DEBKAfile - sito d’informazione militare localizzato in Gerusalemme che fornisce informazioni e analisi su fatti terroristici, strategie militari e mosse politiche nel medio oriente - avrebbe rilasciato alcune news secondo le quali una cyber-jihad sarebbe stata dichiarata dai seguaci di Osama Bin Laden contro i maggiori obiettivi cybernetici occidentali. Le fonti delle news sarebbero però ignote.

In un comunicato in lingua araba rilasciato Lunedì 29 Ottobre, i seguaci di Osama Bin Laden avrebbero indetto l’inizio della Electronic-Jihad per Domenica 11 Novembre. In quel giorno, gli esperti di sicurezza informatica di Al Qaeda dovrebbero iniziare ad attaccare importanti siti web dell’Occidente, di nazionalità ebraica, israeliana e sciita.

Il primo giorno gli esperti dovrebbero testare le loro abilità contro 15 siti web già scelti e la guerra dovrebbe proseguire fino a quando centinaia di migliaia di pirati informatici islamici saranno entrati in azione contro un non meglio precisato numero di siti web anti-musulmani.

Sempre dalle stesse fonti, sembrerebbe inoltre che un e-mail-network impenetrabile sia stato configurato in maniera tale da poter coordinare le azioni di questa cyber-guerriglia.

Ora, se è vero che DEBKAfile non abbia mai brillato per attendibilità delle notizie comunicate (durante la guerra in Iraq nel 2003 comunicò che Saddam Hussein avrebbe utilizzato armi nucleari e biologiche) e che non è sicuramente la migliore tecnica di attacco quella di avvertire gli eventuali bersagli in anticipo, è altresì vero che gli attacchi DDoS verso importanti siti web internazionali siano aumentati in maniera vertiginosa durante questi ultimi mesi. Stiamo registrando una diffusione di nuovi malware - totalmente sconosciuti ai software antivirus - che desta pensiero, soprattutto perché spesso non fanno rumore e non vengono facilmente individuati.

Lo scopo degli attacker non è più quello di diffondere la propria creatura in tutto il mondo per far parlare di sé, anzi lo scopo è tutto l’opposto. Colpire in maniera precisa un limitato e circoscritto territorio, senza far troppo rumore, al fine di ottenere un certo numero di PC sotto il proprio controllo. Ottenere una botnet di decina di migliaia di pc, sparsi in tutto il mondo non è un’opera difficile, basti vedere come un’infezione come Gromozon si diffuse in maniera silenziosa per mesi.

Una botnet da almeno 25.000 zombie basta per mettere in crisi molti server e al momento sono tracciate botnet anche più numerose, secondo alcune statistiche i pc che potrebbero far parte di botnet sono un quarto dei pc connessi ad internet - circa 150 milioni.

Continuo a pensare che la prossima guerra mondiale sarà virtuale, almeno in parte.

Sono passati alcuni giorni dal mio primo articolo relativo alla compromissione dei siti web su alcuni server dell’hoster Seeweb ed è arrivata, per mezzo di Punto Informatico, una interessantissima risposta da parte della stessa società. A prescindere dai motivi tecnici e dall’analisi delle cause dell’attacco, è da apprezzare la veloce risposta pubblica che il CEO di Seeweb Antonio Baldassarra ha rilasciato per chiarire la situazione e mettere al corrente, indice di interessamento della società verso i propri clienti.

Detto questo, più importante di quanto possa sembrare, si può passare a ragionare sulle possibili modalità con cui questo attacco sia stato sferrato.

Da quanto si apprende dalle dichiarazioni di Seeweb, le pagine modificate sembrerebbero essere state modificate previo accesso ftp con le credenziali corrette. Su questo punto non ci dovrebbero essere grossi dubbi, anche perché si è già a conoscenza di numerosi tool venduti nel mercato nero online adibiti a questo scopo - cioè alla modifica delle pagine web con accesso via ftp e credenziali corrette, controllo se il codice iniettato sia ancora presente dopo un lasso di tempo e in caso possibile nuova re-iniezione del codice.

