Ricevi gli aggiornamenti nella tua email:


giu
29th

Due Tecniche (e un Tool) per Neutralizzare gli Zero-Day

Author: Angelo Righi | Security

Uno degli attacchi informatici più pericolosi è lo zero-day, ovvero un  attacco per il quale non esiste ancora un rimedio. Per mitigare gli effetti di questi attacchi, sono state elaborate diverse tecniche e alcuni strumenti.

Vediamone due, le più potenti: DEP e ASLR, tenendo presente che in questo articolo indicherò col termine attacker colui che tenta di accedere in modo non autorizzato ad un computer, ovvero l’hacker, ma anche un  attacco automatizzato, un malware; col termine payload un codice, una serie di azioni, che l’attacker compie dopo aver ottenuto l’‘accesso non autorizzato al sistema.

DEP (Data Execution Prevention)

Lo scopo di ogni exploit letale è l’esecuzione di codice arbitrario, ovvero la possibilità dell’intruso (o del malware) di eseguire codice a piacere sulla macchina target e ottenere così il pieno controllo. L’attacker ha bisogno di spazio in memoria dove poter memorizzare ed eseguire il codice iniettato tramite la vulnerabilità zero-day (payload); in genere questo spazio viene individuato in aree di memoria del processo adibite ad immagazzinare dati. Se l’attacker riesce ad iniettare il payload in questa zona, e riesce poi a dirottare il flusso del programma verso quest’area, avrà il controllo totale.

Ma qui entra in scena il DEP (Data Execution Prevention): il programma può essere compilato per essere immune da questi attacchi facendo in modo che le aree di  memoria contenenti dati non possano essere utilizzate per contenere codice eseguibile; nel caso in cui si tentasse di eseguire codice in questa zona si otterrebbe un errore e un blocco del programma. Proteggendo la memoria dati tramite DEP, l’attacker, se anche riuscisse a introdurre un payload. non sarebbe comunque in grado di eseguirlo.

ASLR (Address Space Layout Randomization)

Address Space Layout Randomization serve per togliere punti di riferimento fissi all’attacker, rendendo l’ambiente più ostile. Quando un programma e le sue dipendenze vengono caricate in memorida, vengono caricate sempre agli stessi indirizzi; questa situazione è ideale per l’attacker, perchè può muoversi in un territorio conosciuto, utilizzando risorse ad indirizzi prevedibili.

Con l’introduzione di ASLR, lo scenario cambia: ad ogni riavvio del sistema, gli indirizzi degli spazi di memoria del programma e delle sue dipendenze sono diverse, cosa che rende l’esecuzione dell’exploit problematica, riducendo drasticamente le probabilità di successo dell’attacco.

Sebbene queste tecniche siano potenti e abbiano messo indubbiamente il bastone tra le ruote dei creatori di malware, entrambe possono essere aggirate; comunque lo sviluppo di malware ed exploit che funzionino nel mondo reale e non solo in laboratorio è diventato più complesso.

Microsoft ha realizzato un tool gratuito in grado di rendere efficaci queste tecniche sui sistemi basati su Windows, si tratta di EMET (Enhanced Mitigation Experience Toolkit). E’ un ottimo strumento da aggiungere al proprio arsenale e da affiancare all’antivirus, per mitigare le minacce sconosciute, non ancora neutralizzate dagli aggiornamenti.


Altri articoli:

Sofisticato Attacco DDoS Contro le Banche Americane
Benchè rimanga tutt’ora misteriosa l’identità degli autori degli attacchi che da qualche tempo...

Come Associare una Cartella ad una Lettera di Unità per Accedervi Velocemente.
L'altro giorno mi sono trovato a dover assegnare ad una memoria di massa  un'altra lettera di unità,...

Non Sempre un Attacco DoS è un Attacco DoS
Cos'è un attacco DoS, e come funziona? Spesso quando si parla di attacco DoS (Denial of Service), lo...

SIR10: Security Intelligence Report 10
E’ disponibile da alcuni giorni il Microsoft Security Intelligence Report 10 (SIR). Si tratta di...


mag
31st

Kali Diventa Persistente e Cifrata

Author: Angelo Righi | Hacking, Linux

Il gruppo di sviluppo che sta dietro al progetto Kali Linux ha annunciato la disponibilità di una nuova release della nota distribuzione dedicata al penetration testing, distro che ha sostituito Backtrack.

