CITRIX databreach – Rubati 6 Terabyte di dati

Citrix databreach 6 Terabyte rubati

CyberWar, questo potrebbe essere il titolo di meta’ delle notizie che hanno a che fare con attacchi informatici di ogni genere, sia che siano diretti ad enti governativi o di Inteligence o che vadano a colpire grandi aziende.
Questo perche’ la CyberSecurity passa prima di tutto dalle aziende responsabili della creazione e dello sviluppo delle piattaforme informatiche/web che sempre piu’ quotidianemente usiamo ed useremo.

Pensando ai danni che potranno accadere con lo sviluppo delle tecnologie IoT, se non verranno ben gestite, il futuro digitale sembra vivere un momento di forte confusione. Ma veniamo alla notizia di qualche giorno fa.

L’attacco questa volte e’ avvenuto ai danni di Citrix, ed e’ di nuovo allarme sicurezza a livello mondiale, poiche’ questa volta la vittima è una di quelle aziende popolari, cosi come Facebook o Amazon, in quanto Citrix  e’ un’ azienda d’importanza e di forte impatto nel mercato delle soluzioni per la virtualizzazione desktop e server.

L’attacco e’ cosi importante, non soltanto per la quantita’ di dati sottratti, ma perche’ molti, o la stragrande maggioranza di essi, sono documenti tecnici di progettazione, che potrebbero quindi essere usati per accedere ai sistemi dei clienti che utilizzano le piattaforme Citrix. Tanto importante, dicevamo, che a gestire le indagini e’ intervenuta direttamente l’FBI, cosi come riportato anche in un’articolo di Forbes:
Why The Citrix Breach Matters And What To Do Next

Citrix ha immediatamente dichiarato di essere al lavoro per far rientrare l’allarme, ed ha aperto un’indagine interna, di tipo forense, per poter capire cosa e come sia successo.

Di per se a noi che non siamo direttamente coinvolti poco importa il COME, anche se lascia comunque basiti del fatto che, in pratica, non esiste alcune azienda che non sia attaccabile, sembra soltanto che sia piu’ una questione di tempo, di QUANDO questo succedera’.

In questo specifico caso, sembra che gli attaccanti avrebbero usato una tattica chiamata “password spraying”, in cui vengono sfruttate le password deboli per ottenere accesso al sistema, anche se limitato, per poi, successivamente, trovare il modo per aggirare i sistemi di sicurezza e fare escalation sul sistema vittima.

Quello che vorrei evidenziare, piu’ dell’attacco in se e piu’ ancora dell’azienda che e’ stata vittima, e’ che oggi giorno dovremmo tutti capire che Internet ( ossia il luogo in cui tutti noi ci scambiamo informazioni lavorative e/o personali ) e’ visto dagli altri “competitor” come un vero e proprio campo di battaglia, questo perche’ “la Rete” si e’ trasformata nel “Quinto Dominio Militare”, infatti il Cyberspazio è oramai da considerarsi la nuova frontiera della Guerra tra stati, un dominio in carenza di regolamentazione, dove i danni collaterali (le vittime ignare) siamo noi.

Consiglio a tutti la visione e l’ascolto di questo ottimo video che s’intitola per l’appunto GUERRA DIGITALE
con Matteo Flora & Stefano Mele.

Sneaky Phishing rompe la doppia autenticazione SMS

Sneaky Phishing vs 2FA

I ricercatori del Certfa Lab hanno individuato una campagna di sneaky phishing,  che potremmo tradurre genericamente come il phishing “subdolo”, che e’ in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.

Come abbiamo gia descritto in un recente articolo, anche i migliori sistemi di autenticazione online , tramite il 2FA, ossia il sistema di autenticazione a doppio fattore, soprattutto quello per cui interagiamo con il servizio a cui vogliamo collegarci tramite il doppio uso di Login+SMS codice, e’ ormai a rischio, motivo per cui sono nate le chiavette come la Yubikey o, piu’ recentemente, la Titan Security Key di Google.

Ma oggi purtroppo nuovi pericoli affliggono la gestione di accesso tramite SMS, infatti sono arrivate nuove tipologie di attacco informatico che possono invalidare il livello di sicurezza di questo sistema.

