(in)Sicurezza dell’informazione 20100207
Febbraio 8th, 2010
Alla centrale della gendarmeria di Anatropoli squilla il telefono del 911, Anatrino, di turno serale, risponde:
- 911 gendarmeria! -
- Mi stanno molestando mi mandi qualcuno in Corso Mercurio…- La comunicazione viene interrotta.
Anatrino segue la procedura, attende il biiip alla cornetta, quindi chiude la linea e compone il numero per identificare l’ultima chiamata al 911.
L’operatore risponde calmo – L’ultimo chiamante è il 745-8300851 -
Anatrino compone il numero e la risponditrice automatica dell’operatore telefonico Viola, gli comunica con voce meccanica che il numero non è più raggiungibile.
Mentre dirotta le pattuglie sulla zona indicata dalla chiamante, Anatrino pesca dal faldone il numero telefonico da chiamare per avere infomazioni riguardo l’intestatario di un numero dell’operatore Viole. Gli operatori lo rimpallano ad un numero della vicina Paperopoli. Continue reading this entry »
E InnovaStudio offrì un piatto di phish..ing
Febbraio 4th, 2010
Nelle settimane passate ho ripreso ad interessarmi di phishing analizzando le mail giuntemi nel mese di gennaio su un solo indirizzo mail.
Mi sono in particolare concentrato su quelle caratterizzate dalla presenza di link non diretti al sito fraudolenti, ma che presentano invece collegamenti ipertestauli a pagine web aventi la funzione di reindirizzare successivamente l’utente sul sito fraudolento.
Così per arrivare magari sul sito clone posizionato su un server olandese si passa prima attraverso una pagina di redirect posizionata su un server a Singapore.
Delle 59 mail di phishing giuntemi nel mese di gennaio, 29 conteneva redirect su pagine html (tranne in un paio di casisu pagine php) aventi per lo più le seguenti denominazioni:
- a.html;
- ca.html;
- cas.html;
- cop.html;
- index.htm;
- phpinfo.htm:
I ventinove attacchi risultavano così suddivisi:
- Banca Popolare di Sondrio n.2;
- Banca Popolare di Spoleto n.3;
- Banca Popolare di Bari n.7;
- Banca Popolare di Romagna n.3;
- Banca Etruria n.5;
- Banca di Cividale n.1;
- Poste Italiane n.5;
- CartaSi n.1.
Spesso i siti clone erano ospitati su domini “a perdere” registrati presso Melbourneit.com, mentre le pagine di redirect sono state inserite “abusivamente” all’interno dei siti ospitanti. Continue reading this entry »
Identificazione piattaforma vulnerabile
Febbraio 2nd, 2010
L’immagine sottostante mostra uno dei pannelli di amministrazione della piattaforma vulnerabile usata per inserire le shell nei siti poi usati per ospitare i redirect ai siti di phishing.
Il sorgente visibile con MyBrowser>Visualizza>SorgentePagina non riporta indicazioni sulla piattaforma, tuttavia le carattersistiche dell’url consentano di identificare un numero ristretto di applicazioni sofferenti dello stesso problema.
Siccome è usata anche su domini italiani desideravo una conferma da qualcuno che l’ha già usata.
Thank’s
Il fine giustifica i mezzi
Gennaio 31st, 2010
Da Wikipedia:
“In psichiatria, il termine delirio indica una varietà di stati mentali confusionali in cui l’attenzione, la percezione e la cognizione del soggetto appaiono significativamente ridotti. Di per sé il delirio non è una patologia quanto una sindrome (un complesso di sintomi) che può presentarsi in diverse forme, essere acuta o cronica, e avere molteplici cause. Il termine «delirio» deriva dal latino lira, “solco”, per cui delirare significa etimologicamente “uscire dal solco”, ovvero dalla dritta via della ragione.
Le forme croniche di delirio sono spesso basate sull’elaborazione, razionale e lucida, di un sistema di credenze errate; in questo caso si parla in particolare di disturbo delirante o paranoia.”
Studiando il fenomeno del phishing, partendo dall’esame delle mail ricevute, si ricava in breve l’impressione di trovarsi sull’oro di un abisso.
La quantità di siti web compromessi, pronti ad essere usati per redirect, per ospitare siti fraudolenti, o che addirittura già li ospitano dormienti è impressionante.
Partendo dall’esame di una manciata di mail, ricevute su un singolo indirizzo mail, si perviene facilmente all’identificazione dei fattori comuni, dei siti e server
utilizzati e riutilizzati ciclicamente.
Con poco impegno si identifica la metodica di accesso ai siti, se non addirittura la firma dell’”operaio”.
I siti individuati, in particolare quelli usati per i redirect, quelli dormienti e quelli non ancora usati, spesso non sono ancora inseriti nelle black list, ad esempio
l’accoppiata Google/Firefox non avvisa ancora i visitatori della pericolosità del sito.
Tuttavia se un wannabe come me riesce ad individuare una simile quantità di dati, cosa potrebbe fare un ente istituzionale o privato (banca, ABI, azienda) ??
La raccolta invasiva di informazioni (il mezzo) può essere giustificata dalla difesa degli utenti (il fine) ?
Divagando un poco dall’informatica, ci sono nazioni che arrivano a mettere in campo forze speciali in territorio straniero pur di mettere out uno spacciatore di droga di altissimo livello.
