Ieri il noto provider DreamHost ha rilevato delle attività anomale all’interno dei propri database, sospettando un possibile attacco l’operatore consiglia di cambiare tutte le password associate al proprio dominio in particolare modo la password FTP, Shell e MySQL.
DremaHost non ha rilevato cosa sia stato realmente sottratto dai server ma molti utenti hanno dichiarato di aver visto il proprio sito internet “azzerarsi”.
Le attività sospette sono iniziate alle 9:45am PST del 20 Gennaio 2012 e DreamHost ha provveduto molto tempestivamente ad informare tutti gli utenti di cambiare password, l’allarmismo ha però creato un ulteriore sovraccarico dei server impedendo a tutti di cambiare correttamente la password. Per rimediare il provider Americano ha proceduto ad un blocco totale agli accessi rendendo pur sempre visibili i siti internet ma nessuno era in grado di collegarsi via FTP o Shell per attuare le modifiche.
Oggi la situazione sempre essersi ripristinata e quindi chi fosse in possesso di un dominio o server con DreamHost è caldamente inviato a sostituire la propria password.
Per chi fosse interessato a seguire tutta la vicenda può accedere al pannello di “Status” del provider: http://www.dreamhoststatus.com/
https://www.andreadraghetti.it/wp-content/uploads/2012/01/dreamhost.png152620https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2012-01-21 19:21:252012-01-21 19:32:48Attacco a DreamHost: Cambiate le Password!
Lo scorso 17 Dicembre 2011 il Cracker Thorwed ha diffuso tramite Twitter la notizia che è riuscito ad accedere al Database del sito qualitapa.gov.it del Ministero per la Pubblica Amministrazione e l’Innovazione tramite una falla di tipo SQL Injection. Lo stesso utente ha poi diffuso su Pastebin le informazioni estratte dal database dal quale si possono visualizzare username, password e eMail di circa 9000 utenti registrati al sito.
In data odierna gli amministratori del sito internet ci fanno sapere che hanno comunicato a tutti gli utenti coinvolti nel misfatto tramite eMail l’accaduto invitandoli a cambiare in tempi brevissimi le password associate all’username. Di seguito vi riportiamo l’email integrale:
Salve,
sta ricevendo questa email perche’ le password associate alla sua utenza del sito http://qualitapa.gov.it sono state compromesse e pubblicate su internet, con annessa visibilita’ mediatica pubblica dell’evento.
– Pubblicazione di 9000 password del ministero (inglese):
http://www.cyberwarnews.info/2011/12/18/9000-accounts-leaked-from-italian-minister-for-public-administration-and-innovation/
– Elenco delle password pubblicate
http://pastebin.com/raw.php?i=wVSq1Ujb
Questo messaggio vuole avvisarvi di CAMBIARE LE PASSWORD dei vostri acccount USERNAME e EMAIL.
Spesso si utilizza la stessa password fra piu’ sistemi informativi, per cui se la password da lei usata su qualitapa.gov.it consente l’accesso ad altri sistemi informativi (come l’email o il gestionale aziendale), dovete subito CAMBIARE LE VOSTRE PASSWORD.
Suggeriamo vivamente di CAMBIARE LA PASSWORD relativa alla vostra utenza su:
– Sito web http://qualitapa.gov.it (quando fosse nuovamente disponibile)
– Sistema di Accesso Email della propria agenzia pubblica o personale
– Sistemi informativi accessibili da internet con la vostra utenza
Questo messaggio e’ stato inviato in modo indipendente da qualunque coordinamento o collegamento con autorita’ o enti di vigilanza, esclusivamente come iniziativa civica d’urgenza, considerati i rischi potenziali legati a questa perdita di dati e ad altre che potrebbero accadere senza un celere cambio di password.
Vi ricordiamo di attenervi esclusivamente alle comunicazioni ufficiali degli uffici preposti, questo messaggio inviato d’urgenza e’ solo di carattere informativo al fine di consentire una piu’ celere risposta all’incidente informatico, invitando a un cambiamento di password delle proprie utenze accessibili da internet.
