Sneaky Phishing rompe la doppia autenticazione SMS

Sneaky Phishing vs 2FA

I ricercatori del Certfa Lab hanno individuato una campagna di sneaky phishing,  che potremmo tradurre genericamente come il phishing “subdolo”, che e’ in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.

Come abbiamo gia descritto in un recente articolo, anche i migliori sistemi di autenticazione online , tramite il 2FA, ossia il sistema di autenticazione a doppio fattore, soprattutto quello per cui interagiamo con il servizio a cui vogliamo collegarci tramite il doppio uso di Login+SMS codice, e’ ormai a rischio, motivo per cui sono nate le chiavette come la Yubikey o, piu’ recentemente, la Titan Security Key di Google.

Ma oggi purtroppo nuovi pericoli affliggono la gestione di accesso tramite SMS, infatti sono arrivate nuove tipologie di attacco informatico che possono invalidare il livello di sicurezza di questo sistema.

Oggi parleremo della truffa chiamata “Sneaky phishing”. Prima di questo nuovo attacco informatico, l’autenticazione a due fattori (two-factor authentication) era considerata il sistema di protezione più sicuro per proteggere i propri account, soprattutto quelli per l’accesso ai servizi di home banking, e proprio l’autenticazione basata su SMS negli ultimi tempi è stata colpita da vari attacchi “man-in-the-middle” e “man-in-the-browser”, nonché da frodi nello scambio di SIM di famosi provider di telefonia mobile.

L’attacco Sneaky phishing è stato creato attorno alla vecchia idea di inviare un falso allarme di accesso non autorizzato ad un account vittima, utilizzando un indirizzo generico ma dall’aspetto plausibile, come ad esempio:
” notifications.mailservices@gmail.com ”

L’inganno iniziale di questo attacco , che quindi sfrutta in partenza la tecnica del Phishing , sfrutta il fatto che Google, ma anche Yahoo e tutti gli altri grandi nomi di Internet, inviano spesso avvisi di sicurezza per informare i proprio utenti di un accesso sospetto ai rispettivi account da computer o dispositivi diversi da quelli utilizzati normalmente .

All’interno di questi messaggi possono trovarsi diverse altre tecniche di cattura dei dati di accesso per la violazione di un’account, quali ad esempio:

  • pagine e file di phishing ospitate su sites.google.com, un sottodominio di Google
  • invio dell’avviso e-mail come immagine cliccabile dell’add-on Screenshot di Firefox, piuttosto che come URL in modo da bypassare i sistemi di anti-phishing
  • tracciamento di chi ha aperto le e-mail incorporando un minuscolo pixel 1×1 cosiddetto “beacon” che viene ospitato e monitorato da un sito web esterno

…..etc……etc……..

Presumibilmente è stato così per la maggior parte dei loro bersagli, nella pratica i criminali hanno utilizzato una pagina web di phishing costruita ad hoc che imitava l’accesso 2FA del fornitore del servizio on-line utilizzato dalle vittime per dirottarle usando le tecniche di Phishing viste sopra.

COME DIFENDERSI ??

I sistemi di autenticazione a due o più fattori rimangono ancora i più efficaci sistemi per proteggere i propri account on-line, ma quanto successo , e si e’ dimostrato, con questa campagna di sneaky phishing conferma che l’SMS non è più l’opzione migliore per effettuare la verifica di accesso. Google, ad esempio, non la propone più ai suoi nuovi utenti, a meno che non sia stata impostata su vecchi account Gmail, ma spinge perche’ vengano usati sistemi di token hardware FIDO U2F, in quanto può essere bypassato solo accedendo fisicamente alla secure key.

Qualcuno potra’ obiettare che anche il token puo’ essere violato, se ad esempio viene perso o rubato ed a quel punto l’ultimo baluardo rimarrebbe la “robustezza” della nostra password…..si torna sempre li….l’errore umano.

Ma almeno percentualmente il sistema a doppio fattore gestito con un token hardware rimane, al momento, il sistema piu’ efficace di protezione dei nostri dati.

