Feeds:
Posts
Comments

Archive for December, 2010

2010 in pillole

Posted in Informatica e reti, Spam & dintorni, tagged on 31 December 2010| 1 Comment »

I finali d’anno son da sempre momenti in cui si tirano le somme dei precedenti 12 mesi. Anche io non mi esimerò da questa consuetudine.

Come riassumere il 2010?

Per prima cosa additando i bambini cattivi, auspicando che la ventura Befana provveda a compensarli con tanto carbone (possibilmente non quello di zucchero che portava a me da piccolo :-P).

Al primo posto in questa classifica dei demeriti metto (a sorpresa, scommetto) bit.ly: che gli URL shortner possano esere una manna per gli spammer di ogni genere è cosa arcinota fin da quando esistono gli URL shortener, sicchè l’uso di robusti meccanismi anti-abuso fa parte dell’ABC di chiunque si proponga di metterne in piedi uno. Bit.ly su questo fronte è stato davvero un pessimo esempio e la quantità di spam in cui è coinvolto oramai da svariati mesi a questa parte la dice lunga su quanto inefficaci siano le contromisure apposte da questo servizio. In una scala da 1 a 10, il mio voto è 2…

Alla seconda posizione piazzo invece (anche questo a sorpresa, credo) Wikileaks, e non per posizione presa in direzione della loro linea di condotta “giornalistica“: quello che è senza dubbio il sito più dibattuto dell’anno ha anche (o, almeno, dovrebbe avere) una buona dose di responsabilità nei confronti del “pubblico” cui rivolge la pubblicazione (o l’esposizione, se vogliamo) dei propri contenuti. L’apparente commistione di attività con zone della rete particolarmente blackhat e sede di ben note attività criminali è meno grave solamente dell’assordante silenzio proveniente da Wikileaks al riguardo. Semprechè Wikileaks stessa sia qualcosa che va oltre la singola persona di Assange: per tutta la durata dell’operazione tuttora in corso, Wikileaks è sembrata andare avanti con il pilota automatico, con una completa assenza di interazione pubblica e/o di responsabile gestione. Il voto (su questo specifico aspetto, sia chiaro) è 4.

Al terzo posto, invece, la stampa di settore italiana. In un mondo in cui oramai la cyberwar è una realtà da anni e in cui l’attenzione alle dinamiche operative degli operatori oscuri della rete è critica, la stampa di settore nostrana rivolge oramai il 60% della propria attenzione ai meri aspetti burocratici dell’internet governance e il restante 40% al techno-blah attorno le nuove uscite dei tecnogiocattoli più alla moda. Sugli argomenti più critici in ambito cybersecurity il contributo si limita oramai a qualche articolo sporadico e superficiale. L’esistenza di vere e proprie reti criminali operanti in rete non traspare, nemmeno quando riguarda argomenti particolarmente caldi come quello appena citato. Il mio voto è 4, mitigato solamente dal fatto che l’utente con un minimo di skill ha la possibilità di saltare a piè pari la stampa nostrana e rivolgersi a siti esteri.

Ora i bravi bimbi…

Il primo posto per quest’anno va senza alcun dubbio a Team Cymru: la security console che hanno messo a disposizione degli operatori della Rete è un oggetto che, se prenderà piede come merita, potrà segnare un punto di svolta davvero epico per quanto concerne la lotta per il contenimento degli Internet threats da parte degli operatori. Peccato solo che molti di essi non sembrino avere alcun interesse per la cosa… Il voto è comunque 8.

In seconda posizione metto la magistratura italiana. Pur con le lentezze che sono tipiche del nostro sistema, anche in Italia s’è finalmente vista una condanna effettiva per reati legati allo spam. E’ una punta di speranza per il futuro che merita un 7.

In terza posizione metto la comunità di contrasto a spam, botnet e famiglia: zitti-zitti, i takedown proseguono mese su mese, cosa che ha portato, nelle ultime settimane del 2010, il rumore di fondo del mezzo email ai valori più bassi che la mia memoria rammenti da almeno 3-4 anni a questa parte. C’è ancora molto da fare, ma un sacco di gente che si impegna per farlo: un 7 anche qui.

Chiudo indicando quello che vedo come uno dei problemi più spinosi per il 2011 in procinto d’arrivare: l’insicurezza delle credenziali utente.

I bot di oggi oramai si appropriano di tutte le credenziali su cui possono mettere mano: a poche ore di distanza dall’infezione oramai accade che le credenziali d’accesso alla posta siano usate per pompare spam attraverso il lecito account dell’utente, le credenziali d’accesso al sito personale dell’utente vengono usate per piazzare su siti “innocui” contenuti malevoli d’ogni sorta (spesso da usare per lo spam appena citato), le credenziali d’accesso ai servizi più svariati sono infine utilizzati per spennare l’utente inconsapevole in qualsiasi modo mente umana possa concepire.

