giovedì 30 settembre 2010

Zeus, il re del malware

Quasi non passa giorno che non ci siano novità circa le attività criminali connesse a Zeus (per una descrizione di come funziona il malware Zeus potete consultare l'interessante articolo di Matteo Flora). Ciò è in parte dovuto all'efficienza e alla sofisticazione degli attacchi che possono essere messi in pratica con Zeus e in parte è dovuto alla distribuzione su vasta scala nel mercato underground del tool kit per creare il malware e archiviare su un server i dati sottratti (ZeuS Builder e Zeus Server).

Negli ultimi giorni però c'è stato un picco di notizie.

Ieri, un ricercatore di sicurezza di Cisco Systems, ha raccontato a CNET che un gruppo criminale sta utilizzando false email di LinkedIn per indurre le persone a cliccare su link che portano all'installazione del Trojan Zeus. In particolare, questo evento sembra essere una delle campagne di infezione più estese di sempre in quanto il numero di messaggi riconducibili all'attacco è stato valutato nell'ordine dei miliardi. Le mail riferite all'attacco sembrano appunto provenire da LinkedIn e contengono un link per la conferma di un contatto. Tuttavia, il link non porta affatto a LinkedIn, ma indirizza una pagina Web dove viene visualizzato un messaggio che dice "Si prega di attendere .... 4 secondi" prima di essere reindirizzati su Google.
In quel breve lasso di tempo avviene l'attacco. In quella pagina c'è un JavaScript maligno nascosto in un iframe in grado di rilevare quale browser viene utilizzato e quali applicazioni sono in esecuzione e capisce se c'è una vulnerabilità che può essere sfruttata per caricare il malware Zeus sul sistema.

Proseguendo nelle notizie, troviamo che TrendMicro ha ricevuto delle segnalazioni in base alle quali alcune varianti di Zeus sono ora in grado di attaccare anche gli utenti delle banche che utilizzano un sistema di autenticazione a due fattori. La tecnica utilizzata prevede l'invio di una componente di malware sul telefono degli utenti in modo che vengano intercettate le credenziali inviate dalla banca. In questo modo i criminali ottengono tutte le informazioni necessarie per autenticarsi al sistema di home banking al posto dell'utente reale.

Non tutte le notizie sono però negative... Graham Cluley di Sophos ha pubblicato sul suo blog la notizia che 19 persone, di età compresa tra i 23 e i 47 anni, sono state arrestate dalla Metropolitan Police Central e-Crime Unit (PCeU) britannica, con l'accusa di aver rubato milioni di sterline da conti bancari on-line tramite l'installazione di malware riconducibile a Zeus, appunto. E la polizia non dispera di recuperare il bottino.

Insomma, qualche volta il crimine non paga...

giovedì 23 settembre 2010

Stuxnet, ne parlo anche io

Fonte Trackback.it
A volte mi capita di essere poco attratto da qualche argomento a causa della sua notorietà. Mi è successo con dei libri (Il cacciatore di aquiloni, la trilogia di Millenium) e con dei film (Pulp Fiction). In tutti questi casi, quando poi mi sono convinto a non fermarmi a quell'iniziale senso di ripulsa ho scoperto che quei libri e quei film erano davvero affascinanti e meritavano la loro fama.

Adesso questa stessa cosa mi è successa su un argomento legato alla sicurezza. Stuxnet.

Stuxnet è un worm che è stato scoperto a metà luglio e che ha destato immediatamente un grande interesse in quanto aveva come bersaglio i sistemi SCADA (Supervisory Control and Data Acquisition), ossia quei sistemi con i quali si governano le reti elettriche o i grandi complessi industriali.

La cosa che mi ha fatto scattare l'interesse è che più i ricercatori scavavano, analizzando il malware, più si trovavano di fronte ad un incredibile scenario.

