Leonardo Musumeci

Il post seguente è stato tradotto, previa autorizzazione, dal blog SANS Computer Forensics

Recentemente, i cookie di flash sono stati un argomento di notevole interesse, grazie al rilascio di un ottimo paper dal titolo Cookie di flash e privacy. I cookie di flash, o local shared objects nel linguaggio Macromedia, sono un ottimo esempio di forensic artifact che esiste da molto tempo; in pratica ignorato fino a quando non si è deciso di renderlo noto. Quando vedo una nuova ricerca che riguarda problematici controlli della privacy, immediatamente estraggo il mio palmare, perché so che troverò artifact di grande valore che potranno aiutarmi nel corso delle mie indagini relative alla forensics.

Prima di tutto alcuni principi fondamentali:

• Macromedia Flash è diventato onnipresente sul web, grazie a funzionalità come lo streaming video ed altre peculiarità per il “cliente ricco”. Molti dei siti più popolari sul web sono dipendenti da Flash e quindi un’alta percentuale di utenti Internet ha installato il plug-in per Flash.
• Lo standard Flash incorpora i local shared objects (LSO), che consentono ai dati (come le preferenze) di essere conservati nell’istanza locale di Flash, sulla macchina dell’utente.
• Gli LSO vengono memorizzati come singoli file con estensione .SOL.  Per impostazione predefinita sono meno di 100 KB e non hanno scadenza (a differenza dei tradizionali cookie HTTP).
• Ho trovato i file .SOL in due posizioni, nel sistema locale: %user profile%\Application Data\Macromedia\Flash Player e %user profile%\Application Data\Macromedia\Flash Player\# SharedObjects\profile \ in un sistema XP).Per l’analisi di Vista, sarà necessario cercare nella cartella roaming all’interno di %user profile%\
• Gli LSO non sono browser based, quindi attualmente, non esiste un modo semplice per l’utente medio di rimuoverli (cancellando semplicemente i file si raggiunge lo scopo, ma l’utente deve sapere dove si trovano). Questo rende gli LSO molto difficili da eliminare sul sistema locale.

Analisi

Per i nostri scopi, il termine cookie di flash è adatto per definire gli LSO, perché fornisce informazioni molto simili a quelle che troviamo nei tradizionali cookie HTTP. Chi ha frequentato il corso SANS SEC 408 Computer Forensic Essentials ricorda che i cookie HTTP possono fornire le seguenti informazioni:

I siti web visitati

Macromedia Flash richiede che gli LSO siano conservati gerarchicamente, per dominio. In questo modo è possibile far rispettare la regola che ogni dominio può memorizzare fino a 100K sul sistema locale. Dal nostro punto di vista, questo ci fornisce uno strumento molto utile per esaminare velocemente i siti visitati.

Figura 1: Listato directory che mostra i domini LSO

Anche gli annunci pubblicitari basati su Flash hanno la possibilità di salvare gli LSO. Questo è importante, perché, in alcuni casi, si può necessariamente concludere che l’intento dell’utente fosse quello di accedere al dominio. L’origine degli LSO è spesso evidente (vedi figura 2). Ma ulteriori test o artifact addizionali possono essere necessari per giungere a conclusioni definitive.

Figura 2: Local Shared Object memorizzato da una pubblicità flash

Account utente locale che ha visitato il sito

I file .SOL si trovano all’interno della cartella %user profile% , che indica l’account autenticato nel momento in cui l’LSO è stato salvato.

La prima e l’ultima visita al sito

Dal momento che i file .SOL vengono salvati singolarmente, abbiamo un bel set di timestamp del file system da utilizzare. Su Windows XP (che ha l’Access time stamping abilitato per default), si può utilizzare l’Access Time per sapere quando l’LSO è stato letto l’ultima volta. Questo può dirci, potenzialmente, quando il sito è stato visitato per l’ultima volta; ma si deve prestare attenzione, visto che non sono a conoscenza di alcuna norma che richieda un sito di distribuzione per leggere gli LSO. È certamente nel loro interesse e i miei test sembrano confermarlo, ma se il sito non legge l’LSO per qualche ragione, l’access time non sarà aggiornato.

Il creation time del file .SOL, potenzialmente, può comunicare quando il sito è stato visitato per la prima volta. Ancora una volta, però, non è possibile stabilire con certezza che l’LSO sia stato creato durante la prima visita al sito; quindi è difficile essere definitivi. Per analizzare meglio tutto questo, si dovrebbe considerare “la prima visita nota al sito”. Altri artifact del sistema, possono essere in grado di confermare questa data, o indicare una visita precedente.

