Archivi tag: analisi

Piccoli hacker crescono…

Le ultime settimane sono state abbastanza turbolente nel mondo dell’InfoSec.

Oltre ai clamorosi attacchi dei mesi scorsi abbiamo assistito ad un proliferare di piccoli eventi che, stavolta in particolare, si sono svolti contro enti e aziende italiane di rilevanza nazionale.

Non voglio però parlare di questo, si è già detto molto, quanto focalizzarmi su due eventi minori che sono passati un po’ sotto traccia sui media mainstream.

Il primo è l’arresto in Gran Bretagna di Topiary. Topiary è il (presunto) portavoce del movimento Lulz Security, il “braccio armato spiritoso” di Anonymous e di tutto il movimento AntiSec. Per una panoramica più dettagliata su cosa vogliono dire questi movimenti vi rimando, oltre all’ottima Wikipedia, ad un articolo molto ben scritto da Matteo ‘lastknight‘ Flora.

Ora Topiary, al secolo Jack Davis, ha 18 anni.

La seconda notizia è che al DefCon si è svolto quest’anno, per la prima volta, l’evento DefCon Kids. Questo evento è già il segno di un grande apertura mentale ed attenzione nei confronti dell’avvicinamento dei nativi digitali alla scena hacker. Questa è una naturale conseguenza del fatto che le persone che sono nate quanto Internet già esisteva stanno crescendo e stanno comprendendo in pieno tutto ciò che il cyberspazio permette loro di fare, stanno iniziando ad imparare e, soprattutto, stanno agendo.

Durante il DefCon Kids una ragazzina, CyFi, ha mostrato una “vulnerabilità” di alcuni giochi per iOS e Android. In pratica spostando l’orologio è possibile far crescere le risorse dei farming games più velocemente, e quindi velocizzare lo svolgimento del gioco. CyFi ha in pratica cambiato e pensato fuori dallo schema. Poca cosa magari, ma c’è un piccolo particolare.

CyFi, che è anche co-fondatrice del DefCon Kids, ha 10 anni.

Questi due eventi apparentemente non collegati tra loro in realtà sono le facce di una stessa medaglia, che impareremo a conoscere nel prossimo futuro. Sono collegati perché più passerà il tempo più i nativi digitali cresceranno e cominceranno a capire cosa non gli piace del mondo. E cercheranno di cambiarlo, in meglio in peggio non importa. Perché a 18 anni è essenziale avere un ideale per cui combattere, in cui credere.

E, permettete una nota personale, in un mondo lobotomizzato dalla tv e dal consumismo estremo, vedere ragazzi che credono in qualcosa fa tornare indietro di 30/40 anni, quando l’unica cosa che importava era cercare di cambiare il mondo. A tutti i costi. E questa per me è una cosa molto positiva.

Si faranno errori e si subiranno le giuste punizioni, ma andranno avanti. Fa un po’ sorridere a tal proposito vedere la lettera degli hacker “storici” (2600, CCC, e compagnia) in cui si chiede al movimento di smettere e si condannano le loro azioni. Peccato che questi gruppi hanno sì fatto la storia del movimeto hacker, ma ora sono il passato. Un passato che, agli occhi dei giovani, sembra solo un gruppo di dinosauri che sta lì ad occupare posti di prestigio senza pensare di andare in pensione.

Del resto, seppur da prendere in estrema considerazione la loro lettera e le loro raccomandazioni, loro agivano per tutt’altro scopo. Agivano per la conoscenza, per permettere a tutti di accedere alle risorse dell’informazione. Gesti nobili, che hanno anche gettato le basi dell’internet odierna. Ma non agivano per cambiare il mondo, e infatti non hanno cambiato granché.

I nativi digitali come Topiary, tutte le crew di AntiSec e persone come CyFi invece seguono questa idea. E non serve chiedere “ma capiscono quello che fanno?”, perché la risposta è si! Lo sanno benissimo, basta guardare un bambino di tre-quattro anni come maneggia un iPad, basta vedere come impara velocemente cosa fare e come funziona, basta vedere come impara lui a voi qualche trucco o scorciatoia.

Del resto non vi ricordate, se siete della mia generazione, di quando voi a 12/13 anni programmavate il videoregistratore per i vostri genitori?

Solo che ora non si tratta di registrare 90° minuto, si tratta di defacciare siti, sputtanare l’inettitudine di chi dovrebbe essere “esperto”, far capire al mondo che si lotta per un ideale. Che si lotta anche per cercare di cambiarlo, questo mondo.