Non mi dilungherò sui dettagli tecnici di questo worm (li trovate descritti dai ricercatori di tutte le maggiori firm di antivirus e non solo), ricorderò solo che Stuxnet sfrutta quattro vulnerabilità di tipo 0day dei sistemi Microsoft (oltre alla nota vulnerabilità sfruttata anche da Conficker) e che chi lo scritto ha utilizzato dei certificati digitali rubati (appartenenti alla Realtek Semiconductor e alla JMicron). Inoltre, da ciò che sta emergendo, Stuxnet è stato scritto da chi si intende molto approfonditamente di sistemi SCADA prodotti da Siemens, cioè una nicchia nella nicchia. Infatti Stuxnet utilizza le macchine Windows compromesse per riprogrammare i sistemi SCADA attraverso l'uso di password di default di quei sistemi.

Un vero capolavoro di malware... e qui sorge la domanda... a beneficio di chi e per quale scopo è stato prodotto questo lavoro estremamente raffinato che utilizza vulnerabilità non precedentemente note e un livello di sofisticazione senza precedenti?

In tanti in questi giorni stanno azzardando delle ipotesi.

Tra le più accreditate c'è l'ipotesi (tutta da verificare) che sia un deliberato attacco all'iniziativa nucleare iraniana. E ciò sarebbe avvalorato da alcune evidenze tra cui appunto che il 60% di tutte le infezioni note dovute a Stuxnet sono appunto in Iran, che nei siti nucleari iraniani si usano le tecnologie oggetto dell'attacco e che da qualche settimana il programma nucleare iraniano sembra essere ritardato da non meglio precisati problemi tecnici.

Fantapolitica? Fantacyberwar?

Ralph Langner, un ricercatore tedesco esperto di sistemi di sicurezza industriali ha analizzato recentemente Stuxnet con tecniche di forensic ed è rimasto basito, dopodiché ha avanzato l'ipotesi dell'attacco all'Iran. Ma vediamo quali sono le basi del suo ragionamento.
"Molti aspetti di Stuxnet sono completamente diversi dal malware che noi conosciamo e il miglior modo per avvicinarsi a Stuxnet non è quello di pensarlo come un malware, come Sasser o Zotob, ma come parte di una Operazione. Le modalità dell'Operazione possono essere suddivise in tre fasi principali: Preparazione, Infiltrazione, Esecuzione.

Fase 1, Preparazione:
- Costituire il team, composto da più unità (Intelligence, operazioni segrete, scrittori di exploit, ingegneri di processo, ingegneri di sistema di controllo, specialisti di prodotto, militari)
- Realizzare il laboratorio di sviluppo e test, compreso il process model
- Tramite la componente di intelligence individuare gli specifici target, compresa l'identificazione delle persone chiave per l'infiltrazione iniziale
- Rubare i certificati digitali

Fase 2, Infiltrazione:
- Infiltrazione iniziale con pennetta USB, magari utilizzando personale a contratto
- Il malware si diffonde localmente tramite scambi di chiavette USB, cartelle condivise, spooler di stampa
- Il malware prende contatto con i server di comando e controllo per gli aggiornamenti e per la verifica della effettiva compromissione
- Il malware aggiorna le macchine compromesse utilizzando una componente peer-to-peer interna
- I server di Comando e Controllo vengono spenti

Fase 3, Esecuzione:
- Verificare la configurazione controller
- Identificare i vari controller dei target
- Caricare la componente malevola nel sistema target
- Nascondere la componente malevola agli ingegneri del sistema di controllo 
- Verificare l'esecuzione del processo
- Attivare la sequenza di attacco

Ciò dimostra che le vulnerabilità 0day servivano solo temporaneamente nella fase di infiltrazione. Un bel lusso per degli exploit così sofisticati!"

Tutto ciò fa venire in mente che dietro a tutto questo ci possa essere solo uno Stato sovrano e non dei singoli cracker, per quanto bravi e motivati.

Sarà proprio così? Sapremo mai con certezza cosa è accaduto?

I don't know... but stay tuned!

