Il mistero sui file sottratti al CNAIPIC è sempre più fitto, la paternità del reato è stata recentemente attribuita alla Crew NKWT Load dopo la rivendicazione originale del team Anonymous, con le relative perplessità che ne derivano.
Alla ricerca di maggiori informazioni mi sono imbattuto in un messaggio ufficiale dell’Operation Payback ITA che testualmente riportava:
Continuando a leggere la discussione, diverse personalità riferiscono che i file PDF conterrebbe uno script in grado di inviare dati sensibili dell’utente ad un server non identificato.
Incuriosito ancor di più sul fatto ho provveduto a scaricare i tre archivi fino ad oggi distribuiti (reperibili nel blog ufficiale) e ad analizzarli.
Tecnica
Per attuare l’analisi ho utilizzato:
- BackBox come server proxy di Adobe Reader mediante il software Zaproxy;
- Windows XP con due sessioni di Nestat avviate e Flidder 2.
Video Analisi
Mi scuso per la qualità del video (la tastiera non è sincronizzata) ma purtroppo il software di Video Recording non è completamente compatibile con il recente aggiornamento di Mac OS X Lion.
Analisi
Una volta avviato il server proxy, netstat e aperto Flindder (in grado di analizzare il traffico di Adobe Reader) ho aperto singolarmente ogni file PDF sottratto dai server del CNAIPIC.
L’analisi ha avuto esito negativo, non risulterebbe nessuna connessione esterna all’apertura dei file PDF.
Conclusioni
Personalmente non voglio smentire gli Anonymous, sicuramente hanno le loro ragioni per aver scritto quel messaggio, ma i fatti non rilevano nessuna backdoor o script malevoli.
Note
I file analizzati contenunti nelle prime due directory sono stati prelevati dal messaggio originale del 24 Luglio 2011, ancor prima che gli Anonymous Italiani rilasciassero il loro comunicato stampa e che provvedessero alla “bonifica” dei file.
…e se fosse un avvertimento da fonte tarocca volto ad evitare la loro diffusione? Sembra tanto…
se sai leggere c’è scritto anche che ogni archivio verrà analizzato prima di essere pubblicato.
Prendo lo spunto.
A grosse linee (dedicato a chi di noi è un niubbio), che vantaggi hai ottenuto rispettivamente dall’ usare:
-BackBox come sistema operativo (in che senso poi: “come server proxy di Adobe”? Sono due cose separate?)
-Zaproxy
-Nestat
-Flidder 2
Non sto chiedendo un’ analisi tecnica approfondita, altrimenti uno può andare a leggersi le guide sui siti dei rispettivi programmi, ma un ragguaglio.
I file sono stati bonificati. Quelli originali non contenevano una backdoor ma un sistema di sicurezza adottato dalla cnaipic , una sorta di phone call che identificava il sistema dal quale venivano aperti tali file.
io il video mica l’ho capito… quando venivano aperti i pdf non veniva effettuata nessuna connessione