Articoli

MyWind & SQL Injection – A rischio le credenziali degli utenti!

MyWind_App

Lo scorso 4 Gennaio sul sito degli Autistici il ricercatore di Sicurezza Informatica Giulio ha rilevato come l’applicazione MyWind dell’omonimo operatore di telefonia mobile sia vulnerabile ad un attacco di tipo SQL Injection. L’applicazione permette agli utenti Wind/Infostrada di vedere il proprio credito residuo, contatori, promozioni attive, visualizzare il PUK e diverse altre opzioni.

Giulio, il ricercatore, ha rilevato una vulnerabilità di tipo SQL Injection nel form per il recupero della password, nel caso un cliente l’avesse smarrita. Dato l’ambiente e il form risultato vulnerabile è facilmente deducibile che è possibile ricavare dal database informazioni confidenziali come eMail, username, password e magari anche i numeri di cellulare degli utenti se non addirittura il traffico telefonico generato.

La Full Disclosure integrale è disponibile sul sito degli Autistici dove vengono mostrati i Request e Response a dimostrazione della vulnerabilità individuata.

Il parametro vulnerabile è il numero di cellulare dell’utente, inviato tramite metodo POST ai server della Wind. Nell’esempio sottostante viene utilizzato il numero fittizio 340123456 e viene iniettato il classico and 1=1:

parameters=["340123456' and 1=1"]&adapter=MASPAdapter&__wl_deviceCtx=<stripped>&procedure=startRecuperoCredenzialiMobile&compressResponse=false&isAjaxRequest=true&x=0.6955877927697153

La risposta alla precedente richiesta dovrebbe essere negativa, avendo iniettato codice a nostro piacimento, ma con grande risposta otteniamo una risposta positiva (true):

/*-secure-
{<strong>"isSuccessful":true</strong>,"response":{"reason":"Richiesta elaborata correttamente","status":"0","datetime":"20141209205546"},"session":{"id":"","expires":"600"}}*/

Come spesso accade, anche nelle vulnerabilità da me individuate, nonostante diverse segnalazioni l’applicazione risulta ancora ad oggi vulnerabile e un attaccante potrebbe sfruttare questa falla per sottrarre informazioni private o nella peggiore delle ipotesi accedere ai sistemi Wind mediante una shell caricata attraverso SQL Injection. La vulnerabilità è stata comunicata al gruppo Wind/Infostrada il 1 Dicembre 2014 e successivamente altre quattro volte senza ottenere alcuna risposta, pertanto il ricercatore ha pubblicato lo scorso 4 Gennaio la Full Disclosure.

Come sempre mi auguro in una veloce risoluzione del problema e una valutazione più approfondita degli aspetti di Sicurezza Informatica da parte delle grandi società tecnologiche.

[AGGIORNAMENTO]

Giulio vuole precisare il suo rapporto con gli Autistici:

Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.

/10 Commenti/da

Un grazie ai nostri 1000 Fan!

Con Grandissimo piacere lo scorso 25 Ottob2 2012 abbiamo raggiunto i 1000 “Mi Piace” sulla  nostra pagina ufficiale di Facebook! È quindi doveroso ringraziarvi per il vostro supporto, per tutte le segnalazioni e consigli che quotidianamente ci date!

Ogni vostro messaggio è per noi un prezioso messaggio per migliorare il Blog e per mantenere alto il vostro interesse!

Continuate a seguirci tramite Facebook, Twitter, Google+, eMail o RRS!

Grazie!

/1 Commento/da

[AGGIORNATO x3] Attacco a YouPorn – Migliaia di credenziali pubblicate

YouPorn uno dei siti porno più popolari è caduto in una “vulnerabilità” informatica, anzi è stato messo alla luce il pessimo sistema di realizzazione del sito internet. Sembra infatti che tutte le credenziali degli utenti del famoso sito pornografico fossero consultabili facilmente da tutti e quindi non vi era alcun tipo di protezione a tutela dei dati. Anders Nilsson ha rilevato e pubblicato sul suo blog questa lacuna oltre ad un link a PasteBin con più di 6mila credenziali di accesso (eMail e Password in chiaro).

Un duro colpo per la Privacy, non solo è stata esposta una password e la relativa associazione all’eMail in chiaro ma si potrebbero creare anche dei precedenti a livello lavorativo o di coppia.

È possibile consultare l’archivio sul sito di Paste Bin: http://pastebin.com/ieC6eTB7  http://pastebin.com/Jjacz5Zt

Facciamoci due risate… 🙂

[AGGIORNAMENTO 23/02/2012]

I dati raccolti provengono dal servizio di chat YouPorn Chat, il sistema di registrazione risalente al 2007 prevedeva la memorizzazione di tutte le credenziali di accesso in un file .log accessibile da chiunque, come è possibile visualizzare dalle immagini sottostanti.

[AGGIORNAMENTO x2 23/02/2012]

Nuovo PasteBin: http://pastebin.com/Jjacz5Zt

[AGGIORNAMENTO x3 24/02/2012]

Il ricercatore Nilssonanders ha pubblicato una statistica delle principali password utilizzate dagli utenti di You Porn Chat visualizzabile sempre su PasteBin.

/10 Commenti/da

Hacker Highschool – Una guida completa al mondo Hacker

Il progetto Hacker High School ha l’intento di fornire materiali istruttivi sul mondo dell’Hacking partendo dalle basi dell’etica Hacker affrontando i principali argomenti.
L’obbiettivo è quello di formare gli utenti sul mondo della Sicurezza Informatica scoprendo le principali tematiche partendo da una corretta etica Hacker, passando dalle porte e servizi di rete per finire in un capitolo dedicato alla legislatura.

