Archivi categoria: news

Notizie dal mondo dell’ICT security.

Paperino e i perfidi hacker di Unknown

Nel numero di Topolino di questa settimana c’è una storia molto divertente, un po’ più divertente se siete degli appassionati della sicurezza informatica.

La storia è della serie di DoubleDuck (ovvero Paperino agente segreto di una organizzazione contro il crimine), e si intitola appunto Unknown.

Chi sono gli Unknown? Ma ovviamente un gruppi di hacktivist come dire…. anonimi… 🙂

Gli hacktivst di Unknown

Cliccate per ingrandire.

Molto divertente anche l’immagine dell’hacker che smanetta al computer naturalmente con la maschera di Guy Paper Fawkes.

Quello che è ancora più interessante per chi è del mestiere è l’articolo a corredo della storia che, giocando un po’ sui termini e sul significato in italiano, fa una bella panoramica sulle varie tipologie di smanettoni informatici.

Hacker Topolino

La cosa molto interessante è che l’articolo, ad opera di Barbara Garufi, è scritto insolitamente bene, non solo per una rivista di fumetti, ma anche per una qualsiasi testata giornalistica italiana.

Troppo spesso infatti i media mainstream fanno confusione tra hacker, cracker, hacktivist e criminalità organizzata.

In questo caso invece l’articolo mette subito in chiaro i confini e le distinzioni. E lo fa semplicemente, in poche righe e con concetti molto lineari.

Tipi hacker

L’articolo continua con la corretta classificazione dei vari tipi di hacker, messi più o meno in ordine di pericolosità.

Il modo è molto simile, anzi credo sia abbastanza ispirato, al lavoro fatto da Raoul Chiesa e ISECOM sull’Hacker Profiling Project, di cui è disponibile anche un ottimo libro.

La conclusione della carrellata è, correttamente, con il profilo più pericoloso di tutti, il cyber-soldato, la figura che ha più tempo, risorse e armi a sua disposizione.

Cyber-Soldier

Notevole anche qui come in poche righe si spieghi chiaramente lo scenario di cyber-warfare, attuale e reale, che molti quotidiani titolati ignorano o trattano con superficialità.

Anche la storia stessa, non vi svelo il finale, è impostata correttamente per far capire la psicologia di un hacktivist. Certo una persona che opera molto spesso oltre il confine legale, ma non è mai rappresentata come cattivo. Nella storia i villain sono altri, molto più pericolosi e legati alla malavita organizzata internazionale.

Addirittura alla fine c’è un piccolo colpo di scena che fa sembrare molto simpatici al lettore gli hacktivist di Unknown, seppur commettendo dei reati.

Insomma, una storia da leggere e conservare.

E da far leggere a chi vuole capire bene i complessi profili hacker, e non solo ai ragazzi.

Anzi, dovrebbero leggerla molti adulti e molti responsabili di servizi e sistemi IT.

Gli hacktivist e la guerra in Siria

I venti di guerra soffiano e purtroppo continueranno a soffiare su scenari classici, e la Siria potrebbe essere presto uno di quelli.

Stavolta però, proprio perché parliamo della Siria, la guerra combattuta non sul fronte del confine o delle città, ma sulla linea rossa del web e di internet, il cyberwarfare, avrà probabilmente la sua prima uscita pubblica.

Da anni gli analisti di sicurezza (informatica e non) di tutto il mondo studiano il fenomeno dei gruppi di hacktivist che combattono e si combattono una guerra parallela, più “fredda” di quella ufficiale. Se non altro perché non ha, per ora e per quel che ne sappiamo, morti ammazzati.

Questi gruppi sono sempre stati attivi, e sono sempre stati più o meno esplicitamente supportati dai rispettivi governi. Ogni tanto c’è qualche notizia sui media mainstream, in particolare quando ci sono frecciatine più o meno pesanti da parte dei vari governi, come ad esempio questa degli Stati Uniti contro gli attacchi hacker cinesi.

La Siria, dicevamo, è diversa. Ma perché?

Perché la Siria dispone del primo vero, pubblico e pubblicamente supportato dal suo governo gruppo di hacker destinati al cyberwarfare: il Syrian Electronic Army.

