Articoli che trattano principalmente di Sicurezza Informatica

aircrack-ng-new-logo

Lo scorso 10 aprile il team di AirCrack-NG ha rilasciato la seconda Release Candidate della versione 1.2 della famosa suite di cracking delle reti Wireless, in questa nuova versione vengono corretti molteplici bug ma vengono anche implementate nuove funzioni nei tools airmon-ng, airtun-ng e airodump-ng.

Per chi fosse interessato a provare la nuova versione di AirCrack-NG può effettuare il download attraverso il blog ufficiale del progetto, mentre di seguito vi lascio con il changelog integrale.

Changelog:

  • Airtun-ng: Adds WPA CCMP and TKIP decryption and CCMP encryption
  • Compilation: Added support for DUMA.
  • Makefile: Renamed ‘unstable’ to ‘experimental’.
  • Airodump-ng: Fixed XML sanitizing.
  • Airmon-ng: Airmon-zc is now stable enough to replace airmon-ng.
  • Manpages: Removed airdriver-ng manpage and references to it (forgot to do it before the previous release).
  • Manpages: Updated ‘see also’ references in all manpages.
  • PCRE: Added it in various places and docs.
  • WZCook: Fixed processing values stored in register.
  • Updated a few headers files (if_llc, ieee80211, ethernet and if_arp).
  • Travis CI: updated make parameter and add testing with pcre.
  • Compilation: de-hardcode -lpcap to allow specifying pcap libraries.
  • Makefile: Fixed installing/uninstalling Airdrop-ng documentation files.
  • Makefile: Fixed uninstalling ext_scripts.
  • Airodump-ng: Added new paths (and removed one) for OUI files and simplified logic to find the OUI file.
  • Aircrack-ng: Fixed ignoring -p when specified after -S.
  • Airmon-ng: fixes for openwrt busybox ps/grep issues which do not seem present in other versions of busybox
  • Airmon-ng: fix vm detection.
  • Airserv-ng: Fixed channel setting (and assert call).
  • Airodump-ng: Fixes to NetXML (unassociated clients missing and various other small bugs) and update the code to match current NetXML output.
  • Airodump-ng: Removed requirement for 2 packets before AP is written to output (text) files.
  • Airodump-ng: Fixed formatting of ESSID and display of WPA/WPA2 (as well as a bunch of other small fixes) in CSV file.
  • Airodump-ng: Fixed GPSd.
  • Airodump-ng: Allow to specify write interval for CSV, kismet CSV and NetXML files.
  • Airserv-ng: Fixed wrong station data displayed in Airodump-ng.
  • General: Fixed 64 bit promotion issues.
  • General: Fixed a bunch of uninitialized values and non-zeroed structures (upon allocating them).
  • General: Added Stack protection.
  • Various other small fixes and improvements.

 

BackBox_4_screenshot

L’avevo preannunciato già ieri sera su Twitter, dopo un ciclo di test in tarda serata abbiamo ufficializzato il rilascio di BackBox 4.2! In questa nuova versione abbiamo fatto un grande lavoro per correggere i bug che ci avete segnalato (Es. pannello Audio ed Energia), abbiamo aggiornato il Kernel, siamo passati da Ruby 1.x alla nuova versione 2.1.x e come sempre abbiamo aggiornato i tools dedicati all’Hacking!

Certamente BackBox 4.2 è un Minor Update ed è stato rilasciato con l’intento di correggere i bug e di migliorare le performance globali del sistema operativo, questo ci permetterà di lavorare al meglio sulla futura BackBox 5! Avere una solida base è sempre la soluzione migliore per continuare saldamente un progetto. Nelle ultime 24h mi sono pure giunte voci sull’abbandono del progetto BackBox, ma voglio pubblicamente smentire queste affermazioni; il Team quotidianamente si confronta e testa le novità da introdurre! BackBox 5 porterà indubbiamente nuovi tools e una grande varietà di novità!

