Articoli che trattano principalmente di Sicurezza Informatica

Cronistoria degli attacchi subiti dal Movimento 5 Stelle

La memoria umana è breve, per questo ho deciso di scrivere questo diario che riepiloga gli attacchi informatici subiti dal partito Italiano M5S. Ho scelto di creare questa scaletta sul Movimento 5 Stelle perché ad oggi sono il soggetto politico che ha subito un maggior numero di attacchi e inoltre si sono sempre definiti un partito del web; per cui ritengo opportuno analizzare e tenere traccia di queste informazioni.

  • 11 Aprile 2013: Il referendum online dedicato agli iscritti del partito per esprimere la propria preferenze sul futuro Presidente del Consiglio è stato sospeso, Beppe Grillo ammetterà che “sono state oggetto di attacco di hacker” anche se non verranno mai fornite prove tangibili. Fonte1Fonte2
  • 24 Aprile 2013: Un gruppo che si definisce “Gli Hacker del PD” pubblica le eMail della deputata stellata Giulia Sarti. Fonte1Fonte2
  • 28 Giugno 2013: AntiSecITA effettua un deface del sito web di Casaleggio. Fonte1Fonte2
  • 26 Febbraio 2014: L’account Twitter della Casaleggio Associati è stato compromesso, la password in uso era la via della sede legale della società. Fonte1Fonte2
  • 31 Luglio 2017: @evaristegal0is avvisa lo staff del Movimento 5 Stelle che il loro portale per le votazioni online (Rousseau) ha diverse vulnerabilità, tra cui una SQL Injection che permette la lettura del database delle votazioni e relativi dati degli utenti. Fonte1Fonte2
  • 2 Agosto 2017: A seguito della risoluzione dei problemi di sicurezza che affliggevano il portale Rousseau Evariste pubblica una Responsible Disclosure indicando quali dati venivano esposti. Fonte1Fonte2
  • 3 Agosto 2017: r0gue_0 si mostra su Twitter ed inizia la pubblicazione di una parte del database del Movimento 5 Stelle, non solo di Rousseau ma anche dei siti collegati. Fonte1Fonte2
  • 4 Agosto 2017: r0gue_0 continua a pubblicare dati personali provenienti dal database del Movimento 5 Stelle. Fonte1
  • 5 Agosto 2017: r0gue_0 continua a pubblicare dati e mette in vendita il database per 0,3 BTC. Fonte1Fonte2Fonte3Fonte4Fonte5Fonte6
  • 8 Agosto 2017: r0gue_0 continua a pubblicare dati. Fonte1Fonte2
  • 23 Settembre 2017: Il blog beppegrillo.it viene compromesso e viene pubblicato un articolo da r0gue_0 attraverso l’account di Davide Corona. Fonte1Fonte2
  • 23 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Giancarlo Cancelleri. Fonte1
  • 23 Settembre 2017: r0gue_0 pubblica un nuovo articolo a nome di Massimo Ferrari. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Mario Bucchich. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Pietro Dettori. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Massimo Bugani. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Marco Maiocchi. Fonte1
  • 24 Settembre 2017: r0gue_0 dimostra di avere accesso al blog movimento5stelle.it attraverso l’account di Gianroberto Casaleggio. Fonte1
  • 7 Febbraio 2018: r0gue_0 pubblica un nuovo articolo sul blog movimento5stelle.it tramite l’account di Davide Casaleggio pubblicando i dati personali di Casaleggio (Cellulare, Codice Fiscale, Numero e Scadenza Patente di Guida). Fonte1Fonte2
  • 5 Settembre 2018: r0gue_0 pubblica un log di accesso al database del Movimento con privilegi SUPER (ovvero di un amministratore). Fonte1
  • 5 Settembre 2018: r0gue_0 pubblica le tabelle del database web05db01. Fonte1Fonte2
  • 5 Settembre 2018: r0gue_0 pubblica un estratto delle donazioni ricevute dal Movimento a Luglio 2018, donazioni confermate dalle persone coinvolte. Fonte1Fonte2
  • 6 Settembre 2018: r0gue_0 pubblica eMail, Password e numeri di Cellulari di Toninelli Danilo, Bonafede Alfonso, Luigi di Maio. Fonte1
  • 7 Settembre 2018: r0gue_0 pubblica eMail, Password e numeri di Cellulari di Virginia Raggi e Paola Taverna. Fonte1Fonte2
  • 8 Settembre 2018: r0gue_0 pubblica eMail, Password e numeri di Cellulari di Davide Casaleggio e Luca Eleuteri. Fonte1
  • 8 Settembre 2018: r0gue_0 pubblica la tabella dei log delle votazioni online avvenute. Fonte1
  • 13 Settembre 2018: r0gue_0 pubblica eMail, Password e numero di Cellulare di Alessandro di Battista. Fonte1

 

Articolo aggiornato il 26 Settembre alle 14:40 UTC.

