L’attacco è avvenuto a febbraio 2023, due settimane dopo che il governo russo ha messo fuori legge Meduza per la sua copertura critica del regime di Vladimir Putin e della guerra in Ucraina. Meduza ha trasferito il suo ufficio in Lettonia nel 2014, e da allora le persone che vivono in Russia possono accedere al suo portale web solo tramite connessioni in VPN. Meduza si presenta come uno dei pochi media russi indipendenti la cui copertura rimane libera dal controllo o dalla censura del Cremlino.
All’inizio di giugno, Timchenko ha ricevuto una notifica da Apple secondo cui il suo smartphone potrebbe essere stato un bersaglio di gruppi hacker finanziati dallo stato (APT). Timchenko non ha prestato molta attenzione a questo avvertimento poiché, secondo un rapporto pubblicato da Meduza, le autorità russe cercavano da anni di hackerare o interrompere l’infrastruttura della sua redazione, senza mai riuscirvi; tuttavia, Access Now, e Citizen Lab (un’organizzazione no-profit che difende i diritti digitali) dell’Università di Toronto hanno scoperto che l’iPhone di Timchenko è stato infettato dallo spyware Pegasus: questo malware può accedere a chiamate, messaggi e foto (e registrare il tutto, inviando il materiale su server remoti), attivare in maniera silente la fotocamera e il microfono del dispositivo, nonché tracciare la posizione dello smartphone.
“Non sono sicura di cosa abbiano potuto trovare sul mio dispositivo gli autori di Pegasus”, ha riferito Timchenko ad Access Now, e ancora, “Ho definito limiti molto rigidi tra la mia vita digitale e reale molto tempo fa”. Timchenko ha dichiarato di essere preoccupata soprattutto dalla possibilità che gli attacker possano aver avuto accesso alla sua lista contatti, il che sarebbe particolarmente rischioso se gli aggressori provenissero dalla Russia, “dove ogni cittadino può essere perseguitatoper aver collaborato con organizzazioni indesiderate.”
Formalmente Pegasus viene venduto esclusivamente ad agenzie governative, ma i ricercatori di Citizen Lab hanno affermato di non essere riusciti a identificare chi si nascondesse dietro l’attacco, e NSO Group non ha risposto a una richiesta di commento. Secondo Citizen Lab, non ci sono prove che il governo russo utilizzi Pegasus, tuttavia, è possibile che paesi con legami con la Russia, come Azerbaigian, Kazakistan o Uzbekistan, abbiano violato Meduza per conto del Cremlino. Inoltre, i ricercatori hanno affermato che la Lettonia o la Germania potrebbero essere coinvolte, poiché sono rispettivamente il luogo in cui si trova Meduza, e dove il telefono di Timchenko è stato infettato.
Una precedente ricerca di Access Now ha rivelato che Pegasus è stato utilizzato per prendere di mira giornalisti, attivisti, funzionari governativi e civili armeni durante la guerra tra Armenia e Azerbaigian nella regione contesa del Nagorno-Karabakh. Secondo Citizen Lab non ci sono prove che l’Azerbaigian o il Kazakistan abbiano preso di mira persone in Germania, Lettonia o altri paesi dell’Unione Europa.
Dopo aver confermato l’infezione da Pegasus sullo smartphone di Timchenko, la direttrice di Meduza ha indetto una riunione di emergenza nei suoi uffici. “Eravamo tutti terrorizzati ma facevamo finta di niente”, ha dichiarato il capo della divisione tecnica di Meduza, il cui nome è tenuto segreto per ragioni di sicurezza. Meduza ha riferito che Timchenko ha cercato di “riderci sopra”, ma alla fine è scoppiata in lacrime. “Mi sentivo già come se fossi stata spogliata nuda nella piazza della città. Come se qualcuno mi avesse messo la mani in tasca. Come se in qualche modo fossi sporca. Volevo lavarmi le mani”, ha affermato.
Secondo i ricercatori è estremamente difficile impedire a Pegasus di infettare qualsiasi dispositivo preso di mira che esegua anche una singola applicazione vulnerabile, anche tra quelle preinstallate dalla Apple stessa. L’analisi di Citizen Lab sostiene che gli aggressori probabilmente sono entrati nell’iPhone di Timchenko attraverso un exploit zero-click in HomeKit e iMessage: un exploit zero-click consente ad un aggressore di compromettere un dispositivo o un sistema senza necessità alcuna di interagire con l’utente.
Secondo Meduza, Timchenko non aveva motivo di sospettare che ci fosse qualcosa che non andava nel suo iPhone, tranne nei momenti in cui lo smartphne risultava più caldo del solito, cosa che lei attribuiva (ingenuamente) al suo nuovo caricabatterie. Mercoledì, il caporedattore di Meduza, Ivan Kolpakov, ha rilasciato una dichiarazione in russo affermando che l’attacco hacker a Timchenko dimostra che i giornalisti russi in esilio “non possono sentirsi sicuri nemmeno in Europa”.