Rimanete sintonizzati, non ve ne pentirete! 😉

Changelog

  • Preinstalled Linux Kernel 3.16
  • New Ubuntu 14.04.2 base
  • Ruby 2.1
  • Installer with LVM and Full Disk Encryption options
  • Handy Thunar custom actions
  • RAM wipe at shutdown/reboot
  • System improvements
  • Upstream components
  • Bug corrections
  • Performance boost
  • Improved Anonymous mode
  • Predisposition to ARM architecture (armhf Debian packages)
  • Predisposition to BackBox Cloud platform
  • New and updated hacking tools: beef-project, crunch, fang, galleta, jd-gui, metasploit-framework, pasco, pyew, rifiuti2, setoolkit, theharvester, tor, torsocks, volatility, weevely, whatweb, wpscan, xmount, yara, zaproxy

Download

Il download è possibile effettuarlo sul sito ufficiale del progetto, BackBox Download!

Upgrade

Per chi volesse effettuare un upgrade dalla precedente versione 4 o 4.1 alla nuova 4.2 dovrà seguire la seguente procedura da terminale:

$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get install -f
$ sudo apt-get install linux-image-generic-lts-utopic linux-headers-generic-lts-utopic linux-signed-image-generic-lts-utopic
$ sudo apt-get purge ri1.9.1 ruby1.9.1 ruby1.9.3 bundler
$ sudo gem cleanup
$ sudo rm -rf /var/lib/gems/1.*
$ sudo apt-get install backbox-default-settings backbox-desktop --reinstall
$ sudo apt-get install backbox-tools --reinstall
$ sudo apt-get install beef-project metasploit-framework whatweb wpscan --reinstall
$ sudo apt-get autoremove --purge

BackBox 4.1Lo scorso venerdì abbiamo rilasciato un update importante per BackBox Linux, aggiornamento che va a sostituire l’attuale versione di Ruby 1.9.3 con la versione 2.1! Abbiamo rilasciato la nuova versione di Ruby poichè è terminato il supporto della precedente versione da parte degli sviluppatori lo scorso Febbraio come annunciato sul blog ufficiale.

Buona parte degli strumenti di Penetration Testing sfrutta Ruby, come il famoso Metaploit, quindi vi consigliamo di aggiornare BackBox con il seguente comando:

$ sudo apt-get update && sudo apt-get dist-upgrade

Questo comando aggiornerà direttamente la versione di Ruby alla 2.1, ultimo ma non meno importante vi consiglio di eseguire anche il seguente comando:

$ sudo aptget autoremove

per eliminare vecchi pacchetti e librerie che non sono più usati dal sistema.

Happy Hacking!

GFI_OS_Chart

Il 18 Febbraio la GFI Software ha rilasciato una statistica che fa sicuramente discutere, e proprio per questo ho deciso di scrivere un articolo per puntualizzare ciò che non trovo corretto di questa analisi. Lo metto in chiaro fin da subito, sono di parte perché chi mi conosce sa bene che apprezzo di prodotti Apple e lavoro attivamente su Linux tanto è vero che faccio parte del team di sviluppo di BackBox Linux.

Fatta questa promessa proverò di essere il più analitico possibile, l’immagine in testata è quella diffusa dalla GFI e in tale immagine troviamo riportate in ordine crescente il numero di vulnerabilità rilevate nel ’14 per sistema operativo. La fonte dei dati è il National Vulnerability Database (NVD) e personalmente mi limiterò a giudicare solo questa immagine, nell’articolo della GFI sono riportate ulteriori statistiche sulle vulnerabilità dei software ma non mi interessa analizzarle come non voglio addentrarmi nel database del NVD per capire se i numeri riportati sono corretti o meno.

Linux e Apple raggruppati e Windows suddiviso per versioni?!

Questo è il primo dettaglio che mi è saltato all’occhio appena ho visto l’immagine, in sostanza viene fatto di ogni erba un fascio per i sistemi operativi di Apple e Linux mentre per Window no! Ma in fin dei conti vi sono centinai di versioni dell’OS X di Apple o di iOS e anche del Kernel Linux che anzi credo vinca il premio per il maggior numero di rilasci!

