Gli hacktivist e la guerra in Siria

I venti di guerra soffiano e purtroppo continueranno a soffiare su scenari classici, e la Siria potrebbe essere presto uno di quelli.

Stavolta però, proprio perché parliamo della Siria, la guerra combattuta non sul fronte del confine o delle città, ma sulla linea rossa del web e di internet, il cyberwarfare, avrà probabilmente la sua prima uscita pubblica.

Da anni gli analisti di sicurezza (informatica e non) di tutto il mondo studiano il fenomeno dei gruppi di hacktivist che combattono e si combattono una guerra parallela, più “fredda” di quella ufficiale. Se non altro perché non ha, per ora e per quel che ne sappiamo, morti ammazzati.

Questi gruppi sono sempre stati attivi, e sono sempre stati più o meno esplicitamente supportati dai rispettivi governi. Ogni tanto c’è qualche notizia sui media mainstream, in particolare quando ci sono frecciatine più o meno pesanti da parte dei vari governi, come ad esempio questa degli Stati Uniti contro gli attacchi hacker cinesi.

La Siria, dicevamo, è diversa. Ma perché?

Perché la Siria dispone del primo vero, pubblico e pubblicamente supportato dal suo governo gruppo di hacker destinati al cyberwarfare: il Syrian Electronic Army.

Per capire quanto sia attivo questo gruppo, basta fare una ricerca sul sito di Graham Cluley (uno degli analisti di sicurezza informatica più attenti su questo tema, dopo aver lavorato per anni in Sophos)

clueleysyria

E questi sono gli attacchi delle ultime settimane.

Come si può notare il target prediletto del SEA sono i principali media statunitensi.

Addirittura qualche giorno fa sono arrivati, tramite un semplicissimo attacco di tipo spear phishing, quasi a modificare la homepage del New York Times.

Dallo screenshot pubblicato proprio dal SEA si vede come avevano già modificato il feed delle notizie, inserendo un sito arabo pro-governo siriano

nytsea

Ma, come in tutti gli scenari di guerra classici, chi è attaccato non sta fermo a subire le conseguenze. Reagisce.

Mentre però in uno scenario classico sono gli stati a farsi la guerra, nel mondo degli hacktivist non c’è una distinzione chiara delle parti, anzi spesso la confusione di chi-si-allea-con-chi è tale che gruppi di hacktivist di una nazione possono agire in contrasto al loro stesso governo.

Proprio in questi giorni, sulla pagina Facebook del movimento LulzSec, è partita una pesante campagna di reclutamento di persone esperte in vari settori, proprio per agire in vista di un possibile attacco alla Siria.

LulzSec era (ma sarebbe meglio dire è) un gruppo di hacker e hacktivist molto famoso nell’ambiente, noto in particolare per l’Operazione Antisec, proprio in contrasto alle misure antiterrorismo del governo USA, che puniscono severamente anche le attività di hacking.

Alleati e partner di Anonymous in diverse operazioni, furono poi duramente colpiti quando uno dei loro capi si rivelò essere un informatore dell’FBI, e questo portò all’arresto di diversi altri esponenti di punta del gruppo.

Queste azioni comunque hanno solo rallentato l’attività del gruppo, che come detto in questi giorni di preparativi di una guerra in Siria sta raccogliendo le forze

lulz

lulzjihad

Il punto più interessante è che il target sono sì i siti jihadisti e in ogni caso il governo Siriano. Ma l’operazione nasce principalmente per aiutare chi si trova in Siria

lulztor

Ma non in ogni caso a supportare un possibile attacco USA.
Vista la palese ostilità del gruppo verso Washington.

In conclusione la situazione, come già detto, è molto confusa, ma probabilmente questi sono gli scenari con cui ci dovremo confrontare sempre di più nei prossimi anni.

Specialmente perché gli hacktivist tendono sempre ad agire in base ad una specifica ideologia, e quindi sono potenzialmente molto più pericolosi, meno prevedibili e più spregiudicati di un potenziale gruppo hacker militare o governativo.

Molto spesso infatti proprio i governi sfruttano questi gruppi per fare vere e proprie operazioni underground, ben al di la di qualsiasi legge nazionale ed internazionale.

