Archivi categoria: IT Secutity

Articles on IT Security: malware analysis, tools and more

Fire3vuan 0.5

LAST UPDATE: 21/10/2016

Fir3vuan è un progetto che avevo da un bel pò nella testa: un browser isolato in un hypervisor. In parola povere ho creato una VirtualMachine su cui gira una distribuzione Linux minimalista che mostra solo il browser,  ideale per una navigazione al sicuro da ransomware e pubblicità malevola!

Poi  al Moca 2016 ho incotrato Jaromil che mi ha date parecchie dritte (non sono un linuxiano esperto, me la cavo) e anche il mio amico e collega di LUG Gianguido mi ha dato parecchie dritte. Infine, dopo parecchio sbattimento sono riuscito a realizzare Fir3vuan: vedi il progetto su SourceForge!
I più smanettoni possono anche realizzarlo da zero, ci sono le istruzioni!

Screenshot di Fir3vuan

Perchè si dovrebbe usare?

Negli ultimi tempi virus che si diffondono tramite i banner pubblicitari (in gergo ciò si chiama , sono sempre più frequenti. Questo non solo sui siti di streaming o dove si scaricano file, ma anche su siti fidati come Spotify o come BBC o il New York Times.
Per non parlare dei ransomware: hai mai scaricato un PDF e andando a leggerlo ti sei accorto che il file era invece un virus?

Per proteggersi a volte l’antivirus non basta e per questa ragione che ho fatto Devuan!

Informazioni tecniche

Fir3vuan è una Devuan Linux a 64bit, con i3 come windows manager e Firefox come browser. Avviato, utilizza 350MB di memoria RAM senza siti web aperti. Sul mio PC si avvia in circa 30sec.
Fir3vuan 0.5 comprende Firefox 49 col codec h264 e il Flash Player, così da poter vedere anche Netflix!

Come si usa

Per avviare Fir3vuan si deva prima di tutto scaricare un software di virtualizzazione, io ho usato VirtualBox.
Poi basta scaricare il file 7zip da SourceForge, estrarlo e avviare il file .vbox (quello con il cubo blu come icona) o avviare .vmx se si ha VMware, l’archivio contiene un harddisk virtuale in formato VMDK quindi anche chi utilizza VMWare può usarlo.

Al primo avvio verrà chiesta la lingua della propria tastiera (l’inglese è quella predefinita) e se si vogliono installare le VBox Guest Addition (vedi sotto per più info).
Una volta avviato, cliccando su Windows_ico + c  si può chiude facilmente il browser.closing

Dalla VirtualMachine al PC

Consiglio vivamente di installare le Guest additions  perchè:

  • Si hanno migliori prestazioni della VM
  • L’audio si sente meglio
  • Si può fare copia/incolla del testo tra VM e PC
  • Si ridimensionare la finestra correttamente.
  • Si possono scaricare i file direttamente sul vostro PC! Basta impostare una cartella condivisa con VirtualBox (si vedano le informazioni su SourceForge)

Informazioni sulla RAM utilizzata

La VM che si scarica può usare fino a  1.5GB di RAM  e quindi Firefox ha un pò più di 1GB di RAM per la navigazione. Dato che il processo di Firefox, su Windows,  può arrivare a usare più di  1GB, se si vuole, si può anche aumentare la RAM a disposizione della VM (cosa che consiglio dato che non ho settato un’area di SWAP, per velocizzare il tutto)firefox_windows

Scarica i file da SourceForge.

Notizia del 30/09/2016: Su Windows 10 il browser EDGE potrà essere lanciato in una VM Hyper-V, l’articolo su arstechica.

Altri servizi utili:

Come proteggere il PC dai virus delle penne USB

Mi sono scocciato di prendere i virus con  la penna USB all’università.

Dato che all’università ci sono molti PC e che vengono passanti molti file con le penne USB,  è molto probabile che girino anche molti virus. Uno dei più diffusi è il LoadBak  che prende tutti i file,  li copia in una cartella nascosta e infine crea un’icona che cliccandola ti fa vedere i file e ti avvia anche il virus.

Da https://brutecoder.wordpress.com

Le soluzioni che ho pensato per evitare il contagio sono due, oltre a quella di avere un buon antivirus, e entrambe bloccano la scrittura sulla USB. Continua a leggere

I Bug del Neoliberismo: Snowden, Hacking Team e altre storie

EDIT  Novembre 2016: nel film su Snowden, in cui si mette in evidenza il fatto che lui non era a metà tra NSA e società esterne: Snowden era uno cresciuto e che si trovava a lavorare sempre tra CIA e NSA. Quindi le parti che vedete cancellate, lo sono state fatte dopo che ho visto il film e quindi mi son documentato meglio. Scusate!

