Premetto subito che la notizia non è nuova, credo però, che sia degna di nota.

Un gruppo che si fa chiamare Mr-Brain ha rilasciato dei tool, scritti in PHP, utili a chi vuole cimentarsi in truffe a mezzo phishing. Il sito Web del gruppo offre versioni diverse degli script in base al servizio da “impersonare”: eBay, PayPal, Bank of America, ecc..

I tool sono stati scritti in modo da permetterne l’uso a chi di PHP non ne sa niente: è necessario solamente inserire la propria e-mail per ricevere i dati sensibili inseriti da ogni vittima.

I tool-kit possono essere scaricati senza sborsare denaro. Quest’ultima caratteristica e l’immediatezza d’uso hanno permesso una larga diffusione nel mondo di phisher in erba, tanto che ne erano già state individuate tracce all’inizio dell’anno.

Chi pensa che i ragazzi di Mr-Brain hanno rilasciato questi script solo per la gloria o per il gusto di sapere che verranno usati per colpire utenti non molto smaliziati sbaglia di grosso. L’idea, simpatica, degli autori è quella di prendersi un equo compenso da ogni copia usata un po come fa la cara e vecchia SIAE.

Questa è la parte di codice che si occupa della raccolta di tutti i dati inseriti dalla vittima per poi inviarli via mail:

Notate niente di strano?

La funzione mail() è ripetuta due volte utilizzando due nomi variabili diversi, anche se solo per la prima lettera.
Il valore della prima variabile, quella con la “s” minuscola è definibile dal phiser, mentre il valore della seconda variabile, quella con la “S” maiuscola, è settato tramite un campo del form di raccolta dati. il valore di tale campo è stato offuscato codificandolo in base64:

<input type=”hidden” name=”Send” value=”<?=base64_decode(”TXItQnJhaW5ARXZpbC1CcmFpbi5OZXQ=”);?>”>

In questo modo, i dati della vittima, oltre ad essere inoltrati a chi ha personalizzato lo script con la propria e-mail, verranno sempre inviati anche a un indirizzo di proprietà del gruppo Mr-Brain.
Che dire? Forse l’esperienza conta sempre.

Tramite Jeremiah Grossman leggo che PayPal ha pubblicato una pagina contene la “vulnerability disclosure policy“. Essa permette ai (Web application) security researchers di segnalare vulnerabilità trovate in PayPal senza rischiare azioni legali.

Ovviamente l’immunità è garantita solamente a chi rispetta la policy:

Guidelines for responsible disclosure

• Share the security issue with us before making it public on message boards, mailing lists, and other forums.
• Allow us reasonable time to respond to the issue before disclosing it publicly.
• Provide full details of the security issue.

Non è tollerato, come è normale aspettarsi, l’uso della vulnerabilità per accedere a dati di cui normalmente non si possiede l’autorizzazione, pretendere una somma di denaro in cambio delle informazioni dettagliate della vulnerabilità o causare un D0S all’intero sistema PayPal.

La policy porta a porsi qualche domanda come evidenziato da Chris Shiflett, ma sicuramente le buone intenzioni ci sono e per migliorare siamo sempre in tempo. Credo che sia la prima volta che una grossa azienda mette nero su bianco un comportamento del genere per incoraggiare chiunque a segnalare preventivamente le vulnerabilità al team di competenza.
Google, Microsoft e Yahoo hanno delle policy simili, ma ancora, al contrario di PayPal, non si fa menzione di possibili rivolti legali per le vulnerabilità segnalate.

Questa notizia non dovrebbe interessare solamente agli addetti ai lavori ma anche ai semplici clienti/utenti, una grossa azienda che gestisce i nostri dati personali (o ancor peggio i nostri risparmi) non deve nascondere eventuali attacchi o vulnerabilità di sicurezza. Solitamente infatti, non solo non esiste una policy ben precisa sul comportamento che l’azienda terrà nei confronti di chi segnala una vulnerabilità ma addirittura non è ben chiaro a chi segnalare i dettagli di essa.

