Articoli che trattano principalmente di Sicurezza Informatica

Schermata 2015-01-20 alle 21.41.26

Nanni Bassetti ha recentemente dimostrato attraverso un video divulgativo come si possibile montare un volume Truecrypt, utilizzando solo la master key dumpata dalla RAM, senza conoscere la password. Sarà utilizzato un Truecrypt 7.1a patchato, con la patch di Michael Weissbacher. Ambiente di test: CAINE Linux.

Il video che vi riporterò di seguito è molto esaustivo, come sempre Nanni è un ottimo relatore! Buona Visione 😉

BitTorrent_SyncBitTorrent Sync, denominato anche BtSync, è software di condivisione dei file prodotto da BitTorrent permette di sincronizzare i file tra i dispositivi in una rete locale, o tra dispositivi remoti tramite Internet con l’utilizzo di tecnologia P2P.

BitTorrent Sync sincronizza i file tramite tecnologia peer-to-peer (P2P). I dati dell’utente vengono memorizzati sul dispositivo locale anziché in un servizio di Cloud storage, pertanto, richiede almeno un dispositivo, o “nodo” per essere online e per poter sincronizzare i file. BitTorrent Sync cripta i dati con AES con chiave a 128 bit. Questa può essere generata in modo casuale o impostata dall’utente. Questa chiave è derivata da un ‘segreto’ (una stringa), che può essere condiviso con altri utenti per permettere di condividere i dati. I dati vengono inviati tra i dispositivi direttamente, a meno che il dispositivo di destinazione non sia raggiungibile (ad esempio dietro un firewall), nel qual caso i dati saranno inoltrati tramite un nodo intermediario. Molti dispositivi possono essere collegati contemporaneamente e i file saranno condivisi tra di loro in una rete Mesh.

Non c’è limite alla quantità di dati che possono essere sincronizzati, se non lo spazio libero disponibile su ogni dispositivo. {Wikipedia}

Personalmente ho iniziato ad usare BtSync in sostituzione di Rsync, RSync è un ottimo strumento per effettuare una replica monodirezionale ma nel mio caso l’intento era quello di tenere sincronizzati due NAS della QNAP in maniera biderezionale.

BtSync è distribuito ancora in versione Beta e alla stesura di questo articolo la versione disponibile è la 1.4.106, ma è già disponibile anche in versione Alpha la seconda versione. BtSync è disponibile nell’App Center ufficiale di QNAP,  ma chi usa i prodotti QNAP saprà che purtroppo i plugin di terze parti vengono aggiornati raramente. Infatti ad oggi siamo indietro di 3 aggiornamenti, considerando che il software è una Beta è assai fondamentale aggiornarlo per ottenere i fix più recenti.

Installiamo BtSync sul NAS QNAP

Il primo passaggio da eseguire è quello di collegarsi via SSH al proprio QNAP, assicuratevi di aver abilitato la connessione SSH e dal terminale o da Putty per gli utenti Windows eseguite la connessione con le credenziali che comunemente usate per accedere all’interfaccia web come amministratore

$ ssh [email protected]

Ora dobbiamo creare la Directory che ospiterà l’eseguibile di BtSync, tale directory andrà posta in /share/MD0_DATA/.qpkg:

$ cd /share/MD0_DATA/.qpkg

$ mkdir btsync && cd btsync

Adesso dobbiamo scaricare dal sito ufficiale di BitTorrent Sync l’ultima versione disponibile, fate attenzione a selezionare il pacchetto per Linux contenete le librerie GLIBC e selezionate l’architettura i386 o amd64 in base al vostro modello di NAS.

