Security Week 38: router Cisco sotto attacco, bug su AirDrop e arresti importanti

Le notizie di oggi: errori nei codici di programmazione dei robot, exploit sfruttati dai cybercriminali e il riconoscimento di tanti sforzi.

Le vite di tre miliardi di esseri umani si sono concluse i il 29 agosto 1997. I sopravvissuti alla guerra del Giorno del Giudizio hanno dovuto vivere un ulteriore incubo: la guerra contro le Macchine.

Beh, non proprio. Nel lontano 1997 vede la luce il primo standard Wi-Fi (802-11b). Inoltre, Steve Jobs ritorna ad Apple, è inventato il .PNG e un computer batte l’essere umano a scacchi. Il Giorno del Giudizio non si è visto e le Macchine non si sono evolute a tal punto da dare inizio all’apocalisse. Per il momento non c’è ancora la prospettiva di una forma d’intelligenza artificiale capace di distruggere l’umanità ma non significa che non sia stata una sfida durante questi ultimi 18 anni.

Questa nostra rubrica settimanale di notizie oggi parlerà degli errori nei codici di programmazione dei robot, di come alcuni abbiano sfruttato questi errori e di alcuni importanti ricompense degli sforzi fatti. Non nominerò oltre l’espressione “fine del mondo”, non siamo in codice rosso ma ci avviciniamo abbastanza. Le regole non sono cambiate: ogni settimana il nostro team di Threatpost ha scelto tre notizie che commenterò senza nessuna pietà. Come sempre, troverete le pubblicazioni precedenti di questa rubrica cliccando su questo link.

Nell’ultimo post ho eseguito un breve sondaggio sull’uso dei password manager e i risultati sono stati i seguenti. Un po’ più della metà degli intervistati (il 62%) è d’accordo che i password manager costituiscano uno strumento fondamentale per la gestione di tutte le password. La metà di coloro che hanno risposto alla seconda domanda (123 persone in totale) ha affermato di utilizzare un password manager (va sottolineato che nella community IT è normale che si tratti di un numero elevato rispetto alla gente normale, dove questo dato scende in picchiata al 7%).

Backdoor permanente nei router Cisco grazie a un firmware modificato

La notizia. Ricerca condotta da FireEye

Ho affermato in precedenza che i router moderni non sono altro che una scatola nera spesso abbandonata in un angolo ad accumulare polvere, nessuno se ne preoccupa. Tale affermazione vale sia per i router domestici, sia per quelli aziendali. Alcuni ricercatori hanno scoperto la possibilità d’installare backdoor in almeno tre modelli di router industriali targati Cisco. Se prendiamo in considerazione quanto normalmente ci preoccupiamo dei router, questa falla potrebbe passare inosservata per molto, molto tempo.

L’idea di base di questo attacco, facile a prima vista ma complessa da mettere in atto, è la seguente: se si ottiene l’accesso a un router vulnerabile, è possibile modificarne il firmware e, dopo essere entrati in remoto nell’apparecchio, si possono installare plugin in grado di creare maggiori danni.

security-week-38-cisco

In realtà la situazione non è grave come sembra. I ricercatori di FireEye hanno individuato solo tre modelli vulnerabili: Cisco 1841, 2811 e 3825. A quanto ne sappiamo, questi modelli sono quasi in disuso e in breve non sarà più disponibile l’assistenza tecnica. Il vettore di attacco non parte da una vulnerabilità nei router: sembra, infatti, che si possa modificare il firmware ottenendo l’accesso diretto al dispositivo mediante le credenziali di accesso di default, oppure mediante la password unica che il cybercriminale è riuscito in qualche modo a scoprire.

Questo scenario, se dovesse essere fattibile, costituirebbe un vero problema per la sicurezza di un’azienda. Di per sé a nessuno interessa rubare le credenziali di accesso ma, in questo caso, ciò che preoccupa è la modifica del firmware, che darebbe accesso permanente al dispositivo e, di conseguenza, alla rete aziendale. La lezione da imparare, in questo caso, è molto semplice: nel mondo dell’Information Security non ci si può fidare di nessuno. Da notare, comunque, che il numero totale di router infetti (almeno per quanto riguarda l’IPv4) è solo di qualche decina.