Del resto come ha scritto Topiary, uno dei leader di LulzSec arrestati dopo il “tradimento” di Sabu, nel suo ultimo tweet

Come attivare l’autenticazione a due fattori su LinkedIn e Twitter

Avevo già parlato sia del perché sia molto importante utilizzare un sistema di autenticazione a due fattori per i servizi web, in particolare i social network, sia del fatto che i recenti attacchi a Twitter e LinkedIn potevano essere evitati (o per lo meno mitigati) proprio attivando questa funzionalità. Che su quei due social network però mancava.

Dopo qualche mese dagli attacchi, per fortuna sia Twitter che LinkedIn hanno reso disponibile ai propri utenti un sistema di verifica dei login.

Praticamente usano lo stesso metodo: registrate un numero di cellulare e loro vi inviano un SMS con un codice da usare dopo aver inserito username e password.

Vediamo meglio come abilitare questa funzionalità.

Twitter

Prima di tutto un consiglio: se avete già associato al vostro account Twitter un numero di cellulare rimuovetelo prima di attivare questo servizio. Sembra ci sia un bug, quindi si fa molto prima a togliere tutto e ricominciare da capo.

Abilitare il tutto è molto semplice, basta cliccare sull’ingranaggio in alto a destra, andare su Impostazioni, e selezionare l’opzione Richiedi un codice di verifica all’accesso

Twitter richiedi codice di accesso

Dovrete quindi inserire un numero di telefono cellulare, verificarlo inviando un SMS a Twitter, e successivamente potrete abilitare l’invio del codice

Twitter registra cellulare

Tutto abbastanza semplice.
Come già disponibile prima, inoltre, potrete selezionare quali avvisi ricevere sul vostro cellulare via SMS o se abilitare la funzionalità di SMS-twitting.

LinkedIn

Anche su LinkedIn la procedura è simile.

Riporto qui la versione inglese del sito, uso quella perché la versione in Italiano ancora non ha recepito gli ultimi cambiamenti grafici.

Basta cliccare sul proprio account in alto a destra, andare su Privacy and Settings –>Account –>Manage security settings e arrivare a questa schermata

linkedin-security-settings

Oltre a poter abilitare l’SSL (e fatelo immediatamente, anzi installate HTTPS Everywhere) potrete attivare la funzionalità di invio del codice di verifica.

Va quindi registrato un numero di cellulare, ed è fatta.

Linkedin registra cellulare

E ora?

E ora basta!

Da questo momento ogni volta che vi loggherete in questi due servizi con username e password vi verrà inviato un codice via SMS

codici sms

Ovviamente questo sistema non è esente né da rischi né da scomodità.

La scomodità principale è quella di avere copertura telefonica per ricevere, almeno in tempi brevissimi, l’SMS. E a volte, soprattutto all’estero, questo è un problema.

La speranza è quella che sia Twitter che LinkedIn seguano quanto fatto da Google e Facebook, utilizzando un generatore di codici all’interno magari delle loro app per smartphone.

In ogni caso è un primo passo, semplice ma molto importante, per essere un po’ più sicuri in rete su questi due servizi molto usati.

Bye!

La roba Microsoft é la più bucata! Ehm… quasi

Leggevo con colpevole ritardo il report degli NSS labs sull’andamento delle vulnerabilità (qui il PDF).

Molto interessante è questa tabella (cliccate per ingrandire) che riporta i vendor maggiormente colpiti da CVE, facilmente exploitabili nello scorso anno.

Top Vulnerabilities

Top 10 vendors with highly critical, easy to exploit vulnerabilities – Fonte NSS Labs

La prima cosa che salta subito agli occhi è che, come riportato dal titolo, il software Microsoft è solo decima in classifica. E per giunta è colpita solo dall’1% di tutti i CVE emessi nel 2012.

Sfatiamo subito un mito quindi, un luogo comune un po’ datato ma ancora in voga. Purtroppo anche tra i professionisti e gli addetti ai lavori.

