Il sito del CLUSIT

Gruppo CLUSIT

  • Tutti i soci, ed i dipendenti di aziende socie coinvolti nella vita del Clusit, possono chiedere di aderire al gruppo su LinkedIn facendo clic su questo link.
    Ogni richiesta deve essere approvata manualmente, in genere nel giro di un paio di giorni.

Blogroll

Accessi

Creative Commons

Phishing

18/09/2011

Riflessioni ed approfondimenti su attacco RSA

Tutti si ricorderanno dell'attacco ("extremely sophisticated cyberattack") subito dal colosso RSA lo scorso marzo (qui la lettera aperta ai propri clienti da parte RSA).

Tutto faceva supporre che eravamo di fronte ad un nuovo APT, un advanced persistent threat ai danni della società che fa della sicurezza il proprio core business con organizzazioni, agenzie governative ed istituzioni di tutto il mondo.

Un APT attack che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.(*)

(*) Anatomy of an attack, RSA blog

In un primo momento l'allarme sembrava essere rientrato e che nessuno dei clienti RSA era a rischio.

Dopo qualche mese (fine maggio)  la Lockheed Martin (U.S. Defence contractor) denunciava il tentativo di intromissione ai propri sistemi tramite l'utilizzo di chiavi duplicate generate dal SecurID RSA.

Dopo qualche giorno, è la volta di un altro gigante della difesa americana. Ecco quanto si legge su wired:

“L-3 Communications has been actively targeted with penetration attacks leveraging the compromised information,” read an April 6 e-mail from an executive at L-3’s Stratus Group to the group’s 5,000 workers, one of whom shared the contents with Wired.com on condition of anonymity.

 Dopo qualche giorno anche la Northrop Grumman disabilita l'accesso remoto senza preavviso lasciando trasparire un ennesimo caso di intrusione.

A questo punto, con una seconda lettera aperta, RSA ammette la compromissione ed il furto di informazioni riservate (e l'utilizzo delle informazioni carpite nell'attacco alla Lockheed, ndr)

"Against this backdrop of increasingly frequent attacks, on Thursday, June 2, 2011, we were able to confirm that information taken from RSA in March had been used as an element of an attempted broader attack on Lockheed Martin, a major U.S. government defense contractor. Lockheed Martin has stated that this attack was thwarted."

e l'imminente sostituzione dei token SecurID emessi.

Fino a qui, specialmente per gli addetti ai lavori, è solo un riepilogo, spero gradito, di una vicenda molto grave sulla quale si è detto relativamente poco:

un APT attack, un "extremely sophisticated attack" che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

Manca un capitolo: sappiamo che, lato client, tutto è partito da una mail...

"The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls."(*)

(*) Anatomy of an attack, RSA blog

Purtroppo non sono stati forniti da RSA ulteriori dettagli su questa "crafted well enough" email.

Alla F-Secure sono riusciti a risalire alla mail ed al file incriminato. Come?

Continua a leggere "Riflessioni ed approfondimenti su attacco RSA" »

Scritto da alle 22:34 nella Incidenti, Opinioni, Phishing, Sicurezza, Tecnologia | | Commenti (0) | TrackBack (1)

|

05/08/2011

Trappole in rete: Gigi su Radio 3

Segnalo un intervento di Gigi Tagliapietra alla puntata di oggi della trasmissione Radio3 Scienza , dove ha spiegato agli ascoltatori cos'è il phishing.

Qui trovate il podcast della trasmissione.

Scritto da alle 22:14 nella Phishing | | Commenti (0) | TrackBack (0)

Tag Technorati:

|

03/09/2010

IBM 2010 X-Force Mid-Year Trend and Risk Report

Da pochi giorni il team X-Force dell'IBM ha pubblicato il report relativo ai rischi riconducibili ad aspetti di sicurezza informatica registrati primi sei mesi dell'anno.

Ho scritto qui alcune annotazioni riassuntive (per chi volesse il report è liberamente scaricabile previa registrazione gratuita).

In estrema sintesi, le soprese non mancano ed il problema maggiore che è stato registrato ed enfatizzato è il ritardo con cui i maggiori vendor mondiali rilasciano le loro patch (la scoperta e pubblicazione delle quali è in controtendenza dimostrando una maggiore attenzione da parte della associazioni).

