Archivi categoria: news

Notizie dal mondo dell’ICT security.

Non è andata come solito…

Del Pwn2Own avevo parlato giusto un anno fa, ma si è appena conclusa l’edizione 2012. Ci sono delle novità, anche se nel segno del discorso che avevo affrontato lo scorso anno.

Con una grossa sorpresa però. Ma andiamo con ordine.

Stavolta il primo a cadere è stato Chrome (ad opera dei soliti Vupen).
Ma quella che potrebbe apparire come una notizia disarmante (e infatti c’è stata parecchia ironia da parte della stampa non specialistica), in realtà rientra in una specifica strategia che Google ha adottato di recente. E lo ha fatto anche con lanci abbastanza clamorosi, come promettere un milione di dollari (in totale) come ricompensa per trovare delle falle di, appunto, Chrome. La ricompensa era inserita nella cosiddetta “Pwnium challenge“, un evento collaterale al Pwn2Own vero e proprio, dovuto principalmente ad un cambio di regole della competizione “ufficiale” che ha creato qualche rosicata polemica con qualche partecipante storico, che infatti non si è presentato.

In ogni caso, analogamente a quanto detto per Microsoft lo scorso anno, Google ha riproposto la stessa attenzione verso la scena hacker, considerando i ricercatori di sicurezza una risorsa, non una minaccia.

Per la cronaca Vupen ha bucato anche IE9, e Firefox è caduto per uno zero-day a cui ha lavorato anche un ricercatore italiano Vincenzo Iozzo, e mi sembra giusto segnalarlo.

Ma ho parlato di una sorpresa prima, già.
La sorpresa è che nessuno ha provato a bucare Safari.

Già, proprio così. Sarà stato il cambio delle regole, sarà stata la taglia messa in campo da Google, chissà. Fatto è che nessuno aveva pronto un attacco per il browser della mela.

Dopo quanto detto questo cosa vuol dire? Diverse cose.
Che nessuno aveva tempo per trovare uno 0day per Safari. Trovare queste vulnerabilità non è facile, richiede tempo e fatica. Oppure che la versione attuale è davvero sicura? Ovvio che no, niente è abbastanza sicuro da resistere a lungo, e prima o poi i buchi escono fuori.

Il mio parere è che la strategia di Apple, in merito a come gestire la sicurezza dei suoi software (per quanto fatti bene), era e resta errata. Ma staremo a vedere…

Bye!

Quando l’intelligence si rivolta contro

Ovvero: bisogna sempre stare attenti a fidarsi degli altri.

Piccolo antefatto: a Natale del 2011 viene bucato, dal gruppo Anonymous, il sito della nota agenzia di cyber-intelligence STRATFOR.

Vengono sottratti numerosi dati. Prima di tutto il dump delle email degli analisti, poi la lista degli utenti, gli account, le password e in numerosi casi le carte di credito dei sottoscrittori ai servizi dell’agenzia. Ma non voglio parlare di questo, in giro trovate tantissime analisi di quanto è successo, inclusa una eccellente timeline (seppure con molti link ormai rimossi).

Analizzando il database che trovate su Dazzlepod, ho notato che ci sono (oltre ad una vagonata di altra roba) degli account gov.it interessanti:

Non avendo mai sentito il dominio alfa.gov.it, sono andato a fare una ricerca, ma non espone un servizio web accessibile direttamente. Qualche parolina nelle email però inizia a far riflettere…

Cercando su Google emerge però un ulteriore sottodominio webq.alfa.gov.it, che presenta una form di login, presumibilmente ad un’interfaccia di web mail.
Fare un whois ai siti governativi italiani è abbastanza complesso (come registrarli del resto, ma si tratta appunto di roba governativa e italiana, quindi c’è poco da meravigliarsi 🙂 ) anche se un servizio esiste, vedi l’aggiornamento più sotto.

Questo sito è ospitato dall’IP 151.13.11.186, di Infostrada.
Non è possibile capire di più, ma è possibile utilizzare un fantastico strumento come Robtex, per capire cos’altro c’è su quella classe di indirizzi, visto che verosimilmente saranno stati assegnati tutti insieme. E infatti facendo una ricerca esce fuori…

Ecco rivelato chi c’è dietro alfa.gov.it, e perché era interessato all’intelligence.

