Il taccuino di Armando Leotta Rotating Header Image

hacking

DNS Changer: non cedere all’allarmismo dei titolisti della carta stampata #dnschanger

DIffusione di DNS Changer in Italia

DIffusione di DNS Changer in Italia (foto via webnews)

In questi giorni si leggono titoli da apocalisse: lunedì si spegnerà Internet oppure non si potrà collegare più il tuo pc alla Rete. Se non capita a te potrebbe capitare al tuo collega d’ufficio!

Insomma, a giudicare dai titoli dei giornali “anche per colpa dell’FBI” il tuo pc sarà isolato dalla rete…

Se siete curiosi ad esempio di rivedere l’armageddon previsto e poi ridimensionato dai titolisti di Repubblica fatevi un giro qui.

In sintesi quello che succederà è che la struttura temporanea messa in linea per ovviare alla maliziosa traduzione dei nomi sarà disattivata.

Quindi, se eravate interessati dal malware e se nel frattempo non avete rimediato tramite bonifica della vostra postazione allora lunedì sarete molto probabilmente isolati dalla Rete.

Tenete conto che in Italia il fenomeno ha riguardato circa 26.000 postazioni (windows o mac), nel mondo circa 300.000.

Come vedete i numeri sono particolarmente esigui.

In ogni caso, controllare non costa nulla. Potte visitare il sito del vostro antivirus di fiducia che da tempo ha identificato e fornito istruzioni per l’eventuale rimozione e bonifica.

Se preferite o non avete antivirus (…) potete fare un salto sul servizio appositamente disposto da Telecom, DNS OK.

Adesso che avete soddisfatto la vostra ipocondria digitale e verificato che siete “puliti” come credo, archiviate con un sorriso l’ennesima esagerazione dei titolisti della carta stampata.

_______
Info utili: DNS Changer Working Group (fonte della stima sulle postazioni infette)

Operation Global Blackout: Anonymous e l’annunciato DNS DDoS amplification attack

Il 31 marzo è vicino, decisamente prossimo.

Ma andiamo con ordine schematizzando e contestualizzando scenari di rischio, impatti e probabilità.

 

Minaccia

A febbraio di quest’anno il gruppo Anonymous ha diffuso la notizia della pianificazione di un attacco a tutti i root DNS server (13 in totale).

A tale attacco è stato dato il nome di Operation Global Blackout ed è stato fissato per il 31 marzo 2012.

 

Come funziona

Il DNS serve a tradurre i nomi delle risorse internet che si vuole raggiungere in indirizzi IP utili ai fini della raggiungibilità della risorsa stessa.

 Il sistema DNS ha una struttura gerarchica in cima alla quale risiedono i root server (target del supposto attacco) che contengono le informazioni di dove ritrovare i server responsabili per il successivo livello gerarchico (ad esempio, .com, .org, it, etc).

A loro volta, questi server ospitano le informazioni relative ai server dns responsabili per il successivo livello gerarchico (ad esempio google.com) e così via fino ad arrivare alla nome della risorsa richiesta (ad esempio www.google.com).

 L’attacco ipotizzato sfrutta una peculiarità del sistema descritto.

Al fine di raggiungere l’obiettivo di fermare globalmente la risoluzione dei nomi Anonymous punterebbe ad una saturazione delle risorse dei server oggetto dell’attacco tramite una generazione massiva ed amplificata di richieste di risoluzioni (DNS Amplification Attack).

Il tool (chiamato ramp) è da tempo disponibile in rete e consente un fattore di amplificazione fino a  73 (cioè quanto ricevuto dal sistema target è fino a 73 volte più grande della richiesta originaria). La differenza tra la quantità di dati generati meno la quantità necessaria a generarla è chiamata appunto amplificazione dell’attacco.

 

DNS amplification attack

Clicca per ingrandire

Ogni richiesta effettuata al DNS server (*) include un indirizzo sorgente al quale la risposta deve essere inviata.

Per questioni storiche e di performance tale richiesta avviene con protocollo connectionless (UDP) pertanto può essere soggetta a spoofing.

