Leonardo Musumeci

Un’altra traduzione tratta da un post del blog di Bruce Schneier:

Eccellente articolo sull’aspetto economico dello spam. Gli autori infiltrano il worm Storm e tengono monitorato il suo comportamento.

Dopo 26 giorni e quasi 350 milioni di messaggi e-mail, solo 28 si sono trasformati in vendite - un tasso di conversione ben al di sotto dello 0,00001%. Di questi, tutti tranne uno, riguardavano prodotti per la valorizzazione del sesso maschile- ed il prezzo medio di acquisto era circa di $ 100 . Nel loro insieme queste conversioni avrebbero portato ricavi di $ 2.731,88 - un po ‘più di $ 100 al giorno per il periodo valutato, o $ 140 al giorno per i periodi in cui la campagna è stata attiva. Tuttavia, il nostro studio si è occupato solamente di una piccola frazione dell’intera rete di Storm - stimiamo circa l’ 1,5 per cento sulla base dei bot operativi che usiamo come proxy. Pertanto, il totale giornaliero delle entrate attribuibili alla campagna collegata ai farmaci di Storm, è probabilmente più vicina a $ 7,000 (o $ 9.500 durante i periodi di attività della campagna).  Con la stessa logica, stimiamo che le campagne di auto-propagazione di Storm, siano in grado di produrre tra i 3.500 e 8.500 nuovi bot al giorno.

Partendo dal presupposto che le nostre misurazioni sono rappresentative nel tempo (un’ ipotesi palesemente pericolosa quando si ha a  che fare con piccoli campioni come questi), si può estrapolare che, se fosse inviato in maniera continuativa e con la stessa frequenza, lo spam farmaceutico generato da Storm, produrrebbe circa 3,5 milioni di dollari di entrate in un anno. Questo numero potrebbe anche essere superiore, se la pratica dei farmaci pubblicizzati dallo spam, ripetessero l’attività . Un po’ meno di “milioni di dollari ogni giorno”, ma certamente un’impresa florida.

Naturalmente gli autori sottolineano che è pericoloso fare questo tipo di generalizzazioni:

Siamo i primi ad ammettere che questi risultati rappresentano un singolo punto di vista e non sono necessariamente rappresentativi dello spam nel suo complesso. Campagne diverse, che usano diverse tattiche di marketing e prodotti diversi; possono, senza dubbio, produrre risultati diversi. Infatti consigliamo di usare estrema cautela ai nostri ricercatori, nei confronti dei tassi di conversione utilizzati per queste campagne basate su Storm, per giustificare le ipotesi in qualsiasi altro contesto.

Lo spam è completamente incentrato sull’aspetto economico. Se inviare posta indesiderata costa un dollaro tra carta, noleggio elenchi e spedizione, il marketer necessita di un ragionevole tasso di conversione per rendere la campagna proficua. Quando si manda posta indesiderata, quasi gratuitamente, un tasso di conversione di uno su dieci milioni è decisamente accettabile.

Articoli News

Un’altra traduzione tratta da un post del blog di Bruce Schneier:

É un difficile compromesso di sicurezza . Gli ospiti perdono le chiavi della loro camera d’albergo ed il personale dell’hotel deve essere accomodante. Ma allo stesso tempo, non possono cedere le chiavi delle camere a chiunque affermi di averle perse. Generalmente gli hotel chiedono di vedere qualche ID prima di dare una chiave doppia e se l’ospite non ha il portafoglio con sè, qualcuno lo accompagni alla camera con la chiave e ne verifichi l’identità.

Questo normalmente funziona abbastanza bene. C’è, però, un caso giudiziario in corso a Brisbane nei confronti di un albergo, che ha ceduto la chiave di una camera a qualcuno che ha finito per aggredire sessualmente la donna, ospite della stanza.

Durante l’azione civile che si è svolta ieri, la donna sostiene che all’uomo sia stata consegnata la chiave di riserva, da un componente dello staff dell’albergo.

L’articolo non dice che tipo di autenticazione, l’hotel abbia chiesto o ricevuto.

Un’altra traduzione tratta da un post del blog di Bruce Schneier:

Buon D&R sul clickjacking:

In parole semplici, il clickjacking permette ad hackers e scammers di nascondere roba pericolosa all’interno del contenuto di un sito legittimo. Sapete cosa succede quando un ladro d’auto prende un’auto? Bene, il clickjacking è lo stesso, tranne che il click è l’auto stessa.

