sicurezza-iphone

In questi giorni sta facendo scalpore la dichiarazione del secondo funzionario del Dipartimento di Giustizia Americano, dichiarazione rivolte ad Apple e pubblicate sul The Wall Street Journal. James Cole ha espressamente dichiarato che un bambino potrebbe morire a causa della crittografia introdotto da iOS 8, poiché la polizia non sarebbe in grado di controllare il cellulare dell’indagato sospettato del rapimento del suddetto bambino.

Non lo nego fin da subito, sono fermamente convinto che la crittografia dei dispositivi sia cosa buona e giusta per preservare la nostra privacy nel caso di smarrimento o furto del dispositivo. Ma veramente la crittografia di un iPhone o Android può far morire un bambino rapito? Personalmente trovo questa dichiarazione assurda e credo che questo fatto dimostri nuovamente l’incompetenza giudiziaria, per confermare questa mia ipotesi voglio sottolineare alcuni aspetti che per me son fondamentali ma sono stati trascurati nel raccontare questa vicenda!

Prima dei telefoni?!

I telefoni cellulari esistono dai primi anni ’80 ma sono dagli anni ’90 la diffusione è cresciuta in maniera esponenziale portando nelle tasche dei cittadini anche più di un telefonino e solo nel 2007 (7 anni fa) sono arrivati i primi e veri Smartphone. L’avvento degli smartphone ha sicuramente dato un’accelerata alle indagini di polizia poiché in un dispositivo è possibile raccogliere molteplici informazioni (Rubrica, Chiamate, SMS, eMail, Chat, Coordinate GPS, ecc ecc) ma fino ad allora come si faceva!?

Non venitemi a dire che i bambini prima dell’avvento dei cellulari non venivano rapiti? Microfoni ambientali o ronde di sorveglianza erano strumenti di primo ordine per un investigatore! Insomma capisco che in ufficio si sta belli comodi ad indagare su un caso ma bisognerebbe anche alzarsi e indagare con le maniere tradizionali…dai Bar si scoprano sempre tanti dettagli! E se non vi ricordate come si fa un classico del ‘800 vi racconterà diverse storie!

Triangolazione telefonica?!

Avete tra le mani un iPhone con iOS 8 o un bellissimo Nexus 5 già aggiornato a Lollipop e per disdetta c’è un pin di accesso, certamente un tentativo di forza brutta è da evitare poiché spesso dopo X tentativi il telefono va in blocco con un conseguente wipe della memoria! Ma allora optate per una tradizionale triangolazione del segnale telefonico magari degli ultimi 30, 60 o 90giorni per capire dove è stato il malvivente e magari anche chi ha contattato! In fin dei conti prima dell’avvento degli Smartphone le indagini si basavano sulla triangolazione telefonica poiché i telefoni cellulari avevano una memoria ridotta e più di 50sms non conservavano e il registro chiamate conservava al massimo 30 chiamate!

Altre fonti?!

Ok avete tra le mani uno Smartphone che sicuramente contiene le coordinate del luogo in cui il malvivente tiene in sequestro il bambino, altrove non avete trovato altri dettagli! Caspita, come facciamo a trovare altri dettagli?! Ora se avete il telefono del malvivente tra le mani mi vien da pensare che avete acciuffato il malvivente vivo o morto che sia, se è vivo potete estorcerli una confessione ma se è morto oppure ha perso il telefono durante una fuga?! Bhe se il malvivente non è ovviamente in grado di dirvi nulla lo potete identificare (dal cadavere, dalla videoregistrazione durante il tentativo fallito di liberare il bambino, dall’utenza telefonica, ecc) e vi recate presso la sua abitazione dove trovare il suo computer…se non è cifrato fate ma bassa dei dati (eMail, Backup, ecc ecc) e sicuramente qualche dettaglio aggiuntivo lo trovate! Nell’ipotesi peggiore vi trovate davanti ad un PC e Smartphone crittografato e allora vi guardate attorno e scoprite che in una agenda vi sono segnate tutte le password degli account Apple, Google, ecc ecc BINGO! No, non è la giornata fortunata non trovo nulla, però il malvivente non abita da solo, ottimo allora abbiamo una nuova persona da interrogare che ci potrà rilevare nuovi dettagli (dove si recava il malvivente frequentemente, magari le sue password, ecc ecc). Se abita da solo? Bhe ci sono i vicini, i parenti, ecc ecc insomma le strade da setacciare sono tantissime…