I peggiori 10 vendor ovvero quelli con la maggior percentuale di vulnerabilità generiche non patchate?

Eccoli:

1. Microsoft, 23%
2. Mozilla, 17%
3. Apple, 12%
4. IBM, 9%
5. Sun, 8%
6. Oracle, 6%
6. Cisco, 6%
8. Novell, 5%
9. HP, 4%;
10. Adobe, 3%

Buona lettura: gli spunti di riflessione, gli approfondimenti (come il funzionamento della botnet Zeus), i trend  e le bocciature eccellenti non mancano.

 

________
Taccuino

Scritto da alle 21:21 nella Botnet, Phishing, Sicurezza | | Commenti (0) | TrackBack (1)

Tag Technorati: , , , , ,

|

04/08/2010

Una interessante analisi di Verizon su 141 attacchi

Un articolo riporta un'indagine svolta da Verizon e da alcuni esperti dei servizi di sicurezza americani su 141 attacchi.

In sintesi mi pare interessante che:

il 98% degli attacchi veniva da server compromessi

il 96% delle intrusioni erano evitabili con semplici controlli

l' 85% degli attacchi sono stati considerati non particolarmente difficili

Buona lettura

Scritto da alle 19:36 nella Incidenti, Phishing | | Commenti (0) | TrackBack (0)

|

11/06/2010

Tab-napping, un nuovo phishing exploit

Tra le tante cose viste, dette ed affrontate in tavole rotonde al Security Summit di ieri a Roma una in particolare mi ha colpito per la semplice genialità.

E quando si parla di tecniche di social engineering e/o di phishing la semplicità è un elemento essenziale affinchè l'attacco vada ahimè a buon fine.

Questo nuovo exploit è stato battezzato "Tab-napping" ed è un cocktail micidiale i cui ingredienti sono javascript, social engineering e browser permissivi.

Cos'è e come funziona

E' un javascript che viene caricato all'interno di una pagina web apparentemente lecita ed innocua.

In realtà, è innocua finchè non viene cambiato il focus ad esempio aprendo una nuova tab e rendendola attiva.

A questo punto, parte un timer che dopo x secondi "trasforma" la pagina con il codice malevolo con una pagina fake recentemente visitata della quale sono appetibili le credenziali d'accesso.

Si pensi anche solamente a banche ed a servizi di posta.

Esiste un proof-of-concept in rete nel quale è previsto dopo 5 secondi la "trasformazione" della pagina "innocua" nella pagina (FAKE) di logon di gmail, ad esempio. L'utente nella fretta ed in buona fede (visto che lo script carica una pagina IDENTICA all'originale comprensivo di icona distintiva dell'indirizzo -favicon-) reinserisce le credenziali.

A quel punto il gioco è fatto (potrebbe forse spiegare recenti violazioni? Le verifiche sono ancora in corso).

Guardando il codice nulla vieta un redirect verso la vera risorsa e se il cookie è ancora valido per l'utente potrebbe risultare del tutto indifferente (vedi gmail).

Inoltre, ho verificato che non funziona solo sullo switch tra tab: funziona quando perde il focus quindi anche quando ci sono diverse istanze del browser. Questo aspetto non è da sottovalutare visto che più sono le finestre aperte e maggiore è la probabilità che passi inosservato l'inganno.

Se volete, provate, con cautela, direttamente il proof-of-concept.

Suggerimenti

Quando ci autentichiamo a servizi delicati è opportuno chiudere le finestre del browser ed aprirne una nuova dedicandola a tale attività. Evitare il più possibile sessioni di diversa natura e finalità specialmente se prevedono autenticazione.

Al momento di inserire le credenziali di accesso assicurarsi di essere giunti su quella pagina seguendo un bookmark sicuro o avere digitato manualmente l'indirizzo possibilmente in https. In altre parole, niente link e ... attenzione anche ai cambiamenti di pagina!

Usare firefox e NoScript.