“Clickjacking” è un termine estremamente sexy, ma la vulnerabilità è solo una variante del cross-site scripting. Non sappiamo quanto terribile sia veramente, perché i dettagli non son ancora noti. Ma il nome in sè è già fonte di terrore.

Una traduzione di un post di Bruce Schneier :

Sicuramente interessante:

Con sede in Europa, il Rock Phish group è una comunità criminale che sta prendendo di mira banche e altri istituti finanziari dal 2004. Secondo l’RSA, sono responsabili della metà di tutti gli attacchi di phishing nel mondo ed hanno prosciugato decine di milioni di dollari dai conti bancari di singoli individui . Il gruppo ha preso il nome da una stranezza, ora interrotta, in cui i phisher utilizzavano percorsi di directory contenenti la parola “rock”.

Il primo segno che il gruppo si stesse espandendo, fu in aprile, quando introdusse un trojan noto alternativamente come Zeus o WSNPOEM; che ruba le informazioni finanziarie sensibili in transito dalla macchina della vittima alla banca. Poco tempo dopo, la banda aggiunse ancora più crimeware, tra cui una client botnet su misura che si diffuse, tra gli altri metodi, utilizzando il Neosploit infection kit .

[...]

Presto apparvero ulteriori indicazioni,  che puntavano ad una partnership tra Rock Phishers e Asprox. In particolare, il comando ed il controllo per il server del crimeware Rock Phish personalizzato, aveva esattamente la stessa struttura delle directory di molti server Asprox; tutto ciò fece credere ai ricercatori dell’RSA che gli attacchi di Rock Phish e Asprox usassero almeno un server comune. (I ricercatori di Damballa sono stati in grado di confermare tale conclusione, dopo aver osservato campioni di malware prelevati da ciascuno delle rispettive botnet, che avevano stabilito connessioni con server proxy HTTP verso un insieme comune di IP di destinazione.)

Un’altra traduzione tratta da un post del blog di Bruce Schneier:

Questa è veramente grossa:

Due ricercatori, esperti di sicurezza, hanno sviluppato una nuova tecnica che essenzialmente bypassa tutte le difese nella protezione di memoria del sistema operativo Windows Vista. Un progresso che molti nella comunità della sicurezza, dicono avrà implicazioni che andranno ben oltre Microsoft; ma anche nei confronti di come l’intera industria della tecnologia concepisce gli attacchi.

In una presentazione ai briefing del Black Hat, Mark Dowd dell’ IBM Internet Security Systems (ISS) ed Alexander Sotirov, di VMware Inc. parleranno dei nuovi metodi che hanno trovato per aggirare le protezioni di Vista, come ad esempio l’Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP) ed altri; utilizzando Java, i controlli ActiveX e gli oggetti .NET, per caricare contenuto arbitrario nei web browser.

Approfittando del modo in cui i browser, in particolare Internet Explorer, gestiscono l’active scripting e gli oggetti .NET, la coppia è stata in grado di caricare essenzialmente qualunque contenuto avessero voluto, in un a locazione a loro scelta su una macchina dell’utente.

Il saggio è qui.

AGGIORNAMENTO (8/11): Qui c’è un commento che sostiene non sia un problema così grave, dopo tutto. Io non ne sono convinto; credo che diventerà un problema ben più serio.

Ecco un altro articolo tradotto dal blog di Bruce Schneier:

Il sensazionale salvataggio della scorsa settimana di 15 ostaggi in mano all’organizzazione di guerriglieri FARC, fu il risultato di mesi d’intricati inganni da parte del governo columbiano. Al centro c’era un classico attacco man-in-the-middle.

In un attacco man-in-the-middle, l’attaccante si inserisce tra le due parti comunicanti. Entrambi pensano di parlar tra di loro e l’attaccante può cancellare o modificare le comunicazioni secondo il proprio volere.

Il Wall Street Journal lo definisce come il gambetto eseguito in Columbia:

“Il piano potè riuscire perché, per mesi, durante un’operazione, un ufficiale dell’esercito è stato equiparato ad un “telefono rotto”; l’intelligence militare è stata in grado di convincere il rapitore della signorina Betancourt, Gerardo Aguilar, un guerrigliero conosciuto come ‘Cesar,’ che stesse comunicando con i suoi capi supremi nel segretariato dei sette uomini della guerriglia. L’intelligence dell’esercito ha convinto i leader supremi della guerriglia che stessero parlando con Cesar. In realtà, entrambi parlavano con l’intelligence dell’esercito.”