$ wget http://download.getsyncapp.com/endpoint/btsync/os/linux-glibc23-i386/track/stable -O bittorrent_sync_glibc23_i386.tar.gz

$ tar -xvf bittorrent_sync_glibc23_i386.tar.gz

Successivamente renderemo BtSync eseguibile automaticamente all’avvio del NAS, andremo quindi nella directory /share/MD0_DATA/.qpkg e creiamo una nuova cartella denominata autorun

$ cd /share/MD0_DATA/.qpkg

$ mkdir autorun && cd autorun

Il software QNAP predispone di avviare automaticamente tutti gli script contenuti nella cartella autorun andremo quindi a creare un nuovo script come segue:

$ touch autorun.sh

$ vi autorun.sh

All’interno del file autorun.sh andremo a scrivere quanto segue:

#!/bin/sh
umask 0000
/share/MD0_DATA/.qpkg/btsync/btsync –config /share/MD0_DATA/.qpkg/btsync/sync.conf –log /share/MD0_DATA/.qpkg/btsync/sync.log

Il seguente script è di facile comprensione, permette infatti di eseguire l’eseguibile di BtSync con le configurazioni contenute in sync.conf e di salvare i log in sync.log. La Umask è fondamentale citarla per avviare il software con i permessi di amministratore e quindi ottenere i corretti permessi nella scrittura/lettura dei file, altrimenti avrete problemi ad accedere o ad eliminare i file sincronizzati.

Successivamente attribuiremo i permessi esecutivi al file appena creato

$ chmod +x autorun.sh

Benissimo non ci rimane che configurare BtSync attraverso il file sync.conf e avviare BtSync attraverso lo script appena creato:

$ ./autorun.sh

Buona Sincronizzazione 😉

 

MyWind_App

Lo scorso 4 Gennaio sul sito degli Autistici il ricercatore di Sicurezza Informatica Giulio ha rilevato come l’applicazione MyWind dell’omonimo operatore di telefonia mobile sia vulnerabile ad un attacco di tipo SQL Injection. L’applicazione permette agli utenti Wind/Infostrada di vedere il proprio credito residuo, contatori, promozioni attive, visualizzare il PUK e diverse altre opzioni.

Giulio, il ricercatore, ha rilevato una vulnerabilità di tipo SQL Injection nel form per il recupero della password, nel caso un cliente l’avesse smarrita. Dato l’ambiente e il form risultato vulnerabile è facilmente deducibile che è possibile ricavare dal database informazioni confidenziali come eMail, username, password e magari anche i numeri di cellulare degli utenti se non addirittura il traffico telefonico generato.

La Full Disclosure integrale è disponibile sul sito degli Autistici dove vengono mostrati i Request e Response a dimostrazione della vulnerabilità individuata.

Il parametro vulnerabile è il numero di cellulare dell’utente, inviato tramite metodo POST ai server della Wind. Nell’esempio sottostante viene utilizzato il numero fittizio 340123456 e viene iniettato il classico and 1=1:

parameters=["340123456' and 1=1"]&adapter=MASPAdapter&__wl_deviceCtx=<stripped>&procedure=startRecuperoCredenzialiMobile&compressResponse=false&isAjaxRequest=true&x=0.6955877927697153

La risposta alla precedente richiesta dovrebbe essere negativa, avendo iniettato codice a nostro piacimento, ma con grande risposta otteniamo una risposta positiva (true):

/*-secure-
{<strong>"isSuccessful":true</strong>,"response":{"reason":"Richiesta elaborata correttamente","status":"0","datetime":"20141209205546"},"session":{"id":"","expires":"600"}}*/

Come spesso accade, anche nelle vulnerabilità da me individuate, nonostante diverse segnalazioni l’applicazione risulta ancora ad oggi vulnerabile e un attaccante potrebbe sfruttare questa falla per sottrarre informazioni private o nella peggiore delle ipotesi accedere ai sistemi Wind mediante una shell caricata attraverso SQL Injection. La vulnerabilità è stata comunicata al gruppo Wind/Infostrada il 1 Dicembre 2014 e successivamente altre quattro volte senza ottenere alcuna risposta, pertanto il ricercatore ha pubblicato lo scorso 4 Gennaio la Full Disclosure.

Come sempre mi auguro in una veloce risoluzione del problema e una valutazione più approfondita degli aspetti di Sicurezza Informatica da parte delle grandi società tecnologiche.

[AGGIORNAMENTO]

Giulio vuole precisare il suo rapporto con gli Autistici:

Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.

SeeWeb_HackingContest

Vi avevo già parlato dell’Hacking Contest che quest’anno Seeweb ha voluto organizzare per mettere alla prova il talento hacker dei giovani italiani sfidandoli con l’Hacking Contest operazione Di4m0nd.

