Manca poco (8 aprile 2025) al rilascio di un innovativo software gratuito per applicare crittografia moderna: OpenSSL 3.5.
Per la prima volta un’intera gamma di applicazioni, inclusi i web server, saranno in grado di utilizzare PQC (Post Quantum Cryptography) e quindi di migliorare la Cybersecurity del settore nonché dei servizi erogati. OpenSSL è la libreria globalmente più utilizzata per cifrare file e stream, e appunto dalla versione 3.5 supporterà la sostituzione del protocollo crittografico ECDH con ML-KEM nonché degli algoritmi RSA ed ECDSA con ML-DSA.
L’integrazione più interessante per lo scambio di chiavi sarà quella di poter utilizzare un metodo ibrido, come ML-KEM-X25519, il quale utilizza sia X25519 (con curve ellittiche) che ML-KEM per creare la chiave. Dalla versione 3.5 in avanti ci sarà anche la possibilità di applicare metodi di firma digitale ibridi, come ML-DSA-Ed25519.
Mandiant ha recentemente rilasciato CAPA Explorer, una GUI (un’interfaccia grafica) per esplorare i risultati estratti da CAPA.
CAPA è un software FOSS utilizzato per velocizzare il processo di identificazione delle capacità di possibili malware, mappandole avvalendosi delle matrici MITRE ATT&CK e MBC 🔍
L’aspetto interessante è che adesso è possibile analizzare e scorrere tra i risultati usando appunto una comoda interfaccia grafica! 🖥️
CAPA, a sua volta, utilizza un insieme di regole per riconoscere i comportamenti specifici (pattern o capability) di un programma eseguibile. Le regole, che possono anche essere personalizzate dall’analista, descrivono azioni tipiche dei malware come (ad esempio): – capacità (capability) di comunicazione con un server esterno: questo potrebbe indicare che il malware sta cercando di inviare dati rubati o di ricevere nuove istruzioni. – capacità (capability) di cifrare o decifrare dati: la crittografia viene spesso utilizzata dai malware per occultare le proprie attività o per azioni estorsive (ransomware) – capacità (capability) di modificare il registro di sistema: moltissimi malware modificano il Registry di Windows per rimanere persistenti nel sistema o per disabilitare le difese di sicurezza. – Capacità (capability) di eseguire codice arbitrario: la capacità più insidiosa a fronte di un’infezione, in quanto permette al malware di eseguire qualsiasi azione sul sistema infetto, come se fosse eseguita da un sysadmin.
Un esempio dell’utilizzo di capa applicato ad un eseguibile
Concludendo, se come me ti occupi di Cybersecurity dovresti quantomeno valutare il suo utilizzo poiché: -> velocizza il processo di analisi dei malware: CAPA può analizzare rapidamente un gran numero di campioni di malware, identificando le loro funzionalità principali, ergo aiutando gli analisti InfoSec a concentrarsi sulle parti più insidiose del malware in esame -> facilita la condivisione delle informazioni: CAPA utilizza un formato di regole condivisibili, che permette alla comunità di ricercatori di malware e agli analisti di collaborare e di creare un database sempre più ricco di comportamenti e pattern malevoli -> è integrabile con i più diffusi software di reverse engineering (Ghidra, IDA, Binary Ninja)
Un esempio di utilizzo della GUI di CAPA, CAPA Explorer, applicato ad un malware per architetture x64
Prossimamente (data da destinarsi), un paio di post integrativi al presente articolo su: -> come creare regole in CAPA -> come integrare CAPA in un workflow di analisi malware
Più che interessante lettura estiva…direi doverosa per tutti coloro interessati alla malware analysis.
Sono rimasto affascinato da questo libro di Zhassulan Zhussupov: seguo l’autore da un po’ su Twitter, e onestamente posso dire che questo volume non solo ha soddisfatto, ma che ha superato le mie aspettative con la sua ricchezza di contenuti nonché di applicazioni pratiche.
Testo fondamentale per qualsiasi professionista operativo nel mondo della Cybersecurity e che desideri approfondire la propria comprensione degli attuali malware, in esso l’autore discute e mostra tecniche avanzate di persistenza (APT) ed evasione dei malware in modo chiaro e dettagliato, integrando esempi pratici di codice di facile lettura (a patto che si abbia un minimo di basi di programmazione a basso livello tramite Python e C/C++) che trasforma la teoria complessa in un apprendimento accessibile e coinvolgente.
