Articoli che trattano principalmente di Sicurezza Informatica

Android SMS Malware: Facebook and WhatsApp account theft

Con piacere vi riporto un riassunto della Tesi di Laurea discussa da Fabrizio Severino tenta al Corso di Laurea in Sicurezza dei sistemi e delle reti informatiche.

La stretta interazione con l’utente e il sistema operativo dei dispositivi mobile (smartphone o tablet) consente alle applicazioni (APP) di accedere a molti più dati rispetto a un browser web internet tradizionale. Da recenti studi, infatti, è emerso che chi possiede un dispositivo mobile ha normalmente attive in media circa 20 applicazioni, alcune delle quali sono in grado di raccogliere in maniera illecita grandi quantità di dati personali accedendo alle raccolte di foto, video, dati di localizzazione , informazioni bancarie, contatti, cronologia di navigazione etc. Oggi giorno gli utenti tendono a delegare la gestione di molti aspetti della propria vita, sia personale che professionale, alle nuove tecnologie senza preoccuparsi della privacy personale. I rischi e le minacce in cui un utente può incorrere per un uso non accorto o non regolamentato delle mobile apps derivano da mancanza di “trasparenza” nelle modalità e nella finalità di raccolta dei dati, incapacità o impossibilità da parte degli interessati di esercitare o recuperare il “controllo” sui propri dati e sul modo in cui vengono comunicati a terzi e infine la mancanza di nozioni tecniche basilari di “sicurezza informatica”.
Spesso, a fronte della fornitura di applicazioni in via del tutto gratuita, le case produttrici o fornitrici della APP acquisiscono una serie di dati personali dell’utente senza fornire adeguate istruzioni circa il relativo trattamento. Molte volte capita che lo stesso utente, pur di utilizzare il servizio offerto, sia disposto a cedere le informazioni e i dati personali (propri o di terzi) in suo possesso, senza preoccuparsi delle eventuali conseguenze pregiudiziali. Lo scopo principale del mio lavoro di tesi è quello di fornire una buona base tecnica di Android con l’obiettivo di suscitare negli utenti la consapevolezza dei rischi connessi all’installazione di applicazioni senza che si presti la dovuta attenzione ai permessi richiesti, oppure il rischio che si corre nel lasciare incustodito il proprio dispositivo. Durante il mio lavoro di tesi ho studiato il funzionamento e la diffusione del malware in ambiente Android, analizzando nel dettaglio il sistema operativo anche dal punto di vista della sicurezza.
In particolare, ho studiato come i dispositivi con Androind possono avere “coscienza” di tutto quello che hanno attorno e a stretto contatto con il mondo reale. Durante il lavoro di tesi ho anche fornito una descrizione degli aspetti legali, del concetto di privacy in Italia e del parere dei garanti europei in merito alla protezione dei dati personali. La parte pratica della tesi comprende lo sviluppo e l’implementazione di un semplice malware, dimostrando che tramite il servizio SMS offerto dall’operatore e le autorizzazioni di base per la lettura e la ricezione dei messaggi è possibile rompere i sistemi di sicurezza di altri servizi che l’utente utilizza, come ad esempio WhatsApp e Facebook, e di conseguenza rubare la sua identità digitale. Per concludere il lavoro di tesi ho realizzato anche delle linee guida che consentono sia agli utenti che agli sviluppatori di APP di preservare il più possibile la privacy per enfatizzare il concetto di privacy dy design

Video Simulazione

Inoltre è disponibile la Presentazione della Tesi e l’Indice della Tesi!

