Fantastico syslog server che nella sua versione gratuita consente di raccogliere e gestire messaggi syslog al massimo da 5 indirizzi IP sorgente: non è decisamente intuitivo il fatto che se non si provvede a editare la maschera in alto subito dopo l’installazione, i pacchetti syslog di tali client – pur se configurati a puntino come è successo a me – Windows o Linux che siano, non verranno visualizzati nella finestra principale del server mai e poi mai (tale problema non si manifesta nella versione a pagamento: in tal caso, infatti, basterà inserire solo l’IP 255.255.255.255 per autorizzare la raccolta di tutto il traffico syslog diretto al server).
Un video esplicativo delle sue tante funzionalità.
Tetra è il nome di uno standard europeo per un sistema radio mobile professionale specificamente progettato per essere utilizzato da agenzie governative, servizi di emergenza (forze di polizia, vigili del fuoco, ambulanze ecc..) in reti di pubblica sicurezza, in radio ferroviarie e servizi di trasporto civili e militari, in uso ai relativi operatori comunicanti giorno e notte.
La maggior parte della gente che conosco (mi riferisco ai non addetti ai lavori del mondo InfoSec) non ha mai sentito parlare di TETRA (acronimo di TErrestrial Trunked RAdio): lo standard regola infatti il modo in cui le radio e i walkie-talkie utilizzati dalla stragrande maggioranza delle forze pubbliche in tutto il mondo gestisce le comunicazioni critiche (voce e dati!).
TETRA è stato sviluppato negli anni ’90 dall’Istituto Europeo per gli Standard di Telecomunicazione (ETSI) ed è utilizzato nelle radio prodotte da Motorola, Damm, Hytera e altri vendor TLC, ma i difetti dello standard sono rimasti sconosciuti per decenni poiché i dettagli dei quattro algoritmi crittografici impiegati in TETRA (noti come TEA1, TEA2, TEA3 e TEA4) sono stati tenuti segreti al pubblico: o meglio, lo standard è pubblico, ma gli algoritmi di crittografia utilizzati non lo sono. Solo i produttori di radio e tutti coloro che firmano un rigoroso NDA possono conoscerli.
Ora il fatto increscioso: tre ricercatori di Sicurezza Informatica – Carlo Meijer, Wouter Bokslag e Jos Wetzels – della società olandese Midnight Blue – affermano che TETRA è una delle poche tecnologie rimaste in quest’area che utilizza ancora crittografia proprietaria tenuta segreta. Mantenere segreti gli algoritmi è dannoso per la sicurezza nazionale e pubblica, sostengono, poiché impedisce ai ricercatori InfoSec e ai crittoanalisti di esaminare il codice per scoprire eventuali falle, in modo che possano essere sistemate. A causa della (incoscente) convinzione di molti progettisti che mantenere segreti gli algoritmi crittografici impiegati prevenga automaticamente intercettazioni e abusi – storico approccio ingegneristico che va sotto il nome di Security through Obscurity – gli attori intenti a trovare bug e vulnerabilità per mestiere (come le agenzie di Intelligence o i gruppi di cyber criminali dotati di risorse adeguate) sono liberi di sfruttarli senza impedimenti, mentre gli utenti rimangono non protetti e potenzialmente spiati.
Grafico prodotto dai ricercatori di Midnight Blue che mostra i paesi nel mondo in cui le forze di polizia utilizzano lo standard TETRA per le loro comunicazioni radio.
I ricercatori hanno dunque scoperto molteplici vulnerabilità nella crittografia sottostante TETRA nonché nella sua implementazione, inclusi problemi che consentono la decifratura del traffico: hanno scovato quella che credono sia una backdoor intenzionale nelle radio cifranti utilizzate dalla polizia, dai militari e da enti diInfrastrutture critiche in tutto il mondo. Secondo i ricercatori la backdoor potrebbe esistere da decenni, potenzialmente esponendo a intercettazioni abusive un’infinità di segreti industriali e governativi (!!!), nonché dati personali e informazioni sensibili trasmesse attraverso le radio.
