Leonardo Musumeci

Il post seguente è stato tradotto per gentile concessione di Darknet

Sembra che ciò che accadde al WEP tanti anni fa, stia per accadere ora al GSM.

I metodi sono noti, la teoria pure; ma il punto di rottura è rappresentato dagli strumenti disponibili gratuitamente che permettono a chiunque di eseguire attacchi, anche senza realmente capire cosa stia accadendo.

Le notizie recenti sulla violazione del WPA2 hanno generato molte discussioni, per lo più molto tecniche; ma non ci si deve preoccupare troppo dell’insicurezza di WPA2, visto che l’attacco non è realmente praticabile e si basa sul fatto che l’attaccante sia già autenticato nella rete. Ci sono modi più semplici per fare la stessa cosa con il buon, vecchio ARP spoofing .

Alcuni ricercatori indipendenti hanno mantenuto la promessa di rilasciare una serie completa di strumenti, necessari per intercettare le telefonate cellulari che utilizzano la tecnologia mobile più diffusa al mondo.

“L’intero capitolo del GSM hacking entra ora nella fase degli script-kiddie, con una modalità simile al Wi-Fi hacking di un paio di anni fa, dove la gente ha iniziato a violare il Wi-Fi del vicino”; ha detto Karsten Nohl, un crittografo dei Security Research Labs a Berlino, che ha contribuito a guidare il progetto. “Così come con il Wi-Fi, dove la cifratura è stata cambiata in WPA, si spera che ciò avvenga anche con il GSM”.

La suite di applicazioni ora include Kraken, il software verrà rilasciato giovedì alla conferenza sulla sicurezza Black Hat e potrà ricavare la secret key per cifrare i messaggi SMS e le conversazioni vocali in soli 30 secondi. È stato sviluppato da Frank A. Stevenson, lo stesso programmatore norvegese che quasi un decennio fa ha sviluppato il software che ha violato lo schema di cifratura CSS per proteggere i DVD.

Sembra che con questa suite di strumenti e il kit hardware adatto, sarà molto più facile spiare le trasmissioni GSM, violare la secret key dei messaggi SMS, oltre ad essere in grado di ascoltare i flussi voce .

Le rainbow table necessarie per la violazione sono piuttosto grandi, 1.7 TB; ma consentiranno di portare a termine l’attacco in soli 30 secondi. Per fortuna sono stati distribuiti gratuitamente e non a pagamento. Si sta programmando anche di far uscire un torrent per i file e finché la gente continuerà a condividerli come seed, andrà bene.

È stato progettato per funzionare perfettamente con le rainbow table da 1.7 TB, utilizzate per violare A5/1, algoritmo di cifratura vecchio di un decennio, utilizzato per proteggere le comunicazioni telefoniche cellulari che utilizzano il GSM e usato da circa l’80 per cento degli operatori di telefonia mobile mondiale. L’anno scorso, una piccola confederazione di ricercatori, ha annunciato di voler creare il voluminoso indice per sfruttare le debolezze conosciute della cifratura.

Distribuire le rainbow table si è dimostrata una sfida nei confronti dei partecipanti al progetto. Stevenson ha detto che gli abitanti di Oslo, città in cui vive, sono stati invitati a scambiare un disco rigido vuoto con uno che contiene i dati. Infine, il gruppo prevede di rendere disponibili le tabelle in formato BitTorrent.

La GSM Alliance, che rappresenta circa 800 operatori di 219 paesi, ha sminuito il piano universale di snooping, qualificando l’attacco come teorico e affermando che la crittografia non è l’unica protezione contro l’intercettazione di comunicazioni in tempo reale.

E proprio lì entra in gioco un altro strumento, chiamato AirProbe. Una versione aggiornata del programma, anch’essa sarà distribuita giovedì, lavora con le radio USRP per registrare segnali digitali che transitino da una base station di un operatore ad un ricevitore GSM.
Combinandosi con la raffinatezza della radio GNU open-source, funzionerà scaricando voluminose quantità di dati in tempo reale, mentre si dirigerà verso il cellulare che ha come obiettivo; memorizzando soltanto i pacchetti che sono necessari per intercettare una chiamata.

