Articoli

social_enginnering

Come può qualcuno che non è mai entrato in contatto con noi, conoscere così tante informazioni sulla nostra organizzazione, sui nostri progetti o sui nostri processi aziendali? Come possono queste informazioni aiutare un competitor o un criminale? Motori di ricerca, social network e quasi tutti i servizi web che utilizziamo ogni giorno raccolgono automaticamente quantità enormi di dati per ognuno di noi. Social network come Facebook, Linkedin, Twitter sono un’arma fondamentale per le prime fasi di Intelligence di ogni attacco informatico.

eLearnSecurity Martedì Mercoledi 25 Giugno alle ore 21:30 attraverso un Webinar ci sarà una serie di dimostrazioni pratiche su come hacker e criminali ogni giorno ricavano informazioni e dati sensibili che rendono possibili attacchi sofisticati ad organizzazioni di ogni ordine di grandezza.

Insieme al Ricercatore ed Istruttore Francesco Stillavato scopriremo come competitor e criminali possono sfruttare le informazioni (come foto, post, documenti, etc.) che ogni giorno lasciamo su social network e servizi  web, sia per aumentare le chance di successo di un potenziale attacco sia per preparare sofisticati attacchi di social engineering.

Chiunque è interessato può iscriversi gratuitamente sul sito internet ufficiale.

Un gruppo di ricercatori dell’università ULM Tedesca  ha recentemente rilevato una vulnerabilità nel sistema di autenticazione di Google per dispositivi mobili Android e applicazioni Desktop.

E’ infatti possibile visualizzare l’authToken di un utente collegato ad una rete Wireless nel momento in cui avviene la sincronizzazione remota delle applicazioni Google Calendar, Google Contacts, e Picasa Web Albums.

Tramite l’authToken sarebbe possibile avere il pieno controllo dei dati dell’utente attraverso le API di Google permettendo ad un malintenzionato di cancellare o editare un Contatto o un Impegno e visualizzare il proprio Picasa Web Albums.

Importante specificare che la vulnerabilità è circoscritta esclusivamente alle autenticazioni che avvengono tramite il protocollo HTTP, mentre il protocollo HTTPS risulterebbe indenne a questa vulnerabilità. Purtroppo l’utilizzo di quest’ultimo protocollo è stato introdotto solo dalla versione software 2.3.4 di Android attualmente disponibile solo per i modelli Google Nexus One e Google Nexus S.

Questo metodo potrebbe essere sfruttato in combinata ad un attacco di Ingegneria Sociale, per esempio un avversario lavorativo potrebbe cambiare gli indirizzi di posta elettronica memorizzati nella rubrica della vittima con l’intento di ricevere informazioni confidenziali.

Maggiori informazioni sono reperibili sul sito dell’università a questo collegamento.

Manca solo una settimana alla più importante gara nazionale tra Hacker la Cracca al Tesoro che si svolgerà a Milano Sabato 12 Marzo, molte squadre stanno già iniziando ad organizzarsi su come “sfondare” prima degli avversari i bersagli ed accedere a tutti gli indizi che li porterà a vincere il premio finale.

Per poter vincere e sovrastare l’avversario bisogna avere le idee chiare e focalizzarsi sull’obbietto mettendo in gioco la propria bravura, il miglior software e hardware ad oggi in distribuzione. Con questa guida voglio iniziare ad illustrarvi la miglior (o almeno personalmente la ritengo tale) scheda wireless in distribuzione ed anche a livello software qualche escamotage per migliorare la propria distro di BackBox dedicata al Penetration Testing.

Continua a leggere