Informatica Generale, ransomware, Sicurezza Informatica

[UPDATE] Attacco Ransomware Wannacry

Ieri sera, conclusa la trionfante vittoria del Manchester United in Europa League ho cambiato canale girando sulle Iene. C’era una servizio sull’attacco ransomware che negli ultimi giorni è stato al centro delle attenzioni di tutti i media diventando come spesso accade “pane per le Iene”. Tralasciando il fatto che la TV italiana fa schifo e che le notizie serie vengono cavalcate come stalloni da galoppo, ho sentito alcuni passaggi che mi hanno fatto seriamente balenare l’idea di scrivere alla redazione per dirgli cosa pensavo del loro opportunismo “share-atico“. Ho disatteso la mia volontà, ma mi riservo di farlo, magari a freddo e con tanto di cravatta nera (da iena).

Il passaggio che più mi ha infastidito è quello in cui la Iena sostiene che :

“Non è necessaria nessuna azione da parte dell’utente per essere infettati, basta che il proprio Computer sia connesso in rete e il virus può colpirlo” ;  e poi ancora :“Sono interessati tutti gli utenti che possiedono un sistema operativo precedente a Windows 10”; 

Nella prima affermazione c’è l’essenza delle Iene, ovvero quella di prendere una notizia di creare allarmismo indiscriminato. Per carità l’allarmismo ci sta, io per primo su questo tipo di argomenti sono un terrorista nei confronti dei miei utenti, ma cerco di dare le giuste informazioni per evitare che gli utenti prendano errate contromisure.

Premessa : mi sta bene che parlando al popolo si debba usare un linguaggio comprensibile ai più, però il popolo può ignorare una materia ma non è stupido e spiegando gli si può dire le cose come stanno senza generalizzare e creare l’effetto pandemia.

La storia inizia tutta ad Aprile 2017, quando il Gruppo Cyber Criminale “Shadow Brokers” riesce a sottrarre una copiosa quantità di exploit e altri strumenti alla National Security Agency (NSA). Non trovando acquirenti immediati ha provveduto alla diffusione di alcuni di questi tools in ambienti underground e nel Deep Web. Tra gli strumenti c’erano EternalBlue e DoublePulsar che sono proprio le armi usate per la pianificazione e l’esecuzione dell’attacco.

La base di partenza di tutto è la back-door (porta sul retro) Double Pulsar (un virus della famiglia dei Trojan), che deve essere necessariamente eseguita sul Pc e che rende possibile all’attaccante la connessione agli indirizzi IP, altrimenti sarebbe impossibile per chiunque riuscire a capire con esattezza quale macchina attaccare.

Questo ransomware quindi approfitta della back-door per connettersi agli IP e sfruttare, tramite l’exploit denominato EternalBlue, la vulnerabilità di Microsoft relativa all’SMB Server (che è un protocollo usato principalmente per condividere file, stampanti, porte seriali e comunicazioni di varia natura tra diversi nodi di una rete – da qui la diffusione stile worm di questa infezione); EternalBlue consente all’attaccante di iniettare codice malevolo da eseguire sulla macchina, nel caso concreto algoritmi di cifratura dei file contenuti nel Pc attaccato.

Tradotto in italiano significa questo : 

Microsoft Windows possedeva una vulnerabilità in uno dei protocolli di condivisione interna della rete,  che poteva essere colpita dall’exploit EternalBlue che serve agli hacker per poter eseguire da remoto codice malevolo su altri PC, questa vulnerabilità era nota a Microsoft ed era stata risolta con l’opportuna patch di sicurezza pubblicata da Microsoft il 14 marzo 2017  (fonte Microsoft) come “Security Update for Microsoft Windows SMB Server (4013389). Ad Aprile dei Cyber-Criminali hanno rubato gli strumenti utili a “colpire” la vulnerabilità alla NSA Americana e hanno iniziato a contagiare tutti quelli che non avevano ancora aggiornato i sistemi con la patch di cui sopra.

Non è vero quindi che l’attacco era automatico e che avveniva tutto senza azioni terze, l’utente doveva comunque infettarsi con la back-door per consentire all’exploit di entrare in funzione, e le modalità sono le stesse di cui parlo nel post https://danielequattrini.eu/2016/10/14/come-ti-rapisco-lhard-disk-i-ransomware/ .