Bug importante nel sistema di condivisione contenuti AirDrop

La Notizia

Dove eravamo… ah, sì, la rivolta delle macchine. Nel mondo fantascientifico di Terminator II (e successivi), l’umanità ha creato prima le macchine che poi si sono ribellati ai propri padroni. L’idea iniziare era quella di costruire macchine che rendessero più facile la vita dell’uomo (dei militari più che altro). I robot venivano creati per colpire obiettivi determinati, per contrastare attacchi informatici ecc.

Anche se semplificato nella saga, questo percorso è più o meno quello che stiamo vivendo nella vita reale. È da tempo ormai che l’uomo, per gestire dispositivi, collegarsi a una rete o scambiare informazioni, non deve fare altro che premere un pulsante. Non appena un utente fa una domanda (o senza neanche porla), la risposta è già pronta e programmata.

security-week-38-kitten

La user experience ideale

In effetti, è quello che comunemente chiamiamo “progresso”; tuttavia, c’è un difetto fondamentale in tutto ciò: non esercitiamo nessun tipo di controllo sull’interazione tra i dispositivi e la rete. Prendiamo ad esempio, il meraviglioso sistema AirDrop, capace di risolvere una serie infinita di problemi: l’utente non deve pensare a “collegamenti di dispositivi”, a “connessioni a punti di accesso” o a concedere “autorizzazioni”, l’unica cosa che deve fare è selezionare il destinatario nelle vicinanze e inviare i dati. Tuttavia, è stata scoperta una vulnerabilità in questo modello di connessione troppo perfetto.

Il ricercatore australiano Mike Dowd ha dimostrato che è possibile eseguire un attacco attraverso il quale sovrascrivere i dati sul dispositivo della vittima con l’aiuto di AirDrop. Bisogna soltanto inviare a un dispositivo mobile un link appositamente progettato (o anche a un computer Mac OS X). Non appena arriva sul dispositivo mobile, all’utente viene richiesto di accettare i dati o di annullare l’operazione, anche se in realtà ormai il danno è fatto: l’exploit ha già portato a termine il suo compito (più o meno come accade con StageFright su Android).

C’è comunque una limitazione: su AirDrop l’utente deve aver abilitato l’opzione di accettare i dati da tutti i dispositivi nelle vicinanze. Per ragioni di comodità, purtroppo, ciò è possibile anche su un dispositivo bloccato; per cui, se si riesce a ottenere fisicamente l’accesso al telefono anche solo durante un paio di secondi, è finita. Il cybercriminale potrebbe, quindi, installare in remoto qualsiasi app su un iPhone, app che potrebbero dargli accesso a delle autorizzazioni fondamentali e, di conseguenza, rubare all’utente tutti i dati possibili ed immaginabili. Ma questa è la storia comune ad altri exploit, utilizzati soprattutto su dispositivi sui quali è stato eseguito il jailbreak.

Il bug è stato risolto con l’aggiornamento iOS 9.

Arrestati i creatori del ransomware CoinVault

La notizia. La ricerca condotta da Kaspersky Lab. Altre ricerche su CoinVault, tra cui l’idea di decifrare I dati senza pagare il riscatto

Sebbene le macchine non abbiano intelligenza sufficiente per scopi malefici, gli esseri umani sì. Non si sentono spesso notizie di cybercriminali arrestati per davvero, per nostra sfortuna. Prendiamo l’esempio di cui abbiamo appena parlato: i ricercatori hanno scoperto un firmware modificato che crea backdoor nei router ma chi ha fatto tutto ciò? Non ne abbiamo idea.

