Il taccuino di Armando Leotta Rotating Header Image

Open source

Gmail e virus in allegati cifrati

Devo dire che non so da quanto tempo è presente questa “feature“.

Oggi ho avuto la necessità di inviare per mail un allegato contenente un codice malevolo.

Un’attività di routine, nulla di strano o di incredibilmente complicato. Si salva il codice archiviandolo in un archivio compresso e cifrato con password e si spedisce senza grosse difficoltà.

Puoi trovare il server che ti rifiuta l’invio in quanto non riesce ad esaminare preventivamente l’allegato essendo cifrato.

Quello che non mi è mai successo prima è trovare il client (e già qui è interessante il ruolo proattivo) che ti vieta l’invio in quanto riconosce che l’allegato contiene un virus.

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

Il fatto che dopo qualche secondo dalla fine dell’upload ti sia inibito l’invio per “Virus detected” fa pensare. Ripeto: zip compresso e cifrato con password.

 

 

*** EDIT ***

Per arricchire le informazioni a contorno vi dico che il file zip cifrato era compresso volutamente con la compressione migliore (dunque computazionalmente più pesante).

Il metodo di encryption, AES-256 compatibile con winzip (uso un mac).

Dettagli della compressione e cifratura

Dettagli della compressione e cifratura

 

Per verifica, onde evitare falsi positivi ovvero “non accetto file cifrato nel dubbio fossero infetti e restituisco stringhe allarmanti ma non ho idea di cosa ci sia dentro ma fa molto figo” ho usato gli stessi parametri su un file innocuo:

sample cifrato e non infetto

sample cifrato e non infetto

 

 

Ecco, adesso il quadro è decisamente più completo.

Che dire?

NOTA: alla fine l’ho inviato tramite la webmail di libero, chiaramente senza problemi di caricamento, invio o consegna.

 

*** UPDATE ***

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

**** Usando una password complexity migliore (8 caratteri, almeno un maiuscolo, almeno 1 numero) il sample viene correttamente spedito e consegnato. ****

 

Evidentemente effettua un check con un dizionario non particolarmente esteso (performance? costo computazionale?).

Resta da capire perchè entra nel merito di un allegato che intendo spedire cifrato, malevolo o meno.

Sarebbe interessante approfondire  i TOS & AUP.

 

*** UPDATE 2 ***

Ho inviato a VirusTotal i due file cifrati.

Per quello con password complessa nessuno dei motori di scansione riportava anomalie (solo 2 su 54 dichiarava di non riuscire ad ispezionare il file – time out -).

Quello con password semplice, lo stesso intercettato da gmail in fase di upload, è stato rilevato solo da F-prot:

F-Prot rileva un virus (archivio zip con password)

F-Prot rileva un virus (archivio zip con password)

Chissà,  Gmail si appoggia (anche) a quel motore?

Log e dintorni: 138 pagine di attacchi al daemon FTP

Un NAS casalingo, poco tempo e tanti interessi.

Questo è lo scenario di riferimento.

Questa volta spulciando i file di log ho isolato i soliti tentativi spot e improbabili del lamer di turno e quanto è rimasto ha catturato la mia attenzione : 138 pagine di tentativi di login falliti al daemon FTP.

Tutti il 30.03.14, tutti dallo stesso indirizzo IP.

FTP attack

FTP Attack (clicca per ingrandire)

Raccolgo info sull’IP. Di tutto, di più e per non farsi mancare nulla, botnet piuttosto attiva.

Mi vengono in mente le tecniche di fuzzing e le grammatiche sviluppabili su vari framework sia per scovare il buffer overflow che per sferrare l’attacco brute force o dictionary che sia.

Adesso, ringrazio della cortese attenzione ma il $token su cui ciclare è la $password, non lo $username (clicca sullo screenshot per ingrandire)

Detto questo, vedo di trovare il tempo di abilitare un ban dinamico a tempo.

 

Iseclab security tool: anubis, wepawet & andrubis

Per gli addetti ai lavori sono tool noti.

In ogni caso segnalo dei tool della International Secure System Lab

Anubis: Analyzing Unknown BinariesParticolarmente attivi ed interessanti Anubis e Wepawet.

Anubis (ANalyze Unknown BInarieS)

Inizialmente era nato come servizio di analisi malware e permetteva di sottomettere esclusivamente eseguibili windows sospetti.