“I giornalisti indipendenti provenienti dalla Russia e da altre nazioni potrebbero sentirsi in trappola, affrontando la pressione sia dei loro stessi governi e dei loro sistemi di spionaggio, sia delle agenzie di Intelligence dei paesi in cui cercano rifugio”, ha detto Kolpakov. Secondo Kolpakov, Meduza e i suoi giornalisti sono costantemente minacciati da spie sia nel mondo fisico che nello spazio digitale. Sin dai primi giorni di Meduza, gli hacker sponsorizzati dallo stato russo l’hanno costantemente preso di mira con attacchi DDoS, e-mail di phishing e attacchi informatici mirati alla sua applicazione mobile.
“Ci intimidiscono e cercano di farci pensare solo alla nostra sicurezza e non al nostro lavoro”, ha dichiarato Kolpakov.
Toyota, uno dei più grandi produttori di auto al mondo, pochi giorni fa ha subito un fermo produzione non banale in 12 su 14 delle sue fabbriche in Giappone, fermo macchina che ha causato la mancata fabbricazione di circa 13.000 veicoli. Un attacco hacker andato a segno? Forse un ransomware? Nulla di tutto questo: è bastata una manutenzione programmata di alcuni database server, su cui tuttavia in quel momento non era disponibile sufficiente spazio disco. Questo tipo di incidenti informatici (contrariamente a quanto pensa il mainstream, la Cybersecurity non ha solo a che fare con gli hacker o i malware) dimostra la complessità delle connessioni tra i vari sistemi operativi e dispositivi, le diverse e numerose procedure operative da non trascurare, l’importanza fondamentale del monitoraggio dei sistemi e dei servizi ICT, la serietà con cui andrebbe effettuato il testing dei processi di backup e delle connessioni ridondate, le potenziali conseguenze sul piano tecnico ed economico di un incidente generato evidentemente dalla negligenza.
Investire in Sicurezza Informatica vuol dire anche investire in sistemi di monitoraggio, vuol dire prevenire potenziali incidenti informatici di questo e di altro tipo. L’incidente della Toyota evidenzia almeno due aspetti su cui riflettere: il primo è che pur essendo una solida Industria 4.0 (come Toyota e altri colossi del settore), storici e banali incidenti informatici (banali nelle cause tecniche, ma non nelle conseguenze) di questo tipo posso comunque capitare se i sistemisti di turno non vigilano a sufficienza su allarmi e sensori; il secondo, è che pur investendo in costosi software commerciali (come verosimilmente avrà fatto Toyota) questi problemi possono comunque sorgere se il progettista, il sysadmin o il dirigente di turno non ha pensato bene (o addirittura non ha mai più di tanto immaginato!) agli scenari di fault (un sottoinsieme della Cyber threat modeling) e alle cause che possono generarli…ergo, è sempre l’ingegno dell’Uomo unito alla nostra attenzione che fa la differenza, è sempre la nostra capacità di immaginare le opportunità tecnologiche piuttosto che le potenziali minacce informatiche nei contesti più disparati che può fare la differenza tra un incidente informatico e una serena continuità di servizio, non lo strumento adottato in sé.
Nagios e CACTI sono due eccellenti software di monitoraggio sistemistico, molto utili a tal fine, peraltro Open Source. Certo non sono gli unici, ma ne garantisco la loro efficacia.
E tu, cosa utilizzi come sistema di monitoraggio, e cosa come sistema di backup? Li testi entrambi periodicamente? Ne effettui il monitoraggio H24 con procedure a prova di fault, magari anche con l’ausilio di un SIEM?
Tetra è il nome di uno standard europeo per un sistema radio mobile professionale specificamente progettato per essere utilizzato da agenzie governative, servizi di emergenza (forze di polizia, vigili del fuoco, ambulanze ecc..) in reti di pubblica sicurezza, in radio ferroviarie e servizi di trasporto civili e militari, in uso ai relativi operatori comunicanti giorno e notte.
La maggior parte della gente che conosco (mi riferisco ai non addetti ai lavori del mondo InfoSec) non ha mai sentito parlare di TETRA (acronimo di TErrestrial Trunked RAdio): lo standard regola infatti il modo in cui le radio e i walkie-talkie utilizzati dalla stragrande maggioranza delle forze pubbliche in tutto il mondo gestisce le comunicazioni critiche (voce e dati!).
TETRA è stato sviluppato negli anni ’90 dall’Istituto Europeo per gli Standard di Telecomunicazione (ETSI) ed è utilizzato nelle radio prodotte da Motorola, Damm, Hytera e altri vendor TLC, ma i difetti dello standard sono rimasti sconosciuti per decenni poiché i dettagli dei quattro algoritmi crittografici impiegati in TETRA (noti come TEA1, TEA2, TEA3 e TEA4) sono stati tenuti segreti al pubblico: o meglio, lo standard è pubblico, ma gli algoritmi di crittografia utilizzati non lo sono. Solo i produttori di radio e tutti coloro che firmano un rigoroso NDA possono conoscerli.