Così ho preso la calcolatrice alla mano è ho sommato Windows Server 2008 a Windows 8, poi a Windows Server 2012…ecc ecc fino ad ottenere la somma complessiva di 248 vulnerabilità!

Bingo, quindi Windows è al primo posto con 248 vulnerabilità! Seguito da Apple e poi da Linux!

GFI_OS_Chart_Somma_Windows

Poi se proprio vogliamo mettere i puntini sulle i dovremmo anche contare Windows XP, visto che per parte del 2014 è stato un sistema operativo supportato da Microsoft!

Linux è Open Source!

Esattamente cercare una vulnerabilità all’interno di un software Open Source è statisticamente più facile rispetto ad OS Closed Source, attenzione a non interpretare male questa mia affermazione! Individuare una vulnerabilità in un sistema Open Source è indubbiamente più facile, ma ciò non toglie che non vi son statistiche che dimostrano che un sistema Open sia più vulnerabile di un sistema Closed! Infatti nel precedente punto ho dimostrato che il sistema Closed è più vulnerabile!

Kernel? Ma non si parlava di Sistemi Operativi!?!

Questa è la terza anomalia che mi è venuta in mente, la statistica vuole riportare i sistemi operativi più vulnerabili…ma il Kernel NON è un Sistema Operativo!

In computing, the kernel is a computer program that manages I/O (input/output) requests from software, and translates them into data processing instructions for the central processing unit and other electronic components of a computer. The kernel is a fundamental part of a modern computer’s operating system. {Wikipedia}

Conclusioni

Questa analisi credo sia stata eseguita in maniera fin troppo superficiale, ma a pensar male…mi viene da dire che bisognava promuovere le “finestre”

Phishing-Attack-Launched-from-Android-Market-2

La scorsa settimana i contatti tra il D3Lab e gli istituti di credito hanno permesso il recupero di un complesso sistema di gestione di una Botnet dedicata a carpire le credenziali bancarie degli utenti. Sono stato interpellato durante l’analisi di questo caso con l’incarico di analizzare ogni sfaccettatura dell’attacco, ricevuti i file è stato possibile installarli su una macchina di test che ci permettesse di esaminarne il funzionamento.

Non voglio soffermarmi oltre sugli aspetti tecnici, ma bensì su una tipologia di attacco che i malviventi attuano ai danni degli utenti Android. Trattandosi di un attacco non convenzionale credo che rispecchierà una nuova frontiera per i Phisher ed ho deciso di documentare l’accaduto per sensibilizzare l’attenzione degli utenti.

I malcapitati utenti venivano invitati tramite pagine web dedicate ad hoc o tramite l’invio di SMS ad installare una applicazione dedita alla protezione dei propri dati personali e alla criptazione di essi, ma tale applicazione realmente è stata sviluppata con l’intento di sottrarre le credenziali che gli utenti digitavano sul Browser del proprio Smartphone. Il servizio online AndroTotal ci dimostra come 4 Antivirus su 6 riportano come malevole tale applicativo.

Homepage_Phishing_Android

La precedente immagine, volutamente oscurata in alcune parti, vi riportata l’homepage del pannello online di gestione dei bots Android in cui vengono configurati alcuni servizi fondamentali per il buon esito dell’attacco. Come potrete notare è possibile impostare il servizio Jabber così che l’attaccante possa ricevere istantaneamente la notifica di avvenuta acquisizione di credenziali (username, password e token) e velocemente possa ripetere il login dal suo terminale con un codice token ancora valido. Inoltre è possibile configurare un servizio SMSc per l’invio di SMS, impostare il testo del messaggio di testo e il link per il download dell’applicazione.

Bots_Phishing_Android

L’elenco dei bots/vittime ci riporta le credenziale carpite, l’indirizzo IP, l’eMail, il numero di cellulare e il sistema operativo della vittima oltre alla data di acquisizione delle credenziali.

