Archives For Sicurezza

E’ da giorni che mi stanno sommergendo di email con “obbligo di cambiare password” o “necessità di confermare i miei dati” e altre amenità varie. Il phishing paga e i truffatori se ne sono accorti da tempo. Gli utenti distratti che cascano nei trabocchetti appositamente costruiti da questi falsi professionisti sono davvero tanti e tutti molto validi (con rare eccezioni di ignoranza totale in ortografia / grammatica / idee alla base della mail).

Prendo ad esempio l’ultima arrivata nella casella GMail. La bella cosa è che l’IP da raggiungere (puntato al falso sito) inserito a fondo mail è già stato oscurato, quindi non c’è il rischio di “farsi male“.

Qui di seguito il contenuto della mail:

Gentile CLIENTE,

Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei
servizi di Banca Intesa e stata riscontrata una incongruenza relativa ai dati anagrafici in
oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli
art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato
penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il
riciclaggio e la transparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi
all'anagrafica dell'Intestatario dei servizi bancari.

Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro:

http://222.47.62.74/.privati.internetbanking.bancaintesa.it/

--
Cordiali Saluti

dove ho volutamente evitato di inserire il link ipertestuale camuffato mettendo in chiaro il vero indirizzo del falso sito. Notate l’ortografia della mail. Ci sono alcuni errori che una banca o un qualsiasi ente serio non potrebbe assolutamente permettersi di fare: “all momento” / “puo” / “transparenza” / “Effetuare“. Questo dovrebbe destare già un minimo sospetto, ma proseguiamo.

Qui di seguito invece il contenuto dell’header facilmente individuabile in GMail selezionando “Mostra originale” dal menu dettagli della mail (nei programmi di posta, come Mozilla Thunderbird, viene definito giustamente “Intestazione della mail):

Delivered-To: gioxx.gxware@gmail.com
 Received: by 10.115.22.4 with SMTP id z4cs158425wai;
         Tue, 5 Jun 2007 08:52:04 -0700 (PDT)
 Received: by 10.90.87.5 with SMTP id k5mr5081496agb.1181058723748;
         Tue, 05 Jun 2007 08:52:03 -0700 (PDT)
 Return-Path:
 Received: from ignition.infernonetworks.net (h-68-166-160-74.mclnva23.covad.net [68.166.160.74])
         by mx.google.com with ESMTP id 18si2412749agb.2007.06.05.08.51.58;
         Tue, 05 Jun 2007 08:52:03 -0700 (PDT)
 Received-SPF: fail (google.com: domain of info@bancaintesa.it does not designate 68.166.160.74 as permitted sender)
 Received: from User ([86.34.8.208]) by ignition.infernonetworks.net with Microsoft SMTPSVC(6.0.3790.1830);
   Tue, 5 Jun 2007 10:40:14 -0400
 From: "Banca Intesa"
 Subject: Comunicazione Urgente !
 Date: Tue, 5 Jun 2007 17:40:22 +0300
 MIME-Version: 1.0
 Content-Type: text/plain;
  charset="Windows-1251"
 Content-Transfer-Encoding: 7bit
 X-Priority: 3
 X-MSMail-Priority: Normal
 X-Mailer: Microsoft Outlook Express 5.50.4522.1200
 X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200
 Bcc:
 Return-Path: info@bancaintesa.it
 Message-ID:
 X-OriginalArrivalTime: 05 Jun 2007 14:40:14.0546 (UTC) FILETIME=[6DA36B20:01C7A77F]

Non smetterò mai di parlare di truffe e come evitarle, ho sfinito alla morte anche i ragazzi che hanno partecipato al mio corso di informatica fatto a Bagnacavallo qualche mese fa. L’header è la parte più importante di tutta la mail. Se non utilizzate una webmail provvista di filtri antivirus ed antispam o preferite utilizzare un programma poco sicuro qualche Microsoft Outlook, dovete sicuramente andare a leggere l’header per cercare di rimanere protetti dalle varie truffe che girano per la rete.

Il passaggio fondamentale per dimostrare che la mail non proviene realmente da Banca Intesa è il seguente:

Received: from ignition.infernonetworks.net (h-68-166-160-74.mclnva23.covad.net [68.166.160.74])

Checché se ne dica, Banca Intesa non può far partire le mail da un server chiamato “ignition.infernonetworks.net” (il nome è tutto un programma) ma direttamente dal suo mail server “mail.bancaintesa.it” se proprio deve.

C:\Documents and Settings\Gioxx>ping mail.bancaintesa.it
Esecuzione di Ping mail.bancaintesa.it [193.227.214.105] con 32 byte di dati:

A prescindere da tutto e tutti, una banca o un qualsiasi istituto di credito NON chiederà mai i dati per mezzo mail, manda una lettera via posta ordinaria!