Chi si è infettato aveva la possibilità di evitarlo seguendo tempestivamente le direttive MS e questo è il motivo per il quale a essere stati infettati sono stati particolarmente ospedali ed enti pubblici: spesso per motivi di budget e stabilità i più lenti ad aggiornare i loro sistemi.

Non è poi vero che gli utenti Windows 10 o Linux erano a riparo da tale situazione in quanto la patch rilasciata a Marzo 2017 non è presente di default nell’ultima release di Windows 10, se non era stata eseguita la patch si sono infettati anche loro, e inoltre, per gli utenti Linux è presente un’importante vulnerabilità sul servizio Samba (SMB) (che è la versione free dell’omonimo protocollo) che può permettere ad un attaccante di rete, con accesso ad una qualsiasi condivisione con permessi di scrittura, di iniettare ed eseguire codice arbitrario all’interno del sistema vittima dell’attacco, perpetrando così accessi abusivi alle macchine bersaglio ed accessi non autorizzati a risorse interne presenti all’interno del servizio e condivisione. Quindi se gli attaccanti avessero usato una back-door per linux avrebbero potuto creare danni anche a loro.

Mi rendo conto che l’articolo è venuto molto lungo, ma anche se non annovero gli stessi auditors delle Iene, spero almeno che ai miei pochi soliti lettori sia giunto il corretto messaggio, diverso da quello che hanno voluto far passare ieri in Televisione.

 

Informatica Generale, Sicurezza Informatica

Linux Red Hat – importante vulnerabilità

Questo brevissimo articolo riguarda da vicino tutti gli utenti convinti che il mondo Linux sia totalmente al riparo da infezioni e vulnerabilità. Diciamo che tutto dipende da come si utilizza il sistema, se l’utilizzatore lo usa per scrivere documenti e leggersi il meteo allora diciamo che mediamente tutti i sistemi sono al riparo, altrimenti è sempre buona norma affidarsi a chi si informa costantemente o informarsi a propria volta.

E’ cosa recente il rilevamento di un importante vulnerabilità su vari sistemi Red Hat Enterprise Linux in grado di compromettere la fruibilità dei sistemi affetti. La criticità è nota con l’identificativo CVE-2017-8779 ed è stata confermata dal Produttore attraverso il bollettino di sicurezza RHSA-2017-1262.

La problematica affligge una libreria utilizzata dal servizio di sistema “rpcbind”, comunemente utilizzato da varie applicazioni per interoperare in rete attraverso le funzionalità di Remote Procedure Call implementate dal servizio. La libreria in questione soffre di lacune di validazione dei messaggi ricevuti dalla rete tali da provocare aumenti incontrollati dell’utilizzo di risorse, permettendo ad attaccanti di rete non autenticati di degradare o rendere inutilizzabile ogni servizio erogato dalla macchina vittima.

All’interno del bollettino RHSA-2017-1262 il Vendor ha reso disponibili opportuni aggiornamenti di sicurezza per i seguenti prodotti:

  • Red Hat Enterprise Linux Desktop (v. 7)
  • Red Hat Enterprise Linux HPC Node (v. 7)
  • Red Hat Enterprise Linux Server (v. 7)
  • Red Hat Enterprise Linux Server TUS (v. 7.3)
  • Red Hat Enterprise Linux Workstation (v. 7)

Siccome strumenti atti alla dimostrazione della vulnerabilità sono stati rilasciati al pubblico, chi dispone di tali sistemi è caldamente invitato a verificare lo stato di aggiornamento dei sistemi REHL in uso  ed applicare le patch di sicurezza indicate. Sarebbe anche buona norma verificare l’esposizione di eventuali servizi RPC relativamente alle sotto-reti pubbliche in uso e di filtrare tali servizi anche all’interno delle Vostre reti private qualora non risultino necessari.

Ulteriori aggiornamenti saranno accodati al post, come sempre in caso di necessità e/o bisogno di approfondimenti, non esitate a chiedere.

