Articoli

Il mistero sui file sottratti al CNAIPIC è sempre più fitto, la paternità del reato è stata recentemente attribuita alla Crew NKWT Load dopo la rivendicazione originale del team Anonymous, con le relative perplessità che ne derivano.

Alla ricerca di maggiori informazioni mi sono imbattuto in un messaggio ufficiale dell’Operation Payback ITA che testualmente riportava:

Continuando a leggere la discussione, diverse personalità riferiscono che i file PDF conterrebbe uno script in grado di inviare dati sensibili dell’utente ad un server non identificato.

Incuriosito ancor di più sul fatto ho provveduto a scaricare i tre archivi fino ad oggi distribuiti (reperibili nel blog ufficiale) e ad analizzarli.

Tecnica

Per attuare l’analisi ho utilizzato:

  • BackBox come server proxy di Adobe Reader mediante il software Zaproxy;
  • Windows XP con due sessioni di Nestat avviate e Flidder 2.

Video Analisi

Mi scuso per la qualità del video (la tastiera non è sincronizzata) ma purtroppo il software di Video Recording non è completamente compatibile con il recente aggiornamento di Mac OS X Lion.

Analisi

Una volta avviato il server proxy, netstat e aperto Flindder (in grado di analizzare il traffico di Adobe Reader) ho aperto singolarmente ogni file PDF sottratto dai server del CNAIPIC.

L’analisi ha avuto esito negativo, non risulterebbe nessuna connessione esterna all’apertura dei file PDF.

Conclusioni

Personalmente non voglio smentire gli Anonymous, sicuramente hanno le loro ragioni per aver scritto quel messaggio, ma i fatti non rilevano nessuna backdoor o script malevoli.

Note

I file analizzati contenunti nelle prime due directory sono stati prelevati dal messaggio originale del 24 Luglio 2011, ancor prima che gli Anonymous Italiani rilasciassero il loro comunicato stampa e che provvedessero alla “bonifica” dei file.

Questa opera di Daniele Giacomini vuole essere una Enciclopedia Gratuita al sistema operativo GNU/Linux su hardware x86, un volumet veramente molto preciso e dettagliato di ben 8766 pagine e 125.1 MB distribuito in formato PDF.

È possibile effettuare il Download del PDF attraverso Multiupload.

Un ringraziamento a Vincenzo Mercuri per la segnalazione.

Il numero 14 di UnderAttHack è appena uscito, in questa edizione troviamo:

  • Marijuana – floatman
  • Gestione delle immagini BMP in C++ – Shifter
  • La progettazione del software – vikkio88
  • La memoria virtuale – Christian ultimoprofeta Giupponi
  • CrossDev64 – cercamon
  • Il caso Wikileaks – A.DiLeonardo/G.Galasso/A.Rosato

E’ possibile effettuare il download della copia in PDF attraverso questo link.

Nelle ultime ore si è sentito molto parlare della dichiarazione effettuata da Symantec sulla vulnerabilità delle API di Facebook che permetterebbe alle applicazioni di accedere a dati sensibili di ogni utente registrato al famoso Social Network, compresa la password.

Ho particolarmente gradito l’intervento degli attivisti Anonymous Italia che hanno dimostrato l’effettiva vulnerabilità estrapolando negli ultimi mesi diversi dati di utenti generando una tabella contenente più di quattrocento dati. Nell’immagine di presentazione potete visualizzare uno estratto del report,  con la password volutamente oscurata, per chi invece volesse approfondire la vicenda può visualizzare questo PDF.

Adobe Reader, nella sua ultima versione 9.3.4 è affetto da un exploit generato dall’analisi dei caratteri TrueType proprio come accadde per l’exploit che portò allo sblocco dei iOS 4 per i dispositivi di casa Apple.

Questo exploit sfrutta uno “stack buffer overflow” ed è di conseguenza relativamente facile per poter eseguire codice malevolo all’interno di un file PDF.

Via | AvertLabs

Comex ha recentemente trovato una falla nell’Apple iOS 4.0 o 4.0.1 che permetterebbe l’esecuzione di codice malevolo con la semplice apertura di un file PDF.

Questo ha permesso a tutti gli utenti Apple di effettuare il JailbreakMe sui dispositivi iPhone , iPad o iPod Touch semplicemente aprendo un PDF messo a disposizione da Comex e il suo team sul sito http://www.jailbreakme.com/.

Tale exploit può essere utilizzato anche da sconsiderati lamer per installare applicazioni sul vostro iPhone a vostra insaputa. Tali applicazioni avranno diritti root e potranno accedere a tutti i dati contenuti sul vostro dispositivo. Fortunatamente è stato reso disponibile il tool “PDF Loading Warner” in grado di avvertirvi in caso di apertura di un file PDF in maniera del tutto nascosta da parte di in un sito internet. PDF Loading Warner è disponibile al Download su Cydia.

L’exploit sfrutterebbe un bug nella gestione dei font del motore PDF di Cupertino, che non riguarda Adobe, che consentirebbe di superare la sandbox in cui gira Safari e iniziare la scalata dei privilegi. Il tutto, grazie al fatto che Safari Mobile viene eseguito come root, piuttosto che come utente.

ExploitDB ha reso disponibili i PDF contenenti l’exploit incriminato ed è possibile scaricarli a questo indirizzo.

C’era da aspettarselo che non sarebbe passato molto dopo la segnalazione della scorsa settimana ad opera del ricercatore Didier Stevens, il quale ha evidenziato di aver scoperto una vulnerabilità insita nelle specifiche del formato PDF.

La falla, anche se chiamarla così è forse improprio vista le sue peculiarità, mette a rischio tutti i sistemi su cui vengono eseguiti dei file PDF, file in cui è possibile ospitare un eseguibile semplicemente sfruttando le modalità con cui i software come Adobe Reader, Foxit Reader e simili, comunicano con l’utente, il quale potrebbe dare il via, tramite un semplice click su una finestra recante un messaggio d’errore, all’esecuzione di codice pericoloso che andrebbe ad infettare il computer.

Il problema sembra adesso diventare più importante a causa dei primi attacchi che puntano all’installazione di Zeus, pericoloso crimeware che alimenta una delle botnet più pericolose in circolazione. Pare infatti che siano stati preparati alcuni documenti PDF fasulli distribuiti via email camuffati da documenti di fatturazione. Aprendo il file ricevuto si attivano una serie di finestre di dialogo cliccando sulle quali si scarica e installa Zeus, facendo diventare il PC parte di una botnet.

Unico “limite” dell’attacco pare essere quello di richiedere l’attivazione di JavaScript in Adobe Reader per essere in grado di far comparire le finestre di dialogo incriminate, rendendo quindi meno vulnerabili le macchine in cui JavaScript sia disattivato.

Tuttavia, avvisano gli esperti di sicurezza, l’attacco in questione è solo il primo ed è pertanto relativamente poco pericoloso perché meno sofisticato, ma potrebbe essere solo l’inizio di una serie, con il rischio che i cybercriminali diano vita ad una escalation fatta di attacchi sempre più mirati ed efficaci, con conseguenze negative sulla sicurezza di migliaia di macchine potenzialmente a rischio.

Da parte sua, Adobe ha fatto sapere di essere al lavoro su una patch in grado di correggere la vulnerabilità sui proprio software, ovvero Adobe Reader e Adobe Acrobat. Da valutare invece le risposte di altre software house.

Fonte