About these ads

Archive

Posts Tagged ‘SSH’

16-30 November 2012 Cyber Attacks Timeline

December 4, 2012 1 comment

November has gone and it’s time to review this month’s cyber landscape.

From a Cyber Crime perspective, November 2012 will be probably remembered for the breach to Nationwide, one of the largest insurance and financial services providers in the US, a breach that has potentially left up to 1 million users exposed. Unfortunately, in terms of massive breaches, this is not the only remarkable event of the month, just at the end Acer India has suffered a massive cyber attack culminated in the leak of nearly 15,000 records. Not comparable with the breach that affected Nationwide, but for sure of big impact.

Also on the cyber-espionage front this month has been interesting: JAXA, the Japan Space agency has been targeted by yet another targeted attack (after January 2012) and Symantec has discovered W32.Narilam, a new destructive malware targeting several nations in Middle East.

The hacktivist front has been characterized by the dramatic events in Gaza, the attacks have reached a peak around the first half of the month (as in the first part, I did not take into consideration the attacks carried on in name of OpIsrael for which I wrote a dedicated timeline), in any case the Anonymous have found another way to mark this month, leaking 1 Gb of documents from the Syrian Ministry of Foreign Affairs.

Last but not least, this month has seen three large-scale DNS Poisoning attacks (against the Pakistani Registrar PKNIC, Inc., GoDaddy, and the Romanian Registrar). A very rare occurrence!

If you want to have an idea of how fragile our data are inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011 and 2012 and the related statistics (regularly updated), and follow @paulsparrows on Twitter for the latest updates.

Also, feel free to submit remarkable incidents that in your opinion deserve to be included in the timelines (and charts).

16-30 November 2012 Cyber Attacks Timeline

Read more…

About these ads
Categories: Cyber Attacks Timeline, Security Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Sbucciare Una Mela In 6 Minuti

February 13, 2011 1 comment

Poteva, questo scorcio di 2011 regalarci (in)soddisfazioni di sicurezza informatica solo per il povero Androide? Niente affatto! Ed ecco che dalla Germania, in particolare dal Fraunhofer Institute for Secure Information Technology (SIT), arriva una interessante analisi sul livello di sicurezza del KeyChain Apple, ovvero l’architettura usata dai sistemi operativi di Casa Apple per la gestione dei dati personali (password, etc.). I risultati non sono certo esaltanti poiché gli autori dell’articolo, in 6 minuti, sono stati in grado di decifrare completamente il contenuto del KeyChain, da un gioiello di Casa Apple (iPhone 4 ed iPad), simulando le stesse condizioni al contorno di un furto (quindi dispositivo non Jailbreakato, cifrato con una password complessa, con la funzione di Data Protection attiva e con le attività di hack che sono state effettuate da un PC che non si era mai sincronizzato con il dispositivo).

L’amara considerazione è che quando un dispositivo iOS (la prova è stata effettuata con la versione 4.2.1) in cui è attiva la funzione di cifratura Hardware viene smarrito o rubato, l’utente è avvolto da una ingannevole sensazione di sicurezza. Sensazione familiare  di chi crede che non vi sia modo per il malintenzionato di accedere ai dati contenuti (perlomeno in presenza di una password complessa a protezione dei segreti). L’algoritmo AES256 che sottende al processo di cifratura sarebbe, in teoria, una solida garanzia. Peccato, purtroppo, che la chiave di cifratura del dispositivo non dipenda dalla complessità della password impostata dall’utente, ma è autoconsistente, ovvero tutte le informazioni per la sua creazione dipendono da porzioni di informazioni contenute all’interno del dispositivo e di conseguenza sono virtualmente in possesso di un eventuale malintenzionato che abbia illecitamente messo i propri artigli sull’apparato.