La seconda cosa che risulta guardando l’analisi di NSS è che i sistemi operativi non sono i più colpiti. I primi posti della classifica sono infatti coperti da software ordinario, middleware o plug-in di altri programmi.

Queste due cose messe insieme (il mito di Windows colabrodo e il fatto che siano più facilmente vulnerabili browser e plug-in) provocano un effetto devastante nella gestione ordinaria della sicurezza delle nostre postazioni di lavoro. Sia a casa che, soprattutto, in azienda.

Addirittura devastante come effetto? Eh sì.

Sì perché le informazioni e i dati sono un innesco fondamentale per definire le policy e le azioni legate alla sicurezza informatica, sia essa aziendale o personale.

Partire quindi da pregiudizi, o ancora peggio da informazioni totalmente sbagliate causa delle politiche di sicurezza altrettanto sbagliate, e questo a sua volta apre dei buchi nella nostra (già fin troppo fragile) linea di difesa.

Abbattere il pregiudizio guardando quella tabella non solo è essenziale per rimettere le cose in carreggiata, ma soprattutto per focalizzare la nostra attenzione sui posti dove veramente abbiamo un problema.

Fin troppo spesso infatti le politiche di aggiornamento dei vari asset aziendali spingono su patch di Windows, agent antimalware, agent personal firewall e chissà quale altra amenità.

Poi però abbiamo postazioni di lavoro e, peggio, server su cui gira Firefox 3.6.
Oppure utilizziamo ancora applicazioni che richiedono obbligatoriamente di usare una bella Java versione 5.0.

O, peggio ancora visto che sono i primi della lista, non abbiamo nessuna procedura che controlli l’aggiornamento costante di Flash o di Acrobat Reader. E il secondo è il posto dove passano tutti i PDF che arrivano, e i PDF sono un veicolo fondamentale per diffondere malware e altra robaccia.

L’analisi di questo tipo di rapporti, il leggere attentamente i numeri e i confronti, è e deve essere attività essenziale per chiunque si appresti a definire le proprie politiche di sicurezza. Siano quelle di una realtà con quattro PC o quelle di un’azienda con decine di migliaia di postazioni.

Purtroppo anche i professionisti più navigati cadono spesso in errori di questo tipo. Anzi, spezzo una lancia, in fondo se lo meritano, ci cadono proprio perché applicano ancora modelli non aggiornati alla realtà attuale, che prevede ulteriori fattori (come la facilità di esecuzione di un attacco) e contesti diversi (ad esempio l’uso o l’esposizione di rete di un certo asset o servizio).

I prodotti Microsoft, e Windows in particolare, hanno sì’ comunque un elevato grado di vulnerabilità e sono pesantemente attaccati. Guardiamo la tabella (cliccate per ingrandire) di confronto sulle vulnerabilità comprate dai programmi ZDI e VCP negli ultimi 10 anni.

Top 10 vendors

Top 10 vendors for which ZDI & VCP purchased vulnerabilities since 2001 – Fonte NSS Labs

Microsoft fa sicuramente la parte del leone in questo caso, ma questo dato mostra due cose principalmente:

  • la “facilità” di attacco dei suoi prodotti
  • l’elevato interesse che ricercatori e hacker hanno nei suoi riguardi (infatti la seconda è Apple).

Ma come usare questo dato allora? Non significa però necessariamente che tutte quelle vulnerabilità siano di elevata criticità, né che siano, come detto nella prima tabella, facilmente utilizzabili per bucare qualcosa.

Quindi è vero che i grandi numeri restano “onori” di alcuni vendor in particolare, ma guardare solo i numeri non serve.

Va sempre considerato il contesto, altrimenti richiamo di focalizzarci solo su un prodotto che ha sì un gran numero di vulnerabilità, ma magari di basso livello o molto difficili da sfruttare. Oppure ci sforziamo molto per proteggere sistemi già protetti da altre cose (come ad esempio i sistemi di protezione perimetrale, o il prodotto antimalware), mentre poi lasciamo utilizzare agli utenti degli altri software di uso quotidiano, mai aggiornati e con plug-in obsoleti e pericolosi.