 

Infatti, il tool suggerito da Anonymous prevede l’alterazione dell’IP sorgente in modo da indurre il DNS server a restituire l’informazione richiesta non al vero destinatario (attaccante) ma ad altri (target dell’attacco).

Fattori critici in caso di attacco massivo:

1)       i dns server utilizzati per perpetrare l’attacco saranno via via saturati dalle connessioni entranti. Le performance di tali infrastrutture si degraderanno fino, potenzialmente, al collasso;

2)       Tali server consegneranno le risposte alle richieste ai root server congestionandoli;

3)       Il traffico dati attraverserà le dorsali IP e ciò causerà una saturazione delle risorse dei provider e degli upstream interessati fino al dominio target dell’attacco;

4)       Le performance dell’infrastruttura target dell’attacco subirà un forte degrado

 Se a questi fattori si aggiunge la possibilità che l’attacco possa essere sferrato utilizzando varie botnet lo scenario di rischio diventa decisamente più critico.

Potenziale impatto

Se l’attacco dovesse riuscire contro tutti i root server tutti i servizi basati su Internet avrebbero un fermo.

A meno di sistemi di cache, infatti, le richieste al root dns sarebbero talmente rallentate da andare in timeout a causa dell’attacco.

Nota: l’attacco dovrebbe avere caratteristiche di durata e portata tali da rendere inaccessibili tutti i root server per il tempo sufficiente ad invalidare le risoluzioni già presenti nei sistemi di cache DNS

 

Probabilità di successo

 A mio avviso, basse.

In molti si stanno chiedendo la reale probabilità di successo dell’attacco.

Anche tra gli addetti ai lavori le opinioni sono diverse.

Molti propendono per una mera azione intimidatoria e pubblicitaria da parte di Anonymous senza alcun tipo di velleità reale di creare disservizi.

In linea di massima, per svariati tecnicismi tra cui anche i vari sistemi di cache, il completo blackout è poco verosimile.

Quello che preoccupa gli esperti di sicurezza in caso di attacco massivo è rappresentato dall’imprevista mole di traffico “anomalo” (tra l’altro si tratta di una richiesta tramite un tool modificato ad hoc, non di richieste standard) che può saturare e collassare a macchia di leopardo le risorse a vario titolo coinvolte.

Questo scenario diventa critico se l’attaccante potrà disporre di botnet significative: in questo caso la probabilità di saturazione delle risorse sarà sensibilmente maggiore.

Contromisure

Nel lungo termine sicuramente adottare DNSSEC; nell’immediato verificare che il proprio DNS non sia un open resolver.

Per il resto, per gli addetti ai lavori, alzare il livello d’attenzione, di monitoraggio e di presidio: non è scolpito nella pietra che non possano “abbassare” il target e creare problemi alle tante appetibili infrastrutture ICT.

C’è parecchio hype sulla notizia e non è escluso che l’ottenuta co-partecipazione, volontaria o meno che sia, possa essere sfruttata per un target meno velleitario ma più alla portata.

 

 

________

(*) Sebbene tale attacco richieda la possibilità di poter disporre di un open resolver, di un dns server cioè in grado di accettare delle richieste ricorsive da parte di utenti non locali e che tale configurazione sia stata ampiamente criticata per motivi di sicurezza, ad oggi, non è affatto difficile trovare ed utilizzare un server in questa configurazione.

Vedi  http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
_____
Clusit

Anonymous attacca la BCE – Tango down – più ddos per tutti –

Una settimana prolifica: da Equitalia al Vaticano passando da Trenitalia e Radio Vaticana.

Non si poteva concludere con target più ambizioso e carico di significati: la Banca Centrale Europea.

Il sito della bce (ecb.int) è rimasto offline per circa due ore.

Ecco la rivendicazione su pastebin  e su twitter degli hacktivisti:

 

Il presunto attacco non sembra sia stato confermato da nessuna fonte ufficiale della BCE nemmeno sul loro tanto attivo feed twitter a parte un pacato “We’re indeed experiencing some problems and are working on it“.

Un’altra chiave di lettura, meno trionfalistica si potrebbe racchiudere in poche righe: il ddos ha avuto l’effetto dell’indisponibilità del servizio web attaccato. O i servizi sono stati cautelativamente posti offline per evitare potenziali esposizioni? Nulla si può dire se non archiviare quest’ennesimo eclatante episodio.