 

Credenziali_Phishing_Android

Infine per ogni vittima è possibile aprire un pannello dedicato dove poter leggere le credenziali e il sito internet fonte di tali dati.

Infografica-Studenti-e-Internet

Voglio andare fuori tema per 30 secondi  mostrandomi un infografica che ritengo importante perché come sapete da sempre promuovo lo studio/letture per apprendere nuove nozioni sulla Sicurezza Informatica, questa infografica dedicata agli studenti è stata creata da Docsity e rappresenta in modo chiaro l’utilizzo di Internet per studiare. Sono riportate le regioni più attive, le fasce orarie di maggior studio e infine le materie più cercate! Bhe come saprete sono uno studente anche io, studente sicuramente atipico poichè la mia fascia oraria di studio 21-23 non è rappresentata!

Libero Mail Spam

La storia si ripete, dopo il Primo e il Secondo caso del ’14, a fine Gennaio ‘2015 nuovamente sono stati sfruttati diversi indirizzi eMail di @libero.it per inviare spam!

I dettagli son sempre i medesimi, ovvero ho ricevuto eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!

Non voglio dilungarmi oltre, credo di aver già speso troppe parole per questi casi senza mai ricevere una risposta ufficiale da Libero/Wind Infostrada nonostante i miei solleciti! Rimango della mia idea che gli account sfruttati per l’invio di eMail, a destinatari a loro noti, non sono stati bucati a causa di una password debole ma è stata una vulnerabilità sul portale di Libero a garantire l’estrazione dei dati, e gli ultimi fatti sulla SQL Injection rilevata proprio nei sistemi Wind mi fa pensare di aver ancor più ragione.

Di seguito vi riepilogo tutti i casi da me rilevati:

I Casi Rilevati
Data Mittente Ultimo Contatto con il Mittente Server SMTP Paese Mittente
29/05/2014 al************[email protected] 08/07/2013 estpak.ee Estonia
29/06/2014 adri********[email protected] 24/01/2013 trjdesigns.com Biellorussia
30/06/2014 li*******[email protected] 30/09/2011 telecom.kz Kazakistan
03/07/2014 sp****ni.de**[email protected] 08/02/2010 eigbox.net Argentina
05/07/2014 m****[email protected] 05/07/2006 ccg.ua Ucraina
08/07/2014 ca****[email protected] 21/03/2014 dehostingfirma.nl Paesi Bassi
08/07/2014 al************[email protected] 08/07/2013 mailgun.org Ucraina
09/07/2014 f******[email protected] 24/10/2013 melvincruz.com Indonesia
29/11/2014 al*****[email protected] 21/05/2013 1and1.es Ucraina
29/11/2014 be**a.****[email protected] 14/05/2013 opentransfer.com Ucraina
29/11/2014 fabio.***@libero.it 29/11/2014 shaw.ca Biello Russia
30/11/2014 *.el**[email protected] 22/04/2011 alienweathermachine.com Russia
01/12/2014 ele.***@libero.it 11/07/2010 zimbra.intercom.com Indonesia
24/01/2015  pie*****[email protected] 24/01/2011  anonimoserver.com Thailandia
 24/01/2015 al*.c****[email protected] 21/03/2014 mcctelecom.es  Ucraina
 25/01/2015 all****[email protected] 04/02/2014  coxmail.com Taiwan
 26/01/2015 benv******[email protected]  –  colo-cation.com  Russia
 26/01/2015 adri********[email protected] 24/01/2013 stratoserver.net  Ecuador
 26/01/2015 ele.***@libero.it 22/04/2011  servername.com Indonesia
 26/01/2015 dav***[email protected]  15/11/2012 tottori-u.ac.jp Turchia
 27/01/2015 g.l****[email protected]  04/10/2012 bajzek.com Messico
27/01/2015 ch***@libero.it  02/09/2013 nexse.com Ucraina
 28/01/2015 *.el**[email protected] 22/04/2011 net.au Turchia

 

dos

Nei giorni scorsi ho ricevuto un comunicato stampa di Seeweb nel quale viene annunciato che durante l’ultimo anno l’azienda ha gestito più di 6500 casi di Sicurezza Informatica, più di 17 casi al giorno! Ma se credete di esservi spaventati di questo dato, voglio indicarvi anche il tasso di crescita dei casi rispetto al 2013; infatti la stessa Seeweb ha riportato che nell’anno 2013 ha gestito oltre 3000 incidenti di sicurezza informatica. Pertanto in un solo anno gli incidenti di sicurezza informatica sono cresciuti di oltre il 50%!

