Due importanti novità, la prima è che abbiamo appena rilasciato la versione 4.7 di BackBox Linux. Siamo anche la lavoro sulla BackBox 5 basata su Ubuntu 16.04 LTS ma assieme a questa versione vogliamo rinnovare completamente l’intero ecosistema di BackBox, dai servizi in Cloud che stiamo erogando principalmente alle aziende del settore di IT Security, dal Sito, la WiKi e ovviamente la distribuzione che avrà una nuova veste grafica.
BackBox 4.7 è quindi un aggiornamento minore, che porta con se tutti gli ultimi fix rilasciata da Canonical sulla TLS 14.04 e il nuovo stack del kernel allineato con xenial. Questa versione abbiamo deciso di rilasciarla per chiudere le release 4.x con una versione stabile che potrà essere sfruttata anche su un lungo periodo. Inoltre sono stati aggiornati i principali tools inclusi.
Potete scaricare la versione AMD64 o i386 di BackBox sul sito ufficiale backbox.org attraverso i mirror HTTP oppure via rete Torrent. Se volete invece aggiornare la vostra attuale installazion sul Blog Ufficiale trovate invece i passaggi da seguire. Una donazione al progetto è ovviamente gradita 😉
L’altra novità è relativa al mio blog, come vedete OverSecurity.net è stato unito ad AndreaDraghetti.it. La scelta di fondere questi due domini l’ho decisa per parlare in un unico spazio di più tematiche come l’Elettronica e l’Informatica in generale. Over Security rimane comunque un canale attivo sui Twitter e Facebook focalizzato sui temi di IT Security.
https://www.andreadraghetti.it/wp-content/uploads/2014/08/BackBox-Linux-logo.png600600Andrea Draghettihttps://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.pngAndrea Draghetti2016-12-06 13:08:342016-12-06 14:53:15BackBox Linux 4.7 e Novità dal Blog!
Nella giornata odierna abbiamo rilasciato BackBox 4.5.1, nuova versione che non introduce alcuna novità rispetto alla precedente 4.5 rilasciata lo scorso 30 Gennaio ma risolve due importanti problemi che diversi utenti ci stavano segnalando. Il primo problema era legato all’incompatibilità con le vecchie versioni di VMWare Workstation, la macchina virtuale non si avviava a causa di due anomalie sul Kernel (prima – seconda), il secondo problema era legato al download dei pacchetti di aggiornamento tramite APT durante la fase di installazione.
Potete scaricare le nuove ISO tramite i mirror ufficiali o tramite rete Torrent, trovare i link al download direttamente sul sito ufficiale del progetto. Si che abbiamo completamente rinnovato vista la fondazione dell’associazione BackBox Linux la quale progressivamente introdurrà nuovi servizi che verranno offerti al pubblico per ripagarci delle spese che abbiamo per mantenere attivo il progetto.
Infine voglio ringraziare tutte le persone che non solo ci hanno segnalato le anomalie ma anche che hanno lavorato al nostro fianco testando le diverse release beta che abbiamo prodotto per riuscire a risolvere i problemi.
https://www.andreadraghetti.it/wp-content/uploads/2016/03/Schermata-2016-03-08-alle-17.39.31.png7251186https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2016-03-08 18:15:282016-03-08 18:15:28BackBox Linux 4.5.1 - Nuovamente compatibile con VMWare
Visto l’inaspettato successo del precedente Talk a FoLUG, Mario Anglani che tutti conoscerete per la magistrale organizzazione dell’HackInBo mi ha chiesto di ripetere il talk al RaspiBO di Bologna il prossimo 23 Febbraio 2016.
Martedì sera riprenderò i temi già trattati a Forlì con una simulazione in tempo reale di un Penetration Test in modalità Capture the Flag, ho optato per una variante in stile CTF per rendere l’evento più interattivo e coinvolgere al meglio tutti i partecipanti così da sfruttare il nostro intelletto per carpire importanti dettagli e/o vulnerabilità.
