Archivi tag: news

Non è andata come solito…

Del Pwn2Own avevo parlato giusto un anno fa, ma si è appena conclusa l’edizione 2012. Ci sono delle novità, anche se nel segno del discorso che avevo affrontato lo scorso anno.

Con una grossa sorpresa però. Ma andiamo con ordine.

Stavolta il primo a cadere è stato Chrome (ad opera dei soliti Vupen).
Ma quella che potrebbe apparire come una notizia disarmante (e infatti c’è stata parecchia ironia da parte della stampa non specialistica), in realtà rientra in una specifica strategia che Google ha adottato di recente. E lo ha fatto anche con lanci abbastanza clamorosi, come promettere un milione di dollari (in totale) come ricompensa per trovare delle falle di, appunto, Chrome. La ricompensa era inserita nella cosiddetta “Pwnium challenge“, un evento collaterale al Pwn2Own vero e proprio, dovuto principalmente ad un cambio di regole della competizione “ufficiale” che ha creato qualche rosicata polemica con qualche partecipante storico, che infatti non si è presentato.

In ogni caso, analogamente a quanto detto per Microsoft lo scorso anno, Google ha riproposto la stessa attenzione verso la scena hacker, considerando i ricercatori di sicurezza una risorsa, non una minaccia.

Per la cronaca Vupen ha bucato anche IE9, e Firefox è caduto per uno zero-day a cui ha lavorato anche un ricercatore italiano Vincenzo Iozzo, e mi sembra giusto segnalarlo.

Ma ho parlato di una sorpresa prima, già.
La sorpresa è che nessuno ha provato a bucare Safari.

Già, proprio così. Sarà stato il cambio delle regole, sarà stata la taglia messa in campo da Google, chissà. Fatto è che nessuno aveva pronto un attacco per il browser della mela.

Dopo quanto detto questo cosa vuol dire? Diverse cose.
Che nessuno aveva tempo per trovare uno 0day per Safari. Trovare queste vulnerabilità non è facile, richiede tempo e fatica. Oppure che la versione attuale è davvero sicura? Ovvio che no, niente è abbastanza sicuro da resistere a lungo, e prima o poi i buchi escono fuori.

Il mio parere è che la strategia di Apple, in merito a come gestire la sicurezza dei suoi software (per quanto fatti bene), era e resta errata. Ma staremo a vedere…

Bye!

Quando l’intelligence si rivolta contro

Ovvero: bisogna sempre stare attenti a fidarsi degli altri.

Piccolo antefatto: a Natale del 2011 viene bucato, dal gruppo Anonymous, il sito della nota agenzia di cyber-intelligence STRATFOR.

Vengono sottratti numerosi dati. Prima di tutto il dump delle email degli analisti, poi la lista degli utenti, gli account, le password e in numerosi casi le carte di credito dei sottoscrittori ai servizi dell’agenzia. Ma non voglio parlare di questo, in giro trovate tantissime analisi di quanto è successo, inclusa una eccellente timeline (seppure con molti link ormai rimossi).

Analizzando il database che trovate su Dazzlepod, ho notato che ci sono (oltre ad una vagonata di altra roba) degli account gov.it interessanti:

Non avendo mai sentito il dominio alfa.gov.it, sono andato a fare una ricerca, ma non espone un servizio web accessibile direttamente. Qualche parolina nelle email però inizia a far riflettere…

Cercando su Google emerge però un ulteriore sottodominio webq.alfa.gov.it, che presenta una form di login, presumibilmente ad un’interfaccia di web mail.
Fare un whois ai siti governativi italiani è abbastanza complesso (come registrarli del resto, ma si tratta appunto di roba governativa e italiana, quindi c’è poco da meravigliarsi 🙂 ) anche se un servizio esiste, vedi l’aggiornamento più sotto.

Questo sito è ospitato dall’IP 151.13.11.186, di Infostrada.
Non è possibile capire di più, ma è possibile utilizzare un fantastico strumento come Robtex, per capire cos’altro c’è su quella classe di indirizzi, visto che verosimilmente saranno stati assegnati tutti insieme. E infatti facendo una ricerca esce fuori…

Ecco rivelato chi c’è dietro alfa.gov.it, e perché era interessato all’intelligence.