Oggi parleremo della truffa chiamata “Sneaky phishing”. Prima di questo nuovo attacco informatico, l’autenticazione a due fattori (two-factor authentication) era considerata il sistema di protezione più sicuro per proteggere i propri account, soprattutto quelli per l’accesso ai servizi di home banking, e proprio l’autenticazione basata su SMS negli ultimi tempi è stata colpita da vari attacchi “man-in-the-middle” e “man-in-the-browser”, nonché da frodi nello scambio di SIM di famosi provider di telefonia mobile.

L’attacco Sneaky phishing è stato creato attorno alla vecchia idea di inviare un falso allarme di accesso non autorizzato ad un account vittima, utilizzando un indirizzo generico ma dall’aspetto plausibile, come ad esempio:
” notifications.mailservices@gmail.com ”

L’inganno iniziale di questo attacco , che quindi sfrutta in partenza la tecnica del Phishing , sfrutta il fatto che Google, ma anche Yahoo e tutti gli altri grandi nomi di Internet, inviano spesso avvisi di sicurezza per informare i proprio utenti di un accesso sospetto ai rispettivi account da computer o dispositivi diversi da quelli utilizzati normalmente .

All’interno di questi messaggi possono trovarsi diverse altre tecniche di cattura dei dati di accesso per la violazione di un’account, quali ad esempio:

  • pagine e file di phishing ospitate su sites.google.com, un sottodominio di Google
  • invio dell’avviso e-mail come immagine cliccabile dell’add-on Screenshot di Firefox, piuttosto che come URL in modo da bypassare i sistemi di anti-phishing
  • tracciamento di chi ha aperto le e-mail incorporando un minuscolo pixel 1×1 cosiddetto “beacon” che viene ospitato e monitorato da un sito web esterno

…..etc……etc……..

Presumibilmente è stato così per la maggior parte dei loro bersagli, nella pratica i criminali hanno utilizzato una pagina web di phishing costruita ad hoc che imitava l’accesso 2FA del fornitore del servizio on-line utilizzato dalle vittime per dirottarle usando le tecniche di Phishing viste sopra.

COME DIFENDERSI ??

I sistemi di autenticazione a due o più fattori rimangono ancora i più efficaci sistemi per proteggere i propri account on-line, ma quanto successo , e si e’ dimostrato, con questa campagna di sneaky phishing conferma che l’SMS non è più l’opzione migliore per effettuare la verifica di accesso. Google, ad esempio, non la propone più ai suoi nuovi utenti, a meno che non sia stata impostata su vecchi account Gmail, ma spinge perche’ vengano usati sistemi di token hardware FIDO U2F, in quanto può essere bypassato solo accedendo fisicamente alla secure key.

Qualcuno potra’ obiettare che anche il token puo’ essere violato, se ad esempio viene perso o rubato ed a quel punto l’ultimo baluardo rimarrebbe la “robustezza” della nostra password…..si torna sempre li….l’errore umano.

Ma almeno percentualmente il sistema a doppio fattore gestito con un token hardware rimane, al momento, il sistema piu’ efficace di protezione dei nostri dati.

Torniamo adesso a parlare di quelli che possono essere degli utili consigli per difendersi :

  • prima di tutto, nel momento in cui riceviamo una e-mail, a prima vista lecita, dove ci viene richiesta un’autenticazione, verifichiamone sempre la provenienza e il contesto e poniamoci velocemente alcune domande: 1) Ho cambiato qualche parametro nei settaggi del mio account? 2) Sto creando un account o mi sono registrato ad un nuovo servizio? Se la risposta sara’ “niente di tutto questo” Allora lnon rimane che cestinarla immediatamente, poiche’ si trattera’ sicuramente di una e-mail potenzialmente pericolosa;
  • disabilitiamo il caricamento in automatico delle immagini. Molti fornitori di webmail offrono questo tipo di funzionalità, sfruttiamola;
  • se pensiamo di utilizzare applicazioni di terze parti per l’autenticazione, verificatene sempre la provenienza, usate soltanto URL/store ufficiali per i vostri download;
  • nel caso in cui, a maggior ragione, la sicurezza sia qualcosa di imprescindibile (in ambito personale o lavorativo), valutate l’idea di utilizzare dei token fisici come quelli descritti qui

Quello che bisogna ricordarsi sempre e’ che il Business del crimine e’ sempre pronto e molto spesso un passo avanti a tutti e chi ci lavora si allena quotidianamente…….fatelo anche voi 😉

Esiste una difesa efficace per l’OSINT?