Mentre i ricercatori hanno etichettato la loro scoperta come una vera e propria backdoor, l’organizzazione responsabile del mantenimento dello standard si oppone a questo termine (gravissimo se fosse vero!) specifico, e afferma che lo standard è stato progettato per i controlli sulle esportazioni che regolamentano la robustezza della crittografia adottata. Lo stato dell’arte attuale, tuttavia, è quello di radio e ricetrasmittenti che emettono e ricevono traffico vocale e traffico di rete che può essere decifrato in meno di un minuto utilizzando hardware di consumo come un normale laptop, come gli esperti di Midnight Blue mostrano nel seguente video:
“Non c’è altro modo in cui si possa definire, se non che trattasi di una backdoor intenzionale,” ha dichiarato a Motherboard in una telefonata Jos Wetzels, uno dei ricercatori della società di sicurezza informatica Midnight Blue.
Tale ricerca è la prima analisi pubblica e approfondita dello standard TETRA negli oltre 20 anni della sua esistenza: non tutti gli utenti delle radio che utilizzano TETRA sfruttano lo specifico algoritmo di crittografia TEA1, inficiato dalla backdoor. TEA1, infatti, fa parte dello standard TETRA approvato per l’esportazione in altri paesi, ma i ricercatori hanno scoperto ulteriori molteplici vulnerabilità in TETRA che potrebbero consentire la decifratura delle comunicazioni e la deanonimizzazione.
A onor del vero, tuttavia, la vulnerabilità scoperta da Midnight Blue sembrava già nota ai circoli di Intelligence, come dimostra questo articolo di WikiLeaks.org nel famoso dump del 2006 delle comunicazioni diplomatiche statunitensi, in cui si legge a chiare lettere che una multinazionale italiana voleva vendere dei sistemi TETRA a due forze di polizia iraniane, ma che il governo degli Stati Uniti abbia espresso la propria opposizione al trasferimento tecnologico, ricevendo tuttavia rassicurazioni dalla multinazionale sul fatto che gli apparati venduti avrebbero avuto una chiave crittografica lunga meno di 40 bit. Anche alcune delle informazioni classificate rivelate da Edward Snowden indicano che i servizi segreti britannici hanno intercettato comunicazioni TETRA in Argentina tra il 2006 e il 2011.
Nel frattempo che questa débâcle tecnologica produca tempestivamente (si spera) una patch crittografica per le librerie usate dalle cifranti TETRA in tutto il mondo (e nel frattempo che i progettisti di soluzioni crittografiche ripassino attentamente i principi di quel grande che fu Auguste Kerckhoffs, o, se preferite un crittoanalista più recente, che ripassino la massima sintetizzata da Claude Shannon: “Il nemico conosce il Sistema”), caro lettore, per il tuo bene (e per quello dei tuoi cari e/o della tua azienda) passa anche tu a Signal! È un’App cifrantegratuita e semplice da utilizzare, più sicura rispetto a WhatsApp.
Quasi tutte le aziende Enterprise utilizzano degli agent EDR (Endpoint Detection and Response) per monitorare dispositivi e sistemi nella propria rete ICT alla ricerca di segnali o evidenze di un attacco informatico, ma questo non significa necessariamente che ogni analista InfoSec, piuttosto che ogni sistemista, comprenda dalla A alla Z come funzionino effettivamente questi strumenti. Questo libro ha come focus centrale il mondo degli EDR, e capitolo dopo capitolo si apprende che un EDR non è una scatola magica perfetta, ma un’applicazione software (sicuramente non banale) programmata per interagire con pochi componenti essenziali che influenzano a loro volta il sistema operativo e le applicazioni.
L’autore del saggio – che si occupa da anni di Red Teaming – indaga su ciascuno dei componenti degli agent più comuni: ne discute gli scopi, ne illustra le implementazioni e mostra i modi in cui questi strumenti raccolgono dati dai sistemi operativi Microsoft. Oltre a divulgare la teoria alla base della progettazione degli EDR, vengono discusse anche strategie di evasione per aggirare i più comuni controlli effettuati dagli agent.