Riferimenti utili per chi volesse approfondire
Krebsonsecurity
ZDNet
Schneier on security
Securelist
Langner                                (Grazie a Niels Groeneveld per la segnalazione)
Joe Schorr su Infosecisland  (Grazie a Niels Groeneveld per la segnalazione)
--------------------------------------------------------------------------------------------
Aggiornamento 18 gennaio 2011
Mikko Hypponen, Chief Research Officer di F-Secure, ha pubblicato un bellissimo video in cui racconta Stuxnet, la sua importanza e tutte le implicazioni sullo scenario internazionale di questo malware che è destinato a cambiare la nostra percezione di ciò che è e che può fare un codice malevolo. Ecco il video

mercoledì 22 settembre 2010

Veracode e la sicurezza delle applicazioni


Veracode, società leader nel campo della sicurezza delle applicazioni, ha rilasciato oggi un interessante documento dal titolo "State of Software Security Report". In questo report sono raccolti i risultati statistici dei loro assessment di sicurezza svolti negli ultimi diciotto mesi su poco meno di 3000 applicazioni.

Ed i risultati non sono confortanti...


Più della metà del software analizzato non aveva un livello accettabile di sicurezza e, come evidenziato nella figura in alto, circa 8 applicazioni su 10 non erano conformi alla OWASP Top 10

Il Cross-site scripting (XSS) rimane la vulnerabilità più diffusa (da ricordare che ieri Twitter è stato attaccato con successo proprio grazie ad vulnerabilità di questo tipo) 

Le Applicazioni sviluppate in outsourcing hanno evidenziato le maggiori carenze di sicurezza 

Gli sviluppatori hanno risolto facilmente le vulnerabilità riscontrate 

I fornitori di Cloud/applicazioni Web sono stati i più gettonati negli assessment di terza parte 

Se preso singolarmente, nessun metodo di test della sicurezza delle applicazioni si è rivelato sufficientemente adeguato

Nei settori bancario, assicurativo e finanziario, la sicurezza delle applicazioni non è risultata commisurata alle criticità del business

Tutto ciò comporta che i soggetti che utilizzano queste applicazioni siano fortemente esposti a possibili perdite di immagine e di introiti derivanti da interruzioni delle attività commerciali causate da attacchi alle loro applicazioni. Soprattutto quando il software è sviluppato da fornitori esterni. In questi casi infatti, Veracode ha trovato che nel 81% dei casi, le applicazioni hanno fallito gli assessment di sicurezza. 

Insomma, una situazione davvero poco edificante, soprattutto tenendo conto del fatto che la maggior parte del campione di soggetti che hanno svolto gli assessment erano società finanziarie...

almeno quelle però si sono poste il problema... pensiamo a tutte quelle che non hanno ancora fatto delle verifiche serie...


martedì 21 settembre 2010

L'INTERPOL lancia l'allarme sul cybercrime

Si è da poco conclusa, ad Hong-Kong, la prima Conferenza internazionale dell'INTERPOL dedicata all'information Security ed il quadro che ne emerge è di una grave preoccupazione per i pericoli che si celano dietro il cybercrime.

Oltre 300 agenti provenienti dalle forze di polizia di 56 paesi si sono dati appuntamento in Cina per tre giorni di convegno dedicato alla lotta alla criminalità informatica, che è ormai accreditata di un "fatturato" (assolutamente illegale) di ben 105 miliardi di dollari.

Nel corso del convegno Ronald K. Noble, segretario generale dell'INTERPOL, secondo quanto riportato dall'Ottawa Citizen, ha raccontato che la sua identità era stata "rubata" ed erano stati creati due profili di Facebook a suo nome. Uno di questi profili era stato utilizzato da ignoti per ottenere informazioni circa la sorte di alcuni ricercati per gravi reati su cui stava investigando appunto l'Interpol.