L’Hacking Contest organizzato da Seeweb è iniziato il 1° dicembre e terminato il 14, ha dato la possibilità a centinaia di esperti di sicurezza informatica di mettere alla prova le proprie conoscenze cercando di risolvere il caso di un diamante rubato più di 20 anni fa.
Ovviamente il talento e la bravura mostrata è stata ricompensata con alcuni oggetti appetibili come smartwatch, drone e notebook.

I nomi dei tre hacker migliori sono:

  • Francesco Ongaro (Dell XPS 13);
  • Antonino Muratore (Parrot Ar. Drone 2.0 Quadricottero);
  • Daniele Martini (Motorola Moto 360 smartwatch).

A grande sorpresa, visto l’impegno e la bravura, si è deciso di dare un riconoscimento anche ad Abdel Adim Oisfi, un giovane hacker che ha mostrato una notevole vocazione nei confronti della
sicurezza informatica.

Abdel Adim Oisfi ha inoltre diffuso sul suo blog la Soluzione dell’Hacking Contest che condivido con voi 😉

Faccio i miei complimenti a SeeWeb per l’ottima iniziativa che ha avuto, personalmente ho partecipato saltuariamente visto il dicembre “impegnativo” che ho avuto, raggiungendo il secondo livello! E non vi nego che mi è venuta voglia di organizzare anche io un Hacking Contest…stay tuned!

 

UniCri Sicurezza Informatica Nelle Piccole e Medie Imprese

L’UNICRI il prossimo 15 Dicembre 2014 presenterà lo studio “La sicurezza informatica nelle piccole e medie imprese in Italia” presso la Sala Convegni Vincenzo Da Massa Carrara, via San Micheletto, 3 a Lucca.

I crimini informatici sono oggi una delle minacce più insidiose a livello mondiale. La loro crescita ed espansione a tutti i settori richiede efficaci contromisure che non possono prescindere da conoscenza approfondita del fenomeno. I crimini informatici non mettono a rischio solamente le grandi imprese, ma sempre più spesso anche quelle di piccole e medie dimensioni (PMI). Il tessuto economico-sociale europeo, e quello italiano in particolare, è fortemente connotato dalla presenza di PMI per tale ragione lo scopo dello studio si concentra su questo segmento produttivo di grande importanza al fine di indagare il grado di rischio e le vulnerabilità con particolare riguardo all’impatto economico dei crimini informatici.

All’incontro di presentazione del rapporto prenderanno parte rappresentanti di istituzioni, forze dell’ordine, università e piccole e medie imprese.

Per confermare la partecipazione, si prega di scrivere a: bosco [AT] unicri [D0T] it

logo_cloudresort

Per questo Natale, Seeweb ha organizzato l’Hacking Contest operazione Di4m0nd, una sfida dedicata alla sicurezza dei sistemi informatici che metterà alla prova le abilità hacker.
L’Hacking Contest organizzato da Seeweb è aperto a tutti, inizierà lunedì 1 dicembre e terminerà domenica 14 dicembre alle ore 24; metterà alla prova la conoscenza e le abilità hacker di centinaia di giovani e il talento di tre abili hacker sarà ricompensato con:

  • Motorola Moto 360 Smartwatch;
  • Parrot AR.DRONE 2.0 Quadricottero;
  • Dell XPS 13.

Cosa aspetti? Diventa un White Hat e risolvi il caso di un diamante rubato più di venti anni fa!
Avrai a disposizione 14 giorni per scoprire l’identità del compratore, il luogo dove avverrà l’acquisto del diamante e il luogo in cui è nascosto in attesa della vendita.
Martedì 16 dicembre alle ore 15,30 verranno comunicati i nomi dei tre hacker finalisti sulla pagina ufficiale Facebook di Seeweb.

Per partecipare basterà andare sul blog Seeweb al link http://blog.seeweb.it/seeweb-christmas-hacking-contest e seguire le istruzioni. Il bersaglio del contest sarà il sito dell’hote Cloud Resort: http://cloudresort.it

Ricordiamo che il regolamento di partecipazione all’Hacking Contest Seeweb operazione Di4m0nd è disponibile presso il blog ufficiale Seeweb.
Che altro dire? Smashing the Christmas for Fun and Profit!

