Attacchi informatici in tempo reale

NorseNorse ha un servizio di visualizzazione in tempo reale degli attacchi informatici in corso.

Il sistema si basa su una serie di honeypot gestiti dalla società; i dati vengono visualizzati in tempo reale su una mappa che ricorda in parte lo stile di War Games.

DoS tramite SNMP

Movimento merci / Freight trains control roomDopo DNS e NTP è la volta di SNMP, un protocollo utilizzato per il monitoraggio dei dispositivi.

Prolexic ha evidenziato come sia possibile utilizzare gli host esposti a Internet con attivo SNMP per portare un attacco distribuito (DDoS) come è già successo con DNS e NTP.

Utilizzando SNMP con un pacchetto di poco meno di 100 byte modificato ad arte con un mittente contraffatto è possibile ottenere una risposta di circa 60k, la cui banda è a carico del dispositivo esposto a Internet e non dell’attaccante (reflection). Leggi tutto “DoS tramite SNMP”

Controllate il vostro NTP

Fleet StreetCloudFlare è stato attaccato con un pesante DDoS basato su un baco dell’implementazione di NTP.

Lo scorso dicembre Symantec aveva scoperto un metodo per sfruttare il comando monlist presente nelle vecchie versioni di ntpd per amplificare un attacco di DDoS. Al momento della pubblicazione dell’articolo già molte distribuzioni aggiornate di Linux erano indenni da questo problema, ma rimanevano comunque una gran quantità di server vulnerabili.

Il fattore di amplificazione di un attacco questo tipo può raggiungere anche 58,5; il che significa che chi dispone di 100 Mbit di banda può attaccare una vittima con un traffico che può arrivare a 5,85 Gbit.

Le versioni di ntpd dalla 4.2.7 compresa in su non hanno più la funzione monlist; nelle vecchie versioni si può utilizzare l’opzione noquery in ntp.conf.

Ironia della sorte, il 9 gennaio scorso era stato pubblicato nel blog di CloudFlare un articolo sugli attacchi via NTP.

Per scoprire se un server può essere utilizzato per un attacco di questo tipo si può utilizzare il servizio di Open NTP Project che esegue scansioni su blocchi di IP fino al /22.

Nishang

Nebbia e luci / Fog and lightsCon Nishang ci si avventura un una zona grigia del software, in cui la differenza tra difesa e offesa diventa indistinguibile.

Lo scopo di quanto segue non è quello di incitare la violazione delle leggi, ma di documentare l’esistenza di questi strumenti, per poterli riconoscere in caso di attacchi.

La PowerShell di Windows è uno strumento molto potente, molto più di quanto possa sembrare ad un osservatore superficiale o prevenuto. Era, quindi, naturale che prima o poi sarebbero arrivati degli script PowerShell per eseguire operazioni non del tutto legittime ai danni della vittima.

Nishang gratta solamente la superficie, ma contiene esempi molto interessanti. Tipicamente gli script contenuti in Nishang vengono eseguiti sul computer vittima una volta che l’attaccante è riuscito a penetrare le difese, quindi non troverete script di penetrazione, bensì di controllo e ricognizione remoti, tra cui un utilizzo… creativo del record TXT del DNS.

Ok gli attacchi di Anonymous, ma…

Necessaria premessa: non credo che se un sito sia poco protetto debba essere hackerato per il fatto stesso di essere poco protetto.

Questo weekend molti siti hanno subito attacchi come rappresaglia alla chiusura di Megaupload, sui cui dettagli vi rimando al sito di Paolo Attivissimo.

Le conseguenze degli attacchi sono stati di fatto di due tipi: denial of service temporaneo per sovraccarico o danneggiamento dei contenuti del sito.

Contro il sovraccarico si può far poco ed è comunque un problema temporaneo.

Ben più grave (per i titolari) è il fatto che i siti americani della CBS e della Warner siano stati compromessi con danneggiamento dei contenuti come se fossero gestiti da sprovveduti.

I siti sono stati compromessi decine di ore dopo l’inizio degli attacchi e i gestori hanno avuto tutto il tempo per mettere in atto le opportune contromisure.

Certo che se una BigCorp appalta la gestione del sito a $nota_societa_di_consulenza, la quale si avvale a sua volta di subcontractor strozzati su costi e tempistiche avvisati sempre all’ultimo momento delle modifiche con il consueto incipit “Urgente! Urgente! Urgente!” questi sono i risultati.

Esternalizzare lavori e competenze potrebbe servire al maquillage del bilancio da presentare agli azionisti, ma sul lungo periodo fa perdere le competenze, aumenta la dipendenza dai fornitori e riduce la visibilità sulla qualità dei lavori svolti. Uno può scrivere sul contratto tutto quello che vuole, ma quando succedono questi incidenti la frittata è fatta.

Non è sempre colpa degli hacker

Rotto / BrokenLa vicenda di STUXNET ha acceso i riflettori sulla vulnerabilità di alcuni sistemi di controllo industriale, tuttavia i danni che possono capitare a questi sistemi non derivano sempre da attacchi informatici.