In tutta onestà non ho familiarità con i protocolli GSM, la cifratura, o le loro vulnerabilità, in quanto non è un ambito nel quale mi sia mai avventurato; quindi se qualcuno di voi volesse dare un contributo in merito alle argomentazioni di cui sopra, sarei interessato ad ascoltarlo. È stato possibile compiere quest’attacco per un po’ ? È davvero un rischio, o è solo un altro attacco per lo più teorico che si basa su molti fattori per poter essere effettuato?

In ogni caso è una storia piuttosto interessante e vedrò dove porterà.

Fonte: The Register

Fonte: GSM Hacking Coming To The Masses Script Kiddy Style

Questo articolo è stato tradotto, previa autorizzazione, di Darknet (http://www.darknet.org.uk)

L’obiettivo di Xplico è estrarre dalla cattura del traffico internet, i dati delle applicazioni. Ad esempio, da un file pcap, Xplico estrae ogni mail
( protocolli POP, IMAP ed SMTP ), tutti i contenuti HTTP, ogni chiamata VoIP (SIP), FTP, TFTP e così via. Xplico non è un analizzatore di protocollo di rete. Xplico è un Network Forensic Analysis Tool (NFAT) open source, rilasciato sotto la GNU General Public License (si veda la licenza per ulteriori dettagli).

Caratteristiche di Xplico

• Protocolli supportati: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, …
• Port Independent Protocol Identification (PIPI) per ogni protocollo dell’applicazione
• Multithreading
• Dati di output ed informazioni in un database e/o file SQLite o MySQL
• I dati riassemblati da Xplico sono associati ad un file XML che identifica in modo univoco il flusso ed il pcap contenente i dati riassemblati
• Elaborazione in tempo reale (dipende dal numero di flussi, i tipi di protocolli e le prestazioni del computer – RAM, CPU, tempo di accesso dell’hard disk, … -)
• ricostruzione TCP con ACK di verifica per ogni pacchetto ACK, o verifica soft ACK
• Reverse DNS lookup da pacchetti DNS contenuti nel file di input (pcap), ma non da server DNS esterno
• Nessun limite di dimensione per i dati in ingresso, o il numero di file in entrata (l’unico limite è la dimensione del disco)
• IPv4 e IPv6 sostegno
• Modularità. Ogni componente di Xplico è modulare. L’interfaccia di input, il protocollo di decodifica (Dissector) e l’interfaccia di uscita (dispatcer) sono tutti moduli
• Capacità di creare facilmente qualsiasi tipo di dispatcher con cui organizzare i dati estratti, secondo le modalità più opportune ed utili

È possibile scaricare Xplico 0.5.2 qui:

xplico-0.5.2.tgz

Oppure per saperne di più qui .

Fonte: Darknet

Questo articolo è stato tradotto, previa autorizzazione, di Darknet (http://www.darknet.org.uk)

Un altro primato e ancora una volta la Cina è in prima linea! Recentemente abbiamo segnalato una società cinese che ha condiviso il suo enorme database di malware ed ora un gruppo di imprese cinesi è riuscito a sviluppare il primo worm SMS !

É un concetto veramente interessante, abusare della procedura di Symbian Express Signing . Mi ricorda i bei tempi dei worm via email, che si auto-propagavano, quando i server aziendali erano inondati di email, perché in azienda tutti inviavano lo stesso allegato a tutti i contatti della rubrica.

Ora, con l’integrazione delle applicazioni sui cellulari, è possibile farlo anche con questi dispositivi.

F-Secure Security Labs, recentemente ha dichiarato che tre aziende cinesi – Xiamen Jinlonghuatian Technology, ShenZhen ChenGuangWuXian Technology, e XinZhongLi Tianjin – hanno creato il worm ‘Sexy Space’ o YXE Worm (Worm: SymbOS / Yxe.D) e l’hanno inviato ai telefoni con sistema operativo Symbian, tramite la procedura di express signing.

