Archivi categoria: IT Secutity

Articles on IT Security: malware analysis, tools and more

Fire3vuan 0.5

Ultimo aggiornamento: 22-11-2017

Fir3vuan è un progetto che avevo da un bel pò nella testa: un browser isolato in un hypervisor. In parola povere ho creato una VirtualMachine su cui gira una distribuzione Linux minimalista che mostra solo il browser,  ideale per una navigazione al sicuro da ransomware e pubblicità malevola!

Poi  al Moca 2016 ho incotrato Jaromil che mi ha date parecchie dritte (non sono un linuxiano esperto, me la cavo) e anche il mio amico e collega di LUG Gianguido mi ha dato parecchie dritte. Infine, dopo parecchio sbattimento sono riuscito a realizzare Fir3vuan: vedi il progetto su SourceForge!
I più smanettoni possono anche realizzarlo da zero, ci sono le istruzioni!

Screenshot di Fir3vuan

Perchè si dovrebbe usare?

Negli ultimi tempi virus che si diffondono tramite i banner pubblicitari (in gergo ciò si chiama , sono sempre più frequenti.
Questo non solo sui siti di streaming o dove si scaricano file, ma anche su siti fidati come Spotify o BBC o il New York Times o caso clamoroso:

Pornhub, attacco malware. A rischio i dati di milioni di utenti

Pornhub, attacco malware. A rischio i dati di milioni di utenti

La rilevazione di ProofPoint: “Falsi annunci di upgrade per i browser installavano software malevolo”

Fonte: www.repubblica.it/tecnologia/sicurezza/2017/10/10/news/pornhub_attacco_malware_a_rischio_i_dati_di_milioni_di_utenti-177903929/

Per non parlare dei ransomware: hai mai scaricato un PDF e andando a leggerlo ti sei accorto che il file era invece un virus?
Per proteggersi a volte l’antivirus non basta e per questa ragione che ho fatto Firevuan!
Continue reading Fire3vuan 0.5

Come proteggere il PC dai virus delle penne USB

Ultimo aggiornamento: 07-09-2016

Mi sono scocciato di prendere i virus con  la penna USB all’università.

Dato che all’università ci sono molti PC e che vengono passanti molti file con le penne USB,  è molto probabile che girino anche molti virus. Uno dei più diffusi è il LoadBak  che prende tutti i file,  li copia in una cartella nascosta e infine crea un’icona che cliccandola ti fa vedere i file e ti avvia anche il virus.

Da https://brutecoder.wordpress.com

Le soluzioni che ho pensato per evitare il contagio sono due, oltre a quella di avere un buon antivirus, e entrambe bloccano la scrittura sulla USB. Continue reading Come proteggere il PC dai virus delle penne USB

I Bug del Neoliberismo: Snowden, Hacking Team e altre storie

Ultimo aggiornamento: 01-12-2016

EDIT  Novembre 2016: nel film su Snowden, in cui si mette in evidenza il fatto che lui non era a metà tra NSA e società esterne: Snowden era uno cresciuto e che si trovava a lavorare sempre tra CIA e NSA. Quindi le parti che vedete cancellate, lo sono state fatte dopo che ho visto il film e quindi mi son documentato meglio. Scusate!

È già da un pò che volevo scrivere questo post, ma ora che Phineas Fisher ha fatto trapelare come ha violato Hacking Team dopo aver fatto lo stesso con FinFisher, mi sembra sia arrivato il momento giusto.

Cosa centrano Snowden e Hacking Team nella stessa frase? Ciò che li collega è il neoliberismo. Entrambi i casi sono potuti nascere grazie al contesto economico contemporaneo che ha delegato questioni importati per lo Stato (come la sicurezza nazionale) ai privati, in modo da ridurre le spese. Ma come si dice a Napoli “lo sparagno non è mai guadagno!” che in italiano sarebbe: spendere di meno non è sempre vantaggioso.

Non sta a me dire che la sorveglianza e l’ascolto di soggetti pericolosi è essenziale nelle operazioni di polizia e di sicurezza e infatti negli ultimi anni NSA e le agenzie di sicurezza del mondo stanno investendo sempre più soldi per i software di sorveglianza o addirittura in centri di raccolta dei dati.

Questa richiesta di strumenti di spionaggio da parte di Stati, e penso anche di grandi aziende, ha fatto nascere un ricco business e quindi, anche società di sicurezza informatiche, molte delle quali sono diventate famose per loro sfortuna, ricordo i casi di Hacking Team e di FinFischer, alle quali hacker(s?) hanno sottratto informazioni importanti.

