Articoli che trattano principalmente di Sicurezza Informatica

BackBox_4_screenshot

Martedì 26 Gennaio abbiamo rilasciato la versione 4.5 di BackBox Linux, questo aggiornamento minore permette a tutti gli utenti che scaricano la ISO di avere sempre a disposizione in modalità live le ultime versioni dei principali software dedicati al Penetration Testing.

Novità

Nella versione 4.5 di BackBox sono stati aggiornati i seguenti tools: wpscan, knockpy, nmap, zaproxy, set, guymanager, sqlmap, apktool, hashcat, can-utils, binwalk e openvas che ora è raggiungibile attraverso la porta 4000. Phishing-frenzy è invece un nuovo software disponibili nei repository ufficiali, ma non installato di default.

Purtroppo a causa del poco tempo non sono riuscito a pachettizzare comix, che comunque arriverà a breve assieme all’aggiornamento di dir3arch che è in corso in queste ore.

Download

Il download è possibile eseguirlo attraverso il sito ufficiale di BackBox, oltre ai due soliti Mirror HTTP (il GARR e il server di OverSecurity). Inoltre è possibile sfruttare un nuovo server Torrent con connettività di upload pari a 200Mb/s appositamente pensato per condividere le ISO di BB.

HetZener_Server_Speed

Upgrade

Per chi infine pensa di effettuare un upgrade dalla sua attuale versione alla nuova 4.5, può eseguire da terminale i seguenti comandi:

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install -f

# For amd64
sudo apt-get install linux-headers-generic-lts-wily linux-image-generic-lts-wily linux-signed-generic-lts-wily linux-signed-image-generic-lts-wily

# For i386
sudo apt-get install linux-headers-generic-lts-wily linux-image-generic-lts-wily linux-signed-generic-lts-wily linux-signed-image-generic-lts-wily

sudo apt-get purge ri1.9.1 ruby1.9.1 ruby1.9.3 bundler
sudo gem cleanup
sudo rm -rf /var/lib/gems/1.*
sudo apt-get install backbox-default-settings backbox-desktop backbox-menu backbox-tools –reinstall
sudo apt-get install beef-project metasploit-framework whatweb wpscan setoolkit –reinstall
sudo apt-get autoremove –purge
sudo apt-get install openvas sqlite3
sudo openvas-launch sync
sudo openvas-launch start
sudo update-rc.d apache2 disable
sudo update-rc.d polipo disable
sudo update-rc.d openvas-gsa disable
sudo update-rc.d openvas-manager disable
sudo update-rc.d openvas-scanner disable

 

 

Schermata 2016-01-09 alle 09.38.02

Durante l’Epifania ho ripristinato il mio iPad Mini (con la speranza vana di migliorarne le prestazione, dovrò passare al nuovo modello) che quotidianamente uso al lavoro per sfruttare due applicazioni che mi vengono fornite dal colosso internazionale di telefonia e distribuite tramite Wireless AdHoc Distribution, ovvero non sono presenti nell’Apple Store.

Una di queste due applicazioni non può essere utilizzata dopo il ripristino poiché il sistema monitora eventuali re-installazioni, la procedura interna prevede pertanto che l’utilizzatore (io) contatti il Call Center dedicato e comunichi che vuole reinstallare l’applicazione nello stesso o in un nuovo device. Se non si segue tale procedura appare l’errore sottostante.

IMG_0003

Questo è dovuto al fatto che ad ogni nuova installazione l’applicazione genera un tabletid univoco, id che verrà conservato nei database centralizzati e se eseguendo il login con le corrette credenziali il sistema non riconosce anche il Device ID precedentemente associato rigetta l’autenticazione. All’interno dell’applicazione vi sono memorizzate anagrafiche di diversi milioni di clienti ed è quindi un buona procedura per limitare accessi indesiderati.

Buona procedura che però non è stata implementata correttamente a livello tecnico, la comunicazione tra applicativo e server avviene esclusivamente sul canale cifrato SSL. Peccato che il canale sia garantito da un certificato Self Signed e l’applicazione non è stata sviluppata per analizzare e confermare il certificato del server di autenticazione, pertanto potremmo passarli qualsiasi certificato che continuerà ad eseguire le sue procedure a patto di conservare una connessione HTTPS.

Questa è l’ennesima dimostrazione che una comunicazione HTTPS basata su certificati Self Signed se non opportunamente implementata è medesima ad una comunicazione HTTP in chiaro.

L’applicazione è stata sviluppata, almeno dalle evidenze che ho ottenuto analizzando il traffico, dalla famosissima multinazionale di consulenze con sede a Chicago. Se lo sviluppatore voleva correttamente sfruttare un certificato SSL Self Signed, anziché aumentare i costi con l’acquisto di una certificato convalidato da terzi, doveva memorizzare all’interno dell’applicazione il certificato pubblico del server e confrontarlo ad ogni connessione, se il certificato è diverso da quello conosciuto rigettare la connessione. Invece viene accettato qualsiasi certificato, pertanto attraverso un Proxy Software (es. OWSAP Zed Attack Proxy) è possibile intercettare le comunicazioni tra il server e l’applicazione e modificare le stringhe di autenticazione.