Sto partecipando anche io al Contest, per chi volesse più dettagli o magari condividere la sua esperienza può usare i commenti del mio blog!

Libero Mail Spam

Lo scorso luglio avevo posto l’attenzione su un probabile attacco alle caselle eMail di Libero.it, rilevando un invio anomalo di eMail contenente SPAM provenienti dagli account di @libero.it! Successivamente alla prima ondata di eMail risalenti a Maggio 2014 le acque si erano calmate salvo sporadici casi ma nelle ultime 72 ore vi è stato un nuovo invio massimo di eMail contenenti SPAM che rispecchiano le stesse caratteristiche del precedente caso.

Nel dettaglio ho ricevuto eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web! Le cinque eMail di spam che ho ricevuto contenevano cinque distinti link ma essi reindirizzavano l’utente sempre al dominio http://gen.xyz che ora sembra essere sospeso.

Cinque indirizzi eMail appartenenti a @libero.it con i quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato SPAM, ad accrescere ulteriormente il misfatto preciso che i mittenti di tali eMail con buona probabilità non si conoscono ne nella vita reale ne virtuale. Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani.

Di seguito vi riporto in una tabella l’eMail che ho rilevato nel precedente caso e nelle ultime 72h:

I Casi Rilevati
Data
Mittente Ultimo Contatto con il Mittente Server SMTP
Paese Mittente
29/05/2014 al************[email protected] 08/07/2013 estpak.ee Estonia
29/06/2014 adri********[email protected] 24/01/2013 trjdesigns.com Biellorussia
30/06/2014 li*******[email protected] 30/09/2011 telecom.kz Kazakistan
03/07/2014 sp****ni.de**[email protected] 08/02/2010 eigbox.net Argentina
05/07/2014 m****[email protected] 05/07/2006 ccg.ua Ucraina
08/07/2014 ca****[email protected] 21/03/2014 dehostingfirma.nl Paesi Bassi
08/07/2014 al************[email protected] 08/07/2013 mailgun.org Ucraina
09/07/2014 f******[email protected] 24/10/2013 melvincruz.com Indonesia
29/11/2014 al*****[email protected] 21/05/2013 1and1.es Ucraina
29/11/2014 be**a.****[email protected] 14/05/2013 opentransfer.com Ucraina
29/11/2014 fabio.***@libero.it 29/11/2014 shaw.ca Biello Russia
30/11/2014 *.el**[email protected] 22/04/2011 alienweathermachine.com Russia
01/12/2014 ele.***@libero.it 11/07/2010 zimbra.intercom.com Indonesia

Anche in questo caso ho interpellato i laboratori del D3Lab per avere un’ulteriore conferma, lavorano attivamente ogni giorni nel prevenire Phishing per istituti bancari e non solo scansionando una mole di eMail importante ogni giorno. Anche loro hanno rilevato in data 29/11/2014 quattro casi analoghi ai miei. Ovvero email contenente SPAM verso il sito http://gen.xyz e in passato mittenti e destinatari si erano già scambiati eMail.

Venerdì 11 Luglio 2014 avevo commentato sul Blog Ufficiale di Libero.it chiedendo ulteriori dettagli e linkando il mio originale articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!

Grazie invece ai molti lettori che mi hanno aiutato nell’analisi posso trarre le seguenti conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
  • eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
  • eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it;
  • eMail provenienti da mittenti diversi nei due casi rilevati (Maggio ’14 e Novembre ’14) che fa supporre ad un nuovo attacco del portale.

Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.

I mittenti tra la prima analisi e la seconda analisi sono diversi, sarebbe curioso capire se il portale di Libero Mail è stato nuovamente violato oppure gli attaccanti hanno diversificato l’invio massivo di eMail in due periodi diversi molto lontani tra loro. Purtroppo l’archivio eMail è stato ormai sottratto e sarà difficile, se non impossibile, prevenire in futuro un nuovo invio massivo di SPAM, ma bisogna sperare che Libero.it hanno risolto la vulnerabilità nel suo portale.