Chiariamo subito una cosa, non si trattava e non si tratta di risorse segrete.
Si tratta di asset più o meno volutamente nascosti. Per lo meno non esposti direttamente a chi non si cura di cercare le cose per bene.

Questa storia è un bel case study per spiegare due cose molto importanti nella sicurezza informatica.

La prima è senza dubbio che non bisogna fidarsi di nessuno.
Per quanto sia importante il fornitore del servizio, per quanto si paghi o si pensi di stare al sicuro, non bisogna mai esporsi troppo direttamente. Sarebbe bastato usare un indirizzo gmail registrato al volo e sarebbe scomparso nelle centinaia di miglaia di utenze dumpate.

Il secondo è che le fonti OSINTOpen Source Intenlligence sono potentissime.
È necessario realmente fare due/tre ricerche e la mole di informazioni che viene resa disponile è enorme. Quindi se pensate di poter nascondere qualche cosetta tra le pieghe dei vostri servizi internet, se pensate che in fondo che male c’è ad usare l’email aziendale… ripensateci. Non stiamo parlando di tecniche avanzate di Google hacking, basta una semplicissima ricerca.

Ironia della sorte, i colpiti da questa vicenda sono proprio coloro che stavano cercando, e chissà perché con tanti indirizzi diversi, proprio informazioni da fonti OSINT

Bye!

Aggiornamento: cercando meglio, una specie di whois dei domini .gov.it è disponibile qui, dove il dominio alfa.gov.it risulta attivo e registrato a “Presidenza del Consiglio dei Ministri CESIS“. Il che rende ancora più semplice l’OSINT e ancora più emblematico il problema derivante dall’uso di quelle email.

Piccoli hacker crescono…

Le ultime settimane sono state abbastanza turbolente nel mondo dell’InfoSec.

Oltre ai clamorosi attacchi dei mesi scorsi abbiamo assistito ad un proliferare di piccoli eventi che, stavolta in particolare, si sono svolti contro enti e aziende italiane di rilevanza nazionale.

Non voglio però parlare di questo, si è già detto molto, quanto focalizzarmi su due eventi minori che sono passati un po’ sotto traccia sui media mainstream.

Il primo è l’arresto in Gran Bretagna di Topiary. Topiary è il (presunto) portavoce del movimento Lulz Security, il “braccio armato spiritoso” di Anonymous e di tutto il movimento AntiSec. Per una panoramica più dettagliata su cosa vogliono dire questi movimenti vi rimando, oltre all’ottima Wikipedia, ad un articolo molto ben scritto da Matteo ‘lastknight‘ Flora.

Ora Topiary, al secolo Jack Davis, ha 18 anni.

La seconda notizia è che al DefCon si è svolto quest’anno, per la prima volta, l’evento DefCon Kids. Questo evento è già il segno di un grande apertura mentale ed attenzione nei confronti dell’avvicinamento dei nativi digitali alla scena hacker. Questa è una naturale conseguenza del fatto che le persone che sono nate quanto Internet già esisteva stanno crescendo e stanno comprendendo in pieno tutto ciò che il cyberspazio permette loro di fare, stanno iniziando ad imparare e, soprattutto, stanno agendo.

Durante il DefCon Kids una ragazzina, CyFi, ha mostrato una “vulnerabilità” di alcuni giochi per iOS e Android. In pratica spostando l’orologio è possibile far crescere le risorse dei farming games più velocemente, e quindi velocizzare lo svolgimento del gioco. CyFi ha in pratica cambiato e pensato fuori dallo schema. Poca cosa magari, ma c’è un piccolo particolare.

CyFi, che è anche co-fondatrice del DefCon Kids, ha 10 anni.