Il progetto vede il patrocinio della ISECOM e anche se è datato (2005) è ancora ad oggi un ottima guida per tutti gli aspiranti Hacker, la versione Italiana è stata realizzata grazie alla partecipazione di:

Raoul Chiesa, ISECOM
Doriano Azzena, centro CSAS del progetto Dschola IPSIA Castigliano – Asti
Sophia Danesino, centro CSAS del progetto Dschola ITIS Peano – Torino
Nadia Carpi, centro CSAS del progetto Dschola ITIS Peano – Torino
Fabrizio Sensibile, OPST&OPSA Trainer, @ Mediaservice.net Srl, Torino – ISECOM Authorized
Training Partner
Claudio Prono, @ Mediaservice.net Srl, Torino – ISECOM Authorized Training Partner

È possibile scaricare i dodici capitoli del manuale attraverso i seguenti link:

Lezione 01 – Essere un hacker 26-01-05
Lezione 02 – Windows e Linux 26-01-05
Lezione 03 – Porte e Protocolli 26-01-05
Lezione 04 – Servizi e Connessioni 26-01-05
Lezione 05 – Identicazione del Sistema 26-01-05
Lezione 06 – Malware (Virus, Trojan, etc.) 26-01-05
Lezione 07 – Analisi di un attacco 26-01-05
Lezione 08 – Digital Forensics “casalinga” 26-01-05
Lezione 09 – Sicurezza nell’E-mail e Privacy 27-01-05
Lezione 10 – Sicurezza Web e Privacy 24-07-06
Lezione 11 – Le Password 27-01-05
Lezione 12 – Internet: Legislazione ed Etica 31-07-06
/1 Commento/da

Agari la startup anti Phishing

Agari è una startup America nata nel 2009 per difendere gli utenti dal Phishing ha recentemente visto il patrocinio di grandi Microsoft, Google, AOL, Yahoo e altre società minori che operano nel settore della sicurezza informatica.

Microsoft, Google, AOL, Yahoo si impegneranno nei mesi futuri ad inviare preziosi informazioni sulle eMail di tipo Phishing che circola nei loro server all’azienda Agari, i metadata delle eMail saranno attentamente analizzati per generare un preciso filtro anti phishing.

In ambito informatico il phishing (“spillaggio (di dati sensibili)”, in italiano) è una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l’accesso a informazioni personali o riservate con la finalità del furto d’identità mediante l’utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafico e logo dei siti istituzionali, l’utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc. {Wikipedia}

/0 Commenti/da

Vulnerabilità nel BlackBerry Enterprise Server

Il BlackBerrry Enterprise Server è soggetto ad una vulnerabilità scoperta i primi giorni di questo affannoso Agosto, l’exploit permettere ad un utente malintenzionato di prendere il pieno controllo del server semplicemente inviando una immagine creata ad Hoc ad un utente del BES.

La vulnerabilità influenzerebbe i server BES per Exchange, Lotus Domino e Novell GroupWise, quest’ultimi prodotto sono stati aggiornati il 9 Agosto 2011 per correggere la vulnerabilità.

L’attaccante per sferrare l’attacco deve creare l’immagina maligna (in formato TIFF o PNG) ed inviarla all’utente associato al BES, una volta pervenuta l’eMail nel server non si dovrà fare nient’altro che sferrare l’attacco. In alcuni casi, l’utente non deve nemmeno aprire l’eMail.

Maggiori informazioni sono reperibili sul sito ufficiale di BlackBerry.

/1 Commento/da

Phishing via eMail con HTML 5

Una recente ricerca di Joe Sylve del “Department of Computer Science University of New Orleans” ci spiega come sia possibile effettuare Phishing tramite una eMail con HTML 5.

Come si evince dal flowchart affinchè l’attacco venga portato a compimento devono essere soddisfatte tre condizioni:

  1. Click sul link ricevuto via email;
  2. Click sul pulsante “back” del browser per tornare indietro;
  3. Reinserire la password.

I test eseguiti su un campione di 100 utenti Gmail e 100 utenti Yahoo Mail, hanno avuto successo sul 9,5% dei destinatari.

È possibile scaricare il documento completo della ricerca a questo indirizzo.

Fonte | Gianni Amato

/2 Commenti/da

Vulnerabilità alle API di Facebook

Nelle ultime ore si è sentito molto parlare della dichiarazione effettuata da Symantec sulla vulnerabilità delle API di Facebook che permetterebbe alle applicazioni di accedere a dati sensibili di ogni utente registrato al famoso Social Network, compresa la password.

Ho particolarmente gradito l’intervento degli attivisti Anonymous Italia che hanno dimostrato l’effettiva vulnerabilità estrapolando negli ultimi mesi diversi dati di utenti generando una tabella contenente più di quattrocento dati. Nell’immagine di presentazione potete visualizzare uno estratto del report,  con la password volutamente oscurata, per chi invece volesse approfondire la vicenda può visualizzare questo PDF.

/11 Commenti/da

Servizio delle Iene sulla Sicurezza Informatica di un Provider Italiano

Ieri (28/10/2010) il programma televisivo Le Iene ha pubblicato un servizio dimostrativo sulla vulnerabilità dei sistemi informatici Italiani prendendo di mira un provider di caselle eMail gratuite.

Il servizio dimostra come sia possibile accedere (con una piccola sostituzione di parametri) alla casella eMail di un estraneo e prenderne il completo controllo.

Il provider, per correttezza, non è stato nominato e ne è visibile nel video dimostrativo ma Kris che ha scoperto il bug ha dichiarato di aver comunicato al provider la falla due anni fa e ad oggi non è ancora stata risolta.

Vi lasciamo pertanto con il video che è possibile vederlo su Video Mediaset.

/10 Commenti/da