Lunedi’ mattina cambiata la vostra password e contattate il vostro referente per la Sicurezza informatica o per i sistemi informativi.
https://www.andreadraghetti.it/wp-content/uploads/2011/12/Schermata-12-2455915-alle-15.13.11.png6341092https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2011-12-19 17:03:522011-12-19 17:03:52Bucato il sito del Ministero per la Pubblica Amministrazione e l'Innovazione
In diversi luoghi ho parlato dell’attacco avvenuto alla RSA Security lo scorso Giugno 2011 oggi voglio invece mostrarvi un video realizzato da J. Oquendo nel quale viene analizzata la prima fase dell’attacco. Per introdursi nell’azienda è stata utilizzata la tecnica di Spear Phishing inviando ad un dipendente della nota società di sicurezza informatica una eMail contenente una file Excell nel quale vi era con codice VBScript che sfruttava una falla 0Day di Adobe Flash Player.
Grazie a questa escalation è stato possibile accedere ai sistemi interni della RSA Security sottraendo una o più Master Key in grado di generare i codici dei Token OTP (One Time Password).
Nel video vengono utilizzate le principali tecniche ed utility di OSINT (Open Source INTelligence).
Il cyberattacco condotto dalla LulzSecurity nel luglio scorso contro il Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche, che fa capo alla polizia postale, sarebbe una bufala. Anzi, molto peggio, un complotto. A sostenerlo sono gli Anonymous, che si sono accorti di come la quasi totalità degli otto gigabyte di dati sottratti all’azienda che fornisce assistenza tecnica al Centro sia in realtà un clamoroso falso.
C’era di tutto, tra i documenti resi pubblici dagli hacktivist su Twitter e Pastebin.com: dai rapporti confidenziali di agenti in servizio alle scansioni di documenti di identità di cittadini russi, indiani ed egiziani. Persino gli schemi del server del Cnaipic, l’organigramma e l’ubicazione dei suoi uffici, e ancora diverse immagini di poliziotti al lavoro, compresa una foto di gruppo che sembra estratta da una presentazione. Tutto, o quasi, falso. Come del resto sarebbe falsa anche l’intercettazione del carteggio segreto secondo il quale dal Brasile sarebbe partito un maxiversamento in denaro verso la diocesi cattolica di Hong Kong per aiutare l’ex premier ucraina Julija Tymošenko a fuggire all’estero per scampare all’“inevitabile incarcerazione imminente”, di fatto avvenuta poi il 5 agosto scorso.
Ma non si sarebbe trattato di una polpetta avvelenata lanciata ai cyberattivisti, bensì di un complotto volto a screditare l’immagine dello stesso Cnaipic, o meglio ancora delle realtà private che offrono al centro la loro consulenza, per farle apparire incapaci di badare alla sicurezza dei propri sistemi. L’obiettivo? «Favorire qualche altra società di websecurity privata, convinta di poter ottenere così qualche appalto multimilionario o qualche super commessa a sei zeri», rivela a Linkiesta uno degli stessi Anonymous. La cybersicurezza, da sempre terreno di ricco business, è diventata infatti di questi tempi una vera e propria miniera d’oro per gli addetti ai lavori. Ecco perché, secondo i cyberattivisti, a qualcuno avrebbe potuto far molto comodo eliminare dalla lizza qualche concorrente di primo piano.
«È ormai chiaro che qualcuno avesse intenzione di fare uno sgambetto al Cnaipic per favorire, a discapito delle società di consulenza private che collaborano con il centro, qualche altra società di web security privata», ci spiega la nostra fonte sicura all’interno del movimento. Il vero obiettivo del “complotto”, quindi, era il Cnaipic stesso. Gli Anonymous, anche loro caduti nel tranello, sarebbero stati solo l’inconsapevole strumento per far scattare la trappola.