I capitoli dedicati agli APT, alle tecniche anti debugging e agli algoritmi matematici per cifrare i payload dei malware sono tra i miei preferiti, poiché offrono approfondimenti dettagliati difficili da trovare in altre pubblicazioni. Interessante il collegamento tra APT e cybercrime, che fornisce considerazioni e spunti di riflessione tali da evidenziare la complessità e le sinergie operative tra i malware e le moderne minacce informatiche in un modo che altri testi (almeno tra quelli da me studiati fino ad oggi) non fanno.
L’autore discute più di 100 esempi di malware, del resto è tra coloro che alimentano il noto portale Malpedia.
Bollettini di sicurezza informatica (CVE) riguardanti vulnerabilità intrinseche in VPN realizzabili tramite appliance (Fortinet, PAN, CheckPoint, Cisco) piuttosto che tramite software di terze parti (vedi Ivanti) tra il 2023 e il 28 maggio 2024: spaventoso.
Le versioni del noto software PuTTY dalla 0.68 alla 0.80 (inclusa) presentano una vulnerabilità critica nella parte di codice che genera firme dalle chiavi private ECDSA che utilizzano la curva NIST P521 (PuTTY, o Pageant, genera una firma digitale da una chiave quando la usi per autenticarti su di un server SSH).
A questa vulnerabilità è stato assegnato il CVE-2024-31497. La vulnerabilità è stata scoperta da Fabian Bäumer e Marcus Brinkmann, dell’Università della Ruhr di Bochum (è disponibile un loro articolo sulla mailing list oss-security), in Germania.
L’effetto della vulnerabilità è quello di consentire la compromissione della chiave privata. Un attacker o un utente malintenzionato in possesso di alcune dozzine di messaggi firmati (e della chiave pubblica) ha informazioni sufficienti per recuperare la chiave privata e quindi falsificare le firme come se provenissero da te, consentendogli (ad esempio) di accedere a qualsiasi server in cui utilizzi quella chiave per autenticarti. Per ottenere queste firme, l’attacker deve solo compromettere brevemente un qualsiasi server su cui si utilizza la chiave per autenticarsi, oppure ottenere momentaneamente l’accesso a una copia di Pageant che detiene la chiave (tuttavia, queste firme non sono esposte agli sniffer passivi delle connessioni SSH…).
Pertanto, se disponi di una chiave di questo tipo, i crittoanalisti consigliano di revocarla immediatamente: rimuovi la vecchia chiave pubblica da tutti i file Authorized_keys di OpenSSH e l’equivalente negli altri server SSH, in modo che una firma della chiave compromessa non abbia più valore. Genera quindi una nuova coppia di chiavi per sostituirla. (il problema non riguarda il modo in cui la chiave è stata generata; non importa se proviene da PuTTYgen o da qualche altra parte: ciò che conta è se è stata mai utilizzata con PuTTY o Pageant).
La buona notizia: l’unico tipo di chiave crittografica inficiata da CVE-2024-31497 è l’ECDSA a 521 bit. Cioè una chiave che in Windows PuTTYgen si presenta come ecdsa-sha2-nistp521 all’inizio della casella “Impronta digitale chiave”, oppure come NIST p521 quando viene caricata in Windows Pageant, oppure ha un ID che inizia con ecdsa-sha2- nistp521 nel protocollo SSH o nel file della chiave. Altre dimensioni dell’ECDSA e altri algoritmi chiave non sono coinvolti dalla vulnerabilità, in particolare, non è coinvolto lo schema di firma Ed25519.
…che permette, in maniera estremamente compatta e ad un prezzo interessante, di: ✅️ monitorare il traffico di rete ✅️ esfiltrare dati ✅️ stabilire connessioni VPN ✅️ avviare reverse shell ✅️ sniffare pacchetti ✅️ effettuare spoofing DNS ✅️ accedere alla shell tramite root
Dispone di un interruttore con 4 posizioni: ognuna di esse rappresenta una modalità operativa configurabile attraverso uno specifico script. È conoscendo anche strumenti come questo che possiamo migliorare la nostra Cybersecurity Posture (nostra e quella dei nostri clienti): come al solito, restiamo vigili e teniamo gli occhi aperti.
Grazie a una dashboard aggiornata periodicamente, con la piattaforma RansomFeed è possibile farsi un’idea delle rivendicazioni effettuate dalle cybergang che sfruttano attacchi informatici basati su ransomware. È possibile filtrare per paese e per altri parametri, venendo quindi a conoscenza anche dei nominativi delle aziende ed organizzazioni (anche italiane!) che ne sono rimaste vittime.