Purtroppo non avendo ulteriori dati rispetto alla precedente rilevazione non posso che attendere, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli al fine di proteggere gli account di posta elettronica. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!

sicurezza-iphone

In questi giorni sta facendo scalpore la dichiarazione del secondo funzionario del Dipartimento di Giustizia Americano, dichiarazione rivolte ad Apple e pubblicate sul The Wall Street Journal. James Cole ha espressamente dichiarato che un bambino potrebbe morire a causa della crittografia introdotto da iOS 8, poiché la polizia non sarebbe in grado di controllare il cellulare dell’indagato sospettato del rapimento del suddetto bambino.

Non lo nego fin da subito, sono fermamente convinto che la crittografia dei dispositivi sia cosa buona e giusta per preservare la nostra privacy nel caso di smarrimento o furto del dispositivo. Ma veramente la crittografia di un iPhone o Android può far morire un bambino rapito? Personalmente trovo questa dichiarazione assurda e credo che questo fatto dimostri nuovamente l’incompetenza giudiziaria, per confermare questa mia ipotesi voglio sottolineare alcuni aspetti che per me son fondamentali ma sono stati trascurati nel raccontare questa vicenda!

Prima dei telefoni?!

I telefoni cellulari esistono dai primi anni ’80 ma sono dagli anni ’90 la diffusione è cresciuta in maniera esponenziale portando nelle tasche dei cittadini anche più di un telefonino e solo nel 2007 (7 anni fa) sono arrivati i primi e veri Smartphone. L’avvento degli smartphone ha sicuramente dato un’accelerata alle indagini di polizia poiché in un dispositivo è possibile raccogliere molteplici informazioni (Rubrica, Chiamate, SMS, eMail, Chat, Coordinate GPS, ecc ecc) ma fino ad allora come si faceva!?

Non venitemi a dire che i bambini prima dell’avvento dei cellulari non venivano rapiti? Microfoni ambientali o ronde di sorveglianza erano strumenti di primo ordine per un investigatore! Insomma capisco che in ufficio si sta belli comodi ad indagare su un caso ma bisognerebbe anche alzarsi e indagare con le maniere tradizionali…dai Bar si scoprano sempre tanti dettagli! E se non vi ricordate come si fa un classico del ‘800 vi racconterà diverse storie!

Triangolazione telefonica?!

Avete tra le mani un iPhone con iOS 8 o un bellissimo Nexus 5 già aggiornato a Lollipop e per disdetta c’è un pin di accesso, certamente un tentativo di forza brutta è da evitare poiché spesso dopo X tentativi il telefono va in blocco con un conseguente wipe della memoria! Ma allora optate per una tradizionale triangolazione del segnale telefonico magari degli ultimi 30, 60 o 90giorni per capire dove è stato il malvivente e magari anche chi ha contattato! In fin dei conti prima dell’avvento degli Smartphone le indagini si basavano sulla triangolazione telefonica poiché i telefoni cellulari avevano una memoria ridotta e più di 50sms non conservavano e il registro chiamate conservava al massimo 30 chiamate!

Altre fonti?!

Ok avete tra le mani uno Smartphone che sicuramente contiene le coordinate del luogo in cui il malvivente tiene in sequestro il bambino, altrove non avete trovato altri dettagli! Caspita, come facciamo a trovare altri dettagli?! Ora se avete il telefono del malvivente tra le mani mi vien da pensare che avete acciuffato il malvivente vivo o morto che sia, se è vivo potete estorcerli una confessione ma se è morto oppure ha perso il telefono durante una fuga?! Bhe se il malvivente non è ovviamente in grado di dirvi nulla lo potete identificare (dal cadavere, dalla videoregistrazione durante il tentativo fallito di liberare il bambino, dall’utenza telefonica, ecc) e vi recate presso la sua abitazione dove trovare il suo computer…se non è cifrato fate ma bassa dei dati (eMail, Backup, ecc ecc) e sicuramente qualche dettaglio aggiuntivo lo trovate! Nell’ipotesi peggiore vi trovate davanti ad un PC e Smartphone crittografato e allora vi guardate attorno e scoprite che in una agenda vi sono segnate tutte le password degli account Apple, Google, ecc ecc BINGO! No, non è la giornata fortunata non trovo nulla, però il malvivente non abita da solo, ottimo allora abbiamo una nuova persona da interrogare che ci potrà rilevare nuovi dettagli (dove si recava il malvivente frequentemente, magari le sue password, ecc ecc). Se abita da solo? Bhe ci sono i vicini, i parenti, ecc ecc insomma le strade da setacciare sono tantissime…