Questo stratagemma funzionò perché, Cesar ed i suoi capi della guerriglia non si conoscevano bene. Non riconoscevano le voci uno dell’altro e non erano amici, o condividevano un passato che avrebbe potuto metterli in guardia dell’inganno. Il man-in-the-middle è sconfitto dal contesto e i guerriglieri FARC non ne avevano.

Ecco perché il man-in-the-middle, abbreviato MITM nella comunità della sicurezza informatica, è un tale problema online: la comunicazione Internet è spesso priva di qualsiasi contesto. Non c’è modo di riconoscere il viso di qualcuno. Non c’è modo di riconoscere la voce di qualcuno. Quando si riceve un’e-mail che si presume provenga da una persona o una organizzazione, non si sa chi l’abbia mandata realmente. Quando si visita un sito web, non si sa se si sta realmente visitando quel sito web. Tutti noi amiamo credere di sapere con chi stiamo comunicando - e la maggior parte delle volte, ovviamente, non ci sono hacker che si inseriscono nelle nostre comunicazioni - ma in realtà, non lo sappiamo. E ci sono molti strumenti hacker che sfruttano questa ingiustificata fiducia e implementano attacchi MITM .

Anche con il contesto, è ancora possibile per il MITM ingannare entrambe le parti - visto che le comunicazioni elettroniche sono spesso intermittenti. Immaginate che uno dei guerriglieri FARC fosse divenuto sospettoso nei riguardi di chi fosse il suo interlocutore. Avrebbe, quindi, fatto una domanda circa un passato condiviso, come test: “Cosa mangiammo per cena, quella volta, l’anno scorso?” o qualcosa di simile. Al telefono, l’hacker non sarebbe stato in grado di rispondere velocemente, quindi il suo inganno sarebbe stato scoperto velocemente. Ma le conversazioni via e-mail non sono sincrone. L’hacker avrebbe potuto semplicemente passare quella domanda all’altro capo della comunicazione e quando avesse avuto la risposta, sarebbe stato in grado di replicare.

Questo è il modo in cui gli attacchi MITM operano nei confronti di sistemi finanziari basati sul web. Una banca chiede l’autenticazione dall’utente: una password, un codice utilizzabile una sola volta da un token o qualsiasi altra cosa. L’hacker seduto nel mezzo riceve la richiesta dalla banca e la passa all’utente. L’utente risponde all’hacker, che passa quella risposta alla banca. Ora la banca presume di parlare con l’utente legittimo e l’hacker è libero d’inviare le transazioni direttamente alla banca. Questo tipo d’attacco bypassa completamente qualsiasi  meccanismo d’autenticazione a due fattori e sta divenendo una tattica di furto d’identità sempre più popolare.

Ci sono soluzioni crittografiche agli attacchi MITM e ci sono protocolli web sicuri che li implementano. Molti di loro però, richiedono segreti condivisi, rendendoli utili solamente in situazioni dove le persone già si conoscano e si fidino l’una dell’altra.

I telefoni sicuri progettati dall’Nsa STU-III e STE , risolvono il problema del MITM integrando l’identità di ogni telefono insieme alla propria chiave. (L’Nsa crea tutte le chiavi ed  è  fidato, quindi funziona.) Quando due telefoni parlano tra loro in sicurezza, si scambiano chiavi e mostrano l’identità dell’altro telefono sullo schermo. Visto che il telefono è in un luogo sicuro, l’utente ora sa con chi sta parlando e se il telefono mostra un’altra organizzazione - come farebbe se ci fosse un attacco MITM in corso - egli dovrebbe attaccare.

Zfone, un sistema VoIP sicuro, protegge contro gli attacchi MITM  con una stringa d’autenticazione breve. Dopo che due terminali Zfone si scambiano le chiavi, entrambi i computer mostrano una stringa di quattro caratteri. Gli utenti sono tenuti a verificare manualmente che entrambe le stringhe siano uguali - “il mio schermo dice 5C19; cosa dice il tuo?” - per assicurarsi che i telefoni stiano comunicando direttamente uno con l’altro e non con un MITM. L’ AT&T TSD-3600 lavorava in maniera simile.