Ora bisogna fare un passo indietro e tentare di immaginare come sia stato possibile ricavare le credenziali di accesso per i siti web.

Seeweb ha dichiarato che le macchine colpite non presentano vulnerabilità note né sono soggette ad exploit zero-day a livello di rumors. Tralasciando per un momento gli attacchi zero-day, che non sono di facile individuazione sebbene si possano utilizzare strumenti di prevenzione e di analisi statistica, il problema, almeno secondo il mio parere, non è stato totalmente centrato.

Il fatto che in questo momento le macchine non soffrano di alcuna vulnerabilità nota non esclude a priori che in periodi passati non ci possa essere stato un qualche - seppur breve - periodo in cui le macchine siano state vulnerabili a qualche tipologia di attacco zero-day poi patchata nel giro di qualche giorno. Non voglio né posso assolutamente affermare che i tecnici di Seeweb non abbiano aggiornato tempestivamente le macchine con le ultime patch di sicurezza non appena queste siano state rilasciate.

Ciò su cui volevo far riflettere è il fatto che non necessariamente il lasso di tempo intercorso tra i due attacchi - tra quando le credenziali di accesso sono state recuperate e quando sono state utilizzate - sia minimo. In altre parole le credenziali potrebbero essere state recuperate molto tempo prima, magari in un periodo durante il quale era stato scoperto un possibile zero-day exploit o una vulnerabilità nota non tempestivamente sistemata. Poi, una volta recuperate, potrebbero essere state vendute al miglior offerente - identità digitali e password sono, ahimé, merce pregiata.

Come anche Baldassarra ha fatto notare, infatti, c’è una sorta di differenziale tecnologico nelle due fasi dell’attacco, il che lascia presumere che non siano state le stesse persone ad averli effettuati.

Altra ipotesi, rimarcata dallo stesso product manager di Seeweb, è quella di un probabile sniffing della rete. Quello che, almeno a prima vista, mi sembra particolarmente difficile è che sia stato effettuato al di fuori fuori della rete Seeweb. Insomma, in altre parole o gli attacker sono stati bravi e fortunati a beccare tutti gli username e password di gran parte degli utenti che erano ospitati su precisi server o qualcosa non torna. Le modalità di attacco sono state le stesse utilizzate contro Aruba e Hosting Solutions, anche se gli iframe iniettati non sempre sono stati gli stessi - questo a rafforzare l’ipotesi di gruppi differenti nell’utilizzo delle credenziali mentre un possibile unico gruppo in grado di recuperarle in qualche maniera. Le ipotesi che potrebbero venir fuori sono:

• gli attacker sono stati fortunati e sniffando li hannno beccati tutti di Seeweb;
• visti i siti compromessi sia su Aruba che su Seeweb e Hosting Solutions, questi eventuali pirati informatici sono in possesso di centinaia di migliaia di credenziali di accesso ricavati da continui sniffing della rete nazionale (magari con keylogger installati su centinaia di migliaia di pc) e li utilizzano in gruppi di singoli hosting provider ogni volta che lanciano un attacco (il che sarebbe veramente preoccupante);
• lo sniffing è avvenuto in qualche maniera all’interno della rete, magari da qualche macchina che risiede nel percorso di rete tra l’utente e il proprio server e che può interfacciarsi sul traffico; magari una macchina che è stata compromessa per un breve lasso di tempo per poi essere formattata e reinstallata da parte dei tecnici ignari che la macchina appena formattata stesse in realtà funzionando da sniffer di rete.

Cercare un elemento che accomuni i clienti colpiti non è semplice, soprattutto perché a questo punto non si tratta solo dei clienti di Seeweb ma anche le migliaia di utenti colpiti su Aruba e poi ancora Hosting Solutions. In tutti e tre i casi sembrerebbe che gli iframe siano arrivati legalmente da un accesso ftp. Ma cosa possono avere migliaia di utenti in comune? Personalmente ritengo sia difficile trovare qualcosa che li possa accomunare.

