì scorso quando esce il tecnico da casa mia stacco il loro modem e collego subito il Fritz ottenendo come risultato l’errore “PPPoE TimeOut” ad ogni tentativo di connessione.

I parametri corretti per instaurare la connessione VDSL di Telecom Italia sono:

  • Username: aliceadsl
  • Password: aliceadsl
  • VLAN ID: 835 (parametro fondamentale per la VDSL di Telecom)
  • Incapsulamento: PPPoE
  • VPI: 8
  • VCI: 35

Ho poi appreso su internet che un altro utente è riuscito ad instaurare la connessione con la VDSL di Telecom effettuando un downgrade del firmware alla versione 5.22 sul suo Fritz!Box 7390, ho così tentanto anche io questa strada e dopo aver ripristinato correttamente il modem alla versione 5.22 riuscivo tranquillamente a collegarmi alla nuova VDSL di Telecom.

Successivamente ho effettuato le seguenti ulteriori prove:

  • Firmware 5.22 > Funzionamento perfetto;
  • Firmware 5.23 > Funzionamento perfetto;
  • Firmware 6.06 > PPPoE TimeOut;
  • Firmware 6.07 (beta) > PPPoE TimeOut.

Tengo a precisare che al termine di ogni aggiornamento Firmware per evitare ogni problematica ho effettuato anche un reset alle impostazioni di fabbrica.

Ho deciso così di scrivere all’assistenza AVM per segnalare questo bug, nonostante l’azienda sia Tedesca mi ha risposto un gentilissimo ragazzo Italiano che mi ha risposto come segue:

Gentile Signor Draghetti,
in effetti dall'introduzione del FRITZ!OS 06 si sono verificati alcuni
problemi su determinate connessioni, quindi non su tutte, tra cui alcune
della Telecom, con delle precise impostazioni. L'errore riguarda pertanto
anche le connessioni VDSL, ma non in maniera esclusiva e in ogni caso non
tutte le VDSL di Telecom (abbiamo avuto diversi riscontri da clienti che
utilizzano un FRITZ!BOX su una VDSL senza alcun tipo di problema). Questo
per quanto riguarda la premessa e diciamo la parte negativa della
questione.
La parte positiva è che per il FRITZ!Box 7490 è già stata sviluppata una
versione labor con cui tale problema viene risolto (disponibile qui:
http://en.avm.de/fritz-lab/). Seguiranno quindi le versioni labor per gli
altri modelli, primo fra tutti il FRITZ!Box 7390, anche se al momento
attuale non so dirLe esattamente quando.

Quello che in ogni caso possiamo fare è verificare i dati di assistenza del
FRITZ!Box per essere certi che si tratti del tipo di errore a noi noto, e
non invece di un altro tipo di problema.
La prego pertanto di creare i dati di assistenza sia con la versione 05.23,
con cui la connessione funziona, sia con la 06.06, dove invece si verifica
l'errore di Timeout PPPoE:

http://service.avm.de/support/it/SKB/FRITZ-Box-7390-int/552:Diagnosi-per-e-mail-Internet-rete-domestica


Cordiali saluti da Berlino
A+++++ B++++ (AVM Support)

Decido di approfondire i test e le ricerche su Internet scoprendo che la problematica si verifica esclusivamente se il DLSAM VDSL nel cabinet in strada è marchiato Huawei (versione 164.21 e 164.81)! Ok, preso dalla sconforto perché non amo particolare questo brand invio al servizio tecnico i test che mi hano chiesto di effettuare e vado a comprare un Fritz!Box 7490 ed installo la versione Labor da lui consigliata che non è nient’altro che una Release Candidate e non una Beta come pensavo. Attualmente sul mio Frit!Box 7490 ho quindi la versione firmware 06.10-28616! La connessione con quest’ultima versione del firmware si riesce ad instaurare tranquillamente e navigo comodamente da venerdì scorso senza mai una disconnessione o alcun problema legato nonostante stia sfruttando un firmware non ancora ufficiale!

In conclusione potete tranquillamente sostituire il vostro modem VDSL di Telecom, nessuno ve lo impedisce ma ricordatevi che è ancora una tecnologia nuova e potreste incappare in qualche problematica! Per ora vi confermo che il Fritz!Box 7490 con la VDSL/Fibra di Telecom Italia funziona a patto di installare la versione Labor disponibile sul sito di AVM.de! AVM ha annunciato all’IFA 2014 il nuovo Firmware 6.20 quindi credo che la versione 6.10 venga ufficialmente rilasciata a breve.

Spendo infine due parole per ricordavi che la sostituzione del Modem fornito da Telecom con uno di terze parti NON vi permette più di usare il numero di rete fissa fornito da Telecom Italia, nel mio caso non era affatto rilevante essendo un numero nuovo che non conosce nessuno ho sopperito al problema creando un numero VoIP con Messagenet e configurato all’interno del Fritz!.

[AGGIORNAMENTO 30/10/2014]

Nei giorni scorsi AVM ha rilasciato l’aggiornamento 6.20 ufficiale per il Fritz!Box 7490 che permette il corretto funzionamento del modem con le VDSL di Telecom Italia, inoltre ha già annunciato che tale firmware verrà reso a breve disponibile anche per il modello Fritz!Box 7390 e successivamente per gli altri prodotti. Per ulteriori dettagli sulle nuove funzionalità del Firmware 6.20 vi rimando alla pagina dedicata.