Tendenze e previsioni per il 2012: top cyber threats

Gli ultimi mesi hanno visto una netta recrudescenza del fenomeno del cosiddetto cybercrime.

Information securityIn particolare, le grandi strutture ed infrastrutture, pubbliche, private o critiche hanno rilevato un aumento degli attacchi alle proprie risorse informative sia in termini di numero di incidenti che di complessità e potenziale impatto degli attacchi posti in essere.

Alcuni studi di settore (a titolo d’esempio 2012 McAfee threats predictions e IBM X-Force threats report), delineano un 2012 particolarmente delicato dal punto di vista dell’ ICT Security.

Da questi report emergono previsioni di altri attacchi mirati su infrastrutture critiche (targeted attack) ed una grande attenzione e preoccupazione per il cosiddetto hacktivism, un attivismo e co-partecipazione in rete che sfocia di sovente, più o meno consapevolmente,  in attività illegali contro siti istituzionali.

Se da una parte, ad esempio, si registra una diminuizione dello spam, dall’altra si sta assistendo ad una vera e propria legalizzazione dello spam tramite l’acquisto di liste di indirizzi/utenti  che hanno effettivamente dato il loro assenso alla ricezione di pubblicità ad altre società a volte ormai fuori dal mercato.

Particolarmente alta l’attenzione per i dispositivi mobili: dalle botnet mobile ai mobile banking attack.

Il 2011 ha segnato quote record per il malware a danno dei dispositivi mobili.

Ricordo che, oltre ad essere una raccolta inestimabile d’informazioni personali,  e-wallet e  homebanking,  i nostri dispositivi mobili evoluti dispongono di funzionalità di geolocalizzazione spesso attive di default e/o non documentate.

Credo sia inutile evidenziare come queste informazioni siano particolarmente appetibili e pericolose se nelle mani sbagliate.

Come sempre, mai allarmismo ma nemmeno ignorare le problematiche: consapevolezza innanzitutto.

Consiglio pertanto di approfondire i due report segnalati sopra ed una mia riflessione in merito al location sharing & privacy, sempre più attuale.

Attacco RSA: dettagli e riflessioni – How RSA was breached –

Tutti si ricorderanno dell’attacco (“extremely sophisticated cyberattack“) subito dal colosso RSA lo scorso marzo (qui la lettera aperta ai propri clienti da parte RSA).

Tutto faceva supporre che eravamo di fronte ad un nuovo APT, un advanced persistent threat ai danni della società che fa della sicurezza il proprio core business con organizzazioni, agenzie governative ed istituzioni di tutto il mondo.

Un APT attack che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.(*)

(*) Anatomy of an attack, RSA blog

In un primo momento l’allarme sembrava essere rientrato e che nessuno dei clienti RSA era a rischio.

Dopo qualche mese (fine maggio)  la Lockheed Martin (U.S. Defence contractor) denunciava il tentativo di intromissione ai propri sistemi tramite l’utilizzo di chiavi duplicate generate dal SecurID RSA.

Dopo qualche giorno, è la volta di un altro gigante della difesa americana. Ecco quanto si legge su wired:

“L-3 Communications has been actively targeted with penetration attacks leveraging the compromised information,” read an April 6 e-mail from an executive at L-3’s Stratus Group to the group’s 5,000 workers, one of whom shared the contents with Wired.com on condition of anonymity.

Dopo qualche giorno anche la Northrop Grumman disabilita l’accesso remoto senza preavviso lasciando trasparire un ennesimo caso di intrusione.

A questo punto, con una seconda lettera aperta, RSA ammette la compromissione ed il furto di informazioni riservate (e l’utilizzo delle informazioni carpite nell’attacco alla Lockheed, ndr)

“Against this backdrop of increasingly frequent attacks, on Thursday, June 2, 2011, we were able to confirm that information taken from RSA in March had been used as an element of an attempted broader attack on Lockheed Martin, a major U.S. government defense contractor. Lockheed Martin has stated that this attack was thwarted.”

e l’imminente sostituzione dei token SecurID emessi.