Per capire quanto sia attivo questo gruppo, basta fare una ricerca sul sito di Graham Cluley (uno degli analisti di sicurezza informatica più attenti su questo tema, dopo aver lavorato per anni in Sophos)

clueleysyria

E questi sono gli attacchi delle ultime settimane.

Come si può notare il target prediletto del SEA sono i principali media statunitensi.

Addirittura qualche giorno fa sono arrivati, tramite un semplicissimo attacco di tipo spear phishing, quasi a modificare la homepage del New York Times.

Dallo screenshot pubblicato proprio dal SEA si vede come avevano già modificato il feed delle notizie, inserendo un sito arabo pro-governo siriano

nytsea

Ma, come in tutti gli scenari di guerra classici, chi è attaccato non sta fermo a subire le conseguenze. Reagisce.

Mentre però in uno scenario classico sono gli stati a farsi la guerra, nel mondo degli hacktivist non c’è una distinzione chiara delle parti, anzi spesso la confusione di chi-si-allea-con-chi è tale che gruppi di hacktivist di una nazione possono agire in contrasto al loro stesso governo.

Proprio in questi giorni, sulla pagina Facebook del movimento LulzSec, è partita una pesante campagna di reclutamento di persone esperte in vari settori, proprio per agire in vista di un possibile attacco alla Siria.

LulzSec era (ma sarebbe meglio dire è) un gruppo di hacker e hacktivist molto famoso nell’ambiente, noto in particolare per l’Operazione Antisec, proprio in contrasto alle misure antiterrorismo del governo USA, che puniscono severamente anche le attività di hacking.

Alleati e partner di Anonymous in diverse operazioni, furono poi duramente colpiti quando uno dei loro capi si rivelò essere un informatore dell’FBI, e questo portò all’arresto di diversi altri esponenti di punta del gruppo.

Queste azioni comunque hanno solo rallentato l’attività del gruppo, che come detto in questi giorni di preparativi di una guerra in Siria sta raccogliendo le forze

lulz

lulzjihad

Il punto più interessante è che il target sono sì i siti jihadisti e in ogni caso il governo Siriano. Ma l’operazione nasce principalmente per aiutare chi si trova in Siria

lulztor

Ma non in ogni caso a supportare un possibile attacco USA.
Vista la palese ostilità del gruppo verso Washington.

In conclusione la situazione, come già detto, è molto confusa, ma probabilmente questi sono gli scenari con cui ci dovremo confrontare sempre di più nei prossimi anni.

Specialmente perché gli hacktivist tendono sempre ad agire in base ad una specifica ideologia, e quindi sono potenzialmente molto più pericolosi, meno prevedibili e più spregiudicati di un potenziale gruppo hacker militare o governativo.

Molto spesso infatti proprio i governi sfruttano questi gruppi per fare vere e proprie operazioni underground, ben al di la di qualsiasi legge nazionale ed internazionale.

Del resto come ha scritto Topiary, uno dei leader di LulzSec arrestati dopo il “tradimento” di Sabu, nel suo ultimo tweet

Come attivare l’autenticazione a due fattori su LinkedIn e Twitter

Avevo già parlato sia del perché sia molto importante utilizzare un sistema di autenticazione a due fattori per i servizi web, in particolare i social network, sia del fatto che i recenti attacchi a Twitter e LinkedIn potevano essere evitati (o per lo meno mitigati) proprio attivando questa funzionalità. Che su quei due social network però mancava.

Dopo qualche mese dagli attacchi, per fortuna sia Twitter che LinkedIn hanno reso disponibile ai propri utenti un sistema di verifica dei login.

Praticamente usano lo stesso metodo: registrate un numero di cellulare e loro vi inviano un SMS con un codice da usare dopo aver inserito username e password.

Vediamo meglio come abilitare questa funzionalità.

Twitter

Prima di tutto un consiglio: se avete già associato al vostro account Twitter un numero di cellulare rimuovetelo prima di attivare questo servizio. Sembra ci sia un bug, quindi si fa molto prima a togliere tutto e ricominciare da capo.