Open Source-INTelligence

Open Source Intelligence

La Open Source INTelligence, acronimo OSINT (in italiano: “Intelligence delle fonti libere”), è l’attività di raccolta d’informazioni mediante la consultazione di fonti di pubblico accesso.

Cit.
“… OSINT is information that has been deliberately discovered, discriminated, distilled, and disseminated to a select audience, generally the commander and his/her immediate staff, in order to address a specific question. …”

Non ci fermeremo ad analizzare come funziona l’OSINT, per questo argomento ci sono decine di libri e centinaia di articoli che dettagliano le tante, tantissime tecniche (discipline) che compongono questa interessante metodologia.

Dunque la domanda e’ COME POSSIAMO DIFENDERCI?

Certamente il primo consiglio e’ quello di selezionare sempre con attenzione che cosa decidiamo “volontariamente” di condividere con il mondo, su quali social, con quali metodologie ed allo stesso tempo rimanere sempre aggiornati sui continui cambiamenti dei regolamenti dei social network a cui diamo con tanta gioia e facilita’ il controllo dei nostri ricordi, poiche’ alla fine e’ questo che ci muove, la “comodita’ ” di avere in un posto  foto/pensieri “momenti” unici che SPERIAMO rimarranno’ per sempre perche’ ci fidiamo che quei social rimarranno a lungo e si prenderanno cura delle “nostre cose”.

Andiamo avanti……come sopra indicato bisogna partire facendo un controllo attento, continuo ed accurato sulle Impostazioni Privacy del proprio utente nei vari Social Network;

Possiamo contare anche su una serie di servizi come HaveIBeenPwned, Google Alert, Talkwalk Alerts, Mention o MeltWater che permettono di avere sotto controllo la propria identità in rete.

In questo gia ricco arsenale possiamo introdurre un’ottimo sistema, il suo nome e’

OPERATIVE-FRAMEWORK

OF e’ un tool scritto in python che ci permette di fare cose davvero interessanti come, per esempio,

  • trovare domini registrati da una specifica mail
  • trovare attivita’ illecite  promosse da uno specifico utente
  • scoprire siti e-commerce truffaldini

….. e molte altre operazioni d’investigazione.

Il progetto e’ disponibile, in due versioni, su Github

  1. Operative Framework
  2. Operative Framework-HD

Le operazioni d’installazione e di configurazione sono ben descritte nelle pagine del progetto di Github, riportate sui link qui sopra. Una volta installati i pacchetti il loro uso e’ simile a quello di Metasploit, ad esempio con il comando “use” possiamo selezionare uno dei tanti moduli preinstallati:

$ use core/modules/email_to_domain

per poter vedere tutte le opzioni necessarie ad eseguire questa operazione bastera’ dare il seguente comando:

$ show_options

invece con il comando “set” possiamo configurare le variabili richieste per il funzionamento del modulo e “run” per lanciare il tutto.

Operative Framework

Operative Framework

Anche l’Operative Framework e’ solo una delle tante possibili armi nel bagaglio dell’OSINT, al punto che potremmo dedicare un’intera rivista elencando ogni singolo strumento a nostra disposizione, dunque con questo articolo ci stiamo soltanto limitando a dare uno sguardo a quei tool che sono fondamentali nella cassetta degli attrezzi di un’investigatore digitale.

Una raccolta di (quasi) tutti i tools disponibili in rete è data da https://osintframework.com, progetto a cui ogni giorno vengono aggiunti nuovi servizi.

IL WIFI TI SPIA ANCHE IN CASA

Wifi_Room_Photo

Wifi Rooms Spy Photo

 

CONTROLLATI H24

Non ci facciamo neppure caso ma oramai viviamo tutti come in ammollo in un denso e fitto mare “Elettromagnetico” continuo H24 e su frequenze diverse; proviamo a pensarci:

  • ci sono i telefonini 3G/4G/5G
  • ci sono le frequenze Radio, quelle Satellitari
  • ci sono le frequenze dei router domestici 2.4 – 5 GHz …. etc

tutte queste interferenze ruotano attorno a noi H24 / 365 giorni

Ma in questo articolo non parleremo delle potenzialita’ dannose di tutto questo, ma dobbiamo tenere presente che, li dove un dottore puo’ vedere danni per la salute, un hacker ci puo’ vedere delle potenzialita’ di controllo, come ad esempio spiare che cosa fanno le persone dentro le loro 4 mura.