Ora il fatto increscioso: tre ricercatori di Sicurezza Informatica – Carlo Meijer, Wouter Bokslag e Jos Wetzels – della società olandese Midnight Blue – affermano che TETRA è una delle poche tecnologie rimaste in quest’area che utilizza ancora crittografia proprietaria tenuta segreta. Mantenere segreti gli algoritmi è dannoso per la sicurezza nazionale e pubblica, sostengono, poiché impedisce ai ricercatori InfoSec e ai crittoanalisti di esaminare il codice per scoprire eventuali falle, in modo che possano essere sistemate. A causa della (incoscente) convinzione di molti progettisti che mantenere segreti gli algoritmi crittografici impiegati prevenga automaticamente intercettazioni e abusi – storico approccio ingegneristico che va sotto il nome di Security through Obscurity – gli attori intenti a trovare bug e vulnerabilità per mestiere (come le agenzie di Intelligence o i gruppi di cyber criminali dotati di risorse adeguate) sono liberi di sfruttarli senza impedimenti, mentre gli utenti rimangono non protetti e potenzialmente spiati.
Grafico prodotto dai ricercatori di Midnight Blue che mostra i paesi nel mondo in cui le forze di polizia utilizzano lo standard TETRA per le loro comunicazioni radio.
I ricercatori hanno dunque scoperto molteplici vulnerabilità nella crittografia sottostante TETRA nonché nella sua implementazione, inclusi problemi che consentono la decifratura del traffico: hanno scovato quella che credono sia una backdoor intenzionale nelle radio cifranti utilizzate dalla polizia, dai militari e da enti diInfrastrutture critiche in tutto il mondo. Secondo i ricercatori la backdoor potrebbe esistere da decenni, potenzialmente esponendo a intercettazioni abusive un’infinità di segreti industriali e governativi (!!!), nonché dati personali e informazioni sensibili trasmesse attraverso le radio.
Mentre i ricercatori hanno etichettato la loro scoperta come una vera e propria backdoor, l’organizzazione responsabile del mantenimento dello standard si oppone a questo termine (gravissimo se fosse vero!) specifico, e afferma che lo standard è stato progettato per i controlli sulle esportazioni che regolamentano la robustezza della crittografia adottata. Lo stato dell’arte attuale, tuttavia, è quello di radio e ricetrasmittenti che emettono e ricevono traffico vocale e traffico di rete che può essere decifrato in meno di un minuto utilizzando hardware di consumo come un normale laptop, come gli esperti di Midnight Blue mostrano nel seguente video:
“Non c’è altro modo in cui si possa definire, se non che trattasi di una backdoor intenzionale,” ha dichiarato a Motherboard in una telefonata Jos Wetzels, uno dei ricercatori della società di sicurezza informatica Midnight Blue.
Tale ricerca è la prima analisi pubblica e approfondita dello standard TETRA negli oltre 20 anni della sua esistenza: non tutti gli utenti delle radio che utilizzano TETRA sfruttano lo specifico algoritmo di crittografia TEA1, inficiato dalla backdoor. TEA1, infatti, fa parte dello standard TETRA approvato per l’esportazione in altri paesi, ma i ricercatori hanno scoperto ulteriori molteplici vulnerabilità in TETRA che potrebbero consentire la decifratura delle comunicazioni e la deanonimizzazione.
A onor del vero, tuttavia, la vulnerabilità scoperta da Midnight Blue sembrava già nota ai circoli di Intelligence, come dimostra questo articolo di WikiLeaks.org nel famoso dump del 2006 delle comunicazioni diplomatiche statunitensi, in cui si legge a chiare lettere che una multinazionale italiana voleva vendere dei sistemi TETRA a due forze di polizia iraniane, ma che il governo degli Stati Uniti abbia espresso la propria opposizione al trasferimento tecnologico, ricevendo tuttavia rassicurazioni dalla multinazionale sul fatto che gli apparati venduti avrebbero avuto una chiave crittografica lunga meno di 40 bit. Anche alcune delle informazioni classificate rivelate da Edward Snowden indicano che i servizi segreti britannici hanno intercettato comunicazioni TETRA in Argentina tra il 2006 e il 2011.
Nel frattempo che questa débâcle tecnologica produca tempestivamente (si spera) una patch crittografica per le librerie usate dalle cifranti TETRA in tutto il mondo (e nel frattempo che i progettisti di soluzioni crittografiche ripassino attentamente i principi di quel grande che fu Auguste Kerckhoffs, o, se preferite un crittoanalista più recente, che ripassino la massima sintetizzata da Claude Shannon: “Il nemico conosce il Sistema”), caro lettore, per il tuo bene (e per quello dei tuoi cari e/o della tua azienda) passa anche tu a Signal! È un’App cifrantegratuita e semplice da utilizzare, più sicura rispetto a WhatsApp.
Quasi tutte le aziende Enterprise utilizzano degli agent EDR (Endpoint Detection and Response) per monitorare dispositivi e sistemi nella propria rete ICT alla ricerca di segnali o evidenze di un attacco informatico, ma questo non significa necessariamente che ogni analista InfoSec, piuttosto che ogni sistemista, comprenda dalla A alla Z come funzionino effettivamente questi strumenti. Questo libro ha come focus centrale il mondo degli EDR, e capitolo dopo capitolo si apprende che un EDR non è una scatola magica perfetta, ma un’applicazione software (sicuramente non banale) programmata per interagire con pochi componenti essenziali che influenzano a loro volta il sistema operativo e le applicazioni.