Interessante potrebbe essere svolgere la seguente indagine: controllare su uno dei server colpiti le date di creazione e di ultimo update del dominio attraverso un servizio Whois e controllare quale è il limite massimo in termini di data temporale tra i domini colpiti; controllare poi se i domini non colpiti siano stati creati dopo questo limite temporale. Se c’è una certa corrispondenza, con un lieve margine di errore e imprecisione, si potrebbe già restringere il campo e le date su quando l’attacco si potrebbe essere svolto.

Io purtroppo il tempo di fare questa indagine non ce l’ho al momento.

Come avrete potuto notare, il sito PC Al Sicuro risulta ultimamente poco aggiornato. Lavoro, studio e impegni personali mi stanno saturando di molto il tempo libero, limitando il tempo dedicato a sito e forum.

Approfitto di questi due minuti durante una lezione universitaria per aggiornare queste pagine con una segnalazione che mi è stata riportata giorni fa.

Come si è parlato già addietro, il 2007 è diventato di diritto l’anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi.

Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica.

Un discreto numero di siti web ospitati su alcuni server della nota società italiana sono stati alterati, molti dei quali sembrerebbe inoltre siano stati modificati durante queste ultime settimane.

Poco meno di un centinaio di siti web, di cui circa 70 gli ultimi arrivati, contengono nel codice della propria home page un iframe che reindirizza il browser dell’utente ignaro verso un terzo server contenente codice maligno.

L’infezione che ne deriva, in caso si utilizzi software non aggiornato, è il solito Rootkit.DialCall con sample aggiornati per evitare di essere individuati dai software antivirus. Il nuovo indirizzo IP utilizzato dai malware writer è 81.29.241.238, sempre appartenente allo stesso range degli indirizzi IP precedentemente utilizzati per la stessa infezione e facente capo al range generale 81.29.240.0/20 gestito da LLC GlobalWholesaleTrade.

I file e le voci di registro create sono:

%Windir%\service32.exe
%Windir%\syss.dll

HKLM\software\microsoft\windows\currentversion\policies\explorer\run\
[6G98D2X74V = %Windir%\service32.exe]

HKLM\software\6g98d2×74v\

Sembrerebbe che gran parte dei server che ospitano i siti web compromessi siano basati su GNU/Linux Debian e web server Apache, sebbene alcuni siano ospitati anche su Microsoft IIS. I controlli che sono stati fatti sono stati effettuati su un range limitato di indirizzi IP per cui non è possibile fornire un resoconto completo dei siti compromessi, resoconto che potrebbe fare esclusivamente Seeweb.

Rimane, come per gli altri casi, il dubbio su come sia stato possibile per i malware writer inserire iframe all’insaputa degli amministratori di siti web. Se per un sito web o per un paio potrebbe essere stato possibile il furto di credenziali, già questa opzione risulta più difficile da concepire per una trentina di siti ospitati su uno stesso IP e un’altra ventina su un altro IP.

Per chi vuole può fare una scansione gratuita con Prevx CSI, scanner standalone che non necessita di installazione e verifica eventuali infezioni all’interno del PC.

*** UPDATE ***

A pochissime ore dalla pubblicazione della notizia sembrerebbe Seeweb abbia rimosso tutti gli iframe dalle pagine infette. Tuttavia, parrebbe che qualche script automatico sia installato in alcuni dei server poiché - se è vero che Seeweb ha filtrato e pulito i siti precedentemente compromessi - sono apparsi pochissime ore fa altri siti infetti sugli stessi server, differenti dai primi.

Come semplice utente - ma anche come ricercatore - mi è sempre piaciuto poter avere dei tool standalone da portarmi dietro su una usb pen drive o comunque da poter utilizzare indistintamente su qualunque pc senza dover ricorrere ad una procedura di installazione. Inoltre, anche il poter verificare se il proprio sistema sia esente da infezioni in maniera rapida e senza dover ricorrere a troppi tecnicismi può risultare qualcosa di utile e di interessante, soprattutto se può servire come check aggiuntivo per controllare la bontà del software di sicurezza scelto che protegge quotidianamente il pc.