E’ lecito aspettarsi per il futuro prossimo la necessità di implementare meccanismi di multi-factor authentication anche liddove fino a ieri sembrava assolutamente folle pensarne l’uso: dall’account mail in azienda all’amministrazione del blog.

Un buon 2011 a tutti!

Read Full Post »

Mailserver hack

Posted in Spam & dintorni, tagged , , on 28 December 2010| 1 Comment »

Qualche giorno fa Debian ha rilasciato un aggiornamento per exim4 che risolve una serie di vulnerabilità estremamente pericolose.

Come sovente accade in questi casi, risulta evidente che una discreta quantità di amministratori ritiene gli aggiornamenti del sistema operativo una operazione opzionale, poichè in questi giorni è evidente un fiorire di mail di phishing aventi envelope sender come…

debian-exim@sj3d55.svwh.net

debian-exim@front2.imind.hu

debian-exim@mailer4xp.com.br

debian-exim@vps02.davepusey-itservices.co.uk

debian-exim@www.securityfail.com

debian-exim@icedtea.classpath.org

debian-exim@immediamkt.it

…e ovviamente molti altri.

No comment.

Piuttosto: per rimanere in tema con il topic, nelle ultime ore si riporta un massiccio avvistamento di open-relay come non se ne vedevano da tempo. Non si tratta di nuove installazioni, bensì di mailserver operanti da tempo che di punto in bianco hanno iniziato a comportarsi come degli open-relay.

La prima cosa che è venuta alla mente di praticamente tutti è che si trattasse di macchine Exim4 afflitte dalle vulnerabilità succitate e che fossero state compromesse in altro modo rispetto a quello qui sopra: dato che la vulnerabilità consente il remote exploitation a root (!!!), nulla di più facile…

In realtà dal feedback ricevuto dagli amministratori dei sistemi in questione appare trattarsi perlopiù di sistemi MS Exchange 2010…

Resta ancora da capire se si tratti di qualche curiosa interazione tra software (es: AV “agganciato” ad Exchange), di un trojan/worm in grado di riconfigurare il mailserver per farlo divenire open-relay (ma non sarebbe molto chiaro perchè dovrebbero farlo…) o se si tratti di un qualche aggiornamento da parte di MS andato disastrosamente male

Buone feste, eh.. 😛

Read Full Post »

Wikileaks.info

Posted in Informatica e reti, Spam & dintorni, tagged , , , on 18 December 2010| 5 Comments »

Poichè dopo questa mia di qualche giorno fa le cose si sono ulteriormente mosse, torno a scrivere sulla faccenda wikileaks.info, stavolta riassumendo il tutto partendo da zero, per chi si fosse perso le puntate precedenti.

Come ben noto ai più, poco dopo l’inizio della diffusione dei famigerati “cables”, wikileaks.org sparì dalla rete a seguito dei DDoS in direzione di EveryDNS e della decisione di questi ultimi di terminare l’erogazione del servizio. Wikileaks iniziò pertanto a pubblicizzare come proprio sito istituzionale il dominio wikileaks.ch, che tutt’ora sta proseguendo nel rilascio di documenti riservati, insieme a parecchi mirror sui domini più vari.

Da pochi giorni, wikileaks.org pare invece essere resuscitato e redirige ora a http://mirror.wikileaks.info.

Quest’ultimo dominio appare quantomeno sospetto, per svariate ragioni:

  • wikileaks.info non risulta elencato tra i mirror ufficiali di wikileaks nella pagina ove questi vengono elencati; ivi appare, invece, il dominio wikileaks2.info, il che lascia supporre che wikileaks.info non fosse disponibile all’atto della “moltiplicazione dei siti” operata allo scopo di mantenere in vita il progetto
  • i contenuti di wikileaks.info appaiono notevolmente diversi da quelli proposti nei mirror ufficiali: liddove questi ultimi appaiono in tutto e per tutto uguali a wikileaks.ch, wikileaks.info appare come una copia datata dell’originale
  • wikileaks.info è residente su una rete ben nota a chi si occupi di internet security, ovvero la rete di Webalta (92.241.160.0/19), realtà russa da svariato tempo al centro della diffusione di malware nonchè di operazioni di spam e di controllo botnet; più specificamente esso è residente su un netblock assegnato ad Heihachi (92.241.190.0/24) e lo stesso medesimo IP su cui sta wikileaks.info ospita anche siti utilizzati dalla criminalità informatica internazionale per la compravendita di carte di credito rubate e svariate altre operazioni “poco pulite
  • irc.anonops.net, al centro dei recenti DDoS portati avanti “in nome” di Wikileaks (pur senza il benestare di questa) risulta essere erogato dalla stessa rete blackhat ove risiede wikileaks.info, il che rende plausibile la presenza di qualche correlazione più o meno diretta tra le due realtà