L’autore del saggio – che si occupa da anni di Red Teaming – indaga su ciascuno dei componenti degli agent più comuni: ne discute gli scopi, ne illustra le implementazioni e mostra i modi in cui questi strumenti raccolgono dati dai sistemi operativi Microsoft. Oltre a divulgare la teoria alla base della progettazione degli EDR, vengono discusse anche strategie di evasione per aggirare i più comuni controlli effettuati dagli agent.
Perché vale la pena leggerlo? Per chi lavora già nell’ambito InfoSec è l’ennesima conferma che EDR / XDR / NDR e strumenti affini non sono affatto la panacea contro tutti i possibili attacchi informatici, e che vanno affiancati ad altri fondamentali strumenti del mestiere; per tutti gli altri lettori, questo testo apre gli occhi su una grande verità di cui forse si parla poco (e non a caso): anche gli strumenti di Cybersecurity si possono ingannare, violare, compromettere se i progettisti non fanno bene il loro dovere ingegneristico, e se gli agent non vengono testati in maniera approfondita prima di essere commercializzati.
L’interoperabilità tra il GDPR e gli standard internazionali ISO “dovrebbe” supportare la gestione dei processi del Titolare e del Responsabile del trattamento dei dati personali definendo capacità per integrare e armonizzare in maniera strutturata i requisiti del GDPR.
Valutando un po’ la questione sotto dei profili non solo teorici: 1) Approcci basati sul rischio: il GDPR richiede alle organizzazioni di valutare e gestire i rischi associati al trattamento dei dati personali. Le norme ISO come la ISO 31000 sulla gestione del rischio, e la ISO 29134 sulle PIA, possono fornire un quadro strutturato per identificare, valutare e trattare i rischi in modo sistemico.
2) Gestione dei processi: le norme ISO offrono metodologie e linee guida per la gestione dei processi aziendali. Ad esempio la ISO 9001 per la gestione della qualità, o la ISO 22301 per la continuità dei processi di business. Relativamente allo standard ISO 28590 per i campionamenti, l’interoperabilità può essere raggiunta incorporando tali metodologie nella Progettazione e nell’Implementazione dei processi aziendali per garantire che il trattamento dei dati personali sia effettuato in modo coerente, affidabile e conforme alle norme del GDPR.
3) Sicurezza delle Informazioni: l’art. 32(1) lett. b) del GDPR pone un’enfasi significativa nelle garanzie di Riservatezza, Disponibilità e Integrità dei dati personali, gli standard ISO 27001 e ISO 27002 forniscono un quadro completo per l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni, comunemente noto nel mercato italiano come SGSI (ISMS nel mondo anglofono).
4) Controlli e audit: le norme ISO come la ISO 19011 per gli audit dei Sistemi di Gestione, oppure la ISO/IEC 17021-1 per l’audit della Sicurezza delle Informazioni, forniscono orientamenti sulla conduzione di audit interni ed esterni. In buona sostanza, integrando le diverse norme ISO nel contesto del GDPR, i Titolari e i Responsabili dei trattamenti possono beneficiare di un quadro strutturato – e riconosciuto a livello europeo – per affrontare le sfide della Cybersecurity, ma chi di dovere dovrebbe conoscerle, e non solo a chiacchiere… e questa è tutta un’altra storia: prova ad esempio a chiedere al tuo consulente GDPR la differenza pratica dei rischi di Sicurezza Informatica legati all’eventualità di ritrovarsi una backdoor piuttosto che un rootkit nella rete informatica o nei sistemi operativi utilizzati dal cliente…e se non ti sa rispondere, o se pur di farfugliare qualcosa di vagamente sensato si affida a ChatGPT, per il tuo bene (e quello della tua organizzazione) trai tu stesso le conclusioni sull’affidabilità e la preparazione tecnica del tuo consulente.
Hai dimenticato le credenziali per accedere al tuo sistema operativo Windows oppure al tuo Mac OS X? Niente paura con Kon-Boot!
Kon-Boot è un software in grado di bypassare il logon di sistemi operativi Microsoft e Mac OS X. La prima versione risale al lontano 2008, ma nel corso dei decenni il software si è evoluto.
Per l’uso di Kon-Boot è necessaria una pendrive con almeno 16GB di spazio libero, e l’accesso a Internet per procedere all’installazione. L’autore dichiara che Kon-Boot non funziona con tablet o dispositivi Surface (su cui sono installati s.o. multipli) né su VM. Per Apple, invece, risultano supportati solo le versioni a 64bit, ma non i Mac OS X con M1 (per maggiori dettagli puoi consultare il portale ufficiale https://kon-boot.com)
Distribuito inizialmente con licenza freeware, con il passar degli anni è diventato un software commerciale, e nel momento in cui sto scrivendo viene venduto in due versioni: una con licenza personale, l’altra commerciale. Quella personale costa 27$ e funziona solo se il computer “target” utilizza un account locale. La seconda costa 75$ e funziona sia se il target utilizza un account locale che un account on-line. E non solo: è anche in grado di superare i controlli del Secure Boot, quindi si può evitare di doverlo disabilitare dal BIOS (cosa che invece è indispensabile fare con la licenza personale).