Questo genere di protezione è integrato nel SSL, nonostante nessuno lo usi. Quando viene usato normalmente, SSL fornisce una connesione con comunicazioni cifrate a chiunque sia all’altro capo: in egual misura ad una banca e ad un sito di phishing. Ed i migliori siti di phishing creano connessioni SSL valide, in modo da ingannare in maniera ancora più efficace gli utenti. Ma se l’utente lo desidera, potrebbe controllare il certificato SSL manualmente per vedere se sia stato emesso alla ” Banca nazionale dell’attendibilità ” o “Due tizi con un computer in Nigeria.”

Nessuno lo fa, comunque, visto che ci si deve, sia ricordare, che aver voglia di fare fare il lavoro.

( I browser potrebbero rendere questa cosa più semplice, se volessero; ma pare non vogliano.) Nel mondo reale, potresti dirlo semplicemente ad una branca della tua banca, da un bancomat ad un angolo di strada. Ma su internet, un sito di phishing può essere facilmente reso simile al vero sito della tua banca. Qualsiasi metodo per separare le due cose necessita di lavoro. E questo è il primo passo per ingannarti con un attacco  MITM .

Il man-in-the-middle non è nuovo e non dev’esser tecnologico. Ma internet rende gli attacchi più semplici e potenti e ciò non cambierà in breve tempo.

Questo articolo è stato pubblicato originariamente da Wired.com.

Ecco un altro articolo tradotto dal blog di Bruce Schneier: Schneier on Security

La concezione popolare dei media è che ci sia un tentativo coordinato da parte del governo cinese di penetrare nei computer degli Stati Uniti - militari,  corporazioni governative - e rubarne i segreti. La verità è molto più complicata.

Certamente molto hacking proviene dalla Cina. Qualsiasi azienda che effettua controlli di sicurezza lo nota tutti i giorni.

Questi gruppi di hacker pare non lavorino per il governo cinese. Non pare siano coordinati dall’esercito cinese. Fondamentalmente sono giovani, maschi, cittadini cinesi patriottici e tentano di dimostrare che sono bravi come qualsiasi altro.  Così come i network americani, i media amano parlarne, i loro obiettivi includono anche siti pro-Tibet, pro-Taiwan, Falun Gong e pro-Uyghur .

Gli hacker compiono tutto ciò per due ragioni: fama, gloria ed il tentativo di guadagnarsi da vivere. La fama e la gloria derivano dai loro obiettivi nazionalistici. Alcuni di questi hacker sono eroi in Cina. Stanno sostenendo l’onore della nazione sia contro le forze anti-cinesi come il movimento pro-Tibet che forze maggiori, come gli Stati Uniti.

Il denaro proviene da diverse fonti. I gruppi vendono computer di proprietà,  servizi malware e dati che rubano sul mercato nero. Vendono strumenti per hacker e video ad altri che vogliano giocare. Vendono perfino T-shirts, cappelli ed altra merce sui loro siti web.

Questo non significa che l’esercito cinese ignori i gruppi hacker all’interno della propria nazione. Certamente il governo cinese conosce i leader del movimento hacker e sceglie di guardare altrove. Probabilmente comprano informazioni rubate. Probabilmente reclutano per le loro organizzazioni, proprio da questi bacini auto-selettivi, esperti di hacking specializzati. Certamente imparano dagli hacker.

Ed alcuni hacker sono bravi. Con il passar degli anni, sono diventati sempre più esperti,  sia con gli strumenti che con le tecniche. Non sono rintracciabili. Attuano un buon riconoscimento delle reti.  Mi chiedo quindi, ciò che il Pentagono pensa sia il problema,  è soltanto una piccola percentuale del problema attuale?

Scoprono le proprie vulnerabilità. I primi dell’anno, un’azienda di sicurezza notò un singolo attacco nei confronti di un’organizzazione pro-Tibet. Quello stesso attacco fu usato anche due settimane prima,  contro un grosso contractor di una multinazionale della difesa.

Fanno anche incetta di vulnerabilità. Durante gli scontri del 1999 sul conflitto della teoria dei due stati, in un acceso scambio con un gruppo di hacker taiwanesi, un gruppo cinese minacciò di liberare worm multipli accumulati in precedenza. Non c’era nessuna ragione per non credere a questa minaccia.

