11 giugno 2010 | Il taccuino di Armando Leotta

	Taccuino: Life stream 4 June 2010 – http://tinyurl.com/23ayu46 [armyz]
	Posted Taccuino: Life stream 4 June 2010 – http://tinyurl.com/23ayu46.
	Published Non dirlo a me!. Il quattrenne nel mezzo di una discussione: “eh… non dirlo a me!” “in che senso amore?” “nel senso - eh, non di…
	Posted Non dirlo a me!.
	Taccuino: Non dirlo a me! – http://tinyurl.com/2bfvg94 [armyz]
	Posted Taccuino: Non dirlo a me! – http://tinyurl.com/2bfvg94.
	Posted Fwd: TV Ad Blames Politician for Facebook Privacy Problems [VIDEO] – http://bit.ly/bxkeyF (tramite http://ff.im/ltNc8).
	Fwd: TV Ad Blames Politician for Facebook Privacy Problems [VIDEO] – http://bit.ly/bxkeyF (tramite http://ff.im/ltNc8) http://ff.im/ltNxu [armyz]
	Shared che stress… sarò l’unico ma mi si inchioda almeno un paio di volte al giorno #chrome #hang.
	che stress… sarò l’unico ma mi si inchioda almeno un paio di volte al giorno #chrome #hang [pic] http://ff.im/ltVTv [armyz]
	Shared Fwd: 10 Things Android Does Better Than iPhone OS – http://gizmodo.com/5554293/10-things-android-does-better-than-iphone-os (tramite http://ff.im/lubI9).
	Fwd: 10 Things Android Does Better Than iPhone OS -… [pic] http://ff.im/luc8f [armyz]
	Shared Fwd: yaratıcıı ……..Love Injections – today and tomorrow – http://www.todayandtomorrow.net/2010/04/13/love-injections/ (tramite http://ff.im/lvm7S).
	Fwd: yaratıcıı ……..Love Injections – today and tomorrow -… [pic] http://ff.im/lvmaF [armyz]
	Grande Schiavone! #fb [armyz]
	Posted Grande Schiavone! #fb.
	Posted Art. 321 cp (no comment).
	Shared Google.
	Google http://ff.im/lx1dS [armyz]
	Shared mumble mumble: invasione dei bimbiminkia?.
	Posted Accadde oggi: D-Day 6/6/1944 – (Strano che Google non dedichi un logo: l’ha fatto per molto meno)..
	Accadde oggi: D-Day 6/6/1944 – (Strano che Google non dedichi un logo: l’ha fatto per molto meno). http://ff.im/lybvU [armyz]
	Posted sparita l’icona dell’ups (built-in nel risparmio energetico) su macosx: qualche idea?.
	Posted alla ricerca dell’ultimo testo aggiornato del "nuovo cad".
	alla ricerca dell’ultimo testo aggiornato del "nuovo cad" http://ff.im/lz6MY [armyz]
	Shared (S.) – 0,50 Euro a pezzo .
	Posted Pare che da qualche ora ci sia un attacco distribuito su server con CMS e107 (e pure e107.org sembra essere sotto attacco). Pare che il contact.pho presti il fianco ad un dos che satura le risorse del server. Se ne avete uno, date un’occhiata #dos #attack #e107 #cms.
	Pare che da qualche ora ci sia un attacco distribuito su server con CMS e107 (e pure e107.org sembra essere sotto… http://ff.im/lzEZv [armyz]
	Posted Fwd: RT @Woork: The iPhone 4g is called iPhone HD: http://twitpic.com/1ujso0 (multiple colours too) red please #wwdc /via @stuartcarnie (tramite http://ff.im/lAUV4).
	Fwd: RT @Woork: The iPhone 4g is called iPhone HD: http://twitpic.com/1ujso0 (multiple colours too) red please #wwdc… http://ff.im/lAZgo [armyz]
	Shared Ecco, parliamo di cose serie… Fwd: Hayır diyebilecek kadın var mıdır buna? Toblerone 4.5 Kg. (tramite http://ff.im/lzBzB).
	Ecco, parliamo di cose serie… Fwd: Hayır diyebilecek kadın var mıdır buna? Toblerone 4.5 Kg. (tramite… [pic] http://ff.im/lAZmZ [armyz]
	Posted Fwd: Diritti degli omosessuali: male l’Italia, peggio il Vaticano – UAAR Ultimissime – http://www.uaar.it/news/2010/06/07/diritti-degli-omosessuali-male-italia-peggio-il-vaticano/ (tramite http://ff.im/lAZBQ).
	Marco Zamperini @funkysurfer racconta l’iPad su computerworld Italia #cwi #fb [armyz]
	Posted Marco Zamperini @funkysurfer racconta l’iPad su computerworld Italia #cwi #fb.
	Shared IE5.5 si e Chrome no?, balordi #fail.
	IE5.5 si e Chrome, balordi #fail [pic] http://ff.im/lBEHD [armyz]
	Shared Fwd: oyyyh yerrrim ) (tramite http://ff.im/lBw94). Fwd: oyyyh yerrrim ) (tramite http://ff.im/lBw94)
	Fwd: oyyyh yerrrim ) (tramite http://ff.im/lBw94) [pic] http://ff.im/lBT0b [armyz]
	Posted (S.) – trovato!.
	Posted (S.) – http://www.leggonline.it/articolo.php?id=66148.
	(S.) – http://www.leggonline.it/articolo.php?id=66148 http://ff.im/lEYfz [armyz]
	Posted IMPORTANTE: Sono partite delle mail di spam dalla mia casella gmail. Sto cercando di capire se si tratta di un virus (improbabile) quanto dei residui attacchi alla caselle gmail di un mesetto fa. Scusate per la scocciatura. La pass è stata cambiata e ritrovarmi le mail spedite nella cartella imap non aiuta a pensare a virus.
	IMPORTANTE: Sono partite delle mail di spam dalla mia casella gmail. Sto cercando di capire se si tratta di un virus… http://ff.im/lF1Hx [armyz]
	Published ATTENZIONE: nuova ondata di account gmail hacked?. Questa volta vi scrivo con il duplice cappello di addetto ai lavori e di vittima. Vi ricordate qualche mese fa quanti account…