Abilitare il tutto è molto semplice, basta cliccare sull’ingranaggio in alto a destra, andare su Impostazioni, e selezionare l’opzione Richiedi un codice di verifica all’accesso

Twitter richiedi codice di accesso

Dovrete quindi inserire un numero di telefono cellulare, verificarlo inviando un SMS a Twitter, e successivamente potrete abilitare l’invio del codice

Twitter registra cellulare

Tutto abbastanza semplice.
Come già disponibile prima, inoltre, potrete selezionare quali avvisi ricevere sul vostro cellulare via SMS o se abilitare la funzionalità di SMS-twitting.

LinkedIn

Anche su LinkedIn la procedura è simile.

Riporto qui la versione inglese del sito, uso quella perché la versione in Italiano ancora non ha recepito gli ultimi cambiamenti grafici.

Basta cliccare sul proprio account in alto a destra, andare su Privacy and Settings –>Account –>Manage security settings e arrivare a questa schermata

linkedin-security-settings

Oltre a poter abilitare l’SSL (e fatelo immediatamente, anzi installate HTTPS Everywhere) potrete attivare la funzionalità di invio del codice di verifica.

Va quindi registrato un numero di cellulare, ed è fatta.

Linkedin registra cellulare

E ora?

E ora basta!

Da questo momento ogni volta che vi loggherete in questi due servizi con username e password vi verrà inviato un codice via SMS

codici sms

Ovviamente questo sistema non è esente né da rischi né da scomodità.

La scomodità principale è quella di avere copertura telefonica per ricevere, almeno in tempi brevissimi, l’SMS. E a volte, soprattutto all’estero, questo è un problema.

La speranza è quella che sia Twitter che LinkedIn seguano quanto fatto da Google e Facebook, utilizzando un generatore di codici all’interno magari delle loro app per smartphone.

In ogni caso è un primo passo, semplice ma molto importante, per essere un po’ più sicuri in rete su questi due servizi molto usati.

Bye!

Altri esempi di social risk

Di cosa sia il social risk avevo già parlato, ma recentemente sono emersi due eventi che hanno evidenziato sia l’attualità della questione sia soprattutto i rischi reali che si corrono sottovalutando l’uso di questi strumenti.

Caso vuole che siano coinvolte le due principali aziende di fast food del mondo.

Il primo è senza dubbio quello successo a Burger King.

L’account twitter della società è stato violato ed è stato modificato per somigliare a McDonald’s, aggiungendo ovviamente un bel po’ di tweet offensivi…

Fonte abc News

Fonte abc News

Non si hanno i dettagli dell’attacco, ma sicuramente è dovuto ad una scarsa sicurezza. Di Twitter in primis (e ne ho già parlato proprio qualche giorno fa), che non dispone di una autenticazione a due fattori, ma soprattutto di chi gestisce il profilo, che ha impostato una password troppo semplice, e soprattutto non ha monitorato quello che stava succedendo.

Sicuramente non è stato un momento piacevole per la struttura di PR dell’azienda, ma la cosa grave è che l’incidente è nato da una palese sottovalutazione della sicurezza di certi strumenti.

L’altro caso lo riferisce Sophos, e riguarda (casualità) il concorrente: McDonald’s.
Quello che è successo stavolta è che è girato su Facebook una foto fake in cui un non meglio identificato ristorante McD esponeva un cartello molto razzista:

Fonte Sophos Naked Security

Fonte Sophos Naked Security

L’immagine ha avuto quarantamila condivisioni. Era fake perché il numero verde riportato sotto non era di McDonald’s ma addirittura dell’altro concorrente KFC.

Questo sicuramente mostra come su Facebook sia facile far girare delle bufale, ma soprattutto indica come sia necessario monitorare la presenza sui social newtork (tramite sentiment analysis), al fine di prevenire questo genere di eventi, e rispondere prontamente.

In questo caso McDonald’s non aveva ovviamente colpe, non essendo stata attaccata direttamente.
Ma senza un’accurato monitoraggio potrebbe subire un incidente ancora più grave, ad esempio perché la foto falsa potrebbe provocare un attacco pesante da parte di gruppi di hacktivist.

Bye!

Qualche nota sull’attacco a Twitter

Febbraio si è aperto con una gran brutta storia.