La nuova versione di Kali, la 1.0.7, si distingue per il fatto che da questa incarnazione, ha inizio un sforzo congiunto del team Kali e degli sviluppatori dei vari tools inclusi nella distribuzione stessa,  per far si che i tools di terze parti funzioni in maniera perfetta e siano integrati senza problemi nella distribuzione.

Ma la caratteristica più interessante di questa nuova versione, è la possibilità di creare una versione persistente di Kali su supporto USB completamente cifrata, grazie a LUKS (Linux Unified Key Setup). Con questa caratteristica sarà possibile creare una versione di Kali imprenetrabile a occhi indiscreti, anche in caso di perdita del supporto.

Notevole il tempismo di questa nuova caratteristica, vista l’improvvisa e imprevista uscita di scena di TrueCrypt, software che per tanto tempo è stato il software per antonomasia per la cifratura di dischi.

Che si tratti di un’uscita di scena definitiva o temporanea ce lo dirà solo il tempo, anche se sono fiducioso del fatto che TrueCrypt tornerà tra qualche settimana sotto una nuova forma. Ma questo è un altro discorso, intanto godiamoci Kali Linux 1.0.7.


Altri articoli:

Metasploit 3.4.0 è tra Noi
Come annunciato dal blog ufficiale, dopo cinque mesi di sviluppo ha visto la luce la versione 3.4.0...

UnderAttaHack: gli Hackers sono Sotto Attacco ma Resistono
All'inizio fu Phrack, leggendaria ezine americana scritta dagli hackers per gli hackers. All'inizio...

Cosa Succede a Twitter?
Oggi verso le 15 quando l'iconcina di TwitterFox è diventata rossa non ci ho fatto caso, ma era l'inizio...

La Guerra Fredda dell’Open-Source
Non ho particolare simpatia per il nuovo presidente USA Barack Obama, anzi ho molti dubbi. Basta guardare...


apr
28th

E’ Possibile Svaligiare un Bancomat con un Semplice SMS?

Author: Angelo Righi | Security

E’ difficile districarsi nel rumore informativo distribuito dai mezzi di comunicazione di massa a proposito delle vicende legate ad attacchi o incidenti informatici. Il sensazionalismo prende in genere il sopravvento, e la vera natura dei fenomeni passa in secondo piano, la sostanza viene di fatto ignorata; inutile precisare che alla fine rimane solo confusione e disinformazione.

Facciamo un esempio concreto. Nelle ultime settimane si è diffusa la notizia che alcune bande cybercriminali, sono in grado di accedere ai bancomat con un semplice SMS. Precisiamo subito: la notizia è vera. Dobbiamo quindi allarmarci e temere che tutti i bancomat del mondo stanno per essere svaligiati? Ovviamente no. I cybercriminali possono far “sputare” i soldi da un bancomat, ma il bancomat stesso deve essere stato precedentemente compromesso e manipolato. I criminali devono essere in grado di aprire fisicamente il bancomat, infettare il computer con un malware (Ploutus in questo caso), collegare un telefono cellulare alla porta USB del computer interno che gestisce il distributore di denaro, come mostra questo video:

Insomma, se questa tecnica contribuisce a rendere più agevole il lavoro dei ladri, non permette però ai criminali stessi di poter accedere a qualsiasi bancomat con un semplice SMS.

La confusione è indotta dalla interpretazione errata delle diverse fasi dell’attacco: qui si confonde la  post-exploitation con l’intrusione, che in questo caso deve essere fisica, e prevede, oltre all’installazione di un malware, il collegamento di un telefono cellulare alla porta USB.


Altri articoli:

Un Trojan all’Attacco dei Bancomat
Siamo ormai abituati agli attacchi ai bancomat portati da bande che con metodi un po' artigianali, mettendo...

Come ritirare dal Bancomat usando un lettore MP3
Un uomo di Manchester, il quarantunenne Maxwell Parsons c\'ha provato e per un po\' gli è andata bene. Infatti...

Torna il Millennium Bug e fa Impazzire Bancomat e SMS
Tutti se lo aspettavano 10 anni fa, ma non accadde (quasi) niente. In compenso negli anni successivi,...

PillolHacking.Net: I Migliori Articoli di Febbraio 2009
Riassunto di fine mese dei migliori articoli di Febbraio 2009. Per non perdere neanche un articolo iscriviti...


mar
31st

Diventare Esperto in Web App Security

Author: Angelo Righi | Security

La sicurezza di un sistema è forte quanto il suo anello più debole: qual’è oggi il punto più vulnerabile si un sistema, l’anello debole che mina tutta la catena della sicurezza? Le applicazioni web.