Durante la cerimonia di apertura Noble ha inoltre dichiarato che: "Il cybercrime sta emergendo come una minaccia molto concreta e, considerando l'anonimato del cyberspazio, questa forma di criminalità sta diventando una delle minacce più pericolose di sempre". Noble ha poi proseguito puntando il dito contro l'utilizzo delle tecniche del cybercrime da parte di organizzazioni terroristiche "I terroristi potrebbero anche infliggere un duro colpo con un attacco cibernetico alle infrastrutture di una nazione. Provate a immaginare le drammatiche conseguenze di un attacco alla rete di distribuzione elettrica oppure al sistema bancario di un moderno stato". 

Nell'ambito della conferenza è stato prodotto anche un documento contenente 5 raccomandazioni:


1. L'INTERPOL continua ad assistere i Paesi membri nello sviluppo di capacità nel settore della sicurezza informatica attraverso politiche di sicurezza informatica, la fornitura di assistenza ai paesi membri e favorendo l'acquisizione di competenze specifiche in collaborazione con una molteplicità di soggetti pubblici e privati.

2. Aumentiamo la nostra capacità di prevenire, rilevare e rispondere agli incidenti, basandoci sull'efficienza ed efficacia della comunicazioni e sfruttando l'unicità di INTERPOL.

3. Incrementiamo la condivisione delle informazioni sulla sicurezza informatica e sui domini del cybercrime, rafforzando i rapporti con le autorità nazionali nella strutturazione di Computer Emergency Response Team (CERT) a valenza nazionale e collaborando con le forze dell'ordine e il settore privato. 

4. Continuiamo a sviluppare strumenti per prevenire, rilevare e rispondere agli incidenti di sicurezza, facilitando la ricerca e lo sviluppo di nuovi strumenti a supporto delle indagini e della raccolta delle prove in collaborazione con esperti del mondo accademico e dei settori pubblico e privato

5. L'INTERPOL Information Security Conference dovrebbe diventare un evento periodico al fine di promuovere una costante collaborazione tra le autorità di contrasto e il settore pubblico e privato e al fine di aiutare i paesi membri nei loro sforzi di sensibilizzazione dell'opinione pubblica.

Insomma un gran bel piano e un monte di cose da fare... 


martedì 14 settembre 2010

Vogliamo il CERT europeo!!

Sempre più voci si levano sulla necessità di predisporre adeguate strutture a garanzia della sicurezza informatica negli stati dell'Unione Europea e fanno risaltare, per contrasto, il silenzio e l'immobilità europea, ed italiana in particolare. La mancanza a livello europeo e soprattutto nazionale di un CERT, ovvero, di una struttura che si occupi di prevenzione e gestione degli incidenti informatici è un fatto enorme, soprattutto adesso che moltissimi paesi si stanno attrezzando per giocare un ruolo preminente nelle nuove sfide poste dalla cyberwar.

Ieri, ENISA (European Network and Information Security Agency), l'agenzia europea per la sicurezza informatica con sede a Creta, si è quindi unita al coro lanciando il proprio accorato appello nell'ambito di una manifestazione chiamata Network and Information Security Summer School. 

"L'Unione Europea ha bisogno di un proprio Computer Emergency Response Team (CERT) per gestire a livello comunitario le minacce IT".

L'eurodeputato rumeno Silvia Adriana Jicău ha poi sottolineato: "Il ruolo dell'ENISA deve essere esteso perché viviamo in una società dell'informazione sempre più in rete. All'ENISA deve essere riconosciuta una maggiore importanza come coordinatore internazionale e, in questo quadro, deve fornire un Computer Emergency Response Team per proteggere le istituzioni dell'UE. " L'eurodeputata ha suggerito inoltre che ogni Stato membro dell'Unione realizzi il proprio CERT nazionale entro il 2012.

Che ENISA abbia a cuore la sicurezza europea non c'è dubbio, che metta in campo iniziative interessanti non c'è altrettanto dubbio, che riesca nei suoi intenti, invece, è alquanto incerto. Soprattutto quando si dimostra assolutamente incapace di portare a termine un task semplice semplice come il censimento dei CERT europei. Ho personalmente verificato la parte italiana e ho trovato... un disastro. Le informazioni contenute nella "New, updated '2.0'-version of 'Digital Firebrigades' - CERTs map & inventory" sono vecchie di almeno quattro anni e sono, almeno per l'Italia, del tutto fuorvianti.