Di recente è stato integrato Andrubis che integra la scansione di APK Android.

E’ possibile anche sottomettere un URL per verificare il comportamento del browser alla ricerca di un drive-by-download attack o similari.

Ottima la reportistica e la profondità di dettagli.

Wepawet

Se invece avete a che fare con un pdf, un javascript o un file flash sospetto potete usare il servizio wepawet.

I sistemi utilizzano un’opportuna sandbox nella quale lanciano il contenuto inviato  che viene tracciato ed analizzato.

Nota: date un’occhiata anche al servizio Exposure.

E’ un servizio web che rileva i domini coinvolti in attività legate a diffusione di codice malevolo: è ancora in beta ma promette decisamente bene.

Android 4 miniPC

Sono diverse settimane che mi riprometto di finalizzare questo articolo: finalmente eccolo qui.

Avete presente il cosiddetto gadget digitale?

Ecco, quello.

Ho voluto provare un miniPC Android 4.0.

Che cos’è?

Lascio parlare le foto.

Android 4 Mini PC

Android 4 Mini PC

 

Cosa c’è dentro la confezione?

Android 4 Mini PC

Android 4 Mini PC – contenuto –

Che cos’è e quali sono le caratteristiche.

E’ un mini pc dalle dimensioni ridottissime. Monta Android 4.0.

Si collega via HDMI alla TV che si trasforma in un bel PC Android.

Ha una CPU Cortex A8 da 1.5GHz e supporta la connettività wifi 802.11 b/g/n.

Ecco la scheda tecnica:

Caratteristiche tecniche miniPC Android 4.0

Caratteristiche tecniche miniPC Android 4.0

 

Utilizzo semplice e immediato: un mouse – non in dotazione – nella porta usb, alimentatore e  cavo HDMI – entrambi in dotazione -.

Si parte 🙂

TV con miniPC Android 4.0

TV con miniPC Android 4.0

Ed eccolo…

TV con miniPC Android 4.0

TV con miniPC Android 4.0

TV con miniPC Android 4.0

TV con miniPC Android 4.0

Il sistema parte con diverse interessanti applicazioni a bordo: alcune utili, alcune semplicemente dimostrative…

TV con miniPC Android 4.0

TV con miniPC Android 4.0

Vi consiglio di creare un profilo Google dedicato al nuovo giocattolino di casa e di usarlo di conseguenza nel market di riferimento.

 

 Altro video…

Aldilà del gadget geek/nerd, rappresenta un’ottima soluzione per trasformare una (buona) TV HD a Led in una stazione multimediale (renderer DLNA).

In altre parole, su questa televisione riesco a mandare in streaming HD svariate fonti domestiche e non (media server DLNA compliant).

Unici nei, al momento della scrittura del post: troppa sensibilità nella copertura wifi e assenza di funzionalità nativa di spegnimento (shutdown).

Buon divertimento.

Sophos autoupdate for mac calls mtv.com #sophos

Sarà innocuo.

Sarò paranoico.

Poste le due asserzioni di fondo mi chiedo: perchè?

Why sophosautoupdate for mac calls mtv.com?

Why sophosautoupdate for mac calls mtv.com?

Per rendere la domanda più completa perchè oltre a mtv.com prova anche a connettersi a kontera.com?

A pay-per-click antivirus?

 

how come sophosautoupdate for mac calls konera.com?

how come sophosautoupdate for mac calls kontera.com?

 

Misteri del marketing.

**UPDATE** Ecco il motivo: shared host Akamai.

 

www.mtv.com is an alias for www.mtv.com.edgesuite.net.
www.mtv.com.edgesuite.net is an alias for a1924.b.akamai.net.
a1924.b.akamai.net has address 77.67.29.32
a1924.b.akamai.net has address 77.67.29.10

kona.kontera.com is an alias for kona.kontera.com.edgesuite.net.
kona.kontera.com.edgesuite.net is an alias for a302.g.akamai.net.
a302.g.akamai.net has address 77.67.29.34
a302.g.akamai.net has address 77.67.29.35

dci.sophosupd.com.edgesuite.net is an alias for a334.g.akamai.net.
a334.g.akamai.net has address 77.67.29.32
a334.g.akamai.net has address 77.67.29.34

 

Svelato l’arcano.