E in più, in questo scenario già di per se inquietante, quegli stessi software sono estremamente facili da bucare. Basta andare su qualche forum e trovare dei programmi già pronti.

Ecco, la chiave di lettura di utilissimi report come quello di NSS deve essere appunto quella di prendere i numeri con grande spirito critico, mettere in dubbio costantemente le proprie certezze, e cercare di capire dove sta realmente il problema.

E potrebbe non essere il primo della lista, visto che, come diceva Indiana Jones

“X” never, ever marks the spot. 🙂

Bye!

P.S. Molto interessante è il fatto, notato anche dagli analisti degli NSS Labs che nella prima tabella compare anche Advantech, un produttore di sistemi industriali SCADA.

L’attenzione su questi sistemi è in crescita costante secondo NSS Labs infatti

ICS/SCADA vulnerability disclosures increased more than 600% since 2010 and almost doubled from 72 in 2011 to 124 in 2012.

Questo anche perché, come dicono loro stessi, sono emerse nel 2012 nuove tecniche e strumenti per permettere ai ricercatori di sicurezza (sia buoni che cattivi) di scovare meglio falle nei sistemi industriali.

Resta comunque un fronte aperto e pericolosamente in crescita, non solo per lo Stuxnet di cui ha tanto parlato la stampa generalista.

Autenticazione a due fattori – Perché è importante e come usarla

Trovate qui la traduzione italiana del mio articolo pubblicato sul numero 38 di ClubHACK Magazine.

La storia finora

Recentemente abbiamo letto notizie di due importanti attacchi a due altrettanto importanti social network: Twitter (del quale ho parlato qui) e LinkedIn. Questi attacchi erano mirati a rubare, dai due DB, username, password e addirittura token di sessione degli utenti dei due social network.

Molti hanno fatto correttamente notare che le password trafugate erano cifrate, ma questo non è sufficiente. Molti utenti infatti usano ancora password troppo comuni, in questo modo è semplice risalire, partendo da una password hashata, alla password in chiaro, giusto un giro veloce di rainbow table su un computer rapido.

Questo significa che cifrare le password non è più sufficiente, ma semplicemente perché usare solo le password non è più sufficiente.

Se un attaccante ruba un database di password di Twitter o LinkedIn, significa che può accedere con un gran numero di account, questo principalmente perché questi due social network molto importanti non dispongono di una caratteristica di sicurezza fondamentale: l’autenticazione a due fattori.

Questa caratteristica è davvero fondamentale perché username e password sono troppo deboli, troppo facilmente rubabili, e addirittura troppo facilmente indovinabili, anche senza essere hacker esperti.

Così è importante che quando ci si connette ad un servizio web, soprattutto un social network che tratta nostri dati molto importanti, bisogna usare non solamente qualcosa che noi sappiamo (come la password) ma anche qualcosa che si possiede.

Questo tipo di caratteristica tipicamente funziona aggiungendo alla coppia username e password un token, hardware o software, come questo SecurID di RSA.

screenshot.2

Questo significa che se noi abbiamo questo token, siamo gli unici che possiamo accedere al servizio. Possiamo farlo perché un attaccante può ancora rubare o indovinare la nostra password dal database del social network, ma dovrebbe anche rubarci dalla tasca il nostro token. E questo è improbabile.

Come detto prima, né Twitter né LinkedIn offrono un’autenticazione a due fattori. Di sicuro ci stanno lavorando, ma ci vorrà un po’ di tempo prima che possano renderla disponibile ai propri utenti.

Tuttavia altri social network e servizi cloud già oggi offrono questo tipo di autenticazione. Stiamo parlando di Facebook, Google e Dropbox.

Vediamo come impostare l’autenticazione a due fattori su questi servizi, e rendere i nostri account più sicuri.

Facebook

L’autenticazione a due fattori su Facebook funziona in due modalità. Può sia inviare un SMS al vostro cellulare, contenente il token da utilizzare nella fase di login, sia generare lo stesso token dall’applicazione di Facebook del vostro smartphone. Prima però è necessario abilitare la funzionalità. Vediamo come.