Tra complotti, paranoie e web-figuracce internazionali, tra il popolo del web tira aria di scandalo. Già gran parte degli stessi Anonymous non aveva digerito l’attacco del 25 luglio scorso, condotto contro un’istituzione impegnata in prima linea nella lotta alla pedopornografia on-line e al terrorismo, e quindi, secondo l’etica hacker, “dalla parte dei buoni”, nonostante sia loro acerrima nemica su altri fronti. In più, la rivelazione: la maggior parte dei dati sensibili sottratti nel raid si rivela fasulla. Davvero un duro colpo per la credibilità dell’intero movimento, che ora si interroga sulla necessità di maggiore cautela per i prossimi attacchi, onde evitare ulteriori strumentalizzazioni interessate.
«Da settimane la comunità internazionale degli Anonimi discute della vicenda, e siamo sempre più convinti che questa sia la corretta lettura di quanto avvenuto: era in corso una battaglia tra le stesse società di websicurezza privata che abitualmente combattiamo, ma nostro malgrado ci siamo finiti in mezzo» ci spiega il nostro referente. «D’ora in avanti dovremo essere ancora più cauti. Sappiamo di avere nemici dappertutto, ma sicuramente non vogliamo diventare burattini nelle mani di questo o di quell’altro».
https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png00https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2011-09-06 19:22:572011-09-06 19:22:57L'attacco al CNAIPIC è stato un complotto!
Il BlackBerrry Enterprise Server è soggetto ad una vulnerabilità scoperta i primi giorni di questo affannoso Agosto, l’exploit permettere ad un utente malintenzionato di prendere il pieno controllo del server semplicemente inviando una immagine creata ad Hoc ad un utente del BES.
La vulnerabilità influenzerebbe i server BES per Exchange, Lotus Domino e Novell GroupWise, quest’ultimi prodotto sono stati aggiornati il 9 Agosto 2011 per correggere la vulnerabilità.
L’attaccante per sferrare l’attacco deve creare l’immagina maligna (in formato TIFF o PNG) ed inviarla all’utente associato al BES, una volta pervenuta l’eMail nel server non si dovrà fare nient’altro che sferrare l’attacco. In alcuni casi, l’utente non deve nemmeno aprire l’eMail.
Maggiori informazioni sono reperibili sul sito ufficiale di BlackBerry.
https://www.andreadraghetti.it/wp-content/uploads/2011/08/blackberry-enterprise-server-express.jpg390597https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2011-08-21 00:26:352011-08-21 00:26:35Vulnerabilità nel BlackBerry Enterprise Server
Il Centro Nazionale Anticrimine Informatico ha ricevuto un attacco nello scorse ore da parte degli Antisec rivendicato, come di consueto, tramite Twitter.
Il team Antisec ha pubblicato i dettagli dell’attacco su PasteBin rilasciando anche una parte dei documenti ottenuti, sono infatti stati recuperati dati sensibili quali documenti di identità, atti legali, fotografie e documenti tecnici sull’infrastruttura di rete del CNAIPIC.
Tutto il materiale, ammonterebbe a circa 8Gb, verrà rilasciato nelle prossime ore.
Potete visualizzare la rivendicazione integrale e il materiale sottratto a questo link: http://pastebin.com/r21cExeP
Questa notte il Team Anonymous ha annunciato di aver portato a termine un attacco di tipo SQL Injection nel sito Apple Survey predisposto per raccogliere il grado di soddisfazione degli utenti che usufruiscono del servizio di assistenza tecnica, ottenendo conseguentemente l’accesso al database.
La pagina vulnerabile all’attacco è la seguente: http://abs.apple.com:8080/ssurvey/survey?id= che però è stata prontamente modificata dall’azienda di Cupertino comunicando a tutti gli utenti di accedere ad un nuovo Link per terminare il sondaggio.
