AUSTRALIA VIETA LA SICUREZZA INFORMATICA

Australian Assistance and Access Act

In un periodo in cui leggiamo quotidianamente di attacchi informatici di ogni genere, rivolti ad aziende, cosi come a privati , diventa “normale” pensare che lo standard dovrebbe essere far diventare tutti piu’ attenti e preparati nell’uso delle tecnologie, per evitare di diventare vittime.

Fa dunque ancor piu’ strano leggere una notizia che sembra voler far fare un salto indietro al processo d’informatizzazione e di gestione della privacy.
La notizia e’ quella che arriva dalla lontana Australia, infatti il parlamento Australiano ha spiazzato tutti votando una norma che, nello specifico renderebbe “obbligatorie backdoor e crittografia illegale“.

Nella pratica questa e’ a tutti gli effetti una legge che “vieta la sicurezza”; la nuova normativa impone alle società, come Facebook (che possiede anche WhatsApp), Apple o altre a cedere dati alle autorità e alle Forze di Polizia, tutto cio anche senza l’ausilio del mandato di un giudice, e nel caso in cui i dati richiesti dovessero essere crittografati, questi ultimi (le aziende) dovranno anche fornire le chiavi di decodifica.

Se gia questo non fosse abbastanza per indignarsi e gridare allo scandalo ed alla fine della “privacy” la norma aggiunge anche che dovranno essere “imposte backdoor ad uso delle autorita’ “, affinché possano accedere alle comunicazioni dei cittadini ogni qual volta lo ritengano necessario.

Ok, qualcuno potrebbe pensare “va bene ma tanto io ho il mio amico di fiducia che lavora nell’IT, lui potra’ disabilitare tutto…” , purtroppo NO, poiche’ per la nuova legge australiana è illegale per i tecnici rifiutarsi di creare queste backdoor, e lo è anche fare da consulenti o opporsi a un ordine di questo tipo.

Nel concreto, queste leggi impongono a società come Apple e tutte le altre di aggiungere le backdoor ad insaputa dell’utente, direttamente all’interno dei dispositivi e dei software che verranno autorizzati dal governo, cosi che successivamente potranno essere usati dagli investigatori per monitorare le conversazioni.

Si pongono subito due grandi questioni da affrontare :

  • problema ETICO
  • problema TECNICO

in questo articolo non verra’ analizzato il primo problema poiche’ e’ troppo personale dato che ci sono sicuramente persone che pensano nella modalita’ ” io non ho nulla da nascondere , preferisco sentirmi protetto…” lascio dunque piena liberta’ ad ognuno di riflettere soltanto sulla notizia senza fare una sterile polemica .

Quello su cui mi sento di parlare e’ l’aspetto tecnico della legge in quanto ormai sappiamo che ad oggi ogni software che utilizziamo e’ molto spesso fallace, vengono riscontrati quoitidianamente dai whitehat o da pen tester Bugs di ogni tipologia, piu’ o meno gravi (zero-days), e le aziende passano spesso molto piu’ tempo a correggere bugs che ad implementare nuove funzioni.
Visto che tutti questi bugs permettono gia cosi di poter accedere ai nostri dati personali su qualunque device in nostro possesso (smartphone, router-wifi, spazio cloud…), la presenza di backdoor preinstallate renderebbe di fatto ogni device gia pronto ad essere violato non soltanto dalla polizia, fosse anche per motivi “leciti”, ma da chiunque che tecnicamente sia in grado di scoprirle ed utilizzarle, ritrovandosi cosi una specie di autostrada verso le informazioni private di ogni cittadino.

Dovremo forse tornare a scrivere le cose sulle agendine di carta ? anche perche’ a questo punto non ha più senso scambiarsi messaggi crittografati, come per esempio sulle chat di Telegram o WhatsApp, se poi esiste il modo di bypassare la sicurezza data dalla crittografia.

La storia recente ha gia insegnato che molti tools creati dalla NSA per motivi simili, alla fine sono finiti nel mercato nero del web e venduti al miglior offerente per spinaggio industriale o per stalking etc…….