Il sistema target che andremo ad attaccare durante la serata presenta diverse vulnerabilità, ognuna di essere ci permetterà di scoprire le cinque fasi principali di un Penetration Test:
Information Gathering;
Vulnerability Assessment;
Exploitation;
Privilege Escalation;
Maintaining Access.
Attraverso la distribuzioneBackBox Linux attaccheremo in tempo reale il sistema target, inizialmente raccoglieremo informazioni importanti sul nostro obiettivo, successivamente individueremo e sfrutteremo le vulnerabilità e infine scaleremo i privilegi per ottenere i permessi di root e catturare la bandiera 😉
L’evento si terrà presso il Makerspace di RaspiBO, Casalecchio via Canonica 18 , alle 21 circa. Vi consiglio di guardare il sito ufficiale per qualsiasi ulteriore indicazione e di iscrivervi su Eventbrite se vorrete partecipare.
Vi aspetto martedì sera 😉
Di seguito il video integrale, mentre le slide sono disponibili su SlideShare.
https://www.andreadraghetti.it/wp-content/uploads/2016/02/IMG_2016-02-20-145204.jpg7681024Andrea Draghettihttps://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.pngAndrea Draghetti2016-02-20 16:45:162016-12-02 17:41:53RaspiBO Talk: Simulazione di un Penetration Test
Martedì 26 Gennaio abbiamo rilasciato la versione 4.5 di BackBox Linux, questo aggiornamento minore permette a tutti gli utenti che scaricano la ISO di avere sempre a disposizione in modalità live le ultime versioni dei principali software dedicati al Penetration Testing.
Novità
Nella versione 4.5 di BackBox sono stati aggiornati i seguenti tools: wpscan, knockpy, nmap, zaproxy, set, guymanager, sqlmap, apktool, hashcat, can-utils, binwalk e openvas che ora è raggiungibile attraverso la porta 4000. Phishing-frenzy è invece un nuovo software disponibili nei repository ufficiali, ma non installato di default.
Purtroppo a causa del poco tempo non sono riuscito a pachettizzare comix, che comunque arriverà a breve assieme all’aggiornamento di dir3arch che è in corso in queste ore.
Download
Il download è possibile eseguirlo attraverso il sito ufficiale di BackBox, oltre ai due soliti Mirror HTTP (il GARR e il server di OverSecurity). Inoltre è possibile sfruttare un nuovo server Torrent con connettività di upload pari a 200Mb/s appositamente pensato per condividere le ISO di BB.
Upgrade
Per chi infine pensa di effettuare un upgrade dalla sua attuale versione alla nuova 4.5, può eseguire da terminale i seguenti comandi:
Venerdì 11 Dicembre presso il Forlì Linux Group terrò uno Speech su BackBox Linux, assieme al direttivo del FoLUG ho deciso di dimostrare le potenzialità di BackBox attraverso una Simulazione Live di Penetration Test.
In un evento che durerà circa 2ore dimostrerò le cinque fasi principali di un Penetration Test:
Information Gathering;
Vulnerability Assessment;
Exploitation;
Privilege Escalation;
Maintaining Access.
Sfrutterò dei software preinstallati in BackBox e vulnerabilità note per attaccare un Server Web basato su Ubuntu Linux. Dimostrerò quindi come è possibile usare nmap per scansione le porte, dirs3ach per ricercare applicativi web non indicizzati dai motori di ricerca, sqlmap per cercare e sfruttare vulnerabilità di tipo SQL Injection, Metasploit per attaccare un servizio presente sulla macchina target, effettuare un escalation dei privilegi sfruttando una vulnerabilità del Kernel e infine weevely per caricare una backdoor per mantenere attivo l’accesso sul target.
