Il taccuino di Armando Leotta Rotating Header Image

phishing

Perfect citizen, il nuovo sistema della NSA

SI chiama Perfect citizen ed è un nuovo sistema sviluppato dalla NSA, National Security Agency (o Not Such Agency per gli addetti ai lavori).

Si tratta di un nuovo sistema di sorveglianza capace di rilevare attacchi su sistemi ed infrastrutture critiche pubbliche e private.

Dopo la nuova linfa d’investimenti dell’attuale amministrazione Obama (il progetto era nato durante il governo Bush) il sistema sta vedendo la luce (WSJ).

Dalle prime indiscrezioni (nè la NSA nè la Raytheon Co. aggiudicatrice del contratto classificato del valore di 100 milioni di dollari rilasciano commenti o dettagli, al momento) sembra si tratti di un sistema di sonde sparse nei sistemi d’interconnessione che afferiscono e servono le infrastrutture critiche pubbliche o private (Google, ad esempio, ma anche telco, clouding services, etc…) che rileva comportamenti sospetti, anomali e imprevisti.

Questo, in parte, allontanerebbe il timore di molti: un nuovo grande fratello o uno scudo per un beneficio comune?

Phishing? Cronaca di una truffa su un conto Bancoposta

Francobollo panicoSono stato invitato ad un convegno sul cyber crime in Consip.

Con me tra i relatori, oltre Matteo Cavallini, esperto di sicurezza, Stefano Chiccarelli e Andrea Monti (gli autori di “Spaghetti Hacker“, documento storico della telematica italiana).

Ho scelto di presentare un case study, un caso reale di un ammanco da un conto bancoposta.

I termini Phishing e Poste Italiane negli ultimi anni sono purtroppo sempre più correlati visti i numerosi tentativi di attacchi che gli utenti si vedono recapitare via mail (e gli attacchi andati a buon fine su siti delle Poste, ndr).

Uno scenario complesso dunque.

La presentazione parte dalla contestualizzazione del fenomeno phishing, dalle sue dinamiche e dagli interessi economici sottesi, dalle sue componenti sociali e tecnologiche per poi sfociare nell’analisi e nelle considerazioni di un caso reale.

Interessanti le riflessioni finali:

ma l’utente è realmente tutelato?

le misure di sicurezza poste in essere dall’istituto sono sufficienti nello scenario bancario italiano del 2010?

P.S.: puoi vedere qui il proof-of-concept del tabnapping (il video era troppo pesante per slideshare)

Tab-napping o tabnapping, un nuovo phishing exploit

Tra le tante cose viste, dette ed affrontate in tavole rotonde al Security Summit di ieri a Roma una in particolare mi ha colpito per la semplice genialità.

E quando si parla di tecniche di social engineering e/o di phishing la semplicità è un elemento essenziale affinchè l’attacco vada ahimè a buon fine.

Questo nuovo exploit è stato battezzato “Tab-napping” ed è un cocktail micidiale i cui ingredienti sono javascript, social engineering e browser permissivi.

Cos’è e come funziona

E’ un javascript che viene caricato all’interno di una pagina web apparentemente lecita ed innocua.

In realtà, è innocua finchè non viene cambiato il focus ad esempio aprendo una nuova tab e rendendola attiva.

A questo punto, parte un timer che dopo x secondi “trasforma” la pagina con il codice malevolo con una pagina fake recentemente visitata della quale sono appetibili le credenziali d’accesso.

Si pensi anche solamente a banche ed a servizi di posta.

Esiste un proof-of-concept in rete nel quale è previsto dopo 5 secondi la “trasformazione” della pagina “innocua” nella pagina (FAKE) di logon di gmail, ad esempio. L’utente nella fretta ed in buona fede (visto che lo script carica una pagina IDENTICA all’originale comprensivo di icona distintiva dell’indirizzo –favicon-) reinserisce le credenziali.

A quel punto il gioco è fatto (potrebbe forse spiegare recenti violazioni? Le verifiche sono ancora in corso).

Guardando il codice nulla vieta un redirect verso la vera risorsa e se il cookie è ancora valido per l’utente potrebbe risultare del tutto indifferente (vedi gmail).

Inoltre, ho verificato che non funziona solo sullo switch tra tab: funziona quando perde il focus quindi anche quando ci sono diverse istanze del browser. Questo aspetto non è da sottovalutare visto che più sono le finestre aperte e maggiore è la probabilità che passi inosservato l’inganno.

Se volete, provate, con cautela, direttamente il proof-of-concept.

Suggerimenti

Quando ci autentichiamo a servizi delicati è opportuno chiudere le finestre del browser ed aprirne una nuova dedicandola a tale attività.  Evitare il più possibile sessioni di diversa natura e finalità specialmente se prevedono autenticazione.

Al momento di inserire le credenziali di accesso assicurarsi di essere giunti su quella pagina seguendo un bookmark sicuro o avere digitato manualmente l’indirizzo possibilmente in https. In altre parole, niente link e … attenzione anche ai cambiamenti di pagina!

Usare firefox e NoScript.

*** Aggiornamento 1 ***

Ho inserito di seguito uno screencast per coloro che non vogliono vedere il poc in funzione.