Le strutture segnalate per l'Italia sono otto, tutte corredate da link...vediamole da vicino:

CERT-IT, è un'iniziativa dell'università di Milano e, in homepage (ultimo aggiornamento marzo 2010), viene dichiarato: "Computer e Network Security Lab, una struttura di ricerca del Dipartimento di Informatica e Comunicazione della Università degli Studi di Milano. Il focus è la ricerca sulla sicurezza informatica applicata. In particolare, i nostri interessi spaziano dall'analisi delle vulnerabilità, all'analisi di malware e al rilevamento delle intrusioni." 
Insomma niente a che vedere con un CERT

CERT ENEL, uno dei link più esilaranti, nella homepage si legge:"Enel Servizi e Altre attività. L'area Servizi e Altre attività si propone prevalentemente di assicurare servizi di alta competitività alle Società del Gruppo, quali: Attività immobiliari e di facility (quicasa), ecc."  
Insomma niente a che vedere con un CERT

GARR-CERT, effettivamente il CERT del gestore della rete telematica nazionale dell'Università e della Ricerca. Un vero CERT

GovCERT.it, progetto a cui ho avuto l'onore di partecipare, è terminato da tempo e la struttura è stata sostituita da anni dall'ottimo CERT-SPC. Meno male che al CERT-SPC hanno attivato un redirect automatico. 
Insomma, un'altra informazione sbagliata

CERT-Difesa, il CERT dello Stato Maggiore della Difesa. Un vero CERT

CERT-RAFVG, il CERT della Regione Friuli Venezia Giulia. Un vero CERT

SICEI-CERT, il CERT del Servizio Informatico della Conferenza Episcopale Italiana, istituito per supportare le diocesi italiane nella gestione degli incidenti informatici. Un vero CERT (?)

S2OC, il CERT di Telecom Italia, il link punta al portale del servizio clienti Telecom... dove, guardando con molta attenzione, si trova un link al SOC, che contiene una paginetta di descrizione dei servizi. 
Insomma un'informazione vera solo in parte.

Questo è tutto ciò che viene citato per l'Italia, otto CERT, di cui tre assolutamente sbagliati e nessuna informazione utile ad eccezione di quelle fornite dal CERT-SPC, raggiunto per puro caso. 
Insomma un vero disastro!!

lunedì 13 settembre 2010

L'attività ispettiva del Garante Privacy

La newsletter di settembre del Garante Privacy, tratta, tra gli altri argomenti, dell'attività ispettiva effettuata nel primo semestre 2010 e della pianificazione delle prossime attività di verifica. 

Relativamente al primo semestre 2010, emerge che l’attività ispettiva, svolta di concerto con le Unità Speciali della Guardia di Finanza del Nucleo Privacy, ha riguardato 224 attività ispettive ed ha dato l'avvio a 269 procedimenti sanzionatori di cui 40 sono stati segnalati all’Autorità giudiziaria. Degli oltre 2.500.000 di euro riscossi per le violazioni accertate, circa 115.000 sono relativi alla mancata adozione di misure di sicurezza e circa 1.540.000 sono relativi alla mancata o inidonea informativa agli interessati. I procedimenti sanzionatori che sono tuttora in corso, prevedono la possibilità di applicare sanzioni comprese tra un minimo di cinquantamila e un massimo di trecentomila euro.