Ben riassunta da Paolo Passeri sul suo Hackmageddon con il titolo di The Party Is Not Over! 250,000 Twitter accounts compromisedche riprende il post del blog ufficiale di Twitter dal titolo Keeping our users secure.

Twitter Keeping our users secure

Il succo della vicenda è quello che racconta Twitter stesso: hanno riscontrato tentativi di accesso non autorizzato a circa 250mila utenze.

L’attacco, o per lo meno uno dei tentativi di attacco, è stato bloccato. In via precauzionale Twitter ha resettato tutte le password degli account oggetto dell’attacco, informando gli utenti dell’operazione.

Non è la prima volta che parlo di Twitter in questo blog, lo avevo fatto perché qualche tempo fa pubblicarono un post interessante su come gestire la sicurezza delle proprie password.

La cosa spiacevole, e che purtroppo Twitter non è andata molto oltre la gestione delle password.

Sì perché mentre il contenuto del post, comprensibilmente molto vago, è comunque una prima descrizione di qualcosa che non conoscono bene, il titolo per me è pessimo.

Perché dico questo? Perché l’attacco, che può naturalmente accadere a chiunque, ha svelato in realtà come Twitter non faccia in realtà granché per far stare sicuri i suoi utenti. Sopratutto non lo fa rispetto agli altri social network.

Andiamo con ordine. Essendo utente di Twitter da più di sei anni, e avendo l’attacco colpito i primi utenti del servizio, anche al mio @glamis è arrivato il reset della password.

Della password sì, ma delle sessioni aperte no. E questo è il primo punto.

Ed è importante perché pare che Twitter abbia resettato tutte le password “sospette”, ma solo le sessioni di chi riteneva più a rischio. Questo perché pare che siano state sottratte oltre alle password (cifrate, quindi poco utili), anche i token di sessione di alcuni utenti. Da qui la necessità di resettare tutto il resettabile.

Perfettamente comprensibile.

Ora io ho ovviamente cambiato la mia password, e qui ho scoperto un altro problema delle procedure di Twitter: cambiando la password le sessioni (e i token) attivi non scadono.

Mi aspettavo infatti di rimettere la password su tutti i vari iCosi che ho in giro, ma così non è stato. Tutto ha continuato a funzionare correttamente. Molto molto male. Requisito fondamentale affinché abbia realmente valore un cambio password è proprio la decadenza di tutte le sessioni attive.

Anche perché che altro modo ho io per buttare fuori uno che, ad esempio, mi ha rubato l’iPhone? Nessuno, perché Twitter non ha una funzione di reset delle sessioni.

E non parlo di cose fuori dal mondo, parlo di funzioni di sicurezza basilari che Google e Facebook hanno attivato già da molto tempo. E sono molto utili, per garantire la sicurezza ai propri utenti.

E vi prego non venitemi a dire, come dice il Guardian, che non lo fanno perché

The reason why third-party clients will still let you tweet is that Twitter doesn’t let them use your password. Instead, it uses “tokens” which are issued to the third-party programs, and authorise them to send tweets to Twitter’s database for redistribution to followers. The tokens weren’t revoked as part of the password reset; doing that would have meant that you’d have had to re-authorise all your apps, and for some apps Twitter has only made a limited number of tokens available. So that would have hurt both users and app developers.

Ma non è tutto. Certamente era una cosa nota già da prima, ma con questo attacco è tornato ancora più evidente il fatto che Twitter non consenta un’autenticazione a due fattori. Cosa che, non mi stupisce, Google e Facebook fanno da tempo (e che voi usate, vero….?)

Su questo ultimo punto si “combatteva” già da un po’, ma la cosa ha preso come dicevo ancora più forza e si è diffuso subito l’hashtag #iwantmy2fa

Speriamo che qualcuno ascolti, anche perché, come ricorda sempre Paolo, Twitter non è un caso isolato.

Prima di lui fu attaccato LinkedIn che, coincidenze, non ha né un’autenticazione a due fattori, né un controllo ed eventuale reset delle sessioni attive.

Dagli errori si deve sempre imparare, stavolta è proprio il caso di farlo.

Bye!