Chiariamo subito una cosa, non si trattava e non si tratta di risorse segrete.
Si tratta di asset più o meno volutamente nascosti. Per lo meno non esposti direttamente a chi non si cura di cercare le cose per bene.

Questa storia è un bel case study per spiegare due cose molto importanti nella sicurezza informatica.

La prima è senza dubbio che non bisogna fidarsi di nessuno.
Per quanto sia importante il fornitore del servizio, per quanto si paghi o si pensi di stare al sicuro, non bisogna mai esporsi troppo direttamente. Sarebbe bastato usare un indirizzo gmail registrato al volo e sarebbe scomparso nelle centinaia di miglaia di utenze dumpate.

Il secondo è che le fonti OSINTOpen Source Intenlligence sono potentissime.
È necessario realmente fare due/tre ricerche e la mole di informazioni che viene resa disponile è enorme. Quindi se pensate di poter nascondere qualche cosetta tra le pieghe dei vostri servizi internet, se pensate che in fondo che male c’è ad usare l’email aziendale… ripensateci. Non stiamo parlando di tecniche avanzate di Google hacking, basta una semplicissima ricerca.

Ironia della sorte, i colpiti da questa vicenda sono proprio coloro che stavano cercando, e chissà perché con tanti indirizzi diversi, proprio informazioni da fonti OSINT

Bye!

Aggiornamento: cercando meglio, una specie di whois dei domini .gov.it è disponibile qui, dove il dominio alfa.gov.it risulta attivo e registrato a “Presidenza del Consiglio dei Ministri CESIS“. Il che rende ancora più semplice l’OSINT e ancora più emblematico il problema derivante dall’uso di quelle email.

In fondo è solo un RFC…

… e solo del 1981! Ma andiamo con ordine.

Qualche giorno fa, il (comatoso) mondo dei firewall è stato scosso dai risultati di un’analisi degli NSS Labs su un gruppo di prodotti recenti.

La storia in realtà è iniziata l’anno scorso, quando due ricercatori di Breaking Point hanno pubblicato un paper in cui, analizzando alcuni apparati, avevano scoperto che utilizzando una tecnica particolare di TCP handshake i firewall si comportavano in maniera strana.

Quei furbacchioni (in senso positivo ovviamente) di NSS hanno pensato bene di inserire questo tipo di test all’interno dei loro report periodici, e hanno scoperto che di questi prodotti analizzati:

  •     Check Point Power-1 11065
  •     Cisco ASA 5585
  •     Fortinet Fortigate 3950
  •     Juniper SRX 5800
  •     Palo Alto Networks PA-4020
  •     SonicWALL NSA E8500

Soltanto uno comprendeva correttamente l’handshake e lo rifiutava, gli altri erano potenzialmente a rischio. Ma, sarebbe da chiedersi, a rischio perché?

Il problema nasce dal fatto che l’RFC prevede, invece che un classico handshake in tre fasi (SYN-SYN/ACK-ACK) uno a quattro fasi, così composto:

    1) A --> B  SYN my sequence number is X
    2) A <-- B  ACK your sequence number is X
    3) A <-- B  SYN my sequence number is Y
    4) A --> B  ACK your sequence number is Y

Iniziare una sessione in questo modo è assolutamente lecito, ma di fatto mai implementato nella realtà. Cosa succede quindi ad un firewall se ha a che fare con questo tipo di handshake? Succede che, come scoperto da NSS, il firewall si “confonde” sullo stato della sessione, e comincia a comportarsi in modo stateless. Questo potrebbe portare il firewall a non applicare i controlli di sicurezza e a non controllare il flusso della sessione. Per esempio un potenziale attaccante potrebbe, una volta fatto collegare ad un proprio server un client di una rete aziendale, eseguire questo attacco e invertire il senso della connessione, avendo potenzialmente accesso alla rete del client. Gli scenari possibili sono facili da prevedere poi…

Vorrei premettere una cosa però, questo tipo di test vale per il solo prodotto firewall, se c’è di mezzo anche un IPS, reale o funzionalità che sia, un handshake a quattro fasi viene bloccato come attacco… a meno che l’IPS non sia in grado di capire il verso della connessione. Molti apparati di intrusion prevention infatti bloccano le possibili minacce analizzando il verso (da fuori a dentro ad esempio). Qualora un attaccante riuscisse, tramite handshake a quattro fasi a confondere il firewall e ad invertire il verso, sarebbe possibile evadere i controlli e inviare il proprio payload a destinazione.