Perché vale la pena leggerlo? Per chi lavora già nell’ambito InfoSec è l’ennesima conferma che EDR / XDR / NDR e strumenti affini non sono affatto la panacea contro tutti i possibili attacchi informatici, e che vanno affiancati ad altri fondamentali strumenti del mestiere; per tutti gli altri lettori, questo testo apre gli occhi su una grande verità di cui forse si parla poco (e non a caso): anche gli strumenti di Cybersecurity si possono ingannare, violare, compromettere se i progettisti non fanno bene il loro dovere ingegneristico, e se gli agent non vengono testati in maniera approfondita prima di essere commercializzati.
Le applicazioni e i moderni siti Web gestiscono ormai enormi quantità di traffico HTTPS. Due dei principali strumenti per garantire l’efficienza dei sistemi su larga scala sono i bilanciatori di carico (o Load Balancer) e i proxy inversi (o Reverse Proxy)
Tuttavia, affrontano la gestione del traffico in modi leggermente diversi.
I Load Balancer si occupano di instradare le richieste dei client su più server, al fine di distribuire agilmente il traffico di rete prevenendo colli di bottiglia: ciò aiuta a massimizzare il throughput, riducendo i tempi di risposta e ottimizzando l’utilizzo delle risorse. Quando in un’architettura di rete è presente un Load Balancer, ecco cosa accade: 1) le richieste dei client vengono inviate al Load Balancer invece che direttamente ai server che ospitano l’applicazione 2) attraverso un algoritmo di bilanciamento, viene selezionato uno dei server disponibili dall’elenco degli host a disposizione del Load Balancer 3) la richiesta del client in coda viene inoltrata al server selezionato. 4) il server elabora le richieste e invia la risposta al Load Balancer 5) a sua volta il Load Balancer inoltrerà la risposta al client
Un Reverse Proxy, viceversa, è un server che si trova tra i client esterni e le applicazioni interne. Sebbene i Reverse Proxy possano distribuire il carico di rete come farebbe un Load Balancer, forniscono funzionalità avanzate come la terminazione del traffico TLS/SSL, la memorizzazione in cache, nonché aspetti di sicurezza informatica. I Reverse Proxy sono più interessati a limitare e salvaguardare l’accesso al/ai server.
Sebbene Load Balancer e Reverse Proxy possiedano teoricamente funzionalità distinte, nella pratica i confini possono confondersi, poiché molti software possono espletare sia le funzioni di un Load Balancer che quelle di un Reverse Proxy, come ad esempio è in grado di fare Nginx, un eccellente software FOSS (giunto ormai alla versione 1.25 nel momento in cui sto scrivendo) che può svolgere entrambi i ruoli a seconda della configurazione.
Gioielli della tecnologia informatica, capolavori: osservando gli switch Cisco della serie Catalyst 9400, è questo il primo pensiero che mi viene in mente. Secco, autentico, impulsivo. Come quando si incappa in certe Ferrari, o certe Bugatti…o come quando si osservano certi capolavori pittorici, solo che questo è un altro campo, è il Networking, che pur tuttavia ha (anche) i suoi Botticelli, le sue Ferrari e le sue Bugatti.
I Cisco Catalyst 9400 offrono una piattaforma scalare di switching: progettati per gestire un Networking ibrido in cui il workspace può essere dovunque, le applicazioni sono ospitate dappertutto e gli endpoint possono essere costituiti da qualunque cosa.