Così, osservando di nuovo la figura 1, è possibile vedere che la prima visita nota a mg3.mail.yahoo.com è stata l’ 11/27/2008 all’ 1:38 e l’ultima visita nota l’ 8/17/2009 alle 5:27 (local machine time).

Dati memorizzati dal sito

Flash tenta semplicemente di offuscare i dati all’interno di ogni LSO, controllando il formato e forzando una serializzazione binaria dei dati memorizzati. Detto questo, se trovate un file rilevante, non trascurate questa area di dati. Ho trovato informazioni interessanti, come text-based location information memorizzate da un sito web meteo.

Strumenti

Sebbene non sia raccomandato come forensics tool (in primo luogo, perché richiede l’installazione/esecuzione su un sistema live), l’estensione per Firefox, Better Privacy, è un ottimo strumento per identificare (e rimuovere) gli LSO sul sistema locale. Uno dei modi migliori per conoscere i forensics artifact è l’analisi su un sistema con un comportamento noto (cioè il vostro sistema). Il plug-in Better Privacy vi permette di esaminare (e gestire) gli LSO su un sistema live.

Figura 3: Better Privacy Firefox plug-in Screenshot

Questo è solo un primo rapido esame relativo ai Cookie di Flash, esorto i nostri lettori ad inviare eventuali link o informazioni supplementari nei commenti del blog.

Ciad Tilbury, GCFA, ha trascorso oltre dieci anni nell’ambito investigativo relativamente al crimine informatico: dal computer hacking allo spionaggio, fino a casi di frode per svariati milioni di dollari. Attualmente insegna al SEC408 Computer Forensic Essentials e SEC508 Computer Forensics, Investigations, and Response per il SANS Institute.

Fonte: Flash Cookie Forensics

Uno degli interventi più interessanti ai quali ho assistito finora nel corso della Conferenza Virus Bulletin 2009, quest’anno, è stato quello di Dmitry Samosseiko; in merito alla russa “Partnerka”. Partnerka è la complessa rete di affiliati che trae profitto da spam e malware. Si comporta come un sistema di marketing multi-livello, se avete mai ricevuto un’e-mail che punta ad un sito web di “Canadian Pharmacy”, avete incontrato Partnerka.

Vedremo i risultati delle indagini di Dmitry in maggior dettaglio in altra sede, ma una cosa che ho notato durante il suo discorso, è che esiste una parte di Partnerka (è stato Dmitry a chiamare il codec “partnerka”), dedita alla vendita e promozione di software Mac falso, progettato per compromettere il vostro computer.

Ad esempio, il sito web nella foto sopra (che non è più on-line – almeno non lo è, al momento ) ha offerto, recentemente, 0,43 dollari ai suoi affiliati; ogni volta che fossero riusciti ad installare malware sui computer degli utenti Apple Macintosh. Inoltre per aiutare i loro affiliati, offrivano malware mascherato da falso lettore video.

La dimostrazione crescente di criminali finanziariamente motivati, che controllano sia il mercato Apple Mac che Windows, non è una buona notizia. Tanto più che molti utenti Mac, attualmente non usano una protezione anti-malware.

Fonte: Earn 43 cents every time you infect a Mac

Già nel 2005, ho scritto in merito al fallimento dell’autenticazione a due fattori per limitare le frodi bancarie.

Ci sono due nuovi attacchi che stiamo iniziando a vedere:

• Man-in-the-middle. L’attacker crea un sito Web contraffatto della banca e attira l’utente sul sito. L’utente inserisce la password e l’attacker a sua volta la utilizza per accedere al sito web reale della banca. Ben fatto, l’utente non si accorgerà mai che non è sul sito web della banca. Poi l’attacker o disconnette l’utente e compie le transazioni fraudolente che vuole, o permette che le transazioni bancarie dell’utente vengano effettuate, mentre, allo stesso tempo, compie le proprie.
• Attacco tramite cavallo di Troia. L’attacker installa un cavallo di Troia sul computer dell’utente. Quando l’utente accede al sito della sua banca, l’attacker effettua un piggyback su quella sessione, tramite il Trojan, per compiere qualsiasi operazione fraudolenta desideri.