“Questo è il primo worm della storia che sfrutta i messaggi di testo”, ha detto Chia Wing Fei, security response senior manager di F-Secure.
“Per il momento, i nostri laboratori hanno confermato soli pochi report dalla Cina e dal Medio Oriente.”

La prima fase del processo di autenticazione di Symbian è effettuata automaticamente utilizzando un motore antivirus, ha detto Chia; ha aggiunto inoltre che, una volta che l’applicazione è stata inviata e controllata, vengono selezionati alcuni campioni casuali per l’audit umano.

Quindi cosa succederà? Servirà un antivirus per il cellulare? Beh… quello già esiste (ad esempio Kaspersky Mobile Security ).

Sono sicuro che gli sviluppatori Symbian rafforzeranno il sistema operativo ed anche la procedura di autenticazione. Si tratta di un settore che sicuramente attrarrà l’attenzione del pubblico, che usa il cellulare sempre più ( PayPal, ad esempio, ha appena sviluppato un’applicazione per iPhone ) ed il mobile banking sta guadagnando sempre maggiore popolarità.

Tuttavia, ha osservato, la maggior parte delle applicazioni non possono essere controllate dagli esseri umani attraverso la procedura di autenticazione.

Chia ha detto che un utente malintenzionato può quindi inserire un link che punta al sito web del worm in un messaggio di testo ed invitare l’utente a scaricare il worm facendo clic sul link. Una volta attivato, ha aggiunto, il worm si installa sul dispositivo ed invia messaggi di testo a tutti i contatti della rubrica.

“Questi messaggi sono inviati a vostro nome e dal vostro telefono cellulare. Ciò significa che si pagherà per ogni SMS inviato dal worm.
Il costo tipico per un messaggio di testo potrebbe essere di 5 centesimi. Se si dispone di 500 contatti nel telefono, l’infezione costerebbe 500 volte 5 centesimi “, ha osservato Chia.

Potrebbe costare un po’ di soldi essere infettati e certamente causare grattacapi a voi ed ai vostri amici.

Nessuno ama lo spam giusto? Soprattutto quando è al servizio di alcuni malware auto-replicanti .

Fonte: Network World

Questo articolo è stato tradotto, previa autorizzazione, di Darknet (http://www.darknet.org.uk)

Per le persone della mia età e della mia generazione ed immagino per la maggior parte dei lettori di Darknet, Michael Jackson ha influenzato notevolmente le nostre vite.
La notizia più eclatante della settimana scorsa, è stata sicuramente la sua morte; come al solito i “cattivi” sono stati estremamente veloci a capitalizzare tutto questo e ad inviare spam a poche ore dalla notizia.

In base a quanto afferma F-Secure , era prevedibile che il malware avrebbe seguito poco dopo e così è stato.

Un’azienda specializzata in sicurezza informatica, a poche ore dalla morte della pop star Michael Jackson, rendeva noto che lo spam relativo alla sua scomparsa aveva già colpito le caselle di posta ed era solo l’inizio.
Solo otto ore dopo la notizia che riguardava Jackson, Sophos con sede nel Regno Unito, ha iniziato a monitorare la prima ondata di spam con oggetto “Confidential – Michael Jackson.”

Lo spam non era orientato a lanciare un prodotto o indirizzare gli utenti verso un sito di phishing o malware ma stava cercando di ingannare gli utenti a rispondere al messaggio, al fine di raccogliere indirizzi e-mail e verificarne la validità.

Sophos, oggi, nel blog della società ha detto che ” il corpo del messaggio di spam non contiene alcun link volto-all’-azione; ad esempio un URL, un’ e-mail o un numero di telefono”
“Ma lo spammer può raccogliere gli indirizzi di chi riceve l’e-mail tramite un indirizzo e-mail live, se si risponde al messaggio di spam ”

Le versioni originali erano semplicemente vecchio e semplice spam per raccogliere indirizzi, ma successivamente seguirono versioni cariche di malware che crearono IRC bot e backdoor, individuati come “Trojan.Win32.Buzus.bjyo”.

È triste vedere accadere cose del genere ma gli attacchi di ingegneria sociale per diffondere malware, sono previsti, in occasione di grandi notizie come questa.