E ideali forti e grandissima abilità sono una miscela devastante. Perché un’abilità superiore a quella di quasi tutti quelli che stanno dall’altra parte della barricata è un’arma vincente, ma se si unisce ad un ideale (l’ultimo tweet di @topiary dice “You cannot arrest an idea“, e sono parole da incorniciare), allora si crea una valanga che non si fermerà facilmente. Forse non si fermerà mai…

We are Anonymous. We are . . We do not forgive. We do not forget. Expect us.

Volete suicidarvi online?

No, no, tranquilli. Non pensavo ad un auto-esecuzione in diretta su YouTube, ma solo di come eliminare la vostra identità dai social network.

Ormai esistiamo (ed esisteremo per sempre…) solo se frequentiamo uno o più servizi online, lassù nel cloud. Ma come si fa ad uscirne?

E, soprattutto, si può uscire?

A semplificare le cose e a darci una mano nell’eutanasia del web, è nato il sito AccountKiller.

Il sito è una directory dei vari servizi disponibili, di diverso tipo: si va dal gaming ai social, alle piattaforme di blogging. Per ciascuno viene indicato come, e se, è possibile uscirne, quali sono le modalità e soprattutto dove andare. Il sito categorizza i servizi online in tre gruppi: Blacklist (impossibile uscire), Greylist (molto difficile trovare il modo, ma si può usicre), Whitelist (basta un paio di click e siete fuori.

Facciamo subito qualche esempio così si capisce meglio:

Se volete vedere il resto, qui trovate tutti i servizi recensiti.

La questione finale è sempre la stessa: le leggete le condizioni del servizio? Perché come al solito non sempre quello che è gratis non si paga in qualche modo.

Come in tutte le scelte tecnologiche il rischio di lock-in è sempre elevato, solo che qui in ballo ci sono i vostri dati. E i vostri dati sono la vostra vita.

Bye!

P.S. La questione del lock-in è fondamentale nello scegliere un provider ed una tecnologia cloud, ne riparlerò prossimamente…

In fondo è solo un RFC…

… e solo del 1981! Ma andiamo con ordine.

Qualche giorno fa, il (comatoso) mondo dei firewall è stato scosso dai risultati di un’analisi degli NSS Labs su un gruppo di prodotti recenti.

La storia in realtà è iniziata l’anno scorso, quando due ricercatori di Breaking Point hanno pubblicato un paper in cui, analizzando alcuni apparati, avevano scoperto che utilizzando una tecnica particolare di TCP handshake i firewall si comportavano in maniera strana.

Quei furbacchioni (in senso positivo ovviamente) di NSS hanno pensato bene di inserire questo tipo di test all’interno dei loro report periodici, e hanno scoperto che di questi prodotti analizzati:

  •     Check Point Power-1 11065
  •     Cisco ASA 5585
  •     Fortinet Fortigate 3950
  •     Juniper SRX 5800
  •     Palo Alto Networks PA-4020
  •     SonicWALL NSA E8500

Soltanto uno comprendeva correttamente l’handshake e lo rifiutava, gli altri erano potenzialmente a rischio. Ma, sarebbe da chiedersi, a rischio perché?

Il problema nasce dal fatto che l’RFC prevede, invece che un classico handshake in tre fasi (SYN-SYN/ACK-ACK) uno a quattro fasi, così composto:

    1) A --> B  SYN my sequence number is X
    2) A <-- B  ACK your sequence number is X
    3) A <-- B  SYN my sequence number is Y
    4) A --> B  ACK your sequence number is Y

Iniziare una sessione in questo modo è assolutamente lecito, ma di fatto mai implementato nella realtà. Cosa succede quindi ad un firewall se ha a che fare con questo tipo di handshake? Succede che, come scoperto da NSS, il firewall si “confonde” sullo stato della sessione, e comincia a comportarsi in modo stateless. Questo potrebbe portare il firewall a non applicare i controlli di sicurezza e a non controllare il flusso della sessione. Per esempio un potenziale attaccante potrebbe, una volta fatto collegare ad un proprio server un client di una rete aziendale, eseguire questo attacco e invertire il senso della connessione, avendo potenzialmente accesso alla rete del client. Gli scenari possibili sono facili da prevedere poi…

Vorrei premettere una cosa però, questo tipo di test vale per il solo prodotto firewall, se c’è di mezzo anche un IPS, reale o funzionalità che sia, un handshake a quattro fasi viene bloccato come attacco… a meno che l’IPS non sia in grado di capire il verso della connessione. Molti apparati di intrusion prevention infatti bloccano le possibili minacce analizzando il verso (da fuori a dentro ad esempio). Qualora un attaccante riuscisse, tramite handshake a quattro fasi a confondere il firewall e ad invertire il verso, sarebbe possibile evadere i controlli e inviare il proprio payload a destinazione.

