Sicurezza Informatica Archivi

HackInBo – Phishing one shot, Many victims!

L’ottava edizione di HackInBo si è conclusa da qualche ora e questa volta ho personalmente vissuto l’evento in maniera più intensa essendo io tra i relatori dell’evento, una bellissima emozione. Il mio talk affrontava i principali aspetti del Phishing con un focus preciso verso gli attacchi Italiani e una recente indagine delle Forze di Polizia che ha portato alla luce una frode di 1,8milioni di euro effettuata in poco più di 6 mesi ai danni di utenti di Poste Italiane.

Ma andiamo con ordine, io ho chiuso la giornata dei Talk, il primo relatore è stato Giovanni Mellini che ci ha spiegato come l’ENAV (Società nazionale per l’assistenza al volo) ha affrontato dal 2015 un percorso di ristrutturazione del SOC passando da una soluzione in outsourcing ad una gestita totalmente da personale interno fondato anche su tecnologie Open Source. Successivamente Valerio Costamagna ci ha illustrato come è possibile attraverso determinati approcci algoritmici agevolare e velocizzare la ricerca di vulnerabilità, con un esempio reale attraverso il codebase di Android. Roberto Clapis ha infine concluso mattinata mostrandoci le sue impressionati capacità con la programmazione mostrando ogni punto di debolezza, ma anche di forza, del linguaggio Go sviluppato da Google.

Nel primo pomeriggio la “Strana Coppia” composta da Andrea Pierini e Giuseppe Trotta ci hanno illustrato una campagna di Spear Phishing che hanno condotto per ottenere informazioni sensibili all’interno dell’azienda target partendo dallo Smartphone della Segretaria fino ad una escalation di privilegi che gli ha permesso di sottrarre file sensibili a livello aziendale. Successivamente Michele Spagnuolo ci ha dimostrato com’è possibile grazie ad un nuovo approccio strict-dynamic adottare un Content Security Policy in prodotti molto complessi come Gmail. Infine alle 16:00 è arrivato il mio personale turno prima di una calorosa tavola rotonda composta Giovanni Ziccardi, Alessio Pennasilico e da tutti noi relatori.

L’evento è stato arricchito da fiumi di birra artigianale al miele prodotta dal Birrificio Valsusa in collaborazione con l’onlus Educamente e dalla importantissima presenza della Onlus Non Basta un Sorriso che grazie a tutti i presenti ha potuto raccogliere 1710euro da destinare al progetto Elikia, aiuteranno due bambini Kibeni e Wumba ad avere cure garantite ancora per sei mesi. Entrambi i bambini, che frequentano la scuola materna gestita dalla Onlus, sono affetti da anemia falciforme, una malattia tremenda anche in Europa ma che in un Paese come la Repubblica Democratica del Congo è una condanna a una vita che si spegne intorno ai 18 anni tra sofferenze tremende.

L’evento è poi proseguito anche nella giornata del 7 Maggio con i Laboratori a numero chiuso, per accedere a tali laboratori bisognava competere in una CTF organizzata dal Team di Hacktive Security. I lab erano tre il primo condotto da Valerio permetteva ai partecipanti di analizzare le vulnerabilità su Android, Giovanni ha invece dimostrato come è possibile creare da zero un’applicazione, costruita su una istanza free del software SPLUNK Enterprise, per la gestione degli eventi di sicurezza di un generico SOC. Il terzo, nonché mio, laboratorio permetteva ai partecipanti di analizzare i kit di Phishing sfruttati quotidianamente dai Phisher, le tecniche per aggirare i filtri anti-spam e le black list dei browser.

Le mie slide sono già disponibili su SlideShare, per quanto riguarda il video bisogna attendere il prezioso lavoro che farà tutta la squadra dei video-maker. Ammetto che ero veramente emozionato e anche agitato 🙂 non avevo mai parlato davanti a quasi 500 persone, l’emozione come sentirete ha giocato brutti scherzi con qualche errore/imprecisione, Scusatemi! Le slide di tutti gli altri relatori le trovate sul sito ufficiale di HackInBo.

