Il taccuino di Armando Leotta Rotating Header Image

hacking

Youtube sotto attacco nel weekend: un XSS in cambio di un banner?

Un 4 luglio che non è passato inosservato.
Almeno in casa Google e, a quanto pare, anche a Cupertino.
Tra sabato e domenica Youtube ha subito un attacco che ha avuto come target i video del cantante pop Justin Bieber (e successivamente di Lady Gaga).
L’attacco dimostrativo, che sfrutta una vulnerabilità nel sistema di parsing dei commenti, mostrava un popup dove si leggeva la notizia della morte del cantante.

Youtube hacked (clicca per ingrandire)

4chan

rivendicazioni? (clicca per ingrandire)

Google, dopo un blocco cautelativo dei commenti, ha rilasciato una fix sui suoi sistemi che risolveva la vulnerabilità (XSS) sfruttata dagli hacker.

Post Google fix (clicca per ingrandire)

Sembra infatti che il parsing del contenuto dei commenti fosse effettuato in modo da gestire solo una prima occorrenza del tag script mentre, quanto in esso contenuto, era accettato senza alcun tipo di controllo ulteriore (sufficiente pertanto a consentire commenti con javascript al suo interno, ad esempio).
C’è chi ipotizza un gesto dimostrativo come reazione alla recente scelta di youtube di inserire pubblicità (Skippable ADS) nei filmati a partire da dicembre prossimo (fonte Baljeet Singh, YouTube Senior product manager in una conferenza stampa di giovedì scorso).
Coincidenza? Pretesto? Esibizionismo?
(screenshot via thenextweb)

_____
Clusit

ATTENZIONE: nuova ondata di account gmail hacked?

Questa volta vi scrivo con il duplice cappello di addetto ai lavori e di vittima.

Vi ricordate qualche mese fa quanti account  erano stati bucati? La driatriba con il presunto ruolo della Cina?

Bene. Stanotte hanno violato il mio account google e hanno spedito questo messaggio a tutta la mia rubrica, ovviamente.

Dear friend,
How are you doing now?
I bought a notebook from the website last week  www.krrshop.com
I have received the product in time.
Not only its quality is very good,but alsoits price is very low.
They also sell phone,TV,handheld game player,motorcycle and
musical instruments.
They import products from USA, Japan and South Korea,and they import
the bestsellers.
They have a good reputation,and offer the good suggest to the
customers for the purchasing.
If you want to buy any product,it is the good choice to browse the website.
It is conviced that you will get benefits and joys.
Greetings!

Per quanto poco credibile mi scuso con tutti per l’intrusione involontaria.

Se avevo dubbi, mi son passati guardando il log delle connessioni a gmail:

hack google dalla cina

Connessioni dalla cina (clicca per ingrandire)

Cambiata la password, ovviamente.

NOTA ALLARMANTE: la password era stata cambiata recentemente e successivamente a quando vi fu la prima ondata di account bucati. Pertanto, suppongo che non ero rimasto in lista nella to-do ma che abbiano sfruttato una nuova vulnerabilità. Che è peggio.

****Aggiornamento 1 ****

Dopo 2 giorni, 2 mail e diversi contatti via moduli e forum, anche google ha notato qualcosa di anomalo:

Sessione dalla Cina

Twitter hacked and defaced

Twitter è nuovamente online e disponibile.

Twitter hacked and defaced

Twitter hacked and defaced

A distanza di pochi mesi, fa riparlare di sè. Questa volta è stato oggetto di un attacco e di un defacement. Ecco il messaggio che campeggiava sulla home (vedi immagine a sinistra):

Iranian Cyber Army

THIS SITE HAS BEEN HACKED BY IRANIAN CYBER ARMY

iRANiAN.CYBER.ARMY@GMAIL.COM

U.S.A. Think They Controlling And Managing Internet By Their Access, But THey Don’t, We Control And Manage Internet By Our Power, So Do Not Try To Stimulation Iranian Peoples To….

NOW WHICH COUNTRY IN EMBARGO LIST? IRAN? USA?
WE PUSH THEM IN EMBARGO LIST
;)
Take Care.

Al momento non è chiaro se siano stati carpiti dati e/o password degli utenti o se si è trattato, secondo altre voci, di un DNS redirect verso la pagina del defacement.