Per quanto riguarda invece il secondo semestre 2010, il piano di ispezioni varato dal Garante Privacy vedrà invece finire sotto la lente delle ispezioni i settori dedicati:
- all'emissione e alla gestione delle carte di pagamento
- alla gestione delle anagrafi dei Comuni
- alla gestione dei dati a fini di marketing
- alla gestione dei dati previdenziali

Sia nel settore pubblico che in quello privato, il piano prevede che sia riservata una particolare attenzione all'adozione delle misure di sicurezza, anche allo scopo di individuare standard tecnologici di sicurezza da prescrivere a tutte le amministrazioni comunali per la gestione dei dati anagrafici dei cittadini. Saranno inoltre previsti controlli relativi all'informativa da fornire ai cittadini, al consenso da richiedere nei casi previsti dalla legge, all’obbligo di notifica al Garante dell’attivazione di una banca dati. Infine gli ispettori del Garante svolgeranno specifici accertamenti sul corretto uso da parte delle imprese private dei dati biometrici eventualmente trattati.

Nel comunicato spicca l'assenza di riferimenti alla pianificazione di controlli sulla recente introduzione della normativa sugli amministratori di sistema...

sarà stata una dimenticanza... o un messaggio?


venerdì 10 settembre 2010

VBMania: il ritorno dei mass mailing worm

La fonte dell'immagine è Symantec

E' notizia di oggi che, dopo anni di quasi totale assenza, è tornato alla ribalta un mass mailing worm. 

Si chiama "Here you have virus" o, in alternativa, VBMania, che è il nome che gli ha dato McAfee. In realtà non è niente di particolarmente nuovo dal punto di vista dell'approccio: è scritto in Visual Basic e, per propagarsi, utilizza un mix di tecniche compreso il social-engineering. Questo worm, infatti, che si diffonde attivamente da ieri, utilizza la posta elettronica, le condivisioni di rete e supporti rimovibili. VBMania, si copia nelle unità del sistema locale (comprese quelle rimovibili), insieme a un file autorun.inf, e quindi si invia a tutti i contatti che trova sul sistema compromesso attraverso la posta elettronica.

Dato che i sistemi di posta aziendali possono avere rubriche anche di grandi dimensioni e dato che ogni client infettato spedisce posta a tutti gli indirizzi che trova, si possono creare situazioni di stress per i server di posta che possono arrivare anche al blocco del server stesso. Inoltre, questo worm, attraverso un proprio motore SMTP, invia anche informazioni sul sistema compromesso tra cui l'indirizzo IP.

Nell'oggetto delle mail spedite dal worm, al momento, si trovano frasi del tipo "Here you have" (da cui il nome del virus), "Just for you" oppure più semplicemente "Hi" mentre all'interno ci sono dei link che sembrano puntare a file .pdf o a video .wmv, anche se in realtà punto a file eseguibili malevoli di tipo .scr.

A seguito dell'infezione vengono scaricati altri file tra cui sembra che ci possano essere keylogger o strumenti per il recupero di password. Chi volesse avere ulteriori informazioni può consultare le pagine dedicate a questa minaccia da McAfee, Symantec e Microsoft, inoltre, chi pensa di essere vittima di questo worm può utilizzare lo Stinger che è strumento di rimozione del malware messo a punto da McAfee.

giovedì 9 settembre 2010

Microsoft Vs botnet 2-0

Raoul Chiesa ne aveva accennato nel suo intervento al Security Summit a giugno di quest'anno. Ora l'iter legale negli Stati Uniti si è concluso e la notizia è diventata ufficiale.

La notizia è che Corte distrettuale della Eastern Virginia ha ammesso la richiesta avanzata da Microsoft di acquisire la proprietà permanente relativamente a 276 domini Web che, fino all'inizio del 2010, erano utilizzati per la struttura di Comando e controllo della botnet Waledac, una delle più grandi botnet dedite allo spam, accreditata di diverse centinaia di migliaia di computer infetti in tutto il mondo. Questa sentenza costituisce l'ultimo tassello di una strategia di contenimento aggressivo delle botnet messa in atto,  ad inizio di quest'anno, da Microsoft e da alcuni altri partner tra cui Shadowserver, l'Università di Washington, Symantec, l'Università di Mannheim, l'Università di Vienna, International Secure Systems Lab e l'Università di Bonn. A febbraio infatti, è stata lanciata l'ormai celebre "Operation B49", ossia un'azione coordinata di decapitazione della botnet Waledac. Questa azione era tesa appunto a tagliare il traffico di Waledac verso i domini ".com" che impartivano gli ordini alle centinaia di migliaia di computer "schiavizzati" sparsi per il mondo, impedendo di fatto ai criminali che gestivano la botnet di continuare con le loro attività illegali.

