A riguardo dei dati trafugati del progetto Joint Strike Fighter (F-35)

La notizia è passata la scorsa settimana anche sui quotidiani italiani, ma le informazioni più interessanti le ho trovate su “Computer Spies Breach Fighter-Jet Project” del “The Wall Strett Journal”.

Alcuni passi dell’articolo risultano essere interessanti:

In the case of the fighter-jet program, the intruders were able to copy and siphon off several terabytes of data related to design and electronics systems, officials say, potentially making it easier to defend against the craft.

e poi:

Computer systems involved with the program appear to have been infiltrated at least as far back as 2007

Un accesso continuato con un furto di TB di dati sembra essere un qualcosa di premeditato e con un discreto interesse alle spalle. Non credo possibile l’ipotesi di un attacco “casuale”.
Difficile e forse inutile stabilire la vera sorgente dell’attacco; c’è chi parla già del ritorno della guerra fredda.

Da “I signori della truffa”:

C’è una guerra là fuori, amico mio. Una guerra mondiale. E non ha la minima importanza chi ha più pallottole, ha importanza chi controlla le informazioni. Ciò che si vede, si sente, come lavoriamo, cosa pensiamo, si basa tutto sull’informazione!

 

Le Webmail sono morte, viva le Webmail

Il fenomeno Webmail 2.0 è scoppiato da quando Google con la sua Gmail, ha scosso i concorrenti proponendo svariati giga per archiviare la propria posta elettronica online.
Non sempre però va tutto come dovrebbe e succede che la privacy della propria casella viene messa a rischio da vulnerabilità XSS e CSRF; evidentemente di criticità media-bassa nella svariata maggioranza di casi.
In questo caso però, grazie alla somma di più problemi un attacker può modificare le configurazioni delle caselle di posta elettronica delle vittime, impostando l’inoltro automatico di tutte le mail in arrivo verso un account e-mail da egli controllato. In tal modo è possibile violare la riservatezza delle caselle delle vittime senza ricorrere ai comuni metodi di identity stealing (cookie stealing, credential stealing), ma semplicemente inviando e-mail, preparare ad arte, alle vittime.
La pericolosità di questa tecnica è resa critica grazie a tre fattori:

  1. semplicità di exploiting (cross-browser)
  2. scarsa awareness della vittima (nessuna interazione richiesta oltre all’apertura della mail stessa)
  3. diffusione sul web (ampia diffusione della piattaforma vulnerabile e possibilità di propagazione virale)

Sia chiaro, nessuna novità nella categoria delle vulnerabilità delle Web Application, ma una dimostrazione di come l’insieme di alcune di queste può portare ad uno dei più gravi problemi mai registrati on-the-wild su Web Application. I bug scoperti sono adatti per sfruttati da quello che potrebbe essere uno dei più grandi e gravi Worm delle Web Application: numero di domini Internet coinvolti maggiore di 10 (cross-domain) e semplicità di propagazione.

Prima di scendere nei dettagli del funzionamento dell’attacco è doveroso precisare che il problema è stato corretto a tempo di record dal vendor che si è dimostrato attento alla sicurezza dei propri clienti.

(Continua…)

 

Sul futuro di LLOOGG

LLOOGG, your web2.0 tail -f access.log, ultimamente sta avendo problemi. Molti utenti, da giorni, si chiedevano come mai non fosse più raggiungibile. Il sistema non riusciva più a gestire il carico di tutti gli utenti entranti con invito su LLOOGG.

Il futuro di LLOOGG è così arrivato a un bivio come spiega ‘antirez’ sul suo blog:

Siamo ad un bivio: dovremmo chiuderlo o trovare un modello alternativo, ma l’idea di una chiusura non ci piace perché’ io e Fabio siamo i primi utenti di LLOOGG, perché’ dovremmo fare a meno di questo servizio?
La soluzione e’ quella di far diventare il servizio a pagamento.

La scelta fatta è quella di mantenere un tipo di account gratuito limitato nelle pageviews e nelle features e al contempo attivarne uno nuovo a pagamento per avere tutte le features complete.

Reputo il servizio molto comodo e assolutamente complementare a Google Analytics e simili. I filtri introdotti da poco poi, sono veramente comodi per tracciare le visite su pagine appena pubblicate e la distribuzione dei visitatori con pattern specifici.

Il tutto dovrebbe tornare online prima delle 48h. Tutti gli aggiornamenti sull’account Twitter di LLOOGG.

 

DNS Pharming con server DHCP

Di malware della famiglia dei “DNSChanger” se ne sono visti parecchi negli ultimi tempi. DNSChanger per sistemi Mac, DNSChanger per router ADSL e DNSChanger per Windows.