/0 Commenti/da
, ,

Fighting Phishing @ Rev3rse Security

Giovedì 21 Giugno alle 21:00 sarò in Live sul canale YouTube Rev3rse Security di Darix e theMiddle per parlare della mia quotidiana attività di analisi e contrasto del Phishing!

Faremo una chiacchierata a 360 gradi sull’attuale diffusione del Phishing in ambito Bancario e non solo, delle tecniche sfruttate per impedirne la rilevazione e delle cifre che vengono quotidianamente truffate alle ancora tantissime vittime.

Al termine della Live diffonderemo le slide che verranno mostrate e anche la live rimarrà disponibile sul canale YouTube!

Non mi resta che darvi appuntamento a giovedì sera 😉 per i più pigri questo è il file iCal/ics per segnarvi l’appuntamento in agenda.

[AGGIORNAMENTO]

Le slide sono disponibili su SlideShare mentre su YouTube è possibile rivedere la diretta!

/0 Commenti/da
,

Capture the Flag Mobile @ HackInBo 2018 Spring Edition

Per la decima edizione di HackInBo ho realizzato la mia prima Capture the Flag dedicata al pubblico presente in sala e concepita per essere risolta esclusivamente da cellulare senza l’ausilio di alcun tools e/o computer; sfruttando logica e conoscenza. Una CTF decisamente più semplice rispetto a quella realizzata dai ragazzi di Hacktivesecurity per l’accesso ai laboratori del giorno successivo.

Flags

La CTF era composta da 5 flags:

  1. La prima bandiera era nascosta all’interno di un basilare commento HTML della pagina di login del “HackInBo Router”. Decodificata la stringa in base64 si visualizzavano alcune piccole “regole” da rispettare e il target successivo: kevinmitnick.html
  2. Per ottenere la seconda bandiera bisognava dehashare tre hash MD5 inseriti nel tag ALT dell’immagine di Kevin, ottenendo così il nuovo target: linustorvalds.html
  3. Il terzo target conteneva una disequazione da risolvere nascosta tramite uno style ccs. Risolta la disequazione si ottengono due risultati reali (1 e 2), sommati tra loro fornivano il successivo target: three.html
  4. Il quarto target richiede il nome del cantante della canzone “Three is a magic number”, ovvero: bobdorough.html
  5. Nel quinto e ultimo target viene richiesto il nome di una struttura dati in grado di definire le caratteristiche di un dispositivo video, ovvero: edid.html

La quinta e ultima flags è stata la più impegnativa, il protocollo EDID è decisamente poco conosciuto.

Il codice sorgente della CTF è pubblico e disponibile su GitHub.

Hardware

La CTF è stata realizzata creando una rete WiFi aperta con SSID “HackInBo_NotFreeWiFi” tramite un Raspberry Pi collegato ad una antenna Wireless Alfa Networks!

Il Raspberry é stato configurato partendo dalla guida ufficiale e dalla guida di Andrew Michael Smith, ma apportando alcune modifiche ai file di configurazione che riepilogo di seguito:

/etc/dhcpcd.conf (appendo alla fine del file)

interface wlan0
static ip_address=192.168.4.1/24
nohook wpa_supplicant

/etc/dnsmasq.conf (sostituisco integralmente il file)

log-facility=/var/log/dnsmasq.log
address=/#/192.168.4.1
interface=wlan0
dhcp-range=192.168.4.2,192.168.4.254,255.255.255.0,30m
no-resolv
log-queries

/etc/hostapd/hostapd.conf (sostituisco integralmente il file)

interface=wlan0
driver=nl80211
ssid=HackInBo_NotFreeWiFi
channel=6

Per risolvere un problema di conflitto con wpa_supplicant in fase di avvio tramite uno script bash killo tale processo e avviavo il Fake AP.

sleep 30
sudo systemctl stop hostapd
sleep 5
sudo killall wpa_supplicant
sudo systemctl start hostapd

Vincitori

Alle 13:30 il @JBZTeam ha risolto per primo il CTF, confermandosi ancora una volta un team molto affermato in questo stile di competizioni! Successivamente è arrivata al traguardo anche la squadra di Secure Network!

