Articoli che trattano principalmente di Sicurezza Informatica

GFI_OS_Chart

Il 18 Febbraio la GFI Software ha rilasciato una statistica che fa sicuramente discutere, e proprio per questo ho deciso di scrivere un articolo per puntualizzare ciò che non trovo corretto di questa analisi. Lo metto in chiaro fin da subito, sono di parte perché chi mi conosce sa bene che apprezzo di prodotti Apple e lavoro attivamente su Linux tanto è vero che faccio parte del team di sviluppo di BackBox Linux.

Fatta questa promessa proverò di essere il più analitico possibile, l’immagine in testata è quella diffusa dalla GFI e in tale immagine troviamo riportate in ordine crescente il numero di vulnerabilità rilevate nel ’14 per sistema operativo. La fonte dei dati è il National Vulnerability Database (NVD) e personalmente mi limiterò a giudicare solo questa immagine, nell’articolo della GFI sono riportate ulteriori statistiche sulle vulnerabilità dei software ma non mi interessa analizzarle come non voglio addentrarmi nel database del NVD per capire se i numeri riportati sono corretti o meno.

Linux e Apple raggruppati e Windows suddiviso per versioni?!

Questo è il primo dettaglio che mi è saltato all’occhio appena ho visto l’immagine, in sostanza viene fatto di ogni erba un fascio per i sistemi operativi di Apple e Linux mentre per Window no! Ma in fin dei conti vi sono centinai di versioni dell’OS X di Apple o di iOS e anche del Kernel Linux che anzi credo vinca il premio per il maggior numero di rilasci!

Così ho preso la calcolatrice alla mano è ho sommato Windows Server 2008 a Windows 8, poi a Windows Server 2012…ecc ecc fino ad ottenere la somma complessiva di 248 vulnerabilità!

Bingo, quindi Windows è al primo posto con 248 vulnerabilità! Seguito da Apple e poi da Linux!

GFI_OS_Chart_Somma_Windows

Poi se proprio vogliamo mettere i puntini sulle i dovremmo anche contare Windows XP, visto che per parte del 2014 è stato un sistema operativo supportato da Microsoft!

Linux è Open Source!

Esattamente cercare una vulnerabilità all’interno di un software Open Source è statisticamente più facile rispetto ad OS Closed Source, attenzione a non interpretare male questa mia affermazione! Individuare una vulnerabilità in un sistema Open Source è indubbiamente più facile, ma ciò non toglie che non vi son statistiche che dimostrano che un sistema Open sia più vulnerabile di un sistema Closed! Infatti nel precedente punto ho dimostrato che il sistema Closed è più vulnerabile!

Kernel? Ma non si parlava di Sistemi Operativi!?!

Questa è la terza anomalia che mi è venuta in mente, la statistica vuole riportare i sistemi operativi più vulnerabili…ma il Kernel NON è un Sistema Operativo!

In computing, the kernel is a computer program that manages I/O (input/output) requests from software, and translates them into data processing instructions for the central processing unit and other electronic components of a computer. The kernel is a fundamental part of a modern computer’s operating system. {Wikipedia}

Conclusioni

Questa analisi credo sia stata eseguita in maniera fin troppo superficiale, ma a pensar male…mi viene da dire che bisognava promuovere le “finestre”

Phishing-Attack-Launched-from-Android-Market-2

La scorsa settimana i contatti tra il D3Lab e gli istituti di credito hanno permesso il recupero di un complesso sistema di gestione di una Botnet dedicata a carpire le credenziali bancarie degli utenti. Sono stato interpellato durante l’analisi di questo caso con l’incarico di analizzare ogni sfaccettatura dell’attacco, ricevuti i file è stato possibile installarli su una macchina di test che ci permettesse di esaminarne il funzionamento.

Non voglio soffermarmi oltre sugli aspetti tecnici, ma bensì su una tipologia di attacco che i malviventi attuano ai danni degli utenti Android. Trattandosi di un attacco non convenzionale credo che rispecchierà una nuova frontiera per i Phisher ed ho deciso di documentare l’accaduto per sensibilizzare l’attenzione degli utenti.

I malcapitati utenti venivano invitati tramite pagine web dedicate ad hoc o tramite l’invio di SMS ad installare una applicazione dedita alla protezione dei propri dati personali e alla criptazione di essi, ma tale applicazione realmente è stata sviluppata con l’intento di sottrarre le credenziali che gli utenti digitavano sul Browser del proprio Smartphone. Il servizio online AndroTotal ci dimostra come 4 Antivirus su 6 riportano come malevole tale applicativo.

