GFI_OS_Chart

Il 18 Febbraio la GFI Software ha rilasciato una statistica che fa sicuramente discutere, e proprio per questo ho deciso di scrivere un articolo per puntualizzare ciò che non trovo corretto di questa analisi. Lo metto in chiaro fin da subito, sono di parte perché chi mi conosce sa bene che apprezzo di prodotti Apple e lavoro attivamente su Linux tanto è vero che faccio parte del team di sviluppo di BackBox Linux.

Fatta questa promessa proverò di essere il più analitico possibile, l’immagine in testata è quella diffusa dalla GFI e in tale immagine troviamo riportate in ordine crescente il numero di vulnerabilità rilevate nel ’14 per sistema operativo. La fonte dei dati è il National Vulnerability Database (NVD) e personalmente mi limiterò a giudicare solo questa immagine, nell’articolo della GFI sono riportate ulteriori statistiche sulle vulnerabilità dei software ma non mi interessa analizzarle come non voglio addentrarmi nel database del NVD per capire se i numeri riportati sono corretti o meno.

Linux e Apple raggruppati e Windows suddiviso per versioni?!

Questo è il primo dettaglio che mi è saltato all’occhio appena ho visto l’immagine, in sostanza viene fatto di ogni erba un fascio per i sistemi operativi di Apple e Linux mentre per Window no! Ma in fin dei conti vi sono centinai di versioni dell’OS X di Apple o di iOS e anche del Kernel Linux che anzi credo vinca il premio per il maggior numero di rilasci!

Così ho preso la calcolatrice alla mano è ho sommato Windows Server 2008 a Windows 8, poi a Windows Server 2012…ecc ecc fino ad ottenere la somma complessiva di 248 vulnerabilità!

Bingo, quindi Windows è al primo posto con 248 vulnerabilità! Seguito da Apple e poi da Linux!

GFI_OS_Chart_Somma_Windows

Poi se proprio vogliamo mettere i puntini sulle i dovremmo anche contare Windows XP, visto che per parte del 2014 è stato un sistema operativo supportato da Microsoft!

Linux è Open Source!

Esattamente cercare una vulnerabilità all’interno di un software Open Source è statisticamente più facile rispetto ad OS Closed Source, attenzione a non interpretare male questa mia affermazione! Individuare una vulnerabilità in un sistema Open Source è indubbiamente più facile, ma ciò non toglie che non vi son statistiche che dimostrano che un sistema Open sia più vulnerabile di un sistema Closed! Infatti nel precedente punto ho dimostrato che il sistema Closed è più vulnerabile!

Kernel? Ma non si parlava di Sistemi Operativi!?!

Questa è la terza anomalia che mi è venuta in mente, la statistica vuole riportare i sistemi operativi più vulnerabili…ma il Kernel NON è un Sistema Operativo!

In computing, the kernel is a computer program that manages I/O (input/output) requests from software, and translates them into data processing instructions for the central processing unit and other electronic components of a computer. The kernel is a fundamental part of a modern computer’s operating system. {Wikipedia}

Conclusioni

Questa analisi credo sia stata eseguita in maniera fin troppo superficiale, ma a pensar male…mi viene da dire che bisognava promuovere le “finestre”

Phishing-Attack-Launched-from-Android-Market-2

La scorsa settimana i contatti tra il D3Lab e gli istituti di credito hanno permesso il recupero di un complesso sistema di gestione di una Botnet dedicata a carpire le credenziali bancarie degli utenti. Sono stato interpellato durante l’analisi di questo caso con l’incarico di analizzare ogni sfaccettatura dell’attacco, ricevuti i file è stato possibile installarli su una macchina di test che ci permettesse di esaminarne il funzionamento.

Non voglio soffermarmi oltre sugli aspetti tecnici, ma bensì su una tipologia di attacco che i malviventi attuano ai danni degli utenti Android. Trattandosi di un attacco non convenzionale credo che rispecchierà una nuova frontiera per i Phisher ed ho deciso di documentare l’accaduto per sensibilizzare l’attenzione degli utenti.

I malcapitati utenti venivano invitati tramite pagine web dedicate ad hoc o tramite l’invio di SMS ad installare una applicazione dedita alla protezione dei propri dati personali e alla criptazione di essi, ma tale applicazione realmente è stata sviluppata con l’intento di sottrarre le credenziali che gli utenti digitavano sul Browser del proprio Smartphone. Il servizio online AndroTotal ci dimostra come 4 Antivirus su 6 riportano come malevole tale applicativo.