Nel momento in cui sto scrivendo questo articolo, per quanto riguarda Microsoft, Kon-Boot può essere utilizzato sui seguenti sistemi operativi: Windows 11, Windows 10, Windows 7 (Ultimate, Professional e Home Premium), Windows 8 e 8.1, Windows Vista (Business, Home Premium nonché Home Basic), e Windows XP per i s.o. client, mentre per i s.o. server su Windows Server 2016, Windows Server 2012, Windows Server 2008 (Enterprise, Datacenter, e Standard edition), Windows Server 2003 (Enterprise, Datacenter, e Standard edition).
Come funziona? Kon-Boot si avvale di un bootkit: si innesta in maniera occulta nella memoria del BIOS, modifica temporaneamente il kernel consentendo a chi lo usa – una volta riavviato il pc/server – di aggirare il classico processo di logon. Non elimina le password, né le recupera, “semplicemente” al successivo riavvio consente di accedere al sistema operativo pur non conoscendo le credenziali.
Dopo aver effettuato il pagamento si riceverà un’email contenente la licenza d’acquisto, e il link per effettuare il download del software:
il link e la licenza per scaricare e installare Kon-Boot arrivano via email
Nello stesso messaggio vengono riportate anche le indicazioni per disattivare l’antivirus nonché delle URL che puntano ad alcuni pratici tutorial. Prima di scaricare Kon-Boot, tuttavia, è fondamentale disattivare l’antivirus poiché potrebbe catalogare l’utility come una minaccia informatica e bloccarla. Una volta terminato il download, occorre scompattare il pacchetto inserendo la licenza nell’apposito box, e accettare i termini di utilizzo. Occorre poi indicare al software dove salvare i file, e portare al termine l’estrazione seguendo le poche indicazioni mostrate nel video. Conclusa l’installazione, si aprirà la pagina principale del programma.
schermata principale di Kon-Boot, da cui è possibile creare una pendrive con supporto EFI
A questo punto bisognerà inserire la chiavetta in una porta USB, selezionare l’unità dal menù a tendina “Available USB drives”: ora digita l’indirizzo email utilizzato per il pagamento/download nel box contrassegnato con E-MAIL, e il codice di licenza in TXID. Infine fai click su “Install to USB stick”, attendi qualche minuto, e un messaggio ti avviserà che l’installazione sarà andata a buon fine.
Bypassare il logon Tenendo presente che con la licenza commerciale, per accedere, non si ha necessità di disabilitare alcunché, descriverò adesso la mia esperienza con la licenza personale: occorre inserire la chiavetta USB (che hai preparato in precedenza) nella porta USB del tuo target e riavviare il sistema. Accedi ora al BIOS facendo ripetutamente click su uno dei tasti (o sulla combinazione di tasti previsti dal BIOS del tuo pc/notebook/server) deputati allo scopo. Una volta entrato nel BIOS, nell’ordine d’avvio del sistema imposta al primo posto l’unità che identifica la porta USB in cui hai inserito la chiavetta, e assicurati di disabilitare il Secure Boot dalla sezione Boot. Infine, premi il tasto F10 e salva le modifiche.
Riavvia ancora il sistema e segui le istruzioni a video:
Pochi secondi, e il PC si avvierà consentendoti di accedere senza chiederti la password.
Per tornare all’uso normale (ossia ripristinando la maschera di logon in cui di norma vengono chieste delle credenziali per proseguire), invece, rimuovi la chiavetta dal computer e riavvia. Tutto sarà come prima, senza tracce evidenti (a parte alcuni log nell’Event Viewer di Windows…comunque eliminabili una volta che si è acceduto).
Come difendersi? La facilità con cui un attacker può manomettere un pc o un server grazie a Kon-Boot è disarmante, soprattutto considerando il fatto che con la versione commerciale non si ha neanche necessità di dover accedere al BIOS per effettuare la disabilitazione del Secure Boot (almeno fino alla versione 3.5, Kon-Boot è in grado di bypassare anche il meccanismo di protezione). Dunque, che fare? Impostare una password d’accesso al BIOS in modo da impedire all’attacker di accedervi (o quantomeno facendogli perdere molto tempo, con il rischio che venga scoperto) e modificare la configurazione, ma soprattutto installare un software crittografico come ad esempio BitLocker, VeraCrypt o FileVault in grado di impedire accessi non autorizzati ai file sul dispositivo, cifrandone il contenuto, e quindi impedendo di fatto all’attacker di poter leggere (perlomeno in chiaro, ossia per riuscirci dovrebbe prima portare a buon fine una crittoanalisi…non sempre un’attività scontata) e alterare i file.
Modelli di attacco informatico per aggirare l’autenticazione a due fattori (o 2FA, Two-Factor Authentication, come d’ora in avanti indicherò nell’articolo) ne esistono da anni, ma alcuni metodi stanno diventando sempre più pervasivi a causa dell’aumento delle organizzazioni che adottano e implementano la 2FA con leggerezza. Sebbene siano svariati i modi attraverso cui un attacker possa tentare di violare un account su cui è stata abilitata la 2FA, il presente post tratta di una tecnica facile da sfruttare, ma difficile da prevenire: i siti di phishing proxy.