Tornando all’industria, NSS ha pubblicato subito un bel remediation report ma, ovviamente, nel frattempo è successo un casino.

Tutti i produttori si sono sbrigati a dire che o sono immuni (però con quel settaggio…. però con quella funzionalità…) o che ci stanno lavorando: Fortinet, Palo Alto (che dice che l’hanno passato mentre NSS dice che rilasceranno una patch.. mah), SonicWALL e anche StoneSoft, che non era tra quelli testati da NSS per vari motivi… di Juniper ho trovato poco.

In particolare vorrei segnalare che il PSIRT di Cisco ha dimostrato anche qui serietà e prontezza, come nel caso AntiEvasion. Hanno infatti dichiarato che analizzando nel laboratorio la questione non sono riusciti a riprodurla, qui il loro bollettino. Devo fare i complimenti per la chiarezza e la trasparenza.

In conclusione è stato un piccolo fuoco in un settore dell’industria infosec ormai comatoso appunto, perché c’è poco da fare ormai sul prodotto firewall. Lasciando perdere le sparate next/new-gen che sanno molto di marketing e poco di innovazione reale.

Chissà, forse per innovare bisogna tornarsi a leggere le RFC, visto che questo problema, di fatto, non è nemmeno una vulnerabilità!

Per avere ulteriori spiegazioni sul topic vi rimando all’ottimo articolo di Paolo Passeri sul suo blog, e all’analisi di Breaking Point che in effetti spinge a riflettere sul modo in cui vengono testati i firewall, forse troppo lontani dalla realtà. Ulteriori articoli interessanti sono anche quelli di WatchGuard, che suggerisce di farsi da se il test con lo script riportato nella ricerca, e di Technicolor.

Bye!

P.S.: se non avete capito chi sia stato l’unico a passare il test ve lo dico io: Check Point. Per gli addetti al troubleshooting non penso ci sia da stupirsi, visto quanto FW-1 rompe le scatole con il TCP-out-of-state

È tornato il ransomware

Leggevo sul blog del laboratorio di ricerca di F-Secure un’analisi su un recente malware di tipo ransomware. E la trovo molto interessante per parlare questo particolare tipo di software malevolo. Qui di seguito trovate il video in cui il grande Mikko Hyppönen spiega cosa hanno analizzato. Aggiungo solo che questo tipo di malware mi piace parecchio,  perché rende bene l’idea di come ormai ci sia una vera e propria industria criminale dietro questi programmi. Che fa anche un sacco di soldi.

Questi programmi sostanzialmente bloccano o l’intera postazione (come nel caso esposto da F-Secure) oppure criptano alcuni file di sistema e/o documenti dell’utente, come la cartella Documents&Settings ad esempio. Poi ti chiedono un riscatto e, visto che la cifratura è anche a 1024bit, hai da paga’… Potrebbero essere considerati la versione “cattiva” dei Rogue AV. Anzi, nel particolare il caso presentato da F-Secure è davvero un ibrido, visto che non c’è traccia di esplicito ricatto.

Diciamo che i ransomware non sono una novità dell’ultima ora, anzi. I Kaspersky Labs, sempre molto attenti a questo argomento, avevano previsto una nuova ondata per la fine dell’anno scorso, mostrando anche un tipo di malware che addirittura arrivava a rapire il master boot record.

La cosa interessante è che, come dicevo all’inizio, viene dimostrato chiaramente che stiamo di fronte ad atti di criminalità organizzata vera e propria. Perché per preparare una cosa del genere non ci vuole solo un cyber-criminale qualsiasi, ci vogliono: chi programma il software (e deve essere bravo, guardate la grafica..), chi si occupa di affittare i PRN, chi gestisce la botnet per spammare il malware e/o spargerlo in giro… Insomma la situazione è molto complessa.

Ormai da anni, sia nei convegni che negli spazi online, tra i professionisti dell’infosec si parla di questa industria sotterranea, con bilanci da capogiro che hanno poco da invidiare ai traffici criminali considerati normali.

Solo che se sei membro di una botnet non lo sai e non lo vedi, se ti rapiscono i tuoi dati e ti chiedono il pizzo sì. Sarà forse per questo che i ransomware non sono poi così diffusi?

Bye!

Le password sono una cosa seria!

