Articoli

Poste Italiane SPA in un recente comunicato stampa ha annunciato che per usufruire del servizio Banco Posta Online, sia per conti correnti che per carte di credito prepagate, bisognerà comunicare presso un qualsiasi ufficio postale il proprio numero di cellulare in quanto verrà utilizzato per inviare le credenziali di accesso al servizio online.

L’accesso al portale online richiederà una password numerica che verrà inviata mediante SMS al numero in precedenza comunicato, sfruttando la tecnica OTP (One Time Password) il sistema genererà un nuovo codice d’accesso ogni 60 secondi. Il sistema solitamente sfrutta un Token (chiavetta) fornito dall’istituto bancario al cliente che permette di visualizzare il codice su un piccolo display, ma Poste Italiane non ha adottato questo sistema ed invierà il codice tramite SMS.

L’utilizzo di questa tecnica (SMS) ha già fatto discutere nei mesi precedenti in Germania e Romania, infatti il codice che verrà inviato via SMS è intercettabile grazie all’utilizzo di un Nokia 1100 debitamente modificato.

Il Nokia 1100 potrà infatti ricevere SMS e Chiamate proveniente da un altro numero rispetto a quello della scheda SIM inserita nel cellulare, pertanto un malintenzionato potrebbe leggere gli SMS ricevuti dal numero XXX nonostante non sia fisicamente in possesso delle Sim Card.

La società di Sicurezza Informatica Ultrascan-KPO ha seguito di un mercato clandestino di Nokia 1100, venduti fino a 25000€, ha provveduto ad analizzare l’exploit ed ha confermato la fattibilità della procedura a patto di possedere un raro modello di Nokia 1100 prodotto dal 2001 al 2002 in Germania ed avente sigla RH-18.

Personalmente sono in possesso di questo raro Nokia ma nonostante diverse ricerche in rete non ho trovato alcun dettaglio tecnico su come realmente si attua la modifica, pertanto lancio un APPELLO a tutti i miei lettori! Se possedete il firmware modificato in modo da poter analizzare la tecnica sono caldamente interessato ad averlo! Grazie!

RSA Security è una divisione della EMC Corporation fondata nel 1982 con l’intendo di progettare i migliori sistemi di protezione di dati personali ed aziendali, il nome deriva dall’omonimo sistema crittografico nato nel 1976 dai due ingegneri Whitfield Diffie e Martin Hellman.

Il loro prodotto più diffuso è sicuramente la SecurID, ovvero una chiavetta OTP (One Time Password ) sfruttata principalmente per l’accesso online agli Istituti Bancari ma anche alle infrastrutture aziendali. La SecurID genera una password composta da sei numeri ogni sessanta secondi e visualizzabile attraverso un piccolo schermo posto sulla chiavetta.

Il funzionamento dei SecurID si riassume attraverso i seguenti tre elementi:

  • RSA Authentication Manager: ha il compito di verificare i dati immessi dall’utente;
  • RSA Agent: si installa sulle risorse da proteggere, creando un sottolivello di sicurezza che permette il colloquio con l’Authentication Manager;
  • Tokens: generano i codici numerici denominati Tokencode sincronizzati temporalmente con l’Authentication Manager.

Durante la fase di login l’utente dovrà digitare il Tokencode visualizzato sul display della chiavetta in quale dovrà corrispondere a quello generato dal RSA Authentication Manager, se i dati corrispondono RSA Agent procede ad abilitare l’utente consentendoli l’accesso alle risorse richieste. Importante precisare che per il corretto funzionamento il token e server devono essere perfettamente allineati con il clock UTC, infatti calcoleranno nel medesimo istante lo stesso codice.

Art Coviello, Chief Executive Officer della RSA, attraverso un comunicato stampa ha reso noto che la propria società è rimasta vittima di un sofisticato attacco informatico finalizzato al furto di dati sensibili e del tipo APT (Advanced Persistent Threat), per colpire l’azienda è stato effettuato un Spear Phishing collegato ad una falla 0-Day di Adobe Flash Player.

Lo Spear Phishing non è un attacco generico di Phishing ma è mirato ad un obbiettivo ben preciso e lascia intendere che il mittente sia una persona conosciuta (amico, famigliare, collega o datore di lavoro) abbassando notevolmente la guardia del bersaglio. In realtà le informazioni sul mittente vengono falsificate o ricavate tramite “spoofing”, mentre il phishing tradizionale si propone lo scopo di sottrarre informazioni da singoli utenti le frodi che si basano sullo spear phishing hanno come obiettivo quello di penetrare all’interno del sistema informatico di una società e realizzare un attacco di tipo APT.

