CyberSecurity 1337

E' Natale, siamo tutti più buoni, ed è normale farsi gli auguri. Ma che noia, che barba, sempre le stesse cose, sempre gli stessi riti. E passiamolo in modo diverso questo Natale no? Guardando in giro su Internet e su qualche libro, mi è capitato sotto mano un tool steganografico chiamato " Snow ".  Certo, andando a vedere la data di nascita, il 1996, ho pensato subito che appartenesse più all'archeologia digitale della steganografia che ai tempi moderni. Però l'idea non è male: nascondere un messaggio segreto negli spazi bianchi e nelle tabulazioni alla fine delle righe di un file di testo . Inutile dire quale possano essere gli intenti che spingono ad utilizzare tecniche steganografiche, qui ci interessa solo l'idea, che mi sembra assai arguta. Del resto, perché scervellarsi nel nascondere un messaggio nella solita immagine, o nello spazio libero del cluster o in chissà quale anfratto digitale dei vostri dispositivi? Questo trucchetto da giovane marmotta, co...

Ci siamo. Un cannone a Ioni è presente in città. E chi volesse usarlo, può semplicemente scaricarselo e contribuire alla causa di questo o quel partito, sito, uomo, etc.  Dopo le BotNet , in cui inconsapevoli utenti sono artefici di attacchi provenienti dai loro computer, ora siamo alle Kamikaze Net , in cui consapevoli utenti (e bisognerebbe capire quanto consapevoli) decidono di contribuire alla giusta causa, installandosi l'applicazione che la vicina gli ha consigliato: "sai, con questa applicazione contribuisci alla libertà di stampa!" "ma dai, non mi dire! Quante zollette vuoi nel thé?" Per il momento l'unica che ho potuto vedere si chiama LOIC (Low Orbit Ion Cannon) e ha due modalità: consapevole : si mette l'indirizzo della macchina da attaccare e via con un bel DoS che va dal vostro IP a quello della macchina Target (versione originale di LOIC); inconsapevole : si imposta il server IRC e da quel momento siete impossessati dal grande Cattivik che ...

"L'informatica non riguarda i computer più di quanto l'astronomia riguardi i telescopi." (Edsger Dijkstra)

Skynews pubblica un video dove afferma che Stuxnet avrebbe fatto il grande salto: acquistato nel mercato nero da gruppi terroristici che si preparerebbero ad utilizzarlo su grande scala per attaccare le infrastrutture di alcuni paesi. Ora che si tratti di terrorismo è chiaro. Bisogna solo capire se il terrore viene inoculato dai media oppure da qualche "birbaccione" dietro la tastiera ;-)

Cosa c'entra questo post con la Sicurezza? Nulla o quasi, ma non posso essere monotematico, no? A chi non è capitato di scrivere del codice sorgente. L'essenza dell'Informatica in fondo è questa: algoritmi, ottimizzazioni, stile di programmazione, commenti...COMMENTI! Commentare il codice , a meno che non siate discepoli dell'oscura arte del " Security Through Obscurity " o della " Obfuscation ", è fondamentale per la manutenzione e l'evoluzione di applicazioni software . E al giorno d'oggi commentare il codice non è nemmeno tanto costoso perché quasi tutti i linguaggi, o meglio gli ambienti di programmazione, mettono a disposizione scorciatoie che, in modo quasi automatico, inseriscono la struttura del commento nella signature dei metodi per esempio. Basta poi aggiungere la dovuta descrizione ed il gioco è fatto. Certamente non bastano i commenti alle sole Classi, Metodi, Funzioni, etc. Anche gli algoritmi e le singole righe di codice spesso...

Ultimi aggiornamenti per il malware Stuxnet. Symantec ha fatto ulteriori scoperte e aggiornato il suo report (vi consiglio di dargli una letta perché è molto ben fatto). Sembra che Stuxnet sia capace di modificare il comportamento dei "convertitori di frequenze" per i motori ad alte velocità di due particolari vendor. E sembra, purtroppo, che questi ultimi siano tipici di soli due stabilimenti nucleari. In Iran e in Finlandia rispettivamente. Tanti "se" in fila, non fanno una certezza, ma gli indizi sembrano portare proprio ad un malware costruito ad arte e, leggendo attentamente il report, si capisce che Stuxnet non può essere l'opera di un sedicenne annoiato! Ecco il video con una demo, fatta da Symantec, del funzionamento del malware: Che qualcuno abbia deciso di sabotare qualche impianto nucleare è possibile, ma allora non si capisce il perché di tutto questo battage. E che symantec continui a vivisezionare il malware è anche abbastanza strano... Che non s...