Homepage_Phishing_Android

La precedente immagine, volutamente oscurata in alcune parti, vi riportata l’homepage del pannello online di gestione dei bots Android in cui vengono configurati alcuni servizi fondamentali per il buon esito dell’attacco. Come potrete notare è possibile impostare il servizio Jabber così che l’attaccante possa ricevere istantaneamente la notifica di avvenuta acquisizione di credenziali (username, password e token) e velocemente possa ripetere il login dal suo terminale con un codice token ancora valido. Inoltre è possibile configurare un servizio SMSc per l’invio di SMS, impostare il testo del messaggio di testo e il link per il download dell’applicazione.

Bots_Phishing_Android

L’elenco dei bots/vittime ci riporta le credenziale carpite, l’indirizzo IP, l’eMail, il numero di cellulare e il sistema operativo della vittima oltre alla data di acquisizione delle credenziali.

 

Credenziali_Phishing_Android

Infine per ogni vittima è possibile aprire un pannello dedicato dove poter leggere le credenziali e il sito internet fonte di tali dati.

Infografica-Studenti-e-Internet

Voglio andare fuori tema per 30 secondi  mostrandomi un infografica che ritengo importante perché come sapete da sempre promuovo lo studio/letture per apprendere nuove nozioni sulla Sicurezza Informatica, questa infografica dedicata agli studenti è stata creata da Docsity e rappresenta in modo chiaro l’utilizzo di Internet per studiare. Sono riportate le regioni più attive, le fasce orarie di maggior studio e infine le materie più cercate! Bhe come saprete sono uno studente anche io, studente sicuramente atipico poichè la mia fascia oraria di studio 21-23 non è rappresentata!

Libero Mail Spam

La storia si ripete, dopo il Primo e il Secondo caso del ’14, a fine Gennaio ‘2015 nuovamente sono stati sfruttati diversi indirizzi eMail di @libero.it per inviare spam!

I dettagli son sempre i medesimi, ovvero ho ricevuto eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!

Non voglio dilungarmi oltre, credo di aver già speso troppe parole per questi casi senza mai ricevere una risposta ufficiale da Libero/Wind Infostrada nonostante i miei solleciti! Rimango della mia idea che gli account sfruttati per l’invio di eMail, a destinatari a loro noti, non sono stati bucati a causa di una password debole ma è stata una vulnerabilità sul portale di Libero a garantire l’estrazione dei dati, e gli ultimi fatti sulla SQL Injection rilevata proprio nei sistemi Wind mi fa pensare di aver ancor più ragione.

Di seguito vi riepilogo tutti i casi da me rilevati:

I Casi Rilevati
Data Mittente Ultimo Contatto con il Mittente Server SMTP Paese Mittente
29/05/2014 al************[email protected] 08/07/2013 estpak.ee Estonia
29/06/2014 adri********[email protected] 24/01/2013 trjdesigns.com Biellorussia
30/06/2014 li*******[email protected] 30/09/2011 telecom.kz Kazakistan
03/07/2014 sp****ni.de**[email protected] 08/02/2010 eigbox.net Argentina
05/07/2014 m****[email protected] 05/07/2006 ccg.ua Ucraina
08/07/2014 ca****[email protected] 21/03/2014 dehostingfirma.nl Paesi Bassi
08/07/2014 al************[email protected] 08/07/2013 mailgun.org Ucraina
09/07/2014 f******[email protected] 24/10/2013 melvincruz.com Indonesia
29/11/2014 al*****[email protected] 21/05/2013 1and1.es Ucraina
29/11/2014 be**a.****[email protected] 14/05/2013 opentransfer.com Ucraina
29/11/2014 fabio.***@libero.it 29/11/2014 shaw.ca Biello Russia
30/11/2014 *.el**[email protected] 22/04/2011 alienweathermachine.com Russia
01/12/2014 ele.***@libero.it 11/07/2010 zimbra.intercom.com Indonesia
24/01/2015  pie*****[email protected] 24/01/2011  anonimoserver.com Thailandia
 24/01/2015 al*.c****[email protected] 21/03/2014 mcctelecom.es  Ucraina
 25/01/2015 all****[email protected] 04/02/2014  coxmail.com Taiwan
 26/01/2015 benv******[email protected]  –  colo-cation.com  Russia
 26/01/2015 adri********[email protected] 24/01/2013 stratoserver.net  Ecuador
 26/01/2015 ele.***@libero.it 22/04/2011  servername.com Indonesia
 26/01/2015 dav***[email protected]  15/11/2012 tottori-u.ac.jp Turchia
 27/01/2015 g.l****[email protected]  04/10/2012 bajzek.com Messico
27/01/2015 ch***@libero.it  02/09/2013 nexse.com Ucraina
 28/01/2015 *.el**[email protected] 22/04/2011 net.au Turchia