________

Taccuino

Scritto da alle 15:28 nella Phishing, Sicurezza | | Commenti (0) | TrackBack (1)

Tag Technorati: , , , , ,

|

01/02/2010

Hijacked account Gmail, Yahoo, Hotmail e Aol: nuovo incidente, malware o ...?

Anellodebole Era ottobre quando tutti i media riportavano la notizia della violazione di migliaia di account hotmail, gmail, aol e yahoo.

Microsoft dal canto suo aveva riportato di avere oltre 10.000 account compromessi tra msn.com, live.com e hotmail.com a causa di uno schema di phishing andato a buon fine per poi chiudere ufficialmente l’incidente (il perchè di tanto spam pubblicato nei commenti di quel post la dice lunga sull’attenzione posta sull’argomento).

Fin qui è storia già vissuta. Ma cosa c’è di nuovo allora?

Ho avuto modo di visionare stamattina una mail di gmail insolita: una risposta automatica, una sorta di “Out of Office” che l’utente non aveva mai settato.

Controllo la veridicità della mail: confermo il mittente google.com.

Verifico insieme all’utente le impostazioni e noto che vi è un inoltro automatico con oggetto:

Dear Friend:

e con corpo del messaggio di risposta automatica:

Dear Friend:
     Hey, what are you doing lately? I’d like to present to you a very good company that I knew.
     Its home page company:  www.Elc-sky.com
     If you have any needs, please contact the company Email.
    They can offer all kinds of electronic products that you need, such as motorcycles, laptops, mobile phones, digial cameras, , x box, ps3, GPS, MP3 / 4, etc. Please take time to look at that there must be something you’d like to purchase.
Hope you have a good state of mind in buying your company!
Regards

E’ evidente che è stata manipolata l’impostazione dell’account: magari un malware.

Google è mio amico e scopro che il messaggio è solo una variante di tanti altri tipo

Hello
How are you doing recently?
I would like to introduce you a very good company which i knew. Their
website is   www.cnamake.com  They can offer
you all kinds of electronical products which you need,like Laptops ,GPS ,TV
LCD,Cell Phones,PS3,MP3/4,Motorcycles etc……..
Please take some time to have a check ,there must be something you ‘d like
to purchase .
Their contact E-mail: cnamake@188.com
Hope you have a good mood in shopping from their company !
Best Regards!!!

e altri ancora.

Quello che lascia pensare è questa testimonianza  di qualche settimana fa e questa risposta (vedi in basso “Last resolved a question on 31 Jan 31 2010“): stesso messaggio identico su piattaforma Microsoft.

Chi è tra i contatti di un account hijacked riceve una mail del tipo descritto sopra (e se hai un blog e pubblichi via mail…).

Tutte le evidenze sono di settimane o di pochi giorni fa: quest’ ultima porta la data di ieri.

Al momento non so se si tratta di qualche malware locale scritto per violare più piattaforme.

Personalmente ritengo credibile anche l’utilizzo tramite botnet e scansione massiva di quanto carpito mesi fa.

Ad ogni modo consiglio, nel dubbio, di verificare le impostazioni delle risposte automatiche del vostro account di posta gmail, hotmail, yahoo o aol che sia e di non aprire allegati apparentemente innocui pervenuti da sconosciuti o non richiesti (verificate sempre il mittente prima).

_______
Taccuino

Scritto da alle 10:36 nella Incidenti, Phishing, Privacy, Sicurezza, Weblogs | | Commenti (0) | TrackBack (1)

Tag Technorati: , , , ,

|

25/01/2010

Frode online bancoposta: poste italiane risponde

Cybercrime Un saldo drasticamente basso, il controllo della lista dei movimenti e scatta il panico: le frodi online sono dolorose, fanno male e si ha la sensazione di combattere un nemico invisibile.

Non riconoscendo gli addebiti si punta immediatamente a denunciare l'accaduto alle autorità e ad interpellare la propria banca sull'accaduto.

Vale la pena, a mio avviso, soffermarsi sulla risposta che è stata fornita dall'ufficio reclami di BancoPosta ad un amico, vittima della frode. Impeccabile, trasparente e corretta anche da un punto di vista tecnico. Riassumo e stralcio...