ICS-CERT ha appena pubblicato un rapporto [PDF] sull’incidente verificatosi al sistema di distribuzione dell’acqua potabile dell’Illinois.

In un primo momento si era temuto che il funzionamento anomalo di alcuni sistemi di pompaggio fosse riconducibile ad un attacco informatico conto lo SCADA che gestisce l’impianto e i giornali avevano dato ampio supporto a questa tesi.

Dopo attente e competenti indagini, ICS-CERT non ha trovato le prove di intrusioni non autorizzate nei sistemi. Inoltre ICS-CERT ha escluso la possibilità ipotizzata dallo STIC dell’Illinois [PDF] (da non confondere con questo STIC!) che si fosse verificato un furto di credenziali nel corso dell’attacco informatico.

Anche il DHS e l’FBI hanno escluso la possibilità che ci sia stato traffico informatico illegale riconducibile alla Russia o ad altri Paesi collegato a questo incidente.

Sulle tracce di Stuxnet

Stuxnet è un malware al momento unico nel suo genere. Non si affida a Internet per la diffusione. È enorme. La sua modalità di attacco primaria è il sabotaggio fisico dell’hardware industriale. È stato (presumibilmente) sviluppato da un governo ostile. È mirato a una ben precisa installazione. Chi lo ha sviluppato ha dimostrato di avere una conoscenza intima della struttura interna del bersaglio. Fa parte di un assalto “multidisciplinare” (o almeno così parrebbe). Leggi tutto “Sulle tracce di Stuxnet”

THC-Hydra

Come i coltelli, i piedi di porco e le armi da fuoco ci sono molti software che possono essere utilizzati per scopi positivi o negativi.

A differenza delle armi più o meno proprie, i software di attacco possono essere utilizzati per attaccare i propri server senza farsi del male.

THC-Hydra è uno di questi software. È incredibilmente semplice da installare e utilizzare e permette di tentare in parallelo molte coppie di utente/password contro vari tipi di servizi. Se un programma del genere riesce a bucare facilmente la vostra sicurezza, avete sicuramente un problema.

A parte l’utilizzo di password non facilissime da indovinare (p@55w0rd al posto di password non fa oramai nessuna differenza), uno dei metodi di difesa da questi tipi di scanner è sicuramente un software come fail2ban.

Blackberry e iOS: password crackata con 200 €

Elcomsoft Phone Password Breaker è un software venuto a 200 € in grado di eseguire un attacco di forza bruta alle password di iOS e del Blackberry.

Il programma è in grado di utilizzare fino a 32 CPU e 8 GPU ATIAMD o nVIDIA per trovare la password. L’uso dei processori grafici per scardinare la sicurezza informatica non è nuovo: nel 2008 un gruppo guidato da Alexander Sotirov ha creato un finto certificato di sicurezza utilizzando i processori grafici di 300 PlayStation.

La nuova versione del software è in grado di operare anche sui backup di iOS e Blackberry, quindi non è necessario l’accesso fisico al dispositivo per considerarsi a rischio. (via Stefano Quintarelli)

ASP.NET: la cosa si fa seria (aggiornamento)

Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.

La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.

La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)

Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.

Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.

Ma chi vuoi che…

«Sicurezza» sulla rampa di Malpensa / «Safety at Malpensa ramp»«Ma chi vuoi che venga ad hackerare proprio il nostro sito?»

Questa è la reazione di molte persone (indifferentemente singoli cittadini e responsabili di aziende o enti pubblici) che hanno o gestiscono un sito web  quando viene segnalata loro l’importanza della sicurezza. Leggi tutto “Ma chi vuoi che…”

Problema di sicurezza di Adobe Acrobat Reader

Sta circolando almeno un documento PDF che sfrutta un problema 0-day di Acrobat Reader. Anche Adobe ha diramato un bollettino di sicurezza in cui classifica questo problema come critico.

Tutte le versioni per tutte le piattaforme di Acrobat Reader presentano questo problema, nessuno escluso.

In questo momento non ci sono azioni che possono risolvere questo problema, Adobe sta lavorando  per correggere l’errore e rilascerà probabilmente un aggiornamento quanto prima.

Alcune mail che contengono il documento infetto che sfrutta questa vulnerabilità hanno come oggetto David Leadbetter’s One Point Lesson. Alcuni attacchi portati con questo vettore chiudono forzatamente Acrobat Reader e tentano di aprire un programma che fa da esca per l’utente.

Alcuni antivirus riescono a classificare i PDF che sfruttano questa vulnerabilità  come sospetti; tuttavia è buona regola non aprire PDF di provenienza ignota con Acrobat Reader.

Scoperto un problema di sicurezza di Firefox

FirefoxTreatpost segnala un problema di sicurezza che interessa tutte le versioni di Firefox scoperto da Armorize.

Il browser non controlla gli indirizzi offuscati a cui si accede attraverso IFRAME, permettendo ad un attaccante di confondere o nascondere l’indirizzo del sito che si sta effettivamente visitando.

Leggi tutto “Scoperto un problema di sicurezza di Firefox”