Articoli che trattano principalmente di Sicurezza Informatica

(You can read the English version here)

Premessa

La ma HP LaserJet Pro presenta puntualmente due problemi se viene lasciata accesa e inutilizzata per diversi giorni, il problema più evidente è nell’utilizzo dello scanner che andrà a realizzare una scansione con barre verticali di diversi colori per tutta la pagina. Il secondo problema riguarda invece la stampa che risulta essere decisamente lenta nella fase iniziale di ricezione dati. Entrambi i problemi sembrano essere collegati ad una errata gestione della RAM la quale lasciando la stampante inutilizzata per diversi giorni si va a saturare.

L’assistenza consiglia puntualmente di fare un reset della NVRAM, reset che prevede la perdita di tutte le configurazioni. È passato oltre un anno dalla segnalazione mia e di altri utenti di questo problema, ma nulla è cambiato. Nessun aggiornamento firmware è stato purtroppo rilasciato da Febbraio 2015, portandosi dietro anche la mancata risoluzione di diverse vulnerabilità (come quelle di OpenSSL).

Per risolvere velocemente i problemi sopra descritti basta fare un riavvio manuale della stampante, ma puntualmente quando ho fretta mi capita di fare una scansione e di rilevare il problema il che mi costringe ad attendere ulteriormente.

In passato avevo già controllato se era possibile effettuare un reboot via software, così da automatizzare la procedura, ma purtroppo l’interfaccia Web o Telnet non offrono una funzione di riavvio. Assurdo! Trovai allora una prima procedura tramite FTP ma non funzionava, anzi mi stampava un foglio in bianco ed una seconda procedura sempre tramite FTP con l’invio di una stringa personalizzata di testo. Questa seconda procedura non generava alcune effetto.

Durante la festività di Santo Stefano mia moglie ha stampato diverso materiale per il suo Blog e la stampate era evidentemente lenta nel percepire i dati (andando a memoria l’avevo usata l’ultima volta 7 giorni prima), la prima stampa di 11 fogli ha impiegato circa 13 minuti e dopo un riavvio la stampa delle stesso materiale ha impiegato meno di due minuti.

Ho cercato nuovamente una soluzione per eseguire automaticamente un riavvio, scoprendo un articolo di un blog tedesco (non ho capito chi sia l’autore) che illustra una procedura funzionante da eseguire tramite Microsoft PowerShell che sfrutta il protocollo SNMP.

$PrinterIP = "192.168.1.87"
$SNMP = New-Object -ComObject olePrn.OleSNMP
$SNMP.Open($PrinterIP, "public")
$SNMP.Set(".1.3.6.1.2.1.43.5.1.1.3.1",4)
$SNMP.Close()

Per il mondo Linux/Unix è necessario installare snmp attraverso aptitude:

sudo apt-get install snmp

ed è possibile eseguire il Riavvio della Stampante HP attraverso il terminale con il semplice comando:

snmpset -v 1 -c public 192.168.1.87 ".1.3.6.1.2.1.43.5.1.1.3.1" i 4

avendo cura di sostituire 192.168.1.87 con l’indirizzo IP della propria stampante.

Ho poi deciso di inserire un cron automatico, sul mio server domestico, che alle 2 di notte e ogni 2 giorni mi esegue un riavvio:

0 2 */2 * * /usr/bin/snmpset -v 1 -c public 192.168.2.41 ".1.3.6.1.2.1.43.5.1.1.3.1" i 4

Remotely Reboot (Without Password)

Con la procedura illustrata ho finalmente risolto il problema, ma è evidente che non vi è alcuna richiesta di autenticazione nel comando che imputo.

Il protocollo SNPM viene sfruttato da molteplici stampanti per comunicare all’utente lo stato in cui si trova la stampante (in uso, documento aggiunto nella coda, cartuccia finita, ecc) e sfrutta la porta UDP 161 per le interrogazioni e le risposte, e la porta UDP 162 come destinazione dei messaggi.

Ho quindi esposto la porta 161 della mia stampante su Internet e la sua relativa interfaccia web. Da una connessione ad internet esterna ho eseguito il comando precedentemente illustrato con l’IP pubblico della mia connessione VDSL riuscendo a riavviare la stampante remotamente. Sì, ho riavviato la mia stampante senza alcuna autenticazione.