Ma perchè, mi domando provocatoriamente, non è ipotizzabile un intervento più forte verso quei fenomeni che non si riesce a reprimere con i modi usuali.
Perchè siamo seri, se l’altro giorno ho speso un paio d’ore a redarre gli atti previsti dalla mia qualifica, avendo individuato un sito di phishing su un server italiano, tutto ciò è spesso inutile quando i siti fraudolenti sono ospitati in paesi non collaborativi.
Gerardo Costabile racconta in un suo libro, come già nel 2005 la Procura della Repubblica di Milano fosse riuscita a mettere in atto una proficua collaborazione con gli organi collaterali di alcuni paesi est europei.
Ma cosa avviene con certi paesi asiatici, mediorientali o sud americani? Vi è questa collaborazione?
A mio avviso no.
Allora provi a mandare una mail di warning a tutti gli indirizzi mail che ricavi dall’interrogazione whois o sulle pagine web del sito e dell’ISP.
Ma la realtà è che spesso non ottieni risposta ed il sito fraudolento, o il redirect, rimane attivo.
Verifichi le url e ti accorgi che le pagine non sono neppure nascoste chissà dove, ma sono nella root directory del sito, vi stanno da giorni, settimane, mesi.
Chi si occupa di quel dominio non lo controlla mai. Quando mai si accorgeranno dell’uso a cui il loro server è stato destinato?
In tali casi troverei assolutamente lecito che enti istituzionali o privati, sotto stretto controllo delle istituzioni, operassero in deroga della normativa vigente, con azioni mirate alla raccolta delle informazioni condotte in modo invasivo.
Non si deve pensare a destory action, ma ad azioni di search & recognize.
Una azione di disattivazione/cancellazione delle eventuali shell remote sarebbe totalmente inutile se non si elliminasse la vulnerabilità che ne ha consentito l’inserimento.
Arriverei pure ad ipotizzare il richiamo dello “stato di necessità” quale condizione giustificante simili azioni a difesa del cittadino.
Tuttavia le informazioni così raccolte potrebbero esser usate per ingrassare le black list.
Se un sito è compromesso e non è ancora stato usato per il phishing, facilmente lo sarà domani, tanto vale buttarlo in black list.
Gli istituti, i cui clienti sono le principali vittime del phishing, potrebbero creare applicazioni per consentire a qualunque utente di aggiornare gli host file in modo che query verso quei domini, notoriamente compromessi, portino l’utente su pagine di warning, lo stesso dicasi ipotizzando una collaborazione con la gestione dei DNS.
Siete arrivati alla fine dell’articolo e forse ora comprendete perchè ho citato in testa la definizione di “delirio”.
Viaggio delirante sul filo dell’etica.
Arriva un bastimento carico di ……
Gennaio 31st, 2010
Arriva un bastimento (server) carico di …… siti in gran parte compromessi ….. 
Quanto si può scoprire con l’analisi di una manciata di mail di phishing? Continue reading this entry »
Mi faccia il pieno di …shell…remote
Gennaio 30th, 2010
Sito asiatico compromesso per metterci un sito di phishing.
Chi lo ha compromesso non voleva proprio andarsene ed ha infilato… Continue reading this entry »
Cryptogram Challenge
Gennaio 28th, 2010
Giovanni Dell’Olio, curatore di BioInfoBlog, mi segnala questa interessante sfida inerente la crittografia.
Eject
Gennaio 26th, 2010
Causa impegni personali non mi sarà più possibile collaborare alla realizzazione di Caine Live-cd.
Ciò non comporterà alcun problema nello sviluppo del progetto in quanto Nanni Bassetti, project manager di Caine, ha da tempo acquisito la competenza ed esperienza necessarie.
Lascio sicuro della bontà di Caine e di chi lavora al suo sviluppo.
Ringrazio Giancarlo Giustini per l’opportunità datami di collaborare alla nascita di Caine, nonchè Pigio, Tony Rodriguez e Maxin Suhanov per il supporto che hanno fornito e che continueranno a fornire collaborando con il buon Nanni.
Il mio ultimo impegno a favore del progetto è la realizzazione del manuale d’uso, che conto di terminale entro fine febbraio 2010.
Quando avrò occasione di usare Caine non mancherò di far pervenire i miei feed-back agli ex-colleghi di team, certo che ne faranno fruttare l’analisi.
Warning Phishing: Banca Etruria 20100120
Gennaio 20th, 2010
È un po’ di tempo che l’istituto bancario Banca Etruria è finito nel mirino dei phisher.
La mail di oggi viene immediatamente evidenziata da Thunderbird quale probabile truffa
Presenta un contenuto improbabile, quasi criptico, tuttavia in italiano abbastanza corretto. Non sono inoltre presenti caratteri strani che possano insospettire il ricevente.
Identificativi della mail:
oggetto: Grazie per il tempo assegnato nel controllo dei dati personali.
mittente: Banca Etruria” – www@bancaetruria.it -
In apparenza la mail parte da un ip tedesco, transita per un server cinese, per poi arrivare in Italia. Continue reading this entry »
Challenge 1 of the Forensic Challenge 2010 by Honeynet project
Gennaio 19th, 2010
Dopo un lungo periodo di stasi ripartono le sfide del progetto Honeynet.
La prima è stata da poco pubblicata e prevede l’analisi di un file pcap contenente tracce di un attacco.
Le risposte vanno inviate entro il primo di febbraio. Le soluzioni saranno pubblicate il 15 febbraio.