SD-Access (Cisco Networking Cloud e Software-Defined Access) è l’infrastruttura di rete estendibile basata su software (SDN) che accelera le operazioni aziendali in rete. L’architettura programmabile libera i tecnici ICT da attività di configurazione ripetitive e dispendiose in termini di tempo, in modo che possano concentrarsi su aspetti innovativi. SD-Access consente l’automazione basata su policy dall’Edge Computing al Cloud Computing, con funzionalità fondamentali come ad esempio: ● Gestione unificata delle reti cablate e wireless ● Distribuzione semplificata dei dispositivi ● Segmentazione della rete ● Virtualizzazione ● Criteri basati su gruppi ● Analisi basate sul contesto
Gli switch Cisco Catalyst serie 9400 costituiscono una piattaforma modulare di accesso, distribuzione e core per la commutazione aziendale, creati per unificare la gestione della Cybersecurity, dell’IoT e del Cloud Computing: questi switch implementano un’architettura dello chassis che supporta fino a 9 Tbps di larghezza di banda del sistema, e un’erogazione di potenza con PoE IEEE 802.3bt ad alta densità (60 W e 90 W). Catalyst 9400 offre alta disponibilità (HA) attraverso la tecnologia virtuale Cisco StackWise® con l’aggiornamento software in servizio (ISSU), SSO/NSF, resilienza uplink, ridondanza N+1/N+N per gli alimentatori. La piattaforma è stata ingegnerizzata con un innovativo design del vano ventole a doppia manutenzione, flussi d’aria da lato a lato, ed è perfetta per i rack con una profondità di circa 41 cm.
Un singolo sistema può scalare fino a 384 porte di accesso con opzioni 10G, 5G e 2.5G multigigabit in rame, 1G in rame, Cisco UPOE®+, Cisco UPOE e PoE+, fino a 384 porte in fibra 10G e 1G, fino a 164 opzioni porte 25G SFP28. La disponibilità di porte in fibra 1/10 G facilita l’aggregazione di switch di accesso fissi con fattore di forma ridotto. La piattaforma supporta anche servizi di routing e d’infrastruttura, funzionalità SD-Access nonché virtualizzazione dei sistemi di Networking: queste funzionalità consentono l’impiego ideale della piattaforma nelle reti di fascia Enterprise, nonché l’aggregazione in ambienti operativi di medie e piccole aziende (ma in questo caso, a onor del vero investire in un Catalyst 9400 sarebbe un vero spreco poiché indubbiamente sottoutilizzato nelle piccole realtà).
Microsoft Office e Google Docs al momento sono i software più utilizzati nel mercato delle Suite per ufficio, ossia quelle applicazioni per scrivere ed editare testi, creare fogli di calcolo e produrre presentazioni. Ma entrambe le suite hanno anche alcune limitazioni, che in certi casi possono costituire una barriera per alcune categorie di utenti.
Per esempio, Microsoft Office richiede una licenza che va acquistata, ma soprattutto gestita quando si passa da un computer a un altro, e inoltre non è disponibile per Linux se non in versione on-line tramite browser. Google Docs, d’altro canto, salvo casi particolari è utilizzabile solo quando si è connessi a Internet, e comunque implica la possibilità che Google legga (!!!) quello che scriviamo (“Accediamo ai tuoi contenuti privati soltanto se abbiamo la tua autorizzazione o se siamo obbligati per legge”, sostiene Google nel suo portale ufficiale), con ovvie implicazioni legate a possibili violazioni della Privacy personale e professionale.
Una soluzione a questi scenari è costituita da LibreOffice, una suite gratuita realizzata dalla Document Foundation, che di recente ha pubblicato la relativa versione 7.6 Community. LibreOffice permette di creare gratuitamente testi avanzati, fogli di calcolo e presentazioni nel formato standard OpenDocument, ma è altrettanto in grado di leggere modificare e creare file nei più classici formati proprietari di Microsoft Office.
LibreOffice, anche se accetta donazioni, è da sempre gratuito nonché Open Source, con l’indubbio vantaggio di offrire la massima trasparenza e flessibilità: l’utente può così evitare i costi e soprattutto le complicazioni dovute all’uso di licenze commerciali, è disponibile in oltre 120 lingue (compreso naturalmente l’italiano) su tutti i principali sistemi operativi, e dal 2011 viene sviluppato e mantenuto da una vasta comunità internazionale di programmatori volontari.
Lo utilizzo quotidianamente dal 2012 per tutti i documenti Office, compresi quelli di lavoro, e trovo impagabile la sua semplicità d’uso: fa tutto quello che mi serve su tutti i computer che uso, non mi assilla con scadenze e minacciose richieste di rinnovi di licenza come invece mi accadeva quando ero ancora un utente Microsoft Office. Vero, la compatibilità con alcuni formati Microsoft Office non è perfetta (specialmente negli scenari con documenti aventi formattazioni complesse) ma nella maggior parte dei casi è assolutamente accettabile, e se si utilizza il suo formato di default, ossia OpenDocument, si ha la garanzia di poter rileggere e rieditare i propri documenti anche a grandissima distanza di tempo.