È già da un pò che volevo scrivere questo post, ma ora che Phineas Fisher ha fatto trapelare come ha violato Hacking Team dopo aver fatto lo stesso con FinFisher, mi sembra sia arrivato il momento giusto.

Cosa centrano Snowden e Hacking Team nella stessa frase? Ciò che li collega è il neoliberismo. Entrambi i casi sono potuti nascere grazie al contesto economico contemporaneo che ha delegato questioni importati per lo Stato (come la sicurezza nazionale) ai privati, in modo da ridurre le spese. Ma come si dice a Napoli “lo sparagno non è mai guadagno!” che in italiano sarebbe: spendere di meno non è sempre vantaggioso.

Non sta a me dire che la sorveglianza e l’ascolto di soggetti pericolosi è essenziale nelle operazioni di polizia e di sicurezza e infatti negli ultimi anni NSA e le agenzie di sicurezza del mondo stanno investendo sempre più soldi per i software di sorveglianza o addirittura in centri di raccolta dei dati.

Questa richiesta di strumenti di spionaggio da parte di Stati, e penso anche di grandi aziende, ha fatto nascere un ricco business e quindi, anche società di sicurezza informatiche, molte delle quali sono diventate famose per loro sfortuna, ricordo i casi di Hacking Team e di FinFischer, alle quali hacker(s?) hanno sottratto informazioni importanti.

Gli strumenti di spionaggio non sarebbero un problema finquando tutte le intercettazioni siano gestite, in contesti democratici, da organi esterni alle agenzie di sicurezza, come può essere la magistratura in Italia, che in base a delle prove decide di far intercettare o meno una persona. Ma dato che le aziende produttrici di questi software sono private, queste potrebbero vendere a chiunque, anche in presenza di leggi che ne regolamentino la vendita (come il Wassenaar Arrangement). Questo è un “bug” grave del nostro sistema economico.

Dal mio punto di vista i software di sorveglianza di massa e altre questioni importanti come la gestione della rete elettrica e telefonica, dovrebbero essere gestiti solo da enti governativi, per una questione di sicurezza nazionale e di democrazia. Software per la sorveglianza sono stati venduti a paesi non democratici da aziende private per questioni di business. Se invece, lo sviluppo di questi software fosse affidato allo Stato, questa situazione non ci sarebbe, essendoci un controllo più stretto sulla vendita e questa non sarebbe certamente legata a questioni economiche.

Però la gestione esterna allo stato di questioni nazionali importanti, causata dal neoliberismo, potrebbe avere anche dei bug positivi, come nel caso di gole-profonde che decidono di parlare se vedono qualcosa che non va. Snowden è il caso più eclatante, proprio perchè era un dipendente di una società privata che lavorava per NSA, il quale vedendo a che brutto punto era arrivata la sorveglianza di Stato, ha fatto trapelare tramite Wikileaks quello che poteva. Snowden lo considero un bug del neoliberismo, proprio perchè era un lavoratore esterno ad un’agenzia di stato. Se fosse stato un interno, come un soldato, non so quanto e se si sarebbe mai saputo qualcosa. Infatti Manning è uno dei pochi casi in cui un soldato è andato contro il proprio Stato avendo assistito a un’ingustizia impunita.

E voglio poi ricordare che Snowden essendo un esterno e neanche di alto rango, di sicuro non aveva accesso a tutte le informazioni e le tecniche sulla sorveglianza di massa che ha NSA!

La sicurezza è importante ma la sorveglianza di massa, in cui tutti possiamo essere spiati indistintamente, la vedo sempre più come una gabbia inutile: basta scrivere qualsiasi cosa sui social, che subito potresti diventare una minaccia per i software di sorveglianza di massa (si veda il documentario Termini e condizioni che vengono applicati se click accetto), ma allo stesso tempo cellule terroristiche si organizzano per fare attentati e nessuno capisce come fermarle.

Forse una soluzione a questa situazione sarebbe quella che noi occidentali pensassimo più alle nostre democrazie e meno a quelle degli altri.

Approfondimenti:

 

Licenza Creative Commons
I Bug del Neoliberismo: Snowden, Hacking Team e altre storie è distribuito con Licenza Creative Commons Attribuzione 4.0 Internazionale.

How to protect from Ransomwares: the RunAs approach

I don’t know if this tenchique just was released on blogs before December 6, 2015.