Dal 14 al 16 Settembre, sarò ospite all’ ESC(End Summer Camp) che si tiene a San Donà di Piave (VE).
Terrò un seminario dal titolo GoogleTistic e il Web italiano… insieme all’amico Matteo Flora.
Si tratta di un proseguo del talk di Matteo Flora, tenuto da Alessio Orlandi (causa assenza di Flora) all’E-Privacy 2007. In questo appuntamento vedremo, oltre ai dati già raccolti su circa 80.000 siti Web UK, cosa è saltato fuori dopo l’aggiunta del 98% dei Blog Italiani più influenti.
Essi ci hanno rilevato dati molto interessanti: tracciamento utenti, sicurezza dei blog e sovversione della blogosfera Italiana.

GoogleTistic e WordpressTistic: le statistiche che nessuno avrebbe mai voluto mostrarvi (Matteo Flora e Matteo Carli)
Quanto estesa e’ realmente l’utenza di Google nella vita del Web? Quale reale penetrazione di mercato hanno le soluzioni ed i servizi proposti dal gigante del Web? Quando ci si ritrova a definire come “pericolose per la privacy” le operazioni di Google ci si scontra sempre con l’incredulità e con la scarsa propensione a ritenere che il fenomeno Google sia largamente diffuso. Se infatti la coscienza della permeazione diretta di Google come mezzo di ricerca e’ ormai assodata e scontata nell’immaginario collettivo, risulta invade di difficile comprensione la vastita’ del fenomeno del tracciamento della navigazione “derivato”, quello cioe’ che Google stesso e’ in grado di recuperare ed analizzare da suoi tool di piu’ complessa rilevazione quali Google Analytics, Google AdSense, Blogger Services e le nuove acquisizioni DoubleClick e FeedBurner. Questi servizi risiedono infatti sui siti web dei CLIENTI e non esiste metodo di rilevazione o di statistica senza interrogare i domini web uno ad uno.
Nell’ambito del progetto WatchingTheWatchers (WTW) verranno presentati i risultati preliminari delle statistiche di utilizzo dei servizi Google su 80.000 domini web inglesi, le statistiche che nessuno avrebbe mai voluto mostrare…
IN AGGIUNTA Quanto estesa è la rete dei Bloggers Italiani? Quali le minacce di sicurezza? Mediante le stesse tecnologie utilizzate per GoogleTistic si è proceduto all’analisi dei top 98% blog italiani con incredibili risultati sulle vulnerabilità, sugli utilizzi e sulle tendenze del Web moderno nella Penisola…

Orario: Sabato 18 ore 15.00 - 16.00

L’appuntamento è quindi fissato a Sabato 18 dalle ore 15 alle 16.
Non posso non consigliarvi anche gli altri talk a programma; in particolare quello di Matteo Flora: Censura in Italia: chi, come e perche’ censura.

Vi aspetto!

Nduja connection, questo è il nome del primo worm capace di replicarsi su webmail di diversi provider tramite codice JavaScript. Il suo scopo, come lo stesso Rosario Valotta scrive, “è soltanto quello di documentare ed evidenziare le possibili nefaste conseguenze derivanti da una mancata presa di coscienza della pericolosità delle falle XSS, soprattutto se presenti in servizi con una massa critica di utenti come appunto le webmail.”

Il worm infatti sfrutta vulnerabilità XSS (Cross-site Scripting) presenti nelle applicazioni che gestiscono le webmail di Libero.it, Tiscali.it, Lycos.it e Excite.com. Le vulnerabilità segnalate da Rosario si trovano nella parte dell’applicazione che si occupa di visualizzare il contenuto di ogni e-mail. In questo modo la vittima dovrà solamente aprire una mail appositamente confezionata per innestare il meccanismo di propagazione del worm.

Non so più quante volte mi è capitato di sentire amici/conoscenti/colleghi consigliare l’uso delle webmail al classico client standalone come Outlook o Thunderbird in quanto più sicure contro virus e phishing. Finalmente una prova concreta che smentisce questa tesi; non voglio pensare ad attacchi di phishing basati su vulnerabilità XSS all’interno di Webmail.

Ovviamente un worm di questo tipo potrebbe essere usato, oltre che per il furto di identità, anche per Botnet di nuova generazione: invio di spam, portscan su larga scala, ricerca di vulnerabilità su altri domini in maniera semi automatizzata, ecc..