Questi due eventi apparentemente non collegati tra loro in realtà sono le facce di una stessa medaglia, che impareremo a conoscere nel prossimo futuro. Sono collegati perché più passerà il tempo più i nativi digitali cresceranno e cominceranno a capire cosa non gli piace del mondo. E cercheranno di cambiarlo, in meglio in peggio non importa. Perché a 18 anni è essenziale avere un ideale per cui combattere, in cui credere.

E, permettete una nota personale, in un mondo lobotomizzato dalla tv e dal consumismo estremo, vedere ragazzi che credono in qualcosa fa tornare indietro di 30/40 anni, quando l’unica cosa che importava era cercare di cambiare il mondo. A tutti i costi. E questa per me è una cosa molto positiva.

Si faranno errori e si subiranno le giuste punizioni, ma andranno avanti. Fa un po’ sorridere a tal proposito vedere la lettera degli hacker “storici” (2600, CCC, e compagnia) in cui si chiede al movimento di smettere e si condannano le loro azioni. Peccato che questi gruppi hanno sì fatto la storia del movimeto hacker, ma ora sono il passato. Un passato che, agli occhi dei giovani, sembra solo un gruppo di dinosauri che sta lì ad occupare posti di prestigio senza pensare di andare in pensione.

Del resto, seppur da prendere in estrema considerazione la loro lettera e le loro raccomandazioni, loro agivano per tutt’altro scopo. Agivano per la conoscenza, per permettere a tutti di accedere alle risorse dell’informazione. Gesti nobili, che hanno anche gettato le basi dell’internet odierna. Ma non agivano per cambiare il mondo, e infatti non hanno cambiato granché.

I nativi digitali come Topiary, tutte le crew di AntiSec e persone come CyFi invece seguono questa idea. E non serve chiedere “ma capiscono quello che fanno?”, perché la risposta è si! Lo sanno benissimo, basta guardare un bambino di tre-quattro anni come maneggia un iPad, basta vedere come impara velocemente cosa fare e come funziona, basta vedere come impara lui a voi qualche trucco o scorciatoia.

Del resto non vi ricordate, se siete della mia generazione, di quando voi a 12/13 anni programmavate il videoregistratore per i vostri genitori?

Solo che ora non si tratta di registrare 90° minuto, si tratta di defacciare siti, sputtanare l’inettitudine di chi dovrebbe essere “esperto”, far capire al mondo che si lotta per un ideale. Che si lotta anche per cercare di cambiarlo, questo mondo.

E ideali forti e grandissima abilità sono una miscela devastante. Perché un’abilità superiore a quella di quasi tutti quelli che stanno dall’altra parte della barricata è un’arma vincente, ma se si unisce ad un ideale (l’ultimo tweet di @topiary dice “You cannot arrest an idea“, e sono parole da incorniciare), allora si crea una valanga che non si fermerà facilmente. Forse non si fermerà mai…

We are Anonymous. We are . . We do not forgive. We do not forget. Expect us.

Siete pronti?

Mi sono sempre particolarmente piaciuti i video informativi fatti in questo modo, sia perché sono molto efficaci, con qualche trucchetto, nel veicolare il messaggio sia perché forniscono dati e numeri reali (uno famosissimo è Socialnomics).

Ho scoperto di recente questo sulla storia della sicurezza informatica. Gustatevelo.

Il video è stato realizzato da CommsNet, ma voi, siete pronti?

P.S. Lo sapevate che YouTube consente di usare, come opzione di embedding di un video, una modalità privacy avanzata? Peccato che wordpress.com non sia aggiornatissimo…

In fondo è solo un RFC…

… e solo del 1981! Ma andiamo con ordine.

Qualche giorno fa, il (comatoso) mondo dei firewall è stato scosso dai risultati di un’analisi degli NSS Labs su un gruppo di prodotti recenti.

La storia in realtà è iniziata l’anno scorso, quando due ricercatori di Breaking Point hanno pubblicato un paper in cui, analizzando alcuni apparati, avevano scoperto che utilizzando una tecnica particolare di TCP handshake i firewall si comportavano in maniera strana.

