Il taccuino di Armando Leotta Rotating Header Image

crittografia

Gmail e virus in allegati cifrati

Devo dire che non so da quanto tempo è presente questa “feature“.

Oggi ho avuto la necessità di inviare per mail un allegato contenente un codice malevolo.

Un’attività di routine, nulla di strano o di incredibilmente complicato. Si salva il codice archiviandolo in un archivio compresso e cifrato con password e si spedisce senza grosse difficoltà.

Puoi trovare il server che ti rifiuta l’invio in quanto non riesce ad esaminare preventivamente l’allegato essendo cifrato.

Quello che non mi è mai successo prima è trovare il client (e già qui è interessante il ruolo proattivo) che ti vieta l’invio in quanto riconosce che l’allegato contiene un virus.

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

Il fatto che dopo qualche secondo dalla fine dell’upload ti sia inibito l’invio per “Virus detected” fa pensare. Ripeto: zip compresso e cifrato con password.

 

 

*** EDIT ***

Per arricchire le informazioni a contorno vi dico che il file zip cifrato era compresso volutamente con la compressione migliore (dunque computazionalmente più pesante).

Il metodo di encryption, AES-256 compatibile con winzip (uso un mac).

Dettagli della compressione e cifratura

Dettagli della compressione e cifratura

 

Per verifica, onde evitare falsi positivi ovvero “non accetto file cifrato nel dubbio fossero infetti e restituisco stringhe allarmanti ma non ho idea di cosa ci sia dentro ma fa molto figo” ho usato gli stessi parametri su un file innocuo:

sample cifrato e non infetto

sample cifrato e non infetto

 

 

Ecco, adesso il quadro è decisamente più completo.

Che dire?

NOTA: alla fine l’ho inviato tramite la webmail di libero, chiaramente senza problemi di caricamento, invio o consegna.

 

*** UPDATE ***

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

**** Usando una password complexity migliore (8 caratteri, almeno un maiuscolo, almeno 1 numero) il sample viene correttamente spedito e consegnato. ****

 

Evidentemente effettua un check con un dizionario non particolarmente esteso (performance? costo computazionale?).

Resta da capire perchè entra nel merito di un allegato che intendo spedire cifrato, malevolo o meno.

Sarebbe interessante approfondire  i TOS & AUP.

 

*** UPDATE 2 ***

Ho inviato a VirusTotal i due file cifrati.

Per quello con password complessa nessuno dei motori di scansione riportava anomalie (solo 2 su 54 dichiarava di non riuscire ad ispezionare il file – time out -).

Quello con password semplice, lo stesso intercettato da gmail in fase di upload, è stato rilevato solo da F-prot:

F-Prot rileva un virus (archivio zip con password)

F-Prot rileva un virus (archivio zip con password)

Chissà,  Gmail si appoggia (anche) a quel motore?

Attacco RSA: dettagli e riflessioni – How RSA was breached –

Tutti si ricorderanno dell’attacco (“extremely sophisticated cyberattack“) subito dal colosso RSA lo scorso marzo (qui la lettera aperta ai propri clienti da parte RSA).

Tutto faceva supporre che eravamo di fronte ad un nuovo APT, un advanced persistent threat ai danni della società che fa della sicurezza il proprio core business con organizzazioni, agenzie governative ed istituzioni di tutto il mondo.

Un APT attack che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.(*)

(*) Anatomy of an attack, RSA blog

In un primo momento l’allarme sembrava essere rientrato e che nessuno dei clienti RSA era a rischio.

Dopo qualche mese (fine maggio)  la Lockheed Martin (U.S. Defence contractor) denunciava il tentativo di intromissione ai propri sistemi tramite l’utilizzo di chiavi duplicate generate dal SecurID RSA.

Dopo qualche giorno, è la volta di un altro gigante della difesa americana. Ecco quanto si legge su wired:

“L-3 Communications has been actively targeted with penetration attacks leveraging the compromised information,” read an April 6 e-mail from an executive at L-3’s Stratus Group to the group’s 5,000 workers, one of whom shared the contents with Wired.com on condition of anonymity.

Dopo qualche giorno anche la Northrop Grumman disabilita l’accesso remoto senza preavviso lasciando trasparire un ennesimo caso di intrusione.