Per finire vi segnalo due ottime serie Netflix che trattano quest’argomento:

#CeDaPreoccuparsi

IL WIFI TI SPIA ANCHE IN CASA

Wifi_Room_Photo

Wifi Rooms Spy Photo

 

CONTROLLATI H24

Non ci facciamo neppure caso ma oramai viviamo tutti come in ammollo in un denso e fitto mare “Elettromagnetico” continuo H24 e su frequenze diverse; proviamo a pensarci:

  • ci sono i telefonini 3G/4G/5G
  • ci sono le frequenze Radio, quelle Satellitari
  • ci sono le frequenze dei router domestici 2.4 – 5 GHz …. etc

tutte queste interferenze ruotano attorno a noi H24 / 365 giorni

Ma in questo articolo non parleremo delle potenzialita’ dannose di tutto questo, ma dobbiamo tenere presente che, li dove un dottore puo’ vedere danni per la salute, un hacker ci puo’ vedere delle potenzialita’ di controllo, come ad esempio spiare che cosa fanno le persone dentro le loro 4 mura.

Infatti, a differenza degli occhiali truffa degli anni 70/80, che promettevano di poter spiare le persone sotto i loro vestiti, le onde elettromagnetiche dei nostri device casalinghi, e non, che sfruttano le frequenze tra 2.4 – 5 GHz, possono davvero permettere di “vedere” dentro le case, poiche’ case ed uffici ne sono totalmente saturi (anche se noi non le possiamo vedere).

Basti pensare che i movimenti delle persone sono in grado di distorcere i campi elettromagnetici , riflettendo e rifrangendo le onde radio; questo tipo di studi sta diventando cosi importante a tal punto che ci sono ad oggi gia diversi gruppi di ricercatori che hanno portato avanti diversi progetti, con modelli di analisi delle variazioni e perturbazioni dei campi elettromagnetici delle frequenze usate dagli hot-spot casalinghi che permettono di vedere cosa succede dentro una casa, cosi come in una radiografia.

SPIATI IN AZIENDA – Per tenere sotto controllo il movimento degli impiegati non servono telecamere, bastano un paio di router Wi-Fi

Quello che ne sta venendo fuori e’ davvero sorprendente.

Un gruppo di ricerca dell’Universita’ della California (Santa Barbara), guidato da Yanzi Zhu, e’ riuscito a determinare la posizione delle persone presenti all’interno di una stanza, e registrarne i movimenti, basandosi semplicemente sul segnale di una rete WIFI “vista da fuori”, ossia senza essersi prima loggati.
Il tutto utilizzando un semplice telefono Android con installato il software creato dai ricercatori.

Tutto questo, tecnicamente perche’ le onde elettromagnetiche in generale, e quelle degli apparati wifi in particolare, passano attraverso determinati tipi di solidi e non altri.
In particolare muri e pareti, che non contengono metallo o tubi con acqua, risultano essere in pratica particolarmente  “trasparenti”.

I corpi umani, fatti per il 70% di acqua, bloccano il passaggio delle onde radio, riflettendole, un po’
come quando vengono usati i radar. Questo genera un’immagine delle persone che si muovono, come silhouette
in una specie di ecografia tridimensionale, in tempo reale.

Per avere una “telemetria” quasi perfetta, che permetta di seguire tutti i corpi in movimento, non basta una sola fonte ma considerando che in ogni edificio moderno possiamo trovare N campi wifi dei router casalinghi attorno a noi, o dei ripetitori di segnale, li dove la casa e’ piu’ grande di un normale appartamento, potremmo sicuramente riuscire ad avere una immagine piu’ dettagliata che ci permettera’ di posizionare tutti i corpi nello spazio.

Quindi per concludere, se almeno di notte non dovete lavorare o scaricare serie tv, spegnete il wifi, fara’ bene alla salute e sara’ comunque piu’ sicuro.