Non vedo frase più consona di quella scritta nel libro “Xss Attacks“:

XSS is the New Buffer Overflow, JavaScript Malware is the new shell code.

E’ in casi come questo che i provier si dovrebbero accorgere della pericolosità di attacchi basati su XSS (Cross-site Scripting).

Faccio i miei complimenti a Rosario per l’ottimo lavoro svolto, non sicuramente invano.

E’ in corso da qualche ora un nuovo attacco phishing contro Poste Italiane.

La mail confezionata risulta ben fatta e scritta in un Italiano corretto. A fianco potete vedere uno screenshot della mail originale che comprende i loghi di Poste Italiane. Di seguito riporto il testo originale e alcune intestazioni:

Date: Fri, 23 Feb 2007 19:24:39 +0100
Subject: Aggiorna i tuoi dati
To: xxx@xxx-xxx.xx
From: Poste Italiane <staff@poste.it>
Reply-To: staff@poste.it

Caro cliente Poste.it,
Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che troverà alla fine di questo messaggio

Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifichi il suo account »
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente ad riattivare il suo account.
Grazie della collaborazione Poste.it.

Come ogni classico messaggio di phishing il link associato al testo “Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifichi il suo account »” porta ad un dominio simile a quello originale proprio per confondere gli utenti meno esperti.

L’indirizzo utilizzato per ospitare le pagine falsificate di Poste Italiane è hxxp://wxw.poosteitaliane.info/bancopostaonline.poste.it/bpol/cartepre/ (ho volontariamente modificato http e www).
I dati richiesti dalle pagine sono: nome utente, password, numero di carta di credito (PostePay), data di scadenza della carta, CCV (codice di verifica della carta) e infine tutte le lettere di controllo contenute nel tagliando inviato da Poste Italiane a casa del cliente. In questo modo l’aggressore è in grado di ottenere il controllo completo della carta di credito.
Il dominio utilizzato per il phishing è ospitato sull’indirizzo IP 66.232.103.2 che ha come DNS host name uhn.amazingdealmail.com. Il messaggio, almeno nel mio caso, risulta partito da un server Web del datacenter di Aruba; è molto probabile che sia avvenuto l’abuso (tramite injection di header ad hoc) di qualche form per l’invio di email.

Per maggiori informazioni su come difendersi da questi attacchi Poste Italiane ha creato una apposita pagina che vi consiglio di leggere.

Aggiornamento 26 Febbraio ore 21: una diversa variante della mail sta girando da pochi minuti.
E’ cambiato il dominio utilizzato per ospitare i file ma il contenuto è il medesimo. Seguono i dettagli della nuova mail:

Date: Mon, 26 Feb 2007 20:43:38 +0100
Subject: Aggiorna i tuoi dati
To: xxxx@xxxxxx.xxx
From: Poste Italiane <BPOL@poste.it>
Reply-To: BPOL@poste.it

Il nuovo indirizzo utilizzato è: hxxp://wxw.possteitaliane.info/poste/bancopostaonline.poste.it/bpol/cartepre/ (ho volontariamente modificato http e www).

Ringrazio Aruba: nonostante abbia personalmente segnalato sin da venerdì (23 Febbraio) che uno dei loro webserver è utilizzato per inviare questi messaggi di phishing ad oggi (26 Febbraio) non solo il server non è stato minimamente controllato ma viene ancora utilizzato dagli attacker.

Aggiornamento 8 Marzo ore 22
E’ cambiato il dominio utilizzato per ospitare i file e l’email mittente (chiaramente falsificata).

Date: Fri, 9 Mar 2007 00:47:44 +0300
To: xxx@xxxxx.xxx
Subject: Poste.it chiede il vostro contributo.
From: Poste Italiane <assistenza@posteitaliane.it>
Reply-To: assistenza@posteitaliane.it

Il nuovo indirizzo utilizzato è hxxp://predkav.ru/modules/PNphpBB2/includes/poste/ (ho volontariamente modificato http).

Questa volta il server utilizzato per l’invio è stato usato un server Web di valuehost.ru