Il database che conteneva username e password degli amministratori di rete è reperibile su PasteBin.
https://www.andreadraghetti.it/wp-content/uploads/2011/07/apple_sql.png347640https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2011-07-03 15:22:352011-07-03 15:24:16Il Team Anonymous attacca Apple
Colpito e affondato. Erano le ore 12 quando la rete Anonymous, a cui fanno riferimento hacker in tutto il mondo, ha sferrato l’attacco al sito internet dell’Autorità per le Garanzie nelle Comunicazioni. Un’ora dopo il sito www.agcom.it è andato in tilt. L’azione è stata rivendicata con il motto: “la libertà di avere internet libero è un diritto che nessuno deve ostacolare”. Al centro della protesta la fatidica data del 6 luglio, quando entrerà in vigore il nuovo regolamento sui contenuti pubblicati online che violano il diritto d’autore. “In Italia – si legge nel comunicato degli hachers – l’Agcom che ha il compito di vigilare sui servizi media audiovisivi in realtà svolge un ruolo censorio e repressivo. L’ente – prosegue Anonymous – vorrebbe istituire una procedura veloce e puramente amministrativa di rimozione di contenuti online considerati in violazione della legge sul diritto d’autore. L’Autorità, potrebbe sia irrogare sanzioni pecuniarie molto ingenti a chi non eseguisse gli ordini di rimozione, sia ordinare agli Internet Service Provider di filtrare determinati siti web in modo da renderli irraggiungibili dall’Italia. Il tutto – conclude la nota – senza alcun coinvolgimento del sistema giudiziario”. In sintesi, Anonymous ha detto basta “a questa dittatura, ai metodi repressivi e censori, alla sistematica violazione della privacy per scopi di lucro e basta allo strapotere delle lobby del cinema e della TV, che per i loro interessi economici ledono il diritto degli utenti”.
https://www.andreadraghetti.it/wp-content/uploads/2011/06/28970.png18901890https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2011-06-28 19:38:512011-06-28 21:33:21Anonymous vs AGCOM
RSA Security è una divisione della EMC Corporation fondata nel 1982 con l’intendo di progettare i migliori sistemi di protezione di dati personali ed aziendali, il nome deriva dall’omonimo sistema crittografico nato nel 1976 dai due ingegneri Whitfield Diffie e Martin Hellman.
Il loro prodotto più diffuso è sicuramente la SecurID, ovvero una chiavetta OTP (One Time Password ) sfruttata principalmente per l’accesso online agli Istituti Bancari ma anche alle infrastrutture aziendali. La SecurID genera una password composta da sei numeri ogni sessanta secondi e visualizzabile attraverso un piccolo schermo posto sulla chiavetta.
Il funzionamento dei SecurID si riassume attraverso i seguenti tre elementi:
RSA Authentication Manager: ha il compito di verificare i dati immessi dall’utente;
RSA Agent: si installa sulle risorse da proteggere, creando un sottolivello di sicurezza che permette il colloquio con l’Authentication Manager;
Tokens: generano i codici numerici denominati Tokencode sincronizzati temporalmente con l’Authentication Manager.
Durante la fase di login l’utente dovrà digitare il Tokencode visualizzato sul display della chiavetta in quale dovrà corrispondere a quello generato dal RSA Authentication Manager, se i dati corrispondono RSA Agent procede ad abilitare l’utente consentendoli l’accesso alle risorse richieste. Importante precisare che per il corretto funzionamento il token e server devono essere perfettamente allineati con il clock UTC, infatti calcoleranno nel medesimo istante lo stesso codice.
Art Coviello, Chief Executive Officer della RSA, attraverso un comunicato stampa ha reso noto che la propria società è rimasta vittima di un sofisticato attacco informatico finalizzato al furto di dati sensibili e del tipo APT (Advanced Persistent Threat), per colpire l’azienda è stato effettuato un Spear Phishing collegato ad una falla 0-Day di Adobe Flash Player.
Lo Spear Phishing non è un attacco generico di Phishing ma è mirato ad un obbiettivo ben preciso e lascia intendere che il mittente sia una persona conosciuta (amico, famigliare, collega o datore di lavoro) abbassando notevolmente la guardia del bersaglio. In realtà le informazioni sul mittente vengono falsificate o ricavate tramite “spoofing”, mentre il phishing tradizionale si propone lo scopo di sottrarre informazioni da singoli utenti le frodi che si basano sullo spear phishing hanno come obiettivo quello di penetrare all’interno del sistema informatico di una società e realizzare un attacco di tipo APT.