BackBox 4 - Recensione Inforge

Come saprete BackBox 4 è stata rilasciata al grande pubblico lo scorso 11 Ottobre 2014 in occasione dell’HackInBo. Stefano Novelli CEO di Inforge.net ha creato nei giorni successivi al lancio della nota distribuzione di Penetration Testing una Video Recensione di quasi 17 minuti nei quali mostra tutte le peculiarità di BackBox. Inoltre le prossime lezioni dell’Hacklog verranno eseguite con questo OS 😉

Ecco a voi la recensione…

internet

L’’evolvere della minaccia digitale e delle tecniche di attacco informatico impone di re-immaginare la prospettiva con cui guardiamo alla Security. L’’incontro analizza questo concetto in profondità analizzando in dettaglio la kill chain, i metodi, i rischi derivanti da una protezione inadeguata. Partendo da casi reali cercheremo di capire le tecniche, gli strumenti e le procedure di attacco (TTP – Tool, Techniques and Procedures) per verificare come la reazione deve necessariamente combinare tecnologia avanzata, esperienza tecnica e, cosa più importante, intelligence.

L’evento organizzato da Marco Cremonini vedrà come relatore Marco Rottigni, Systems Engineer della FireEye. Per chi vuole assistere al seminario si terrà il prossimo Giovedì 20 Novembre 2014 alle ore 14:30 nell’aula 4SUD dell’Università di Milano, sede di Crema. Per maggiori informazioni potete visitare il sito ufficiale dell’UniMI.

aircrack-ng-new-logo

A sorpresa il team di AirCrack-NG per Halloween ha rilasciato la prima Release Candidate della famosa suite per il test delle reti wireless ormai giunta alla versione 1.2, è stata una sorpresa poiché nello scorso annuncio di ormai sette mesi fa avevano dichiarato che sarebbe uscita una quarta beta ma invece con grande soddisfazione sono riusciti a rilasciare una prima Release Candidate che verrà seguita da una seconda RC prima della versione finale.

L‘aggiornamento è altamente consigliabile in quanto contiene un sacco di correzioni di bug e miglioramenti e correzioni di sicurezza.  Per maggiori dettagli vi riporto il changelog integrale:

  • Airodump-ng should be able to parse the canonical oui file.
  • Airodump-ng: Fixed GPS stack overflow.
  • Airodump-ng: Fixed stopping cleanly with Ctrl-C.
  • Airmon-zc: better handling for when modules are not available (incomplete)
  • Airmon-zc: users can now start the monitor interface again to change channels
  • Airmon-zc: update to use ip instead of ifconfig if available.
  • Airmon-zc: better handling of devices without pci bus
  • Aireplay-ng: Fixed tcp_test stack overflow.
  • OSdep: Fixed libnl detection. Also avoid detection on non Linux systems.
  • OSdep: Fixed segmentation fault that happens with a malicious server.
  • Besside-ng: Add regular expression matching for the SSID.
  • Buddy-ng: Fixed segmentation fault.
  • Makefile: Fixed ‘commands commence before first target’ error when building Aircrack-ng.
  • Fixed segfault when changing the optimization when compiling with gcc thanks to Ramiro Polla.
  • Removed airdriver-ng (outdated and not meant for today’s kernels)
  • Added gitignore file.
  • Fixed build issues on other compilers by using stdint.h types.
  • Updating installation file and added pkg-config as a requirement.
  • Various small fixes and improvements.

Per chi volesse effettuare il download di questa nuova versione può recarsi sul sito internet ufficiale.

xss-to-domain-ita

 

Domani 28 ottobre 2014 alle ore 19:00 il ricercatore e istruttore Davide Girardi, conosciuto anche come GiRa, presenterà uno scenario d’attacco a una rete aziendale attraverso un Webinar offerto dalla eLearnSecurity. L’esploitation inizierà da un XSS nel blog aziendale e ci porterà ad avere un account come amministratore di Active Directory. Avrai l’opportunità di assistere ad affascinanti dimostrazioni pratiche di utilizzo di BeEF-XSS, Metasploit ed approfondire le tue conoscenze su Active Directory.

Per chi vuole iscriversi al Webinar può accedere al sito ufficiale dell’eLearnSecurity!