A volte l’anonimità che garantisce Internet rende il lavoro delle forze dell’ordine pesante e persino inutile. La questione ransomware ne è una dimostrazione esemplare; si usa Tor per rendere anonimi i server C&C e i riscatti vengono pagati in Bitcoin, non è che si possa fare molto al riguardo.

security-week-38-coinvault

Alla luce di quanto detto, siamo davvero contenti che i buoni alla fine vincano. In Olanda sono state arrestate due persone, si crede abbiano creato il cryptolocker CointVault. Gli esperti di Kaspersky Lab hanno collaborato all’operazione, effettuando le dovute ricerche sulla tecnologia alla base dell’attacco.

CoinVault non è il cryptolocker più diffuso ma costituisce un valido esempio per i ricercatori di un attacco estremamente complesso. Un report dello scorso anno ha dimostrato come questo ransomware riesca a bypassare la scansione: quando si passa il Trojan attraverso una macchina virtuale o un computer con WireShark o mediante un qualsiasi software simile, il payolad viene bloccato.

Da quando il report è stato pubblicato lo scorso novembre, i cybercriminali hanno deciso di non farsi notare tanto, fino a quando i ricercatori di Panda Security hanno condiviso un paio di nuovi esemplari. Dopo aver raccolto indirettamente questa serie di prove, gli specialisti di Kaspersky Lab sono riusciti a decifrare i dati delle vittime di CoinVault, senza pagare alcun riscatto.

Anche l’analisi approfondita del codice dannoso ha contribuito alla cattura dei criminali. All’inizio gli esperti hanno individuato alcune linee del codice in perfetto olandese mentre il resto del codice era in inglese mal scritto, il che rendeva più difficile localizzare i creatori. Con l’aiuto dell’unità della Polizia olandese che si occupa di crimini informatici, è stato individuato il server C&C e così i suoi creatori.

Morale della favola, direi, è che nessun metodo per rendere anonime le proprie attività criminali alla fine è impenetrabile. Innanzitutto perché ogni tecnologia ha una sua controparte che può usata contrastarla; in secondo luogo, i cybercriminali sono stati arrestati non per un difetto nella tecnologia ma grazie al fattore umano, debolezza che non smetterà di esistere.

Cos’altro?

Sono stati individuati alcuni bug su PayPal e altri servizi che consentirebbero di bypassare l’autenticazione (anche quella a due passaggi). Per quanto riguarda PayPal, la colpa è dell’API mobile, che sembra essere meno affidabile di quanto ci si aspettasse.

È già attiva l‘iniziativa “Let’s encrypt”, grazie alla quale i proprietari di siti Internet possono ottenere il certificato HTTPS con minori sforzi.

Google ha risolto un bug su Android che consentiva di bypassae il blocco schermo introducendo una paaaaaaaaaaaaaasword_moooooooooolto_luuuuuuuuuuuuuuuuuuuuuuunga.

Oldies

Le famiglie “Invader” e “Plastique”

Si tratta di resident virus estremamente pericolosi; secondo l’algoritmo “Jerusalem”, infettano i file .COM e .EXE (tranne COMMAND.COM), così come i boot sector di floppy e hard disk. Questi virus formattano una traccia aggiuntiva sul floppy e si riscrivono nei settori dell’hard disk vicino al MBR. A seconda del counter, possono avviare un ciclo nullo quando si conclude un’operazione in concordanza con il timer (int8), cancellano i dati dal disco, fanno partire della musica, decifrano e mostrano le seguenti stringhe di testo:

“Invader” — “by Invader, Feng Chia U., Warning: Don’t run ACAD.EXE!”

“Plastique” — “PLASTIQUE 5.21 (plastic bomb) Copyright 1988-1990 by ABT Group (in association with Hammer LAB.) WARNING: DON’T RUN ACAD.EXE!”

Inoltre includono il testo “ACAD.EXECOMMAND.COM.COM.EXE”. Hijack di Int 8, 9, 13h, 21h.

infosec-digest-32-book1

Citazione da “Computer viruses in MS-DOS” di Eugene Kaspersky, 1992, p.104.

Dichiarazione di non responsabilità: questo articolo riflette la persona opinione dell’autore. Può coincidere o no con la posizione di Kaspersky Lab.  

 

Consigli