CyberSecurity 1337

Joanna stupisce ancora: l'attacco della "domestica" a partizioni cifrate TrueCrypt è a dir poco preoccupante e la risposta dei signori di Truecrypt, seppur formalmente corretta, non è che sia così soddisfacente. In breve la nostra domestica, dotata di chiavetta USB con a bordo il software malevolo, si introduce nella stanza del malcapitato e riavvia il computer con tale chiavetta. Allo start-up viene iniettato un codice nel boot loader della partizione cifrata che sniffa la password di accesso e la registra su disco (oppure si collega a qualche server remoto per inviare le credenziali). A questo punto, dopo aver lasciato passare un tempo ragionevole, il solito borseggiatore entrerà in azione et voilà, la cifratura non sarà più un problema. Non stiamo parlando di un attacco teorico che Joanna e i suoi hanno elaborato, ma di una vera e propria implementazione con tanto di immagine USB! Una considerazione è d'obbligo: spesso si tende a sottovalutare l'aspetto fisic...

Bob : "Ma hai visto cosa hanno fatto questi Hacker al sito delle Poste?" Tg 1: "...il sito delle Poste Italiane è stato oggetto di un attacco Hacker ..." Old -Alice: "Ma che cosa fanno questi ACARI ?" Bob : " Ahahahaha .... Hacker non ACARI, ma in effetti..."

Che Facebook sia un ambiente molto "sensibile" ai malware del Web 2.0 è cosa risaputa. Ma cosa succede se dopo aver collezionato centinaia di amicizie, relazioni, appuntamenti, qualche simpatica applicazione ce ne rende impossibile l'utilizzo? Come? Semplicemente scaricando sul computer CSS e JavaScript maliziosi per il tramite di una maledetta applicazione che abbiamo (incautamente) sottoscritto. Nel caso migliore il nostro antivirus se ne accorgerà e ne impedirà l'esecuzione, nel caso peggiore avrete il computer con qualche malware in più. Ma quindi il problema non c'è, perché il caro vecchio antivirus fa il suo dovere, no? SBAGLIATO! L'antivirus inserisce una barriera tra browser e computer ma nel caso più sfortunato sarete impossibilitati nel cancellare le applicazioni malevole e ripristinare il vostro account FB. Se siete smanettoni potete eseguire FB in una Virtual Machine, aprendo il browser e tentando di disabilitare le applicazioni, ma è molto macchin...

Segnalo a chi mi segue, questo bel blog sulla sicurezza delle informazioni con un particolare occhio al Mondo di Linus. www.linuxsecurity.it Se poi il webmaster è anche un amico, oltre ad essere un dovere "professionale" è anche un piacere :-)

Il limite della Computer Forensic? Possiamo determinare il "come", il "quando", il "dove" ma è veramente difficile determinare il "CHI" . Analizzando un supporto informatico, possiamo definire tutti gli aspetti del dato: date, permessi, correlazioni con altri dati, ma stabilire il o i soggetti fisici (non le utenze) che l'hanno generato/modificato è aspetto controverso. Se un computer viene utilizzato per la maggior parte del tempo da un soggetto, questo non implica necessariamente che un particolare dato sia stato generato da egli. Un esempio? un Worm che installato in modo silenzioso compia azioni illegali (ovviamente con i privilegi dell'utente o con una escalation). A quel punto chi è il vero attore all'interno del computer? Il worm o l'utente? E se fosse stato l'utente ad installare quel Worm per sviare le indagini? Il legame utenza/utente non è indissolubile e va appunto dimostrato che l'utilizzo di quel computer ...

No comment!

Dalle 19:00 di ieri sera (sabato) fino alle prime ore dell'alba di oggi, il sito di Poste Italiane è stato oggetto di un defacement ad opera di sconosciuti. La notizia sta rimbalzando ovunque: Facebook, Repubblica , Sole24Ore , etc. Le prime parole a caldo dei responsabili di Poste sono abbastanza sorprendenti: "E' solo un dafacement! E' abbastanza comune". Mi raccomando, tutti tranquilli eh! Tanto è solo un dafacement...Peccato che il sito di Poste Italiane non sia il sitarello sconosciuto, ma il sito di un'istituzione attenzionata dalle forze dell'ordine. Comunque lascio a voi le considerazioni del caso. Questa la homepage hackerata: Questo è invece il messaggio flottante che campeggiava nell'homepage: (immagini prese da www.macitynet.it) Dal messaggio si capisce che l'attacco è opera di italiani (o gente che sa molto bene l'italiano). Non so se traspare la gravità di un attacco del genere a un'istituzione che viene continuamente monitora...