Conclusione

Indubbiamente questo articolo è provocatorio ma ha lo scopo di dimostrare che la crittografia di un dispositivo non deve fermare l’indagine della polizia ne tanto meno far pensare al peggio, in fin dei conti son convito che anche un poliziotto cifra i dati sul suo Smartphone per evitare che un possibile furto di quest’ultimo mandi all’area mesi e mesi di lavoro su un indagine che sta facendo! Poi per carità uno Smartphone privo di cifratura può aiutare indubbiamente le indagini, ma non bisogna fasciarsi la testa in caso contrario ne tanto meno pensare all’esito peggiore del caso!

WireLurkerApro l’articolo chiarendo subito che WireLurker è un malware, reale, che colpisce Mac OS X e iOS ovvero i due sistemi operativi creati da Apple. Ma non creiamo allarmismo come stanno facendo in queste ore i principali media copiando a destra e manca porzioni di articoli internazionali e non, anzi ne approfitto per fare un appello e anche un ringraziamento; cari redattori/giornalisti prima di scrivere un articolo principalmente tecnico sul mondo della sicurezza informatica abbiate almeno la buona volontà di contattare un esperto del settore, in Italia siamo in diversi e quasi sempre disponibili una eMail o una Telefonata renderà il vostro lavoro più prezioso e completo. Ringrazio quindi Giuseppe Bottero che puntualmente mi contatta quando vuole scrivere articoli di Sicurezza Informatica sul quotidiano La Stampa.

Le Origini

Qū Chāo,

Tutto nacque per una segnalazione dello sviluppatore Qū Chāo, lo scorso 1 Giugno 2014 rilevò sul suo Mac dei processi sospetti e sul suo iPhone l’installazione automatica di una applicazione che potete vedere nello screenshot soprastante. Nei giorni successivi a questa segnalazione altri utenti segnalarono casi analoghi su un forum di Fan Apple Cinesi, in tutti i casi gli utenti rilevarono due demoni installati sul proprio Mac denominati “machook_damon” e “WatchProc”, gli utenti avrebbero poi dichiarato di aver installato nei giorni precedenti alcune applicazioni provenienti dal Maiyadi App Store che attualmente risulta down. Questo Store alternativo a quello originale permetterebbe di aggirare le restrizioni imposte dal governo Cinese ad Apple e di scaricare software piratati/crackati. Le prime indiscrezioni incolpavano l’applicazione CleanApp scaricata dal Maiyadi App Store, codesta applicazione avrebbe provacato la diffusione del malware.

CleanApp

In realtà una successiva indagine contatta da Paolo Alto Networks ha rivelato che quasi tutte le applicazioni per Mac (per un totale di 467) caricate sul Maiyadi App Store dal 30 aprile 2014 all’11 giugno 2014, erano state trojanized e riconfezionate integrando in esse WireLurker. Queste applicazioni sono state scaricate 356.104 volte, da Aprile ad Ottobre 2014. The Sims 3, Internationa Snooker, Pro Evolution Soccer, ecc sono le tre principali applicazioni scaricate dal Maiyadi App Store ed infette!

Caratteristiche e Analisi

WireLurker WorkFlow

 

Il Diagramma di Flusso dimostra come lavora WireLurker partendo proprio dalla modifica/trojanized di una applicazione dedicata al mondo Mac, tale software modificato è stato diffuso in un App Store alternativo contenente principalmente applicativi illegati (crakkati), gli utenti hanno scaricato l’applicativo e installandolo hanno avviato il circolo vizioso che poi ha permesso di infettare anche device iOS attraverso una connessione USB con il Mac. Il Malware non si limita ad infettare il device iOS ma andrà a modificare/trojanized anche le applicativi per iPhone o iPad garantendo l’estrazione di un maggior numero di dati sensibili

Voglio però soffermarmi un attimo sul mondo iOS che è sempre stato ribattezzato uno dei sistemi operativi mobile più sicuri, come saprete i device iPhone e iPad possono essere Jailbrekkati ottenendo i permessi di root e pertanto caricare software di terze parti (app crakkate, nuovi tweak, ecc ecc) questa tecnica resa sempre più semplice dalla bravura degli sviluppatori crea grossi problemi di sicurezza sui nostri dispositivi. Infatti sono proprio i dispositivi Jailbroken ad essere più soggetti a questi tipi di attacchi.