Penetretion Tester Information Gathering

Information-Gathering

Information-Gathering

Una “nuova” tipologia di specialisti si sta gia’ facendo sempre piu’ strada all’interno delle aziende e delle case dei privati, interessati ad aumentare il loro livello di sicurezza, i Penetration Tester (PT).

Ogni PT deve aver ben chiaro e seguire una serie di attivita’ per raggiungere lo scopo finale.
Le “FASI” del PT sono le seguenti :

  • Information Gathering;
  • Vulnerability Assessment;
  • Exploitation;
  • Privilege Escalation;
  • Maintaining Access;
  • Reporting;

Oggi, in questo primo articolo sul PT inizieremo a spiegare i concetti dell’ Information Gathering.

L’Information Gathering o raccolta delle informazioni permette all’attaccante di acquisire dati utili, dall’architettura della piattaforma, ai servizi offerti, ecc. L’analisi di questi dati porterà alla scelta di come condurre il passo successivo.

Analisi di un caso reale

Ci troviamo ad operare da remoto per verificare il livello di sicurezza di una grande azienda. L’analisi viene svolta, a fronte di un’ accordo con il committente (non dimenticate mai l’importanza di un contratto ben dettagliato e firmato dal committente per evitare future noie legali), da parte del PT. In base alla quantità d’ informazioni disponibili s’ identificano diversi scenari. Questa tipologia di scenario viene definita “Black Box” poiche’ non presuppone alcuna conoscenza dell’infrastruttura oggetto di analisi, tutte le informazioni dovranno quindi essere ricavate prima di iniziare i vari test.

Per diversificarci questa volta ci affideremo non alla solita Kali Linux ma ad un’altro sistema improntato al PT come BackBox Linux, una distribuzione orientata al PT. Il vantaggio derivante dall’uso di uno strumento simile è nell’avere un sistema operativo altrettanto completo di tools, flessibile ed ottimizzato per condurre vari test di sicurezza.

Information Gathering

L’attività di PT inizia come gia’ detto con la raccolta delle informazioni, partendo dall’url del sito aziendale del committente è possibile risalire all’indirizzo IP del server (informazione essenziale per iniziare la nostra analisi):

$ host www.nomesito.it
www.nomesito.it has address 150.xxx.xxx.10

oppure

$ nslookup
set q=any
nomesito.it

o ancora un semplice #whois permette di effettuare delle query al fine di ottenere informazioni riguardo la registrazione del dominio.

$ whois www.nomesito.it

Ovviamente questi sono soltanto alcuni esempi, di tool da riga di comando ne esistono diversi (#dig, #dnsenum …) ma non e’ possibile citarli tutti, ognuno potra’ cercarsi il preferito.

Ottenuta questa informazione ci serviremo di un’ulteriore tool Maltego, è un tool sviluppato dalla società Paterva, che offre la possibilità di raccogliere informazioni tramite la consultazione di dati pubblicamente accessibili e raggrupparle,  in formato grafico. Tramite questo strumento si è in grado di raccogliere informazioni da:

  • Siti web
  • Comunicazioni web (social network, wiki, blog, …)
  • Dati pubblici (conferenze stampa, rapporti dei governi, dati demografici, …)
  • Osservazioni dirette (dati geolocalizzati, conversazioni radio, foto satellitari, …)
  • Professionisti ed accademici (simposi, conferenze, pubblicazioni scientifiche, associazioni professionali, …)

Viene utilizzata un’architettura client/server per la raccolta dei dati e per determinare le relazioni fra di essi.

Un’ulteriore ed interessantissimo tool e’ TheHarvester

TheHarvester  è utilizzato per raccogliere info su domini, indirizzi email e documenti con metadata inerenti il target della nostra ricerca. Harvester si basa su un suo algoritmo di ricerca in grado di interrogare i maggiori motori di ricerca conosciuti, facendo sì che l’attaccante non visiti direttamente il target. Dunque il target sarà ignaro delle nostre attività.
Un piccolo esempio potrebbe essere questo qui sotto ma ricordatevi di leggere sempre gli “help” per poter conoscere tutte le opzioni che si possono utilizzare.

theharvester -d miosito.it -l 500 -b all

Ultimo tool di questo articolo, non certo per importanza o per potenza sara’ Dmitry.