Fino a qui, specialmente per gli addetti ai lavori, è solo un riepilogo, spero gradito, di una vicenda molto grave sulla quale si è detto relativamente poco:

un APT attack, un “extremely sophisticated attack” che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

Manca un capitolo: sappiamo che, lato client, tutto è partito da una mail…

“The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.”(*)

(*) Anatomy of an attack, RSA blog

Purtroppo non sono stati forniti da RSA ulteriori dettagli su questa “crafted well enough” email.

Alla F-Secure sono riusciti a risalire alla mail ed al file incriminato. Come?

Evidentemente qualcuno alla EMC, la divisione di RSA oggetto dell’attacco, ha voluto effettuare una scansione online del malware effettuando un upload dello stesso verso VirtusTotal, un online virus scanning site.

Come specificato nelle condizioni d’uso di VirusTotal il file è stato condiviso con le industrie del settore per approfondire e condividere la conoscenza di un potenziale nuovo malware.

Dunque quanto ha tenuto in apprensione RSA ed i suoi clienti era in possesso dei maggiori vendor di sicurezza informatica benché a loro insaputa.

Ecco quanto ricostruisce F-Secure:

Upload effettuato il 19 marzo come file-1994209_msg
Upload effettuato il 19 marzo come file-1994209_msg

Ed ecco come appare la well enough crafted email:

2011 recruitment plan
2011 recruitment plan

La mail è stata oggetto di spoofing e sembra inviata dal sito di recruiting beyond.com ed è stata inviata ad un impiegato/utente @emc.com ed in copia altri tre indirizzi analoghi.

Aprendo l’allegato:

Allegato xls incriminato
Allegato xls incriminato

Quella checkbox visibile è un embedded flash object che sfrutta quella che era una vulnerabilità non ancora sanata (per quale motivo excel supporti tali oggetti embedded merita tutta un’altra discussione, ndr).

L’oggetto flash usa la CVE-2011-0609 per eseguire del codice malevolo ed installa quella che si scoprirà essere identificata come Poisin Ivy backdoor. Al termine dell’infezione, il codice chiude excel mentre la Poison contatta il suo server

su good.mincesur.com (il dominio mincesur.com è stato già usato per attacchi simili, ndr).

mincesur.com
mincesur.com

Qui un video di cosa succede all’apertura del file xls incriminato:

Riflessioni

La mail, a metà strada tra il phishing e lo scamming, fa chiaramente uso di ingegneria sociale ma non mi sembra si possa considerare well enogh crafted email nè un extremely sophisticated attack.

Sebbene la vulnerabilità sfruttata era una zero-day (quindi non esisteva, in quel periodo, un’apposita patch) risulta poco accettabile e sostenibile che in colossi che fanno della sicurezza altrui il proprio core business non implementino soluzioni parallele infrastrutturali ed applicative a supporto di casi del genere.

Cos’è sofisticato?

Sicuramente lo è l’exploit per sfruttare la vulnerabilità flash ed innoculare la backdoor. Quest’ultima, per altro, non era tra le più sofisticate.

 Il target, sicuramente: andare a procurarsi i codici direttamente alla fonte per poi attaccare la Lockheed Martin, ad esempio, è molto sofisticato, ambizioso e preoccupante.

La componente APT?

Una volta effettuata la connessione l’attaccante ha accesso remoto completo non solo alla postazione target ma a tutte le risorse aziendali condivise a cui l’impiegato target (le sue credenziali, ndr) avevano accesso (dischi remoti, server intermedi, sistemi documentali, collaboration, etc…).

Non stupirebbe pertanto che gli attaccanti possano avere usato e monitorato per diverso tempo le attività del target fino all’ottenimento dell’accesso ai dati SecurID cercati.

Conclusioni

Non è accettabile che una zero-day possa compromettere strutture di questo livello così come non è pensabile di basare la propria sicurezza su sistemi sempre up-to-date (è praticamente impossibile).

Nello specifico sembra assurdo ma anche in questo caso l’anello debole si colloca tra il monitor e la spalliera della sedia.

_____
Clusit