 

dos

Nei giorni scorsi ho ricevuto un comunicato stampa di Seeweb nel quale viene annunciato che durante l’ultimo anno l’azienda ha gestito più di 6500 casi di Sicurezza Informatica, più di 17 casi al giorno! Ma se credete di esservi spaventati di questo dato, voglio indicarvi anche il tasso di crescita dei casi rispetto al 2013; infatti la stessa Seeweb ha riportato che nell’anno 2013 ha gestito oltre 3000 incidenti di sicurezza informatica. Pertanto in un solo anno gli incidenti di sicurezza informatica sono cresciuti di oltre il 50%!

Specificano inoltre che gli incidenti più comuni sono stati:

  • 2675 password SMTP rubate o indovinate;
  • 1525 siti web compromessi;
  • 145 password FTP rubate.

Non ci sono state grandi novità nel tipo di incidenti rilevati, rispetto all’anno 2013 se non che nell’ultimo trimestre del 2014 c’è stato un enorme aumento delle intrusioni sui siti con WordPress a causa di alcune nuove vulnerabilità dei suoi componenti.

Per il 2015 le previsioni dicono che il numero di attacchi informatici in grado di mettere a repentaglio la sicurezza delle informazioni potrebbe crescere ancora. Le tecniche di attacco sono sempre più sofisticate, al punto da mettere a rischio anche gli standard che da sempre sono sinonimo di affidabilità, come ad esempio i certificati SSL.

“Ognuno ha il suo lavoro ed il cliente dovrebbe concentrarsi solamente sul suo. Ci sono problematiche che potrebbero insorgere, ed un team composto da tecnici specializzati in diversi settori, che garantiscono sicurezza al cliente, sarebbe l’ideale”, afferma Luca Ercoli, esperto Ethical Hacker Seeweb.

Per chi volesse leggere il comunicato stampa ufficiale riporto il PDF integrale.

BackBox 4.1

Oggi è giornata di festeggiamenti e come vi avevo preannunciato BackBox 4.1 è finalmente disponibile al grande pubblico 😉 abbiamo fatto un grande lavoro per poter ottimizzare al meglio questa nuova versione correggendo tanti piccoli errori della precedente versione 4.0. Una grande novità è volta alla virtualizzazione, caricando BackBox in live-mode troverete già disponibili e avviati i servizi open-vm-tools e open-vm-tools-desktop per rendere ottima l’esperienza di virtualizzazione, sarà infatti possibile copiare ed incollare testo tra la macchina fisica e virtuale, adattare lo schermo con la risoluzione che più si preferisce ed avere il supporto completo del networking. Sono stati inoltre aggiornati tutti i software preinstalli in BackBox, tra i quali Wifite che presentava diversi problemi durante il cracking di una rete WEP, i problemi sono stati corretti dallo sviluppatore Brian Pow grazie al nostro supporto.

Potete effettuare il download di BackBox sul sito internet ufficiale, per chi avesse necessità di ulteriori informazioni o di supporto vi ricordo che è disponibile una WiKi e un ottimo Forum!

Per migrare da BackBox 4.0 a 4.1 basta lanciare i seguenti comandi, se invece avete ancora una versione di BackBox precedente alla 4 vi invitiamo a fare una installazione ex-nova:

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install -f
sudo apt-get install backbox-default-settings backbox-desktop –reinstall
sudo apt-get install backbox-tools –reinstall
sudo apt-get autoremove –purge

Vi lascio con il changelog integrale, buon download!

What’s new

Preinstalled Linux Kernel 3.13
New Ubuntu 14.04.1 base
Installer with LVM and Full Disk Encryption options
Handy Thunar custom actions
RAM wipe at shutdown/reboot
System improvements
Upstream components
Bug corrections
Performance boost
Improved Anonymous mode
Predisposition to ARM architecture (armhf Debian packages)
Predisposition to BackBox Cloud platform
New and updated hacking tools

System requirements

32-bit or 64-bit processor
512 MB of system memory (RAM)
6 GB of disk space for installation
Graphics card capable of 800×600 resolution
DVD-ROM drive or USB port (2 GB)

 

Schermata 2015-01-20 alle 21.41.26

Nanni Bassetti ha recentemente dimostrato attraverso un video divulgativo come si possibile montare un volume Truecrypt, utilizzando solo la master key dumpata dalla RAM, senza conoscere la password. Sarà utilizzato un Truecrypt 7.1a patchato, con la patch di Michael Weissbacher. Ambiente di test: CAINE Linux.