Tornando all’industria, NSS ha pubblicato subito un bel remediation report ma, ovviamente, nel frattempo è successo un casino.

Tutti i produttori si sono sbrigati a dire che o sono immuni (però con quel settaggio…. però con quella funzionalità…) o che ci stanno lavorando: Fortinet, Palo Alto (che dice che l’hanno passato mentre NSS dice che rilasceranno una patch.. mah), SonicWALL e anche StoneSoft, che non era tra quelli testati da NSS per vari motivi… di Juniper ho trovato poco.

In particolare vorrei segnalare che il PSIRT di Cisco ha dimostrato anche qui serietà e prontezza, come nel caso AntiEvasion. Hanno infatti dichiarato che analizzando nel laboratorio la questione non sono riusciti a riprodurla, qui il loro bollettino. Devo fare i complimenti per la chiarezza e la trasparenza.

In conclusione è stato un piccolo fuoco in un settore dell’industria infosec ormai comatoso appunto, perché c’è poco da fare ormai sul prodotto firewall. Lasciando perdere le sparate next/new-gen che sanno molto di marketing e poco di innovazione reale.

Chissà, forse per innovare bisogna tornarsi a leggere le RFC, visto che questo problema, di fatto, non è nemmeno una vulnerabilità!

Per avere ulteriori spiegazioni sul topic vi rimando all’ottimo articolo di Paolo Passeri sul suo blog, e all’analisi di Breaking Point che in effetti spinge a riflettere sul modo in cui vengono testati i firewall, forse troppo lontani dalla realtà. Ulteriori articoli interessanti sono anche quelli di WatchGuard, che suggerisce di farsi da se il test con lo script riportato nella ricerca, e di Technicolor.

Bye!

P.S.: se non avete capito chi sia stato l’unico a passare il test ve lo dico io: Check Point. Per gli addetti al troubleshooting non penso ci sia da stupirsi, visto quanto FW-1 rompe le scatole con il TCP-out-of-state

È tornato il ransomware

Leggevo sul blog del laboratorio di ricerca di F-Secure un’analisi su un recente malware di tipo ransomware. E la trovo molto interessante per parlare questo particolare tipo di software malevolo. Qui di seguito trovate il video in cui il grande Mikko Hyppönen spiega cosa hanno analizzato. Aggiungo solo che questo tipo di malware mi piace parecchio,  perché rende bene l’idea di come ormai ci sia una vera e propria industria criminale dietro questi programmi. Che fa anche un sacco di soldi.

Questi programmi sostanzialmente bloccano o l’intera postazione (come nel caso esposto da F-Secure) oppure criptano alcuni file di sistema e/o documenti dell’utente, come la cartella Documents&Settings ad esempio. Poi ti chiedono un riscatto e, visto che la cifratura è anche a 1024bit, hai da paga’… Potrebbero essere considerati la versione “cattiva” dei Rogue AV. Anzi, nel particolare il caso presentato da F-Secure è davvero un ibrido, visto che non c’è traccia di esplicito ricatto.

Diciamo che i ransomware non sono una novità dell’ultima ora, anzi. I Kaspersky Labs, sempre molto attenti a questo argomento, avevano previsto una nuova ondata per la fine dell’anno scorso, mostrando anche un tipo di malware che addirittura arrivava a rapire il master boot record.