Introduction

The first idea to defeat from Ransomware softwares are to use Virtual Machines for Internet navigation and email, just because they offer a good isolation (an example is my Fir3vuan project). The only problem is that they are too CPU/Memory expensive, primarily for old computers with Windows XP.
In this tutorial I’ll show you how to protect from Ransomwares as CBT, CryptoWall or Tesla using only Windows security features as Windows Integrity Mechanism (see also User Account Control)

The idea

My (simply) idea is to use the Integrity Mechanism: in Windows a standard user can’t access to Administrator files, so you can login into administrative account, but sensitive process as browsers, mailers, editors, etc.. have to run as standard user!
So if a Ransoware attack your pc, the files into standard user directory will be crypt and not them in Administrator directory. Continua a leggere

Come proteggersi da Ransomware. L’approccio RunAs

Preambolo

Ho provato a cercare per la rete e non ho trovato (al momento in cui scrivo) tecniche simili.
In questa giuda non spiegherò  le solite cose utili per la prevenzione: ad esempio come mostrare le estensioni dei file in Windows,  fare attenzione alle cartelle condivise o altre cose ampiamente descritte in altri articoli sull’argomento. Se invece, una cosa non la sapete fare, cercatela sui motori di ricerca o smanettate sul PC 😉

Introduzione

Ultimamente si parla molto di  Cryptolocker, CBT e compagnia “bella”: cioè tutti quei virus che ti cifrano i file rendendoli non più leggibili e che ti chiedono un riscatto (ransom in inglese) in bitcoin per poterli ripristinare.
In rete ci sono molte guide per la prevenzione e anche tool ad hoc quali CryptoPrevent, oltre ai soliti Antivirus per difendersi.Però, spesso, gli antivirus non funzionano se al virus viene fatta una piccola modifica per renderlo diverso dalle versione precedenti.
Infine basta un’email finta, come quella dall’agenzia dell’entrate
fake_equitaliaO dal Comune di Napoli per mandare tutto in tilt, o anche visitare un sito web avendo una versione del Flash Player vecchia.

Continua a leggere

Analisi dell’attacco a un profilo Facebook

L’altro giorno un amico su Facebook ha scritto in un post che gli stavano arrivando solo SMS che chiedevano di reimpostare la password, solo che non era stato lui a richiederlo e voleva sapere cosa si potesse fare per fermare tutto ciò e come fosse possibile.
Parlandoci un pò è uscito fuori che tutto è iniziato quando due profili falsi gli hanno chiesto amicizia:

  • un profilo aveva un nome comune con informazioni che potrebbero portare a pensare a qualche conoscente della stessa zona.
  • l’altro profilo aveva il suo stesso nome: quindi uno poteva pensare a un possibile parente (alla lontana).

Ovviamente accortosi che erano profili falsi, il mio amico ha subito segnalato la vicenda e i profili.
Continua a leggere

Network Anomaly Detection con Conformal Prediction

Dopo mesi di lavoro, io con i colleghi Alessandro ed Emanuele  abbiamo finito il nostro lavoro di sperimentazione sull’applicazione del Conformal Prediction al network anomaly detection, per l’esame di Sicurezza del prof. De Santis (@Unisa)

Pochi mesi fa avevamo rilasciato il nostro codice in python, oggi rilasciamo anche le slide della nostra presentazione con i risultati degli esperimenti effettuati sul dataset MAWI.

Update: L’algoritmo di Conformal Prediction utilizza il concetto di p-value. Un bell’articolo che lo riguarda è questo di Wired

How linux distros protect you: parte 2

Dopo aver parlato di elf hardening nella prima parte, introduciamo questa seconda parte con un esempio di buffer overflow: lo stack overflow, per parlare dei meccanismi di protezione degli eseguibili che il mondo linux ci offre.
Questo articolo è l’ultimo della serie: volevo farne un terzo in cui si parlasse di Macchine Virtuali (partendo dal comando chroot, passando per i container di linux o le jails di BSD), però basta girare per il web per trovare roba interessante.

Introduzione

Nell’articolo precedente viene spiegato il formato degli eseguibili di linux: l’ELF. Ora per continuare con la spiegazione aggiungo solo che i segmenti degli ELF caricati in memoria (data, codice o text, stack, heap), come molti di voi sapranno già, hanno degli indirizzi prestabiliti in cui vanno allocati.

linux_mem_manag
Esempio di processo su architettuta a 32 bit

Questa caratteristica era utile nei primi anni della storia dell’informatica, in cui il programmatore doveva sapere dove il loader del sistema operativo caricasse il proprio programma; ora non è più certo utile: nella maggior parte dei casi, al programmatore non serve sapere dove i segmenti del codice vengono allocati, inoltre l’allocamento in posizioni pre-fissate viene anche sfruttata per scopi non certo buoni, come si vedrà ora.

Continua a leggere