Capn3m0 WebSecurity

Lo staff di capn3m0.org ha avuto la possibilità di intervistare il pr0_alpha_team, crew emergente che si è fatta notare nei giorni passati per aver violato numerosi siti istituzionali: dai siti dei piccoli comuni al sito delle Banca delle Marche, lo Store del sito difesa.esercito.it e molti altri.

Come immagine ho scelto la locandina del famoso film Hackers del 1995 che vede come protagonisti una crew di giovani ragazzi che un po’ per divertimento un po’ per passione portarono a termine attacchi di grande portata scombussolando una città e finendo nel mirino dell’Fbi. Il film, come si sa, è finzione, ma è stato di ispirazione per molti ragazzini che come me sognavano di diventare hacker o qualcosa del genere.

Il motto del film era:

their only crime was curiosity

(il loro unico crimine era la curiosità)

Conoscendo un po’ meglio i ragazzi del pr0_alpha_team mi è tornato alla mente e vediamo perché.

D #1: – Come nasce il pr0_alpha_team? E’ stata più una cosa tra amici tipo “vediamo fin dove riusciamo ad arrivare” o strutturata e organizzata?

L’Alpha_Team nasce come un gruppo di ragazzi (amici virtuali) , che sfida le infrastrutture che al giorno d’oggi dovrebbero essere le più sicure, cercando di far notare ai cari Italiani quanto siano vulnerabili i loro sistemi e come dati privati possano finire nelle mani di gente qualunque.

D #2 - Il nome pr0_alpha_team da dove proviene? Siete una versione “alpha” quindi ancora non ufficiale? cosa dobbiamo aspettarci?

Allora il nome Alpha_Team deriva dalla poca fantasia che avevamo quando ci siamo registrati su Zone-H, cosa dovreste aspettarvi? beh spero per noi che potremmo ancora divertirci nel cercare vulnerabilità

D #3 -  Guardando il vostro profilo su Zone-H si ha notizia di voi a partire da Novembre. Siete una crew “emergente” o operate da tempo ma solo ora volete rendere note le vostre azioni?

In precedenza abbiamo operato come singoli , ma poi un giorno abbiamo deciso di unirci e diventare l’Alpha_Team e rendere note le nostre azioni.

D #4 – Il vostro background? Siete “ethical hacker” anche come lavoro?

Siamo tutti studenti delle superiori ma in futuro vorremo sicuramente lavorare in quel campo, non ci definiamo hacker, ma solo appassionati informatici.

D #5 – Indipendenti o parte di un progetto più grande?

Siamo un gruppetto indipendente.

D #6 – Perché siti istituzionali? Quale messaggio volete mandare?

Attacchiamo siti importanti sia per divertimento sia per far capire ai nostri cari webmaster come sia facile sfruttare le loro mancanze. Per esempio nell’attacco alla Banca delle Marche volevamo far capire ai webmaster come sia stato facile per noi reperire informazioni sensibili.

D #7 – Fino ad ora le vittime illustri sono state violate con attacchi Sql Injection. E’ la tecnica che preferite o è quella a cui, come si è visto, erano vulnerabili tutte le vittime?

Perché in quei siti abbiamo trovato quel tipo di vulnerabilità.

D #8 – Il silenzio della stampa. I giornali latitano sempre quando l’attacco non è firmato Anonymous che “fa audience”. Cosa ne pensate di questa dis-informazione?

Pensiamo che al giorno d’oggi non ci sia dis-informazione ma solo poca voglia di reperire informazioni da utenti che utilizzano internet. Tutti dovrebbero sapere che rischi corrono navigando su internet.

D #9 – Il termine hacker ancora oggi viene usato in maniera errata e non si fanno mai distinzioni tra ethical, white hat, black hat, etc.. Voi come vi definite?

Siamo solo ragazzi appassionati di informatica.

D #10 – Il sito di una Banca, il sito dello store della Difesa… le vostre azioni hanno messo ancora una volta in rilievo le carenze tecniche in merito alla sicurezza informatica. In Italia spendere soldi per prevenire appare ancora una “cattiva abitudine” (purtroppo). Le vostre vittime se informate della violazione come han reagito? Le falle poi vengono sistemate?

Reagirebbero malissimo. Come possiamo vedere nel sistema bancario delle Marche ci troviamo di fronte ad un C.M.S. a pagamento, e credo che non lo abbiano pagato poco. No, le falle ad oggi sono come prima.

Concludendo questa intervista ne emerge ancora una volta la scarsa attenzione dedicata alla sicurezza informatica, dei nostri dati e delle infrastrutture che il nostro Paese presta ai suoi servizi più importanti o critici. Questi ragazzi, come ho premesso citando il film “Hackers“, sono solo appassionati e curiosi. I mezzi e le competenze li hanno e stanno dimostrando come uniti si possono raggiungere obiettivi importanti come il sito di una Banca o dell’Esercito. Non sono legati a nessun gruppo “famoso” e pertanto del pr0_alpha_team sono in pochi a parlare ma, come loro stessi hanno affermato, vogliono rendere note le loro azioni.

Sul tema della disinformazione fanno un’osservazione corretta dicendo che ai giorni d’oggi con internet a disposizione di chiunque è difficile pensare che la gente sia male o per niente informata. Almeno i giornalisti pagati per “informare” potrebbero provare a fare quello sforzo in più che noi non sempre abbiamo tempo o modo di fare.