È per questo che dopo alcuni mesi di lavoro Prevx rilascia Prevx CSI, uno scanner totalmente free e standalone per poter verificare in maniera rapida - due minuti circa - se sul proprio sistema operativo siano attive infezioni. Solo nel caso ve ne siano, allora si può ricorrere al download di Prevx 2.0 per la rimozione e la bonifica del sistema.

Prevx Computer Security Investigator (CSI) si appoggia al già vastissimo database comunitario di Prevx e non necessita - come d’altronde Prevx 2.0 - di aggiornamenti di firme virali poiché è il database centrale ad essere costantemente aggiornato. Basta scaricare il tool per poter verificare con pochi rapidi click se il proprio PC è veramente pulito, come il prodotto di sicurezza dall’utente scelto sembrerebbe affermare.

Prevx CSI unisce la potenza del database comunitario di Prevx alla semplicità di un tool free standalone, utilizzabile ovunque senza dover ricorrere a procedure di installazioni e senza rischiare eventuali conflitti software.

Prevx CSI è scaricabile da qui.

Ho avuto modo di leggere un interessantissimo post scritto nel blog di Joanna Rutkowska. Per chi non la conoscesse, è una ricercatrice nel campo della sicurezza informatica molto conosciuta nel settore per le sue ricerche riguardanti la sicurezza, specialmente nel campo di rootkit e stealth malware.

Il suo ultimo post parla di come, secondo la sua opinione, le società di sicurezza - specialmente le società di antivirus - stiano praticamente buttando via soldi e denaro sviluppando prodotti antivirus quando ci sarebbero soluzioni meno costose e molto più efficaci, ad esempio l’utilizzo di firme digitali potrebbe fermare il diffondersi dei file infector virus. Detto in parole semplici, una firma digitale ci garantirebbe l’integrità del file, cioè che il file non è stato alterato. In altre parole, nessun file infector ha infettato il codice dell’eseguibile.

Anche se potrebbe essere vero, sinceramente non me la sento di dire che le società di antivirus abbiano buttato via i propri soldi e il proprio tempo sviluppando tecnologie inutili.

Proviamo ad immaginare un mondo che utilizzi le firme digitali per garantire l’integrità dei file che vengono eseguiti nel nostro pc.

Al momento possiamo contare miliardi di differenti software nel mondo, sviluppati dalle più grandi società fino al programmatore singolo che occupa le proprie ore della notte scrivendo qualche progetto. La prima cosa che dovremmo chiederci dovrebbe essere: è necessario che i file siano firmati? Se no, di conseguenza moltissimi singoli sviluppatori o piccole società potrebbero valutare l’ipotesi di non firmare i propri software, potrebbero non voler spendere il proprio tempo e magari anche soldi (si, probabilmente le firme digitali dovrebbero essere pagate - come lo sono i certificati per i driver di Windows Vista 64 bit).

Moltissimi sviluppatori rilasciano centinaia di aggiornamenti per i propri software, o versioni beta, anche ogni giorno. Di conseguenza necessiterebbero di firmarli ogni volta.

Ora la questione sta in questi termini: che succede se il software non è firmato? Viene eseguito lo stesso (magari con un avviso) o viene bloccato dal sistema operativo?

Parliamo della prima opzione: possono essere eseguiti comunque. Di conseguenza il problema software antivirus ritorna: abbiamo bisogno di uno scanner.

Joanna ha affermato che noi dovremmo pensare agli utenti non come “stupidi“. Secondo me non è propriamente corretto. Gli utenti non sono stupidi, semplicemente non hanno né voglia né tempo da perdere per mettersi a studiare tutte le problematiche di sicurezza come facciamo noi. Hanno già tanti problemi ogni giorno, vogliono che sia qualcun altro a preoccuparsi di problematiche di sicurezza.

Se hanno bisogno di eseguire un software che non è firmato per qualunque motivo, vogliono poterlo lanciare essendo sicuri che quel software non danneggerà il sistema, o perlomeno cercare di ridurre i rischi a cui potrebbero andare incontro. Sì, come dice Joanna un software antivirus non dà la certezza al 100% che un file sia innocuo, ma almeno è un controllo aggiuntivo.