Marco e Francesco di JBZ hanno così vinto qualche gadget dell’evento e due Yubikey 4! Di spessore sottolineare che i due vincitori hanno 16 anni! 🔝

Alle 18 quando ho spento il CTF nessun altro ha risolto le cinque flags, con complessivamente 388 Mac Address univoci connessi al Fake AP!

Epicfail

Ho fatto un errore, ho lasciato la directory “.git” esposta. Il CTF era rivolto a dispositivi mobile e da tali dispositivi non è semplice automatizzare una procedura di Dump/Extract di una repository GIT ma con un computer è decisamente facile.

Questo ha permesso al JBZ di risalire al file txt contenente i vincitori, e si sono giustamente divertiti 😉

Avevo previsto una regola nel file .htaccess per proteggere tale directory e avevo scelto Apache anziché NGINX per velocizzare la configurazione del Web Server…ma ho sbagliato comunque qualcosa. Sopratutto a non fare un check-up finale.

Questo episodio mi ricorda ancora una volta il perché i PT andrebbero fatti sugli ambienti di produzione e non di sviluppo…mea culpa!

Conclusioni

Questa CTF è piaciuta nonostante sia stata pensata e sviluppata in meno di una settimana, preparatevi perché con buone probabilità si ripeterà alla prossima edizione! E se avete consigli e/o critiche sono ben accette 😉

/0 Commenti/da
, ,

Errori informatici da non commettere nel mondo lavorativo!

Il prossimo 25 Ottobre sarò ospite all’Università degli Studi Palermo che organizza un Seminario di Orientamento al Lavoro assieme a Calogero Bonasia e Denis Frati!

Il mio talk illustrerà ai ragazzi del Dipartimento di Matematica e Informatica quali errori informatici bisogna evitare nel mondo lavorativo e illustrare ovviamente qualche consiglio per non incappare in irrimediabili Epic Fail!

L’abstract del Talk è il seguente:

Quotidianamente il 46% della popolazione mondiale sfrutta Internet.
3,4 miliardi di persone che grazie a molteplici tecnici informatici riescono in tutta semplicità a socializzare, informarsi, giocare o lavorare.
Tecnici che hanno una grossa responsabilità sulle proprie spalle per evitare disastri che possano mettere a rischio la privacy degli utenti o dati sensibili governativi.
Partendo dal Data Leak di Ashley Madison che ha spinto diversi uomini al suicidio vedremo assieme i principali errori da non commettere nel mondo lavorativo e studieremo casi reali avvenuti negli ultimi anni.

L’evento si terrà il giorno 25/10/2017 dalle ore 14:30 alle ore 17:30 presso l’Aula 7 del Dipartimento di Matematica e Informatica, potete controllare tutti i dettagli sul Sito Ufficiale dell’Università.

[AGGIORNAMENTO]

Le slide del Talk sono disponibili su SlideShare.

/0 Commenti/da
, ,

Hacking Lab con ProxMox e Metasploitable

Il FabLab Bassa Romagna e ImoLUG hanno intrapreso un percorso di approfondimento su ProxMox, un progretto OpenSource basato sul sistema operativo Debian Linux per la virtualizzazione di sistemi operativi, incontrandosi ogni martedì per affrontare tematiche diverse.

Martedì 23 Maggio sarò ospite al FabLab Bassa Romagna per insegnare come è possibile creare un proprio Hacking Lab. Creare un laboratorio nella propria infrastruttura di rete permette di allenarsi in assoluta legalità sulle principali tecniche sfruttate nel mondo del Hacking.

Per creare il proprio laboratorio virtualizzeremo Metasploitable, una famosa distribuzione vulnerabile creata da Rapid7, ovviamente su ProxMox e sfrutteremo BackBox Linux per effettuare i test di Sicurezza Informatica.

Entrando più nel dettaglio sfrutteremo software come nmap, zenmap, dirsearch, sqlmap e metasploit. Analizzeremo le vulnerabilità Command Execution, SQL Injection, XSS Reflected, XSS Stored e magari anche altre in base al tempo rimasto.

L’incontro inizierà alle 20:30 del 23 Maggio 2017 presso la sede del FabLab Bassa Romagna, Via Vassura 16/F a Cotignola. È gradita la prenotazione tramite Doodle!