Le politiche di controllo degli accessi sono da sempre molto affascinanti perché coniugano aspetti teorici, come modelli e quant'altro, con aspetti estremamente pratici. Se quindi vi sembra che le ACL e gli ACE siano dei meccanismi all'avanguardia, vi consiglio di leggere questo survey (presentato in un Workshop organizzato dal NIST e dalla NSA) molto interessante. Personalmente mi ero fermato a RBAC3 , ma devo dire che la scienza per fortuna va sempre avanti. Quindi smettetela di leggere la solita rivista che parla di Firewall, scaricatevi il Survey e soprattutto leggetelo.

Non che ci sia da star tranquilli, ma l'attacco di cui si parla in queste ore a Hotmail, Windows Live e GMail è un attacco di "ingegneria sociale" attraverso mail di Phishing . Quindi non è imputabile a vulnerabilità di sistemi o applicazioni, ma piuttosto e purtroppo è imputabile al solito anello debole della catena: l'utente. Vi rimando al post di Feliciano con le sue considerazioni sempre utili. Per il resto non vi preoccupate più di tanto...a meno che non siate troppo sprovveduti da farvi ingannare da mail fasulle!

Alice: "E quindi questo è il nuovo MacBook Pro?" Bob : "Sì, guarda questo e...bla...bla..bla..." Alice: "Sì ma fammi vedere come si vede Facebook" Bob : "(ma che vedrà? tanto compare la pagina di log-on)" Alice: "Dai dai" Bob : "Si ma guarda il Trackpad multi touch, e...bla..bla...bla" Alice: "Voglio vedere Facebook!!!" Bob : "Uff..Asp che carico Safari, www.facebook.com...BOOOMMMMM" Alice: "Ma..ma...ma!!!!" Bob : "L'ignaro u-tonto ha lasciato la sessione loggata. Ora, il diavoletto sulla spalla mi dice di cambiargli la password o altre nefandezze, l'angioletto di fare il log-off" Alice: "?" Bob : "Angioletto vince su diavoletto 2-1" Bob : "Log-off" A proposito di de-autenticazione !

Realizzare un keylogger con gli Addon di Firefox non è poi così difficile! In questo video, sorprendentemente corto, ci viene mostrato appunto come programmare un Add-on di Firefox con poche righe di Javascript. Il keylogger, per chi non lo sapesse, intercetta tutti i tasti premuti all'interno delle pagine visualizzate dal browser e li invia ad un server remoto. Sul server un semplice script PHP riceve le stringhe e le memorizza in un file. Le estensioni di Firefox vanno sempre scaricate dal sito ufficiale , mai da altri siti! Qualcuno potrebbe infatti modificare un add-on molto conosciuto spacciandolo per un nuovo aggiornamento e inserire codice trojano per il keylogging. Insomma, come per le ActiveX, gli XPI possono essere dei cavalli di troia per la vostra macchina, quindi attenzione a ciò che fate :-)

Siamo così immersi nei concetti usuali della sicurezza che spesso ci dimentichiamo di considerare quelli collaterali ma ugualmente importanti. I meccanismi di identificazione, autenticazione, autorizzazione ci sono infatti arcinoti e ben sappiamo che servono per mantenere l'Integrità e la Confidenzialità delle nostre informazioni. Ma oltre ad accedere ad un sistema, dopo essersi correttamente qualificati, è altrettanto importante sconnettersi da esso non appena il nostro compito sia terminato. Ecco quindi il concetto di " de-autenticazione ". Per cui se vi collegate al vostro sito bancario on-line, dovreste eseguire il log-off non appena avrete terminato le vostre transazioni bancarie. Se invece siete su Windows (o su un qualsiasi altro SO), dovreste attivare quel maledetto ScreenSaver con richiesta password (quanti non lo fanno?); o fare il log-off quando vi alzate per prendere un caffé. Lasciare che un sistema consenta ad una sessione interattiva con le nostre credenzia...