Informatica Generale, ransomware, Sicurezza Informatica

Nuova Campagna Phishing-Ransomware

Non c’è tregua, oggi  è stata attivata una pericolosa campagna di propagazione Ransomware basata su email di Phishing appositamente create per gli utenti di rete italiani.

Le ondate email mirano ad ingannare le vittime al fine di scaricare ed eseguire allegati malevoli contenenti varianti della famiglia ransomware Cerber.

Le email fittizie risultano provenire da indirizzi email legati ad account compromessi e simulano comunicazioni relative a fatturazioni di compagnie telefoniche italiane. I messaggi di posta fraudolenti sono caratterizzati dalle seguenti peculiarità:

  • Oggetto: “Fattura TIM linea Fissa – Maggio 2017 – scadenza 18/05/2017
  • Allegato: Documento n.-.zip
  • Allegato: Documento n.-.exe

I file allegati alle mail sono in grado di infettare la macchina vittima e rendere inutilizzabile gran parte dei documenti in essa contenuti. Il malware in questione tenta di collegarsi verso numerose destinazioni dell’est europa utilizzando la porta di rete 6893.

Per i più esperti questi sono gli indirizzi delle sottoreti pubbliche a cui il ransmoware si collega per scaricare il codice malevolo:94.21.172.0/27, 94.22.172.0/27, 94.23.172.0/24, 94.23.173.0/24, 94.23.174.0/24 e 94.23.175.0/24.

rrr

Figura 1. Schermata di riscatto a seguito dell’esecuzione della minaccia

Come al solito il consiglio è quello  di mantenere alto il livello di guardia e di consapevolezza dell’utilizzo degli strumenti di posta elettronica; verificate in modo  maniacale i mittenti delle mail che ricevete senza trascurare nessun dettaglio.

Come al solito per qualsiasi richiesta o chiarimento sono a disposizione.

Informatica Generale, Sicurezza Informatica, website

Joomla! Scoperta vulnerabilità critica

Prima di appassionarmi e dedicarmi corpo e anima alla sicurezza informatica sono stato per molti anni un web-designer, mi occupavo di studiare, progettare e realizzare siti internet e piattaforme web, e proprio data la mia “militanza” nel web-development mi  preme segnalare questa nuova minaccia per gli addetti ai lavori.

Il tema riguarda la scoperta di una vulnerabilità critica su piattaforme web basate sulla tecnologia Joomla!, largamente utilizzata per la costruzione di portali web personalizzati di varia natura.

Joomla! è una delle tante piattaforme CMS (Content Management System ossia sistema di gestione dei contenuti, uno strumento software, installato su un server web, il cui compito è facilitare la gestione dei contenuti di siti web, svincolando il webmaster da conoscenze tecniche specifiche di programmazione Web.)

La criticità (CVE-2017-8917) affligge un componente core della piattaforma CMS  il quale,  a causa di lacune di validazione, risulta essere vulnerabile all’iniezione di codice SQL (SQL Injection) permettendo ad attaccanti di rete non autenticati di trafugare dati e perpetrare accessi abusivi ai danni delle macchine oggetto di attacco.

Il Produttore ha confermato la vulnerabilità relativamente alla versione 3.7.0 del CMS Joomla! ed ha rilasciato opportuni aggiornamenti di sicurezza.

Siccome ulteriori dettagli tecnici relativi alla problematica sono stati rilasciati al pubblico, il consiglia è quello di verificare lo stato di aggiornamento di eventuali portali basati su tecnologie Joomla! all’interno delle vostre organizzazioni ed applicare con urgenza la patch di sicurezza indicata.

Data la popolarità della tecnologia in oggetto, esiste il rischio che tale vulnerabilità diventi bersaglio di ondate di attacchi opportunistici in grado di trafugare dati e/o credenziali contenute all’interno dei database, compiere accessi abusivi ai sistemi, causare disservizi, perpetrare illeciti attraverso le infrastrutture e compiere defacement (gergo usato per descrivere una operazione di pirateria informatica consistente nella modifica del contenuto di una pagina o di un sito web mediante l’introduzione illecita di testi critici o sarcastici).