	Taccuino: ATTENZIONE: nuova ondata di account gmail hacked? – http://tinyurl.com/25upuqe [armyz]
	Posted ATTENZIONE: nuova ondata di account gmail hacked?.
	Posted Taccuino: ATTENZIONE: nuova ondata di account gmail hacked? – http://tinyurl.com/25upuqe.
	Posted Gmail Account bucato: dettagli su http://blog.armandoleotta.com/2010/06/attenzione-nuova-ondata-di-account-gmail-hacked/.
	Posted http://www.ifitwasmyhome.com/.
	http://www.ifitwasmyhome.com/ http://ff.im/lFxeh [armyz]
	Posted Tagliolini allo scoglio alla faccia dei cinesi.
	Ok… non lo so fare. Come imposto un brano di musica (mp3) come suoneria? (S.) http://ff.im/lFXiJ [armyz]
	Shared Fwd: Fwd: http://meme.yahoo.com/wrzl/p/ll7pvYj/ (tramite http://ff.im/lG6GV) (tramite http://ff.im/lGaVX). Fwd: Fwd: http://meme.yahoo.com/wrzl/p/ll7pvYj/ (tramite http://ff.im/lG6GV) (tramite http://ff.im/lGaVX)
	Fwd: Fwd: http://meme.yahoo.com/wrzl/p/ll7pvYj/ (tramite http://ff.im/lG6GV) (tramite http://ff.im/lGaVX) [pic] http://ff.im/lGdsT [armyz]
	Posted Guadagno è: perdere un cliente scassinamaroni.
	Posted Sto provando Safari 5 (mac) e lo trovo molto veloce e leggero: sono l’unico?.
	Sto provando Safari 5 (mac) e lo trovo molto veloce e leggero: sono l’unico? http://ff.im/lGJL7 [armyz]
	Posted (S.) – qualcuno sa con quale pezzo hanno iniziato i Muse a San Siro?.
	(S.) – qualcuno sa con quale pezzo hanno iniziato i Muse a San Siro? http://ff.im/lHejA [armyz]
	Posted 1.0 batte 2.0 – per ascoltare lo streaming radio del concerto dei Muse ho dovuto accendere l’impianto stereo! (S.).
	1.0 batte 2.0 – per ascoltare lo streaming radio del concerto dei Muse ho dovuto accendere l’impianto stereo! (S.) http://ff.im/lHig9 [armyz]
	Posted / Muse Live @ San Siro in diretta su RTL. Piango. (Mi scusi, Sir Squonk) ( S.).
	/ Muse Live @ San Siro in diretta su RTL. Poango. (Mi scusi, Sir Squonk) ( S.) http://ff.im/lHiZp [armyz]
	Posted Mi anninno che domani sono un pelino impegnato. Notte!.
	Posted che carino il nuovo spot adidas!.
	Posted Sia messo agli atti: preselezioni -passed-, primo scritto -passed-, secondo scritto -passed-, orale stamattina -PASSED- !.
	Al #securitysummit: identità digitale e PA con @Corrado Giustozzi #fb [armyz]
	Posted Al #securitysummit: identità digitale e PA con @Corrado Giustozzi #fb.
	Ambiguità semantica su ‘autenticazione’. Anche su CAD #securitysummit #fb [armyz]
	Posted Ambiguità semantica su ‘autenticazione’. Anche su CAD #securitysummit #fb.
	Interoperabilità e cooperazione #securitysummit #fb http://twitpic.com/1vh9r1 [armyz]
	Posted Interoperabilità e cooperazione #securitysummit #fb http://twitpic.com/1vh9r1.
	Iniziative pan-europee: ENISA #securitysummit #fb [armyz]
	Posted Iniziative pan-europee: ENISA #securitysummit #fb.
	Garante della privacy al #securitysummit presenta il progetto Stork come esempio d’interoperabilità #fb [armyz]
	Posted Garante della privacy al #securitysummit presenta il progetto Stork come esempio d’interoperabilità #fb.
	Shared #googlememe (S.).
	#googlememe (S.) [pic] http://ff.im/lMRtP [armyz]
	DigitPA su Interoperabilità firma digitale in Europa #securitysummit #fb [armyz]
	Posted DigitPA su Interoperabilità firma digitale in Europa #securitysummit #fb.
	Trust-service Status List presso la Commissione Europea #firmadigitale #interoperabilità #securitysummit #fb [armyz]
	Posted Trust-service Status List presso la Commissione Europea #firmadigitale #interoperabilità #securitysummit #fb.
	Posted Il 10 giugno 2010 il pianeta è andato in blackout per 2 minuti e diciassette secondi. Il mondo intero ha visto il futuro. Nel mio flashforward ho visto ABC annunciare il rinnovo dello show per una seconda stagione. (S.).
	Il 10 giugno 2010 il pianeta è andato in blackout per 2 minuti e diciassette secondi. Il mondo intero ha visto il… http://ff.im/lMZ7D [armyz]
	"Web application security: a 2.0 attacker’s perspective" (cpe) #securitysummit #fb [armyz]
	Posted "Web application security: a 2.0 attacker’s perspective" (cpe) #securitysummit #fb.
	Shared Aggiornamento 1: ATTENZIONE: nuova ondata di account gmail hacked? \| Il taccuino di Armando Leotta.
	Aggiornamento 1: ATTENZIONE: nuova ondata di account gmail hacked? \| Il taccuino di Armando Leotta http://ff.im/lONLV [armyz]
	Posted Roma e Scioperi: venerdì 11 giugno previste 3 proteste.
	Posted (S.) – in ufficio a prender caldo aspettando #GGDRoma5.
	(S.) – in ufficio a prender caldo aspettando #GGDRoma5 http://ff.im/lQthX [armyz]
	Published Tab-napping, un nuovo phishing exploit. Tra le tante cose viste, dette ed affrontate in tavole rotonde al Security Summit di ieri a Roma una in particolare mi ha col…
	Posted Tab-napping, un nuovo phishing exploit.
	Taccuino: Tab-napping, un nuovo phishing exploit – http://tinyurl.com/2425ug9 [armyz]