Abbiamo visto in modo approfondito come attaccare sistemi, craccare password, effettuare penetration test; è giunto il tempo di occuparci della difesa, in particolar modo della difesa delle applicazioni web.

A tal proposito, per tutti quelli che fossero interessati a diventare esperti  in web application security, eLearnSecurity ha realizzatto un corso online, disponibile dal 5 Maggio.

Il corso, della durata di 40 ore, suddivise in sessioni giornaliere di 4 (dal Lunedi al Venerdi, dalle 09:00 alle 13:00) affronta tutti gli aspetti della sicurezza e della difesa delle applicazioni web, partendo dallo studio della Top 10 OWASP degli attacchi più comuni, si arriva alla protezione delle web application  tramite  virtual patching, passando per la protezione dagli attacchi contro il meccanismo di autenticazione, la protezione contro gli attacchi di injection, gli attacchi client-side. Sarà affrontato anche il tema cruciale dello sviluppo di codice sicuro.

Per chi volesse saperne di più consiglio di seguire il webinar gratuito, programmato per Martedi 1 Aprile (non è uno scherzo!) alle ore 17.

 


Altri articoli:

Da Sql-injection a Root in 12 Passi
Un sistema di sicurezza è forte quanto l'anello più debole. Trovare un punto debole e sfruttarlo in...

Attacco Laterale
In quello che si può sicuramente considerare l’attacco più clamoroso degli ultimi tempi, ovvero quello...

Il Tuo Browser è Vulnerabile al Bug di Java?
Come ho segnalato, Java 7 è vulnerabile ad alcuni attacchi che possono permettere ai pirati di aggirare...

Insecure Magazine 23 è Online
Com'è ormai tradizione di PillolHacking, vi segnalo (con un po' d ritardo) l'uscita del numero 23 di...


feb
28th

Windows Internals: SID e RID

Author: Angelo Righi | Security

In Windows ogni computer viene identificato univocamente tramite un codice: il SID, Security Identifier. Inoltre, ogni utente all’interno di un computer, viene identificato da un codice relativo al sistema, il RID (Relative ID).

Come possiamo visualizzaere SID e RID? Si può utilizzare PsGetsid, dalla raccolta PsTools, di cui ho già parlato in un altro articolo nel quale illusravo l’utilizzo di PsExec.

Una volta scaricato ed estratto dall’archivio, è possibile eseguire PSGetsid da linea di comando. Se lo si esegue senza parametri, il programma estrae il SID della macchina:

PsGetsid.exe
SID for \\PH:
S-1-5-21-1234567890-1234567890-123456789

E’ possibile anche specificare il nome di un utente; in questo caso, oltre al SID, verrà estratto anche il RID:

PsGetsid.exe angelor
SID for PH\angelor:
S-1-5-21-1234567890-1234567890-123456789-1002

E’ abbastanza evidente che SID e RID sono molto simili; l’unica differenza è che nel RID esistono alcune cifre aggiuntive alla fine.

Vediamo come si compongono questi codici, e cosa significano questi numeri:

  • La S identifica la stringa come codice SID
  • Il numero 1 indica la revisione. Al momento, in tutte le versioni di Windows non è mai cambiato.
  • 5 è il codice dell’authority che ha emesso il SID; fa riferimento alla SECURITY_NT_AUTHORITY.
  • 21-1234567890-1234567890-123456789 rappresenta un computer o un dominio
  • Infine il 1002 è il Relative ID (RID), codice che identifica un utente in un sistema.

Un’ultima osservazione: un RID uguale o superiore a 1000 indica che l’utente non è stato creato da Windows, bensì è stato generato manualmente da un utente, insomma non si tratta di un utente built-in. L’Administrator ha sempre RID 500.

 


Altri articoli:

Grave Falla in Windows: Patch Straordinaria da Installare Subito
Microsoft ha rilasciato una patch per risolvere un grave bug. Il problema che affligge tutte le versioni...

Zero Day Minaccia Explorer 7
E' stato scoperto da alcune ore un grave bug in Internet Explorer 7 che permette l'esecuzione di codice...

I Pericolosi Link di Windows
Con la pubblicazione dell’advisory 2286198 del 16 Luglio, Microsoft svela la presenza di una vulnerabilità...

Come Cambiare il Mac Address su Windows
Ogni adattatore di rete, sia esso Ethernet, Wifi o Bluetooth, è identificabile tramite un indirizzo...