Vedete come l’autenticazione a due fattori non risolva nulla? Nel primo caso, l’attacker può bypassare la parte dinamica della password della banca, insieme con la parte che non cambia. Nel secondo caso, l’attacker si basa sul login dell’utente

Ecco un esempio:

Il furto è accaduto nonostante l’uso, da parte di Ferma, di una one-time password e un codice a sei cifre rilasciato da un piccolo dispositivo elettronico ogni 30 o 60 secondi. I ladri online si sono adattati a questa protezione aggiuntiva tramite la creazione di programmi speciali – cavalli di Troia in tempo reale – in grado di effettuare le transazioni verso la banca, mentre il titolare del conto è online;trasformando la one-time password nell’anello debole della catena della sicurezza finanziaria. “Penso che sia un modello errato”, sostiene Ferrari.

Naturalmente si tratta di un modello errato. Dobbiamo smettere di cercare di autenticare la persona invece di autenticare la transazione :

L’autenticazione a due fattori risolve i problemi di sicurezza che coinvolgono l’autenticazione. L’attuale ondata di attacchi contro i sistemi finanziari, non sta sfruttando le vulnerabilità del sistema di autenticazione, di conseguenza l’autenticazione a due fattori non funziona.

La sicurezza è sempre una corsa agli armamenti e si potrebbe sostenere che questa situazione rappresenti semplicemente il prezzo da pagare per rimanere a galla. Il problema con questo ragionamento è che ignora le contromisure atte a ridurre le frodi in maniera permanente. Concentrandosi sull’autenticazione dell’individuo piuttosto che autenticare la transazione, le banche sono costrette a difendersi contro le tattiche criminali piuttosto che contro il reato stesso.

Le carte di credito sono un esempio perfetto. Notate come si presti scarsa attenzione all’autenticazione del titolare della carta. Gli impiegati a malapena controllano le firme. Le persone utilizzano le loro carte per telefono e su Internet, dove l’esistenza della carta non è nemmeno verificata. Le società delle carte di credito usano il loro security dollar per autenticare la transazione, non il titolare della carta.

Maggiori informazioni su come limitare il furto di identità.

Fonte: Hacking Two-Factor Authentication

La settimana scorsa ci sono stati vari report inerenti la tecnologia anti-phishing integrata nel browser web Safari Mobile dell’ Apple iPhone OS 3.1, che in realtà non funziona.

I ricercatori di un’azienda che si occupa di sicurezza per Mac, Intego hanno reso noto che ” questa funzione è stata ampiamente testata con decine di URL di phishing, “prima di concludere che la funzione “anti-phishing propagandata” semplicemente non funzionava. ”

Tuttavia, sembra che tale conclusione potrebbe essere stata un po’ prematura. I giornalisti del “The Loop” interrogati sul presunto problema di Apple, hanno ricevuto una risposta ufficiale ; secondo la quale gli utenti non utilizzano il procedimento corretto per aggiornare la protezione contro i siti web di phishing:

Il portavoce della Apple, Bill Evans, ha comunicato a The loop che "il database anti-phishing di Safari viene scaricato mentre l'utente carica il cellulare, al fine di salvaguardare la vita della batteria e garantire che non ci siano aggravi di dati". "Dopo l'aggiornamento all' iPhone OS 3.1, l'utente dovrà lanciare Safari, connettersi a una rete Wi-Fi e caricare l' IPhone a schermo spento. Per la maggior parte degli utenti questa procedura dovrebbe avvenire automaticamente quando si carica il telefono cellulare."

Ed il gioco è fatto.

Se si desidera aggiornare la protezione anti-phishing dell’ IPhone tutto quello che si deve fare è lanciare Safari, effettuare una connessione Wi-Fi (3G non sarà sufficiente), caricare l’IPhone a schermo spento.

Non sembra la procedura più semplice e intuitiva del mondo, secondo me e visto che nascono parecchi nuovi siti web di phishing ogni giorno, è difficile immaginare che i proprietari di iPhone siano sempre up-to-date .

Intendiamoci, visto che molti altri smartphone non offrono anche la forma più elementare di protezione anti-phishing ai loro utenti, forse non dovremmo essere troppo duri con Apple.

* Fonte immagine: photostream TRD JZX100’s Flickr (Creative Commons)

Fonte: Shouldn’t protecting iPhone users from phishers be easier than this?

