Non è andata come solito…

Del Pwn2Own avevo parlato giusto un anno fa, ma si è appena conclusa l’edizione 2012. Ci sono delle novità, anche se nel segno del discorso che avevo affrontato lo scorso anno.

Con una grossa sorpresa però. Ma andiamo con ordine.

Stavolta il primo a cadere è stato Chrome (ad opera dei soliti Vupen).
Ma quella che potrebbe apparire come una notizia disarmante (e infatti c’è stata parecchia ironia da parte della stampa non specialistica), in realtà rientra in una specifica strategia che Google ha adottato di recente. E lo ha fatto anche con lanci abbastanza clamorosi, come promettere un milione di dollari (in totale) come ricompensa per trovare delle falle di, appunto, Chrome. La ricompensa era inserita nella cosiddetta “Pwnium challenge“, un evento collaterale al Pwn2Own vero e proprio, dovuto principalmente ad un cambio di regole della competizione “ufficiale” che ha creato qualche rosicata polemica con qualche partecipante storico, che infatti non si è presentato.

In ogni caso, analogamente a quanto detto per Microsoft lo scorso anno, Google ha riproposto la stessa attenzione verso la scena hacker, considerando i ricercatori di sicurezza una risorsa, non una minaccia.

Per la cronaca Vupen ha bucato anche IE9, e Firefox è caduto per uno zero-day a cui ha lavorato anche un ricercatore italiano Vincenzo Iozzo, e mi sembra giusto segnalarlo.

Ma ho parlato di una sorpresa prima, già.
La sorpresa è che nessuno ha provato a bucare Safari.

Già, proprio così. Sarà stato il cambio delle regole, sarà stata la taglia messa in campo da Google, chissà. Fatto è che nessuno aveva pronto un attacco per il browser della mela.

Dopo quanto detto questo cosa vuol dire? Diverse cose.
Che nessuno aveva tempo per trovare uno 0day per Safari. Trovare queste vulnerabilità non è facile, richiede tempo e fatica. Oppure che la versione attuale è davvero sicura? Ovvio che no, niente è abbastanza sicuro da resistere a lungo, e prima o poi i buchi escono fuori.

Il mio parere è che la strategia di Apple, in merito a come gestire la sicurezza dei suoi software (per quanto fatti bene), era e resta errata. Ma staremo a vedere…

Bye!

Quando l’intelligence si rivolta contro

Ovvero: bisogna sempre stare attenti a fidarsi degli altri.

Piccolo antefatto: a Natale del 2011 viene bucato, dal gruppo Anonymous, il sito della nota agenzia di cyber-intelligence STRATFOR.

Vengono sottratti numerosi dati. Prima di tutto il dump delle email degli analisti, poi la lista degli utenti, gli account, le password e in numerosi casi le carte di credito dei sottoscrittori ai servizi dell’agenzia. Ma non voglio parlare di questo, in giro trovate tantissime analisi di quanto è successo, inclusa una eccellente timeline (seppure con molti link ormai rimossi).

Analizzando il database che trovate su Dazzlepod, ho notato che ci sono (oltre ad una vagonata di altra roba) degli account gov.it interessanti:

Non avendo mai sentito il dominio alfa.gov.it, sono andato a fare una ricerca, ma non espone un servizio web accessibile direttamente. Qualche parolina nelle email però inizia a far riflettere…

Cercando su Google emerge però un ulteriore sottodominio webq.alfa.gov.it, che presenta una form di login, presumibilmente ad un’interfaccia di web mail.
Fare un whois ai siti governativi italiani è abbastanza complesso (come registrarli del resto, ma si tratta appunto di roba governativa e italiana, quindi c’è poco da meravigliarsi 🙂 ) anche se un servizio esiste, vedi l’aggiornamento più sotto.

Questo sito è ospitato dall’IP 151.13.11.186, di Infostrada.
Non è possibile capire di più, ma è possibile utilizzare un fantastico strumento come Robtex, per capire cos’altro c’è su quella classe di indirizzi, visto che verosimilmente saranno stati assegnati tutti insieme. E infatti facendo una ricerca esce fuori…

Ecco rivelato chi c’è dietro alfa.gov.it, e perché era interessato all’intelligence.

Chiariamo subito una cosa, non si trattava e non si tratta di risorse segrete.
Si tratta di asset più o meno volutamente nascosti. Per lo meno non esposti direttamente a chi non si cura di cercare le cose per bene.