Attenzione perché, con il nuovo update di Apple Snow Leopard 10.6.5, se avete installato PGP Whole Disk Encryption , il vostro Mac non ripartirà più . Sembra infatti che il nuovo aggiornamento di Apple contenga una modifica al booter  EFI . Quindi una volta aggiornato il sistema, il nuovo booter non consentirà più la fase di preautenticazione di PGP WDE. I dati non sono persi. Basta seguire la procedura di recovery con il PGP Recovery Disk.  Certo che Symantec (che ha la proprietà di PGP WDE) poteva fare qualche test preventivo e magari fornire delle patch prima dell'uscita dell'update di Apple. Però, devo dire che la sicurezza del sistema è ancora garantita: nessuno può accedervi!

Un noto pilota mette in risalto che la velocità dà assuefazione. Sembra la classica "pubblicità progresso" e anche ben fatta, a dire il vero.  E invece? Salta fuori la solita vecchia cara compagnia telefonica che offre collegamenti estremamente veloci grazie alla sua pervasiva fibra ottica. Erano un po' di anni che non facevo qualche test su tali reti e giusto oggi mi sono deciso a vedere quanto queste "reti" ad alta affidabilità siano (diventate) effettivamente sicure. Ovviamente una volta identificato il proprio IP all'interno della rete pubblica dell'operatore, basta fare una scansione delle porte per evidenziare servizi potenzialmente vulnerabili. Poi semplicemente puntando alla porta 80 dei vari host identificati, si ottengono risultati ancora una volta strabilianti (o deludenti): n. 1 host con una " DreamBox " e password di default (con un po' di Google si trova tutto); n. 2 host con il programma di telecontrollo TeamViewer ; n. 1 hos...

Per anni i fautori del Mac hanno sostenuto che gli antivirus su Mac non erano necessari perché tale sistema era "intrinsecamente" sicuro!  Beh ora c'è la prova provata che così non è, perché Sophos ha rilasciato il primo antivirus Free per Mac . Lasciamo stare ClamX AV che è un po' troppo rozzo come antivirus e non è "on the fly". Non che ce l'abbia con il Mac (anche perché vi sto scrivendo con un MacBookPro), ma questo dimostra che la sicurezza non è relativa a questa o a quella tecnologia, ma è piuttosto un processo che attiene a diversi fattori,  dove spesso quelli tecnologici sono anche i più marginali. Ora che lo share dei Mac si sta alzando, è inevitabile che la piattaforma diventi più appetibile per i Cracker e malintenzionati in genere. Quindi: Antivirus Free anche per MAC! Meditate gente, meditate.

Ogni tanto capita di imbattersi in qualche vulnerabilità in giro per il Web. Non che la si stia cercando, ma ci si inciampa proprio! E quando il sito è istituzionale, la cosa si fa particolarmente seria ed il senso civico deve prevalere sullo spirito hacker che cova in ogni Security Man che si rispetti. E quindi, armato delle migliori intenzioni, sono andato a cercare una mail per contattare il famoso "Webmaster" del sito in questione e segnalare la cosa. Se si tratta di " Broken Authentication and Session Management " il discorso si fa serio assai! Ma niente, nel sito nemmeno una briciola di mail, uno straccio di indizio a cui far aggrappare il proprio senso civico. Continuerò a cercare perché al momento, tra il White-Hat e il Black-Hat, vince il primo. Ma guarda un po' te se si devono utilizzare le segrete tecniche del Google Hacking per contattare questi fenomeni "istituzionali"... P.S. non pensiate che ci sia qualche riferimento tra l'immagine ...

Alice: "Ma hai lasciato il password wallet aperto?" Bob : "Ma no, se chiudi il coperchio del laptop va in sospensione e poi ti chiede le credenziali per attivare la sessione di Windows!" Alice: "No, guarda un po'!" Bob : "Mhhhhh, sto invecchiando! Provvedo subito" (Ho creato un mostro!)