Ulteriori aggiornamenti li posterò direttamente in questo articolo, per il resto e come al solito, se ci sono domande sono a disposizione.

 

Informatica Generale, ransomware, Sicurezza Informatica

Ma quale Attacco Hacker Mondiale?

… di mondiale, in questa storia, c’è solo una cosa : l’inadeguatezza generale dinanzi al tema della Internet Security. 

In questi anni di esperienza nel mondo IT ho maturato una convinzione, che lentamente nella mia mente di Informatico creativo è diventata una dogma :

“I problemi sono tali sono quando ci capitano”. – e nell’informatica (e non solo) non c’è nulla di più sbagliato.

Sono almeno 2 anni che da queste  pagine e nei dialoghi quotidiani con le persone parlo di questo genere di attacchi. Situazioni già viste, già provate sulla pelle (purtroppo) e di cui nessuno ha mai parlato a livello mediatico in modo eclatante, semplicemente perché non era capitato alle persone “giuste” a quella categoria di enti , la cui grandezza ed importanza è tale da essere “degna” di potersi lamentare.

Oggi leggo giornali, ascolto TG e Radio che parlano di questo “WannaCry” come di un Alieno sceso da Saturno a cavallo di un tandem verde pisello, quando invece non è altro che il solito e classico ransomware somministrato con la solita e consolidata tecnica :

  • una campagna di spamming (ovvero l’invio di quantitativi enormi di posta elettronica indesiderata e non sollecitata, che portano in seno allegati armati di codice malevolo pronto ad esplodere);
  • una campagna di phishing (pesca ancora miracolosa di imbecilli che – nonostante tutti conoscano il rischio di certe fregature – ancora cliccano sui link che nelle mail innescano un furto di dati o di identità, una truffa o qualche altra brutta esperienza in danno all’immancabile malcapitato);

Nulla di più, niente di trascendentale o avveniristico, l’unica cosa fantascientifica è proprio l’inadeguatezza ad utilizzare certi strumenti da parte di certi “professionisti” del campo.

Diciamocelo, oggi basta una autocertificazione nel CV per poter finire a pilotare un PC collegato a una rete aziendale, dove poter ricevere mail e navigare in potenziale autonomia.

Uno + Uno = Due.. Lo spamming è la canna da pesca, a cui qualcuno prima o poi abbocca. E’ sufficiente un click sull’allegato sbagliato per compromettere il funzionamento di un’intera azienda.

Il Ransomware è una bestia immonda, non si limita a cifrare tutto il contenuto del PC infettato, che diventa a tutti gli effetti un mero pezzo da collezione, ma attacca  tutti i dispositivi, le periferiche e le reti che sono collegate al PC stesso, andando a cifrare anche il loro contenuto.

Esiste da un pezzo, ma non era mai capitato che venissero colpiti in poco tempo il Sistema Sanitario Nazionale Britannico e delle Banche Spagnole, questo fa eco, ma non è un disegno premeditato di un olocausto digitale in atto, anzi, le modalità di somministrazioni sono del tutto casuali, le liste di indirizzi che gli spammers adottano sono insiemi ordinati entropicamente ed è quindi  impossibile stabilire la probabilità che qualcuno abbocchi… figuriamoci stabilire chi!

La filippica quindi è atta a confermare la mia tesi. Fino a che un problema non mi tocca non esiste come problema, quando mi succede è il problema peggiore al mondo, una carestia immane da debellare a qualsiasi costo, sottolineo… costo, quando invece sarebbe bastato rendersi conto del problema quando il pensionato aveva perso tutte le sue foto criptate da un ransomware, o quando la piccola azienda ha dovuto chiudere 2 giorni per ripristinare i dati di un intero gestionale sempre a causa di un ransomware. I case study sono centinaia di migliaia sparsi per il Mondo Intero.

Di Mondiale c’era una minaccia costante e ampiamente conosciuta, rimasta inascoltata. 

Di Mondiale c’è una totale assenza di formazione basilare per il personale addetto ai Computer nelle aziende (amministrativo/gestionale non IT).

Di Mondiale c’è l’ipocrisia di credere che il problema che ha oggi  il mio vicino, sia solo e per sempre suo.