Concludo questo post ringraziando Mario, non solo per avermi invitato come relatore, ma per tutto l’impegno che ci mette nell’organizzare un evento così importante e BELLO! È fantastico trovarsi con tantissimi amici provenienti da tutto il mondo (sì, non sto scherzando) per due giornate di Hacking! Infine un grazie più che meritato va a tutta la squadra che supporta Mario nell’organizzazione dell’evento.

8 maggio 2017/0 Commenti/da Andrea Draghetti

Sicurezza Informatica

Seeweb nel 2014 ha gestito oltre 6500 incidenti di sicurezza informatica!

Nei giorni scorsi ho ricevuto un comunicato stampa di Seeweb nel quale viene annunciato che durante l’ultimo anno l’azienda ha gestito più di 6500 casi di Sicurezza Informatica, più di 17 casi al giorno! Ma se credete di esservi spaventati di questo dato, voglio indicarvi anche il tasso di crescita dei casi rispetto al 2013; infatti la stessa Seeweb ha riportato che nell’anno 2013 ha gestito oltre 3000 incidenti di sicurezza informatica. Pertanto in un solo anno gli incidenti di sicurezza informatica sono cresciuti di oltre il 50%!

Specificano inoltre che gli incidenti più comuni sono stati:

2675 password SMTP rubate o indovinate;
1525 siti web compromessi;
145 password FTP rubate.

Non ci sono state grandi novità nel tipo di incidenti rilevati, rispetto all’anno 2013 se non che nell’ultimo trimestre del 2014 c’è stato un enorme aumento delle intrusioni sui siti con WordPress a causa di alcune nuove vulnerabilità dei suoi componenti.

Per il 2015 le previsioni dicono che il numero di attacchi informatici in grado di mettere a repentaglio la sicurezza delle informazioni potrebbe crescere ancora. Le tecniche di attacco sono sempre più sofisticate, al punto da mettere a rischio anche gli standard che da sempre sono sinonimo di affidabilità, come ad esempio i certificati SSL.

“Ognuno ha il suo lavoro ed il cliente dovrebbe concentrarsi solamente sul suo. Ci sono problematiche che potrebbero insorgere, ed un team composto da tecnici specializzati in diversi settori, che garantiscono sicurezza al cliente, sarebbe l’ideale”, afferma Luca Ercoli, esperto Ethical Hacker Seeweb.

Per chi volesse leggere il comunicato stampa ufficiale riporto il PDF integrale.

30 gennaio 2015/0 Commenti/da Andrea Draghetti

Comunicazioni di Servizio

5 anni di Over Security!

Il 29 Gennaio 2010, dopo quasi cinque anni passati a difendermi per una vicenda che mi vedeva ingiustamente accusato di Accesso Abusivo a Sistema Informatico decisi di aprire questo blog per potermi concentrare nuovamente sulla Sicurezza Informatica. La Sicurezza Informatica è sempre stata una materia che mi appassionava, ma per via della vicenda legale sopra citata mi sono allontanato dal mondo informatico per tutta la durata del processo dimenticato ciò che avevo appreso e con la consapevolezza di non conoscere tecniche e vulnerabilità nate in quel periodo di allontanamento volontario dal mondo digitale.

Grazie all’Avv. Antonio Gammarota, Avv. Giovanni Cerri e all’Ing. Stefano Zanero son riuscito a dimostrare la mia assoluta innocenza ad Ottobre del ’09. Spronato da Gammarota ho ripreso a documentarmi sul mondo informatico, aprendo questo blog e iscrivendomi all’università di Sicurezza dei Sistemi e delle Reti Informatiche dell’Università di Milano dopo che mi ero ritirato dall’Università di Bologna per le sopracitate vicende. Università che sto ancora frequentando, fuori corso, ma conto di laurearmi a breve incrociando al meglio gli impegni lavorativi e familiari.