Ottimo intervento sulla privacy in Facebook al Defcon 18. L'autore precisa che non si tratta di fare hacking nel senso di "bucare" Facebook, ma di "fixare" Facebook per tutti i problemi di Privacy che pone. Scusate ma invece del video incorporato mi tocca condividere il link.  L'autore ha deciso di non far incorporare il video su Blogger....mah!

Anche l'Economist sembra suonare il "De profundis" per l'autenticazione biometrica. Che ci fossero dubbi sulla effettività di questo metodo di autenticazione è cosa nota, ma che addirittura un giornale non di settore dedicasse un articolo al problema è quantomeno sorprendente.  Mi viene da pensare che il motivo sia da attribuire principalmente al grande impiego che se ne fa nella lotta al terrorismo (vedi Body Scanner) e la necessità, anche per il comune cittadino, di capirne di più. Forse però i troppi film di fantascienza hanno indotto un falso senso di sicurezza con il quale i differenti attori hanno giocato delle partite spesso non troppo chiare. Forse. Il problema principale, a parte l'aspetto psicologico, è che tali metodi di autenticazione (biometrici) non forniscono delle risposte deterministiche quali un "sì" o un "no", ma bensì una probabilità di "sì" e quindi una di "no". Probabilità che è relativa a fattori est...

Inutile aggiungere ulteriori informazioni tecniche ad un tema assai discusso oggi dalla rete. Il bravo Paolo ne parla ampiamente in un suo post "anti-bufala" e precisa che la natura del malware ancora non è chiara. Una cosa però è certa: Stuxnet dimostra che gli ambienti SCADA sono all'anno zero della sicurezza. E vista la loro natura, la cosa è abbastanza grave. Ricordate l'attacco del Cavernicolo ? Perchè utilizzare degli scoiattoli quando si può confezionare un bel malware con PoC e exploit già in giro nella rete? Se si tratti poi di Cyberwar o no, questo non lo sapremo mai. Mi domando però quanto sia efficace un attacco poi scoperto e vivisezionato da tutto il mondo. Da sempre la security negli ambienti militari usa grossi quantitativi di " Security through Obscurity ". Forse, come sostiene il mio amico Raoul Chiesa , siamo solo in presenza di tanto FUD e dunque CyberFUD. Per il resto vi segnalo un po' di link per approfondire l'argomento: ht...

Vedere le solite liste trite e ritrite di username e password comunemente utilizzate nei sistemi, forse non rende più l'idea. Beh la rappresentazione a "Tag Cloud" conferisce alla cosa un aspetto sicuramente più intrigante. I due cloud si riferiscono in particolare alle credenziali per l'accesso con SSH ( studio  condotto dal Dragon Research Group) e l'aspetto adesso, oltre che intrigante, diventa agghiacciante.  Certo che qualche sistemista configuri SSH con credenziali del genere mi lascia abbastanza basito, ma il sistemista è pur sempre un uomo e come tale debole alle comodità! Username Password E non pensiate che siano immagini statiche: in alto nella pagina c'è il timestamp della generazione del cloud. Quindi basta un refresh per aggiornare il tutto. Idea davvero originale :-)

Che il ricatto sessuale sia quello più efficace, penso che non ci sia bisogno di dimostrarlo. Anche nei telefilm meno blasonati capita sempre qualche buontempone che ricatta il fesso di turno con delle foto osé. Beh adesso il concetto si è "esteso" al Cyberspazio. Un nuovo Trojan chiamato Kenzero tiene traccia della navigazione sui siti porno e minaccia di pubblicare la history del malcapitato, nel caso in cui non proceda ad un piccolo pagamento. Inoltre sembra che il trojan in questione vada in giro per l'hard disk a cifrare documenti e altri dati personali e offra, ovviamente, un servizio di decifratura a pagamento. C'è anche una variante europea, dove il Trojan ricerca anche materiale scaricato illegalmente, segnalandolo all'utente con l'invito al pagamento di una cifra consistente: 258€. Il trojan si diffonde tramite il servizio pubblico P2P chiamato Winny e nello specifico si trova nelle copie illegali di giochi Hentai . Insomma, se siete appassionati d...