Per chi non riuscisse a venire da Mercoldì 24 troverà, in questo articolo, le slide dell’evento e forse anche uno screencasting!

[ AGGIORNAMENTO ]

Le slide sono disponibili su SlideShare, lo screencasting a breve…

/0 Commenti/da
, ,

Hacking Lab: Virtualize Metasploitable on ProxMox

Proxmox is open source server virtualization management software. It is a Debian-based Linux distribution  and very perfect to create your Hacking Lab on your local networking.

The Metasploitable virtual machine is an intentionally vulnerable version of Ubuntu Linux designed for testing security tools and demonstrating common vulnerabilities. Never expose this VM to an untrusted network 😉 it’s very dangerous!

On my YouTube you can find a video guide about virtualization of Metasploitable on ProxMox!

Finally, you can find a list of all vulnerabilities in Metasploitable on the official Rapid7 website.

/1 Commento/da
, ,

Una serata sul Phishing: Analisi, Simulazione e Contromisure

Venerdì 24 Febbraio al Forlì Linux User Group terrò un talk sul Phishing dove analizzerò il fenomeno sempre crescente del Phishing con una simulazione.

Tutti noi riceviamo almeno quotidianamente eMail (e non solo) con il chiaro intento di rubarci le credenziali di accesso alla nostra vita digitale, che sia il conto corrente online, piuttosto che l’account social e così via.
Questo è il phishing, una truffa che come ogni tecnologia umana si sta evolvendo e questa serata ha come obbiettivo quello di spiegare in maniera chiara e precisa che cos’è, come funziona e come possiamo difenderci.
Vedremo anche con esempi pratici, come già avvenuto per la serata sul penetration test, esattamente come si può svolgere una campagna di phishing, quali sono gli attori coinvolti, un esempio di infrastruttura e come poter tutelarci da questi attaccanti.

Di seguito il programma più dettagliato del talk:

  • Presentazione
  • Introduzione al Phishing:
  • Cos’è,
  • Dati Statistici,
  • Tecniche,
  • Simulazione mediante due tecniche:
    • via eMail di Phishing ai danni di un ente normalmente soggetto ad attacchi di Phishing,
    • via SMS di Phishing con dominio creato ad-hoc per rendere maggiormente credibile SMS,
  • Analisi dei dati acquisiti nella simulazione e non solo:
    • IP
    • User Agent
    • Localizzazione
    • Credenziali
    • ecc…
  • Contromisure
  • Conclusione

La serata è aperta a tutti e non servono conoscenze tecniche, basta solo molta curiosità.

Ci vediamo il 24 febbraio presso la sede del FoLUG, la partecipazione è gratuita ma è richiesto la registrazione all’evento da qui.

Per chi non dovesse riuscire ad essere presente verranno pubblicate da Sabato 25 le slide e uno screencasting dell’evento.

Slide e Video

Le slide della serata sono disponibili qui: https://www.slideshare.net/drego85/phishing-analisi-simulazione-e-contromisure

/3 Commenti/da

WhatsApp: La peggior autenticazione a due fattori che abbia mai visto!

Un’autenticazione a due fattori (o autenticazione a più fattori o strong authentication) è un metodo di autenticazione che si basa sull’utilizzo congiunto di due metodi di autenticazione individuale. {Wikipedia}

Ieri da un ReTweet di Federico Maggi ho appreso che WhatsApp aveva reso disponibile a tutti, e non solo ad un riestretto numero di utenti come avveniva dallo scorso novembre, l’autenticazione a due fattori. Questo ulteriore strato di protezione garantisce all’utente una maggior sicurezza e l’impossibilità di usare le vulnerabilità del protocollo telefonico SS7 per impossessarsi di un account WhatsApp altrui.

Il 2FA (two factor authentication) viene usualmente implementato mediante i seguente tre metodi:

  • pin/password (codice statico);
  • token/otp (password generata casualmente a cadenza temporale);
  • biometria (impronta digitale, iride, ecc).

WhatsApp ha scelto il primo metodo per implementare l’autenticazione a due fattori, probabilmente perché già il primo metodo è basato sull’autenticazione tramite One Time Password attraverso l’invio di un SMS al nuovo utente.

Sostanzialmente se un utente con 2FA cambia Smartphone dovrà inizialmente digitare il suo numero di cellulare, riceverà il primo codice OTP via SMS e successivamente digiterà la password del 2FA scelta in precedenza.