Ho quindi eseguito un test sfruttando il mio iPad Mini e un iPad Air riuscendo ad installare e ad eseguire la medesima applicazione su due dispositivi, replicando il tabletid dell’iPad Mini sull’iPad Air. Dall’immagine di apertura potete vedere che il tabletid viene passato nell’header della comunicazione, di seguito la medesima applicazione attiva su due device distinti contemporaneamente.

IMG_8903

L’uso non appropriato del certificato SSL mette a rischio pericolo anche tutte le comunicazioni tra applicativo e server, non è solo possibile vedere in chiaro le credenziali di autenticazione ma anche l’archivio dei clienti e ipotizzando di sfruttare un Fake Access Point durante una riunione/meeting aziendale potrei ottenere le credenziali di diversi colleghi senza che loro si accorgano di nulla.

The Neo Good Twitter 1

Lunedì 19 Ottobre l’utente @theneogod ha annunciato su Twitter che lui e la sua Crew hanno sottratto attraverso il dump di un dabatase 100 mila carte di credito di utenti Italiani, poche ore dopo un nuovo Tweet annunciava la disponibilità del pacchetto da scaricare attraverso Mega.nz! Il download è protetto da una password resa disponibile solo stamattina, pubblicata sempre tramite il social network. Per chi fosse interessato al download dovrà usare la seguente password: !juiKuTcwzN4sTGG6jdXsLdVFmjRAaKvGfz7EnLErz5k

The Neo God Tweet 2

 

Assieme a Denis Frati del D3Lab ho condotto un’attenta analisi dei database per confermare o meno l’autenticità dei dati, il D3Lab effettua operazioni di contrasto al Phishing e di recupero delle carte di credito sottratte a diversi istituti di credito nostrani per arginare il sempre più crescente fenomeno delle truffe di Ingegneria Sociale basate sul Phishing. Nell’anno incorso, spiega Denis, stimiamo il recupero di circa 7mila carte di credito di utenti caduti nella trappola di Phisher, recuperando le carte di credito in tempi brevi permettiamo all’istituto di credito di bloccare la carta in maniera preventiva e l’utente finale sarà contento di non vedere il proprio plafond azzerato.

Analisi Archivio

L’archivio scaricato da Mega.nz ha le seguenti caratteristiche:

  • Nome file: 53030_db.zip
  • Dimensione: 4,2MB
  • Hash Sha256: 4C4B0E2399F6C91BB6C22B44FA182CEF1902573DF481985E7C5DC0886E5C127A
  • Hash Sha1: 85B1DD39475834C6ED3DDEF384A08AC21CFE8781
  • Hash MD5: 16249270459F2F4A8D1248232EA2F939

L’archivio contiene tre file:

  • readme.txt, creato il 19 Ottobre 2015 alle 14:49
  • 53031_db.sql, creato il 19 Ottobre 2015 alle 13:28
  • 53030_db.sql, creato il 19 Ottobre 2015 alle 12:00

Il file readme.txt specifica che i due database contengono ciascuno 50.000 conti italiani di Visa/Mastercad, per un totale di 100.000 classificati in tabelle:

  • indirizzo_mail
  • password
  • data_scadenza
  • tipocarta
  • ccnumber
  • CVV2
  • telefono
  • browseruseragent

Infine consigliano di utilizzare un Proxy e di non farsi recapitare a casa gli eventuali acquisti.

Analisi dei Database

Aprendo i due database in formato .sql salta subito all’occhio la dichiarazione CREATE TABLE in formato SQL:

CREATE TABLE `53031_db` (
`indirizzo_mail` varchar(100) NOT NULL,
`password` varchar(25) NOT NULL,
`data_scadenza` varchar(10) NOT NULL,
`tipocarta` varchar(10) NOT NULL,
`ccnumber` varchar(16) NOT NULL,
`CVV2` varchar(3) NOT NULL,
`telefono` tinytext NOT NULL,
`browseruseragent` varchar(255) NOT NULL
);

le righe successive invece contengo la dichiarazione INSERT TO seguita dai dati delle “vittime”, ecco un breve estratto:

insert into 53031_db values(‘[email protected]’,’sohRae9ae’,’1/2016′,’Visa’,’4532416359404396′,’872′,’0374 5404526′,’Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36′);
insert into 53031_db values(‘[email protected]’,’Choo6noon’,’2/2019′,’MasterCard’,’5150464089044049′,’994′,’0398 2738251′,’Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36′);
insert into 53031_db values(‘[email protected]’,’imoraed4Ai’,’1/2016′,’MasterCard’,’5532742505727399′,’864′,’0332 4429040′,’Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36′);
insert into 53031_db values(‘[email protected]’,’Aol5yaeh’,’5/2017′,’Visa’,’4716687395227086′,’493′,’0367 5691515′,’Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/600.8.9 (KHTML, like Gecko) Version/7.1.8 Safari/537.85.17′);
insert into 53031_db values(‘[email protected]’,’cheepieNg3′,’12/2018′,’MasterCard’,’5472781920701052′,’593′,’0352 7178140′,’Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36′);