" Sincronizzate gli orologi ", diceva qualcuno... Determinare il tempo-macchina e metterlo in relazione con il tempo reale è di fondamentale importanza per qualsiasi tipo di indagine o investigazione di computer forensics. Capire se un messaggio di posta è stato scritto in un momento piuttosto che in un altro (non inviato, scritto), potrebbe determinare importanti considerazioni. Stabilire che le date presenti in un file system sono relative ad un clock con un "delta" rispetto al tempo reale, potrebbe fare la differenza in un'analisi forense.   Insomma in qualsiasi tipologia di indagine vi troviate, stabilire il delta e l'evoluzione dei cambiamenti del tempo macchina rispetto al tempo reale è di fondamentale importanza.  Sul come fare ci sono diversi orientamenti ed il metodo cambia a seconda che l'analisi sia di tipo "post-mortem" o "live": Analisi Post-Mortem disconnettere tutti i supporti di massa e riavviare la macchina entrando n...

A chi pensava che con le care vecchie DLL non ci fossero più problemi, diciamo subito che si sbagliava. L'inferno continua con un nuovo (che poi tanto nuovo non è...) vettore di attacco che rischia di creare non pochi problemi soprattutto alle realtà aziendali dove gli share di rete sono utilizzatissimi. Partiamo dall'inizio. Il caricamento di una DLL da parte di un codice eseguibile richiede come prima cosa di trovare tale DLL. Le politiche adottate per localizzare la DLL sono di cercarla: - nel path corrente dell'applicazione in esecuzione; - nelle directory di sistema del Sistema Operativo; - nelle directory elencate nella variabile PATH di Environment; - nella directory corrente ; - ... Questo nel caso in cui l'impostazione della chiave " HKLM\System\CurrentControlSet\Control\Session Manager \ SafeDllSearchMode " sia impostata a true. Altrimenti il caricamento dalla directory corrente scala al secondo posto! E in alcune versione di Windows l'impo...

Finalmente la nuova versione di Truecrypt è arrivata : la versione 7. La caratteristica più innovativa è la cifratura AES con accelerazione hardware. Non tutte le CPU sono però supportate, ma solo quelle Intel che implementano le istruzioni AES-NI. Per capire se la vostra CPU le supporta: "Settings -> Preferences -> Performance" Il mio Mac purtroppo non le supporta :-( L'altra caratteristica interessante è la possibilità di far partire automaticamente volumi cifrati ospitati da supporti come USB Key. Quindi una volta che inserirete la penna USB nel computer, questa automaticamente farà partire il volume cifrato (ma solo su Windows). Chiaramente prima di montare il drive chiederà all'utente di inserire le credenziali... Dal punto di vista della Sicurezza, in Windows VISTA e Seven vengono utilizzate le API di sistema per la cifratura del file di ibernazione e dei crash dump di sistema. Per le versioni precedenti di Windows invece Truecrypt utilizza delle funzioni ...

Ma Mac OSX non era a prova di virus, vulnerabilità, exploit, e tutto quello che può venire in mente di malefico? No, ovviamente no. E' vulnerabile, exploitabile, bucabile come tutti i SO. Magari sarà meno soggetto a virus per il market share non paragonabile a Windows, ma non ai siti malevoli che sfruttano le vulnerabilità dei browser. Arriva la notizia che anche l'ultimissima versione di Safari ha una falla nel sistema di "autofill", ovvero quello che completa i campi nelle pagine web con, per esempio, il nome utente e la password immessa l'ultima volta. Insomma questa volta con un semplice Javascript è possibile e di nascosto dall'utente (basta farlo in un iframe) enumerare i diversi campi che vengono "autofill-ati" automaticamente. Poi basta inviare il contenuto al proprio server. I dati che vengono estratti sono quelli della scheda nella Rubrica indirizzi di Mac. Per ovviare al problema basta disabilitare l'autofill su questi dati (Safari -...