Gli strumenti di spionaggio non sarebbero un problema finquando tutte le intercettazioni siano gestite, in contesti democratici, da organi esterni alle agenzie di sicurezza, come può essere la magistratura in Italia, che in base a delle prove decide di far intercettare o meno una persona. Ma dato che le aziende produttrici di questi software sono private, queste potrebbero vendere a chiunque, anche in presenza di leggi che ne regolamentino la vendita (come il Wassenaar Arrangement). Questo è un “bug” grave del nostro sistema economico.

Dal mio punto di vista i software di sorveglianza di massa e altre questioni importanti come la gestione della rete elettrica e telefonica, dovrebbero essere gestiti solo da enti governativi, per una questione di sicurezza nazionale e di democrazia. Software per la sorveglianza sono stati venduti a paesi non democratici da aziende private per questioni di business. Se invece, lo sviluppo di questi software fosse affidato allo Stato, questa situazione non ci sarebbe, essendoci un controllo più stretto sulla vendita e questa non sarebbe certamente legata a questioni economiche.

Però la gestione esterna allo stato di questioni nazionali importanti, causata dal neoliberismo, potrebbe avere anche dei bug positivi, come nel caso di gole-profonde che decidono di parlare se vedono qualcosa che non va. Snowden è il caso più eclatante, proprio perchè era un dipendente di una società privata che lavorava per NSA, il quale vedendo a che brutto punto era arrivata la sorveglianza di Stato, ha fatto trapelare tramite Wikileaks quello che poteva. Snowden lo considero un bug del neoliberismo, proprio perchè era un lavoratore esterno ad un’agenzia di stato. Se fosse stato un interno, come un soldato, non so quanto e se si sarebbe mai saputo qualcosa. Infatti Manning è uno dei pochi casi in cui un soldato è andato contro il proprio Stato avendo assistito a un’ingustizia impunita.

E voglio poi ricordare che Snowden essendo un esterno e neanche di alto rango, di sicuro non aveva accesso a tutte le informazioni e le tecniche sulla sorveglianza di massa che ha NSA!

La sicurezza è importante ma la sorveglianza di massa, in cui tutti possiamo essere spiati indistintamente, la vedo sempre più come una gabbia inutile: basta scrivere qualsiasi cosa sui social, che subito potresti diventare una minaccia per i software di sorveglianza di massa (si veda il documentario Termini e condizioni che vengono applicati se click accetto), ma allo stesso tempo cellule terroristiche si organizzano per fare attentati e nessuno capisce come fermarle.

Forse una soluzione a questa situazione sarebbe quella che noi occidentali pensassimo più alle nostre democrazie e meno a quelle degli altri.

Approfondimenti:

 

Licenza Creative Commons
I Bug del Neoliberismo: Snowden, Hacking Team e altre storie è distribuito con Licenza Creative Commons Attribuzione 4.0 Internazionale.

Ransomware e le protezioni ad-hoc

Ultimo aggiornamento: 30-03-2016

Sempre più case antivirus stanno sviluppando soluzioni fatte appositamente per proteggersi dai virus Ransomware, cioè quelli che cifrano i file. Si parla di antivirus che bloccano i virus in maniera euristica, cioè che riconoscono il loro comportamento anomalo. Continue reading Ransomware e le protezioni ad-hoc

How to protect from Ransomwares: the RunAs approach

Ultimo aggiornamento: 09-09-2016

I don’t know if this tenchique just was released on blogs before December 6, 2015.

Introduction

The first idea to defeat from Ransomware softwares are to use Virtual Machines for Internet navigation and email, just because they offer a good isolation (an example is my Fir3vuan project). The only problem is that they are too CPU/Memory expensive, primarily for old computers with Windows XP.
In this tutorial I’ll show you how to protect from Ransomwares as CBT, CryptoWall or Tesla using only Windows security features as Windows Integrity Mechanism (see also User Account Control)

The idea

My (simply) idea is to use the Integrity Mechanism: in Windows a standard user can’t access to Administrator files, so you can login into administrative account, but sensitive process as browsers, mailers, editors, etc.. have to run as standard user!
So if a Ransoware attack your pc, the files into standard user directory will be crypt and not them in Administrator directory. Continue reading How to protect from Ransomwares: the RunAs approach

