Norse ha un servizio di visualizzazione in tempo reale degli attacchi informatici in corso.
Il sistema si basa su una serie di honeypot gestiti dalla società; i dati vengono visualizzati in tempo reale su una mappa che ricorda in parte lo stile di War Games.
Dopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.
Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.
(altro…)CloudFlare è stato attaccato con un pesante DDoS basato su un baco dell’implementazione di NTP.
Lo scorso dicembre Symantec aveva scoperto un metodo per sfruttare il comando monlist presente nelle vecchie versioni di ntpd per amplificare un attacco di DDoS. Al momento della pubblicazione dell’articolo già molte distribuzioni aggiornate di Linux erano indenni da questo problema, ma rimanevano comunque una gran quantità di server vulnerabili.
Il fattore di amplificazione di un attacco questo tipo può raggiungere anche 58,5; il che significa che chi dispone di 100 Mbit di banda può attaccare una vittima con un traffico che può arrivare a 5,85 Gbit.
Le versioni di ntpd dalla 4.2.7 compresa in su non hanno più la funzione monlist; nelle vecchie versioni si può utilizzare l’opzione noquery in ntp.conf.
Ironia della sorte, il 9 gennaio scorso era stato pubblicato nel blog di CloudFlare un articolo sugli attacchi via NTP.
Per scoprire se un server può essere utilizzato per un attacco di questo tipo si può utilizzare il servizio di Open NTP Project che esegue scansioni su blocchi di IP fino al /22.
Con Nishang ci si avventura un una zona grigia del software, in cui la differenza tra difesa e offesa diventa indistinguibile.
Lo scopo di quanto segue non è quello di incitare la violazione delle leggi, ma di documentare l’esistenza di questi strumenti, per poterli riconoscere in caso di attacchi.
La PowerShell di Windows è uno strumento molto potente, molto più di quanto possa sembrare ad un osservatore superficiale o prevenuto. Era, quindi, naturale che prima o poi sarebbero arrivati degli script PowerShell per eseguire operazioni non del tutto legittime ai danni della vittima.
Nishang gratta solamente la superficie, ma contiene esempi molto interessanti. Tipicamente gli script contenuti in Nishang vengono eseguiti sul computer vittima una volta che l’attaccante è riuscito a penetrare le difese, quindi non troverete script di penetrazione, bensì di controllo e ricognizione remoti, tra cui un utilizzo… creativo del record TXT del DNS.
ISC riporta che sarebbero in corso attacchi a forza bruta contro gli accessi ssh che utilizzano parte del nome del DNS della macchina come utente.
Molti utenti hanno finalmente capito che lasciare aperto l’accesso di root ad ssh è male ed utilizzano utenti non facilmente indovinabili.
L’attacco in questione cerca di determinare il nome della macchina via reverse DNS e utilizza come login la parte dell’host del FQDN.
Ipotizzando che una macchia si chiami paperino.acme.com, l’attacco utilizza paperino come nome utente.
Tool come fail2ban mitigano attacchi a forza bruta come questi.
Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.
Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.
Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.
Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.
Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.
I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.
Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.
Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.
La vicenda di STUXNET ha acceso i riflettori sulla vulnerabilità di alcuni sistemi di controllo industriale, tuttavia i danni che possono capitare a questi sistemi non derivano sempre da attacchi informatici.
ICS-CERT ha appena pubblicato un rapporto [PDF] sull’incidente verificatosi al sistema di distribuzione dell’acqua potabile dell’Illinois.
In un primo momento si era temuto che il funzionamento anomalo di alcuni sistemi di pompaggio fosse riconducibile ad un attacco informatico conto lo SCADA che gestisce l’impianto e i giornali avevano dato ampio supporto a questa tesi.
Dopo attente e competenti indagini, ICS-CERT non ha trovato le prove di intrusioni non autorizzate nei sistemi. Inoltre ICS-CERT ha escluso la possibilità ipotizzata dallo STIC dell’Illinois [PDF] (da non confondere con questo STIC!) che si fosse verificato un furto di credenziali nel corso dell’attacco informatico.
Anche il DHS e l’FBI hanno escluso la possibilità che ci sia stato traffico informatico illegale riconducibile alla Russia o ad altri Paesi collegato a questo incidente.
Stuxnet è un malware al momento unico nel suo genere. Non si affida a Internet per la diffusione. È enorme. La sua modalità di attacco primaria è il sabotaggio fisico dell’hardware industriale. È stato (presumibilmente) sviluppato da un governo ostile. È mirato a una ben precisa installazione. Chi lo ha sviluppato ha dimostrato di avere una conoscenza intima della struttura interna del bersaglio. Fa parte di un assalto “multidisciplinare” (o almeno così parrebbe). (altro…)
Come i coltelli, i piedi di porco e le armi da fuoco ci sono molti software che possono essere utilizzati per scopi positivi o negativi.
A differenza delle armi più o meno proprie, i software di attacco possono essere utilizzati per attaccare i propri server senza farsi del male.
THC-Hydra è uno di questi software. È incredibilmente semplice da installare e utilizzare e permette di tentare in parallelo molte coppie di utente/password contro vari tipi di servizi. Se un programma del genere riesce a bucare facilmente la vostra sicurezza, avete sicuramente un problema.
A parte l’utilizzo di password non facilissime da indovinare (p@55w0rd al posto di password non fa oramai nessuna differenza), uno dei metodi di difesa da questi tipi di scanner è sicuramente un software come fail2ban.
Elcomsoft Phone Password Breaker è un software venuto a 200 € in grado di eseguire un attacco di forza bruta alle password di
iOS e del Blackberry.
Il programma è in grado di utilizzare fino a 32 CPU e 8 GPU ATIAMD o nVIDIA per trovare la password. L’uso dei processori grafici per scardinare la sicurezza informatica non è nuovo: nel 2008 un gruppo guidato da Alexander Sotirov ha creato un finto certificato di sicurezza utilizzando i processori grafici di 300 PlayStation.
La nuova versione del software è in grado di operare anche sui backup di iOS e Blackberry, quindi non è necessario l’accesso fisico al dispositivo per considerarsi a rischio. (via Stefano Quintarelli)
[youtube=http://www.youtube.com/watch?v=yghiC_U2RaM&w=480]
Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.
La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.
La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)
Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.
Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.
«Ma chi vuoi che venga ad hackerare proprio il nostro sito?»
Questa è la reazione di molte persone (indifferentemente singoli cittadini e responsabili di aziende o enti pubblici) che hanno o gestiscono un sito web quando viene segnalata loro l’importanza della sicurezza.
(altro…)