Linux Day 2014

Il prossimo sabato, 25 Ottobre, si terrà la quattordicesima edizione del Linux Day, la principale manifestazione di promozione a GNU/Linux ed al software libero in Italia: decine di appuntamenti nelle principali città per conoscere, capire, condividere ed approfondire un movimento, quello del free software, che ha cambiato e continua a cambiare il mondo. Il Linux Day è organizzato dai principali Linux Lug, per conoscere le città aderenti all’iniziativa potete visitare il sito internet ufficiale dell’evento: http://www.linuxday.it.

Personalmente sarò presente al Linux Day di Imola per la prima volta in questa città come relatore, dopo la passata esperienza ad Orvieto il presidente del LUG Imolese mi ha invitato a riproporre il Talk del 2013 per fare un po’ di sano terrorismo tra i nativi digitali. Ho accolto molto volentieri l’incarico, rivedrò le slide rendendo sempre onore alla distribuzione BackBox di cui faccio parte ma integrerò nuovi dettagli e casi reali…The Fappening!?!

Il mio Talk intitolato “BackBox: WiFi Libero? Ti spio!” inizierà alle 10 e durerà circa 45minuti lasciando alla fine 15minuti per le domande da parte del pubblico!

Il programma del Linux Day di Imola è il seguente:

MATTINA

PRANZO

  • 13:50 – 15:00  Pranzo coi relatori – Improve human network/relations 🙂

POMERIGGIO

 

Molto bella la “Tavola Calda” durante il pranzo che ci permetterà di approfondire le tematiche trattate nella mattinata e anche di scambiarci idee, critiche e chissà magari apprezzamenti 😀

Per maggiori informazioni potete visitare il Sito del LUG, mentre se volete registrarvi all’evento e prenotare il pranzo vi rimando a Eventbrite!

Vi aspetto al Linux Day di Imola 😉

BackBox 4 Install ScreenIn diretta dall’HackInBo di Bologna vi annunciamo il rilascio della quarta versione di BackBox, un grande salto generazionale per la più famosa distribuzione di Penetration Testing Italiana! La novità più importante di questa quarta versione è l’introduzione della sezione riguardante la Mobile Analysis, la distribuzione si basa su Ubuntu 14.4 che permette di avere un supporto di una versione LTS ed il Kernel 3.13.

Nello specifico il changelog è il seguente:

  • Preinstalled Linux Kernel 3.13
  • New Ubuntu 14.04 base
  • Installer with LVM and Full Disk Encryption options
  • Handy Thunar custom actions
  • RAM wipe at shutdown/reboot
  • System improvements
  • Upstream components
  • Bug corrections
  • Performance boost
  • Improved Anonymous mode
  • Predisposition to ARM architecture (armhf Debian packages)
  • Predisposition to BackBox Cloud platform
  • New and updated hacking tools

Tutto il team di BackBox è dispiaciuto per aver posticipato la data di rilasciato di questa Major Release, ma il porting di Ubuntu 14.04 ha richiesto un sacco di lavoro.

Inoltre sono previsti maggiori strumenti all’interno della distribuzione che saranno disponibili presto e installati automaticamente tramite aggiornamenti del sistema.

Potete effettuare il Download della versione a 32Bit o 64Bit attraverso il sito internet ufficiale, nella sezione Download!

Ed ora godiamoci HackInBo!

Caine 6

Nanni Bassetti ha recentemente rilasciatola Sesta Versione di Caine, distribuzione dedicata all’analisi foresense, di seguito vi riporto il chagelog:

fixed password request in polkit
fixed password request in textmode e tty
Bash bug fixed shellshock
mount policy always in ro and loop mode
fstrim disabled (enable uncommenting the row in /etc/cron.weekly/fstrim)
autopsy patched by Maxim Suhanov:
(HFS directories handling fixed,
Sun VTOC volume system handling fixed,
incorrect timestamps (that are equal to zero) are handled as 01/01/1970 00:00:00)
Gzrt
Img_map
QPhotorec (photorec gui)
Undbx
Ddrescueview
Gddrescue
Disktype
Peframe
Quickhash
BEViewer Bulk Extractor
Ddrutility
Ataraw
Frag_find
Log2timeline plaso – supertimeline
Tinfoleak
Inception memory dumper by firewire
Volatility
4n6-scripts
boot-repair
grub-customizer
Broadcom Corporation BCM4313 wireless card drivers

Per il download vi rimando al sito ufficiale del progetto!