I siti di phishing proxy sono versioni più avanzate della tipica pagina di phishing per la raccolta di credenziali, in quanto consentono l’intercettazione dei token di autenticazione. Tali siti sono anche noti come siti Man-in-the-Middle/Machine-in-the-Middle (“MitM“) o Adversary-in-the-Middle (“AitM“) poiché si pongono tra l’utente (vittima) e un servizio apparentemente legittimo ma impersonato dall’attacker.
Esistono diversi kit di phishing disponibili su GitHub, e creati per essere utilizzati da Red Team e penetration tester consentendo di creare i propri siti web da utilizzare in attacchi di phishing proxy: Evilginx2, Modlishka e EvilnoVNC sono tutti kit per effettuare phishing che dispongono di modelli per servizi popolari come Okta®, Microsoft 365® (“M365“), Google Workspace® e altri.
Evilginx2: una panoramica operativa Si tratta di un framework FOSS per realizzare attacchiphishing. Evilginx2 è scritto nel linguaggio di programmazione Go e viene fornito con vari phishlet integrati per imitare egregiamente le pagine di logon per Citrix, M365, Okta, PayPal, GitHub nonché altri sistemi e ambienti operativi: per ospitare il sito di phishing deve essere configurato utilizzando un’infrastruttura server nonché un dominio personalizzato.
L’attacker acquista un dominio, configura il DNS ed esegue i comandi necessari per strutturare il sito di phishing su di un server, ad esempio con il phishlet O365 integrato: nel periodo di tempo in cui il sito rimarrà attivo e raggiungibile, tutti gli utenti target che visiteranno il collegamento di phishing generato da Evilginx2 saranno accolti da una pagina web graficamente identica alla legittima pagina di accesso Microsoft. I comuni consigli di sicurezza informatica (“best practices”) sostengono che le pagine senza l’icona del lucchetto (la cui presenza indica l’effettiva adozione del protocollo di crittografia TLS tra client e server HTTPS) nella barra delle URL del browser dovrebbero mostrare una bandierina rossa in caso di attività dannose o di problemi con il certificato digitale: ma Evilginx2 a sua volta richiede l’adozione di un certificato TLS da Let’s Encrypt, una Certification Authority gratuita e (per usare un sottile eufemismo) poco attenta ai controlli di Identità, il che significa che le sue comunicazioni sono cifrate con HTTPS, con conseguente possibilità di effettuare phishing anche dei portali che sfruttano tale protocollo: per un utente l’unico modo per distinguere la seguente pagina web da quella di accesso legittima (ossia l’autentica) sarà l’analisi dell’URL o del certificato digitale (questo secondo caso è spesso prerogativa dei soli addetti ai lavori, programmatori, sistemisti o professionisti InfoSec).
Pagina di accesso fraudolenta visualizzata dalla vittima del phishlet Evilginx2O365 integrato
Se un utente ignaro inserirà le sue credenziali nella pagina di accesso fraudolenta, il sito di phishing le controllerà con Microsoft per assicurarsi che siano autentiche. Successivamente, all’utente verrà richiesta una normale verifica 2FA attraverso uno qualunque dei metodi abilitati sul proprio account M365. Ad esempio, se l’account della vittima è stato configurato per ricevere SMS e/o telefonate come secondo fattore di autenticazione, la schermata che gli si presenterà potrà essere così:
Se la 2FA viene approvata con successo, alla vittima sembrerà di aver effettuato un accesso con le proprie credenziali. Gli sforzi per accedere a risorse aggiuntive richiederanno un altro accesso poiché l’attacker dovrà ora sganciarsi dal sito ingannevole per accedere al vero workspace on-line della vittima. Gli utenti potrebbero essere avvertiti da una richiesta aggiuntiva di autenticazione o dal fatto che tutto ciò che è stato promesso loro nell’e-mail di phishing non è al momento disponibile, ma molti utenti potrebbero ancora non rendersi conto di essere stati oggetto di phishing.
Dall’altra parte (lato attacker) l’operatore del sito di phishing avvierà il comando sessions dalla propria istanza Evilginx2, potendo così visualizzare tutte le credenziali acquisite, nonché i dettagli su qualsiasi sessione specifica e token associati, similmente al seguente screenshot:
L’attacker ora provvederà a copiare il testo del cookie (visibile nella parte inferiore delle informazioni sulla sessione) importandolo in un browser utilizzando qualsiasi plug-in di modifica dei cookie (come ad esempio EditThisCookie). Quando aggiornerà la pagina di accesso di Microsoft, verrà eseguito l’accesso come utente sottoposto a phishing. Il seguente diagramma mostra ad alto livello il workflow dell’attacco:
Evidenze utili a scopo di Digital Forensics Sebbene possa essere intricato identificare con certezza l’uso di un sito di phishing che sfrutti proxy malevoli come Evilginx2, esistono modelli su cui periti forensi e analisti InfoSec possono far affidamento per accertare se un attacker ha effettivamente rubato il cookie di un utente attraverso un sito di phishing, tra cui:
accessi che continuano a essere effettuati da indirizzi IP anomali
tutte le attività degli attacker avranno lo stesso SessionId, anche se il cookie viene spostato dal server di phishing per essere importato in un browser di un altro sistema
gli accessi iniziali dal server di phishing appariranno come la stringa dello User Agent legittimo della vittima
Indirizzi IP anomali In questo scenario è possibile applicare i tipici metodi per identificare compromissioni della posta elettronica. Anche se all’utente sembra che stia accedendo tramite Microsoft, le sue credenziali verranno inviate a Microsoft tramite il sito di phishing, quindi sarà l’indirizzo IP pubblico del phishing server, e non l’IP del device utilizzato dall’utente, che apparirà nei log del primo accesso.