Torniamo adesso a parlare di quelli che possono essere degli utili consigli per difendersi :

  • prima di tutto, nel momento in cui riceviamo una e-mail, a prima vista lecita, dove ci viene richiesta un’autenticazione, verifichiamone sempre la provenienza e il contesto e poniamoci velocemente alcune domande: 1) Ho cambiato qualche parametro nei settaggi del mio account? 2) Sto creando un account o mi sono registrato ad un nuovo servizio? Se la risposta sara’ “niente di tutto questo” Allora lnon rimane che cestinarla immediatamente, poiche’ si trattera’ sicuramente di una e-mail potenzialmente pericolosa;
  • disabilitiamo il caricamento in automatico delle immagini. Molti fornitori di webmail offrono questo tipo di funzionalità, sfruttiamola;
  • se pensiamo di utilizzare applicazioni di terze parti per l’autenticazione, verificatene sempre la provenienza, usate soltanto URL/store ufficiali per i vostri download;
  • nel caso in cui, a maggior ragione, la sicurezza sia qualcosa di imprescindibile (in ambito personale o lavorativo), valutate l’idea di utilizzare dei token fisici come quelli descritti qui

Quello che bisogna ricordarsi sempre e’ che il Business del crimine e’ sempre pronto e molto spesso un passo avanti a tutti e chi ci lavora si allena quotidianamente…….fatelo anche voi 😉

La UE ricompensa chi scova bug

Bug Bounty UE Environment

Ormai e’ una tendenza che trova sempre maggiori conferme ogni giorno che passa, infatti e’ di pochissimi giorni la nuova interessante notizia (per chi lo e’ gia e per chi vorrebbe diventare un Bug Bounty), che imparare a scovare i bug nel codice e’ un lavoro molto remunerativo.

Proprio pochi giorni fa avevamo pubblicato l’articolo FB Bug Bounty e scopriamo con interessato stupore che anche la UE ha deciso di istituire qualcosa di simile.

Come gia ampiamente affermato “non esiste software esente da bug” , non lo sono i progetti a codice chiuso e, chiaramente, non lo sono nemmeno quelli Open Source, ma con l’ovvio vantaggio che chi sa e puo’ fare, diventa facilmente un “revisore” di codice ad uso e consumo di tutti coloro che quel software decidono di usarlo.

Insomma e’ un po’ come quando si parla della Blockchain e si dice “ecco il codice, la transazione e’ li pubblica, verificatela”, o come quando si scrivono le pagine di Wikipedia, se si scrive qualcosa di inesatto, ci sara’ qualcun’altro che leggendo fara’ la correzione etc…..

A parte cio’ quale miglior modo di convincere il maggior numero possibile di programmatori (ed esperti di codice) , ad usare il proprio talento e tempo se non quello di offire delle vere e proprie “taglie” sulla testa dei Bug 😉

Questo sistema, funziona ormai talmente bene, pensiamo a coloro che scovano i famigerati zero-day per i grandi colossi (Apple, Facebook, Whatsapp, Huawei….etc), che anche la Unione Europea ha deciso di varare un proprio programma di ricompensa economica, come parte del progetto FOSSA (Free and Open Source Software Audit).

L’iniziativa è stata annunciata, con un post sul suo sito web, da Julia Reda, membro del European Pirate Party e co-fondatrice del progetto FOSSA, con il titolo:
In January, the EU starts running Bug Bounties on Free and Open Source Software

Dunque, a partire da Gennaio 2019 la Commissione Europea garantira’ finanziamenti ai progetti di “caccia al bug”, ma non per ogni progetto Open esistente al mondo, soltanto per una lista ben specifica di 15 Programmi che sono ovviamente utilizzati a livello Istituzionale ed Europeo, con ricompense che vanno da 17.000 a 90.000 euro.

La lista dei progetti open source interessati comprende parecchi software noti:

  • 7-zip
  • Apache Kafka
  • Apache Tomcat
  • Digital Signature Services (DSS)
  • Drupal
  • Filezilla
  • FLUX TL
  • the GNU C Library (glibc)
  • KeePass
  • Notepad++
  • PuTTY
  • PHP Symfony
  • VLC Media Player
  • WSO2
  • Midpoint

I ricercatori, gli sviluppatori, gli esperti di sicurezza, insomma tutti coloro i quali sono interessati a dare il loro contributo, dovranno segnalare la presenza di eventuali bug attraverso le piattaforme HackerOne e Intigriti/Deloitte.
I programmi termineranno tra il 31 luglio 2019 e il 15 aprile 2020, mentre quelli che potete leggere sulla tabella qui sotto saranno i premi in denaro per ogni software. Good Luck !!!

 

 

UE Bug Bounty Program

Google Titan Security Key

Google Titan Security Key

SICUREZZA SICUREZZA SICUREZZA…….

La parola piu’ utilizzata e letta su ogni articolo, anche non a carattere tecnico, che si intenda la sicurezza nelle citta’, oppure quella sui social media, ma ancor di piu’ il peso di questa parola lo si nota attorno a tutto cio che gravita’ sui nostri device, sia quelli personali, sia quelli che utilizziamo quotidianamente in ufficio.