La cosa interessante è che, come dicevo all’inizio, viene dimostrato chiaramente che stiamo di fronte ad atti di criminalità organizzata vera e propria. Perché per preparare una cosa del genere non ci vuole solo un cyber-criminale qualsiasi, ci vogliono: chi programma il software (e deve essere bravo, guardate la grafica..), chi si occupa di affittare i PRN, chi gestisce la botnet per spammare il malware e/o spargerlo in giro… Insomma la situazione è molto complessa.

Ormai da anni, sia nei convegni che negli spazi online, tra i professionisti dell’infosec si parla di questa industria sotterranea, con bilanci da capogiro che hanno poco da invidiare ai traffici criminali considerati normali.

Solo che se sei membro di una botnet non lo sai e non lo vedi, se ti rapiscono i tuoi dati e ti chiedono il pizzo sì. Sarà forse per questo che i ransomware non sono poi così diffusi?

Bye!

Gli amici non lasciano altri amici usare IE6 (e qualche considerazione sui problemi di sicurezza)

Altra notizia che riguarda Microsoft (non me ne volete, ma le news queste sono…).

Dopo averci provato per diverso tempo, Microsoft ritorna all’attacco sulla questione dell’abbandono di Internet Explorer 6. Nonostante quest’anno si compia il decimo anniversario della nascita, il browser è tuttora utilizzato in gran parte del mondo.

Feliciano Intini, Chief Security Advisor di Microsoft Italia e prolifico blogger, parla in un suo articolo di ben il 12% di utenti mondiali di IE6, con un 3,3% in Italia.

Microsoft ha lanciato quindi una campagna volta a far scendere la percentuale globale all’1%. Potete verificare lo stato sul sito Internet Explorer 6 Countdown.

La cosa che trovo interessante è che uno dei principali problemi della sicurezza del software, ovvero l’obsolescenza dei prodotti e il loro mancato aggiornamento, trova nel caso di IE6 un case history incredibile. Questo anche per colpa di Microsoft ovviamente. Sicuramente non hanno fatto bene i cinque anni passati tra le versioni 6 e 7 di IE, che hanno lasciato ben sedimentare il software, sia per le difficoltà nel rilasciare patch di sicurezza di un prodotto che forse non era stato pensato come security-driven. Già nel 2004 parlavano di ben 234 versioni su cui fare i test prima di una fix di sicurezza.

Diciamo che era stato pensato prima della svolta imposta da Bill Gates sulla sicurezza del software, svolta necessaria e che ritengo sia ancora un esempio su come le cose possono cambiare, anche se è difficile debellare il pregiudizio anti-Microsoft che ancora impera…

Fatto sta che ora uno dei prodotti più pericolosi per la navigazione web è ancora molto utilizzato, e le percentuali asiatiche sono preoccupanti. In effetti stando in Giappone mi sono accorto di come IE6 fosse diffuso nei chioschi internet a pagamento.

Sicuramente uno dei motivi principali del mancato upgrade è la compatibilità. Ci sono ancora un sacco di siti in giro e la stessa Microsoft ha previsto una funzione di retro-compatibilità per chi usa IE8.

Questo è il secondo punto di interesse di questa storia, perché è un esempio di un altro dei principali problemi della sicurezza del software, ovvero le errate strategie aziendali. Trovo molto pericoloso infatti anteporre il costo dell’aggiornamento di un’applicazione web (soprattutto se intranet) al rischio che si può correre continuando ad usare software pericolosi e con vulnerabilità utilizzabili anche da script kiddie
Va detto per completezza che, ragionando da CEO e guardando al rapporto costi/benefici, può essere comprensibile non intraprendere certe strade. Gartner stesso (fin troppo ascoltato ai piani alti) dice che i costi della migrazione sono troppo costosi, e che la stessa Microsoft non offre dei piani di rientro facili, e economici, da percorrere. E questo chiunque lavori in una azienda di grandi dimensioni lo deve sapere, che sia esperto di sicurezza o dirigente.

In conclusione la situazione è molto più complessa di quanto si possa pensare, e non si risolve con un semplice Windows Update… Sono sicuro che prossimamente avrò modo di trattare queste problematiche di sicurezza in modo più approfondito.

Bye!