Coerenza dell’ID di sessione L’indirizzo IP del server di phishing viene tracciato a seguito del primo accesso, ma potrebbe cambiare con la successiva attività loggata. Nei tipici attacchi AitM, l’accesso avviene sul server di phishing ma l’autore dell’attacco poi sposta il cookie su di un’altra macchina, per importarlo in un browser. Poiché il cookie è il medesimo, il SessionId nell’Unified Audit Log (“UAL”) sarà coerente tra gli accessi, anche se proverranno da indirizzi IP e/o User Agent differenti. Per gli eventi riconducibili a UserLoggedIn, nell’UAL è possibile reperire il SessionId sotto la voce “Device Properties”.
Esempi di Audit Log unificati che mostrano gli accessi effettuati dagli attacker
Nella griglia l’indirizzo IP del server di phishing è evidenziato in rosso, e termina con .91, mentre l’indirizzo IP del sistema fake gestito dall’attacker è evidenziato in arancione (ha .94 come ultimo ottetto). Gli accessi successivi con l’indirizzo IP .94 si sono verificati quando l’attacker ha importato il cookie catturato dal server di phishing in un browser Chrome, continuando a interagire con l’account della vittima: il SessionId visualizzato in blu è lo stesso durante tutta l’attività di phishing, poiché l’attacker ha riutilizzato il medesimo cookie di autenticazione.
User Agent pattern In molte indagini riguardanti accessi abusivi alle e-mail, chi si occupa di Digital Forensics può rilevare l’attività criminosa seguendo le tracce dello User Agent, che è una stringa che identifica il tipo di dispositivo e il client utilizzati per accedere all’account. Generalmente l’utente legittimo avrà uno User Agent diverso da quello dell’attacker poiché quest’ultimo accede dalla propria infrastruttura. Tuttavia, Evilginx2 è in grado di acquisire la stringa dello User Agent della vittima, dando così la possibilità all’attacker di clonare l’User Agent dell’utente legittimo: questo significa che sebbene il sito di phishing possa essere eseguito su un sistema Linux, se la vittima fa click sul collegamento utilizzando Firefox su un computer Windows 10, lo User Agent che sarà tracciato nei file di log risulterà identico a quello originale della vittima. Nei log UAL mostrati nella griglia, ad esempio, la finta vittima durante i test ha effettuato l’accesso al sito di phishing utilizzando Windows 10 e il browser Opera, lo stesso User Agent che viene rilevato negli accessi iniziali originati dall’indirizzo IP del server di phishing.
Questo tentativo di fondersi con accessi legittimi nei log di autenticazione ha implicazioni sostanziali per gli investigatori: senza uno User Agent anomalo, l’unico chiaro indicatore di compromissione nell’evento di accesso è l’indirizzo IP difforme. In uno scenario in cui l’attacker dovesse impiegare una botnet o un’altra infrastruttura appartenente a ISP aziendali, il rilevamento di questa attività diventerebbe molto complicata.
Nella seconda fase dell’attacco, una volta catturati i cookie, il phisher provvederà a importarli nel suo browser: il truffatore potrà visualizzare lo User Agent dalla sessione catturata all’interno di Evilginx2, e clonarlo all’interno del proprio browser in modo da non destare sospetti.
Tecniche di Prevenzione
Autenticazione FIDO2 I meccanismi di autenticazione basati su hardware che sfruttano i protocolli FIDO2 attualmente sembrano essere il miglior modo per mitigare il rischio che un attacker eluda la 2FA in una qualunque delle sue forme. L’autenticazione FIDO2 utilizza chiavi crittografiche preregistrate (con un servizio come Microsoft 365) per consentire all’utente di autenticarsi su quel sito: la sfida presentata al dispositivo FIDO2 dal servizio include dettagli sull’origine della richiesta (come l’URI del sito) ed é per questo che i tentativi di autenticazione a un sito di phishing fraudolento utilizzando questi protocolli falliscono miseramente. Esempi di autenticazione FIDO2 includono token hardware come Yubikeys o una soluzione integrata nel laptop utente come Windows Hello.
Tuttavia, laddóve sono disponibili anche metodi di autenticazione alternativi, esiste il rischio di attacchi di downgrade all’autenticazione FIDO2: ad esempio, un’organizzazione può aver impostato l’autenticazione FIDO2 come metodo principale, ma in alternativa potrebbe anche consentire l’invio di password monouso (OTP) tramite SMS o e-mail. Oltre a questo rischio, ci sono ragioni logistiche per cui l’autenticazione FIDO2 può essere difficile da implementare, infatti, il suo utilizzo costituisce un cambiamento strutturale per la maggior parte degli utenti e in molti casi comporta costi aggiuntivi per le organizzazioni che allo stato attuale utilizzano standard di autenticazione vetusti.