Per contrastare efficacemente Waledac è stato adottato un approccio multilivello che ha visto l'interruzione delle comunicazioni peer-to-peer attraverso contromisure tecniche, il takedown dei domini che gestivano le comunicazioni tra i PC zombie e i server di comando e controllo e il takedown dei server di back-end direttamente sotto il controllo dei criminali che gestivano la botnet. Tre giorni dopo l'attuazione della "Operation B49" le connessioni con la maggior parte dei computer infetti da Waledac erano interrotte.
Restava da capire se gli assunti legali su cui Microsoft e gli altri partner avevano basato le loro attività avrebbero retto in tribunale. 

Oggi abbiamo avuto la conferma. Le motivazioni hanno retto e adesso, con la proprietà permanente dei domini, Microsoft dispone di un mezzo legale per "mettere nel mirino" tutti i domini registrati negli States (tra cui quelli .com, .net, .biz e .org) che sono al centro dello svolgimento di un'attività criminale. 

Il takedown di Waledac, prima iniziativa di un progetto che si chiama "MARS Project" (Microsoft Active Response for Security), si è dimostrato un successo e quindi, dopo questa sentenza e le altre recenti azioni contro Mariposa e Pushdo, si spera che la lotta contro le botnet possa evolvere verso un nuovo e più efficace approccio.

lunedì 6 settembre 2010

L'uragano Charlie colpisce anche l'Europa

Calma, calma! 
Non correte a vedere i siti delle previsioni del tempo. 

Sto parlando di Charlie Miller, il ricercatore che, qui a fianco, si è aggiunto a una fotografia che ritrae il dittatore nord-coreano Kim Jong-il.

E già, Charlie Miller è proprio un uragano. 
Si è laureato in matematica e poi ha cominciato a lavorare per la National Security Agency, la massima agenzia spionistica americana, da cinque anni è il "Principal Analyst" della società Independent Security Evaluetors e negli ultimi tre anni ha vinto il Pwn2Own riuscendo a bucare i sistemi Apple con vulnerabilità che ha personalmente trovato e sfruttato.

Ebbene questa estate Charlie Miller si è dato molto da fare...

A fine luglio ha tenuto una relazione al DEFCON dove, vestito come nella foto, ha descritto ciò che potrebbe succedere se fosse rapito dai nord-coreani allo scopo di portare avanti un programma di cyberwar.
Tra le cose che ha messo in luce (con una rara ironia, che rende il tutto più comprensibile ma, al tempo stesso, più spaventoso) ci sono:
- circa 100 milioni di dollari è il budget che la Corea del Nord dovrebbe stanziare nell'arco di due anni;
- circa  600 persone è il set di minimo di persone che devono essere aggregate in questo "esercito";
- 11 profili professionali coinvolti (Analista di Vulnerabilità, Sviluppatore di Exploit, Bot Collector, Bot Maintainer, Operatore, Personale Remoto, Sviluppatore, Tester, Consulente Tecnico, Sysadmin e Manager); 
- la distribuzione geografica di Bot e personale remoto è un fattore chiave;
- i costi sono quasi tutti da investire sul "capitale umano".

Secondo la "road map" di Charlie, tutto è pronto per l'attacco ad appena 2 anni dal varo del progetto. I bersagli sono tutti sotto controllo, compresi i sistemi critici che dovrebbero essere scollegati dalla rete, ed è stata costituita una rete di botnet che controlla circa 500 milioni di computer nel mondo, ossia circa il 20% dei PC esistenti. 

Kim Jong-il brinda alla vittoria.

Paura? Terrore? Questo è ancora niente... Charlie ha pensato anche all'Europa!