È la prima volta che faccio outing sul mio processo penale, non ne ho mai parlato pubblicamente, per timidezza? pigrizia? paura? Onestamente non so darvi una risposta, ho acconsentito all’Università di Bologna e al Politecnico di Milano di usare il mio caso per insegnare la dottrina dell’Informatica Forense; recentemente all’HackInBo mi son divertito con Federico Maggi presentandomi con “Io sono il caso Vivanco, i CD Vivanco di Zanero…”. Brevemente i log dell’inchiesta vennero archiviati dal Querelante in due CD di marca Vivanco con relativa firma calligrafica apposta su di essi, firma che doveva confermare l’autenticità dei dati masterizzare su di essi. Gli esperti di Informatica Forense avranno già i capelli dritti a leggere quest’ultima affermazione 😀

Ma veniamo al 2015, oggi festeggiamo assieme 5 anni di Over Security! I progetti futuri sono tanti…già da stasera arriverà la prima sorpresa! In quest’ultima settimana abbiamo lavorato tanto per rispettare le tempistiche e arriverà la versione 4.1 di BackBox Linux! 😉

Dimenticavo, grazie a tutti i miei lettori!

Auguri Over Security!

29 gennaio 2015/6 Commenti/da Andrea Draghetti

Sicurezza Informatica

UNICRI: La Sicurezza Informatica nelle Piccole e Medie Imprese in Italia

L’UNICRI il prossimo 15 Dicembre 2014 presenterà lo studio “La sicurezza informatica nelle piccole e medie imprese in Italia” presso la Sala Convegni Vincenzo Da Massa Carrara, via San Micheletto, 3 a Lucca.

I crimini informatici sono oggi una delle minacce più insidiose a livello mondiale. La loro crescita ed espansione a tutti i settori richiede efficaci contromisure che non possono prescindere da conoscenza approfondita del fenomeno. I crimini informatici non mettono a rischio solamente le grandi imprese, ma sempre più spesso anche quelle di piccole e medie dimensioni (PMI). Il tessuto economico-sociale europeo, e quello italiano in particolare, è fortemente connotato dalla presenza di PMI per tale ragione lo scopo dello studio si concentra su questo segmento produttivo di grande importanza al fine di indagare il grado di rischio e le vulnerabilità con particolare riguardo all’impatto economico dei crimini informatici.

All’incontro di presentazione del rapporto prenderanno parte rappresentanti di istituzioni, forze dell’ordine, università e piccole e medie imprese.

Per confermare la partecipazione, si prega di scrivere a: bosco [AT] unicri [D0T] it

12 dicembre 2014/0 Commenti/da Andrea Draghetti

Sicurezza Informatica

eLeanrSecurity presenta Penetration Testing Professional V.3

eLeanrSecurity lo scorso Giugno ha presentato la nuova versione del corso Penetration Testing Professionale. La nuova versione del corso introduce molte novità interessanti come le nuove sezioni Ruby per Pentester e Sicurezza delle reti WiFi, oltre alla possibilità di disporre del materiale formativo aggiornato con le ultime release software dei vari tools di pentest e le moderne tecniche di attacco. Innovativo, di alta qualità e all’avanguardia, questi sono gli aggettivi che meglio definiscono il corso Penetration Testing Professional. Proprio questi aggettivi sono alla base del continuo miglioramento del corso, che sta formando più di 3500 Studenti in tutto il mondo, arrivato alla versione numero 3.

Per i più curiosi è possibile ottenere un video dimostrativo sul corso accedendo al sito internet ufficiale. I piani formativi offerti sono quattro partendo dal corso Barebone che ha un costo di 499euro ed include il materiale formativo a vita e il supporto via eMail, il successivo pacchetto denominato Full include l’accesso al laboratorio virtuale Hera per 60ore, una formazione sulle reti WiFi e su Ruby. Potete scoprire i corsi Elite e Corporate direttamente sul sito ufficiale.

Vi lascio con un video focus dei piani formativi

5 agosto 2014/0 Commenti/da Andrea Draghetti

Sicurezza Informatica

ARI Mestre – Talk sulla Sicurezza Informatica

Pubblico volentieri l’evento che si terrà domani sera 1 Agosto presso la sede dell’Associazione Radioamatori Italiani di Mestre sulla Sicurezza Informatica, il talk parlerà dei problemi di sicurezza che ci sono navigando in internet, di come vengono svolti alcuni attacchi e di come proteggersi da essi.

