Il taccuino di Armando Leotta Rotating Header Image

Incidente

MyTim, profilo utente o profilo 187, come preferite. La strana presenza e l’imbarazzante supporto TIM via twitter #lin #fb

Mi piacerebbe capire cosa sia successo al MIO profilo per vedere abilitata come mail associate – al MIO profilo – un’indirizzo di una perfetta sconosciuta.

Chi ha aggiunto Antonella Mattei? (non è una nuova fiction)

Chi ha aggiunto Antonella Mattei? (non è una nuova fiction)

 

Qualcuno dovrebbe spiegarmi chi è costei, perchè la sua mail è tra le mie, abilitate e associate al mio profilo.

Scommetto vi starete domandando: “Il profilo è il tuo, l’avrai abilitato tu e non ti ricordi”. NO, non sono stato io. Non entro abitualmente sul portale Tim. Me lo sarei ricordato, potete giurarci.

Ho chiesto spiegazioni via twitter a TelecomItalia:

 

Richiesta supporto TIM via twitter

Un retweet, nessuna risposta.

Dopo circa 5h di silenzio:

tweettelecom2

Dopo un po’ di tempo mi arriva l’invito a fornire info e dettagli via DM.

C’è poco da dettagliare, ho già scritto palesemente tutto quello che c’era da scrivere.

Supporto Telecom

 

Questo è il “supporto”.

TI ritrovi una perfetta sconosciuta abilitata sul tuo profilo? Chi è? Che fa? Cosa ha fatto? Cosa poteva fare? Perchè? Chi l’ha messa lì? Perchè non sono stato informato? Chi l’ha autorizzata?

Le domande sono tante ma la risposta del supporto è CHIARA e UNIVOCA: se non la conosci, toglila no? #echediamine aggiungerei io.

Ovvio, scusate: sono io che ho altre idee di privacy, riservatezza e sicurezza. Ah sì, anche di supporto.

 

#F A I L

Gentilissimi, grazie.

 

 

P.S.: Non uso nemmeno le mie mail @alice.it, nel caso vi meravigliasse il fatto di non averle oscurate.

Non le uso, il motivo risiede in un altro “supporto” da parte di Telecom (NON supporta IMAPS / SMTPS o perlomeno non mi hanno saputo dare indicazioni nemmeno su questo).

imaps0 imaps2 imaps1Per non parlare delle “informazioni” in DM.

Lasciamo stare, è meglio.

Gmail e virus in allegati cifrati

Devo dire che non so da quanto tempo è presente questa “feature“.

Oggi ho avuto la necessità di inviare per mail un allegato contenente un codice malevolo.

Un’attività di routine, nulla di strano o di incredibilmente complicato. Si salva il codice archiviandolo in un archivio compresso e cifrato con password e si spedisce senza grosse difficoltà.

Puoi trovare il server che ti rifiuta l’invio in quanto non riesce ad esaminare preventivamente l’allegato essendo cifrato.

Quello che non mi è mai successo prima è trovare il client (e già qui è interessante il ruolo proattivo) che ti vieta l’invio in quanto riconosce che l’allegato contiene un virus.

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

gmail blocca il caricamente di un allegato infetto DENTRO uno zip cifrato

Il fatto che dopo qualche secondo dalla fine dell’upload ti sia inibito l’invio per “Virus detected” fa pensare. Ripeto: zip compresso e cifrato con password.

 

 

*** EDIT ***

Per arricchire le informazioni a contorno vi dico che il file zip cifrato era compresso volutamente con la compressione migliore (dunque computazionalmente più pesante).

Il metodo di encryption, AES-256 compatibile con winzip (uso un mac).

Dettagli della compressione e cifratura

Dettagli della compressione e cifratura

 

Per verifica, onde evitare falsi positivi ovvero “non accetto file cifrato nel dubbio fossero infetti e restituisco stringhe allarmanti ma non ho idea di cosa ci sia dentro ma fa molto figo” ho usato gli stessi parametri su un file innocuo:

sample cifrato e non infetto

sample cifrato e non infetto

 

 

Ecco, adesso il quadro è decisamente più completo.

Che dire?

NOTA: alla fine l’ho inviato tramite la webmail di libero, chiaramente senza problemi di caricamento, invio o consegna.