L’evento si terrà alla sera, alle 21:30 circa direttamente nella sede del FoLUG. Vi consiglio di guardare il sito ufficiale del LUG all’inizio della prossima settimana per conoscere gli orari esatti, non è che detto che ci sia anche un pre-ritrovo per chi vuol cenare in compagnia.
https://www.andreadraghetti.it/wp-content/uploads/2015/12/FoLug_11_Dicembre_2015.png7681024Andrea Draghettihttps://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.pngAndrea Draghetti2015-12-05 18:49:552016-12-05 22:45:3111 Dicembre al FoLUG terrò una Simulazione di Penetration Test con BackBox!
Sabato 28 Novembre 2015 sarò lieto, per la prima volta in questo evento che viene organizzato da ormai 6 anni, di essere un relatore dell’Open Source Day a Udine!
Un talk della durata di 45 Minuti presenterò il progetto BackBox Linux e tramite Metasploit effettuerò una simulazione di attacco ad un Server Web sfruttando la vulnerabilità Shellshock!
Il 2014 èstato un periodonero per la sicurezzainformaticadeisistemi Linux e non solo, l’annosièaperto con la vulnerabilitàHeartBleedche ha afflitto la libreriaOpenSSL e successivamenteèstataindividuataunaimportantefallanella shell Bash. Questavulnerabilitàpermette ad un utentemalintenzionatodieseguirecomandiarbitrari, comandichepossonopermettere ad un utentemalintenzionatodiottenerel’accesso non autorizzato ad un sistemainformatico.
I principaliaggressorihannosfruttato la vulnerabilitàgiàpoche ore dopo la suapubblicazione per creareBotnet con i server vulnerabilità; Yahoo èstataunadellegrandivittimediquesto exploit.
Vi aspetto quindi Sabato 28 Novembre, per chi volesse vedere l’agenda della giornata piena di eventi e talk vi rimando al sito ufficiale!
Ora, per chi mi segue live, vi consiglio di guardare il Pirate’s Night Show di stasera con Stefano Zanero e Automated Malware Analysis!
AGGIORNAMENTO: Le slide sono disponibili su SlideShare e il video dimostrativo di seguito
Fra poco meno di 4 ore sarò ospite al Pirate’s Night Show, vi aspetto alle 21:30 su YouTube!
Il talk show Pirate’s Night ideato da Andrea Amani (Pinperepette) con la partecipazione di Paolo Stagno (VoidSec) e Daniele Ilardo è ormai un appuntamento fisso in streaming su YouTube tutti i Martedì sera dalle 21.30.
La puntata di stasera è incentrata sulle principali distribuzioni di Penetration Testing e Computer Forensics Italiane, personalmente con Raffaele Forte sono chiamato a rappresentare BackBox Linux la nostra “creatura” che dal 2010 sviluppiamo quotidianamente. Ci affiancherà Lorenzo Faletra di Parrot Security e Nanni Bassetti con la sua distribuzione CAINE.
https://www.andreadraghetti.it/wp-content/uploads/2015/11/Pirates_Night_Show.jpg6411023Andrea Draghettihttps://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.pngAndrea Draghetti2015-11-10 17:32:252016-12-02 17:48:44Pirate's Night Show - Stasera vi aspetto!
Sabato 24 ottobre sarò nuovamente ospite dell’Orvieto LUG per il Linux Day 2015, il tema di quest’anno che ho deciso di trattare è il Phishing! Grazie alla collaborazioni con il D3Lab porterò dati realistici sul Phishing Italiano!
Quotidianamente sfruttiamo computer o smartphone per rimanere interconnessi con il mondo digitale. Online condividiamo i nostri stati d’animo, gestiamo i conti bancari, facciamo acquisti, studiamo e lavoriamo. Viviamo in una società digitale che offre enormi vantaggi, ma nasconde anche pericolose trappole. Ogni volta che sfruttiamo una comunicazione digitale rischiamo che ci vengano sottratte informazioni, segreti, soldi e la nostra identità. Il phishing è una truffa dove un malintenzionato cerca di ingannare la vittima convincendola a fornire credenziali d’accesso, dati finanziari o informazioni personali. Si tratta di una attività illegale che sfrutta l’ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate. In prevalenza è una truffa eseguita usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.