Riguardo infine l’attacco al sito della Banca delle Marche (bancadellemarche.it) ci fanno sapere che nonostante i soldi spesi per un CMS risultato vulnerabile (può capitare eh, nessuno mette in dubbio che ci possano essere bug) non è stata ancora sistemata la falla. Sono queste le notizie che tra le tutte dovrebbero far riflettere. Possibile che una Banca dopo aver riscontrato delle violazioni nei propri dati non ne faccia notizia e neanche rimedia in tempi brevi?

Errare è umano, ma perseverare è diabolico..

La notizia ha già fatto il giro del mondo ma comunque è degna di nota.

La sigla GCHQ non ci ricorda molto ma nelle ultime ore ogni blog o sito addetto ai lavori ne parla e ne ride.

Il GCHQ altro non è che il Government Communications Headquarters, ossia l’agenzia inglese per lo spionaggio delle comunicazioni che lavora a stretto contatto con i Servizi Segreti MI5 e MI6 per proteggere, monitorare e intervenire per la sicurezza dell’Inghilterra e dei suoi cittadini, in primis la Regina!

Dal nome e da questa breve descrizione ci si aspetta un team dei migliori hackers inglesi che giorno e notte veglia sulla vecchia Inghilterra per evitare che qualcuno decida di attaccarla o creargli problemi. Per fare ciò hanno bisogno di nuovi analisti e perciò, in gran segreto, hanno deciso di indire un concorso dal nome “Can you crack it?” dove solo chi riesce a risolvere l’enigma può avere accesso all’area dove si lasciano i propri dati e ci si candida per l’offerta di lavoro.

Il “concorso” è a tempo, dura 10 giorni (nel momento in cui scrivo mancano ancora 8 giorni e 16 ore) e consiste nel decriptare un codice partendo da una tabella di coppie di valori esadecimali.

Questa l’home page del sito:

Il motivo per cui tale notizia continua a far scalpore è dovuto al fatto che con una semplice ricerca su Google è stato possibile bypassare la pagina iniziale ed arrivare direttamente a quella dove lasci i dati per candidarti all’offerta di lavoro.

Per trovarla è bastato eseguire la più semplice delle ricerche di Google:

inurl:canyoucrackit.co.uk

e tra i primi risultati si ottiene l’url:

http://www.canyoucrackit.co.uk/soyoudidit.asp

che porta direttamente alla pagina di congratulazioni.

Una svista non da poco per chi dovrebbe difendere la Regina!

Dopo la scoperta la pagina è stata tolta dall’indicizzazione di Google ma ormai la notizia era arrivata alle orecchie di tutti.

Per chi volesse mettere alla prova le sue abilità cercando in Internet potrà trovare molte informazioni su come effettuare il decrypt corretto dell’esercizio

Qui trovate la soluzione, invece!

A quasi un mese di distanza dalla release di sicurezza 3.1.2 di WordPress (26/4/2011) pochi minuti fa è stata rilasciata la nuovissima 3.1.3.

Le principali novità e fix riguardano:

• Migliorie di sicurezza e delle query di tassonomia
• Fix di sicurezza del redirect canonical redirects
• Fix di sicurezza media
• Aggiunta prevenzione da azioni malevole tramite file host
• Pulizia del vecchio file di importazione di WordPress se l’importazione non giunge a termine.
• Aggiunta protezione “clickjacking”

Provvedere quanto prima ad aggiornare il vostro WordPress dall’Area Admin o scaricandolo da qui.

FONTE: http://www.wordpress-it.it/2011/05/25/wordpress-3-1-3-in-inglese/

Non sono passate nemmeno 24 ore da quando é stata scoperta una gravissima vulnerabilità di Android che Google é corsa ai ripari sviluppando un fix che verrà rilasciato via ota già dalle prossime ore.

La vulnerabilità è particolarmente grave perchè colpisce piú del 99% dei device attivi, ne risultano immuni infatti solo le versioni Gingerbread 2.3.4 e Honeycomb 3.0 e 3.1.
Per fortuna, in attesa di ricevere il fix nei prossimi giorni gli utenti potranno comunque proteggersi mettendo in pratica alcuni accorgimenti.
Il problema di sicurezza si verifica solo se un utente si collega ad una rete wifi libera, quindi chiunque si connetta abitualmente ad hotspot o lo abbia fatto di recente farebbe meglio a disattivare l’opzione di connessione automatica alle reti wifi ed eliminando il consenso a quelle utilizzate di recente, nel caso la rete free fosse di proprietà il consiglio é ovviamente quello di impostare una protezione, ma questo é una buona norma sempre, non solo in casi di vulnerabilità come quella di cui stiamo parlando in questo articolo.
Allo stato attuale, in attesa della patch di Google, il rischio che si corre é quello che un utente non autorizzato possa accedere ai nostri dati contenuti nel calendario e nei contatti di Android perché lo scambio di autorizzazione tra il client e server non avviene tramite protocollo https (Hyper Text Transfer Protocol Secure), ma tramite semplice http.
Tuttavia Google sta valutando anche la connessione alle librerie di Picasa che sembrerebbero anch’esse affette dalla stessa vulnerabilità, un motivo in piú per diffidare delle reti aperte fino a che non sarà cessato del tutto questo giustificato allarme.

Il patch day di aprile porta all’utenza Microsoft un aggiornamento da record: 17 patch per 64 vulnerabilità.

Read the original:
Microsoft, patch day da record

Source: Webnews