Homepage_Phishing_Android

La precedente immagine, volutamente oscurata in alcune parti, vi riportata l’homepage del pannello online di gestione dei bots Android in cui vengono configurati alcuni servizi fondamentali per il buon esito dell’attacco. Come potrete notare è possibile impostare il servizio Jabber così che l’attaccante possa ricevere istantaneamente la notifica di avvenuta acquisizione di credenziali (username, password e token) e velocemente possa ripetere il login dal suo terminale con un codice token ancora valido. Inoltre è possibile configurare un servizio SMSc per l’invio di SMS, impostare il testo del messaggio di testo e il link per il download dell’applicazione.

Bots_Phishing_Android

L’elenco dei bots/vittime ci riporta le credenziale carpite, l’indirizzo IP, l’eMail, il numero di cellulare e il sistema operativo della vittima oltre alla data di acquisizione delle credenziali.

 

Credenziali_Phishing_Android

Infine per ogni vittima è possibile aprire un pannello dedicato dove poter leggere le credenziali e il sito internet fonte di tali dati.

Infografica-Studenti-e-Internet

Voglio andare fuori tema per 30 secondi  mostrandomi un infografica che ritengo importante perché come sapete da sempre promuovo lo studio/letture per apprendere nuove nozioni sulla Sicurezza Informatica, questa infografica dedicata agli studenti è stata creata da Docsity e rappresenta in modo chiaro l’utilizzo di Internet per studiare. Sono riportate le regioni più attive, le fasce orarie di maggior studio e infine le materie più cercate! Bhe come saprete sono uno studente anche io, studente sicuramente atipico poichè la mia fascia oraria di studio 21-23 non è rappresentata!

Libero Mail Spam

La storia si ripete, dopo il Primo e il Secondo caso del ’14, a fine Gennaio ‘2015 nuovamente sono stati sfruttati diversi indirizzi eMail di @libero.it per inviare spam!

I dettagli son sempre i medesimi, ovvero ho ricevuto eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!

Non voglio dilungarmi oltre, credo di aver già speso troppe parole per questi casi senza mai ricevere una risposta ufficiale da Libero/Wind Infostrada nonostante i miei solleciti! Rimango della mia idea che gli account sfruttati per l’invio di eMail, a destinatari a loro noti, non sono stati bucati a causa di una password debole ma è stata una vulnerabilità sul portale di Libero a garantire l’estrazione dei dati, e gli ultimi fatti sulla SQL Injection rilevata proprio nei sistemi Wind mi fa pensare di aver ancor più ragione.

Di seguito vi riepilogo tutti i casi da me rilevati:

I Casi Rilevati
Data Mittente Ultimo Contatto con il Mittente Server SMTP Paese Mittente
29/05/2014 al************[email protected] 08/07/2013 estpak.ee Estonia
29/06/2014 adri********[email protected] 24/01/2013 trjdesigns.com Biellorussia
30/06/2014 li*******[email protected] 30/09/2011 telecom.kz Kazakistan
03/07/2014 sp****ni.de**[email protected] 08/02/2010 eigbox.net Argentina
05/07/2014 m****[email protected] 05/07/2006 ccg.ua Ucraina
08/07/2014 ca****[email protected] 21/03/2014 dehostingfirma.nl Paesi Bassi
08/07/2014 al************[email protected] 08/07/2013 mailgun.org Ucraina
09/07/2014 f******[email protected] 24/10/2013 melvincruz.com Indonesia
29/11/2014 al*****[email protected] 21/05/2013 1and1.es Ucraina
29/11/2014 be**a.****[email protected] 14/05/2013 opentransfer.com Ucraina
29/11/2014 fabio.***@libero.it 29/11/2014 shaw.ca Biello Russia
30/11/2014 *.el**[email protected] 22/04/2011 alienweathermachine.com Russia
01/12/2014 ele.***@libero.it 11/07/2010 zimbra.intercom.com Indonesia
24/01/2015  pie*****[email protected] 24/01/2011  anonimoserver.com Thailandia
 24/01/2015 al*.c****[email protected] 21/03/2014 mcctelecom.es  Ucraina
 25/01/2015 all****[email protected] 04/02/2014  coxmail.com Taiwan
 26/01/2015 benv******[email protected]  –  colo-cation.com  Russia
 26/01/2015 adri********[email protected] 24/01/2013 stratoserver.net  Ecuador
 26/01/2015 ele.***@libero.it 22/04/2011  servername.com Indonesia
 26/01/2015 dav***[email protected]  15/11/2012 tottori-u.ac.jp Turchia
 27/01/2015 g.l****[email protected]  04/10/2012 bajzek.com Messico
27/01/2015 ch***@libero.it  02/09/2013 nexse.com Ucraina
 28/01/2015 *.el**[email protected] 22/04/2011 net.au Turchia