Il video che vi riporterò di seguito è molto esaustivo, come sempre Nanni è un ottimo relatore! Buona Visione 😉

BitTorrent_SyncBitTorrent Sync, denominato anche BtSync, è software di condivisione dei file prodotto da BitTorrent permette di sincronizzare i file tra i dispositivi in una rete locale, o tra dispositivi remoti tramite Internet con l’utilizzo di tecnologia P2P.

BitTorrent Sync sincronizza i file tramite tecnologia peer-to-peer (P2P). I dati dell’utente vengono memorizzati sul dispositivo locale anziché in un servizio di Cloud storage, pertanto, richiede almeno un dispositivo, o “nodo” per essere online e per poter sincronizzare i file. BitTorrent Sync cripta i dati con AES con chiave a 128 bit. Questa può essere generata in modo casuale o impostata dall’utente. Questa chiave è derivata da un ‘segreto’ (una stringa), che può essere condiviso con altri utenti per permettere di condividere i dati. I dati vengono inviati tra i dispositivi direttamente, a meno che il dispositivo di destinazione non sia raggiungibile (ad esempio dietro un firewall), nel qual caso i dati saranno inoltrati tramite un nodo intermediario. Molti dispositivi possono essere collegati contemporaneamente e i file saranno condivisi tra di loro in una rete Mesh.

Non c’è limite alla quantità di dati che possono essere sincronizzati, se non lo spazio libero disponibile su ogni dispositivo. {Wikipedia}

Personalmente ho iniziato ad usare BtSync in sostituzione di Rsync, RSync è un ottimo strumento per effettuare una replica monodirezionale ma nel mio caso l’intento era quello di tenere sincronizzati due NAS della QNAP in maniera biderezionale.

BtSync è distribuito ancora in versione Beta e alla stesura di questo articolo la versione disponibile è la 1.4.106, ma è già disponibile anche in versione Alpha la seconda versione. BtSync è disponibile nell’App Center ufficiale di QNAP,  ma chi usa i prodotti QNAP saprà che purtroppo i plugin di terze parti vengono aggiornati raramente. Infatti ad oggi siamo indietro di 3 aggiornamenti, considerando che il software è una Beta è assai fondamentale aggiornarlo per ottenere i fix più recenti.

Installiamo BtSync sul NAS QNAP

Il primo passaggio da eseguire è quello di collegarsi via SSH al proprio QNAP, assicuratevi di aver abilitato la connessione SSH e dal terminale o da Putty per gli utenti Windows eseguite la connessione con le credenziali che comunemente usate per accedere all’interfaccia web come amministratore

$ ssh [email protected]

Ora dobbiamo creare la Directory che ospiterà l’eseguibile di BtSync, tale directory andrà posta in /share/MD0_DATA/.qpkg:

$ cd /share/MD0_DATA/.qpkg

$ mkdir btsync && cd btsync

Adesso dobbiamo scaricare dal sito ufficiale di BitTorrent Sync l’ultima versione disponibile, fate attenzione a selezionare il pacchetto per Linux contenete le librerie GLIBC e selezionate l’architettura i386 o amd64 in base al vostro modello di NAS.

$ wget http://download.getsyncapp.com/endpoint/btsync/os/linux-glibc23-i386/track/stable -O bittorrent_sync_glibc23_i386.tar.gz

$ tar -xvf bittorrent_sync_glibc23_i386.tar.gz

Successivamente renderemo BtSync eseguibile automaticamente all’avvio del NAS, andremo quindi nella directory /share/MD0_DATA/.qpkg e creiamo una nuova cartella denominata autorun

$ cd /share/MD0_DATA/.qpkg

$ mkdir autorun && cd autorun

Il software QNAP predispone di avviare automaticamente tutti gli script contenuti nella cartella autorun andremo quindi a creare un nuovo script come segue:

$ touch autorun.sh

$ vi autorun.sh

All’interno del file autorun.sh andremo a scrivere quanto segue:

#!/bin/sh
umask 0000
/share/MD0_DATA/.qpkg/btsync/btsync –config /share/MD0_DATA/.qpkg/btsync/sync.conf –log /share/MD0_DATA/.qpkg/btsync/sync.log

Il seguente script è di facile comprensione, permette infatti di eseguire l’eseguibile di BtSync con le configurazioni contenute in sync.conf e di salvare i log in sync.log. La Umask è fondamentale citarla per avviare il software con i permessi di amministratore e quindi ottenere i corretti permessi nella scrittura/lettura dei file, altrimenti avrete problemi ad accedere o ad eliminare i file sincronizzati.