 

*** UPDATE ***

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

malware cifrato con password di 8 caratteri, un carattere numerico e una lettera maiuscola

**** Usando una password complexity migliore (8 caratteri, almeno un maiuscolo, almeno 1 numero) il sample viene correttamente spedito e consegnato. ****

 

Evidentemente effettua un check con un dizionario non particolarmente esteso (performance? costo computazionale?).

Resta da capire perchè entra nel merito di un allegato che intendo spedire cifrato, malevolo o meno.

Sarebbe interessante approfondire  i TOS & AUP.

 

*** UPDATE 2 ***

Ho inviato a VirusTotal i due file cifrati.

Per quello con password complessa nessuno dei motori di scansione riportava anomalie (solo 2 su 54 dichiarava di non riuscire ad ispezionare il file – time out -).

Quello con password semplice, lo stesso intercettato da gmail in fase di upload, è stato rilevato solo da F-prot:

F-Prot rileva un virus (archivio zip con password)

F-Prot rileva un virus (archivio zip con password)

Chissà,  Gmail si appoggia (anche) a quel motore?

Log e dintorni: 138 pagine di attacchi al daemon FTP

Un NAS casalingo, poco tempo e tanti interessi.

Questo è lo scenario di riferimento.

Questa volta spulciando i file di log ho isolato i soliti tentativi spot e improbabili del lamer di turno e quanto è rimasto ha catturato la mia attenzione : 138 pagine di tentativi di login falliti al daemon FTP.

Tutti il 30.03.14, tutti dallo stesso indirizzo IP.

FTP attack

FTP Attack (clicca per ingrandire)

Raccolgo info sull’IP. Di tutto, di più e per non farsi mancare nulla, botnet piuttosto attiva.

Mi vengono in mente le tecniche di fuzzing e le grammatiche sviluppabili su vari framework sia per scovare il buffer overflow che per sferrare l’attacco brute force o dictionary che sia.

Adesso, ringrazio della cortese attenzione ma il $token su cui ciclare è la $password, non lo $username (clicca sullo screenshot per ingrandire)

Detto questo, vedo di trovare il tempo di abilitare un ban dinamico a tempo.

 

Vogliamo guardare in faccia questo #phishing? Ancora #poste

Ancora una volta gli utenti di Poste Italiane sono le vittime di un attacco di phishing.

Una mail, una delle tante che arrivano e che non sono state rilevate dai sistemi di sicurezza?

Non propriamente “una delle tante”.

Guardiamola insieme: ecco come si presenta:

NOTA: tutti i link puntano a poste.it

NOTA: tutti i link puntano a poste.it (cliccare per ingrandire)

Perchè è “ben fatta”? Perchè tutti i link puntano al sito ufficiale di poste.it.

Ripeto per i lettori frettolosi.

Tutti i link puntano a poste.it: il login in alto a destra, il registrati, i banner in basso sia a sinistra che a destra.

Tutti.

Cosa non torna?

Per accedere ai servizi online nessuno si sognerebbe di chiedere i dati di carta di credito al completo (fullz, ndr)!

E’ il caso di controllare il sorgente di questo simpatico htm.

Bingo!

Vedete quel familiarissimo tasto “Accedi”?

_______<stralcio>____

Accedi ai Servizi Online </strong></p>

<form name=”loginform1″ method=”POST” onsubmit=”javascript: return logintest(this);” action=”http://www.XXXXXXXXXX.com/.XXXXXXXX/done.php“>

_______</stralcio>____

Che meravigliosa action!

Pertanto, chi inserisce le credenziali (leggasi i propri dati completi della carta di credito postepay / bancoposta comprensivo di cvv) per “accedere” ai servizi contatta tramite l’azione quel done.php.

Bene.

Verifichiamo cosa fa questo delizioso quanto inaspettato php.

Innanzitutto notiamo se c’è dell’altro sul sito per capire anche la dimensione del fenomeno.

Qui l’attaccante, per probabile dimenticanza o per poter usare la funzionalità con qualche bot, lascia la cartella XXXXXXXX con i permessi per il listing.

Quello che trovo è decisamente un arsenale di tool di attacchi e di spam. Il tutto sfruttabile via web sfruttando le risorse del malcapitato owner del sito web opportunamente bucato.

E non solo.

Trovo un file che non vorrei avere mai trovato.