Se desideri provarlo o direttamente installarlo, puoi scaricare LibreOffice dal seguente URL: sono disponibili le versioni per Windows, macOS e Linux. Ha un altro vantaggio importante rispetto alla concorrenza: funziona anche su vecchisistemi operativi (da Microsoft Windows 7 SP1 in su, e da macOS 10.12 in su) e offre anche alcuni prodotti per i s.o. Android e iOS. La versione per macOS è disponibile sia per i computer dotati dei recenti processori Apple Silicon, che per quelli che montano i più tradizionali processori Intel.
Questo video riassume le principali novità della versione 7.6, la più recente nel momento in cui sto scrivendo:
A onor del vero, per esperienza posso confermare che dei punti di criticità esistono, in particolare nell’ipotesi d’implementazione di macro VBA o nella gestione di file Excel di grandi dimensioni (per intenderci con griglie che ospitano decine di migliaia di righe contigue), ma trattasi di scenari poco diffusi, ergo, LibreOffice costituisce un FOSS funzionale ed aggiornato, valida alternativa per tantissimi utenti Microsoft Word, Excel e PowerPoint, nonché per tutti quelli come me stanchi di dover aggiornare tempestivamente i vari Microsoft Office installati presso i clienti poiché privi delle necessarie hotfix di sicurezza informatica pubblicate da Microsoft in ritardo rispetto ai relativi exploit scovabili in rete o nell’underground (una fra le tante storiche vulnerabilità, ma emblematica di quanto sia opportuno patchare o direttamente abbandonare sistemi Microsoft Office: l’RCE Follina)
Il buon vecchio FOSS draw.io (divenuto da poco app.diagrams.net) conserva ancora il suo prestigio e la sua semplicità d’utilizzo nel 2023, continuando ad essere un valido strumento per molti progettisti ICT/OT (me compreso), valida alternativa al commerciale Microsoft Visio.
È possibile usarlo sia on-line accedendo al portale app.diagrams.net, piuttosto che appunto off-line scaricando gratuitamente l’applicazione standalone da questa URL GitHub.
Semplice ed essenziale nel suo utilizzo ma anche estremamente versatile, il software è dotato di numerosissime icone ed oggetti con cui realizzare nonché arricchire schemi di Networking e/o schemi architetturali di Cybersecurity. Per quanto riguarda lo stile grafico c’è solo l’imbarazzo della scelta tra i suoi numerosi template.
Alcuni esempi:
Preferisco francamente la versione standalone, installabile in locale: lavorare con calma al progetto, salvando poi la bozza architetturale sulla mia postazione in uno dei formati supportati (.html, .png, .svg o .drawio (il default)) non ha prezzo, rappresenta per me un connubio tra Creatività e Ingegneria informatica applicata.
A progetto finito, si potrà inviare il file al cliente con uno dei formati selezionati in precedenza, scegliendo se condividere l’intero progetto editabile (e quindi dando al nostro interlocutore a sua volta la possibilità di rieditarlo), o solo la veste grafica.
L’interoperabilità tra il GDPR e gli standard internazionali ISO “dovrebbe” supportare la gestione dei processi del Titolare e del Responsabile del trattamento dei dati personali definendo capacità per integrare e armonizzare in maniera strutturata i requisiti del GDPR.
Valutando un po’ la questione sotto dei profili non solo teorici: 1) Approcci basati sul rischio: il GDPR richiede alle organizzazioni di valutare e gestire i rischi associati al trattamento dei dati personali. Le norme ISO come la ISO 31000 sulla gestione del rischio, e la ISO 29134 sulle PIA, possono fornire un quadro strutturato per identificare, valutare e trattare i rischi in modo sistemico.