Quei furbacchioni (in senso positivo ovviamente) di NSS hanno pensato bene di inserire questo tipo di test all’interno dei loro report periodici, e hanno scoperto che di questi prodotti analizzati:

  •     Check Point Power-1 11065
  •     Cisco ASA 5585
  •     Fortinet Fortigate 3950
  •     Juniper SRX 5800
  •     Palo Alto Networks PA-4020
  •     SonicWALL NSA E8500

Soltanto uno comprendeva correttamente l’handshake e lo rifiutava, gli altri erano potenzialmente a rischio. Ma, sarebbe da chiedersi, a rischio perché?

Il problema nasce dal fatto che l’RFC prevede, invece che un classico handshake in tre fasi (SYN-SYN/ACK-ACK) uno a quattro fasi, così composto:

    1) A --> B  SYN my sequence number is X
    2) A <-- B  ACK your sequence number is X
    3) A <-- B  SYN my sequence number is Y
    4) A --> B  ACK your sequence number is Y

Iniziare una sessione in questo modo è assolutamente lecito, ma di fatto mai implementato nella realtà. Cosa succede quindi ad un firewall se ha a che fare con questo tipo di handshake? Succede che, come scoperto da NSS, il firewall si “confonde” sullo stato della sessione, e comincia a comportarsi in modo stateless. Questo potrebbe portare il firewall a non applicare i controlli di sicurezza e a non controllare il flusso della sessione. Per esempio un potenziale attaccante potrebbe, una volta fatto collegare ad un proprio server un client di una rete aziendale, eseguire questo attacco e invertire il senso della connessione, avendo potenzialmente accesso alla rete del client. Gli scenari possibili sono facili da prevedere poi…

Vorrei premettere una cosa però, questo tipo di test vale per il solo prodotto firewall, se c’è di mezzo anche un IPS, reale o funzionalità che sia, un handshake a quattro fasi viene bloccato come attacco… a meno che l’IPS non sia in grado di capire il verso della connessione. Molti apparati di intrusion prevention infatti bloccano le possibili minacce analizzando il verso (da fuori a dentro ad esempio). Qualora un attaccante riuscisse, tramite handshake a quattro fasi a confondere il firewall e ad invertire il verso, sarebbe possibile evadere i controlli e inviare il proprio payload a destinazione.

Tornando all’industria, NSS ha pubblicato subito un bel remediation report ma, ovviamente, nel frattempo è successo un casino.

Tutti i produttori si sono sbrigati a dire che o sono immuni (però con quel settaggio…. però con quella funzionalità…) o che ci stanno lavorando: Fortinet, Palo Alto (che dice che l’hanno passato mentre NSS dice che rilasceranno una patch.. mah), SonicWALL e anche StoneSoft, che non era tra quelli testati da NSS per vari motivi… di Juniper ho trovato poco.

In particolare vorrei segnalare che il PSIRT di Cisco ha dimostrato anche qui serietà e prontezza, come nel caso AntiEvasion. Hanno infatti dichiarato che analizzando nel laboratorio la questione non sono riusciti a riprodurla, qui il loro bollettino. Devo fare i complimenti per la chiarezza e la trasparenza.

In conclusione è stato un piccolo fuoco in un settore dell’industria infosec ormai comatoso appunto, perché c’è poco da fare ormai sul prodotto firewall. Lasciando perdere le sparate next/new-gen che sanno molto di marketing e poco di innovazione reale.

Chissà, forse per innovare bisogna tornarsi a leggere le RFC, visto che questo problema, di fatto, non è nemmeno una vulnerabilità!

Per avere ulteriori spiegazioni sul topic vi rimando all’ottimo articolo di Paolo Passeri sul suo blog, e all’analisi di Breaking Point che in effetti spinge a riflettere sul modo in cui vengono testati i firewall, forse troppo lontani dalla realtà. Ulteriori articoli interessanti sono anche quelli di WatchGuard, che suggerisce di farsi da se il test con lo script riportato nella ricerca, e di Technicolor.

Bye!

P.S.: se non avete capito chi sia stato l’unico a passare il test ve lo dico io: Check Point. Per gli addetti al troubleshooting non penso ci sia da stupirsi, visto quanto FW-1 rompe le scatole con il TCP-out-of-state