Prima di tutto dovete andare nel tab Sicurezza del menu Impostazioni Account, e troverete questa opzione

screenshot.3

Vi sarà chiesto di inserire e validare il vostro numero di cellulare ed è fatta! Da questo momento ogni volta che farete login da un nuovo browser, o se avrete cancellato i cookie dal vostro solito browser, Facebook vi chiederà di inserire il codice inviato tramite SMS al vostro cellulare.

In alternativa, se avete uno smartphone con l’app di Facebook, potrete ottenere un codice valido tramite l’opzione Generatore di Codici presente nell’app stessa (funziona molto bene sia su Android che su iOS).

Google

La funzionalità di autenticazione a due fattori di Google funziona in modo molto simile a quella di Facebook.

Per attivarla dovete andare nella pagina delle Impostazioni del vostro Google Account, tab Sicurezza e abilitare la Verifica in due passaggi

screenshot.4

Vi sarà richiesto di inserire il vostro numero di cellulare e confermarlo

screenshot.5

Fatto questo potrete accedere al vostro Google Account solo inserendo il codice inviato via SMS al vostro cellulare.

Questa è la modalità principale, analogamente a Facebook anche Google mette a disposizione un’app da scaricare sullo smartphone, la Google Authenticator.

Si può scaricare da iTunes o Play Store, è gratis ed è molto semplice da configurare, poiché per attivarla dovete solo inquadrare il QR Code che Google vi mostra nella pagina di attivazione dell’app

screenshot.8

La caratteristica più interessante di Google Authenticator è che non è legata ad un singolo account, è possibile infatti utilizzarla per più Google Account, e metterli in sicurezza tutti in una sola volta. Questo perché l’app genererà un codice per ognuno degli account a cui è associata.

La cosa ancora più interessante è che questo servizio non è valido solo per Google, ma può essere utilizzato come framework per fornire un’autenticazione a due fattori anche da altri servizi cloud, come ad esempio Dropbox.

Dropbox

Per mettere in sicurezza il vostro account Dropbox con l’autenticazione a due fattori, fornita da Google, dovete andare nel tab Security del menu Settings, ed abilitare la two-step verification

screenshot.10

Vi sarà quindi chiesto di inserire un numero di telefono, dove mandare l’SMS col codice, o in alternativa utilizzare un’app per generare il codice di accesso.

screenshot.12

Tutto qui! Ora aprendo l’app Google Authenticator avrete questa situazione

screenshot.13

Conclusioni

Abbiamo visto un po’ più in dettaglio cos’è l’autenticazione e due fattori, perché è importante averla disponibile sui servizi che si utilizzano e, cosa più importante, come è facile attivarla ed usarla.

Sfortunatamente non tutti i social network che usiamo quotidianamente offrono questa funzionalità, ma per stare più sicuri è importante attivarla ogni volta che ci viene offerta.

Può essere noioso inserire ogni volta un codice, ma questo piccolo passaggio può realmente migliorare la nostra sicurezza online.

Aggiornamento: visto che anche LinkedIn e Twitter hanno abilitato la funzionalità di autenticazione a due fattori, ho scritto una guida per abilitarla.

Federico Filacchione
pubblicato originariamente come “Two Factor Authentication – Why it is important and How to use it” su ClubHACK Magazine numero 38.

Autenticazione a due fattori – Articolo su ClubHACK Magazine

chmag_cover Continua la mia collaborazione con la prima rivista di hacking indiana, che nel numero appena uscito pubblica un mio nuovo articolo-tutorial nella sempre simpatica sezione Mom’s Guide.

L’articolo, intitolato Two Factor Authentication – Why it is important and How to use it analizza un po’ i recenti attacchi a Twitter e Linkedin (di cui avevo già parlato qui) e spiega come su altri servizi e social newtork sia possibile abilitare l’autenticazione a due fattori. In modo molto semplice ed immediato, e quindi mettere un po’ più di sicurezza nel proprio account.

Come al solito tra qualche giorno troverete qui la traduzione italiana dell’articolo, nel frattempo potete leggerlo sul sito di ClubHACK Magazine o, ancora meglio, scaricare l’ultimo numero della rivista in PDF!