2) Gestione dei processi: le norme ISO offrono metodologie e linee guida per la gestione dei processi aziendali. Ad esempio la ISO 9001 per la gestione della qualità, o la ISO 22301 per la continuità dei processi di business. Relativamente allo standard ISO 28590 per i campionamenti, l’interoperabilità può essere raggiunta incorporando tali metodologie nella Progettazione e nell’Implementazione dei processi aziendali per garantire che il trattamento dei dati personali sia effettuato in modo coerente, affidabile e conforme alle norme del GDPR.
3) Sicurezza delle Informazioni: l’art. 32(1) lett. b) del GDPR pone un’enfasi significativa nelle garanzie di Riservatezza, Disponibilità e Integrità dei dati personali, gli standard ISO 27001 e ISO 27002 forniscono un quadro completo per l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni, comunemente noto nel mercato italiano come SGSI (ISMS nel mondo anglofono).
4) Controlli e audit: le norme ISO come la ISO 19011 per gli audit dei Sistemi di Gestione, oppure la ISO/IEC 17021-1 per l’audit della Sicurezza delle Informazioni, forniscono orientamenti sulla conduzione di audit interni ed esterni. In buona sostanza, integrando le diverse norme ISO nel contesto del GDPR, i Titolari e i Responsabili dei trattamenti possono beneficiare di un quadro strutturato – e riconosciuto a livello europeo – per affrontare le sfide della Cybersecurity, ma chi di dovere dovrebbe conoscerle, e non solo a chiacchiere… e questa è tutta un’altra storia: prova ad esempio a chiedere al tuo consulente GDPR la differenza pratica dei rischi di Sicurezza Informatica legati all’eventualità di ritrovarsi una backdoor piuttosto che un rootkit nella rete informatica o nei sistemi operativi utilizzati dal cliente…e se non ti sa rispondere, o se pur di farfugliare qualcosa di vagamente sensato si affida a ChatGPT, per il tuo bene (e quello della tua organizzazione) trai tu stesso le conclusioni sull’affidabilità e la preparazione tecnica del tuo consulente.
Hai dimenticato le credenziali per accedere al tuo sistema operativo Windows oppure al tuo Mac OS X? Niente paura con Kon-Boot!
Kon-Boot è un software in grado di bypassare il logon di sistemi operativi Microsoft e Mac OS X. La prima versione risale al lontano 2008, ma nel corso dei decenni il software si è evoluto.
Per l’uso di Kon-Boot è necessaria una pendrive con almeno 16GB di spazio libero, e l’accesso a Internet per procedere all’installazione. L’autore dichiara che Kon-Boot non funziona con tablet o dispositivi Surface (su cui sono installati s.o. multipli) né su VM. Per Apple, invece, risultano supportati solo le versioni a 64bit, ma non i Mac OS X con M1 (per maggiori dettagli puoi consultare il portale ufficiale https://kon-boot.com)
Distribuito inizialmente con licenza freeware, con il passar degli anni è diventato un software commerciale, e nel momento in cui sto scrivendo viene venduto in due versioni: una con licenza personale, l’altra commerciale. Quella personale costa 27$ e funziona solo se il computer “target” utilizza un account locale. La seconda costa 75$ e funziona sia se il target utilizza un account locale che un account on-line. E non solo: è anche in grado di superare i controlli del Secure Boot, quindi si può evitare di doverlo disabilitare dal BIOS (cosa che invece è indispensabile fare con la licenza personale).
Nel momento in cui sto scrivendo questo articolo, per quanto riguarda Microsoft, Kon-Boot può essere utilizzato sui seguenti sistemi operativi: Windows 11, Windows 10, Windows 7 (Ultimate, Professional e Home Premium), Windows 8 e 8.1, Windows Vista (Business, Home Premium nonché Home Basic), e Windows XP per i s.o. client, mentre per i s.o. server su Windows Server 2016, Windows Server 2012, Windows Server 2008 (Enterprise, Datacenter, e Standard edition), Windows Server 2003 (Enterprise, Datacenter, e Standard edition).