Gli indirizzi eMail li ho volutamente oscurati parzialmente introducendo le doppie X alla fine del nome e del cognome.

eMail e NickName

Ad un primo sguardo ci accorgiamo subito di un’anomalia, le eMail sembrano create da uno script automatico. Deduciamo questa ipotesi dai seguenti fattori:

  • Tutte le eMail contengono nomi propri di persona e cognomi Italiani;
  • Non vi è alcuna eMail con un NickName (es. papero23, pluto85, kikka78, ecc);
  • Le iniziali dei Nomi e dei Cognomi sono rigorosamente in maiuscolo, in tutti i cento mila records.

Analizzando questi tre punti abbiamo iniziato a storcere il naso e a credere che i dati non siano proprio così reali, ma non ci siamo fermati volevamo essere sicuri della nostra ipotesi.

Abbiamo quindi estratto i provider eMail contenuti nel dump, scoprendo:

  • 1 eMail di: agenzialillo.com
  • 1 eMail di: calzaturerossi.it
  • 1 eMail di: cmsit.com
  • 1 eMail di: deboraprofumi.it
  • 10013 eMail di: fastweb.it
  • 24974 eMail di: gmail.com
  • 9959 eMail di: hotmail.com
  • 5055 eMail di: hotmail.it
  • 1 eMail di: impresaedilecassari.it
  • 10011 eMail di: libero.it
  • 9933 eMail di: live.it
  • 10045 eMail di: outlook.com
  • 9905 eMail di: vodafone.it
  • 10100 eMail di: yhaoo.com

Prima di tutto parliamo dei grandi assenti, è un dump Italiano è difficilmente ci immaginiamo che tra 100mila utenti non ve ne sia almeno uno con una eMail di @virgilio.it o @tiscali.it o la più gettonata @alice.it.

Poi ci casca l’occhio su @yhaoo.com (non lo abbiamo scritto male, nel database ci sono 10100 eMail @yhaoo.com e non @yahoo.com), crediamo fin da subito che ci sia stato un errore di digitazione in fase di generazione dei dati ma per sicurezza simuliamo la creazione di una nuova eMail sul portale di Yahoo.

Registrazione eMail Yahoo

Il sito di Yahoo ci conferma che non è possibile creare una eMail gratuita con il dominio @yhaoo.com, anche simulando la creazione in un’altra lingua diversa dall’Italiana.

Per ultimo voliamo analizzare i 5 domini privati che risultano nel dump con una sola eMail per dominio, “casualmente” i domini risultano disponibili alla registrazione.

Ma giusto per essere stra sicuri che queste eMail siano state generate casualmente decidiamo di scrivere a 10 eMail, per capire se ci ritorna indietro il classico messaggio di User Unknown oppure il recapito va a buon fine. Abbiamo quindi estrapolato casualmente 10 indirizzi dal database e 8 eMail non sono state recapitate per inesistenza dell’account.

Già dall’eMail potevamo dedurre che questo dump non è veritiero, ma abbiamo proseguito.

Password

Un dump che si rispetti deve contenere le password degli utenti, meglio ancora se sono in chiaro proprio come in questo caso. Ma qualcosa non torna…con un semplice grep da linea di comando non abbiamo trovato alcuna password debole/semplice:

  • 0 – password
  • 0 – 123456
  • 0 – 111111
  • 0 – qwerty
  • 0 – 000000
  • 0 – 987654

Che 100mila utenti siano diventati così diligenti da usare password non deboli/semplici ci sembra un miracolo, avranno usato allora nomi comuni? No, il successivo test che abbiamo intrapreso è stato quello di utilizzare un dizionario di parole Italiane più comuni e con grande sorpresa non ne abbiamo trovata nessuna nel campo password. Sì avete capito, non c’è alcuna password che contiene una delle seguenti parole: Andrea, Casa, Anna, Lavoro, Francesca, Denis, Palestra, ecc ecc nessuna!

Infine tutte le password contengono una lettera Maiuscola e un Numero! 100mila utenti un po’ troppo diligenti…

Carte di Credito

In prima battuta abbiamo notato un dettaglio importante, su 100mila carte di credito NESSUNA risulta scaduta! Un archivio così aggiornato, se reale, può solo provenire da un database bancario poiché qualsiasi sito online di eCommerce o sevizi vari avrà in memoria carte di credito scadute di utenti che non comprano beni o servizi da parecchio tempo.

Il passo successivo è stato quello di identificare gli istituti di credito attraverso il BIN (Bank Identification Number) e le prime 6 cifre del PAN (Primary Account Number), ma nel 99% dei casi non siamo riusciti ad associare le carte di credito ad un istituto ben preciso. Abbiamo quindi confrontato i dati delle carte di credito in questione con le carte di credito che il D3Lab ha recuperato in operazioni anti Phishing, ottenendo il seguente grafico.