Successivamente attribuiremo i permessi esecutivi al file appena creato

$ chmod +x autorun.sh

Benissimo non ci rimane che configurare BtSync attraverso il file sync.conf e avviare BtSync attraverso lo script appena creato:

$ ./autorun.sh

Buona Sincronizzazione 😉

 

MyWind_App

Lo scorso 4 Gennaio sul sito degli Autistici il ricercatore di Sicurezza Informatica Giulio ha rilevato come l’applicazione MyWind dell’omonimo operatore di telefonia mobile sia vulnerabile ad un attacco di tipo SQL Injection. L’applicazione permette agli utenti Wind/Infostrada di vedere il proprio credito residuo, contatori, promozioni attive, visualizzare il PUK e diverse altre opzioni.

Giulio, il ricercatore, ha rilevato una vulnerabilità di tipo SQL Injection nel form per il recupero della password, nel caso un cliente l’avesse smarrita. Dato l’ambiente e il form risultato vulnerabile è facilmente deducibile che è possibile ricavare dal database informazioni confidenziali come eMail, username, password e magari anche i numeri di cellulare degli utenti se non addirittura il traffico telefonico generato.

La Full Disclosure integrale è disponibile sul sito degli Autistici dove vengono mostrati i Request e Response a dimostrazione della vulnerabilità individuata.

Il parametro vulnerabile è il numero di cellulare dell’utente, inviato tramite metodo POST ai server della Wind. Nell’esempio sottostante viene utilizzato il numero fittizio 340123456 e viene iniettato il classico and 1=1:

parameters=["340123456' and 1=1"]&adapter=MASPAdapter&__wl_deviceCtx=<stripped>&procedure=startRecuperoCredenzialiMobile&compressResponse=false&isAjaxRequest=true&x=0.6955877927697153

La risposta alla precedente richiesta dovrebbe essere negativa, avendo iniettato codice a nostro piacimento, ma con grande risposta otteniamo una risposta positiva (true):

/*-secure-
{<strong>"isSuccessful":true</strong>,"response":{"reason":"Richiesta elaborata correttamente","status":"0","datetime":"20141209205546"},"session":{"id":"","expires":"600"}}*/

Come spesso accade, anche nelle vulnerabilità da me individuate, nonostante diverse segnalazioni l’applicazione risulta ancora ad oggi vulnerabile e un attaccante potrebbe sfruttare questa falla per sottrarre informazioni private o nella peggiore delle ipotesi accedere ai sistemi Wind mediante una shell caricata attraverso SQL Injection. La vulnerabilità è stata comunicata al gruppo Wind/Infostrada il 1 Dicembre 2014 e successivamente altre quattro volte senza ottenere alcuna risposta, pertanto il ricercatore ha pubblicato lo scorso 4 Gennaio la Full Disclosure.

Come sempre mi auguro in una veloce risoluzione del problema e una valutazione più approfondita degli aspetti di Sicurezza Informatica da parte delle grandi società tecnologiche.

[AGGIORNAMENTO]

Giulio vuole precisare il suo rapporto con gli Autistici:

Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.

SeeWeb_HackingContest

Vi avevo già parlato dell’Hacking Contest che quest’anno Seeweb ha voluto organizzare per mettere alla prova il talento hacker dei giovani italiani sfidandoli con l’Hacking Contest operazione Di4m0nd.

L’Hacking Contest organizzato da Seeweb è iniziato il 1° dicembre e terminato il 14, ha dato la possibilità a centinaia di esperti di sicurezza informatica di mettere alla prova le proprie conoscenze cercando di risolvere il caso di un diamante rubato più di 20 anni fa.
Ovviamente il talento e la bravura mostrata è stata ricompensata con alcuni oggetti appetibili come smartwatch, drone e notebook.

I nomi dei tre hacker migliori sono:

  • Francesco Ongaro (Dell XPS 13);
  • Antonino Muratore (Parrot Ar. Drone 2.0 Quadricottero);
  • Daniele Martini (Motorola Moto 360 smartwatch).

A grande sorpresa, visto l’impegno e la bravura, si è deciso di dare un riconoscimento anche ad Abdel Adim Oisfi, un giovane hacker che ha mostrato una notevole vocazione nei confronti della
sicurezza informatica.

Abdel Adim Oisfi ha inoltre diffuso sul suo blog la Soluzione dell’Hacking Contest che condivido con voi 😉

Faccio i miei complimenti a SeeWeb per l’ottima iniziativa che ha avuto, personalmente ho partecipato saltuariamente visto il dicembre “impegnativo” che ho avuto, raggiungendo il secondo livello! E non vi nego che mi è venuta voglia di organizzare anche io un Hacking Contest…stay tuned!