L’eliminazione di file è una questione di controllo. Generalmente, non è mai stato un problema. I dati erano sul vostro computer e voi decidevate quando e come cancellare un file. Potevate utilizzare la funzione dì eliminazione, se non vi interessava che un file potesse essere recuperato; ed un programma per l’eliminazione dei file – io uso BCWipe per Windows – se ci si vuole assicurare che nessuno possa essere in grado di recuperare i file.

Ora che mettiamo molti dei nostri dati sulle piattaforme di cloud computing come Gmail, Facebook e piattaforme proprietarie chiuse, come Kindle e l’iPhone , l’eliminazione dei dati è molto più difficile.

Ci si deve fidare che queste aziende cancellino i nostri dati quando lo richiediamo, ma generalmente non sono interessate a farlo. Siti come questi, sono più propensi a rendere i dati inaccessibili che eliminarli fisicamente. Facebook è il colpevole più noto: in realtà l’eliminazione dei dati dai suoi server richiede una procedura complessa , che potrebbe o non potrebbe funzionare. E anche se si riesce a cancellare i dati, le copie è certo che restano nei sistemi di backup delle aziende. Gmail lo fa esplicitamente presente nell’informativa sulla privacy.

I backup online, i messaggi SMS, le foto su siti di photo sharing, le applicazioni per smartphone che memorizzano i dati nella rete: non avete idea di ciò che realmente accade quando si eliminano alcune parti dei dati o l’intero account, perché non controllate i computer che memorizzano i vostri dati.

Questa nozione di controllo inoltre spiega come Amazon sia stata in grado di eliminare un libro acquistato su Kindle, il loro lettore di e-book. Gli aspetti legali sono discutibili, ma Amazon ha la capacità tecnica di eliminare i file perché controlla tutti i Kindle. Chi ha progettato Kindle, ha permesso che decida quando aggiornare il software, se le persone sono autorizzate a comprare i libri e quando spegnerlo completamente .

Vanish è un progetto di ricerca di Roxana Geambasu ed alcuni colleghi dell’Università di Washington. Hanno progettato un prototipo di sistema che automaticamente elimina i dati dopo un intervallo di tempo stabilito . Quindi è possibile inviare un’ e-mail, creare un documento di Google, postare un aggiornamento di Facebook, caricare una foto su Flickr e tutto questo è progettato per scomparire dopo un certo periodo di tempo. Dopo esser scomparso, nessuno – chi ha scaricato i dati, il sito che si occupa dell’hosting, chi ha intercettato i dati in transito, nemmeno tu – sarà in grado di leggerlo. In caso arrivasse la polizia a Facebook, Flickr o Google con un mandato, anche loro non sarebbero in grado di leggerlo.

I dettagli sono complicati, ma Vanish divide la chiave di decodifica dei dati in varie parti e la disperde in giro per il web usando una rete peer-to-peer. Poi si usa il turnover naturale di queste reti – le macchine si connettono e disconnettono continuamente – per far si che i dati scompaiano. A differenza di programmi precedenti, che contemplavano l’eliminazione dei file, questo non ha bisogno di riporre fiducia in qualsivoglia società , organizzazione, o sito web. É così, semplicemente.

Naturalmente, Vanish non impedisce al destinatario di un’ e-mail o il lettore di una pagina Facebook, di copiare i dati ed incollarli in un altro file; esattamente come la funzione d’eliminazione dei dati di Kindle, non impedisce di copiare i file di un libro e salvarli sul proprio computer. Vanish, per ora, è solo un prototipo e funziona solo se chi legge i vostri post di Facebook o guarda le vostre immagini di Flickr, lo ha installato sul computer; ma è una buona dimostrazione di come il controllo influisca sull’eliminazione dei file. Sebbene si tratti di un passo nella giusta direzione, è anche nuovo e merita, quindi, ulteriori analisi per quanto riguarda la sicurezza, prima di essere adottato su larga scala.

Abbiamo perso il controllo dei dati su alcuni computer che possediamo e anche nel cloud. Non abbiamo intenzione di smettere di usare Facebook e Twitter soltanto perché non elimineranno i nostri dati quando lo richiediamo e non abbiamo intenzione di smettere di usare Kindle e l’IPhone, perché potrebbero cancellare i nostri dati quando vogliono.
Ma abbiamo bisogno di riprendere il controllo dei dati nel cloud e progetti come Vanish, ci mostrano come farlo.

Ora abbiamo bisogno di qualcosa che possa proteggere i nostri dati quando una grande azienda decide di eliminarli.

Articolo originariamente apparso sul Guardian .

Fonte: File Deletion