Questo perche’ oggi la SICUREZZA colpisce/interessa tutti in ogni istante della nostra vita. Ogni giorno usiamo , centinaia di volte al giorno, device tecnologici di ogni tipo (SmartTV, SmartPhone, IoT, Router, AccessPoint….) e per ognuno di questi, teoricamente, dovremmo poter essere in grado di sapere cosa e come fare per proteggere i nostri dati e la nostra identita’ tecnologica, che sempre di piu’ rappresentera’ noi stessi, chi siamo, cosa facciamo, come lo facciamo…….

Ma nella realta’ chi di noi ha veramente le conoscenze ed il desiderio di doversi occupare quotidianamente della propria sicurezza; la maggior parte di noi stenta a ricordarsi di cambiare la password dell’account di posta oppure dell’utenza per l’home banking etc……, tutto questo perche’ preferiamo pensare che non saremo certo noi a diventare vittime di un qualsiasi hacker che sicuramente ha altri interessi piu’ importanti. Purtroppo non e’ cosi, oggi giorno siamo tutti collegati e la singola persona, il dipendente “qualunque”, potrebbe essere l’anello debole della catena che permette all’hacker di entrare nell’infrastruttura che vuole colpire e da li, piano piano scalare fino ad avere cio che gli serve…..

Il discorso e’ troppo lungo, ed e’ gia stato trattato in altri articoli, nella sezione (manco a dirlo) 😉 “sicurezza” di questo blog ed altri arriveranno. Fatto sta che per poter aumentare (garantire e’ una parola che non esiste, nulla e’ sicuro al 100%) il nostro livello di sicurezza possiamo per lo meno attivare, li dove ci e’ possibile, quelle funzioni denominate accesso a due fattori, sui nostri account di posta, sul nostro profilo FB …etc….

L’accesso a due fattori (2FA) esiste gia da un po’ di tempo ed è considerato uno dei metodi più sicuri per proteggere i propri dati online da eventuali malintenzionati. Tuttavia, neanche questo sistema può considerarsi impenetrabile ed anch’esso si evolve, da una prima modalita’ tramite invio di codice SMS, sino alla sua versione migliore tramite l’uso di Security Key, tra le piu’ usate ad esempio la Yubico

Anche questa tecnologia deve comunque tenersi sempre aggiornata, ed e’ notizia di questi ultimi giorni che anche Big G ha creato una Security Key dal nome “Titan Security Key“, in pratica e’ stata annunciata come una chiavetta per autenticarsi con la massima sicurezza ed a prova di phishing (ad oggi una delle vulnerabilita’ peggiori sul web).

In soldoni, la Titan Security Key, che inizialmente era disponibile solo per i clienti Cloud americani, oggi e’ in vendita sul Google Store per chiunque la volesse acquistare.
E’ un dispositivo di sicurezza utilizzato per gli account che sfruttano il doppio fattore di autenticazione, che permette di autenticare gli accessi tramite Bluetooth o USB.

Il dispositivo funziona con i browser più diffusi (incluso chiaramente Chrome) e può essere sfruttato all’interno di un crescente ecosistema di servizi che supportano lo standard FIDO, uno standard di autenticazione compatibile con numerose app e browser (gli account Google supportano le chiavi di sicurezza e altri accessi FIDO gia dal 2014), di conseguenza, il dispositivo può essere utilizzato anche per accedere a servizi diversi da Google (Facebook, Twitter, Dropbox, Gmail….. e molti altri ), anche se questi potrebbero non essere in grado, in questo momento, di usufruire appieno del firmware speciale sviluppato da Google ed inserito nelle Titan Security Key.

Come accennato prima, esistono due versioni della Titan Security Key di Google: una è USB mentre l’altra e’ dotata di connettività Bluetooth.
In entrambi i casi la chiavetta andra’ accoppiata con i propri account seguendo le indicazioni fornite da Google all’interno della confezione.

La versione USB, dunque la chiavetta fisica in se, è di piccole dimensioni, mentre la seconda versione, altrettanto piccola, essendo basata su tecnologia Bluetooth, a differenza della precedente non richiede l’inserimento fisico nel dispositivo (PC/Mac), ma è sufficiente la pressione del pulsante, presente su una delle facce, ed un accoppiamento via/Bluetooth per poter inviare i token di accesso/login nel momento desiderato.
La funzionalità del Token di sicurezza è la medesima della versione USB e, nella confezione è fornito un cavetto USB utile per la configurazione iniziale.