E poi, benedetti voi navigatori del web e utenti che avete appena acquistato un PC… se non siete clienti di Banca Intesa, perché cacchio vi ostinate ad andare sul sito segnalato? Vi piacciono così tanto “i testi scritti in blu grassetto e sottolineato“? Aprite un qualsivoglia editor di pagine web e mettetene quanti volete fino a soddisfare la vostra repressa voglia! Non fate le cavie per poi chiamare il supporto tecnico e piangere se i vostri dati sono stati rubati e non funzionano più! :(

Prima di fare qualsiasi cosa “sospetta” e combinare danni, CHIEDETE aiuto a chi ha più esperienza di voi in questo campo! Non costa nulla e può evitarvi seri problemi che portano via ore e ore di lavoro se non addirittura cose più gravi come la perdita di dati sensibili ;)

Leggendo svariati feed ho notato una certa preoccupazione da parte degli utenti nei confronti dei nuovi bachi scoperti in FireFox ed Internet Explorer. Se del secondo citato “non me ne può fregar di meno“, del primo mi interesso in modo particolare e ci tengo che sia sempre perfetto e protetto :)

DownloadBlog (da me sempre molto apprezzato) ed in particolare “Leo23” cita:

Con questo codice si potrebbe monitorare tranquillamente le azioni dell’utente, intercettando quello che viene digitato sulla tastiera. Provando in prima persona la demo del bug, vi posso assicurare che c’è da aver paura.

La cosa che non riesco a farmi andare giù è sempre la stessa. Sfruttare strumenti parecchio visibili e visitati per diffondere panico tra l’utenza meno esperta che prende come guru informatici gli autori delle notizie che pubblicano le proprie impressioni su fonti autorevoli. Ho detto “impressioni” volutamente. Il perché è facilmente intuibile.

La stessa cosa (in forma più grave) era accaduta qualche tempo fa anche con SwZ (SoftwareZone, che non linko in quanto molto “non standard compliant”) a causa del saggio improvvisato (vedi: ignorante) di turno.

FireFox è nato per essere blindato e notevolmente più protettivo di Internet Explorer. Esistono una miriade di estensioni che attendono solo di essere installate. L’exploit tanto decantato riesce a creare danni partendo da siti poco sicuri e poco conosciuti sfruttando un iFrame e Javascript. In ogni caso le ipotesi di attacco sono “smontabili“.

Sicurezza siti web (phishing):

Ne cito giusto qualcuna tra quelle più conosciute…

senza considerare che FireFox, a partire dalla versione 2.0, integra già un motore anti-pishing che può basarsi su una propria blacklist e comportamenti genericamente utilizzati dai siti contraffatti o appoggiarsi al ben più sicuro Google per bloccare eventuali siti web “maligni“.

Sicurezza durante la navigazione:

Cito una sola estensione che vale tutte le altre messe insieme: NoScript di Giorgio Maone, con il quale ho collaborato per un breve periodo su/per eXtenZilla.org. Questa riesce a bloccare tutti gli script nocivi per una maggiore sicurezza del browser e del sistema. Sarete poi voi a decidere quali eseguire o meno attraverso una elegante e pratica gestione di whitelist (spulciate il sito ufficiale per saperne di più).

Checché se ne dica sui “work around” e delle funzioni non incluse già di default, FireFox è fatto per essere personalizzato attraverso l’installazione e l’utilizzo delle sue estensioni. Potete decidere se avere un FireFox anonimo privo di qualsivoglia addon o stare dalla parte di quelli che ci tengono alla propria protezione infischiandosene (stando comunque attenti quanto basta) degli exploit che vengono sfornati quotidianamente sul web :) Così facendo, state sicuri che NON c’è da aver paura.

Cheers.

Proxy War

Gioxx  —  16/05/2007 — 6 Comments

Qualche tempo fa un collega mi aveva contattato per bloccare le impostazioni del proxy ad un utente diventato troppo “bravo” nel cambiarselo. Il file viene tutt’oggi utilizzato con i più recidivi. Oggi però mi è capitato a tiro un utente davvero tosto. Una pecorella davanti a colleghi e tecnici della sede dove lavora, diavolo appena questi voltano le spalle, ignorando che noi riusciamo a monitorare il traffico passante dai server con tanto di siti visitati e IP contattati.

Appurato che questo genio in fasce cambiava proxy non appena voleva “farsi un giretto non filtrato nella grande rete“, con la vana speranza di non essere scoperto, e riusciva a non farsi toccare il portatile da chi intendeva rimettere a posto la situazione, si necessitava di quel qualcosa più violento e bastardo. Ecco che cominciano le operazioni di “ti spezzo le gambe e godo facendolo“.

Via al codice regedit!

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
“AdvancedTab”=dword:00000000
“SecurityTab”=dword:00000000
“ProgramsTab”=dword:00000000
“ContentTab”=dword:00000000
“PrivacyTab”=dword:00000000
“GeneralTab”=dword:00000000
“ConnectionsTab”=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
“ProxyEnable”=dword:00000001
“ProxyOverride”=”192.168.*;<local>”
“ProxyServer”=”proxy.tuodominio.it:8080”

Nel primo gruppo di valori potrete notare l’ultimo valore messo a “1“. Come fatto notare nel precedente post dedicato, quel valore dword permette di bloccare la finestra “Connessioni” all’interno di “Opzioni Internet” (via Internet Explorer o Pannello di Controllo).