Un primo report del 2010 ce lo offre Secunia.com. Interessante da leggere e non eccessivamente lungo, ci dà la possibilità di fare qualche considerazione a riguardo di advisory, vulnerabilità, vettori di attacco e altro. In un arco temporale che va dal 2005 e comprende una estrapolazione per tutto il 2010 basata sui primi 6 mesi. Dato che i grafici presenti nel rapporto sono abbastanza esplicativi, invece che inondarvi di parole, vi invito ad osservare attentamente i suddetti, che riporto di seguito: Secunia Advisory Top 10 Vendors vulnerability Interessante vedere che i Vendor che sembrano essere afflitti dal maggior numero di vulnerabilità sono Apple e Oracle, con la prima che guadagna terreno (in senso negativo) rispetto alla seconda. Anche Secunia, analizzando i dati, arriva alla conclusione che le analisi sembrano supportare la percezione che un alto market share sembra implicare un alto numero di vulnerabilità. "This analysis also supports the general perception that a high...

Prima o poi doveva accadere . Qualcuno ha rilasciato un Add-on per Firefox malizioso. L'add-on sniffava credenziali inserite dagli utenti nelle pagine Web durante la navigazione! E dire che il nome avrebbe dovuto far sospettare dell'Add-on: Mozilla Sniffer ! Sniffer sì, ma dei dati degli utenti :-) L'Add-on è stato rilasciato nello store il 6 Giugno corrente ed è stato rimosso il 12 Luglio. Quindi chi in questo mese ha scaricato questo Add-on, forse farebbe meglio a cambiare un po' di password. In via precauzionale si intende. Ovviamente chi non usa Firefox non ha di che preoccuparsi.

L'abbiamo detto fino alla noia: bisogna fare il backup dei dati . E poi abbiamo aggiunto una postilla indispensabile: bisogna poi fare i restore per verificare i backup ! Ma dopo i restore, come verificare i dati ? Oggi come oggi i dati di un comune utente che dovrebbero essere soggetti a backup sono nell'ordine dei GByte; solo le foto personali ed i video occupano una grande quantità di spazio. Verificare quindi che il backup abbia avuto successo non è certo impresa facile. Inoltre c'è da dire anche che il backup memorizza quello che trova su disco, non distinguendo quindi se i dati siano corrotti o meno. Nel nostro backup potremmo avere sì il dato, ma corrotto! Ma allora è possibile verificare un restore di diversi GByte? Sì, ma il metodo è meramente statistico. A meno di non voler passare tre mesi ad aprire ogni file e controllare che tutti i dati siano integri! E comunque dobbiamo accettare il rischio introdotto dal fatto di gestire grandi quantità di dati: il rischio c...

Questo blog aderisce alla giornata di sciopero proclamata per protestare contro la legge-bavaglio.

Diciamolo subito: si confermano ancora una volta i Disarmed (o Disarm3d) i campioni di questa seconda edizione estiva del CAT2010 .  Cinque i bersagli informatici, con anche elementi delle più classiche "Caccia al Tesoro" (portare 5 bottiglie di birra o cantare a squarciagola "Buon Compleanno" a Raoul Chiesa ), sono i pilastri di questo interessante "Capture The Flag" all'italiana.  Quest'anno le squadre si sono presentate in modo più strutturato, così come l'organizzazione che ha distribuito moduli per annotare i bersagli colpiti e che vestiva delle indispensabili magliette e cartellini di riconoscimento con l'indicazione "Staff".  Si parte con l'individuazione degli Access Point, che dovevano necessariamente avere un SSID "SUMMERCAT10" o "qualchecosa che gli assomigliasse", pena arresto per "accesso abusivo a sistema informatico". Si individua il vero AP e nel caso di cifratura WEP o WPA si part...

Anche quest'anno torna il CAT: Cracca Al Tesoro. Una caccia al tesoro in veste Hacking. Divertente ed Orvieto merita. Anche se volete partecipare come osservatori siete i benvenuti :-) Allego il comunicato della direzione del CAT: Torna ad Orvieto il 3 luglio prossimo il contest Cracca Al Tesoro < http://www.wardriving.it >, l'Hack Game che si svolge all'interno della citta', in mezzo alla gente, portando la tecnologia e la cultura della sicurezza fuori dalle mura dei data center e delle sale server. Cracca Al Tesoro  è un incrocio fra  “Capture the Flag”, la classica caccia al tesoro ed il wardriving, nel più puro spirito hacker. All’interno del centro storico di Orvieto verranno posizionati una serie di access point wireless.  I partecipanti, a squadre, dovranno a partire da un indizio iniziale, individuare il primo access point, violarlo, “bucare” l’eventuale sistema collegato per trovare l’indizio che porta al successivo access point, fino al bersaglio finale....