Fino ad ora però la tecnica utilizzata per ogni target era sempre differente. CSRF per i router, modifica del file hosts o del registro di Windows e della modifica delle impostazioni di sistema per i Mac. Adesso è stata escogitata un nuovo modo completamente cross-platform utilizzando il protocollo DHCP. Infatti un nuovo malware segnalato da Symantec e ISC, una volta installato su un sistema Windows, manda in esecuzione, sulla medesima macchina, un server DHCP non legittimo (detto anche rogue DHCP) che di fatto si contrappone a quello già esistente, praticamente,  in tutte le LAN domestiche e aziendali. Di fatto questa cosa consente al “rogue DHCP” di far credere ai client che i server DNS da utilizzare siano quelli in possesso degli attaccanti. ISC a tal proposito segnala che i DNS utilizzati da questo ultimo attacco si trovano tra 85.255.112.0 e 85.255.127.255.

L’idea, sicuramente non nuova, ma mai utilizzata da un malware, sfrutta il fatto che il protocollo DHCP non prevede nessun metodo per verificare se la risposta arriva dal server DHCP legittimo o meno. Le richieste dei client girano sulla rete Ethernet in broadcast. In questo modo qualsiasi server DHCP presente sul dominio di broadcast sarà in grado di rispondere. Il primo, in ordine di tempo, che risponderà alle richieste dei client, sarà quello che verrà preso in considerazione.

Dopo questa premessa vorrei passare ai tool che risultano essere utili per scoprire “rogue DHCP” sulla LAN:

TIME: 2008-12-06 15:17:50.200
IP: 192.168.0.1 (XX:XX:XX:XX:XX:XX) > 255.255.255.255 (ff:ff:ff:ff:ff:ff)
OP: 2 (BOOTPREPLY)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 0
XID: a6e51638
SECS: 0
FLAGS: 0
CIADDR: 0.0.0.0
YIADDR: 192.168.0.101
SIADDR: 0.0.0.0
GIADDR: 0.0.0.0
CHADDR: YY:YY:YY:YY:YY:YY:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION:  53 (  1) DHCP message type         5 (DHCPACK)
OPTION:  54 (  4) Server identifier         192.168.0.1
OPTION:  51 (  4) IP address leasetime      86400 (24h)
OPTION:   1 (  4) Subnet mask               255.255.255.0
OPTION:   3 (  4) Routers                   192.168.0.1
OPTION:   6 ( 12) DNS server                85.37.17.55,85.38.28.93
OPTION:  15 ( 22) Domainname                domain_not_set.invalid

(Sono stati sostituiti i mac del server con XX:XX:XX:XX:XX:XX e quello del client con YY:YY:YY:YY:YY:YY)

Questo è un esempio di un DHCPACK mandato da un server DHCP dopo le richieste del client. Come si può notare il server DHCP comunica Gateway e DNS.

Ho trovato alcuni tool interessanti per monitorare richieste e risposte DHCP su una LAN:

  • DHCPloc (resurceKit di Windows)
  • DHCPdump (disponibile nei repository della maggiori distribuzioni Linux)

Dove gli antivirus non arrivano, con qualche riga di script non è difficile gestire gli alert in caso siano rilevati server DHCP non legittimi.

 

Privacy? Questione di numeri

Dices

Difficile non aver sentito parlare di Social network negli ultimi tempi. Perfino telegiornali e quotidiani ne stanno parlando. Il fenomeno Facebook è esploso: oltre 100 milioni di iscritti totali e circa due milioni e mezzo italiani. Tra i numeri bisogna intravedere anche account doppioni o abbandonati, ma restano comunque numeri di tutto riguardo. Bello rimanere in contatto con gli amici, sempre, in ogni momento. Bello poter contattare amici ora lontani con un solo click.

Un dipendente di una compagnia telefonica Australiana di 21 anni chiama in ufficio per annunciare la sua indisposizione non prima di aver scritto sul proprio profilo di Facebook: “Kyle Doyle is not going to work, fuc* it i’m still trashed. SICKIE WOO!” (ndr. Kyle Doylenon andrà al lavoro… Sono ancora devastato. VIVA LA MALATTIA!”). Per sua sfortuna, il suo capo letta la frase dal feed dei contatti di Facebook, non ha fatto altro che chiedergli il certificato per giustificare l’assenza. Ammesso che sia una bufala è così lontano da essere reale?

Andrea Feick e Hannah Emerson, due studentesse sconosciute ma con la passione per Facebook, lo scorso mese, sono state in compagnia di Bono degli U2 in Costa Azzurra. Le due ragazze, aspiranti modelle, hanno inserito le foto della gita su Facebook: dopo il Nikki Beach Bar la compagnia si è spostata sul “Cyan”, lo yacht da 12 milioni di sterline di proprietà del chitarrista degli U2, The Edge per finire all’Oxybar di Saint Tropez. Il tutto per vantarsene con la piccola cerchia di amici, se non era per l’iscrizione di Andrea Feick al gruppo geografico di New York. Circa un milione di persone che possono accedere al suo profilo e alle sue fotografie. Non credo che la moglie di Bono sia così entusiasta delle fotografie viste sul Daily Mail.

Sicuri del numero di amici che avete e di chi siano realmente?
Per non parlare poi delle vulnerabilità dell’applicazione del social network stesso.