Del Harvey è la responsabile della divisione Trust and Safety di Twitter. Dico subito che trovo il nome del gruppo sicurezza di Twitter fantastico. Rende perfettamente l’idea di un team di persone che lavorano per garantire all’utente (e all’azienda) la migliore e più sicura esperienza possibile. E Twitter del resto non è immune da problemi, anzi

Del ha scritto sul suo blog un articolo molto ben realizzato sull’importanza di avere password sicure e su alcuni consigli. Ho chiesto a Del il permesso di usare e tradurre il suo articolo, con la condizione di dire che ovviamente non è una guida esaustiva e che dovete sempre fare riferimento all’articolo originale per eventuali cambiamenti. E che, aggiungerei io, anche se vi sembrano cose dette e ridette fa sempre bene leggerle.

Parliamo quindi di password.

La sicurezza delle password è super-importante! Questo perché gran parte degli account vengono “craccati” anche perché gli utenti mettono password semplici, e magari usano sempre la stessa per un gran numero di account diversi (12345 anyone?). Qui di seguito proviamo ad elencare una piccola lista di consigli e best practice

NON condividete le vostre password con altre persone. Non importa quanto sia sicura una password: se qualcuno la conosce non lo è più. Se due persone usano lo stesso account, che sia di un servizio web o di un computer, è sbagliato. Fate account diversi.

NON usate una parola che si può trovare in un dizionario (e non usate nemmeno una cosa tipo 123456!!). Usare password complesse può voler dire problemi, ok, ma ci sono prodotti come 1Password o LastPass che le gestiranno per voi. Dategli un’occhiata, dovrete solo ricordarvi una password master. Anche il semplice gestore di password di Firefox può aiutarvi in tal senso, magari con Firefox Sync.

NON usate il nome del partner, o di vostro figlio, o del cane. Sono informazioni reperibili in un attimo sui social network, quindi sono password molto a rischio.

NON inserite le credenziali dopo aver cliccato su link sospetti, magari da email. Controllate sempre le fonti, potrebbero essere phishing. Controllate che il sito sia veramente quello, nel dubbio non entrate, ma usate quello che avete già inserito nei bookmark o scrivetelo voi.

NON usate la stessa password per più siti diversi. Lo so, è molto comodo, ma vuol dire che se viene compromessa quella password, rischiate di perdere tutti i vostri account.

RICORDATE che le domande di sicurezza possono essere una vulnerabilità! Se qualcuno sta cercando di entrare nei vostri account, non sarà un problema per lui sapere in che città siete nati o qual è la vostra squadra del cuore. Per una sicurezza extra mentite nelle domande di sicurezza: siete della Roma? Dite che siete laziali! Magari se usate 1Password o LastPass potete segnarvi qual’era la vostra bugia. Se invece avete la possibilità di scrivervi le vostre domande di sicurezza: siate creativi! Con una ricerca ormai si trova tutto.

SAPPIATE che se utilizzate algoritmi per le vostre password, con una parte fissa e una che cambia a seconda del sito, tipo Google123 o Facebook123, non siete propriamente al sicuro. Perché molto spesso se viene compromessa una password, questa verrà usata anche per entrare su altri siti, provando le opportune modifiche (non è poi così difficile). E poi vi chiederete perché non ho usato password diverse?.

SIGH… dopo tutte queste parole state ancora utilizzando la stessa password su più siti vero? Se proprio non vi va di usare una password diversa per ogni sito, almeno provate a differenziare in base al rischio. Usate la stessa password per siti non importanti per voi, una molto più sicura per i siti che vi interessano e password complesse e diverse per i siti fondamentali: banca, email, facebook, ecc. Ricordate che quelli più importanti non sono solo quelli con i vostri soldi, ma anche quelli con la vostra identità.

SUGGERIMENTO: volete un aiuto su una password non presente in un dizionario ma non volete usare un password manager? Provate un testo di una canzone, prendete le prime iniziali di ogni parola e contraete il tutto. Esempio: Acqua azzura, acqua chiara, con le mani posso finalmente bere! può diventare “Aa,ac,clmpfb!” Ricordate che le maiuscole e i segni di interpunzione possono aumentare di molto la sicurezza di una password. E a volte anche gli spazi bianchi aiutano tantissimo!

Tanto per riepilogare il tutto, Twitter da parecchi consigli su quanto detto, vale la pena leggerli. Per il resto, come sempre nella sicurezza, cercate sempre di usare il buonsenso. E se avete dei dubbi, controllate sempre prima di fare qualsiasi cosa, molto spesso i dubbi sono fondati.

Se volete parlarne, sono qui.

Bye!

Phishingn nelle