A questo punto, con una seconda lettera aperta, RSA ammette la compromissione ed il furto di informazioni riservate (e l’utilizzo delle informazioni carpite nell’attacco alla Lockheed, ndr)

“Against this backdrop of increasingly frequent attacks, on Thursday, June 2, 2011, we were able to confirm that information taken from RSA in March had been used as an element of an attempted broader attack on Lockheed Martin, a major U.S. government defense contractor. Lockheed Martin has stated that this attack was thwarted.”

e l’imminente sostituzione dei token SecurID emessi.

Fino a qui, specialmente per gli addetti ai lavori, è solo un riepilogo, spero gradito, di una vicenda molto grave sulla quale si è detto relativamente poco:

un APT attack, un “extremely sophisticated attack” che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

Manca un capitolo: sappiamo che, lato client, tutto è partito da una mail…

“The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.”(*)

(*) Anatomy of an attack, RSA blog

Purtroppo non sono stati forniti da RSA ulteriori dettagli su questa “crafted well enough” email.

Alla F-Secure sono riusciti a risalire alla mail ed al file incriminato. Come?

Evidentemente qualcuno alla EMC, la divisione di RSA oggetto dell’attacco, ha voluto effettuare una scansione online del malware effettuando un upload dello stesso verso VirtusTotal, un online virus scanning site.

Come specificato nelle condizioni d’uso di VirusTotal il file è stato condiviso con le industrie del settore per approfondire e condividere la conoscenza di un potenziale nuovo malware.

Dunque quanto ha tenuto in apprensione RSA ed i suoi clienti era in possesso dei maggiori vendor di sicurezza informatica benché a loro insaputa.

Ecco quanto ricostruisce F-Secure:

Upload effettuato il 19 marzo come file-1994209_msg
Upload effettuato il 19 marzo come file-1994209_msg

Ed ecco come appare la well enough crafted email:

2011 recruitment plan
2011 recruitment plan

La mail è stata oggetto di spoofing e sembra inviata dal sito di recruiting beyond.com ed è stata inviata ad un impiegato/utente @emc.com ed in copia altri tre indirizzi analoghi.

Aprendo l’allegato:

Allegato xls incriminato
Allegato xls incriminato

Quella checkbox visibile è un embedded flash object che sfrutta quella che era una vulnerabilità non ancora sanata (per quale motivo excel supporti tali oggetti embedded merita tutta un’altra discussione, ndr).

L’oggetto flash usa la CVE-2011-0609 per eseguire del codice malevolo ed installa quella che si scoprirà essere identificata come Poisin Ivy backdoor. Al termine dell’infezione, il codice chiude excel mentre la Poison contatta il suo server

su good.mincesur.com (il dominio mincesur.com è stato già usato per attacchi simili, ndr).

mincesur.com
mincesur.com

Qui un video di cosa succede all’apertura del file xls incriminato:

Riflessioni

La mail, a metà strada tra il phishing e lo scamming, fa chiaramente uso di ingegneria sociale ma non mi sembra si possa considerare well enogh crafted email nè un extremely sophisticated attack.

Sebbene la vulnerabilità sfruttata era una zero-day (quindi non esisteva, in quel periodo, un’apposita patch) risulta poco accettabile e sostenibile che in colossi che fanno della sicurezza altrui il proprio core business non implementino soluzioni parallele infrastrutturali ed applicative a supporto di casi del genere.

Cos’è sofisticato?

Sicuramente lo è l’exploit per sfruttare la vulnerabilità flash ed innoculare la backdoor. Quest’ultima, per altro, non era tra le più sofisticate.

 Il target, sicuramente: andare a procurarsi i codici direttamente alla fonte per poi attaccare la Lockheed Martin, ad esempio, è molto sofisticato, ambizioso e preoccupante.

La componente APT?

Una volta effettuata la connessione l’attaccante ha accesso remoto completo non solo alla postazione target ma a tutte le risorse aziendali condivise a cui l’impiegato target (le sue credenziali, ndr) avevano accesso (dischi remoti, server intermedi, sistemi documentali, collaboration, etc…).