D3Lab Recupero Carte di Credito

Il grafico evidenzia una eccessiva discrepanza dei dati relativi agli istituti emittenti delle carte dei due campioni.

Ma non ci siamo voluti fermare, abbiamo contattato due nostri partner per effettuare una verifica sui codici PAN delle carte di credito elencate. I numeri delle carte di credito PAN, spiega Denis, sono formalmente validi, rispettano quindi l’algoritmo di Luhn, tuttavia due nostri partner ci hanno confermato che le carte a loro riconducibili attraverso il BIN sono risultate inesistenti.

Numeri Telefono

Per finire abbiamo analizzato i numeri di telefono riportati, in primis non è riportato all’interno del database neanche un numero di cellulare ma soprattutto tutti i numeri fissi appartengo a prefissi telefonici inesistenti.

Conclusioni

Visti tutti i precedenti punti siamo fortemente convinti che questo dump di 100.000 carte di credito sia finto e creato ad-hoc con uno script automatico, non vi è stata alcuna sottrazione di dati reali!

Perché hanno voluto far credere di avere così tante carte di credito? A chi volevano far paura? Cosa si nasconde dietro a questo dump e al profilo di The Neo God con più di 100mila follower?

Queste sono le domande che mi sto facendo da qualche ora e onestamente non riesco a darmi una spiegazione di questa grossa operazione mediatica…falsa!

Ancor prima di pubblicare l’articolo The Neo God ha iniziato a seguirmi su Twitter, sono uno dei pochi fortunati (154 Following su 100.960 Follower)…sarà un caso?! 😀

Schermata 2015-10-20 alle 23.27.09

BackBox_4.4_Automotive_Analysis

C’era una volta un blogger che postava i suoi articoli ogni 2 giorni, ora lo stesso blogger è passato a due mesi, scusatemi ragazzi! Onestamente un po’ mi vergogno nel vedere il Blog abbandonato per 2 mesi interi, non vi ho neanche dato l’annuncio del rilascio di BackBox 4.3 lo scorso Agosto! 🙁

Oggi voglio parlavi di BackBox 4.4, in questa nuova versione della distribuzione di Penetration Testing abbiamo lavorato per implementarvi nuovi tools. Parto subito dalla nuova sezione Automotive Analysis, l’utilizzo dell’interfaccia OBD (On Board Diagnostic) per controllare le centraline delle nostre autovetture è sempre più frequente ed abbiamo quindi pensato di predisporre BackBox con diversi tools per controllare la centralina della vostra auto. Nel mese di novembre conto di scrivere un articolo su quale interfaccia OBD sfruttare al meglio, sto personalmente valutando 2/3 interfacce USB (quelle Bluetooth per adesso le ho scartate) compatibili con Linux. Per chi non conosce affatto questo mondo credo che partire con un interfaccia OBD sicuramente funzionante e testata sia la soluzione migliore.

In secondo luogo ho il piacere di annunciarvi che BackBox ha avviato una stretta collaborazione, grazie a Stefan, con lo sviluppatore Mohammad Razavi di OpenVAS! OpenVAS che troverete da ora preinstallato su BackBox, nella versione Live avete a disposizione il Database aggiornato al 10 Ottobre 2015 se invece procedere all’installazione locale vi consigliamo di aggiornare manualmente il database di OpenVAS così da poter caricare le ultime vulnerabilità.

Abbiamo infine aggiornato tutti i tools di Penetration Testing e corretti alcuni bug.

Non vi resta allora che effettuare il Download, magari seguito da una piccola donazione!

 

MySql_Root_1v2

In queste ultime settimane una storica editoria Italiana che vanta un fatturato di oltre 500 milioni di euro nel 2014, fonte Wikipedia, ha pubblicato sull’Apple Store e Play Store una nuova applicazione per leggere un celebre fumetto.

Purtroppo la prima versione di questa App sta ricevendo notevoli commenti negativi nei rispettivi store, le criticità riportate sono basate sulla lentezza nell’ottenere i contenuti e sui continui crash durante la lettura del fumetto.

Ricerca

quickstart-zap

A fini di ricerca ho voluto visualizzare il traffico generato dall’Applicazione installata sul mio iPad Mini, ho così provveduto ad aprire BackBox Linux e il software preinstallato ZAP Proxy, proprio come feci tempo indietro rilevando che era possibile leggere più di 20 Quotidiani o Riviste gratuitamente scavalcando il sistema di pagamento.

Directory Listing

L’analisi del traffico attraverso il Proxy Server è durata veramente poco, l’applicazione attraverso uno script PHP autentica l’utente attraverso una richiesta POST in chiaro e ne consegue che l’utente viene autorizzato o meno allo scaricamento dei fumetti. Se non è autorizzato viene invitato ad acquistare il fumetto.