Per un dispositivo iOS NON Jailbroken, WireLurker installa nuove applicazioni iOS, sfruttando i protocolli di iTunes ovvero la libreria libimobiledevice.
Per un dispositivo iOS Jailbroken, WireLurker esegue il backup delle applicazioni del dispositivo sul computer e le trojanizza sfruttando la capacità elaborativa del Mac, successivamente le riconfeziona (app originale + file dannoni) caricandole nuovamente sull’iPhone. Inoltre, WireLurker si propaga infettando il MobileSubstrate Tweak attraverso il servizio AFC2.

A questo punto, nuove applicazioni/icone sono visibili all’utente sul dispositivo iOS, jailbroken o meno. Per un dispositivo Jailbroken del codice malevolo viene iniettato in applicazioni di sistema, e sarà quindi possibile eseguire query sui Database di sistema ottenendo Messaggi, Cronologia WhatsApp, Contatti, eMail, ID Apple, Foto, Video, ecc. Tali dati verranno inviati al server C2 insieme alle informazioni di stato di WireLurker. Per i dispositivi NON Jailbroken gli utenti si vedranno sottratti dei loro dati solo se all’apertura della nuova App acconsentiranno di accedere alla Rubrica, Calendari, Posizione, ecc.

Dal 30 Aprile al 17 ottobre 2014 la Palo Alto Network ha identificato 3 versioni di WireLurker la prima versione denominata A fino alla versione C rilevata lo scorso agosto, ogni versione introduceva nuove funzionalità la prima non prevedeva l’infezione dei dispositivi iOS funzionalità introdotta nella versione B solo per i dispositivi Jailbroken e infine nella versione C è stata introdotta la modalità per i dispositivi NON Jailbroken.

Rimozione e Prevenzione

La società Paolo Alto Network attraverso GitHub ha reso disponibile uno script scritto in Pyhton per identificare se il vostro Mac è stato infettato dal malware WireLurker, nello screenshot di apertura potete vedere lo script in funzione con i relativi comandi per scaricarlo e avviarlo ma per comodità vi riepilogo i comandi di seguito:

$ curl -O https://raw.githubusercontent.com/PaloAltoNetworks-BD/WireLurkerDetector/master/WireLurkerDetectorOSX.py

$ python WireLurkerDetectorOSX.py

attraverso il primo comando andremo a scaricare lo script e successivamente lo avvieremo. Basterà attendere qualche minuto per conoscere se il vostro PC è stato infettato o meno!

Per prevenire in futuro possibili attacchi le regole fondamentali da seguire sono:

  • Evitare di modificare il proprio dispositivo mobile ottenendo i permessi di Root se non si è un utente esperto;
  • Evitare il download di applicazioni illegali/crakkate esse sono la principale causa di virus, trojan o malware;
  • Scaricare software solo da Store o siti Web Autorevoli;
  • Controllare sempre i permessi che attribuire ad ogni applicazioni del vostro iPhone e iPad (selezionare sempre OK non è la soluzione ai vostri problemi);
  • Aggiornate sempre il vostro dispositivo.

Conclusione

Non è ancora chiara la motivazione e i mandatari di tale attacco, ma indubbiamente è importante sottolineare che l’attenzione sui dispositivi Apple sta cambiando e potremmo presto vedere nuovi attacchi! La prevenzione dell’utente e la tempestività del Brand nel correggere vulnerabilità sono sempre la prima arma per evitare un propagarsi di malware, virus, ecc ecc.

Per chi volesse approfondire maggiormente l’argomento (Analisi del Codice, Statistiche, ecc) può scaricare il documento creato dalla Palo Alto Networks, for the English Friends would also recommend reading the article by Marco Ramilli’s Blog.