Come funziona? Kon-Boot si avvale di un bootkit: si innesta in maniera occulta nella memoria del BIOS, modifica temporaneamente il kernel consentendo a chi lo usa – una volta riavviato il pc/server – di aggirare il classico processo di logon. Non elimina le password, né le recupera, “semplicemente” al successivo riavvio consente di accedere al sistema operativo pur non conoscendo le credenziali.
Dopo aver effettuato il pagamento si riceverà un’email contenente la licenza d’acquisto, e il link per effettuare il download del software:
il link e la licenza per scaricare e installare Kon-Boot arrivano via email
Nello stesso messaggio vengono riportate anche le indicazioni per disattivare l’antivirus nonché delle URL che puntano ad alcuni pratici tutorial. Prima di scaricare Kon-Boot, tuttavia, è fondamentale disattivare l’antivirus poiché potrebbe catalogare l’utility come una minaccia informatica e bloccarla. Una volta terminato il download, occorre scompattare il pacchetto inserendo la licenza nell’apposito box, e accettare i termini di utilizzo. Occorre poi indicare al software dove salvare i file, e portare al termine l’estrazione seguendo le poche indicazioni mostrate nel video. Conclusa l’installazione, si aprirà la pagina principale del programma.
schermata principale di Kon-Boot, da cui è possibile creare una pendrive con supporto EFI
A questo punto bisognerà inserire la chiavetta in una porta USB, selezionare l’unità dal menù a tendina “Available USB drives”: ora digita l’indirizzo email utilizzato per il pagamento/download nel box contrassegnato con E-MAIL, e il codice di licenza in TXID. Infine fai click su “Install to USB stick”, attendi qualche minuto, e un messaggio ti avviserà che l’installazione sarà andata a buon fine.
Bypassare il logon Tenendo presente che con la licenza commerciale, per accedere, non si ha necessità di disabilitare alcunché, descriverò adesso la mia esperienza con la licenza personale: occorre inserire la chiavetta USB (che hai preparato in precedenza) nella porta USB del tuo target e riavviare il sistema. Accedi ora al BIOS facendo ripetutamente click su uno dei tasti (o sulla combinazione di tasti previsti dal BIOS del tuo pc/notebook/server) deputati allo scopo. Una volta entrato nel BIOS, nell’ordine d’avvio del sistema imposta al primo posto l’unità che identifica la porta USB in cui hai inserito la chiavetta, e assicurati di disabilitare il Secure Boot dalla sezione Boot. Infine, premi il tasto F10 e salva le modifiche.
Riavvia ancora il sistema e segui le istruzioni a video:
Pochi secondi, e il PC si avvierà consentendoti di accedere senza chiederti la password.
Per tornare all’uso normale (ossia ripristinando la maschera di logon in cui di norma vengono chieste delle credenziali per proseguire), invece, rimuovi la chiavetta dal computer e riavvia. Tutto sarà come prima, senza tracce evidenti (a parte alcuni log nell’Event Viewer di Windows…comunque eliminabili una volta che si è acceduto).
Come difendersi? La facilità con cui un attacker può manomettere un pc o un server grazie a Kon-Boot è disarmante, soprattutto considerando il fatto che con la versione commerciale non si ha neanche necessità di dover accedere al BIOS per effettuare la disabilitazione del Secure Boot (almeno fino alla versione 3.5, Kon-Boot è in grado di bypassare anche il meccanismo di protezione). Dunque, che fare? Impostare una password d’accesso al BIOS in modo da impedire all’attacker di accedervi (o quantomeno facendogli perdere molto tempo, con il rischio che venga scoperto) e modificare la configurazione, ma soprattutto installare un software crittografico come ad esempio BitLocker, VeraCrypt o FileVault in grado di impedire accessi non autorizzati ai file sul dispositivo, cifrandone il contenuto, e quindi impedendo di fatto all’attacker di poter leggere (perlomeno in chiaro, ossia per riuscirci dovrebbe prima portare a buon fine una crittoanalisi…non sempre un’attività scontata) e alterare i file.