Ad oggi, dalle stime di Google soltanto il 10% degli account Google hanno attivato il sistema di autenticazione a due fattori sui relativi device. Una percentuale davvero bassa e sicuramente molte persone non gradiranno dover pagare un’oggetto per aumentare la loro sicurezza, poiche’ ci si aspetta che essa debba essere garantita e gratuita.

Molti ancora non vorranno doversi portare (seppur davvero piccolo e leggero) dietro l’ennesimo device/oggetto; ma al momento e’ un piccolo prezzo da pagare nella fase di adeguamento che subira’ Internet come lo conosciamo oggi, poiche’ quando nacque alla fine degli anni 60 (parlando di ARPANET) i protocolli creati all’inizio e che ancora sostengono il core dell’infrastruttura che chiamiamo Internet non erano pensati per i livelli di sicurezza richiesti oggi.

Concludo aggiungendo che per coloro che usano molti dei servizi offerti da Google per il proprio lavoro professionale, i token di sicurezza Titan sono compatibili con il Programma di protezione avanzata, il più potente strumento per la sicurezza offerto da Google per preservare gli Account Google (come giornalisti, attivisti, dirigenti aziendali e team di campagne elettorali) dal rischio di attacchi mirati.

Esiste una difesa efficace per l’OSINT?

Open Source-INTelligence

Open Source Intelligence

La Open Source INTelligence, acronimo OSINT (in italiano: “Intelligence delle fonti libere”), è l’attività di raccolta d’informazioni mediante la consultazione di fonti di pubblico accesso.

Cit.
“… OSINT is information that has been deliberately discovered, discriminated, distilled, and disseminated to a select audience, generally the commander and his/her immediate staff, in order to address a specific question. …”

Non ci fermeremo ad analizzare come funziona l’OSINT, per questo argomento ci sono decine di libri e centinaia di articoli che dettagliano le tante, tantissime tecniche (discipline) che compongono questa interessante metodologia.

Dunque la domanda e’ COME POSSIAMO DIFENDERCI?

Certamente il primo consiglio e’ quello di selezionare sempre con attenzione che cosa decidiamo “volontariamente” di condividere con il mondo, su quali social, con quali metodologie ed allo stesso tempo rimanere sempre aggiornati sui continui cambiamenti dei regolamenti dei social network a cui diamo con tanta gioia e facilita’ il controllo dei nostri ricordi, poiche’ alla fine e’ questo che ci muove, la “comodita’ ” di avere in un posto  foto/pensieri “momenti” unici che SPERIAMO rimarranno’ per sempre perche’ ci fidiamo che quei social rimarranno a lungo e si prenderanno cura delle “nostre cose”.

Andiamo avanti……come sopra indicato bisogna partire facendo un controllo attento, continuo ed accurato sulle Impostazioni Privacy del proprio utente nei vari Social Network;

Possiamo contare anche su una serie di servizi come HaveIBeenPwned, Google Alert, Talkwalk Alerts, Mention o MeltWater che permettono di avere sotto controllo la propria identità in rete.

In questo gia ricco arsenale possiamo introdurre un’ottimo sistema, il suo nome e’

OPERATIVE-FRAMEWORK

OF e’ un tool scritto in python che ci permette di fare cose davvero interessanti come, per esempio,

  • trovare domini registrati da una specifica mail
  • trovare attivita’ illecite  promosse da uno specifico utente
  • scoprire siti e-commerce truffaldini

….. e molte altre operazioni d’investigazione.

Il progetto e’ disponibile, in due versioni, su Github

  1. Operative Framework
  2. Operative Framework-HD

Le operazioni d’installazione e di configurazione sono ben descritte nelle pagine del progetto di Github, riportate sui link qui sopra. Una volta installati i pacchetti il loro uso e’ simile a quello di Metasploit, ad esempio con il comando “use” possiamo selezionare uno dei tanti moduli preinstallati:

$ use core/modules/email_to_domain

per poter vedere tutte le opzioni necessarie ad eseguire questa operazione bastera’ dare il seguente comando:

$ show_options

invece con il comando “set” possiamo configurare le variabili richieste per il funzionamento del modulo e “run” per lanciare il tutto.

Operative Framework

Operative Framework

Anche l’Operative Framework e’ solo una delle tante possibili armi nel bagaglio dell’OSINT, al punto che potremmo dedicare un’intera rivista elencando ogni singolo strumento a nostra disposizione, dunque con questo articolo ci stiamo soltanto limitando a dare uno sguardo a quei tool che sono fondamentali nella cassetta degli attrezzi di un’investigatore digitale.

