Archivio Autore

Come già vi avevamo preannunciato la White Hats Crew aveva annunciato di aver ricavato l’algoritmo di generazione della chiave WPA per gli Access Point FastWeb Telsey.

Oggi tale algoritmo è stato reso noto ed è pertanto possibile visualizzarlo sul sito ufficiale della Crew.

A Bertinoro si sta tendendo la decima edizione del FOSAD (International School on Foundations of Security Analysis and Design) che per una settimana tratterà il tema della sicurezza informatica e dei network informatici.

L’iniziativa inziata lo scorso 6 Settembre si andrà a concludere sabato 11 Settembre e vede la partecipazione di ottimi scienziati a livello internazionale come Roberto Gorrieri, Martin Abadi, Alessandro Aldini, Gilles Barthe, Sandro Etalle, Javier Lopez, Fabio Martinelli e Catherine Meadows.

La FOSAD istituita nel 2000 è stata uno dei primi eventi internazionali nati con lo scopo di diffondere, tra esperti e giovani ricercatori, lo stato dell’arte nell’area della sicurezza delle reti e dei sistemi di computer.

Maggior informazioni sul programma è possibile consultarlo sul sito ufficiale della fondazione.

Via | RomagnaOggi

Venerdì 10 e Sabato 11 Settembre vi saranno due giorni di incontri per la presentazione dell’offerta formativa dell’univerisità degli studi di Milano.

Gli incotri si svolgeranno nella sede di Crema e offriranno non solo una presentazione dei corsi ma anche dei seminari molto interessanti; venerdì vi saranno quelli di Risk Management e IT Security tenuto dal Prof. Marco Cremonini e di Perché è così difficile combattere lo SPAM? del Prof. Ernesto Damiani. Nella giornata di sabato Privacy in sistemi mobili del Prof. Claudio Ardagna e Identificazione e nuove tecniche di biometria del Prof. Fabio Scotti.

I corsi di laurea triennale e magistrali che veranno presentati sono i seguenti:

• Informatica – Laurea triennale
• Sicurezza dei Sistemi e delle Reti Informatiche – Laurea triennale, Edizione in presenza
• Sicurezza dei Sistemi e delle Reti Informatiche – Laurea triennale, Edizione online
• Informatica – Laurea Magistrale
• Sicurezza Informatica – Laurea Magistrale

Per qualsiasi informazione aggiuntiva potete accedere al sito della facoltà.

Grazie al nostro lettore Frank siamo in grado di dimostrarvi tramite un bellissimo video l’esecuzione dell’exploit DLL Hijack.

Il video si scompone principalmente in due parti, nel primo caso viene eseguito un semplice file .html associato al Browser Mozilla Firefox che al lancio richiama una DLL invisibile contenente un malware che infetterà il pc rendendolo un client e collegandosi al server RAT schwarze sonne, prendendo così pieno possesso del PC della vittima.

Importante notare in questa prima parte del video due dettagli:

• Viene usata l’ultima versione di Mozilla Firefox (3.6.8); ancora oggi dopo circa 20gg dal ritrovamento di tale falla non è stata rilasciata una versione del Browser che risolva la problematica.
• La DLL è stata resa invisibile, di default nessun sistema Windows rende visibili i file nascosti; questa caratteristica rende ancora più vulnerabile il pc della vittima.

Nella seconda parte del video viene sfruttata la medesima tecnica però cambiando il software di “lancio” della DLL sfruttando il lettore multimediale VLC.

FaceBook nei mesi scorsi aveva introdotto una nuova funzione denominata “protezione dell’account”, in caso di accesso al proprio profilo da un computer estraneo si veniva veniva avvisati tramite eMail.

Da pochi giorni questo strumento è stato migliorato implementando il log degli accessi e la possibilità di eseguire un logout remoto, se per caso vi dimenticate una sessione aperta del vostro profilo su un PC che non avete a portata di mano.

I report sono veramente molto dettagliati, includono non solo l’orario di login ma anche il luogo approssimativo, il browers usato ed il nome e il tipo di dispositivo.

Via | TrackBack

Lo scorso Agosto vi avevo introdotto la nuova tecnica di DLL Hikacking in questo articolo, ma stanotte mi sono imbattuto in un interessante articolo di Bruno Filipe che dimostra come può essere sfruttata tale tecnica nella realtà!

Utilizzando una cartella condivisa su un server SMB / WebDav

Questa è forse la tecnica più comune di come il dll hijack  viene sfruttato, sicuramente perché può essere sfruttata da remoto.  Esiste già un modulo per Metasploit che utilizza questa tecnica. Esso prevede l’inserimento in una cartella condivisa di una DLL infetta e di un file pulito con l’obbiettivo di far aprire al target il file pulito. All’appertura del file pulito realmente viene caricata la DLL infetta che procede ad installare un malware/trojan sul PC della vittima.

Un archivio compresso (. zip, . tar.gz, . rar, ecc ecc)

Questa tecnica prevede l’inserimento in un archivio di un gruppo di file più una DLL, l’obbiettivo sarà quello di far estrarre l’intero contenuto dell’archivio e procedere all’appertura di un file “pulito” che provvederà a richiamare la DLL infetta contenuta nell’archivio.