Niente è sacro per il lato oscuro di Internet.

La tempestività di tale campagna non è stata casuale: era successiva all’assoluzione di Jackson da tutte le accuse di abusi sessuali su bambini. “La notizia del suo tentativo di suicidio era plausibile”, ha affermato Cluley, dopo aver osservato che gli hacker ed i truffatori, spesso speculano sulle tragedie per indurre le persone a fare clic sui link. In questo caso, gli utenti sono stati colpiti da un hacker toolkit, che ha tentato diversi exploit contro Internet Explorer.

“Non sarei sorpreso di vedere hacker affermare di possedere filmati top-secret dall’ ospedale, presumibilmente girati da chi era sull’ambulanza; che poi vi chiederanno d’installare un codec video”, ha affermato Cluley, parlando di un comune stratagemma usato dal malware. Gli utenti che faranno clic sul falso link d’aggiornamento del codec, verranno infettati con un attack code, spesso un bot che tenterà di effettuare un hijack del loro computer.

Quindi avvertite tutti, se qualcuno invia e-mail con immagini o video che dichiarano di possedere filmati segreti o esclusivi che riguardino la morte di Michael Jackson, è più probabile che sia un vettore d’infezione.

Il buon senso prevale, ma purtroppo non è buono.

Riposa in pace Michael

Fonte: Network World

Articolo originale:  Michael Jackon Spam/Malware – RIP The King Of Pop

L’articolo seguente è stato tradotto, previa autorizzazione, di Darknet
(http://www.darknet.org.uk)

Kon-Boot è un prototipo di software che permette di modificare il contenuto di un kernel Linux (e ora anche il kernel di Windows!) “al volo” (durante l’avvio).

Nella stato di compilazione attuale, permette di accedere ad un sistema Linux come utente ‘ root ‘ senza digitare la password corretta, o elevare i privilegi di root all’utente corrente. Per quanto riguarda i sistemi Windows, permette di entrare in qualsiasi profilo protetto da password, senza conoscerne alcuna.

È stato creato principalmente per Ubuntu, successivamente l’autore ha creato alcuni add-on per altre distribuzioni Linux.

L’intero Kon-Boot è stato scritto in puro assembler x86, utilizzando il vecchio nonno bislacco di TASM 4.0.

Ultimi Aggiornamenti – Kon-boot per Windows

Kon-Boot è disponibile anche per Windows. Quindi, ora supporta i sistemi Microsoft Windows ed anche Linux elencati di seguito. Kon-Boot per Windows, consente di effettuare il login a qualsiasi profilo protetto da password, senza conoscer nessuna password. Questo strumento cambia il contenuto del kernel di Windows durante l’avvio, tutto viene compiuto virtualmente – senza modifiche fisiche al sistema. Finora i seguenti sistemi sono stati testati per funzionare correttamente con Kon-Boot:

• Windows Server 2008 Standard SP2 (v.275)
• Windows Vista Business SP0
• Windows Vista Ultimate SP1
• Windows Vista Ultimate SP0
• Windows Server 2003 Enterprise
• Windows XP
• Windows XP SP1
• Windows XP SP2
  Windows XP SP3
• Windows 7
  

  Non sono richieste particolari istruzioni d’uso per gli utenti Windows, solo il boot dal CD / floppy di Kon-Boot , selezionare il profilo e inserire la password che desiderata. Hai perso la password? Ora non è più rilevante.

  È stato testato con le seguenti distribuzioni Linux:

  Gentoo
  • 2.6.24-gentoo-r5 GRUB 0,97
    Ubuntu
  • 2.6.24.3-debug di GRUB 0,97
  • Debian 2.6.18-6-6861 GRUB 0,97
    Fedora
  • 2.6.25.9-76.fc9.i6862 GRUB 0,97
    È possibile scaricare Kon-Boot qui:Immagine Floppy – fd0-konboot-v1.1-2in1.zip

    Immagine CD ISO – CD-konboot-v1.1-2in1. zip

    O per saperne di più qui .

    Fonte: Kon-Boot – Reset Windows & Linux Passwords