Se ci fosse, il fatto che questi gruppi non siano diretti dal governo cinese, rende il problema peggiore.  Senza una coordinazione politica centralizzata, essi sarebbero, probabilmente, più propensi a correre rischi maggiori; fare più cose stupide ed, in generale, ignorare il fallout politico delle loro azioni.

In questo contesto, essi sono come un non-state actor.

Quindi, sebbene sia assolutamente felice, che il governo degli Stati Uniti stia usando la minaccia dell’hacking cinese come incentivo per mettere ordine nella propria cybersicurezza e spero che abbia successo; spero anche che il governo degli Stati Uniti riconosca che questi gruppi non stiano agendo sotto la direzione dell’esercito cinese e che non considerino le loro azioni, come ufficialmente approvate dal governo cinese.

Questo articolo è stato pubblicato originariamente sul sito di Discovery Channel.

L’analisi del traffico funziona anche tramite la cifratura:

La nuova tecnica di compressione, chiamata compressione a bitrate variabile, produce dimensioni differenti dei pacchetti di dati, per differenti suoni.

Ciò accade perché la frequenza di campionamento è tenuta alta per suoni lunghi e complessi, come “ow”, ma ridotta per semplici consonati come la “c”. Questo metodo variabile, risparmia banda ed, allo stesso tempo, mantiene la qualità del suono.

I flussi VoIP sono cifrati per impedire l’eavesdropping. Tuttavia, un team della John Hopkins University di Baltimora - Maryland, Stati Uniti; ha mostrato che semplicemente misurando la dimensione dei pacchetti, senza decodificarli, può identificare intere parole e frasi con un alto livello di precisione.

La tecnica non è abbastanza valida per decodificare intere conversazioni, ma è decisamente di grande effetto.

Un’altra traduzione inglese italiano tratta dal blog Schneier on Security di Bruce Schneier.

Eccola:

Gli adolescenti britannici, stanno usando Google Earth, per trovare piscine dove intrufolarsi.

Quanto ci vorrà prima che qualcuno compia un crimine più serio, aiutato da Google Earth.

( per la versione originale, fate clic sulla voce “english” del menu “Language”, a destra )

Questa è la prima traduzione inglese-italiano di un post tratto dal blog di Bruce Schneier:

Ringrazio Bruce per la gentilezza e la disponibilità ed ovviamente, per avermi concesso di tradurre i post del suo blog.

Ecco la traduzione italiana:

Un nuovo studio sostiene che gli insider non siano la principale minaccia alla sicurezza delle reti:

Il “Data Breach Investigations Report” di Verizon 2008 basato su 500 violazioni, riguardanti gli ultimi quattro anni; contraddice l’ortodossia crescente che gli insider, piuttosto che agenti esterni, rappresentino la minaccia più seria alla sicurezza delle reti di molte organizzazioni.

Il 73% delle violazioni coinvolgono gli outsider, il 18 % risultano essere frutto di azioni di insider, con business partner colpevoli nel 39 % dei casi - le percentuali eccedono il 100 % a causa del fatto che in alcuni casi includono violazioni multiple, con livelli differenti di coinvolgimento interno o esterno.

“La relativa rarità delle violazioni di dati attribuite agli insider, potrebbe sorprendere qualcuno.

É ampiamente risaputo e comunemente reso noto, che i casi degli insider siano superiori numericamente rispetto a quelli causati da altre fonti,” comunica il rapporto.

L’intero dibattito insiders contro outsiders è stato sempre un problema di semantica, più che altro.

Se contate gli attacchi, ci sono molti più attacchi di outsider, semplicemente perché ci sono ordini di grandezza maggiori di chi attacca come outsider. Se contate i casi, i numeri tendono ad avvicinarsi: 75% vs. 18%, in questo caso.  Se contate i danni, gli insider generalmente sono in cima — generalmente perché hanno maggiori informazioni, dettagliate e possono orientare i loro attacchi in modo migliore.

Sia gli insider che gli outsider sono pericoli per la sicurezza e dovrete difendervi da entrambi. Cercare  di classificarli non sarà di grande utilità.

( per la versione originale, fate clic sulla voce “english” del menu “Language”, a destra )