Comunemente il 2FA implementato tramite codice è una protezione “sconnessa” richiesta solo in una determinata azione, in questo caso l’autorizzazione ad abilitare un nuovo device. Non deve essere richiesta periodicamente altrimenti aumenta sensibilmente il rischio che tale codice possa essere esposto e quindi compromesso!

WhatsApp, come vedete nello screenshot di apertura, ha invece deciso di richiedere saltuariamente (al secondo giorno me l’ha già chiesto 2 volte) tale codice con l’intento di non farlo scordare all’utente. Oltretutto se veramente l’utente si scorda il codice e sta attivando un nuovo dispositivi è possibile effettuare l’attivazione via eMail!

Se state scuotendo la testa non avete visto ancora nulla, veramente!

Abbiamo finora capito che in linea teorica un codice statico sfruttato per il 2FA NON dovrebbe essere conservato digitalmente, ne portato appresso e generato casualmente come a rigor di logica dovrebbero essere tutti i codici/password. WhatsApp invece ti impone di ricordartelo spingendo l’utente ad usare un codice comune (una data di nascita, anniversario, ecc) o a memorizzarlo in qualche luogo facilmente raggiungibile (PostIt, Agenda, 1Password, ecc ecc) aumentando il rischio di esporre il codice.

Vi basta pensare che altri portali che sfruttano l’autenticazione a due fattori o magari anche tre richiedono di STAMPARE il codice e di conservarlo in un luogo sicuro come una CASSAFORTE. E ovviamente non ti chiedono di andare ad aprire la cassaforte tutti i giorni 🙂

Un esempio? Blockchain o 1Password!

Ma cosa succede se l’utente si scorda il codice della 2FA? Semplice basta cliccare su “Codice di accesso dimenticato” e per magia l’autenticazione a due fattori viene DISABILITATA! ?

Basito, e ovviamente non si riceve neanche un avviso via eMail di tale disabilitazione!

Proseguendo l’analisi una volta attivata la Verifica a due fattori (o in due passaggi) è possibile disattivarla dalle impostazioni, l’applicazione NON richiede il codice precedentemente impostato per procedere alla disattivazione. E ovviamente non invia una notifica all’eMail indicata durante l’attivazione.

Ricapitolando:

  • WhatsApp richiede all’utente di inserire saltuariamente (probabilmente ogni giorno) il codice del 2FA quando la best-practice prevede di richiederlo solo all’attivazione di un nuovo device;
  • Se l’utente si scorda il codice della verifica in due passaggi (sul device già attivo) con un semplice click viene disabilitato l’ulteriore livello di sicurezza;
  • L’utente o un malintenzionato possono disabilitare la verifica in due passaggi senza che venga richiesto il codice originario.

Concludo lasciandovi uno screenshot postato su Twitter da Konrad Iturbe in cui si evince che il codice del 2FA viene conservato e salvato in chiaro (deducibile dalla brevità del campo). Preciso che non ho verificato quest’ultima notizia.

/3 Commenti/da
,

FOPO PHP Deobfuscator

FOPO  è probabilmente uno dei migliori progetti online e gratuiti di offuscamento del codice PHP, oltre a sfruttare le principali tecniche di offuscamento (base64, gzip, ecc) ciclandole più volte genera un hash md5 del codice e ad ogni esecuzione ne esegue una verifica. Se l’hash del file è diverso da quello iniziale non procede all’interpretazione del codice PHP, questa tecnica limita una procecuda manuale di decodifica.

Personamente ho sempre decodificato a mano questi codici PHP ma visto il crescente numero di script da decodificare la scorsa settimana ho iniziato a gettare le basi di uno script in Python per automatizzare la procedura quando ho trovato un progetto già sviluppato su GitHub creato da Antelox del team QueQuero.

Personalmente ho apportato allo script una semplice modifica per rendere lo script adatto agli offuscamenti antecedenti al 2016, modifica che Antelox ha poi apportato anche al decoder online basato su PHP.

Nell’immagine di apertura potete vedere un esempio di un semplice codice offuscato e poi deoffuscato, un semplice echo contenente la dicitura “Hello By Andrea Draghetti”.

Per chi volesse clonare il progetto il GIT è il seguente: https://github.com/Antelox/FOPO-PHP-Deobfuscator.git e potete utilizzare la versione 0.21 dello script.

/0 Commenti/da