Continua a leggere "Frode online bancoposta: poste italiane risponde" »

Scritto da alle 16:44 nella Incidenti, Phishing, Privacy, Sicurezza | | Commenti (0) | TrackBack (1)

Tag Technorati: , ,

|

03/11/2009

Polimi e il phishing "accademico" di poste italiane

Ennesima ondata di phishing ai danni degli utenti di Poste Italiane.

Postephishing


Questa volta, aldilà di un linguaggio sempre più verosimile ed ingannevole, a lasciare perplessi è il sito ponte utilizzato: www.ism.polimi.it.

Da uno stralcio del sorgente HTML:

Come attivare il
servizio</strong><br> Richiederlo collegandoti al sito
<a href="http://www.isf.polimi.it/poste.php"><strong></strong>
https://www.poste.it/SIMplyBANCOPOSTA/</a>
 </br>

La pagina incriminata agisce da ponte verso un sito (in http, non https) che, per fortuna, è già stato segnalato e rilevato come contraffatto. Pericoli quindi contenuti per l'utente attento ma viene da chiedersi come mai questi impostori sono liberi di usare impunemente una pagina ospitata su una rete d'eccellenza come quella del Politecnico di Milano.

Come hanno fatto ad inserirla? Come mai nella struttura Polimi non si sono accorti di questo ponte? Da quanto tempo esiste? Se il sito è stato manomesso per inserire questo codice php e non se ne sono accorti, cos'altro non hanno notato? E soprattutto, perchè non se ne sono accorti?

________________________________
Dettagli, considerazioni e aggiornamenti sul Taccuino


Scritto da alle 11:00 nella Incidenti, Phishing, Sicurezza | | Commenti (0) | TrackBack (1)

Tag Technorati: , , , ,

|

09/10/2009

La chiave privata di PayPal? Pubblica!

Main_the_middle Dopo alcuni mesi (Moxie Marlinspike e Dan Kaminsky, Defcon e Blackhat) si riparla di una vulnerabilità alle implementazioni SSL (API crittografiche) che, di fatto, prestano il fianco ad un attacco di tipo man in the middle nonchè a tecniche di phishing.

Perchè se ne riparla dopo poco più di due mesi? E' proprio di questi giorni la pubblicazione di un certificato (e chiave privata) attribuito a PayPal carpita proprio grazie alla vulnerabilità descritta da Moxie Marlinspike al BlackHat USA nel luglio di quest'anno (vedi video dell'intervento al defcon 17).

Per quanto riguarda Mozilla, i security advisor riportano di avere chiuso la falla a partire dalla versione di firefox 3.5 e 3.0.13 (vedi variante attacco su 3.0.11 vulnerabile), Thunderbird dalla 2.0.0.23, SeaMonkey dalla 1.1.18 e NSS dalla 3.12.3

Al momento sembra che le crypto API di windows siano vulnerabili.

Ci sono ripercussioni e impatti anche nel campo delle applicazioni mobile.

PayPal ha nel frattempo sospeso l'account di Moxie Marlinspike.

Raccomandazioni: massima attenzione sulle transazioni in https e scrivere manualmente il link sul browser (possibilmente firefox, aggiornato) e mai fidarsi di link specialmente contenute in messaggi di posta elettronica.

Approfondimenti

 

Scritto da alle 13:02 nella Incidenti, Phishing, Sicurezza, Web/Tech | | Commenti (2) | TrackBack (1)

Tag Technorati: , , , , ,

|

10/09/2009

Come un attacco di Phishing ha messo a rischio una Utility

Scada-dist-95 Tutto è iniziato con un messaggio email inviato ad un dipendente dell'azienda energetica: poi la possibile esposizione di un sistema di controllo critico al rischio di poter essere comandato dall'esterno.
E' questo il contenuto dell'articolo...  che spiega come e cosa è successo

Scritto da alle 17:14 nella Documenti, Imprese, Incidenti, Phishing, Pubblica Amministrazione, Sicurezza, Tecnologia, Web/Tech | | Commenti (0) | TrackBack (0)

|

»

Feed RSS

Categorie

Ultimi post

Ultimi commenti

aprile 2013

dom lun mar mer gio ven sab
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        

Archivi

Altro...