Programma della serata:

Storia della sicurezza informatica;
Chi attacca e perchè;
L’attacco DOS/DDOS;
L’attacco Diffing;
L’attacco “brute forcing”;
Il buffer overflow;
Il Code Injection;
L’attacco MITM (Man in the middle);
Virus/Worm/etc ;
Come viene svolto un’ attacco informatico;
Come proteggersi;
Domande del pubblico.

Per maggiori informazioni potete visitare il sito internet ufficiale dell’Associazione.

31 luglio 2014/0 Commenti/da Andrea Draghetti

Sicurezza Informatica

[AGGIORNATO x2] IWBank mette a rischio i dati dei propri correntisti!

Il nostro lettore Mattia Trapani ci ha recentemente segnalato una importante lacuna nella sicurezza dell’applicazione per smartphone IWBank, tutti i correntisti della banca IWBank che sfruttando l’omonima applicazioni mettono a rischio le proprie informazioni poiché i dati di accesso (username, password e token) vengono trasmessi in chiaro su connessione HTTP non protetta.

Simulazione

Ho voluto personalmente simulare l’accesso all’applicazione inventandomi le credenziali (non avendo un conto corrente presso tale istituto), sfruttando l’applicativo Proxy per catturare i dati che vengono passati in chiaro, nello specifico ho usato le seguenti credenziali:

Username: testoversecurity
Password: password
Token: 123456

Vi riporto inoltre uno screenshot dell’applicazione per iPhone:

Selezionando successivamente il pulsante Accedi ed inviando le informazioni al server remoto della Banca il Proxy Server precedentemente configurato ha catturato le credenziali da me imputate come potete visualizzare dalla seguente immagine:

Come è possibile visualizzare dalla schermata precedente il programma IWBank invia tramite il metodo POST le proprie credenziali di accesso all’host mobile.iwbank.it sfruttando una tradizionale connessione HTTP e non una più sicura connessione HTTPS esponendo alla rete le credenziali di accesso in chiaro.

Un caso reale

Un utente IWBank si collega ad una rete WiFi pubblica, creata ad hoc per intercettare il traffico in chiaro (vedi mia dimostrazione al Linux Day di Orvieto 2013), intento a controllare il proprio conto corrente attraverso l’applicazione per Smartphone e digiterà le sue credenziali per eseguire il login. L’utente malevolo intercetta le credenziali e fa fallire la prima richiesta di login dell’utente legittimo, eseguirà il login con i dati rubati sul proprio computer successivamente intercetta il secondo tentativo di login ed otterrà un secondo token con il quale operare sul conto corrente (Es. effettuare bonifici).

Segnalazioni

Mattia ha segnalato il rischio di non utilizzare connessioni cifrate a IWBak telefonicamente lo scorso anno, ha ripetuto la segnalazione per mezzo eMail il 4 e 20 Giugno 2014 senza mai ricevere alcuna risposta se non una mera conferma di lettura.

Conclusioni

Vi riportiamo questa importante segnalazione con l’intento di incentivare gli sviluppatori a migliorare le loro applicazioni e a non trascurare MAI la Sicurezza delle Informazioni durante lo sviluppo di ogni software.

[Aggiornamento del 5 Luglio 2014]

IWBank in data 4 Luglio 2014 ha interrotto l’accesso all’applicazione per Smartphone, preservando l’incolumità dei propri clienti! Se vi fossero ulteriori novità vi terremo aggiornati…

[AGGIORNAMENTO 21 Luglio 2014]

IWBank ha rilasciato un aggiornamento correttivo già disponibile per gli utenti iOS e Android.

3 luglio 2014/11 Commenti/da Andrea Draghetti

Sicurezza Informatica

Corso per Penetration Testing a soli 99euro per 7giorni!

Dal 12 al 18 Maggio 2014 sarà possibile acquistare il corso di Penetration Testing for Student della eLearnSecurity con uno sconto di 200euro grazie alla collaborazione che OverSecurity ha da diverso tempo con questa importante aziende del settore informatico.

Il corso completamente in Italiano includerà oltre 900 slide interattive da consultare, 3 ore di materiale video, un corso su Python per poter creare propri script e notevoli informazioni sulle competenze di base del mondo del Penetration Testing!