Bash

La recente vulnerabilità ShellShock (CVE-2014-6271) sta scatenando il putiferio su Web, si il putiferio, perchè si legge ogni genere di informazioni! I terroristi, gli hacker, gli smanettoni e chi più ne ha più ne metta potrebbero sfruttare questa vulnerabilità per far esplodere testati nucleari o qualsiasi altra cosa peggiore che possa esistere! Balle! 😀

ShellShock è una vulnerabilità e come tutte deve essere presa in considerazione e valutata, a volte le vulnerabilità vengono sottovalutate mentre in questa caso è stata soppravalutata! Ma guardiamo questa recente scoperta da un lato tecnico e speriamo di fare un po’ di chiarezza sperando poi di vedere meno disinformazione sulla rete!

ShellShock o Bash Bug come voi vogliate chiamarlo è identificato con il codice CVE-2014-6271 e CVE-2014-7169 ed affiggle un tipo di shell denominata appunto Bash, shell molto usata all’interno dei sistei Unix e Linux. La shell, in informatica, è la parte di un sistema operativo che permette agli utenti di interagire con il sistema stesso, impartendo comandi e richiedendo l’avvio di altri programmi. Insieme al kernel costituisce una delle componenti principali di un sistema operativo. Il suo nome (dall’inglese shell, guscio) deriva dal fatto che questa componente viene considerata l’involucro, la parte visibile del sistema ed è dunque definibile come l’interfaccia utente o il programma software che la rende possibile.

La Bash Shell in questione è tra quelle più datate ed installata ormai di default sulle principali distribuzioni GNU/Linux, la vulnerabilità scoperta dal ricercatore Stéphane Shazelas potrebbe dare la possibilità di attaccare un sistema basato su Linux e Unix (pertanto anche i sistemi Mac OS X).

In un caso reale la vulnerabilità può essere sfruttata tramite un attacco remoto attraverso i Siti/Server Web che utilizzano CGI, un sistema ormai in disuso per eseguire script che generano una risposta all’utente che sta visualizzando il sito internet. È uno standard che venne implentato nel 1993 e che oggi vede uno scarso utilizzo nei siti web, CGI è attualmente più diffuso nel mondo Embedded come i Router di casa, elettrodomestici 2.0, ecc ecc. I dispositivi Embedded che sfruttano BusyBox non sono vulnerabili.

Un attaccante potrebbe quindi attaccare un sito web che ancora oggi sfrutta lo standard CGI, ottenere una shell remota sul server e quindi sfuttare la macchina a proprio piacimento? Ni, se il server web è ben configurato l’attaccante può certamente ottenere una shell remota ma con i soli permessi di un utente guest e non con i permessi di un amministratore di sistema, certamente se poi il server in questione ha altre vulnerabilità attraverso uno o pù exploit è possibile fare un escalation ed ottenere i permessi di amministratore e quindi il controllo completo della macchina.

Se invece la macchina è esclusivamente afflitta dall’exploit Bash un utente malintenzionato potrebbe sfruttarla per lanciare attacchi DDoS, questo a mio avviso è il vero caso reale! E siccome ad oggi vi è un consistente mercato nero alle spalle degli attacchi DDoS è probabile che questo exploit venga sfruttato principalmente per lanciare DDoS, ma è indubbiamente più difficile che venga usato per sottrarre informazioni confidenziali o riservate dai siti web vulnerabili!

In definitiva la vulnerabilità ShellShock è importante e consiglio a tutti di aggiornare il pacchetto Bash quanto prima sui propri server, ma non allarmiamoci leggendo certi articoli dei quotidiani Italiani! Non rischiamo l’esplosione di una testata nucleare per colpa di ShellShock!