Specificano inoltre che gli incidenti più comuni sono stati:

  • 2675 password SMTP rubate o indovinate;
  • 1525 siti web compromessi;
  • 145 password FTP rubate.

Non ci sono state grandi novità nel tipo di incidenti rilevati, rispetto all’anno 2013 se non che nell’ultimo trimestre del 2014 c’è stato un enorme aumento delle intrusioni sui siti con WordPress a causa di alcune nuove vulnerabilità dei suoi componenti.

Per il 2015 le previsioni dicono che il numero di attacchi informatici in grado di mettere a repentaglio la sicurezza delle informazioni potrebbe crescere ancora. Le tecniche di attacco sono sempre più sofisticate, al punto da mettere a rischio anche gli standard che da sempre sono sinonimo di affidabilità, come ad esempio i certificati SSL.

“Ognuno ha il suo lavoro ed il cliente dovrebbe concentrarsi solamente sul suo. Ci sono problematiche che potrebbero insorgere, ed un team composto da tecnici specializzati in diversi settori, che garantiscono sicurezza al cliente, sarebbe l’ideale”, afferma Luca Ercoli, esperto Ethical Hacker Seeweb.

Per chi volesse leggere il comunicato stampa ufficiale riporto il PDF integrale.

BackBox 4.1

Oggi è giornata di festeggiamenti e come vi avevo preannunciato BackBox 4.1 è finalmente disponibile al grande pubblico 😉 abbiamo fatto un grande lavoro per poter ottimizzare al meglio questa nuova versione correggendo tanti piccoli errori della precedente versione 4.0. Una grande novità è volta alla virtualizzazione, caricando BackBox in live-mode troverete già disponibili e avviati i servizi open-vm-tools e open-vm-tools-desktop per rendere ottima l’esperienza di virtualizzazione, sarà infatti possibile copiare ed incollare testo tra la macchina fisica e virtuale, adattare lo schermo con la risoluzione che più si preferisce ed avere il supporto completo del networking. Sono stati inoltre aggiornati tutti i software preinstalli in BackBox, tra i quali Wifite che presentava diversi problemi durante il cracking di una rete WEP, i problemi sono stati corretti dallo sviluppatore Brian Pow grazie al nostro supporto.

Potete effettuare il download di BackBox sul sito internet ufficiale, per chi avesse necessità di ulteriori informazioni o di supporto vi ricordo che è disponibile una WiKi e un ottimo Forum!

Per migrare da BackBox 4.0 a 4.1 basta lanciare i seguenti comandi, se invece avete ancora una versione di BackBox precedente alla 4 vi invitiamo a fare una installazione ex-nova:

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install -f
sudo apt-get install backbox-default-settings backbox-desktop –reinstall
sudo apt-get install backbox-tools –reinstall
sudo apt-get autoremove –purge

Vi lascio con il changelog integrale, buon download!

What’s new

Preinstalled Linux Kernel 3.13
New Ubuntu 14.04.1 base
Installer with LVM and Full Disk Encryption options
Handy Thunar custom actions
RAM wipe at shutdown/reboot
System improvements
Upstream components
Bug corrections
Performance boost
Improved Anonymous mode
Predisposition to ARM architecture (armhf Debian packages)
Predisposition to BackBox Cloud platform
New and updated hacking tools

System requirements

32-bit or 64-bit processor
512 MB of system memory (RAM)
6 GB of disk space for installation
Graphics card capable of 800×600 resolution
DVD-ROM drive or USB port (2 GB)