Se l’utente è autorizzato inizia il download del PDF contente le nuove e avvincenti storie del xxxxxx più famoso della storia 😀

Con una semplice analisi del traffico scopro già le prime lacune in termini di sicurezza informatica:

  • Assenza del protocollo SSL per l’invio delle credenziali dell’utente;
  • Invio delle credenziali in chiaro (es. username=andrea.d&password=nonteladico);
  • Server pubblico senza la ben che minima protezione agli accessi;
  • È possibile ottenere illecitamente il fumetto conoscendo la path del file PDF, poiché ad esso non è associato alcun meccanismo di autenticazione.

Nuovamente quindi è possibile leggere il fumetto eludendo il meccanismo di pagamento, con un grosso danno economico alla casa editoriale. È un punto importante e molto critico che favorisce la pirateria ai danni della società, ho già parlato di questi aspetti in passato ed ora non voglio soffermarmi ulteriormente anche perché sono un loro fedele cliente da oltre 20anni e continuerò ad esserlo.

Il secondo dettaglio che mi è saltato all’occhio aprendo il PDF nel mio Browser Firefox è che il server permette il Directory Listing son quindi riuscito a vedere i vecchi e nuovi numeri che usciranno nelle prossime settimane! :O

Vi ricordate il danno di immagine della Sony quando vennero trafugate in anteprima delle pellicole cinematografiche?! Bene e se iniziassi a distribuire i futuri numeri del fumetto prima della loro uscita ufficiale, di quanto diminuirebbero le vendite lecite?

Credenziali di Root

Ho continuato la mia navigazione, lecita, all’interno del server scoprendo uno script in python e un file di configurazione XML che contengono le credenziali del server MySQL, credenziali che riportano come nome utente “root ed è quindi possibile dedurre che le credenziali SSH e MySQL coincidano non essendo presente un utente specifico per MySQL.

Mi sono cadute le braccia, un utente malintenzionato potrebbe quindi accedere con i massimi poteri sul server e “giocarci” a proprio piacimento!

Nessuno Conosce l’URL

Riflettendo sul caso mi è venuto in mente un recente articolo di Paolo, nel quale parla di un Penetration Testing andato a buon fine e delle scusanti che l’Acccount Manager gli ha riportato.

Il server web in questione non ha alcun dominio associato, quindi l’Applicazione accede direttamente all’IP del Server di produzione. Server che probabilmente ha il solo compito di autenticare gli utenti e distribuire i file PDF!

La casa editoriale o lo sviluppatore potrebbe rispondermi “Non vi è alcun riferimento a quel server sul nostro sito Web, perché preoccuparsene!?” la risposta è facile! Quel server è su INTERNET e accessibile a TUTTI, non è stato implementato alcun sistema di autenticazione e non vi è neanche un briciolo di buona volontà nel renderlo sicuro! Ne riparleremo quando Google scansionerà il contenuto del server e le credenziali saranno alla mercé del più infimo lamer che userà il server per diffondere Phishing, Malware, ecc ecc!

 

 

Heartbleed

Gianni Amato ha pubblicato lo scorso 10 giugno un articolo in cui evidenzia un attacco Malware su base webinject ai danni di tre istituti di credito Italiani, vista la coincidenza dei tre istituti con un precedente caso che ho analizzato lo scorso Febbraio ho voluto approfondire nuovamente la vicenda.

Seguendo le tracce del Botmaster e il codice JS pubblicato da Gianni ho capito quanto fosse ben strutturata l’organizzazione criminale alle spalle di questo nuovo caso, gli istituti di credito coinvolti non sono solo Italiani ma sono coinvolti gli istituti dei principali continenti sviluppati. Il botmaster sfrutta diverse tecniche per oscurare il pannello di controllo online e si appoggia a diversi server per rimbalzare i dati provenienti dai bot.

SSL Trusted

Schermata 2015-06-13 alle 12.22.37La raffinatezza del Botmaster la possiamo cogliere già da questa prima immagine, il dominio che viene sfruttato per diffondere il malware e per raccogliere i dati sottratti sfrutta il protocollo SSL con un certificato valido! Il certificato SSL rilasciato da GeoTrust permettono una comunicazione sicura dal sorgente al destinatario (end-to-end) sulla rete fornendo autenticazione, integrità dei dati e cifratura operando al di sopra del livello di trasporto.

Errore 404

Not_Found

Se avete letto l’articolo di Gianni avrete notato che il malware per sottrarre le informazioni bancarie dal portale di csebanking è proviene da questo url: http://………../sajf98wquioijhsa/scripts/csebanking.js ed è pubblicamente consultabile! Conseguentemente anche la sottocartella http://………../sajf98wquioijhsa/ deve esistere, ma invece accedendoci  appare l’errore Not Found. Impossibile? No, è un trucchetto voluto dal botmaster per confonderci le idee! La sottodirectory /sajf98wquioijhsa/ esiste realmente ma è stata creata una regola contenuta in .htaccess per consentire l’accesso alla relativa sottodirectory solo passandoli un valido parametro nella richiesta GET! Se tale parametro non viene passato verremo reindirizzati ad una fittizia pagina x.php la quale genera il layout Not Found.