Come proteggersi da Ransomware. L’approccio RunAs

Ultimo aggiornamento: 09-09-2016

Preambolo

Ho provato a cercare per la rete e non ho trovato (al momento in cui scrivo) tecniche simili.
In questa giuda non spiegherò  le solite cose utili per la prevenzione: ad esempio come mostrare le estensioni dei file in Windows,  fare attenzione alle cartelle condivise o altre cose ampiamente descritte in altri articoli sull’argomento. Se invece, una cosa non la sapete fare, cercatela sui motori di ricerca o smanettate sul PC 😉

Introduzione

Ultimamente si parla molto di  Cryptolocker, CBT e compagnia “bella”: cioè tutti quei virus che ti cifrano i file rendendoli non più leggibili e che ti chiedono un riscatto (ransom in inglese) in bitcoin per poterli ripristinare.
In rete ci sono molte guide per la prevenzione e anche tool ad hoc quali CryptoPrevent, oltre ai soliti Antivirus per difendersi.Però, spesso, gli antivirus non funzionano se al virus viene fatta una piccola modifica per renderlo diverso dalle versione precedenti.
Infine basta un’email finta, come quella dall’agenzia dell’entrate
fake_equitaliaO dal Comune di Napoli per mandare tutto in tilt, o anche visitare un sito web avendo una versione del Flash Player vecchia.

Continue reading Come proteggersi da Ransomware. L’approccio RunAs

Analisi dell’attacco a un profilo Facebook

Ultimo aggiornamento: 10-03-2016

L’altro giorno un amico su Facebook ha scritto in un post che gli stavano arrivando solo SMS che chiedevano di reimpostare la password, solo che non era stato lui a richiederlo e voleva sapere cosa si potesse fare per fermare tutto ciò e come fosse possibile.
Parlandoci un pò è uscito fuori che tutto è iniziato quando due profili falsi gli hanno chiesto amicizia:

  • un profilo aveva un nome comune con informazioni che potrebbero portare a pensare a qualche conoscente della stessa zona.
  • l’altro profilo aveva il suo stesso nome: quindi uno poteva pensare a un possibile parente (alla lontana).

Ovviamente accortosi che erano profili falsi, il mio amico ha subito segnalato la vicenda e i profili.
Continue reading Analisi dell’attacco a un profilo Facebook

Network Anomaly Detection con Conformal Prediction

Ultimo aggiornamento: 05-09-2016

Dopo mesi di lavoro, io con i colleghi Alessandro ed Emanuele  abbiamo finito il nostro lavoro di sperimentazione sull’applicazione del Conformal Prediction al network anomaly detection, per l’esame di Sicurezza del prof. De Santis (@Unisa)

Pochi mesi fa avevamo rilasciato il nostro codice in python, oggi rilasciamo anche le slide della nostra presentazione con i risultati degli esperimenti effettuati sul dataset MAWI.

Update: L’algoritmo di Conformal Prediction utilizza il concetto di p-value. Un bell’articolo che lo riguarda è questo di Wired

How linux distros protect you: parte 2

Ultimo aggiornamento: 22-02-2016

Dopo aver parlato di elf hardening nella prima parte, introduciamo questa seconda parte con un esempio di buffer overflow: lo stack overflow, per parlare dei meccanismi di protezione degli eseguibili che il mondo linux ci offre.
Questo articolo è l’ultimo della serie: volevo farne un terzo in cui si parlasse di Macchine Virtuali (partendo dal comando chroot, passando per i container di linux o le jails di BSD), però basta girare per il web per trovare roba interessante.

Introduzione

Nell’articolo precedente viene spiegato il formato degli eseguibili di linux: l’ELF. Ora per continuare con la spiegazione aggiungo solo che i segmenti degli ELF caricati in memoria (data, codice o text, stack, heap), come molti di voi sapranno già, hanno degli indirizzi prestabiliti in cui vanno allocati.

linux_mem_manag
Esempio di processo su architettuta a 32 bit

Questa caratteristica era utile nei primi anni della storia dell’informatica, in cui il programmatore doveva sapere dove il loader del sistema operativo caricasse il proprio programma; ora non è più certo utile: nella maggior parte dei casi, al programmatore non serve sapere dove i segmenti del codice vengono allocati, inoltre l’allocamento in posizioni pre-fissate viene anche sfruttata per scopi non certo buoni, come si vedrà ora.

Continue reading How linux distros protect you: parte 2