Parliamo ora della seconda opzione: il file non firmato viene bloccato dal sistema operativo. Chi gestirà questi certificati? Chi ci assicura che i certificati vengono gestiti nella giusta maniera? Chi ci assicura che non possono essere ottenuti anche dai malware writer? Joanna lo sa bene, lei stessa ha mostrato come acquistare un certificato per firmare i propri driver per Windows Vista. Ok, sono necessari tutti i dati personali per comprare il certificato ma, semplicemente, a chi importa? Se non c’è nessun software che controlla cosa possano fare quei file, cosa contengono, nessuno si accorgerà mai se contengono malware, o anche se siano parzialmente malevoli. Un utente potrebbe pensare: “Perché deve essere nocivo? Sono sicuro, è firmato digitalmente!”.

Ma andiamo avanti: chi assicura che le modalità di controllo delle firme digitali siano a prova di bug? E, se ci sono falle - come ci sono nella quasi totalità dei software - inoltre chi assicura che i server utilizzati da questa fantomatica società che gestisce le licenze siano così sicuri da poter respingere qualunque attacco di pirati informatici, impedendo che quest’ultimi possano alterare il codice prima che venga certificato? Chi assicura che qualcuno non riesca a penetrare i server della società che produce il prodotto alterando qualche sorgente prima che vengano mandati via per la certificazione?

Basti ripensare all’attacco in cui pirati informatici penetrarono i server del progetto GNU/Linux Debian. Si tratta totalmente di fantasia? Sì, forse. Però quando lanciamo un file firmato digitalmente dobbiamo essere sicuri di tutti i punti sopra elencati. In altre parole si crede ciecamente e totalmente al software che arriva al nostro pc, così come arriva. Crediamo totalmente in qualcuno esterno che ci dice: “questo software è sicuro”. Almeno con un software antivirus è possibile fare ulteriori controlli sul contenuto del file, indipendentemente se quest’ultimo è firmato o meno. Controlliamo il file così com’è. Come ho detto prima, non è possibile garantire la sicurezza al 100%, ma almeno facciamo qualche controllo in piu piuttosto di credere ad occhi chiusi.

Ciò che è vero è che con un semplice software antivirus, anche con le tecnologie euristiche attuali, rimane sempre una falla nell’identificazione dei nuovi malware. Noi siamo i primi a dirlo, promuovendo un approccio al problema rivoluzionario ed innovativo. Quello che però non è vero è che le società abbiano speso soldi inutilmente e perso il proprio tempo sviluppando qualcosa di inutile invece di focalizzarsi su qualcosa che potesse risolvere il problema in maniera semplice ed efficace.

Sicuramente le firme digitali sarebbero un modo per incrementare la sicurezza del sistema, ma nessuno nel mondo della sicurezza informatica è così ingenuo da non aver pensato a questa soluzione. Semplicemente ci sono state motivazioni tecniche e storiche che hanno motivato lo sviluppo di scanner antivirus.

Microsoft con Windows Vista 64 bit ha tentato di utilizzare le firme digitali per evitare che driver sconosciuti possano essere caricati, così eventuali rootkit kernel mode non possono compromettere il sistema. Non è stata forse Joanna tra i primi ricercatori a mostrare come tentare di bypassare il controllo della Microsoft?

Prevx Blog

Salve a tutti,

un aggiornamento per chi ha visto che ultimamente il sito era un po fermo e senza aggiornamenti da parte mia.

Sono semplicemente tornato da pochi giorni da una vacanza, per cui sto riprendendo a poco a poco il ritmo lavorativo.

[editato il resto del post, ho risolto il problema]

L’ultimo articolo tecnico scritto riguardava un IRCBot che si stava diffondendo via MSN. In effetti quel malware ha attirato molto l’attenzione, soprattutto per l’alto livello di attività durante questi giorni. Il team alle spalle del malware sta rilasciando nuove varianti in maniera rapidissima, cambiando server IRC ogni volta. È il caso di fare un sunto delle varianti conosciute.

Il malware arriva attraverso MSN con uno dei seguenti messaggi:
Read the rest of this entry »