Esplorando la piattaforma, è possibile notare anche nomi di prestigiosi gruppi bancari… Ransomfeed mette a disposizione gratuitamente un canale RSS con cui è possibile rimanere aggiornati sulle rivendicazioni pubbliche.
P.S.: A discapito di quanto pubblicizzano i media, ovviamente la piattaforma non elenca assolutamente tutte le vittime colpite, né storicamente né al presente… anche perché le vittime in essere potrebbero optare (come troppo spesso accade) di cedere al ricatto della cybergang di turno, pagando alla chetichella in Bitcoin pur di ottenere la chiave privata che occorre per il ripristino dei loro dati e sistemi (così da non finire né sulle pagine dei quotidiani, né appunto su portali come lo stesso RansomFeed, ma soprattutto per riprendere velocemente la loro operatività).
Tetra è il nome di uno standard europeo per un sistema radio mobile professionale specificamente progettato per essere utilizzato da agenzie governative, servizi di emergenza (forze di polizia, vigili del fuoco, ambulanze ecc..) in reti di pubblica sicurezza, in radio ferroviarie e servizi di trasporto civili e militari, in uso ai relativi operatori comunicanti giorno e notte.
La maggior parte della gente che conosco (mi riferisco ai non addetti ai lavori del mondo InfoSec) non ha mai sentito parlare di TETRA (acronimo di TErrestrial Trunked RAdio): lo standard regola infatti il modo in cui le radio e i walkie-talkie utilizzati dalla stragrande maggioranza delle forze pubbliche in tutto il mondo gestisce le comunicazioni critiche (voce e dati!).
TETRA è stato sviluppato negli anni ’90 dall’Istituto Europeo per gli Standard di Telecomunicazione (ETSI) ed è utilizzato nelle radio prodotte da Motorola, Damm, Hytera e altri vendor TLC, ma i difetti dello standard sono rimasti sconosciuti per decenni poiché i dettagli dei quattro algoritmi crittografici impiegati in TETRA (noti come TEA1, TEA2, TEA3 e TEA4) sono stati tenuti segreti al pubblico: o meglio, lo standard è pubblico, ma gli algoritmi di crittografia utilizzati non lo sono. Solo i produttori di radio e tutti coloro che firmano un rigoroso NDA possono conoscerli.
Ora il fatto increscioso: tre ricercatori di Sicurezza Informatica – Carlo Meijer, Wouter Bokslag e Jos Wetzels – della società olandese Midnight Blue – affermano che TETRA è una delle poche tecnologie rimaste in quest’area che utilizza ancora crittografia proprietaria tenuta segreta. Mantenere segreti gli algoritmi è dannoso per la sicurezza nazionale e pubblica, sostengono, poiché impedisce ai ricercatori InfoSec e ai crittoanalisti di esaminare il codice per scoprire eventuali falle, in modo che possano essere sistemate. A causa della (incoscente) convinzione di molti progettisti che mantenere segreti gli algoritmi crittografici impiegati prevenga automaticamente intercettazioni e abusi – storico approccio ingegneristico che va sotto il nome di Security through Obscurity – gli attori intenti a trovare bug e vulnerabilità per mestiere (come le agenzie di Intelligence o i gruppi di cyber criminali dotati di risorse adeguate) sono liberi di sfruttarli senza impedimenti, mentre gli utenti rimangono non protetti e potenzialmente spiati.
Grafico prodotto dai ricercatori di Midnight Blue che mostra i paesi nel mondo in cui le forze di polizia utilizzano lo standard TETRA per le loro comunicazioni radio.
I ricercatori hanno dunque scoperto molteplici vulnerabilità nella crittografia sottostante TETRA nonché nella sua implementazione, inclusi problemi che consentono la decifratura del traffico: hanno scovato quella che credono sia una backdoor intenzionale nelle radio cifranti utilizzate dalla polizia, dai militari e da enti diInfrastrutture critiche in tutto il mondo. Secondo i ricercatori la backdoor potrebbe esistere da decenni, potenzialmente esponendo a intercettazioni abusive un’infinità di segreti industriali e governativi (!!!), nonché dati personali e informazioni sensibili trasmesse attraverso le radio.