È inoltre disponibile un valido PDF con la lista dei contenuti del corso, una descrizione e gli obbiettivi che ogni studente raggiungerà.

Credo sia un ottima opportunità sia per gli utenti i nostri lettori, per i più esperti e per i novelli per poter approfondire o ripassare concetti sul mondo della Sicurezza Informatica! Per poter acquistare il pacchetto potete visitare il sito internet ufficiale della eLearnSecurity!

10 maggio 2014/11 Commenti/da Andrea Draghetti

Events

HackInBo 2014 – Torna la Sicurezza all’ombra delle Torri Bolognesi!

Dopo l’entusiasmante evento del 2013 torna HackInBo a Bologna il prossimo 3 Maggio 2014, un interessate momento di incontro totalmente gratuito debito ad approfondire i temi di Sicurezza Informatica!

Location e speaker d’onore anche per questa seconda edizione:

Auditorium Enzo Biagi di Sala Borsa
Piazza del Nettuno 3, Bologna
40100 Italia

10:00-10:30 Accoglienza Partecipanti

10:30-10:45 Saluti e Ringraziamenti Sponsor

10:45-11:30 “Infiltrare, Manipolare, Compromettere e Distruggere: i Social Media come Campo di Battaglia” Andrea Zapparoli Manzoni

11:30-12:15 “Grr-osso Guaio a Chinatown” Pasquale Stirparo

12:15-13:00 “La Strategia Italiana in Materia di Cyber Security” Stefano Mele

13:00-14:30 Pausa Pranzo

14:30-15:15 “Cyberpiatto del Giorno” Francesco Picasso

15:15-16:00 “Uso, ma specialmente Abuso, delle Tecniche di Investigazione e Sorveglianza Digitale” Andrea Ghirardini

16:00-16:45 “Cinquanta Sfumature di Cyber” Corrado Giustozzi

16:45-17:30 Tavola Rotonda a cui partecipano Raul Chiesa e Elena Bassoli

17:30-18:00 Saluti Finali e Ringraziamenti

L’evento è rivolto ai dirigenti d’azienda, agli it-manager, ai sistemisti, agli appassionati e a tutte quelle persone interessate ad approfondire argomenti di estrema attualità riguardanti la sicurezza informatica.

Per chi fosse interessato a maggiori dettagli sull’evento può visitare il sito internet ufficiale, per chi fosse invece interessato a registrasi all’evento per assicurarsi un posto può farlo tramite Eventbrite!

29 marzo 2014/0 Commenti/da Andrea Draghetti

Sicurezza Informatica

Just Crypt It, inviare un file non è mai stato così rapido e sicuro!

Just Crypt It è un progetto ideato da quei folli ragazzi di eLearnSecurity. eLearnSecurity è conosciuta come l’azienda che ha rivoluzionato il settore della formazione in Sicurezza Informatica, con corsi di formazione al 100% pratici e laboratori virtuali su Web App e Network Security.

Il progetto nasce perchè avevano il bisogno di inviare file in modo sicuro ai nostri dipendenti dei reparti marketing e vendite sparsi per il mondo. Dire: “Installa GnuPG” al personale di tali aree è come parlare arabo. Inoltre l’invio deve essere rapido e semplice oltreché sicuro, perché anche noi hacker siamo pigri. Così hanno inventato JustCryptIt.

Just Crypt It, per chi non lo avesse ancora capito, permette di inviare file in maniera sicura e rapida! Il file viene cifrato completamente lato client. L’algoritmo migliore dal punto di vista prestazioni/sicurezza è senza dubbio AES256 che con la scelta di una buona chiave random riesce a garantire protezione anche dal brute-force. JustCryptIt verifica che il file non sia corrotto, e che nessuno abbia cercato di manipolarlo mediante un hash cifrato del file. JustCryptIt usa l’algoritmo standard SHA-512 insieme alla cifratura mediante una chiave di integrità. Infine JustCryptIt usa la libreria open-source CryptoJS, una tra le migliori librerie per prestazioni, interfaccia e supporto.

Per chi fosse interessato a scoprire il servizio può accedere al sito internet ufficiale: https://justcrypt.it

27 settembre 2013/5 Commenti/da Andrea Draghetti