Conclusione

Indubbiamente questo articolo è provocatorio ma ha lo scopo di dimostrare che la crittografia di un dispositivo non deve fermare l’indagine della polizia ne tanto meno far pensare al peggio, in fin dei conti son convito che anche un poliziotto cifra i dati sul suo Smartphone per evitare che un possibile furto di quest’ultimo mandi all’area mesi e mesi di lavoro su un indagine che sta facendo! Poi per carità uno Smartphone privo di cifratura può aiutare indubbiamente le indagini, ma non bisogna fasciarsi la testa in caso contrario ne tanto meno pensare all’esito peggiore del caso!

WireLurkerApro l’articolo chiarendo subito che WireLurker è un malware, reale, che colpisce Mac OS X e iOS ovvero i due sistemi operativi creati da Apple. Ma non creiamo allarmismo come stanno facendo in queste ore i principali media copiando a destra e manca porzioni di articoli internazionali e non, anzi ne approfitto per fare un appello e anche un ringraziamento; cari redattori/giornalisti prima di scrivere un articolo principalmente tecnico sul mondo della sicurezza informatica abbiate almeno la buona volontà di contattare un esperto del settore, in Italia siamo in diversi e quasi sempre disponibili una eMail o una Telefonata renderà il vostro lavoro più prezioso e completo. Ringrazio quindi Giuseppe Bottero che puntualmente mi contatta quando vuole scrivere articoli di Sicurezza Informatica sul quotidiano La Stampa.

Le Origini

Qū Chāo,

Tutto nacque per una segnalazione dello sviluppatore Qū Chāo, lo scorso 1 Giugno 2014 rilevò sul suo Mac dei processi sospetti e sul suo iPhone l’installazione automatica di una applicazione che potete vedere nello screenshot soprastante. Nei giorni successivi a questa segnalazione altri utenti segnalarono casi analoghi su un forum di Fan Apple Cinesi, in tutti i casi gli utenti rilevarono due demoni installati sul proprio Mac denominati “machook_damon” e “WatchProc”, gli utenti avrebbero poi dichiarato di aver installato nei giorni precedenti alcune applicazioni provenienti dal Maiyadi App Store che attualmente risulta down. Questo Store alternativo a quello originale permetterebbe di aggirare le restrizioni imposte dal governo Cinese ad Apple e di scaricare software piratati/crackati. Le prime indiscrezioni incolpavano l’applicazione CleanApp scaricata dal Maiyadi App Store, codesta applicazione avrebbe provacato la diffusione del malware.

CleanApp

In realtà una successiva indagine contatta da Paolo Alto Networks ha rivelato che quasi tutte le applicazioni per Mac (per un totale di 467) caricate sul Maiyadi App Store dal 30 aprile 2014 all’11 giugno 2014, erano state trojanized e riconfezionate integrando in esse WireLurker. Queste applicazioni sono state scaricate 356.104 volte, da Aprile ad Ottobre 2014. The Sims 3, Internationa Snooker, Pro Evolution Soccer, ecc sono le tre principali applicazioni scaricate dal Maiyadi App Store ed infette!

Caratteristiche e Analisi

WireLurker WorkFlow

 

Il Diagramma di Flusso dimostra come lavora WireLurker partendo proprio dalla modifica/trojanized di una applicazione dedicata al mondo Mac, tale software modificato è stato diffuso in un App Store alternativo contenente principalmente applicativi illegati (crakkati), gli utenti hanno scaricato l’applicativo e installandolo hanno avviato il circolo vizioso che poi ha permesso di infettare anche device iOS attraverso una connessione USB con il Mac. Il Malware non si limita ad infettare il device iOS ma andrà a modificare/trojanized anche le applicativi per iPhone o iPad garantendo l’estrazione di un maggior numero di dati sensibili

Voglio però soffermarmi un attimo sul mondo iOS che è sempre stato ribattezzato uno dei sistemi operativi mobile più sicuri, come saprete i device iPhone e iPad possono essere Jailbrekkati ottenendo i permessi di root e pertanto caricare software di terze parti (app crakkate, nuovi tweak, ecc ecc) questa tecnica resa sempre più semplice dalla bravura degli sviluppatori crea grossi problemi di sicurezza sui nostri dispositivi. Infatti sono proprio i dispositivi Jailbroken ad essere più soggetti a questi tipi di attacchi.

Per un dispositivo iOS NON Jailbroken, WireLurker installa nuove applicazioni iOS, sfruttando i protocolli di iTunes ovvero la libreria libimobiledevice.
Per un dispositivo iOS Jailbroken, WireLurker esegue il backup delle applicazioni del dispositivo sul computer e le trojanizza sfruttando la capacità elaborativa del Mac, successivamente le riconfeziona (app originale + file dannoni) caricandole nuovamente sull’iPhone. Inoltre, WireLurker si propaga infettando il MobileSubstrate Tweak attraverso il servizio AFC2.

A questo punto, nuove applicazioni/icone sono visibili all’utente sul dispositivo iOS, jailbroken o meno. Per un dispositivo Jailbroken del codice malevolo viene iniettato in applicazioni di sistema, e sarà quindi possibile eseguire query sui Database di sistema ottenendo Messaggi, Cronologia WhatsApp, Contatti, eMail, ID Apple, Foto, Video, ecc. Tali dati verranno inviati al server C2 insieme alle informazioni di stato di WireLurker. Per i dispositivi NON Jailbroken gli utenti si vedranno sottratti dei loro dati solo se all’apertura della nuova App acconsentiranno di accedere alla Rubrica, Calendari, Posizione, ecc.

Dal 30 Aprile al 17 ottobre 2014 la Palo Alto Network ha identificato 3 versioni di WireLurker la prima versione denominata A fino alla versione C rilevata lo scorso agosto, ogni versione introduceva nuove funzionalità la prima non prevedeva l’infezione dei dispositivi iOS funzionalità introdotta nella versione B solo per i dispositivi Jailbroken e infine nella versione C è stata introdotta la modalità per i dispositivi NON Jailbroken.

Rimozione e Prevenzione

La società Paolo Alto Network attraverso GitHub ha reso disponibile uno script scritto in Pyhton per identificare se il vostro Mac è stato infettato dal malware WireLurker, nello screenshot di apertura potete vedere lo script in funzione con i relativi comandi per scaricarlo e avviarlo ma per comodità vi riepilogo i comandi di seguito:

$ curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

$ python WireLurkerDetectorOSX.py

attraverso il primo comando andremo a scaricare lo script e successivamente lo avvieremo. Basterà attendere qualche minuto per conoscere se il vostro PC è stato infettato o meno!

Per prevenire in futuro possibili attacchi le regole fondamentali da seguire sono:

  • Evitare di modificare il proprio dispositivo mobile ottenendo i permessi di Root se non si è un utente esperto;
  • Evitare il download di applicazioni illegali/crakkate esse sono la principale causa di virus, trojan o malware;
  • Scaricare software solo da Store o siti Web Autorevoli;
  • Controllare sempre i permessi che attribuire ad ogni applicazioni del vostro iPhone e iPad (selezionare sempre OK non è la soluzione ai vostri problemi);
  • Aggiornate sempre il vostro dispositivo.

Conclusione

Non è ancora chiara la motivazione e i mandatari di tale attacco, ma indubbiamente è importante sottolineare che l’attenzione sui dispositivi Apple sta cambiando e potremmo presto vedere nuovi attacchi! La prevenzione dell’utente e la tempestività del Brand nel correggere vulnerabilità sono sempre la prima arma per evitare un propagarsi di malware, virus, ecc ecc.

Per chi volesse approfondire maggiormente l’argomento (Analisi del Codice, Statistiche, ecc) può scaricare il documento creato dalla Palo Alto Networks, for the English Friends would also recommend reading the article by Marco Ramilli’s Blog.

 

Android SMS Malware: Facebook and WhatsApp account theft

Con piacere vi riporto un riassunto della Tesi di Laurea discussa da Fabrizio Severino tenta al Corso di Laurea in Sicurezza dei sistemi e delle reti informatiche.

La stretta interazione con l’utente e il sistema operativo dei dispositivi mobile (smartphone o tablet) consente alle applicazioni (APP) di accedere a molti più dati rispetto a un browser web internet tradizionale. Da recenti studi, infatti, è emerso che chi possiede un dispositivo mobile ha normalmente attive in media circa 20 applicazioni, alcune delle quali sono in grado di raccogliere in maniera illecita grandi quantità di dati personali accedendo alle raccolte di foto, video, dati di localizzazione , informazioni bancarie, contatti, cronologia di navigazione etc. Oggi giorno gli utenti tendono a delegare la gestione di molti aspetti della propria vita, sia personale che professionale, alle nuove tecnologie senza preoccuparsi della privacy personale. I rischi e le minacce in cui un utente può incorrere per un uso non accorto o non regolamentato delle mobile apps derivano da mancanza di “trasparenza” nelle modalità e nella finalità di raccolta dei dati, incapacità o impossibilità da parte degli interessati di esercitare o recuperare il “controllo” sui propri dati e sul modo in cui vengono comunicati a terzi e infine la mancanza di nozioni tecniche basilari di “sicurezza informatica”.
Spesso, a fronte della fornitura di applicazioni in via del tutto gratuita, le case produttrici o fornitrici della APP acquisiscono una serie di dati personali dell’utente senza fornire adeguate istruzioni circa il relativo trattamento. Molte volte capita che lo stesso utente, pur di utilizzare il servizio offerto, sia disposto a cedere le informazioni e i dati personali (propri o di terzi) in suo possesso, senza preoccuparsi delle eventuali conseguenze pregiudiziali. Lo scopo principale del mio lavoro di tesi è quello di fornire una buona base tecnica di Android con l’obiettivo di suscitare negli utenti la consapevolezza dei rischi connessi all’installazione di applicazioni senza che si presti la dovuta attenzione ai permessi richiesti, oppure il rischio che si corre nel lasciare incustodito il proprio dispositivo. Durante il mio lavoro di tesi ho studiato il funzionamento e la diffusione del malware in ambiente Android, analizzando nel dettaglio il sistema operativo anche dal punto di vista della sicurezza.
In particolare, ho studiato come i dispositivi con Androind possono avere “coscienza” di tutto quello che hanno attorno e a stretto contatto con il mondo reale. Durante il lavoro di tesi ho anche fornito una descrizione degli aspetti legali, del concetto di privacy in Italia e del parere dei garanti europei in merito alla protezione dei dati personali. La parte pratica della tesi comprende lo sviluppo e l’implementazione di un semplice malware, dimostrando che tramite il servizio SMS offerto dall’operatore e le autorizzazioni di base per la lettura e la ricezione dei messaggi è possibile rompere i sistemi di sicurezza di altri servizi che l’utente utilizza, come ad esempio WhatsApp e Facebook, e di conseguenza rubare la sua identità digitale. Per concludere il lavoro di tesi ho realizzato anche delle linee guida che consentono sia agli utenti che agli sviluppatori di APP di preservare il più possibile la privacy per enfatizzare il concetto di privacy dy design

Video Simulazione

Inoltre è disponibile la Presentazione della Tesi e l’Indice della Tesi!

BackBox 4 - Recensione Inforge

Come saprete BackBox 4 è stata rilasciata al grande pubblico lo scorso 11 Ottobre 2014 in occasione dell’HackInBo. Stefano Novelli CEO di Inforge.net ha creato nei giorni successivi al lancio della nota distribuzione di Penetration Testing una Video Recensione di quasi 17 minuti nei quali mostra tutte le peculiarità di BackBox. Inoltre le prossime lezioni dell’Hacklog verranno eseguite con questo OS 😉

Ecco a voi la recensione…

internet

L’’evolvere della minaccia digitale e delle tecniche di attacco informatico impone di re-immaginare la prospettiva con cui guardiamo alla Security. L’’incontro analizza questo concetto in profondità analizzando in dettaglio la kill chain, i metodi, i rischi derivanti da una protezione inadeguata. Partendo da casi reali cercheremo di capire le tecniche, gli strumenti e le procedure di attacco (TTP – Tool, Techniques and Procedures) per verificare come la reazione deve necessariamente combinare tecnologia avanzata, esperienza tecnica e, cosa più importante, intelligence.

L’evento organizzato da Marco Cremonini vedrà come relatore Marco Rottigni, Systems Engineer della FireEye. Per chi vuole assistere al seminario si terrà il prossimo Giovedì 20 Novembre 2014 alle ore 14:30 nell’aula 4SUD dell’Università di Milano, sede di Crema. Per maggiori informazioni potete visitare il sito ufficiale dell’UniMI.