Mentre i ricercatori hanno etichettato la loro scoperta come una vera e propria backdoor, l’organizzazione responsabile del mantenimento dello standard si oppone a questo termine (gravissimo se fosse vero!) specifico, e afferma che lo standard è stato progettato per i controlli sulle esportazioni che regolamentano la robustezza della crittografia adottata. Lo stato dell’arte attuale, tuttavia, è quello di radio e ricetrasmittenti che emettono e ricevono traffico vocale e traffico di rete che può essere decifrato in meno di un minuto utilizzando hardware di consumo come un normale laptop, come gli esperti di Midnight Blue mostrano nel seguente video:
“Non c’è altro modo in cui si possa definire, se non che trattasi di una backdoor intenzionale,” ha dichiarato a Motherboard in una telefonata Jos Wetzels, uno dei ricercatori della società di sicurezza informatica Midnight Blue.
Tale ricerca è la prima analisi pubblica e approfondita dello standard TETRA negli oltre 20 anni della sua esistenza: non tutti gli utenti delle radio che utilizzano TETRA sfruttano lo specifico algoritmo di crittografia TEA1, inficiato dalla backdoor. TEA1, infatti, fa parte dello standard TETRA approvato per l’esportazione in altri paesi, ma i ricercatori hanno scoperto ulteriori molteplici vulnerabilità in TETRA che potrebbero consentire la decifratura delle comunicazioni e la deanonimizzazione.
A onor del vero, tuttavia, la vulnerabilità scoperta da Midnight Blue sembrava già nota ai circoli di Intelligence, come dimostra questo articolo di WikiLeaks.org nel famoso dump del 2006 delle comunicazioni diplomatiche statunitensi, in cui si legge a chiare lettere che una multinazionale italiana voleva vendere dei sistemi TETRA a due forze di polizia iraniane, ma che il governo degli Stati Uniti abbia espresso la propria opposizione al trasferimento tecnologico, ricevendo tuttavia rassicurazioni dalla multinazionale sul fatto che gli apparati venduti avrebbero avuto una chiave crittografica lunga meno di 40 bit. Anche alcune delle informazioni classificate rivelate da Edward Snowden indicano che i servizi segreti britannici hanno intercettato comunicazioni TETRA in Argentina tra il 2006 e il 2011.
Nel frattempo che questa débâcle tecnologica produca tempestivamente (si spera) una patch crittografica per le librerie usate dalle cifranti TETRA in tutto il mondo (e nel frattempo che i progettisti di soluzioni crittografiche ripassino attentamente i principi di quel grande che fu Auguste Kerckhoffs, o, se preferite un crittoanalista più recente, che ripassino la massima sintetizzata da Claude Shannon: “Il nemico conosce il Sistema”), caro lettore, per il tuo bene (e per quello dei tuoi cari e/o della tua azienda) passa anche tu a Signal! È un’App cifrantegratuita e semplice da utilizzare, più sicura rispetto a WhatsApp.
Hai dimenticato le credenziali per accedere al tuo sistema operativo Windows oppure al tuo Mac OS X? Niente paura con Kon-Boot!
Kon-Boot è un software in grado di bypassare il logon di sistemi operativi Microsoft e Mac OS X. La prima versione risale al lontano 2008, ma nel corso dei decenni il software si è evoluto.
Per l’uso di Kon-Boot è necessaria una pendrive con almeno 16GB di spazio libero, e l’accesso a Internet per procedere all’installazione. L’autore dichiara che Kon-Boot non funziona con tablet o dispositivi Surface (su cui sono installati s.o. multipli) né su VM. Per Apple, invece, risultano supportati solo le versioni a 64bit, ma non i Mac OS X con M1 (per maggiori dettagli puoi consultare il portale ufficiale https://kon-boot.com)
Distribuito inizialmente con licenza freeware, con il passar degli anni è diventato un software commerciale, e nel momento in cui sto scrivendo viene venduto in due versioni: una con licenza personale, l’altra commerciale. Quella personale costa 27$ e funziona solo se il computer “target” utilizza un account locale. La seconda costa 75$ e funziona sia se il target utilizza un account locale che un account on-line. E non solo: è anche in grado di superare i controlli del Secure Boot, quindi si può evitare di doverlo disabilitare dal BIOS (cosa che invece è indispensabile fare con la licenza personale).