Tutto ciò lascia supporre che dietro a wikileaks.info ci siano organizzazioni ed interessi quantomeno dubbi: chiunque sia del settore sa che reti come quella in cui si trova questo sito, lungi dall’essere “provider poco attenti alle malefatte degli utenti” sono in realtà letteralmente in mano alla criminalità organizzata, in cui organizzazioni criminali mantengono infrastrutture di hosting (cosiddetto bulletproof) specificamente destinate all’utilizzo da parte di altri criminali ai quali sono in grado di garantire, insieme con la fornitura tecnica, anche un certo livello di copertura dalle azioni di polizia, grazie a vere e proprie reti di corruzione.

In virtù della nota “malevolenza” di questa rete, comunque, l’intera /19 è da considerarsi “rete ad altissimo rischio” e perciò presente nella lista SBL mantenuta da Spamhaus fin dall’ottobre 2008.

In conseguenza della presenza di un apparente mirror di Wikileaks su questa rete, Spamhaus stessa ha rilasciato un comunicato pochi giorni fa, in cui invita chi fosse interessato a visionare i famosi documenti riservati ad affidarsi a wikileaks.ch e/o a uno dei mirror ufficiali da esso indicati e di diffidare, fino a prova contraria, di wikileaks.info, riguardo al quale non è tutt’ora stato possibile ottenere una dichiarazione da parte dello staff di WikiLeaks.

La cosa è evidentemente piaciuta poco a wikileaks.info tanto che, dopo aver rilasciato un comunicato nel quale si avanza la tesi secondo la quale Spamhaus agirebbe sulla base di ragioni politiche (comunicato peraltro presente su wikileaks.info ma di cui non vi è alcuna traccia su wikileaks.ch nè su alcuno dei mirror “veri”), a partire da stamattina il sito di Spamhaus è bersaglio di un DDoS apparentemente condotto dalla stessa AnonOps, al pari di quelli già visti ai danni di Visa, Paypal, etc.

Nonostante tale DDoS non sia molto diverso dagli attacchi a cui Spamhaus è più o meno giornalmente soggetta, la sua entità (tra i 2 e i 3 gigabit di traffico) rende il sito di Spamhaus di difficile consultazione, insieme con i warning da esso riportati e dei quali è opportuno che l’utenza sia informata in ogni modo possibile. Per riportare un estratto della succitata comunicazione  di Spamhaus:

Currently wikileaks.info is serving highly sensitive leaked documents to the world, from a server fully controlled by Russian malware cybercriminals, to an audience that faithfully believes anything with a ‘Wikileaks’ logo on it.

Spamhaus continues to warn Wikileaks readers to make sure they are viewing and downloading documents only from an official Wikileaks mirror site. We’re not saying “don’t go to Wikileaks” we’re saying “Use the wikileaks.ch server instead”.

Resta tuttavia ancora da capire come e perchè il “vecchio dominio” di Wikileaks attualmente rediriga in direzione di una entità così dubbia.

 

Update 20/12/2010:

AnonOps in quanto “gruppo” nega di essere parte dell’attacco in corso ai danni di Spamhaus, ed una analisi della tipologia di traffico componente il DDoS sembrerebbe confermare, in quanto esso appare avere natura diversa da quello generato dal famigerato LOIC usato da AnonOps.

Pare inoltre che i membri di AnonOps stiano prendendo le distanze dai membri che hanno proposto (e reclutato) l’uso di botnet per affiancare LOIC nelle operazioni di DDoS portate avanti a nome del gruppo, e che potrebbero altresì avere un ruolo nel DDoS di cui sopra.

Read Full Post »

Non se ne fan scappare una

Posted in Informatica e reti, Spam & dintorni, tagged , , on 14 December 2010| 1 Comment »

Come accade ogni volta che un qualche evento “reale” scuote le rete, anche attorno alla faccenda Wikileaks (che poi in realtà nasce in rete, ma vabbè) hanno iniziato a concentrarsi attenzioni ed interessi quantomeno “torbidi”.

Qui un primo dettaglio. Il resto si vedrà…

Read Full Post »

Wikileaks e i trends

Posted in Del + e del -, Informatica e reti, tagged , on 7 December 2010| 3 Comments »

Apro con una URL e invito a una seria riflessione sul concetto di censura…

Read Full Post »

Older Posts »

%d bloggers like this: