dos

Nei giorni scorsi ho ricevuto un comunicato stampa di Seeweb nel quale viene annunciato che durante l’ultimo anno l’azienda ha gestito più di 6500 casi di Sicurezza Informatica, più di 17 casi al giorno! Ma se credete di esservi spaventati di questo dato, voglio indicarvi anche il tasso di crescita dei casi rispetto al 2013; infatti la stessa Seeweb ha riportato che nell’anno 2013 ha gestito oltre 3000 incidenti di sicurezza informatica. Pertanto in un solo anno gli incidenti di sicurezza informatica sono cresciuti di oltre il 50%!

Specificano inoltre che gli incidenti più comuni sono stati:

  • 2675 password SMTP rubate o indovinate;
  • 1525 siti web compromessi;
  • 145 password FTP rubate.

Non ci sono state grandi novità nel tipo di incidenti rilevati, rispetto all’anno 2013 se non che nell’ultimo trimestre del 2014 c’è stato un enorme aumento delle intrusioni sui siti con WordPress a causa di alcune nuove vulnerabilità dei suoi componenti.

Per il 2015 le previsioni dicono che il numero di attacchi informatici in grado di mettere a repentaglio la sicurezza delle informazioni potrebbe crescere ancora. Le tecniche di attacco sono sempre più sofisticate, al punto da mettere a rischio anche gli standard che da sempre sono sinonimo di affidabilità, come ad esempio i certificati SSL.

“Ognuno ha il suo lavoro ed il cliente dovrebbe concentrarsi solamente sul suo. Ci sono problematiche che potrebbero insorgere, ed un team composto da tecnici specializzati in diversi settori, che garantiscono sicurezza al cliente, sarebbe l’ideale”, afferma Luca Ercoli, esperto Ethical Hacker Seeweb.

Per chi volesse leggere il comunicato stampa ufficiale riporto il PDF integrale.

BackBox 4.1

Oggi è giornata di festeggiamenti e come vi avevo preannunciato BackBox 4.1 è finalmente disponibile al grande pubblico 😉 abbiamo fatto un grande lavoro per poter ottimizzare al meglio questa nuova versione correggendo tanti piccoli errori della precedente versione 4.0. Una grande novità è volta alla virtualizzazione, caricando BackBox in live-mode troverete già disponibili e avviati i servizi open-vm-tools e open-vm-tools-desktop per rendere ottima l’esperienza di virtualizzazione, sarà infatti possibile copiare ed incollare testo tra la macchina fisica e virtuale, adattare lo schermo con la risoluzione che più si preferisce ed avere il supporto completo del networking. Sono stati inoltre aggiornati tutti i software preinstalli in BackBox, tra i quali Wifite che presentava diversi problemi durante il cracking di una rete WEP, i problemi sono stati corretti dallo sviluppatore Brian Pow grazie al nostro supporto.

Potete effettuare il download di BackBox sul sito internet ufficiale, per chi avesse necessità di ulteriori informazioni o di supporto vi ricordo che è disponibile una WiKi e un ottimo Forum!

Per migrare da BackBox 4.0 a 4.1 basta lanciare i seguenti comandi, se invece avete ancora una versione di BackBox precedente alla 4 vi invitiamo a fare una installazione ex-nova:

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install -f
sudo apt-get install backbox-default-settings backbox-desktop –reinstall
sudo apt-get install backbox-tools –reinstall
sudo apt-get autoremove –purge

Vi lascio con il changelog integrale, buon download!

What’s new

Preinstalled Linux Kernel 3.13
New Ubuntu 14.04.1 base
Installer with LVM and Full Disk Encryption options
Handy Thunar custom actions
RAM wipe at shutdown/reboot
System improvements
Upstream components
Bug corrections
Performance boost
Improved Anonymous mode
Predisposition to ARM architecture (armhf Debian packages)
Predisposition to BackBox Cloud platform
New and updated hacking tools

System requirements

32-bit or 64-bit processor
512 MB of system memory (RAM)
6 GB of disk space for installation
Graphics card capable of 800×600 resolution
DVD-ROM drive or USB port (2 GB)

 

Birthday cupcakesIl 29 Gennaio 2010, dopo quasi cinque anni passati a difendermi per una vicenda che mi vedeva ingiustamente accusato di Accesso Abusivo a Sistema Informatico decisi di aprire questo blog per potermi concentrare nuovamente sulla Sicurezza Informatica. La Sicurezza Informatica è sempre stata una materia che mi appassionava, ma per via della vicenda legale sopra citata mi sono allontanato dal mondo informatico per tutta la durata del processo dimenticato ciò che avevo appreso e con la consapevolezza di non conoscere tecniche e vulnerabilità nate in quel periodo di allontanamento volontario dal mondo digitale.

Grazie all’Avv. Antonio Gammarota, Avv. Giovanni Cerri e all’Ing. Stefano Zanero son riuscito a dimostrare la mia assoluta innocenza ad Ottobre del ’09. Spronato da Gammarota ho ripreso a documentarmi sul mondo informatico, aprendo questo blog e iscrivendomi all’università di Sicurezza dei Sistemi e delle Reti Informatiche dell’Università di Milano dopo che mi ero ritirato dall’Università di Bologna per le sopracitate vicende. Università che sto ancora frequentando, fuori corso, ma conto di laurearmi a breve incrociando al meglio gli impegni lavorativi e familiari.

È la prima volta che faccio outing sul mio processo penale, non ne ho mai parlato pubblicamente, per timidezza? pigrizia? paura? Onestamente non so darvi una risposta, ho acconsentito all’Università di Bologna e al Politecnico di Milano di usare il mio caso per insegnare la dottrina dell’Informatica Forense; recentemente all’HackInBo mi son divertito con Federico Maggi presentandomi con “Io sono il caso Vivanco, i CD Vivanco di Zanero…”. Brevemente i log dell’inchiesta vennero archiviati dal Querelante in due CD di marca Vivanco con relativa firma calligrafica apposta su di essi, firma che doveva confermare l’autenticità dei dati masterizzare su di essi. Gli esperti di Informatica Forense avranno già i capelli dritti a leggere quest’ultima affermazione 😀

Ma veniamo al 2015, oggi festeggiamo assieme 5 anni di Over Security! I progetti futuri sono tanti…già da stasera arriverà la prima sorpresa! In quest’ultima settimana abbiamo lavorato tanto per rispettare le tempistiche e arriverà la versione 4.1 di BackBox Linux! 😉

Dimenticavo, grazie a tutti i miei lettori!

Auguri Over Security!

Cyber Crime Conference

I Cyber criminali stanno utilizzando tecniche avanzate di malware e social engineering per lanciare attacchi sempre più sofisticati e difficili da prevedere provocando delle crepe irreparabili ai sistemi di sicurezza aziendali.

Perdite economiche, di reputazione, ma soprattutto perdita di dati sensibili, sono solo la punta dell’iceberg. A volte le conseguenze sono così irreparabili che costringono le Aziende colpite al totale fallimento.

Ed è proprio a Milano, nel cuore dell’Industria, che il 18 Febbraio 2015 si svolgerà la 5° edizione del Cyber Crime Conference organizzata dalla Tecna Editrice, con il Patrocinio di Assintel – Associazione nazionale delle Imprese ICT – nella storica sede della Confcommercio di Milano.

Il Cyber Crime Conference nasce nel 2011 come conseguenza allo straripante successo delle edizioni del Forum ICT Security, ampliando gli approfondimenti sugli attacchi informatici.

Le relazioni sono tenute da esperti del mondo accademico e da professionisti del settore e danno diritto a crediti/ore CPE (Continuing Professional Education) validi per il mantenimento delle certificazioni CISSP, CSSP, CISA, CISM, CRISC, CGEIT o analoghe richiedenti la formazione continua.

Personalmente sarò presente all’evento per chi volesse partecipare può iscriversi gratuitamente sul sito online della Tecna Editrice.

Schermata 2015-01-20 alle 21.41.26

Nanni Bassetti ha recentemente dimostrato attraverso un video divulgativo come si possibile montare un volume Truecrypt, utilizzando solo la master key dumpata dalla RAM, senza conoscere la password. Sarà utilizzato un Truecrypt 7.1a patchato, con la patch di Michael Weissbacher. Ambiente di test: CAINE Linux.

Il video che vi riporterò di seguito è molto esaustivo, come sempre Nanni è un ottimo relatore! Buona Visione 😉

BitTorrent_SyncBitTorrent Sync, denominato anche BtSync, è software di condivisione dei file prodotto da BitTorrent permette di sincronizzare i file tra i dispositivi in una rete locale, o tra dispositivi remoti tramite Internet con l’utilizzo di tecnologia P2P.

BitTorrent Sync sincronizza i file tramite tecnologia peer-to-peer (P2P). I dati dell’utente vengono memorizzati sul dispositivo locale anziché in un servizio di Cloud storage, pertanto, richiede almeno un dispositivo, o “nodo” per essere online e per poter sincronizzare i file. BitTorrent Sync cripta i dati con AES con chiave a 128 bit. Questa può essere generata in modo casuale o impostata dall’utente. Questa chiave è derivata da un ‘segreto’ (una stringa), che può essere condiviso con altri utenti per permettere di condividere i dati. I dati vengono inviati tra i dispositivi direttamente, a meno che il dispositivo di destinazione non sia raggiungibile (ad esempio dietro un firewall), nel qual caso i dati saranno inoltrati tramite un nodo intermediario. Molti dispositivi possono essere collegati contemporaneamente e i file saranno condivisi tra di loro in una rete Mesh.

Non c’è limite alla quantità di dati che possono essere sincronizzati, se non lo spazio libero disponibile su ogni dispositivo. {Wikipedia}

Personalmente ho iniziato ad usare BtSync in sostituzione di Rsync, RSync è un ottimo strumento per effettuare una replica monodirezionale ma nel mio caso l’intento era quello di tenere sincronizzati due NAS della QNAP in maniera biderezionale.

BtSync è distribuito ancora in versione Beta e alla stesura di questo articolo la versione disponibile è la 1.4.106, ma è già disponibile anche in versione Alpha la seconda versione. BtSync è disponibile nell’App Center ufficiale di QNAP,  ma chi usa i prodotti QNAP saprà che purtroppo i plugin di terze parti vengono aggiornati raramente. Infatti ad oggi siamo indietro di 3 aggiornamenti, considerando che il software è una Beta è assai fondamentale aggiornarlo per ottenere i fix più recenti.

Installiamo BtSync sul NAS QNAP

Il primo passaggio da eseguire è quello di collegarsi via SSH al proprio QNAP, assicuratevi di aver abilitato la connessione SSH e dal terminale o da Putty per gli utenti Windows eseguite la connessione con le credenziali che comunemente usate per accedere all’interfaccia web come amministratore

$ ssh [email protected]

Ora dobbiamo creare la Directory che ospiterà l’eseguibile di BtSync, tale directory andrà posta in /share/MD0_DATA/.qpkg:

$ cd /share/MD0_DATA/.qpkg

$ mkdir btsync && cd btsync

Adesso dobbiamo scaricare dal sito ufficiale di BitTorrent Sync l’ultima versione disponibile, fate attenzione a selezionare il pacchetto per Linux contenete le librerie GLIBC e selezionate l’architettura i386 o amd64 in base al vostro modello di NAS.

$ wget http://download.getsyncapp.com/endpoint/btsync/os/linux-glibc23-i386/track/stable -O bittorrent_sync_glibc23_i386.tar.gz

$ tar -xvf bittorrent_sync_glibc23_i386.tar.gz

Successivamente renderemo BtSync eseguibile automaticamente all’avvio del NAS, andremo quindi nella directory /share/MD0_DATA/.qpkg e creiamo una nuova cartella denominata autorun

$ cd /share/MD0_DATA/.qpkg

$ mkdir autorun && cd autorun

Il software QNAP predispone di avviare automaticamente tutti gli script contenuti nella cartella autorun andremo quindi a creare un nuovo script come segue:

$ touch autorun.sh

$ vi autorun.sh

All’interno del file autorun.sh andremo a scrivere quanto segue:

#!/bin/sh
umask 0000
/share/MD0_DATA/.qpkg/btsync/btsync –config /share/MD0_DATA/.qpkg/btsync/sync.conf –log /share/MD0_DATA/.qpkg/btsync/sync.log

Il seguente script è di facile comprensione, permette infatti di eseguire l’eseguibile di BtSync con le configurazioni contenute in sync.conf e di salvare i log in sync.log. La Umask è fondamentale citarla per avviare il software con i permessi di amministratore e quindi ottenere i corretti permessi nella scrittura/lettura dei file, altrimenti avrete problemi ad accedere o ad eliminare i file sincronizzati.

Successivamente attribuiremo i permessi esecutivi al file appena creato

$ chmod +x autorun.sh

Benissimo non ci rimane che configurare BtSync attraverso il file sync.conf e avviare BtSync attraverso lo script appena creato:

$ ./autorun.sh

Buona Sincronizzazione 😉

 

MyWind_App

Lo scorso 4 Gennaio sul sito degli Autistici il ricercatore di Sicurezza Informatica Giulio ha rilevato come l’applicazione MyWind dell’omonimo operatore di telefonia mobile sia vulnerabile ad un attacco di tipo SQL Injection. L’applicazione permette agli utenti Wind/Infostrada di vedere il proprio credito residuo, contatori, promozioni attive, visualizzare il PUK e diverse altre opzioni.

Giulio, il ricercatore, ha rilevato una vulnerabilità di tipo SQL Injection nel form per il recupero della password, nel caso un cliente l’avesse smarrita. Dato l’ambiente e il form risultato vulnerabile è facilmente deducibile che è possibile ricavare dal database informazioni confidenziali come eMail, username, password e magari anche i numeri di cellulare degli utenti se non addirittura il traffico telefonico generato.

La Full Disclosure integrale è disponibile sul sito degli Autistici dove vengono mostrati i Request e Response a dimostrazione della vulnerabilità individuata.

Il parametro vulnerabile è il numero di cellulare dell’utente, inviato tramite metodo POST ai server della Wind. Nell’esempio sottostante viene utilizzato il numero fittizio 340123456 e viene iniettato il classico and 1=1:

parameters=["340123456' and 1=1"]&adapter=MASPAdapter&__wl_deviceCtx=<stripped>&procedure=startRecuperoCredenzialiMobile&compressResponse=false&isAjaxRequest=true&x=0.6955877927697153

La risposta alla precedente richiesta dovrebbe essere negativa, avendo iniettato codice a nostro piacimento, ma con grande risposta otteniamo una risposta positiva (true):

/*-secure-
{<strong>"isSuccessful":true</strong>,"response":{"reason":"Richiesta elaborata correttamente","status":"0","datetime":"20141209205546"},"session":{"id":"","expires":"600"}}*/

Come spesso accade, anche nelle vulnerabilità da me individuate, nonostante diverse segnalazioni l’applicazione risulta ancora ad oggi vulnerabile e un attaccante potrebbe sfruttare questa falla per sottrarre informazioni private o nella peggiore delle ipotesi accedere ai sistemi Wind mediante una shell caricata attraverso SQL Injection. La vulnerabilità è stata comunicata al gruppo Wind/Infostrada il 1 Dicembre 2014 e successivamente altre quattro volte senza ottenere alcuna risposta, pertanto il ricercatore ha pubblicato lo scorso 4 Gennaio la Full Disclosure.

Come sempre mi auguro in una veloce risoluzione del problema e una valutazione più approfondita degli aspetti di Sicurezza Informatica da parte delle grandi società tecnologiche.

[AGGIORNAMENTO]

Giulio vuole precisare il suo rapporto con gli Autistici:

Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.