Uri Rivner, capo delle nuove tecnologie della RSA, ha rilevato nel suo Blog che l’attacco è accaduto principalmente in tre fasi.
Nella prima fase l’attaccante ha inviato a due piccoli gruppi di dipendenti una eMail con oggetto “Piano di Assunzioni 2011” contenente un file Excell, un dipendente incuriosito ha aperto l’allegato il quale realmente conteneva un malware che ha sfruttato la falla 0-Day di Adobe Flash Player per installarsi sul terminale.
Successivamente l’attaccante ha iniziato la scalata verso gli account più importanti della RSA Security, sfruttando il terminale compromesso ha rubato credenziali di accesso e si è propagato a macchia d’olio in
tutta l’infrastruttura aziendale. Sembrerebbe che le credenziali d’accesso di ogni singolo utente siano utilizzabili su molti terminali della società e non esclusivamente nel terminale in uso dal dipendente, questo ha permesso all’attaccante di identificarsi con le credenziali dell’utente di basso livello (dipendente) nei terminali dei diversi responsabili aziendali rubando ulteriori password e materiale importante. La terza e ultima fase ha visto l’invio di tutti i documenti rubati ad un computer esterno presso un Hosting Provider, in precedenza violato, dal quale l’attaccante ha recuperato i dati eliminando quasi tutte le tracce.
Brian Krebs, famoso giornalista Americano sul CyberCrime, ha dichiarato che sarebbero stati identificati tre indirizzi IP sfruttati per l’intrusione uno dei quali proveniente dalla P.r.C. (People’s Republic of China) ma ovviamente potrebbe essere stato uno stratagemma per rallentare le indagini.
Inizialmente non si sapeva esattamente cosa era stato sottratto dai sistemi informatici della RSA i giornali più distratti hanno reso noto il furto dell’algoritmo, ma essendo pubblico dal 2000 è facile rubarlo 🙂 piuttosto è possibile sia stata trafugata una Master Key. Infine non dimentichiamoci che la RSA Security non produce esclusivamente SecurID il furto potrebbe riguardare tutt’altro anche un semplice database con l’archivio dei clienti.
Ed è stato proprio Whitfield Diffie ad ipotizzare il furto della Master Key ossia una stringa molto grande, utilizzata come parte integrante dell’algoritmo presente nei server di Authentication Manager. Attraverso la Master Key nei peggiori dei casi l’attaccante riesce a riprodurre dei Tokens gemelli a quelli originali, rendendo così più facile l’accesso ad un sistema informatico protetto.
La notizia più recente è del 7 Giugno, la RSA ha annunciato attraverso un comunicato stampa la sostituzione di 40 milioni di Token SecurID a causa dell’attacco informatico subito a Marzo 2011, questa ammissione avvalora ancora di più la tesi che sia stata trafugata una Master Key ed è pertanto necessario sostituire i token in distribuzione per assicurare la sicurezza dei propri clienti.
Questo avvenimento che ha colpito una delle più imponenti aziende di Sicurezza Informatica ci insegna che non dobbiamo mai abbassare la guardia nemmeno da una eMail inviataci dall’amico di infanzia e soprattutto apportare una corretta politica di IT Security all’interno delle aziende includendo nei corsi tutte le persone che quotidianamente usano un terminale e addestrarli ad evitare un attacco di Ingegneria Sociale che è sicuramente il sistema più diffuso per rubare informazioni importanti.
Il 13 Febbraio avverrà il secondo attacco ai siti istituzionali Italiani da parte del gruppo Anonymous, questa volta sarà a sorpresa pertanto a differenza dello scorso non si saprà fino all’ultimo il bersaglio.
Potete leggere il comunicato integrale cliccando sull’immagine sovrastante contente anche le rivendicazioni oppure accendo al sito ufficiale.