Questa storia è un bel case study per spiegare due cose molto importanti nella sicurezza informatica.

La prima è senza dubbio che non bisogna fidarsi di nessuno.
Per quanto sia importante il fornitore del servizio, per quanto si paghi o si pensi di stare al sicuro, non bisogna mai esporsi troppo direttamente. Sarebbe bastato usare un indirizzo gmail registrato al volo e sarebbe scomparso nelle centinaia di miglaia di utenze dumpate.

Il secondo è che le fonti OSINTOpen Source Intenlligence sono potentissime.
È necessario realmente fare due/tre ricerche e la mole di informazioni che viene resa disponile è enorme. Quindi se pensate di poter nascondere qualche cosetta tra le pieghe dei vostri servizi internet, se pensate che in fondo che male c’è ad usare l’email aziendale… ripensateci. Non stiamo parlando di tecniche avanzate di Google hacking, basta una semplicissima ricerca.

Ironia della sorte, i colpiti da questa vicenda sono proprio coloro che stavano cercando, e chissà perché con tanti indirizzi diversi, proprio informazioni da fonti OSINT

Bye!

Aggiornamento: cercando meglio, una specie di whois dei domini .gov.it è disponibile qui, dove il dominio alfa.gov.it risulta attivo e registrato a “Presidenza del Consiglio dei Ministri CESIS“. Il che rende ancora più semplice l’OSINT e ancora più emblematico il problema derivante dall’uso di quelle email.

Mio articolo sui CAPTCHA su Hakin9

Hackin9 issue 50 Cover

Segnalazione veloce “di servizio” per informare che sul numero di febbraio di Hakin9, nota rivista di sicurezza informatica, è stato pubblicato un mio articolo relativo a cosa sono i CAPTCHA, come implementarli bene per aumentare la sicurezza e l’accessibilità, e quali sono le attuali contromisure per eluderli.

L’articolo è in inglese, e questo è l’abstract:

You’ve of course always used them. They’re those strange letters and numbers below pretty every registration form that exist on the Internet. CAPTCHAs are everywhere, sure, but are they useful? Are they secure? Are they accessible? We’ll look at how they’re implemented, we’ll try to debunk some myth related to them and understand how you can use CAPTCHAs on you web application, and be safe and sound.

Se siete abbonati potete scaricare la rivista (se non lo siete allora abbonatevi! :-)), in ogni caso trovate l’articolo su questo blog!

Piccolo post di fine anno..

Salve a tutti.

Sono passati un po’ di mesi dall’ultimo post, l’estate è diventata inverno e l’anno è quasi al termine.

Dalle ferie estive in poi ho avuto diversi impegni, lavorativi e non, che mi hanno allontanato un po’ dallo scrivere sul blog. Non ho comunque perso l’attenzione verso quello che succede in giro.

Insomma scrivevo poco, ma leggevo molto.

In ogni caso ho lavorato nel poco tempo libero su un progettino per una serie di articoli riguardanti il lato oscuro della rete. Non stiamo parlando di usare la Forza, ma dei servizi non accessibili direttamente da tutti gli utenti, ma solo passando per Tor.

Molti di voi sapranno già di cosa sto parlando, altri no, anche se ci sono stati degli avvenimenti recenti nel mondo dell’hacktivism che hanno portato alla luce questo micro-mondo. A grandi linee gli articoli parleranno di come si usa Tor, cosa sono gli hidden services e cosa offrono, come funziona e cos’è la moneta di scambio di quel micro-mondo: BitCoin.

Il progetto è un po’ lungo, ma spero di svilupparlo per bene da gennaio in poi.
Nel frattempo Buon anno a tutti, e che sia molto più sicuro di quanto sia stato il 2011

Bye!

P.S.: il video di cui avevo parlato tempo fa ora ha i sottotitoli in italiano, fatti dal sottoscritto con la collaborazione di Boaz Fischer di CommsNet.

P.P.S.: C’è anche un’altra cosetta, ma per quella bisogna aspettare. Fingers crossed!

Piccoli hacker crescono…

Le ultime settimane sono state abbastanza turbolente nel mondo dell’InfoSec.

Oltre ai clamorosi attacchi dei mesi scorsi abbiamo assistito ad un proliferare di piccoli eventi che, stavolta in particolare, si sono svolti contro enti e aziende italiane di rilevanza nazionale.

Non voglio però parlare di questo, si è già detto molto, quanto focalizzarmi su due eventi minori che sono passati un po’ sotto traccia sui media mainstream.