Tra le tante cose viste, dette ed affrontate in tavole rotonde al Security Summit di ieri a Roma una in particolare mi ha colpito per la semplice genialità.

E quando si parla di tecniche di social engineering e/o di phishing la semplicità è un elemento essenziale affinchè l’attacco vada ahimè a buon fine.

Questo nuovo exploit è stato battezzato “Tab-napping” ed è un cocktail micidiale i cui ingredienti sono javascript, social engineering e browser permissivi.

Cos’è e come funziona

E’ un javascript che viene caricato all’interno di una pagina web apparentemente lecita ed innocua.

In realtà, è innocua finchè non viene cambiato il focus ad esempio aprendo una nuova tab e rendendola attiva.

A questo punto, parte un timer che dopo x secondi “trasforma” la pagina con il codice malevolo con una pagina fake recentemente visitata della quale sono appetibili le credenziali d’accesso.

Si pensi anche solamente a banche ed a servizi di posta.

Esiste un proof-of-concept in rete nel quale è previsto dopo 5 secondi la “trasformazione” della pagina “innocua” nella pagina (FAKE) di logon di gmail, ad esempio. L’utente nella fretta ed in buona fede (visto che lo script carica una pagina IDENTICA all’originale comprensivo di icona distintiva dell’indirizzo -favicon-) reinserisce le credenziali.

A quel punto il gioco è fatto (potrebbe forse spiegare recenti violazioni? Le verifiche sono ancora in corso).

Guardando il codice nulla vieta un redirect verso la vera risorsa e se il cookie è ancora valido per l’utente potrebbe risultare del tutto indifferente (vedi gmail).

Inoltre, ho verificato che non funziona solo sullo switch tra tab: funziona quando perde il focus quindi anche quando ci sono diverse istanze del browser. Questo aspetto non è da sottovalutare visto che più sono le finestre aperte e maggiore è la probabilità che passi inosservato l’inganno.

Se volete, provate, con cautela, direttamente il proof-of-concept.

Suggerimenti

Quando ci autentichiamo a servizi delicati è opportuno chiudere le finestre del browser ed aprirne una nuova dedicandola a tale attività. Evitare il più possibile sessioni di diversa natura e finalità specialmente se prevedono autenticazione.

Al momento di inserire le credenziali di accesso assicurarsi di essere giunti su quella pagina seguendo un bookmark sicuro o avere digitato manualmente l’indirizzo possibilmente in https. In altre parole, niente link e … attenzione anche ai cambiamenti di pagina!

Usare firefox e NoScript.

*** Aggiornamento 1 ***

Ho inserito di seguito uno screencast per coloro che non vogliono vedere il poc in funzione.

_____
Clusit

L	M	M	G	V	S	D
« mag				lug »
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

giugno 11th, 2010:

Life stream 11 June 2010

Tab-napping o tabnapping, un nuovo phishing exploit

Gli ultimi post

Gli ultimi commenti

Cerca

Categorie

Archivi

Meta

SETI@Home Stats

Io in rete