Infatti, a differenza degli occhiali truffa degli anni 70/80, che promettevano di poter spiare le persone sotto i loro vestiti, le onde elettromagnetiche dei nostri device casalinghi, e non, che sfruttano le frequenze tra 2.4 – 5 GHz, possono davvero permettere di “vedere” dentro le case, poiche’ case ed uffici ne sono totalmente saturi (anche se noi non le possiamo vedere).

Basti pensare che i movimenti delle persone sono in grado di distorcere i campi elettromagnetici , riflettendo e rifrangendo le onde radio; questo tipo di studi sta diventando cosi importante a tal punto che ci sono ad oggi gia diversi gruppi di ricercatori che hanno portato avanti diversi progetti, con modelli di analisi delle variazioni e perturbazioni dei campi elettromagnetici delle frequenze usate dagli hot-spot casalinghi che permettono di vedere cosa succede dentro una casa, cosi come in una radiografia.

SPIATI IN AZIENDA – Per tenere sotto controllo il movimento degli impiegati non servono telecamere, bastano un paio di router Wi-Fi

Quello che ne sta venendo fuori e’ davvero sorprendente.

Un gruppo di ricerca dell’Universita’ della California (Santa Barbara), guidato da Yanzi Zhu, e’ riuscito a determinare la posizione delle persone presenti all’interno di una stanza, e registrarne i movimenti, basandosi semplicemente sul segnale di una rete WIFI “vista da fuori”, ossia senza essersi prima loggati.
Il tutto utilizzando un semplice telefono Android con installato il software creato dai ricercatori.

Tutto questo, tecnicamente perche’ le onde elettromagnetiche in generale, e quelle degli apparati wifi in particolare, passano attraverso determinati tipi di solidi e non altri.
In particolare muri e pareti, che non contengono metallo o tubi con acqua, risultano essere in pratica particolarmente  “trasparenti”.

I corpi umani, fatti per il 70% di acqua, bloccano il passaggio delle onde radio, riflettendole, un po’
come quando vengono usati i radar. Questo genera un’immagine delle persone che si muovono, come silhouette
in una specie di ecografia tridimensionale, in tempo reale.

Per avere una “telemetria” quasi perfetta, che permetta di seguire tutti i corpi in movimento, non basta una sola fonte ma considerando che in ogni edificio moderno possiamo trovare N campi wifi dei router casalinghi attorno a noi, o dei ripetitori di segnale, li dove la casa e’ piu’ grande di un normale appartamento, potremmo sicuramente riuscire ad avere una immagine piu’ dettagliata che ci permettera’ di posizionare tutti i corpi nello spazio.

Quindi per concludere, se almeno di notte non dovete lavorare o scaricare serie tv, spegnete il wifi, fara’ bene alla salute e sara’ comunque piu’ sicuro.

Facebook Bug Bounty

Facebook Bug-Bounty

Forse non molti sanno che in un periodo cosi proficuo per attacchi hacking di ogni tipo, i colossi del web, tra cui Facebook, hanno istituito interessanti premi per chiunque voglia testare la sicurezza dei loro sistemi, ed affiliati quali:

 

  • Instagram
  • Internet.org/Free Basics
  • Oculus
  • Onavo
  • Progetti open source di Facebook (ad es. osquery)
  • WhatsApp

 

Migliori spiegazioni le potete trovare alla seguente pagina https://www.facebook.com/whitehat
che riporta in modo chiaro quali sono le regole e le modalita’ di svolgimento del “Programma” WHITEHAT

Nella pratica, possiamo dire che i responsabili della sicurezza di Facebook, Instagram e compagnia bella hanno deciso che il miglior modo per verificare il loro buon operato e’ quello di lasciare “carta bianca” a tutti coloro (hacker, whitehat, pirati informatici …) che sono interessati a bucare uno dei due miliardi di account dei loro social.

La ricompensa base e’ di 500 $ ma ben piu’ alta e’ la posta se qualcuno dovesse trovare bug ben piu’ importanti come degli zero-day.

Per exploit di alto impatto , la ricompensa dovrebbe essere di, 40.000 $ se, per impadronirsi dell’account, l’attacco non richiedera’ la ben che minima interazione del proprietario, Si scende invece a 25.000 $ se l’attacco e’ in grado di andare a segno con l’interazione da parte del proprietario dell’account (magari anche solo con un click sul link sbagliato ricevuto via mail…..phishing a go-go).

Buona caccia…..

#FacebookBugBounty