Non stupirebbe pertanto che gli attaccanti possano avere usato e monitorato per diverso tempo le attività del target fino all’ottenimento dell’accesso ai dati SecurID cercati.

Conclusioni

Non è accettabile che una zero-day possa compromettere strutture di questo livello così come non è pensabile di basare la propria sicurezza su sistemi sempre up-to-date (è praticamente impossibile).

Nello specifico sembra assurdo ma anche in questo caso l’anello debole si colloca tra il monitor e la spalliera della sedia.

_____
Clusit 

NIST definisce nuove versioni dello SHA-512

Il NIST ha definito due nuove versioni dello SHA-512: lo SHA-512/224 e lo SHA-512/256.

Essi consistono nello SHA-512 troncato rispettivamente al bit 224 e 256 con un nuovo IV (initialization vector).

La motivazione risiede nella constatazione che lo SHA-512 è più veloce dello SHA-256 nelle CPU a 64 bit da cui l’opportunità di sfruttare efficientemente tali potenzialità.

Tale approccio era stato seguito anche nello sviluppo di SKEIN, la proposta Schneier alla call del NIST per il nuovo algoritmo SHA-3

_____
Clusit

Firesheep e la scoperta dell’acqua calda: più hijack per tutti

E’ sempre oppurtuno adottare un linguaggio consono al contesto in cui ci si trova ad interagire.

Il must di questi giorni è “le reti wi-fi open sono insicure: stanne lontano!“.

Verissimo ma noi addetti ai lavori lo diciamo da anni. Per quanto mi riguarda, una parte dei corsi di sicurezza che tengo fanno sempre riferimento a questo aspetto.

Leggere che l’emergenza è il rilascio di un’estensione di firefox (Firesheep) che, notiziona, permette di  rubare l’identità e le credenziali digitate in qualsiasi dispositivo navighi utilizzando il punto di accesso non adeguatamente  protetto, onestamente mi fa sorridere vista anche la natura a mio avviso dimostrativa molto più vicina ad un proof-of-concept che ad un tool malevolo.

L’informazione è fuorviante: quanto riesce a fare questa estensione con una semplicità disarmante è possibile da sempre a parità di condizioni.

Cosa c’è di nuovo allora?

C’è che adesso migliaia di wannabe e script kiddie (in più) senza necessariamente spiccate competenze tecniche si divertiranno a rubare l’identità a coloro che usano hot spot non opportunamente protetti: adesso il messaggio è abbastanza chiaro per acquisire una tardiva consapevolezza?

Attendendo il BlackHat USA 2010 e il DEFCON 18

BlackHat USA 2010

Anche quest’anno si attendono con estremo interesse i contenuti della BlackHat Conference del 28 e 29 luglio al Caesars Palace e del DEF CON 18 entrambi a Las Vegas.

Le agende sono molto fitte (qui i briefing & topics del BlackHat e qui l’agenda del DEF CON 18).

I molti i nomi conosciuti e gli argomenti trattati mi fanno invidiare chi riuscirà ad andarci di persona.

Ad ogni modo, tanto interesse e preoccupazione desta la nuova vulnerabilità del WPA2, il cosiddetto hole 196, presentato anche al DEFCON del 31 luglio, vulnerabilità annunciata ben più grave della precedente al TKIP.

Non mancheranno argomenti ed autori di primissimo rilievo come Moxie MarlinspikeChanging Threats To Privacy:

DEF CON 18

From TIA To Google” (vi ricorderete il caso della chiave privata di PayPal), Mikko Hypponen “You will be billed $90,000 for this call“, Jeremiah Grossman “Breaking Browsers: Hacking Auto-Complete“, Tavis Ormandy & Julien Tinnes “There’s a party at Ring0 (and you’re invited)” (vedi questo e questo), Dan Kaminsky “Black Ops Of Fundamental Defense: Web Edition” (ricorderete questo e questo).

Non mancano gli italiani come Iozzo (ricorderete questo), Claudio Criscione, Marco Bonetti e altri.

Tanti gli argomenti interessati, troppi per elencarli tutti.

I miei alert? Su Wi-fi (WPA2), privacy, vulnerabilità su browser, botnet, mobile botnet e tor.

Prepariamoci ad una valanga di 0-day e di patch.

Stay tuned.