Torrent

Sicuramentr questa tecnica ha il vantaggio di avere una diffusione su grande scala pertanto è da considerarsi veramente dannosa, il principio si basa sulla precedente tecnica dell’archivio ma grazie alla difffusione dei Torrent e di un minimo di Social Engineering sarà possibile ottenere un grande numero di bersagli.

Ipotizziamo di distribuire sul canale Torrent l’ultimo album di Shakira (sicuramente richiestissimo), ovviamente l’archivio non conterrà esclusivamente l’album ma anche la DLL infetta. L’utente una volta completato il download dell’ablum provvederà ad estrarlo ed ad ascoltare l’album…ed ecco che viene caricata la DLL.

Multi Exploiting DLL Hijack

Questa tecnica prevede l’inserimento di più DLL infette all’interno di una risorsa condivisa, un archivio o un torrent in modo da aumentare notevolmente le possibilità di attaccare la vittima.

Prendendo spunto dal precedente esempio dell’album di Shakira non possiamo avere una certezza di quale player multimediale utilizza la vittima per riprodurre gli mp3 per cui inseriremo all’interno dell’archivio contenente l’album più DLL infette (ognuna per ogni lettore multimediale) dandoci così la possibilità di incrementare il buon esito dell’attacco.

Non solo gli Access Point Wireless di FastWeb e Alice sono soggetti al cracking della password, ma ora viene rilasciato da Edwin Eefting il codice di generazione delle chiavi di autenticazione per gli Switch 3com, Dell, SMC, Foundry e EdgeCore.

L’autore avrebbe scoperto la falla nell’Agosto del 2009 ma non fu mai resa pubblica data l’importanza di questo exploit ma fu esclusivamente comunicata ai produttori, ormai è trascorso un anno e non avendo ricevuto risposte dalle cinque case produttrici ha deciso di rendere pubblico l’algoritmo di generazione.

Lo script, da lui creato il perl, permette tramite il MAC Address Ethernet del dispositivo (facilmente recuperabile con una scansione di rete) di recuperare la chiave di autenticazione predefinita!

Possedere la chiave di accesso di uno Switch Ethernet (parliamo ovviamente di prodotti di grandi infrastrutture) permetterebbe l’amministrazione completa di uno Switch: l’abilitazione di porte LAN, instradamento del traffico LAN verso canali differenti da quelli standard, gestione di regole del firewall, ecc ecc

L’exploit e il relativo script di calcolo sono stati resi noti da Exploit-DB e per chi fosse interessato può avere maggiori dettagli nel comunicato ufficiale.

Il McAfee Lab ha recentemente scoperto un nuovo bersaglio ed una relativa nuova metodologia di diffusione del famoso Malware Zeus, questa volta viene sfruttato il marchio FedEx per attrarre via eMail l’attenzione dei dipendenti delle maggiori banche Mondiali.

La mail diffusa informa il Bancario di un mancato recapito di merce e lo invita ad aprire un allegato contente i dettagli sulla spedizione (mittemte, destinatario, tracking e contenuto del pacco).

Ovviamente l’allegato contiene realmente un file eseguile del Malware Zeus in grado di trasformare il PC in un Zombie ed allimentare la BotNet Asprox.

Via | AvertLabs

Swsooue ha rilasciato negli scorsi giorno la versione 1.11 del suo software AGPF Tool Calculator, il quale migliora l’analisi del file config.txt contenente i Magic Numbers.

Se si tenta il recupero di una chiave WPA non prevista nel file di config tenterà comunque il calcolo sfruttando le serie di Magic Numbers adiacenti.

Il tool, in versione demo, è possibile scaricarlo sul sito ufficiale dello sviluppatore mentre vi ricordiamo che potete leggere una completa guida all’utilizzo sul nostro blog.

La White Hats Crew ha recenetemente annunciato di aver portato a termine il progetto nato da Angelo Righi lo scorso 20 Aprile 2009, il quale prevedeva di risarile alla chiave WPA di un Router FastWeb Telsey solo conoscendo SSID diffuso via etere.

La Crew, ormai famosa per le continue ricerche in questo ambito, ha ufficializzato di aver scoperto l’algoritmo di generazione della chiave WPA esso permetterà di risalire alla chiave WPA di default assegnata dall’operatore telefonico FastWeb conoscendo solamente l’indirizzo MAC della scheda WiFi integrata. Ricordiamo che l’indirizzo MAC è facilmente reperibile tramite qualsiasi strumento di scansione Wireless.

L’algoritmo e gli eventuali dettagli verranno pubblicati prossimamente in quanto il Team ha da sempre addottato la metodologià di full disclosure, ma è stato rilasciato un bollettino di avvertimento per tutti gli utilizzatori di Access Point Telsey invitandoli a cambiare la propria chiave WPA predefinita.

Vi interremo aggiornati non appena vi sono novità!

Fonti:

• White Hats Crew
• PillolHacking