Nel secondo gruppo di valori invece vengono impostati “a manina” i dati di connessione via proxy (quello che effettivamente l’utente dovrà utilizzare). La prima stringa rimane invariata (permette di dire al PC che deve usare un proxy per connettersi ad internet) mentre devono essere cambiate le successive due:

  1. Il valore di ProxyOverride indica “le eccezioni“. In pratica dovrete specificare gli indirizzi ip o siti web che non dovranno essere soggetti a passaggio da proxy. Nel mio caso ho specificato la classe 192.168.* in quanto si tratta della rete interna del cliente. Si possono aggiungere altri filtri separandoli con un “;“.
  2. La chiave “ProxyServer” indica chiaramente il server proxy in sintassi proxy:porta dal quale far passare le richieste della macchina. Potete indicarlo come nell’esempio per far capire al pc che quel server dovrà essere utilizzato per tutti i protocolli (diversamente bisogna specificarli protocollo per protocollo).

Chiaramente, per ridare la possibilità di modificare le impostazioni all’utente finale, occorrerà riportare a 0 il valore di “ConnectionsTab” nella prima serie di stringhe.

Per dare in pasto il file *.reg al PC dell’utente “vittima” ci sono due modi:

  • Dal vostro regedit selezionate “Connetti a Registro di sistema in rete“, inserite l’IP del PC al quale applicare le restrizioni e fate tutto manualmente (o aprite il file Regedit “unendo” le informazioni al suo registro);
  • Chiamate l’utente, lo informate di alcuni aggiornamenti in fase di installazione nella sede dove lavora, vi connettete in VNC e lanciate il file *.reg che create con il gruppo di codice riportato sopra.

Mettetevi comodi, potrete già godere della punizione violenta e sanguinosa che avete inflitto al povero utente :P
Ocio a non fare danni! :P

Il cliente porcellone

Gioxx  —  15/05/2007 — 9 Comments

Chiamata delicata, l’utente chiede di parlare con un tecnico senza specificare nulla di particolare alla ragazza del centralino. Perchè tutto questo mistero? Semplice! Il bravo porcello si ritrova uno splendido hard disk “FILM PORNO” nelle Risorse del Computer :D Tu tecnico infame hai già visto quel problema, risolvendolo su altri PC che ti erano capitati a tiro ma la voglia di prendere per il culo lo sfortunato di turno è fortissima, quasi irrefrenabile.

A questo punto è possibile:

  1. Dire all’utente che manderai qualcuno a togliere quell’Hard Disk fisicamente dal computer, avvisando poi per mail il suo responsabile ed il presidio informatico della sede dove lavora;
  2. Dire all’utente che, se proprio non vuole fare a meno di spippolarsi durante gli orari di lavoro, può ricorrere sempre a qualche figura stampata da portarsi in bagno;
  3. Far finta di essere davvero imbarazzati e schifati da una situazione tale. Rifiutarsi di fare l’intervento e mandare una mail al suo responsabile ed al presidio informatico della sede dove lavora classificandolo come “elemento poco raccomandabile“;
  4. Risolvere il problema perché si tratta dell’ennesimo falso allarme procurato da uno spyware che crea un collegamento ad un sito hard, mettendolo come icona Hard Disk in Risorse del Computer.

Il pirla di turno che vuole farsi due risate può utilizzare le prime 3 chance. Il tecnico che è costretto a rimettere a posto quello che l’utonto sfascia, utilizzerà la quarta seguendo un brevissimo tutorial pubblicato sul blog di Angelo Rossi nell’ormai vecchio 2006 :)

Ah, se non ci fossero questi utonti a farti divertire! :P

Qualche giorno fa Gianni mi aveva contattato per chiedere una mano su un’estensione in via di sviluppo. Vista la mia costante assenza da casa, gli ho suggerito di fare un salto su eXtenZilla.org ad esporre il suo problema. Ha seguito il mio consiglio e, dopo aver ottenuto la risposta che cercava, ha dato luce a “XSS Warning“.

Si tratta di una piccolissima estensione che si preoccupa di proteggere l’utente da possibili attacchi XSS lato client. Di cosa sto parlando? Semplice. E’ lo stesso sito ufficiale a spiegare esattamente di cosa si tratta:

XSS Warning is a extension for Firefox that fitre ASCII, HEX and DEC values to prevent – with Javascript allowed – the Cross Site Scripting (XSS) attacks by malicious URL.

In pratica è una “forma base” di protezione per l’utente finale, visto il consistente numero di attacchi proveniente dal web e dai siti appositamente creati per “rompere le scatole a terzi“…

Ho avuto modo di partecipare alla fase di test, una manciata di ore prima del rilascio ufficiale. Ringrazio Gianni per l’opportunità e invito tutti ad installare XSS Warning tra i propri “Componenti Aggiuntivi“. Ricordate comunque di “non abbassare mai la guardia” e sfruttare più strumenti assieme, per una migliore protezione (lo stesso autore consiglia di scegliere l’accoppiata NoScript & XSS Warning!).