Ho scoperto questa particolarità tentando di accedere casualmente a qualche pagina nella cartella principale del dominio, come potete vedere dalla precedente immagine accedendo all’indirizzo http://………../script.php mi appare l’errore No Found ma vengono anche fornite le informazioni sul server “Apache/2.2.15 (CentOS) Server at…..” mentre accedendo alla sottodirectory sajf98wquioijhsa/ questa informazioni non appaiono. La pagina Not Found di Apache è solitamente standard per tutto il dominio/server e salvo personalizzazioni contiene anche le informazioni sulla versione di Apache. Notando questa diversità ho voluto indagare scoprendo quanto precedentemente detto.

Gate

In questo screenshot ho voluto farvi un esempio pratico della mia precedente teoria, accedendo normalmente alla pagine http://………../sajf98wquioijhsa/gate visualizziamo l’errore 404 Not Found, se invece alla richiesta GET gli aggiungo uno o più paramenti (es. ?x=yzv&q=werty) correttamente validati dalle regole di .htaccess visualizzo la pagina e la relativa risposta come potete vedere dallo screenshot. In questo caso il sistema ci conferma di aver ricevuto correttamente le credenziali sottratte alla vittima.

Gate_IndexModificando i parametri che vengono convalidati dalle regole di .htaccess sono riuscito ad ottenere una porzione della pagina di index, dove probabilmente vengono memorizzate le credenziali sottratte o reportizzati i bot attivi. Non avendo i pieni diritti di accesso, ovvero non conoscendo le credenziali, la visualizzazione dei dati è limitata alla sola struttura del pannello di controllo.

Secondo Server

BootMaster Panel

Successivamente ho scoperto che il primo server utilizzato dal Botmaster è vulnerabile, sfruttando quindi il data leak ho individuato un secondo server in uso. Questo secondo server riceve i dati dal primo, a tale server non è associato alcun dominio internet secondo il database di Domaintools probabilmente per mantenere il più possibile nascosto tale server.

Istituti di Credito Coinvolti (e non solo)

Attraverso il leak di memoria estratto dalla vulnerabilità ho potuto, in una analisi durata poco più di 2h, recuperare un’importante lista degli istituti di credito coinvolti in questa operazione. Il botmaster è in grado di sottrarre informazioni dei seguenti istituti, e non solo:

  1. https://www.nwolb.com
  2. https://bankingportal.sparkasse-essen.de/
  3. http://www.co-operativebank.co.uk/
  4. https://www.csebanking.it
  5. https://banking.credem.it
  6. https://www.chebanca.it
  7. https://banking.postbank.de
  8. https://www.rbsdigital.com
  9. https://finanzportal.fiducia.de/
  10. http://www.assist.ru/index.html
  11. https://www.fineco.it/
  12. https://www.citibank.ru
  13. https://www.paypal.com/
  14. https://www.usbank.com/
  15. http://libertyreserve.com
  16. http://www.mbna.co.uk/
  17. http://www.ebay.com
  18. http://www.ebay.fr
  19. http://www.poste.it
  20. http://wachovia.com
  21. http://www.ybonline.co.uk/
  22. http://www.banquepopulaire.fr
  23. https://www.cmb.fr
  24. http://www.credit-agricole.fr/
  25. https://www.labanquepostale.fr/
  26. https://www.secure.bnpparibas.net/
  27. https://www.ing.nl
  28. https://www.discover.com/
  29. https://www.credit-du-nord.fr/
  30. https://www.caisse-epargne.fr
  31. https://www.exabanque.net
  32. https://www.norisbank.de/
  33. https://bankofamerica.com
  34. https://www.chase.com/
  35. https://www.koodomobile.com/
  36. http://www.scotiabank.com
  37. http://www.bancopopular.es
  38. https://www.creval.it
  39. http://www.mybusinessbank.co.uk
  40. http://www.intesasanpaolo.com/

Come avrete notato in questa lista vi sono prevalentemente Istituti di Credito ma anche altri servizi come PayPal, Liberty Reserve che era moneta elettronica ora posta sotto sequestro ed eBay. La lista è bella numerosa e probabilmente con analisi sul target di 24h avrei estrapolato altri target.

Conclusione

La cronaca di questi ultimi dieci giorni ci ha dimostrato quanto è proficua l’attiva di un Phisher o di un Botmaster, in un breve tempo sono riusciti a trafugare 6 milioni di euro. L’indagine ha portato a un raid multiplo in 58 diversi luoghi d’Europa, dove i criminali informatici operavano per effettuare soprattutto attacchi di tipo phishing, ottenendo così i dati d’accesso dagli stessi proprietari degli account per poi trafugare i soldi dalle banche.

Questi avvenimenti ci insegnano sempre più che l’utente finale deve imparare a navigare su internet e a proteggersi da queste minacce molto proficue, bisogna inoltre intensificare i controlli da parte delle istituzioni per fermare questi criminali.