Nel momento in cui sto scrivendo questo articolo, per quanto riguarda Microsoft, Kon-Boot può essere utilizzato sui seguenti sistemi operativi: Windows 11, Windows 10, Windows 7 (Ultimate, Professional e Home Premium), Windows 8 e 8.1, Windows Vista (Business, Home Premium nonché Home Basic), e Windows XP per i s.o. client, mentre per i s.o. server su Windows Server 2016, Windows Server 2012, Windows Server 2008 (Enterprise, Datacenter, e Standard edition), Windows Server 2003 (Enterprise, Datacenter, e Standard edition).
Come funziona? Kon-Boot si avvale di un bootkit: si innesta in maniera occulta nella memoria del BIOS, modifica temporaneamente il kernel consentendo a chi lo usa – una volta riavviato il pc/server – di aggirare il classico processo di logon. Non elimina le password, né le recupera, “semplicemente” al successivo riavvio consente di accedere al sistema operativo pur non conoscendo le credenziali.
Dopo aver effettuato il pagamento si riceverà un’email contenente la licenza d’acquisto, e il link per effettuare il download del software:
il link e la licenza per scaricare e installare Kon-Boot arrivano via email
Nello stesso messaggio vengono riportate anche le indicazioni per disattivare l’antivirus nonché delle URL che puntano ad alcuni pratici tutorial. Prima di scaricare Kon-Boot, tuttavia, è fondamentale disattivare l’antivirus poiché potrebbe catalogare l’utility come una minaccia informatica e bloccarla. Una volta terminato il download, occorre scompattare il pacchetto inserendo la licenza nell’apposito box, e accettare i termini di utilizzo. Occorre poi indicare al software dove salvare i file, e portare al termine l’estrazione seguendo le poche indicazioni mostrate nel video. Conclusa l’installazione, si aprirà la pagina principale del programma.
schermata principale di Kon-Boot, da cui è possibile creare una pendrive con supporto EFI
A questo punto bisognerà inserire la chiavetta in una porta USB, selezionare l’unità dal menù a tendina “Available USB drives”: ora digita l’indirizzo email utilizzato per il pagamento/download nel box contrassegnato con E-MAIL, e il codice di licenza in TXID. Infine fai click su “Install to USB stick”, attendi qualche minuto, e un messaggio ti avviserà che l’installazione sarà andata a buon fine.
Bypassare il logon Tenendo presente che con la licenza commerciale, per accedere, non si ha necessità di disabilitare alcunché, descriverò adesso la mia esperienza con la licenza personale: occorre inserire la chiavetta USB (che hai preparato in precedenza) nella porta USB del tuo target e riavviare il sistema. Accedi ora al BIOS facendo ripetutamente click su uno dei tasti (o sulla combinazione di tasti previsti dal BIOS del tuo pc/notebook/server) deputati allo scopo. Una volta entrato nel BIOS, nell’ordine d’avvio del sistema imposta al primo posto l’unità che identifica la porta USB in cui hai inserito la chiavetta, e assicurati di disabilitare il Secure Boot dalla sezione Boot. Infine, premi il tasto F10 e salva le modifiche.
Riavvia ancora il sistema e segui le istruzioni a video:
Pochi secondi, e il PC si avvierà consentendoti di accedere senza chiederti la password.
Per tornare all’uso normale (ossia ripristinando la maschera di logon in cui di norma vengono chieste delle credenziali per proseguire), invece, rimuovi la chiavetta dal computer e riavvia. Tutto sarà come prima, senza tracce evidenti (a parte alcuni log nell’Event Viewer di Windows…comunque eliminabili una volta che si è acceduto).
Come difendersi? La facilità con cui un attacker può manomettere un pc o un server grazie a Kon-Boot è disarmante, soprattutto considerando il fatto che con la versione commerciale non si ha neanche necessità di dover accedere al BIOS per effettuare la disabilitazione del Secure Boot (almeno fino alla versione 3.5, Kon-Boot è in grado di bypassare anche il meccanismo di protezione). Dunque, che fare? Impostare una password d’accesso al BIOS in modo da impedire all’attacker di accedervi (o quantomeno facendogli perdere molto tempo, con il rischio che venga scoperto) e modificare la configurazione, ma soprattutto installare un software crittografico come ad esempio BitLocker, VeraCrypt o FileVault in grado di impedire accessi non autorizzati ai file sul dispositivo, cifrandone il contenuto, e quindi impedendo di fatto all’attacker di poter leggere (perlomeno in chiaro, ossia per riuscirci dovrebbe prima portare a buon fine una crittoanalisi…non sempre un’attività scontata) e alterare i file.
dmzware.com 