Il programma della mattinata è molto intenso, 6 Talk della durata di 30 minuti l’uno ci parleranno di Programmazione, Open Source nella PA, Sicurezza Informatica, Anonimia con Linux, Musica e le basi dell’amato pinguino! Nel pomeriggio invece Laboratori tematici ed installazioni Linux anche su Raspberry Pi!
Se qualcuno vuole venirmi a salutare e a fare due o tre chiacchiere sulla Sicurezza Informatica può registrarsi su EventBrite mentre per tutti i dettagli sulla location, orari, ecc vi lascio il sito ufficiale dell’evento.
Vi aspetto!
AGGIORNAMENTO: Le slide dell’evento sono disponibili su SlideShare
https://www.andreadraghetti.it/wp-content/uploads/2015/10/Schermata-2015-10-13-alle-23.37.08.png7891045Andrea Draghettihttps://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.pngAndrea Draghetti2015-10-19 22:31:032016-12-02 17:51:49Linux Day 2015, ci vediamo ad Orvieto? Parlerò di Phishing!
C’era una volta un blogger che postava i suoi articoli ogni 2 giorni, ora lo stesso blogger è passato a due mesi, scusatemi ragazzi! Onestamente un po’ mi vergogno nel vedere il Blog abbandonato per 2 mesi interi, non vi ho neanche dato l’annuncio del rilascio di BackBox 4.3 lo scorso Agosto! 🙁
Oggi voglio parlavi di BackBox 4.4, in questa nuova versione della distribuzione di Penetration Testing abbiamo lavorato per implementarvi nuovi tools. Parto subito dalla nuova sezione Automotive Analysis, l’utilizzo dell’interfaccia OBD (On Board Diagnostic) per controllare le centraline delle nostre autovetture è sempre più frequente ed abbiamo quindi pensato di predisporre BackBox con diversi tools per controllare la centralina della vostra auto. Nel mese di novembre conto di scrivere un articolo su quale interfaccia OBD sfruttare al meglio, sto personalmente valutando 2/3 interfacce USB (quelle Bluetooth per adesso le ho scartate) compatibili con Linux. Per chi non conosce affatto questo mondo credo che partire con un interfaccia OBD sicuramente funzionante e testata sia la soluzione migliore.
In secondo luogo ho il piacere di annunciarvi che BackBox ha avviato una stretta collaborazione, grazie a Stefan, con lo sviluppatore Mohammad Razavi di OpenVAS! OpenVAS che troverete da ora preinstallato su BackBox, nella versione Live avete a disposizione il Database aggiornato al 10 Ottobre 2015 se invece procedere all’installazione locale vi consigliamo di aggiornare manualmente il database di OpenVAS così da poter caricare le ultime vulnerabilità.
Abbiamo infine aggiornato tutti i tools di Penetration Testing e corretti alcuni bug.
Non vi resta allora che effettuare il Download, magari seguito da una piccola donazione!
https://www.andreadraghetti.it/wp-content/uploads/2015/10/BackBox_4.4_Automotive_Analysis.png263395https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2015-10-12 15:00:102015-10-12 11:17:34Rilasciato BackBox 4.4 - È arrivato il momento di testare la sicurezza della tua auto!
In queste ultime settimane una storica editoria Italiana che vanta un fatturato di oltre 500 milioni di euro nel 2014, fonte Wikipedia, ha pubblicato sull’Apple Store e Play Store una nuova applicazione per leggere un celebre fumetto.
Purtroppo la prima versione di questa App sta ricevendo notevoli commenti negativi nei rispettivi store, le criticità riportate sono basate sulla lentezza nell’ottenere i contenuti e sui continui crash durante la lettura del fumetto.