Dstike Deauther Watch (giunto alla versione 3 nel momento in cui sto scrivendo) è semplice da usare ma decisamente versatile. Al suo interno c’è un ESP8266, un chip wi-fi economico ma usato in svariata tecnologia IoT. A cosa serve? A “sganciare” qualsiasi dispositivo collegato a una rete wi-fi che trasmetta su di una frequenza pari a 2,4 GHz. Dstike non è un jammer: un jammer funziona generando un sacco di rumore wi-fi indiscriminato, che può interferire con i servizi di emergenza nonché con altre reti e/o dispositivi nel suo raggio d’azione, viceversa, dispositivi come Dstike operano generando frame di deautenticazione per imporre a un dispositivo “target” la disconnessione da una certa rete wi-fi. In pratica è possibile disconnettere lo smartphone, la videocamera di sorveglianza o il portatile di qualcuno dalla rete wi-fi a cui è agganciato.
Con questo comodo gadget da polso è possibile sferrare anche attacchi beacon creando access point spia con nomi a nostra scelta, piuttosto che un attacco sonda (“probe attack”) utilizzabile per confondere i tracker wi-fi. Consente di monitorare il traffico wireless e, naturalmente, monta anche un orologio (sincronizzabile tramite protocollo NTP) nonché un puntatore laser. Come tutti i chip ESP8266, puoi anche fargli eseguire altre applicazioni se ti interessa riprogrammarlo o personalizzarlo. Vale la pena notare, tuttavia, che il chip ESP8266 funziona solo su reti wireless a 2,4 GHz, quindi Dstike non rappresenta una minaccia per reti a 5Ghz.
L’obiettivo dichiarato dei progettisti di Dstike è portare l’attenzione su di una vulnerabilità nelle implementazioni wi-fi (molti produttori, infatti, non aderiscono pienamente agli standard wireless IEEE 802.11W 2009 né a quello 2021, immuni da questa vulnerabilità), ma al tempo stesso offrire anche uno strumento per testare agevolmente reti a 2,4 GHz. I router più recenti generalmente hanno firmware aggiornati contro questa minaccia, implementando nativamente una funzione chiamata PMF (Protected Management Frames), tuttavia molte aziende e organizzazioni utilizzano ancora dispositivi vecchi o con firmware non aggiornati: uno strumento come Deauther potrebbe essere utilizzato per spostare un obiettivo da una rete legittima (attestata su di uno qualunque dei canali wi-fi (1-14)) su di una rete controllata dall’attacker (fake AP) così da ingannare gli utenti sfruttando un attacco MiTM per catturare le credenziali delle loro connessioni.
Sono reperibili molte informazioni nel wiki del progetto, nonché videoclip on-line che spiegano come configurarlo. E poiché l’orologio è solo un involucro per nascondere ed usare il chip all’occorrenza, questo è probabilmente uno degli strumenti di hacking wi-fi più accessibili. Oltre allo schermo OLED, Dstike Deauther dispone di un’interfaccia web che è possibile utilizzare per connettersi tramite smartphone o PC.
Non c’è nulla di veramente innovativo in Dstike Deauther, tant’é che esegue solamente uno script che teoricamente si può inserire su qualsiasi scheda ESP8266 (che si può acquistare con circa €3 da Amazon o AliExpress), ma indubbiamente la comodità di poter girovagare in prossimità di aziende, di università, di ospedali e stazioni aeroportuali o comunque di qualsivoglia utenza aziendale o domestica (che ovviamente faccia uso di wi-fi!) con un (apparente) orologio da polso in grado di incasinare la WLAN, lascia intravedere tutti i possibili scenari di compromissione.
Caro lettore, il firmware del tuo router e/o del tuo access point è aggiornato? Sei consapevole della (in)sicurezza della tua rete wi-fi? Nessuno ti ha mai parlato degli indubbi vantaggi di sicurezza informatica nell’uso del protocollo IEEE 802.1X? Ma soprattutto, hanno mai messo alla prova la tua rete wi-fi con un Vulnerability assessment strutturale? Libero.it qualche anno fa ha subito un pesante data breach (ed è stata multata poiché non aveva provveduto a notificare tempestivamente l’incidente informatico entro le 72 ore dal rilevamento, come invece prevede la normativa GDPR) proprio a seguito di un’intrusione nella sua rete wi-fi.
dmzware.com 