Volutamente ho evitato di scrivere dettagli e passaggi tecnici che mi hanno permesso di estrarre l’elenco degli istituiti, meglio non dare troppi vantaggi al Botmaster! 😉

Wordpress Logo

Nelle ultime due settimane abbiamo visto nella cronaca della Sicurezza Informatica il nome di WordPress per ben due volte, infatti come ha riportato Paolo sul suo blog le ultime versioni di WordPress contenevano una vulnerabilità di tipo XSS Stored (è definita stored una vulnerabilità che viene memorizzata/salvata nel filesystem o nel database della vittima, in questo caso nel database). WordPress è corsa ai ripari aggiornando la sua piattaforma di Blogging con la versione 4.2.1 ma ieri è corsa nuovamente ai riparti rilasciando la versione 4.2.2 poiché sono state trovate altre vulnerabilità XSS come ha riportato The Hacker News.

La vulnerabilità di tipo XSS Stored è stata scoperta da Jouko Pynnönen ed essendo di tipo Stored è indubbiamente la vulnerabilità di tipo XSS più pericolosa, ma non voglio soffermarmi sugli aspetti tecnici perché potete tranquillamente trovare tutti i dettagli sul blog di Jouko compreso di un ottimo video dimostrativo. Quel che mi ha stupito e vorrei condividere con voi, magari per avere un vostro parere, è la seguente dichiarazione rilasciata da Jouko:

WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014. According to our knowledge, their security response team have also refused to respond to the Finnish communications regulatory authority who has tried to coordinate resolving the issues we have reported, and to staff of HackerOne, which has tried to clarify the status our open bug tickets.

Il ricercatore avrebbe tentato di comunicare a WordPress la vulnerabilità a Novembre 2014, senza ricevere alcuna risposta Jouko ha poi chiesto al CERT e ad HackerOne di comunicare la gravità della vulnerabilità individuata ma ancora volta non è stata data nessuna risposta. Così lo scorso 26 Aprile 2015 Jouko ha deciso di rendere pubblica la vulnerabilità.

La gravità di questa vicenda è l’assenza di risposte dal Team di IT Security di WordPress per ben 6 mesi, 6 mesi!!! E sempre Paolo Perego mi fa notare che sul sito ufficiale di WP vi è riportato quanto segue:

The WordPress Security Team is made up of approximately 25 experts including lead developers and security researchers — about half are employees of Automattic (makers of WordPress.com, the earliest and largest WordPress hosting platform on the web), and a number work in the web security field. The team consults with well-known and trusted security researchers and hosting companies.

Circa 25 persone lavorano nel reparto di IT Security di WordPress, se fosse un’azienda Italiana diremmo subito che sono dei fannulloni ma è sempre meglio evitare affermazioni affrettate ma quel che è certo che è incomprensibile l’aver ignorato tale vulnerabilità e la relativa comunicazione da parte di Jouko. Capisco che non è sempre possibile individuare le vulnerabilità di un proprio progetto, anche se si è in 25, ma ignorare il lavoro svolto da una terza persone che cortesemente vi sta comunicando un’importante falla di sistema lo trovo veramente sbagliato!

Jouko avrebbe potuto rivendere la vulnerabilità in qualche Black Market vista l’insoddisfazione nel ricevere un ringraziamento ufficiale e sicuramente guadagnare un buon gruzzoletto, visto che WordPress è il primo CMS mondiale con un adozione stimata al 55%.

In sostanza, da WordPress mi aspettavo molto di più!!

aircrack-ng-new-logo

Lo scorso 10 aprile il team di AirCrack-NG ha rilasciato la seconda Release Candidate della versione 1.2 della famosa suite di cracking delle reti Wireless, in questa nuova versione vengono corretti molteplici bug ma vengono anche implementate nuove funzioni nei tools airmon-ng, airtun-ng e airodump-ng.

Per chi fosse interessato a provare la nuova versione di AirCrack-NG può effettuare il download attraverso il blog ufficiale del progetto, mentre di seguito vi lascio con il changelog integrale.

Changelog:

  • Airtun-ng: Adds WPA CCMP and TKIP decryption and CCMP encryption
  • Compilation: Added support for DUMA.
  • Makefile: Renamed ‘unstable’ to ‘experimental’.
  • Airodump-ng: Fixed XML sanitizing.
  • Airmon-ng: Airmon-zc is now stable enough to replace airmon-ng.
  • Manpages: Removed airdriver-ng manpage and references to it (forgot to do it before the previous release).
  • Manpages: Updated ‘see also’ references in all manpages.
  • PCRE: Added it in various places and docs.
  • WZCook: Fixed processing values stored in register.
  • Updated a few headers files (if_llc, ieee80211, ethernet and if_arp).
  • Travis CI: updated make parameter and add testing with pcre.
  • Compilation: de-hardcode -lpcap to allow specifying pcap libraries.
  • Makefile: Fixed installing/uninstalling Airdrop-ng documentation files.
  • Makefile: Fixed uninstalling ext_scripts.
  • Airodump-ng: Added new paths (and removed one) for OUI files and simplified logic to find the OUI file.
  • Aircrack-ng: Fixed ignoring -p when specified after -S.
  • Airmon-ng: fixes for openwrt busybox ps/grep issues which do not seem present in other versions of busybox
  • Airmon-ng: fix vm detection.
  • Airserv-ng: Fixed channel setting (and assert call).
  • Airodump-ng: Fixes to NetXML (unassociated clients missing and various other small bugs) and update the code to match current NetXML output.
  • Airodump-ng: Removed requirement for 2 packets before AP is written to output (text) files.
  • Airodump-ng: Fixed formatting of ESSID and display of WPA/WPA2 (as well as a bunch of other small fixes) in CSV file.
  • Airodump-ng: Fixed GPSd.
  • Airodump-ng: Allow to specify write interval for CSV, kismet CSV and NetXML files.
  • Airserv-ng: Fixed wrong station data displayed in Airodump-ng.
  • General: Fixed 64 bit promotion issues.
  • General: Fixed a bunch of uninitialized values and non-zeroed structures (upon allocating them).
  • General: Added Stack protection.
  • Various other small fixes and improvements.

 

BackBox_4_screenshot

L’avevo preannunciato già ieri sera su Twitter, dopo un ciclo di test in tarda serata abbiamo ufficializzato il rilascio di BackBox 4.2! In questa nuova versione abbiamo fatto un grande lavoro per correggere i bug che ci avete segnalato (Es. pannello Audio ed Energia), abbiamo aggiornato il Kernel, siamo passati da Ruby 1.x alla nuova versione 2.1.x e come sempre abbiamo aggiornato i tools dedicati all’Hacking!

Certamente BackBox 4.2 è un Minor Update ed è stato rilasciato con l’intento di correggere i bug e di migliorare le performance globali del sistema operativo, questo ci permetterà di lavorare al meglio sulla futura BackBox 5! Avere una solida base è sempre la soluzione migliore per continuare saldamente un progetto. Nelle ultime 24h mi sono pure giunte voci sull’abbandono del progetto BackBox, ma voglio pubblicamente smentire queste affermazioni; il Team quotidianamente si confronta e testa le novità da introdurre! BackBox 5 porterà indubbiamente nuovi tools e una grande varietà di novità!

Rimanete sintonizzati, non ve ne pentirete! 😉

Changelog

  • Preinstalled Linux Kernel 3.16
  • New Ubuntu 14.04.2 base
  • Ruby 2.1
  • Installer with LVM and Full Disk Encryption options
  • Handy Thunar custom actions
  • RAM wipe at shutdown/reboot
  • System improvements
  • Upstream components
  • Bug corrections
  • Performance boost
  • Improved Anonymous mode
  • Predisposition to ARM architecture (armhf Debian packages)
  • Predisposition to BackBox Cloud platform
  • New and updated hacking tools: beef-project, crunch, fang, galleta, jd-gui, metasploit-framework, pasco, pyew, rifiuti2, setoolkit, theharvester, tor, torsocks, volatility, weevely, whatweb, wpscan, xmount, yara, zaproxy

Download

Il download è possibile effettuarlo sul sito ufficiale del progetto, BackBox Download!

Upgrade

Per chi volesse effettuare un upgrade dalla precedente versione 4 o 4.1 alla nuova 4.2 dovrà seguire la seguente procedura da terminale:

$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get install -f
$ sudo apt-get install linux-image-generic-lts-utopic linux-headers-generic-lts-utopic linux-signed-image-generic-lts-utopic
$ sudo apt-get purge ri1.9.1 ruby1.9.1 ruby1.9.3 bundler
$ sudo gem cleanup
$ sudo rm -rf /var/lib/gems/1.*
$ sudo apt-get install backbox-default-settings backbox-desktop --reinstall
$ sudo apt-get install backbox-tools --reinstall
$ sudo apt-get install beef-project metasploit-framework whatweb wpscan --reinstall
$ sudo apt-get autoremove --purge

BackBox 4.1Lo scorso venerdì abbiamo rilasciato un update importante per BackBox Linux, aggiornamento che va a sostituire l’attuale versione di Ruby 1.9.3 con la versione 2.1! Abbiamo rilasciato la nuova versione di Ruby poichè è terminato il supporto della precedente versione da parte degli sviluppatori lo scorso Febbraio come annunciato sul blog ufficiale.

Buona parte degli strumenti di Penetration Testing sfrutta Ruby, come il famoso Metaploit, quindi vi consigliamo di aggiornare BackBox con il seguente comando:

$ sudo apt-get update && sudo apt-get dist-upgrade

Questo comando aggiornerà direttamente la versione di Ruby alla 2.1, ultimo ma non meno importante vi consiglio di eseguire anche il seguente comando:

$ sudo aptget autoremove

per eliminare vecchi pacchetti e librerie che non sono più usati dal sistema.

Happy Hacking!