 

La stampante mostra il messaggio "Restarting..." poichè ha percepito il comando di riavvio.

La stampante mostra il messaggio “Restarting…” poichè ha percepito il comando di riavvio.

Sfruttando Shodan rivelo la presenza di quasi 3 milioni di dispositivi connessi a internet con la porta 161 aperta, ma tra di loro non troviamo solo stampanti. Affinando la ricerca rilevo 30248 device HP con la porta 161 aperta ma anche altri brand come 494 device Epson, 4235 device Exor e 541 device Lexmark.

Ho fatto un test su una stampante Lexmark connessa remotamente, anche essa è possibile riavviarla. Non ho invece effettuato test su device Epson, Exor o altre marche perché non le ho a disposizione. Se qualcuno ha una stampante di un altro brand e volesse provare aggiorno volentieri l’articolo così da creare un piccolo registro.

Una stampante non dovrebbe essere esposta su internet su questo punto credo siamo tutti concordi, ma allo stesso tempo i produttori dovrebbero prestare maggiore attenzione nell’implementazione delle funzionalità e sulla sicurezza dei dispositivi venduti. Un malintenzionato potrebbe riavviare in continuazione le stampanti di una infrastruttura ospedaliera o di una grande azienda bloccando la stampa di referti o di documenti importanti.

O semplicemente svegliare in piena notte un utente a causa del rumore dei rulli della sua stampante laser! 😀

[AGGIORNAMENTO]

Dal forum ufficiale HP apprendo che è stato rilasciato privatamente un Firmware che corregge il problema, inspiegabilmente non è stato reso pubblico.

Il firmware è del 24 Settembre 2015 (M276_colorMFP_Series_FW_Update-20150924.exe) l’hash del file sono:

  • MD5: 880def824221e2ac394947ba62c35642
  • SHA1: b719e646fff20cd89ecdb40d7658aef822e7353c
  • SHA256: 00281dc29c2821b77617517b2407fc7f216db4b12fa889cfbb690d7d74c57004

Download: M276_colorMFP_Series_FW_Update-20150924.exe

NON mi assumo alcuna responsabilità sull’uso di questo firmware.

 

Ormai il 2016 è giunto al termine, è stato un anno ricco di cambiamenti importanti sia professionalmente parlando che personalmente. Il mio ingresso nel D3Lab mi ha permesso di conoscere e approfondire tutto il mondo del Phishing e delle meccaniche che ci sono alle spalle di quel “messaggio spazzatura” che realmente alle sue spalle porta sofisticazioni, tecniche e organizzazioni malavitosi che si arricchiscono alle spalle di tante, troppe vittime.

È il momento di pensare ai buoni propositi per il 2017 ma oltre a pensarli bisogna capire come metterli in pratica 😀 e trovare il tempo!

Voglio quindi augurare a tutti voi un Felice Natale e un sereno 2017!

In collaborazione con gli amici di eLearnSecurity voglio regalarvi il PTS Barebone, tale versione Barebone comprende le slide del corso, senza lab e voucher, e da diritto ad uno sconto di 50€ sull’eventuale upgrade alle versioni Full o Elite.

 

Ho  appena rilasciato la Quinta Beta di Joomla Scan, per chi non conoscesse questo mio progetto permette di scansionare un sito internet costruito con il CMS Joomla alla ricerca dei componenti/estensioni installate.

La novità principale di questa versione è l’introduzione del Multi Threading, di default lo script esegue 10 analisi contemporanee ma il valore è ovviamente personalizzabile. Inoltre è stato aggiornato il database dei componenti e effettuati fix minori. Nello screenshot seguente potete visualizzare i benefici di una scansione effettuata con e senza Multi Threading.

Il prossimo step sarà quello di rendere personalizzabile l’User Agent e il Time Out della connessione. Successivamente verrà poi introdotta l’identificazione della versione di Joomla e la ricerca dei moduli.

JoomlaScan è rigorosamente OpenSource e disponibile sul mio repository di GitHub, qualsiasi commento e/o critica sono ben accetti!

BackBox 4 Linux Logo

Due importanti novità, la prima è che abbiamo appena rilasciato la versione 4.7 di BackBox Linux. Siamo anche la lavoro sulla BackBox 5 basata su Ubuntu 16.04 LTS ma assieme a questa versione vogliamo rinnovare completamente l’intero ecosistema di BackBox, dai servizi in Cloud che stiamo erogando principalmente alle aziende del settore di IT Security, dal Sito, la WiKi e ovviamente la distribuzione che avrà una nuova veste grafica.

BackBox 4.7 è quindi un aggiornamento minore, che porta con se tutti gli ultimi fix rilasciata da Canonical sulla TLS 14.04 e il nuovo stack del kernel allineato con xenial. Questa versione abbiamo deciso di rilasciarla per chiudere le release 4.x con una versione stabile che potrà essere sfruttata anche su un lungo periodo. Inoltre sono stati aggiornati i principali tools inclusi.

Potete scaricare la versione AMD64 o i386 di BackBox sul sito ufficiale backbox.org attraverso i mirror HTTP oppure via rete Torrent.  Se volete invece aggiornare la vostra attuale installazion sul Blog Ufficiale trovate invece i passaggi da seguire. Una donazione al progetto è ovviamente gradita 😉

L’altra novità è relativa al mio blog, come vedete OverSecurity.net è stato unito ad AndreaDraghetti.it. La scelta di fondere questi due domini l’ho decisa per parlare in un unico spazio di più tematiche come l’Elettronica e l’Informatica in generale. Over Security rimane comunque un canale attivo sui Twitter e Facebook focalizzato sui temi di IT Security.


Apro questo articolo promuovendo una recente iniziativa di Stefano Novelli e dei ragazzi di Inforge, in passato vi avevo già mostrato le loro video guide per la sicurezza informatica denominate per l’appunto HackLog. Ora la loro intenzione é quella di ripartire da capo realizzando video con più cura nei dettagli, più esaustivi per i newbie e illustrare un numero maggiore di informazioni e tecniche. Per realizzare questa serie di video professionali che verranno diffusi gratuitamente hanno pensato di avviare una campagna di crowdfunding, tale campagna servirà per finanziare le spese necessarie alla realizzazione dei video (telecamere, microfoni, software, ecc) e in cambio di un modico contributo ricevete un eBook dedicato alle video guide o il medesimo libro in formato cartaceo (io mi aspetto di riceverlo con dedica e autografo di tutti i ragazzi di Inforge :P). Nel momento in cui sto scrivendo questo articolo la campagna é già stata avviata da 5 giorni e ha raggiunto quasi i 2000euro (ben tre volte tanto il budget richiesto)!
Se volete contribuire anche voi alla realizzazione di questo progetto potete sostenere i ragazzi di Inforge attraverso il noto portale Indiegogo.

Proseguo l’articolo per aggiornarvi di un po’ di novità personale e non, il mio lavoro nel D3Lab procede con tutta la serenità e soddisfazioni che mi aspettavo pubblico nel blog aziendale almeno un articolo a settimana sui Malware e Phishing quindi per chi come me é patito di Feed RSS vi consiglio di aggiungere quello del D3Lab sono certo che troverete articoli di vostro interesse.

Sempre a proposito di RSS sto continuando la realizzazione di Feed RSS per le fonti che non prevedono di default un RSS, dopo il Feed di Carola Frediani che ha già raggiunto tre aggiornamenti e viene utilizzato da un centinaio di persone questa settimana ho creato il feed del blog LeakedSource. Prossimamente realizzerò altri Feed Italiani (il CERT sarà il primo) e con Carola stiamo ragionando sui giornalisti stranieri da osservare 😉

Per chi volesse aggiungere i Feed finora realizzati li trova qui: https://rss.draghetti.it.

Per quanto riguarda BackBox rimanente sintonizzati perché arriveranno corpose novità entro questo mese, ma ancora non posso svelarvi nulla. Siamo pronti a fare un altro salta di qualità ?

A Ottobre farò un Talk al Linux Day dell’Emilia Romagna, a Bologna, il tema ancora non posso svelarmelo perché é in corso di definizione (nella mia testa :)). Dopo aver parlato con grande soddisfazione al Linux Day di Orvieto e di Imola con grande onore ho accettato di partecipare a quello dell’Emilia Romagna (altrimenti rischiavo la vita)! E poi ho un probabile Talk a novembre e forse altro sempre su Bologna ma vi terrò aggiornati.

Un ultimo appunto per Joomla Scan, entro il mese voglio aggiornarlo con il multi threading. Il progetto lo uso settimanalmente in ambito lavorativo e sono decisamente soddisfatto dei risultati ma é palesemente lento.

Bene, ora io vado su Indiegogo a donare per la campagna di Inforge, fatelo anche voi 😉 anche perché mi hanno promesso di usare BackBox Linux nei video 😛

Libero Mail

In passato ho parlato abbondantemente di diverse anomalie nella WebMail di Libero (qui per gli articoli passati) ma non era mai arrivata l’ufficialità da parte di ItaliaOnline delle mie supposizioni e neanche alcuna risposta alle domande che gli avevo posto.

In nottata è finalmente arrivata la conferma di quello che da sempre pensavo. Libero Mail ha subito un attacco e il suo Database è stato compromesso.

Ecco il comunicato:

Gentile Cliente,
come sai l’efficacia della password è fondamentale per la sicurezza della tua casella di posta. Per questo Libero ti raccomanda di modificarla frequentemente, seguendo i suggerimenti forniti nella sezione dedicata di Libero Aiuto.

Libero Mail è inoltre l’unico servizio di posta in Italia che ti consente di elevare la sicurezza della tua casella utilizzando il servizio Password Sicura, che protegge il tuo account attraverso un doppio controllo: la password della tua casella di posta e un codice di verifica sul tuo telefono. Puoi trovare tutti i dettagli a questo link.

Ti informiamo che il sistema di sicurezza di Libero ha rilevato nei giorni scorsi un attacco informatico alla propria rete, con accesso al database che custodisce, in formato criptato, le password dei servizi. Ci teniamo a farti sapere che sono state messe in atto tutte le misure tecniche atte a contrastare l’attacco, non appena ne è stata rilevata la presenza.

Inoltre, la memorizzazione delle password nel database di Libero avviene appunto in forma criptata, secondo gli standard di sicurezza più avanzati.
Per proteggere ulteriormente il tuo account, ti chiediamo di reimpostare comunque la password di accesso, tenendo conto dei suggerimenti forniti sul sito di Aiuto. Sappiamo che modificare la password può creare disagio, ma si tratta di una misura precauzionale supplementare, per garantire una ulteriore barriera di protezione.

Ti ricordiamo inoltre di aggiornare con la nuova password anche la app Libero Mail e le applicazioni di posta su pc (es Outlook, Thunderbird, ecc.).

Per ogni richiesta di chiarimenti puoi contattare il Servizio Clienti di Libero, accedendo alle pagine del sito di Libero Aiuto.

Lo Staff di Libero

 

Due giorni fa abbiamo appreso che la WebMail Russa Rambler.ru è stata violata e conservava le password degli utenti in plaintext, priva quindi di qualsiasi sistema di criptazione.

Con la speranza che Libero sfrutti un valido sistema di criptazione per conservare le password degli utenti, invito i lettori a cambiare la propria password. E ricordatevi di utilizzare una password diversa per ogni servizio.

Se vi saranno ulteriori dettagli vi terrò aggiornati.

CTF – Hands off my money

Shielder nota società per la Sicurezza Informatica è lieta di presentare, grazie alla collaborazione con Daniele Linguaglossa, la sua prima Capture The Flag intitolata “Hands off my money“, la quale è iniziata ieri Venerdì 22 Aprile 2016 ore 13:37 GMT e terminerà Venerdì 06 Maggio 2016 alle ore 13:37 GMT.

Durante questo Hacking Contest i partecipanti saranno chiamati ad attaccare un sistema informatico realizzato ad-hoc, con l’obiettivo di ricavare 3 flag presenti sul server, ottenendo sempre più privilegi sulla macchina target, il tutto seguendo un’avvincente storyline.

I 3 fortunati vincitori otterranno 3 fantastici premi:

  • Wi-Fi Pineapple TETRA Tactical Edition
  • ChamaleonMini
  • ACR122U NFC & RFID Reader & Writer + 5 Mifare 1K Cards

Partecipare è semplice e totalmente gratuito, è sufficiente registrarsi all’indirizzo ctf.shielder.it e si riceveranno tutte le informazioni necessarie.

BackBox New Site 2016Nella giornata odierna abbiamo rilasciato BackBox 4.5.1, nuova versione che non introduce alcuna novità rispetto alla precedente 4.5 rilasciata lo scorso 30 Gennaio ma risolve due importanti problemi che diversi utenti ci stavano segnalando. Il primo problema era legato all’incompatibilità con le vecchie versioni di VMWare Workstation, la macchina virtuale non si avviava a causa di due anomalie sul Kernel (primaseconda), il secondo problema era legato al download dei pacchetti di aggiornamento tramite APT durante la fase di installazione.

Potete scaricare le nuove ISO tramite i mirror ufficiali o tramite rete Torrent, trovare i link al download direttamente sul sito ufficiale del progetto. Si che abbiamo completamente rinnovato vista la fondazione dell’associazione BackBox Linux la quale progressivamente introdurrà nuovi servizi che verranno offerti al pubblico per ripagarci delle spese che abbiamo per mantenere attivo il progetto.

Infine voglio ringraziare tutte le persone che non solo ci hanno segnalato le anomalie ma anche che hanno lavorato al nostro fianco testando le diverse release beta che abbiamo prodotto per riuscire a risolvere i problemi.

Password_Monkey

Lo scorso 24 Febbraio mentre mi dirigevo al lavoro e ascoltavo come tutte le mattine Il Ruggito del Coniglio su Radio 2, un contributo telefonico mi ha veramente scioccato dall’ingenuità di un Dirigente Sanitario nel confessare di aver mandato in stallo l’intero sistema informatico dell’ospedale a causa della dimenticanza delle password e il continuo tentativo di inserire le credenziali corrette. Ma ancora più sconvolgente è la sua ammissione di aver bloccato non solo le operazione di routine ma anche le sale operatorie, il tutto ridendo al telefono con i conduttori radiofonici.

Le generalità del dirigente ospedaliero non le conosciamo, se non il suo nome Paolo e la provenienza Caserta forniti da uno dei due conduttori, potete riascoltare l’intervento del signore tramite i Podcast al minuto 25:50. Testualmente questo è quanto è stato detto da Paolo:

Dopo ferie estive scorse ad agosto, io sono un dirigente ospedaliero, ho cercato di recuperare le password di accesso a tutto il sistema che dirigeva le cose fra cui le prenotazione, le sale operatorie..alla fine niente ho bloccato tutto il sistema, ho bloccato tutto l’ospedale. Niente da fare, perché sono entrato con altre password e mi ha bloccato tutto…tutto! Ahahahahah interventi operatori rimandati, alla fine ho dovuto chiamare il tecnico da Roma per farmi sbloccare tutto.

Lascio a voi ogni conclusione, ho voluto riportare il fatto perché lo ritengo grave. Probabilmente sono state messe a rischio delle vite umane visto il blocco degli interventi, ma anche per la sfacciataggine e ingenuità di questo Paolo di andare in radio a raccontare il fatto. Spero sia stato uno scherzo radiofonico, spero!

Lettera aperta al Presidente del Consiglio dei Ministri, Matteo Renzi, sulla "Sicurezza Cibernetica Nazionale"

Lo scorso 20 Gennaio un gruppo di colleghi capitanato da Fabio Pietrosanti ha deciso di costituire un comitato informale per scrivere per scrivere una lettera aperta al
Presidente del Consiglio Renzi. Comitato nato dai recenti “rumors” riportati dalla stampa in merito alla prossima nomina del responsabile della Sicurezza Cibernetica Nazionale.

Data la delicatezza estrema di questo passaggio istituzionale, critico per la sicurezza dell’Italia e dei suoi cittadini, con questa lettera intendiamo offrire al Premier alcuni spunti di riflessione, derivanti dalla nostra esperienza nel settore.

Se ti occupi di sicurezza informatica e condividi i contenuti e gli intenti di questa lettera, sottoscrivila: darai il tuo contributo affinché questa iniziativa raggiunga i suoi obiettivi, e farai sentire anche la tua voce su un argomento di estrema importanza per il futuro di tutti.

La lettera e i firmatari sono raggiungibili all’indirizzo https://www.cybersecuritynazionale.org