Ricerca
A fini di ricerca ho voluto visualizzare il traffico generato dall’Applicazione installata sul mio iPad Mini, ho così provveduto ad aprire BackBox Linux e il software preinstallato ZAP Proxy, proprio come feci tempo indietro rilevando che era possibile leggere più di 20 Quotidiani o Riviste gratuitamente scavalcando il sistema di pagamento.
Directory Listing
L’analisi del traffico attraverso il Proxy Server è durata veramente poco, l’applicazione attraverso uno script PHP autentica l’utente attraverso una richiesta POST in chiaro e ne consegue che l’utente viene autorizzato o meno allo scaricamento dei fumetti. Se non è autorizzato viene invitato ad acquistare il fumetto.
Se l’utente è autorizzato inizia il download del PDF contente le nuove e avvincenti storie del xxxxxx più famoso della storia 😀
Con una semplice analisi del traffico scopro già le prime lacune in termini di sicurezza informatica:
Assenza del protocollo SSL per l’invio delle credenziali dell’utente;
Invio delle credenziali in chiaro (es. username=andrea.d&password=nonteladico);
Server pubblico senza la ben che minima protezione agli accessi;
È possibile ottenere illecitamente il fumetto conoscendo la path del file PDF, poiché ad esso non è associato alcun meccanismo di autenticazione.
Nuovamente quindi è possibile leggere il fumetto eludendo il meccanismo di pagamento, con un grosso danno economico alla casa editoriale. È un punto importante e molto critico che favorisce la pirateria ai danni della società, ho già parlato di questi aspetti in passato ed ora non voglio soffermarmi ulteriormente anche perché sono un loro fedele cliente da oltre 20anni e continuerò ad esserlo.
Il secondo dettaglio che mi è saltato all’occhio aprendo il PDF nel mio Browser Firefox è che il server permette il Directory Listing son quindi riuscito a vedere i vecchi e nuovi numeri che usciranno nelle prossime settimane! :O
Vi ricordate il danno di immagine della Sony quando vennero trafugate in anteprima delle pellicole cinematografiche?! Bene e se iniziassi a distribuire i futuri numeri del fumetto prima della loro uscita ufficiale, di quanto diminuirebbero le vendite lecite?
Credenziali di Root
Ho continuato la mia navigazione, lecita, all’interno del server scoprendo uno script in python e un file di configurazione XML che contengono le credenziali del server MySQL, credenziali che riportano come nome utente “root“ ed è quindi possibile dedurre che le credenziali SSH e MySQL coincidano non essendo presente un utente specifico per MySQL.
Mi sono cadute le braccia, un utente malintenzionato potrebbe quindi accedere con i massimi poteri sul server e “giocarci” a proprio piacimento!
Nessuno Conosce l’URL
Riflettendo sul caso mi è venuto in mente un recente articolo di Paolo, nel quale parla di un Penetration Testing andato a buon fine e delle scusanti che l’Acccount Manager gli ha riportato.
Il server web in questione non ha alcun dominio associato, quindi l’Applicazione accede direttamente all’IP del Server di produzione. Server che probabilmente ha il solo compito di autenticare gli utenti e distribuire i file PDF!
La casa editoriale o lo sviluppatore potrebbe rispondermi “Non vi è alcun riferimento a quel server sul nostro sito Web, perché preoccuparsene!?” la risposta è facile! Quel server è su INTERNET e accessibile a TUTTI, non è stato implementato alcun sistema di autenticazione e non vi è neanche un briciolo di buona volontà nel renderlo sicuro! Ne riparleremo quando Google scansionerà il contenuto del server e le credenziali saranno alla mercé del più infimo lamer che userà il server per diffondere Phishing, Malware, ecc ecc!
https://www.andreadraghetti.it/wp-content/uploads/2015/06/MySql_Root_1v2.png6001092https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2015-06-29 09:55:242015-06-30 12:26:47Il Webserver "nascosto" che ci mostra le credenziali di root