Facendo un esercizio simile, ha ipotizzato che con un budget leggermente inferiore, pari a 83 milioni di dollari, e un esercito di circa 750 persone, si può portare a termine un devastante attacco all'Europa. Questo attacco comincerebbe con un "targeted attack" diretto verso un membro del London Stock Exchange o del gestore della rete elettrica francese, RTE, e, dopo poco meno di due anni terminerebbe con un black-out elettrico e telefonico totale della UE, una gravissima compromissione del trasporto aereo e ferroviario, il blocco delle transazioni borsistiche e bancarie, gli apparati governativi e militari isolati e nel panico.

Il ritorno alla vita normale sarebbe garantito in un intervallo di qualche giorno, a costi, umani e materiali, però purtroppo molto elevati.

Cosa ci vuole comunicare Charlie? Che, al momento, soprattutto i paesi poco dipendenti dalla rete e dalle relazioni internazionali, possono prepararsi a sferrare attacchi molto efficaci, capaci di produrre enormi danni agli avversari, senza correre grandi rischi di essere individuati, con budget ridotti e quasi interamente nell'ombra.

Ad oggi il limite maggiore sarebbe legato al reclutamento delle menti necessarie.

Insomma, un vero incubo per tutte le difese nazionali. 

Il consiglio di Charlie? Oltre alla creazione e organizzazione delle strutture per la difesa, investire nella riduzione della superficie d'attacco attraverso l'eliminazione o la drastica riduzione delle vulnerabilità del software. 

Anche attraverso la responsabilizzazione dei produttori di software...

a buon inteditor... 



mercoledì 1 settembre 2010

Piccoli muli crescono

E' notte nella St. Charles County in Missoury. Gli agenti di pattuglia sulla Interstate 70 hanno organizzato un posto blocco. 

Uno dei fermati si chiama Constantin Puiu ed è moldavo. 

Dopo un breve controllo gli agenti cominciano a diventare sospettosi. Che ci fa un moldavo con questi cellulari? E tutti questi soldi a che gli servono? Nel dubbio lo fermano per accertamenti. 

Gli agenti hanno fatto bingo. Più tardi troveranno 11 cellulari, quasi 60.000 dollari in contanti, 76 ricevute della Western Union e diverse false identità.

Constantin Puiu è un "mulo", cioè uno che ricicla denaro proveniente da traffici illeciti su Internet. Ma non è mulo qualunque. Constantin Puiu è un "supermulo", ha riciclato quasi 900.000 dollari con operazioni fittizie di compravendita di beni. La maggior parte di questi soldi sono poi stati spostati su conti in Romania e Spagna.

Dopo un breve processo Constatin è stato condannato a 46 mesi di carcere per diversi reati.

Questa breve storia non racconta solo le vicende private di un criminale, ma ci descrive un mondo che è in rapida evoluzione. Un mondo nel quale girano tanti soldi, più di quanti se ne riescano realmente a ripulire.  Un mondo nel quale il motore dei facili guadagni attira tante persone, che vengono in parte raggirate e in parte pensano di poter fare soldi facili. Un mondo che quasi sempre finisce per distruggere le vite di chi ci cade. Un mondo che, per raggiungere i propri scopi, finisce per schiacciare gli incauti che ci si avvicinano. Come è accaduto, ad esempio, questa estate, a quei ragazzi di Milano, incensurati e di ceto medio, che per pochi soldi, hanno accettato di compiere un reato e di legarsi a un'associazione a delinquere. Tutti loro, sono indagati a piede libero per truffa e alcuni anche per possesso di documenti falsi.

Se quando hanno ricevuto la prima mail con la proposta di "lavorare da casa" con "guadagni garantiti", si fossero fermati a pensare alle conseguenze, forse, adesso avrebbero molti guai in meno. Forse, se lo facessimo tutti noi quando rispondiamo a qualche mail di dubbia provenienza e di dubbia attendibilità, il phishing, lo spam e le truffe online non sarebbero fenomeni in espansione.

Forse.

http://www.wikio.it