Dmitry (Deepmagic Information Gathering Tool), questo tool  è un whois potentissimo che lavora esclusivamente da riga di comando , è scritto in C e ha la capacità di darci su di un determinato host , tantissime informazioni , tutte raccolte ed estratte in base alle nostre richieste , effettuate tramite l’inserimento in Shell di alcune opzioni (leggete sempre l’help).

dmitry -winsepffb -o miosito.txt www.miosito.it

…come detto questo e’ solo un esempio in cui sono state unite insieme diverse opzioni ed il risultato verra’ salvato in un file .txt.

Per tutto il resto non resta che fare tanta tanta pratica……a presto !!!

Vault 7 – il Cyber arsenale della CIA

vault7-cyber arsenale

vault 7-cyber arsenale CIA

Aprile/Maggio 2017 – Wikileaks (per quei pochi che ancora non sapessero cosa fa clicca qui) rilascia una sfilza di nuovi documenti provenienti dagli archivi dell’intelligence Americana (CIA).

Il team di Wikileaks ha quindi risvegliato nuovamente l’interesse pubblico sulle azioni “nascoste” (ormai sappiamo tutti di essere sempre spiati) dell’intelligence USA, questi nuovi documenti sono un primo estratto di un ben piu’ vasto archivio di documenti, contenente strumenti e procedure CIA, che coprono almeno 3 anni di attivita’ nel periodo 2013-2016.

Al suo interno sono riportati molte procedure/attivita’ segrete quali:

  • chiavi di accesso (backdoor) a molti sistemi informatici
  • sistemi per aggirare molti protocolli di rete ritenuti sicuri
  • moltissimi exploit per eludere antivirus (aziendali e privati)

Vault 7 (wikileaks-link) , cosi’ si chiama questa prima porzione di documenti rilasciata, che contiene oltre 7.800 pagine e 943 allegati che coprono il periodo 2013-2016. I documenti sono stati redatti, prima di essere pubblicati (quasi una novita’ x Wikileaks) , cosi da preservare eventuali dati che potrebbero mettere nei guai i contractor o gli hacker che erano o sono ancora a contratto con la CIA.

RIASSUMENDO
Quello che si apprende da Vault 7 spiega in pratica che la CIA possiede strumenti per violare smartphone Android e IOS, puo’ effettuare la decifratura delle conversazioni protette dai protocolli di tutti i sistemi di messenger (Telegram e Whatsapp inclusi), ed e’ in grado di ascoltare le conversazioni che vengono svolte, ad esempio, davanti ad una Smart-TV equipaggiata di microfono, e molto altro ancora che riguarda i device che usiamo quotidianamente e su cui riversiamo ogni tipo di dato riguardante le nostre vite personali e professionali.

Conclusioni
Oggi giorno e’ praticamente impossibile fare a meno delle innumerevoli, ottime e comode tecnologie che ci circondano e sempre piu’ ci affiancheranno nella nostra vita a 360 gradi; l’importante e’ continuare ad imparare, essere sempre curiosi di sapere come funziona una certa tecnologia, cosa puo’ fare e come possiamo essere noi a controllarla e non il contrario. Aggiornare sempre le versioni dei nostri sistemi ed ogni tanto, quando possibile rimanere un po’ anche offline, non puo’ far male a nessuno.

“don’t be evil”

GO il nuovo linguaggio web di Google

Google-GO

Google-GO new Web language

Che cosa è Go?
Go (chiamato anche GoLang) è un linguaggio di programmazione realizzato da Google. La progettazione è cominciata nel 2007. Tra gli ideatori del linguaggio ci sono anche nomi come Ken Thompson, Rob Pike, Robert Griesemer (i primi due sono stati anche tra i creatori del sistema operativo Unix). Il progetto è stato annunciato pubblicamente nel novembre 2009, e la versione 1.0 è uscita nel marzo 2012.