Una raccolta di (quasi) tutti i tools disponibili in rete è data da https://osintframework.com, progetto a cui ogni giorno vengono aggiunti nuovi servizi.

AUSTRALIA VIETA LA SICUREZZA INFORMATICA

Australian Assistance and Access Act

In un periodo in cui leggiamo quotidianamente di attacchi informatici di ogni genere, rivolti ad aziende, cosi come a privati , diventa “normale” pensare che lo standard dovrebbe essere far diventare tutti piu’ attenti e preparati nell’uso delle tecnologie, per evitare di diventare vittime.

Fa dunque ancor piu’ strano leggere una notizia che sembra voler far fare un salto indietro al processo d’informatizzazione e di gestione della privacy.
La notizia e’ quella che arriva dalla lontana Australia, infatti il parlamento Australiano ha spiazzato tutti votando una norma che, nello specifico renderebbe “obbligatorie backdoor e crittografia illegale“.

Nella pratica questa e’ a tutti gli effetti una legge che “vieta la sicurezza”; la nuova normativa impone alle società, come Facebook (che possiede anche WhatsApp), Apple o altre a cedere dati alle autorità e alle Forze di Polizia, tutto cio anche senza l’ausilio del mandato di un giudice, e nel caso in cui i dati richiesti dovessero essere crittografati, questi ultimi (le aziende) dovranno anche fornire le chiavi di decodifica.

Se gia questo non fosse abbastanza per indignarsi e gridare allo scandalo ed alla fine della “privacy” la norma aggiunge anche che dovranno essere “imposte backdoor ad uso delle autorita’ “, affinché possano accedere alle comunicazioni dei cittadini ogni qual volta lo ritengano necessario.

Ok, qualcuno potrebbe pensare “va bene ma tanto io ho il mio amico di fiducia che lavora nell’IT, lui potra’ disabilitare tutto…” , purtroppo NO, poiche’ per la nuova legge australiana è illegale per i tecnici rifiutarsi di creare queste backdoor, e lo è anche fare da consulenti o opporsi a un ordine di questo tipo.

Nel concreto, queste leggi impongono a società come Apple e tutte le altre di aggiungere le backdoor ad insaputa dell’utente, direttamente all’interno dei dispositivi e dei software che verranno autorizzati dal governo, cosi che successivamente potranno essere usati dagli investigatori per monitorare le conversazioni.

Si pongono subito due grandi questioni da affrontare :

  • problema ETICO
  • problema TECNICO

in questo articolo non verra’ analizzato il primo problema poiche’ e’ troppo personale dato che ci sono sicuramente persone che pensano nella modalita’ ” io non ho nulla da nascondere , preferisco sentirmi protetto…” lascio dunque piena liberta’ ad ognuno di riflettere soltanto sulla notizia senza fare una sterile polemica .

Quello su cui mi sento di parlare e’ l’aspetto tecnico della legge in quanto ormai sappiamo che ad oggi ogni software che utilizziamo e’ molto spesso fallace, vengono riscontrati quoitidianamente dai whitehat o da pen tester Bugs di ogni tipologia, piu’ o meno gravi (zero-days), e le aziende passano spesso molto piu’ tempo a correggere bugs che ad implementare nuove funzioni.
Visto che tutti questi bugs permettono gia cosi di poter accedere ai nostri dati personali su qualunque device in nostro possesso (smartphone, router-wifi, spazio cloud…), la presenza di backdoor preinstallate renderebbe di fatto ogni device gia pronto ad essere violato non soltanto dalla polizia, fosse anche per motivi “leciti”, ma da chiunque che tecnicamente sia in grado di scoprirle ed utilizzarle, ritrovandosi cosi una specie di autostrada verso le informazioni private di ogni cittadino.

Dovremo forse tornare a scrivere le cose sulle agendine di carta ? anche perche’ a questo punto non ha più senso scambiarsi messaggi crittografati, come per esempio sulle chat di Telegram o WhatsApp, se poi esiste il modo di bypassare la sicurezza data dalla crittografia.

La storia recente ha gia insegnato che molti tools creati dalla NSA per motivi simili, alla fine sono finiti nel mercato nero del web e venduti al miglior offerente per spinaggio industriale o per stalking etc…….

Per finire vi segnalo due ottime serie Netflix che trattano quest’argomento:

#CeDaPreoccuparsi