_____
Clusit

Security Day IBM 2010: punti d’attenzione, tendenze ed osservazioni

IBM Security Day 2010

IBM Security Day 2010

Ieri, nella sede romana di via Sciangai, si è svolto il Security Day IBM 2010.
All’appuntamento non sono mancati ospiti illustri sia del mondo pubblico che privato così come interessati spunti di discussione e riflessione.
Quanto è emerso e cosa rimane, per quanto di competenza ed interesse, volendo sintetizzare una fitta agenda di interventi e tavole rotonde?

IBM porta in italia il suo Institute for Advanced Security
E’ un’organizzazione con sede a Washington con il compito di supportare le aziende, il mondo accademico e le pubbliche amministrazioni ad affrontare al meglio le problematiche afferenti la sicurezza informatica
Agisce come competence center mettendo a disposizione degli utenti l’esperienza IBM in termini di risorse disponibili, tecnologie, documentazioni, best practice, servizi e soluzioni inerenti l’approccio metodico alla sicurezza informatica.

Governance della sicurezza
E’ stata sottolineata in più occasioni il ruolo cruciale della governance dei processi afferenti la sicurezza delle informazioni.

Le prossime minacce
La top 5 threats attese per il 2011: criminal attacks, weak infrastructure, tougher rules, outsourcing/offshoring and eroding boundaries

X-Force
Di estremo interesse l’attività svolta dal gruppo X-Force di IBM di cui si sono commentati i risultati presentati lo scorso febbraio. Dal rapporto IBM X-Force Trend and  Risk per il 2009 emerge che le minacce più diffuse continuano ad espandersi nonostante gli investimenti in sicurezza. Sempre di più gli attacchi hanno come target le persone (phishing,  furto d’identità e social engineering) tramite vulnerabilità di grande diffusione e facile sfruttamento come quelle nei browser e nei lettori pdf.

In estrema sintesi, rispetto al 2008 emerge una  flessione nel numero delle vulnerabilità con o senza patch disponibili, un forte aumento di vulnerabilità legate al mondo multimediale e ai document reader, nonchè un aumento significativo di attacchi offuscati e un altalenante fenomeno di phishing ai sistemi finanziari.

Per una lettura esaustiva vi rimando all’ IBM X-Force Threat Report ove è possibile scaricare, previa registrazione, sia il report completo (The IBM X-Force 2009 Trend and Risk Report) che i grafici (2009 Trend and Risk Report Graphics).

La sicurezza nei social network
L’interessante tavola rotonda ha avuto come tema “I diversi aspetti della sicurezza, dalle istituzioni alla tutela del territorio, dei cittadini e della loro privacy, fino ai social network“.
Ad ampio respiro, com’è già intuibile dal titolo, sono state accennate svariate tematiche compreso il nuovo ruolo del Cnipa (ora DigitPA), la diffusione della CEC-PAC e l’ampiamento dei confini necessario per gestire il fenomeno social network da un punto di vista di sicurezza informativa.
Quest’ultimo tema merita un approfondimento a parte, quello che, a mio avviso, non ha avuto durante l’evento.

Patching management
Aldilà dell’aspetto promozionale di soluzioni IBM adatte allo scopo è stata evidenziata la necessità di dotarsi di strumenti di monitoraggio e di intervento centralizzato che consentano il controllo e l’aggiornamento remoto del software delle postazioni di lavoro in modo da comprimere il più possibile il tempo in cui le postazioni rimangono vulnerabili.
Estremamente semplice in teoria, incredibilmente complesso da realizzare nella pratica.

E’ importante sottolineare ancora una volta la lodevole iniziativa Security Day IBM estremamente utile a mantenere alto il livello di attenzione nei confronti della gestione della sicurezza nella PA e nell’impresa.

Attacco Aurora ancora in corso e indagini ad una svolta. Ecco come funziona il malware

Aurora attackL’attacco in larga scala che ha colpito grandi aziende come Google e Adobe non cessa di fare danni e di far parlare di sè.  L’operazione Aurora (è questo il nome con cui McAfee ha denominato l’ondata di targeted attacks in questione) coinvolge molte più aziende delle poche decine stimate inizialmente.

Dmitri Alperovitch, vice presidente del threat research in McAfee, afferma di non essersi mai imbattuto in un attacco così sofisticato ai danni di aziende commerciali.

Esperti di computer forensic hanno identificato la Cina come provenienza dell’attacco ma stanno focalizzando le loro indagini sul malware utilizzato per sfruttare le varie vulnerabilità.

Di estremo interesse il threat report “Operation Aurora” pubblicato da HBGary, davvero ben fatto, dettagliato e completo per capire come funziona il malware, rilevarlo ed eliminarlo dalla propria azienda.

Mancano, volutamente, il dettaglio delle tracce lasciate dall’autore del malware che, a detta  di Greg Hoglund, fondatore e CEO  di HBGary, sono svariate, specifiche e tali da ricondurre presto all’identificazione di chi ha compilato e predisposto il malware.

Cyber Espionage: prendiamo familiarità con questo termine.

____
Clusit