 

Le caratteristiche di Go
Go è un linguaggio statically-typed, significa che la verifica dei tipi di variabili è effettuata durante la compilazione (cosi come accade per C, Java, Scala e Pascal) e non durante il run-time (come accade per JavaScript, PHP, Python e Ruby).
Go soddisfa le esigenze della programmazione concorrente ed è stato progettato per ottimizzare i tempi di compilazione anche per hardware modesti. La sintassi è vicina al C eccetto per la dichiarazione dei tipi e per la mancanza di parentesi tonde nei costrutti for e if. Ha un sistema di garbage collection che si occupa autonomamente della gestione della memoria. Non include l’intercettazione di eccezioni, l’eredità dei tipi, la programmazione generica, le asserzioni e l’overloading dei metodi.

 

Go, linguaggio ideale per i webservices
Come accennato poco sopra, Go nasce come linguaggio generalista, ma negli ultimi anni di sviluppo si è affermato come linguaggio ideale per i webservices. Il motivo di questo successo si deve principalmente a tre aspetti:

  • facilità di deployment,
  • efficienza nell’uso della memoria,
  • gestione della concorrenza

Facilità di deployment
Rispetto ad altri linguaggi, Go ci permette di effettuare un server deployment estremamente semplice. Sulla macchina di produzione non è dunque necessario installare alcun webserver (Apache o Nginx), alcuna Virtual Machine (come in Java), alcun tipo di wrapper (come l’WSGI per il Python) e neppure nessuna componente del linguaggio Go.
Sara’ sufficiente copiare l’eseguibile Go e farlo girare sul server come un normale servizio.

Il file eseguibile di Go contiene gia tutto al suo interno:

  • il codice, il Go runtime,
  • il webserver,
  • eventuali libraries

Le dimensioni sono cosi’ particolarmente ridotte, in genere intorno ai 10 MB, ed i tempi di compilazione sono tra l’altro immediati, tipicamente meno di 1 secondo, ed è possibile fare cross-compilation da e per qualunque tipo di sistema operativo: Linux, Mac, Windows.

 

Efficienza nell’utilizzo della memoria
In termini di efficienza nell’utilizzo della memoria, Go è comparabile al linguaggio C, eliminando però molta della complessità tipica del C, utilizzando pattern di programmazione più solidi e intuitivi. Il garbage collector in Go è estremamente performante e, dalla versione 1.5 (oggi Maggio 2017 siamo alla versione 1.8.3) ha raggiunto una latenza molto vicina allo zero.

Comparata a quella di Java, l’impronta in memoria di Go è una frazione minuscola. Questo permette alle applicazioni scritte in Go di essere, oltre che semplici da scrivere, anche estremamente performanti, e di richiedere risorse hardware molto ridotte, ottimo ad esempio per ambienti su Docker.

 

Concurrency
Il fiore all’occhiello di Go è necessariamente l’estrema facilità con cui si possono scrivere applicazioni che utilizzano codice concorrente. Infatti, oltre ad essere sintatticamente semplici da scrivere, sono anche estremamente performanti. Nessun’ altro linguaggio di programmazione si avvicina a Go in questo aspetto.

La concorrenza in Go si può implementare in due modi: tramite i canali, che si ispirano alle teorie CSP (Communicating Sequential Processes) di C. Hoare, e tramite le goroutines, funzioni che possono essere eseguite in modo concorrente anche nell’ordine di molte migliaia.

Go inoltre offre uno strumento molto efficace per identificare eventuali data-race, ossia le situazioni in cui due
go-routine accedono alla stessa variabile in modo concorrente e almeno uno dei due accessi è in scrittura.

Altra novità molto interessante: Go è uno dei linguaggi ufficiali per la programmazione su Google App Engine – il servizio PaaS (Platform-as-a-Service) del Cloud di Big G – oltre a Python, PHP e Java. Proprio in questi giorni è stato annunciato che il supporto per Go sulla piattaforma non è più in fase beta ma risulta disponibile tra i servizi GA (Generally Available).

 

Non resta che provare ad adattarlo alle nostre esigenze !.