Uri Rivner, capo delle nuove tecnologie della RSA, ha rilevato nel suo Blog che l’attacco è accaduto principalmente in tre fasi.
Nella prima fase l’attaccante ha inviato a due piccoli gruppi di dipendenti una eMail con oggetto “Piano di Assunzioni 2011” contenente un file Excell, un dipendente incuriosito ha aperto l’allegato il quale realmente conteneva un malware che ha sfruttato la falla 0-Day di Adobe Flash Player per installarsi sul terminale.
Successivamente l’attaccante ha iniziato la scalata verso gli account più importanti della RSA Security, sfruttando il terminale compromesso ha rubato credenziali di accesso e si è propagato a macchia d’olio in
tutta l’infrastruttura aziendale. Sembrerebbe che le credenziali d’accesso di ogni singolo utente siano utilizzabili su molti terminali della società e non esclusivamente nel terminale in uso dal dipendente, questo ha permesso all’attaccante di identificarsi con le credenziali dell’utente di basso livello (dipendente) nei terminali dei diversi responsabili aziendali rubando ulteriori password e materiale importante.
La terza e ultima fase ha visto l’invio di tutti i documenti rubati ad un computer esterno presso un Hosting Provider, in precedenza violato, dal quale l’attaccante ha recuperato i dati eliminando quasi tutte le tracce.
Brian Krebs, famoso giornalista Americano sul CyberCrime, ha dichiarato che sarebbero stati identificati tre indirizzi IP sfruttati per l’intrusione uno dei quali proveniente dalla P.r.C. (People’s Republic of China) ma ovviamente potrebbe essere stato uno stratagemma per rallentare le indagini.

Inizialmente non si sapeva esattamente cosa era stato sottratto dai sistemi informatici della RSA i giornali più distratti hanno reso noto il furto dell’algoritmo, ma essendo pubblico dal 2000 è facile rubarlo 🙂 piuttosto è possibile sia stata trafugata una Master Key. Infine non dimentichiamoci che la RSA Security non produce esclusivamente SecurID il furto potrebbe riguardare tutt’altro anche un semplice database con l’archivio dei clienti.
Ed è stato proprio Whitfield Diffie ad ipotizzare il furto della Master Key ossia una stringa molto grande, utilizzata come parte integrante dell’algoritmo presente nei server di Authentication Manager. Attraverso la Master Key nei peggiori dei casi l’attaccante riesce a riprodurre dei Tokens gemelli a quelli originali, rendendo così più facile l’accesso ad un sistema informatico protetto.

La notizia più recente è del 7 Giugno, la RSA ha annunciato attraverso un comunicato stampa la sostituzione di  40 milioni di Token SecurID a causa dell’attacco informatico subito a Marzo 2011, questa ammissione avvalora ancora di più la tesi che sia stata trafugata una Master Key ed è pertanto necessario sostituire i token in distribuzione per assicurare la sicurezza dei propri clienti.

Questo avvenimento che ha colpito una delle più imponenti aziende di Sicurezza Informatica ci insegna che non dobbiamo mai abbassare la guardia nemmeno da una eMail inviataci dall’amico di infanzia e soprattutto apportare una corretta politica di IT Security all’interno delle aziende includendo nei corsi tutte le persone che quotidianamente usano un terminale e addestrarli ad evitare un attacco di Ingegneria Sociale che è sicuramente il sistema più diffuso per rubare informazioni importanti.

Secondo una ricerca effettuata dal Dipartimento di Informatica di Ca’ Foscari (VE) svolta da un gruppo di studenti e ricercatori, le Smart Card e Token sono violabili.

Le Smart Card o Token sono piccoli dispositivi portatili in grado di effettuare una autenticazione su un sistema informatica, ma secondo la ricerca sarebbe possibile estrarre la chiave di cifratura e clonare tale oggetto dando così la possibilità ad un malintenzionato di avere una chiave medesima all’originale.

Il gruppo di ricerca, guidato dal Prof. Riccardo Focardi e in collaborazione con il dott. Graham Steel del INRIA francese, ha anche sviluppato un Software denominato Tookan (Tool for cryptoki analysis) in grado di individuare possibili attacchi.

I risultati della ricerca verranno presentati il prossimo Ottobre al “17th ACM Conference on Computer and Communications Security” di Chicago (USA).

Via | MercatoGlobale