Il primo è l’arresto in Gran Bretagna di Topiary. Topiary è il (presunto) portavoce del movimento Lulz Security, il “braccio armato spiritoso” di Anonymous e di tutto il movimento AntiSec. Per una panoramica più dettagliata su cosa vogliono dire questi movimenti vi rimando, oltre all’ottima Wikipedia, ad un articolo molto ben scritto da Matteo ‘lastknight‘ Flora.

Ora Topiary, al secolo Jack Davis, ha 18 anni.

La seconda notizia è che al DefCon si è svolto quest’anno, per la prima volta, l’evento DefCon Kids. Questo evento è già il segno di un grande apertura mentale ed attenzione nei confronti dell’avvicinamento dei nativi digitali alla scena hacker. Questa è una naturale conseguenza del fatto che le persone che sono nate quanto Internet già esisteva stanno crescendo e stanno comprendendo in pieno tutto ciò che il cyberspazio permette loro di fare, stanno iniziando ad imparare e, soprattutto, stanno agendo.

Durante il DefCon Kids una ragazzina, CyFi, ha mostrato una “vulnerabilità” di alcuni giochi per iOS e Android. In pratica spostando l’orologio è possibile far crescere le risorse dei farming games più velocemente, e quindi velocizzare lo svolgimento del gioco. CyFi ha in pratica cambiato e pensato fuori dallo schema. Poca cosa magari, ma c’è un piccolo particolare.

CyFi, che è anche co-fondatrice del DefCon Kids, ha 10 anni.

Questi due eventi apparentemente non collegati tra loro in realtà sono le facce di una stessa medaglia, che impareremo a conoscere nel prossimo futuro. Sono collegati perché più passerà il tempo più i nativi digitali cresceranno e cominceranno a capire cosa non gli piace del mondo. E cercheranno di cambiarlo, in meglio in peggio non importa. Perché a 18 anni è essenziale avere un ideale per cui combattere, in cui credere.

E, permettete una nota personale, in un mondo lobotomizzato dalla tv e dal consumismo estremo, vedere ragazzi che credono in qualcosa fa tornare indietro di 30/40 anni, quando l’unica cosa che importava era cercare di cambiare il mondo. A tutti i costi. E questa per me è una cosa molto positiva.

Si faranno errori e si subiranno le giuste punizioni, ma andranno avanti. Fa un po’ sorridere a tal proposito vedere la lettera degli hacker “storici” (2600, CCC, e compagnia) in cui si chiede al movimento di smettere e si condannano le loro azioni. Peccato che questi gruppi hanno sì fatto la storia del movimeto hacker, ma ora sono il passato. Un passato che, agli occhi dei giovani, sembra solo un gruppo di dinosauri che sta lì ad occupare posti di prestigio senza pensare di andare in pensione.

Del resto, seppur da prendere in estrema considerazione la loro lettera e le loro raccomandazioni, loro agivano per tutt’altro scopo. Agivano per la conoscenza, per permettere a tutti di accedere alle risorse dell’informazione. Gesti nobili, che hanno anche gettato le basi dell’internet odierna. Ma non agivano per cambiare il mondo, e infatti non hanno cambiato granché.

I nativi digitali come Topiary, tutte le crew di AntiSec e persone come CyFi invece seguono questa idea. E non serve chiedere “ma capiscono quello che fanno?”, perché la risposta è si! Lo sanno benissimo, basta guardare un bambino di tre-quattro anni come maneggia un iPad, basta vedere come impara velocemente cosa fare e come funziona, basta vedere come impara lui a voi qualche trucco o scorciatoia.

Del resto non vi ricordate, se siete della mia generazione, di quando voi a 12/13 anni programmavate il videoregistratore per i vostri genitori?

Solo che ora non si tratta di registrare 90° minuto, si tratta di defacciare siti, sputtanare l’inettitudine di chi dovrebbe essere “esperto”, far capire al mondo che si lotta per un ideale. Che si lotta anche per cercare di cambiarlo, questo mondo.

E ideali forti e grandissima abilità sono una miscela devastante. Perché un’abilità superiore a quella di quasi tutti quelli che stanno dall’altra parte della barricata è un’arma vincente, ma se si unisce ad un ideale (l’ultimo tweet di @topiary dice “You cannot arrest an idea“, e sono parole da incorniciare), allora si crea una valanga che non si fermerà facilmente. Forse non si fermerà mai…

We are Anonymous. We are . . We do not forgive. We do not forget. Expect us.