Linux Day 2014_Pagina_01

Come saprete lo scorso 25 Ottobre 2014 ho partecipato come relatore al Linux Day di Imola, su richiesta del presidente del ImoLug ho ripresentato lo stesso argomento che lo scorso anno ha avuto un notevole successo a Orvieto sempre in occasione del Linux Day! Sto parlando dell’incauto collegamento a reti WiFi sconosciute e spesso libere/gratuite, collegandosi ad una rete WiFi sconosciuta non possiamo sapere se i nostri dati verranno o meno spiati. Ho dimostrato durante il mio Talk come sia possibile creare un Fake AP per poter sniffare i dati, come vedrete dal video la connessione ad Internet dell’istituto non mi ha assistito e dopo poco meno di un minuto è crollata e non sono riuscito a completare correttamente la dimostrazione; poco male perchè credo che il concetto sia passato forte e chiaro. Indubbiamente ho imparato che devo affidarmi sempre e solo ai miei mezzi, sbagliando si impara! 😀

Il mio Talk: “BackBox: WiFi Libero? Ti Spio!” rifletteva su Smartphone e Tablet che trainano le vendite del settore informatico degli ultimi anni, gli utenti inconsci della propria sicurezza si collegano incautamente a reti WiFi sconosciute mettendo a rischio le proprie informazioni personali. Con la distribuzione BackBox Linux ho dimostrato in pratica come creare un finto Access sensibilizzando l’utente medio e rilevando ai più esperti la tecnica per sfruttare questo attacco.

Con grande piacere son riuscito a coinvolgere il pubblico, come potete vedere dal video seguente, raccogliendo domanda tecniche o curiosità che hanno permesso di rendere più coinvolgente il mio Talk. Prima di lasciarvi al materiale ringrazio pubblicamente Stefano Ballardini (presidente ImoLUG) per avermi invitato e anche tutti gli altri ragazzi per aver trascorso assieme a me una piacevole mattinata…lasagne comprese 😉

Slide

Le slide sono sono disponibili su SlideShare.

Video

Il video è stato girato con una GoPro ma purtroppo l’ho posizionata frontalmente al video proiettore e la ventola di raffreddamento di quest’ultimo ha disturbato completamente l’audio. Il Lug dovrebbe caricare il loro video ufficiale ripreso da un punto diverso, provvederò ad aggiornare l’articolo non appena verrà reso disponibile anche quest’altro video.

[AGGIORNATO]

Questo è un altro video realizzato direttamente dall’ImoLug, la qualità audio è sicuramente migliore!

aircrack-ng-new-logo

A sorpresa il team di AirCrack-NG per Halloween ha rilasciato la prima Release Candidate della famosa suite per il test delle reti wireless ormai giunta alla versione 1.2, è stata una sorpresa poiché nello scorso annuncio di ormai sette mesi fa avevano dichiarato che sarebbe uscita una quarta beta ma invece con grande soddisfazione sono riusciti a rilasciare una prima Release Candidate che verrà seguita da una seconda RC prima della versione finale.

L‘aggiornamento è altamente consigliabile in quanto contiene un sacco di correzioni di bug e miglioramenti e correzioni di sicurezza.  Per maggiori dettagli vi riporto il changelog integrale:

  • Airodump-ng should be able to parse the canonical oui file.
  • Airodump-ng: Fixed GPS stack overflow.
  • Airodump-ng: Fixed stopping cleanly with Ctrl-C.
  • Airmon-zc: better handling for when modules are not available (incomplete)
  • Airmon-zc: users can now start the monitor interface again to change channels
  • Airmon-zc: update to use ip instead of ifconfig if available.
  • Airmon-zc: better handling of devices without pci bus
  • Aireplay-ng: Fixed tcp_test stack overflow.
  • OSdep: Fixed libnl detection. Also avoid detection on non Linux systems.
  • OSdep: Fixed segmentation fault that happens with a malicious server.
  • Besside-ng: Add regular expression matching for the SSID.
  • Buddy-ng: Fixed segmentation fault.
  • Makefile: Fixed ‘commands commence before first target’ error when building Aircrack-ng.
  • Fixed segfault when changing the optimization when compiling with gcc thanks to Ramiro Polla.
  • Removed airdriver-ng (outdated and not meant for today’s kernels)
  • Added gitignore file.
  • Fixed build issues on other compilers by using stdint.h types.
  • Updating installation file and added pkg-config as a requirement.
  • Various small fixes and improvements.

Per chi volesse effettuare il download di questa nuova versione può recarsi sul sito internet ufficiale.