Questa caratteristica dei gioielli di Steve Jobs era già nota ed utilizzata, senza eccessivo sforzo, per decifrare porzioni del file system. La novità di questo 2011 consiste nel fatto che la stessa tecnica può essere utilizzata per ottenere le password contenute nel KeyChain. Nell’attuale versione dell’iOS Cuore di Mela (4.2.1), il keychain contiene, cifrate, informazioni quali: password utente di tutti i tipi e per tutti i gusti (email, groupware, VPN, WiFi, siti Web), ma anche password e certificati utilizzati in applicazioni di terze parti.

I passi effettuati per sbucciare la Mela sono tutto sommato relativamente semplici, a patto di conoscere il coltello lo script utilizzato per estrarre i dati che i ricercatori non hanno comunque rivelato, e si possono riassumere in:

  1. Ottenere l’accesso al file system;
  2. Copiare lo script di accesso al KeyChain nel file system;
  3. Eseguire lo script che rivela le account contenute e le relative password.

Banalmente il primo passo è necessario per accedere al keychain e può essere generalmente ottenuto jailbreakando il dispositivo ed installando un serverino SSH sullo stesso, facendo attenzione a non sovrascrivere i dati utente. Dopo il jailbreak una qualsiasi applicazione è in grado di accedere a tutti i file, incluso il keychain. Naturalmente il database delle credenziali è cifrato con la chiave del dispositivo, che non può essere estratta, ma che può essere utilizzata da altre applicazioni per rivelare i segreti contenuti sotto la buccia scocca del dispositivo.

Il passo successivo richiede l’iniezione di uno script di accesso al keychain mediante la connessione SSH appena stabilità. Lo script  non necessita di effettuare il reverse engineering del meccanismo di cifratura in quanto utilizza le funzioni di sistema per accedere alle informazioni del keychain.

Infine, la degna conclusione, nel terzo e ultimo passo viene eseguito lo script che stampa a video (ovvero esegue l’output su shell) le account.

Il tutto in soli 6 (sei) minuti, senza necessità di conoscere la password di decifratura del dispositivo. Un tempo che è comunque mediamente inferiore all’intervallo in cui l’utente medio realizza lo smarrimento o il furto del dispositivo, un tempo entro il quale l’utente malintenzionato potrebbe già essere entrato all’interno della posta elettronica della malcapitata vittima. E questo a prescindere dal fatto che l’utente possa o meno attuare la procedura di swipe remoto del dispositivo (un attaccante abile e soprattutto rivolto al risultato avrebbe già spento il dispositivo e cambiato la SIM).

Resta la (magra) consolazione che le password di alcuni servizi (ad esempio le password di siti Web) non vengono rivelate con questo tipo di attacco, pur venendo mostrate su schermo sono comunque marcate come protected e sono disponibili allo script solo dopo aver inserito la password di sblocco del dispositivo (quindi fuori scopo per lo scenario di attacco simulato). D’altro canto l’accesso alle credenziali del KeyChain è vittima conseguenza dell’usuale compromesso tra sicurezza e necessità di garantire una esperienza utente immediata: la password per i servizi di rete deve essere da subito disponibile senza necessità di intervento da parte per l’utente, per cui per avere accesso alla stessa è sufficiente avere accesso al file system.

Non c’è che dire… Un grattacapo in più per gli IT Manager che vedono ancora una volta funestate le proprie velleità professionali dall’accoppiata: smartphone/tablet->data leackage, grattacapo che getta nuova ombra sul fatto che questi gioielli siano effettivamente adatti per un uso di tipo enterprise. Lo scenario è ancora più complicato per i Tablet che in questo momento stanno trovando terreno fertile tra i livelli medio-alti che tipicamente sono meno sensibili ai problemi di sicurezza e soprattutto hanno una allergia cronica per l’inserimento di password.

A questo punto chi ha 6 minuti di tempo può scegliere di fare due cose: guardarsi il video sottostante che mostra la procedura (ma lo script di accesso non è stato rivelato), oppure correre al negozio sotto casa e comprarsi un Androide nuovo fiammante (ma non fatevi troppe illusioni perché gli autori dell’exploit sostengono che la diffusione verso altri terminali è solo questione di tempo).

 

Follow

Get every new post delivered to your Inbox.

Join 3,094 other followers