Tornando sulla pagina incriminata,  scrivendo dei dati finti nella form e completando l’operazione cliccando su “Accedi” si ha l’ennesima triste evidenza: sul server XXXXXX un file è stato appena modificato.

E’ un innocente file di testo che contiene i dati delle carte di credito di tutti gli ignari ed ingenui malcapitati clienti di Postepay/Bancoposta, comprensi quelli fittizi appena inseriti come test.

Ovviamente ho rimosso il nome reale del sito in quanto è ancora raggiungibile.

Mentre vi scrivo ho già effettuato la segnalazione sul sito della Polizia di Stato.

Brutta storia.

Spero serva a riflettere.

#awareness is the key.

_____
Clusit

[Phishing] Attenzione alla nuova mail (apparentemente) a firma ENI & Ministero dello sviluppo economico #phishing #security

Phishing Eni e Sviluppo Economico

Phishing Eni e Sviluppo Economico

Il periodo non è certo dei migliori.

La mail con oggetto “Richiedi la carta benzine con lo socnto di 400 euro” presenta diversi elementi interessanti.

In primo luogo, è evidente la componente di social engineering: logo del Ministero dello Sviluppo Economico, Partita IVA dello Sviluppo Economico nel footer della mail (come sapete è un’informazione obbligatoria e si trova facilmente sul vero sito del Ministero), riferimento ad un nuovo DECRETO LEGGE.

Inoltre, si fa meschinamente leva sulla possibilità di acquistare una carta carburante a prezzi incredibilmente vantaggiosi:

“Agip gruppo Eni ti consente di acquistare la carta carburante di 500 Euro al prezzo di 100 Euro (80% rimborsato dal Ministero dello Sviluppo Economico).”

In secondo luogo, aldilà della credibilità o meno dell’iniziativa, spunta la componente di phishing: il link suggerito per approfondire le informazioni sembrerebbe quello del Ministero dello Sviluppo Economico ma punta all’indirizzo sviluppoeconomico.myvnc.com.

Il dominio myvnc.com è un dominio gestito da servizi di dns dinamico (no-ip.com).

Indirizzo reale a cui punta

Indirizzo reale a cui punta

Per gli addetti ai lavori, raggiungendo tramite sandbox (anubis) quell’indirizzo, ecco qualche dettaglio in più (tralascio le svariate chiavi del registry lette E modificate).

DNS Queries:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
        Name: [ ministerodellosviluppoeconomico.myvnc.com ], Query Type: [ DNS_TYPE_A ],
            Query Result: [ 8.23.224.90 ], Successful: [ YES ], Protocol: [ udp ]
        Name: [ www.grutuitapostecom.com ], Query Type: [ DNS_TYPE_A ],
            Query Result: [ 66.147.241.45 ], Successful: [ YES ], Protocol: [ udp ]
HTTP Conversations:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
        From ANUBIS:1029 to 8.23.224.90:80 - [ ministerodellosviluppoeconomico.myvnc.com ]
             Request: [ GET / ], Response: [ 200 "Found" ]
        From ANUBIS:1030 to 66.147.241.45:80 - [ www.grutuitapostecom.com ]
             Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php ], Response: [ 200 "OK" ]
             Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL2_files/offerta.css ], Response: [ 404 "Not Found" ]

 

In ultima analisi e considerazione, a giudicare da qualche errore riscontrato, il meccanismo non sembra (ancora) del tutto a punto ma, attenzione, quella risorsa .php esiste e viene correttamente raggiunta dal client.
Da come è scritta e dalle risorse chiamate in causa sembrerebbe di matrice italiana.

In ogni caso, non dimenticate le regole d’oro:

1) non cliccate sui link che vi giungono via mail ma verificate prima qual è la reale destinazione degli stessi.
2) aggiornate sempre i vostri sistemi (sia il sistema operativo che le componenti off-the-shelf come java e prodotti adobe integrati con il browser – plugin flash, acrobat, etc).
3) se avete raggiunto quel link effettuate una scansione totale del vostro dispositivo con un tool antivirus/antimalware aggiornato.

****************** UPDATE 1/6/13 ***************************

Ne stanno girando altre versioni con il testo leggermente più curato e credibile.

Stessa struttura, stesso ddns proviver (No-IP.com) questa volta con servebeer.com (ministeroeconomico.servebeer.com).

Questa volta non si appoggia a grutuitapostecom.com ma a un sito gratuito su altervista (mnsit.altervista.org).