Circoscrivere gli accessi Le organizzazioni che continuano a utilizzare notifiche push, telefonate o SMS come secondo fattore di autenticazione dovrebbero prendere in considerazione l’utilizzo di un approccio di sicurezza informatica a più livelli che includa anche la limitazione degli accessi esterni agli account utente: questo scenario generalmente viene implementato consentendo l’accesso remoto solo da indirizzi IP approvati, come il range degli indirizzi IP delle VPN aziendali, ma soprattutto richiedendo che i dispositivi di autenticazione siano gestiti dall’organizzazione attraverso l’utilizzo di PKI, certificati digitali e architetture di rete basate sullo standard Zero Trust: tali controlli e modelli architetturali costituiscono misure di Cybersecurity efficaci e drastiche in grado di rendere estremamente difficile la vita alle cybergang.
Protocolli di sicurezza su più livelli Ulteriori tecniche che aiutano a ridurre al minimo il rischio che questo attacco vada a segno già nelle sue fasi iniziali includono l’utilizzo di filtri antispam (utilizzando i filtri incorporati nella piattaforma di posta elettronica aziendale piuttosto che (ancora meglio) quelli disponibili in un’appliance di terze parti) e di proxy web per filtrare il traffico HTTP/HTTPS degli utenti. Attraverso l’uso dei proxy, agli utenti può essere facilmente impedito di visitare siti di phishing noti o altri portali appartenenti a categorie rischiose per la postazione stessa dell’utente ma soprattutto per la rete informatica dell’organizzazione. Un altro fattore chiave è la formazione in ambito Cybersecurity, in particolare sul tema Phishing: istruire dipendenti, manager e consulenti esterni dell’organizzazione a identificare email palesemente contraffatte o pericolose attraverso “campagne di Phishing” a sorpresa, volte a scoprire chi in azienda non è ancora in grado di distinguere un’email autentica da un tentativo di Phishing, è fondamentale, aggiungerei doveroso per un reale progresso della Cybersecurity Posture.
Sebbene la riduzione della durata dei token non impedisca completamente la possibilità di un accesso abusivo agli account target, limita concretamente l’impatto complessivo sull’organizzazione, riducendo al minimo il tempo che un attacker avrà a disposizione per raggiungere i suoi obiettivi fraudolenti. Nello specifico di M365, i Sysadmin possono modificare la durata della sessione: l’accesso condizionato può infatti essere configurato anche per particolari gruppi di utenti, come gli amministratori. Il reset delle password in M365 invaliderà i vecchi token persistenti, costituendo quindi un’efficace deterrente per gli account che hanno subìto questo attacco.
Considerazioni conclusive La Cybersecurity è in continua evoluzione e le capacità degli attacker di eludere la 2FA non sono una novità. I furti di sessione e gli attacchi AitM esistono da anni, ma con il crescente numero di organizzazioni che stanno adottando la 2FA come linea difensiva, gli attacker stanno a loro volta raffinando le tecniche per effettuare accessi abusivi negli account delle vittime. Tali attacchi costituiscono una minaccia non solo per i classici sistemi e servizi di posta elettronica aziendale (BEC), poiché anche altri servizi come Okta, Citrix ecc.. sono potenzialmente a rischio della medesima minaccia. La compromissione di questi account può avere come conseguenza la violazione della rete dell’organizzazione su vasta scala, culminando nella distribuzione a tappeto di ransomware, nel furto e/o nell’esfiltrazione di dati, nonché, dulcis in fundo, nell’installazione di kit APT per un futuro riutilizzo o rivendita delle backdoor impiantate nella rete del target, ovviamente a totale insaputa dell’organizzazione.
Gli attacker possono potenzialmente aggirare la 2FA anche senza possedere le competenze tecniche necessarie per creare un sito di phishing proxy. Servizi di Phishing-as-a-Service si noleggiano per circa duecento euro al mese, una cifra irrisoria rispetto a quanto può guadagnare illecitamente un truffatore da un singolo bonifico bancario reindirizzato. Scenario ancora più facile per l’attacker è quello in cui l’utente target (o potremmo dire utOnto in questo caso!) disgraziatamente accetti notifiche push sul proprio smartphone anche quando non ha avviato di sua iniziativa il logon su di un portale web: sebbene la 2FA sia uno strumento indispensabile e non negoziabile nel mondo della Cybersecurity, non costituisce una soluzione definitiva. Perduto e perso chi crede fermamente il contrario.
Nelle mani di un analista InfoSec, Ghidra semplifica il processo di Reverse Engineering e consente agli utenti di personalizzare ed estendere le analisi per soddisfare le esigenze individuali o del cliente, migliorando contemporaneamente i flussi di lavoro. Ghidra è accessibile e fondamentale anche per chi si avvicina al mondo del Reverse Engineering, in particolare grazie al decompilatore incluso che può aiutare a comprendere più chiaramente le relazioni tra i linguaggi ad alto livello e i codici disassemblati mentre si esplora l’intricato mondo dell’analisi binaria. Ghidra è una complessa suite di strumenti di Reverse Engineering Open Source in continua evoluzione, tant’è che la community di utenti Ghidra continua a migliorare ed estendere le sue capacità.
dmzware.com 