Nel dubbio, consiglio vivamente di cambiare la password.

_____
Clusit

Attacco al Pentagono: trafugati dati del progetto Joint Strike Fighter, il nuovo caccia F-35

Il Wall Street Journal riporta l’ennesimo attacco informatico negli states.

Nella prima settimana di Aprile vi era in prima pagina la notizia della violazione della rete elettrica americana da parte di alcuni hacker che avrebbero lasciato nel sistema dei tool che avrebbero potuto paralizzare il sistema.

Voci ufficiali attribuiscono la paternità dell’attacco a gruppi hacker russi e cinesi che avrebbero in questo modo una mappa di una infrastruttura critica americana come quella rete elettrica, notizia che fa eco alla preoccupazione del controllo dello spazio aereo americano.
Il responsabile del controspionaggio Joel Brenner è arrivato al punto di ipotizzare una condizione in cui “il pilota di un caccia non può più fidarsi del suo radar”.

F-35 Lightning II Fighter

Ieri la notizia della violazione dei piani del Pentagono (svariati terabyte) per la costruzione dell’ F-35 Lightining II Fighter, il cui progetto (Joint Strike Fighter, JSF) è stimato in oltre 300 miliardi di dollari e vede coinvolti, oltre gli Stati Uniti, anche altri 8 Paesi tra cui l’Italia.

Il progetto è affidato alla Lockheed Martin, affiancata da Northrop Grumman e BAE System (Finmeccanica partecipa con Alenia Aeronautica). Alcune fonti affermano che gli hacker si siano inseriti anche nei sistemi informatici di queste nazioni e che, almeno in Turchia, sia stata rilevata l’intrusione.

Se da una parte fonti ufficiali cinesi si sono affrettate a rigettare le accuse e ad etichettarle come “prodotto di una mentalità da guerra fredda”, gli organi ufficiali americani fanno trapelare decisamente poco se non un laconico comunicato in cui affermano che i dati realmente sensibili e strategici non sono stati violati in quanto non connessi in rete.

“Il furto non crea particolari preoccupazioni” ha assicurato il portavoce del Pentagono, Bryan Whitman, ammettendo l’aumento del numero degli attacchi informatici contro il quartier generale militare a Washington.

Ironia della sorte, gli hacker hanno provveduto a cifrare i dati mentre questi venivano trafugati, e nonostante gli indirizzi IP di provenienza degli attacchi si trovino in Cina, persistono le  usuali difficoltà nell’individuare i veri colpevoli vista la facilità con la quale è possibile camuffare l’identità in rete.

Il contesto è decisamente al di fuori della nostra portata per fare supposizioni o, peggio, per giudicare. Le informazioni –pubbliche- in nostro possesso non consentono che mere osservazioni di carattere tecnico-organizzativo.

Il sistema di difesa americano, il DoD, Dipartimento della Difesa,  sono da sempre una sorta di baseline o di compliance a cui tendere nel mondo della sicurezza ed in particolare della riservatezza delle informazioni.

La mole dei dati trafugati (fonti ufficiali parlano di diversi terabyte) in rete geografica probabilmente tramite connessione non diretta (svariati rimbalzi, gateway software, anonymzer, proxy vulnerabili in cascata e quant’altro possa essere utile a rendere impercorribili le tracce a ritroso verso il vero autore) rappresenta un fattore chiave insieme all’allarme intrusione in  Turchia, altro paese partner del progetto.

Com’è possibile che svariati terabyte vengano cifrati e trasferiti senza che i sistemi di difesa americani rilevino l’anomalia e reagiscano proattivamente?

Sembra plausibile che la scelta di cifrare sia stata mossa dalla precauzione di non far effettuare il parsing ai sistemi di difesa: scelta  casualmente vincente?

E come mai non viene notato un trasferimento di svariati terabyte di informazioni cifrate verso un IP cinese che non può che durare svariate ore? Ed i sistemi MAC? E la prevenzione all’intrusione (IPS)? E il rilevamento della stessa (IDS)? E i team di reazione all’incidente(US-CERT)?

Le perplessità ovviamente non mancano così come gli anelli mancanti.

Staremo a vedere cosa sta succedendo.

Nel frattempo partono le call e le iniziative di cybersecurity worldwide come il Cooperative Cyber Defence Centre of Excellence.