Archivi categoria: Senza categoria

Perché Google sta chiedendo di reinserire la password sugli smartphone?

Google richiede il cambio della password degli accountIn queste ore Google sta chiedendo ai suoi utenti di autenticarsi nuovamente reinserendo la password dell’account Google o Gmail, sui cellulari come Android e iPhone. La ragione della richiesta da parte di Google di inserire la password potrebbe essere il leak subito da CloudFlare, che ha potenzialmente coinvolto due milioni di siti web sulla rete Cloudflare. Come riportato dal report di CloudFlare in seguito alla segnalazione dei ricercatori del team Google’s Project Zero che hanno definito il bug “Cloudbleed” i reverse proxy di CloudFlare hanno fino a ieri pubblicato involontariamente porzioni di memoria contenenti potenzialmente informazioni riservate oltre a dati di autenticazione delle sessioni degli utenti.

Il “baco” ha colpito oltre due milioni di siti, in parte elencati a questo link, che fanno uso di Cloudflare per proteggersi dagli attacchi e che, in questo caso, ne sono diventati vulnerabili. Ovviamente la maggioranza dei siti non contengono informazioni sugli utenti o token di autenticazione, ma tra quelli coinvolti ce ne sono alcuni che raccolgono dati personali o supportano l’autenticazione tramite token di autenticazione (si pensi ad Authy, ad esempio) che possono quindi permettere a un attaccante di acquisire sessioni attive (non la password) e utilizzarle per intromettersi negli account delle vittime

Non è necessario – anche se è sempre buona pratica – cambiare la propria password, come specifica anche Cloudflare, l’importante è reinserirla resettando i token di autenticazione attivi con siti e servizi coinvolti nel leak.

Ovviamente, questa enorme quantità di richieste di inserimento password arrivate oggi potrebbero essere sfruttate da chi fa phishing per impersonare Google e intercettare così username e password di utenti convinti di mettersi al riparo dal bug “CloudBleed” di Cloudflare.

Su alcuni forum sono arrivate smentite e il supporto di Google non conferma l’ipotesi ma rassicura sul fatto che non ci sono rischi per gli utenti: rimaniamo quindi nel dubbio concludendo che, tecnicamente, questo logout forzato e richiesta di fare login inserendo nuovamente la password potrebbe esser un modo per reinizializzare eventuali sessioni compromesse e mettere al sicuro gli account e i dati dei propri utenti. O, quantomeno, la coincidenza sarebbe davvero notevole.

Bitcoin Forensics alla Bitcoin Conference di Hannover

Bitcoin Conference ad HannoverGiovedì 19 gennaio terrò un talk, insieme all’amico Mattia Epifani di Reality Net, durante la Bitcoin Conference che si terrà presso l’Università di Hannover, L3S Research Center in Appelstraße 9a (High Rise Building). L’argomento dell’intervento sarà quello della Bitcoin Intelligence e Bitcoin Forensics e coprirà diversi aspetti delle indagini e perizie informatiche sulle criptovalute.

Si partirà dalle indagini sulla blockchain per giungere alla blockchain intelligence tramite clustering dei wallet. Il raggruppamento degli indirizzi bitcoin in wallet è infatti uno dei principali strumenti per la deanonimizzazione degli indirizzi bitcoin e il tracciamento delle transazioni. Verranno presentati i vari metodi utilizzati dai software e dai servizi di clustering e de-anonymization come i commerciali Neutrino, Elliptic, Chainalyis, Blockseer, Scorechain, Skry, Blockchaingroup, Sabr ma anche i gratuiti Bit Cluster e Wallet Explorer per raggruppare indirizzi appartenenti allo stesso wallet in un cluster analizzabile e tracciabile.

Allo stesso modo, esiste la possibilità di tracciare indirizzi IP dei client e dei wallet che hanno immesso transazioni firmate sulla rete Bitcoin o di client SPV che – tramite utilizzo del filtro di bloom – interrogano i server della rete per conoscere lo stato degli indirizzi bitcoin posseduti nel wallet. In entrambi i casi, l’attività di network monitoring e forensics può portare a ottimi risultati nel tracciamento e deanonimizzazione di wallet, indirizzi, transazioni.

Bitcoin Forensics ad Hannover

La presentazione verterà quindi sulle attività di analisi forense e perizia informatica eseguibili sui wallet bitcoin come il Wallet.dat del client Bitcoin QT e i file accessori come Debug.log, Tramite strumentazione apposita è possibile recuperare gli artefatti lasciati dai wallet e identificare indirizzi, transazioni, wallet anche dalle aree non allocate del disco.

Su wallet per dispositivi cellulari e smartphone è poi possibile eseguire attività di mobile forensics ed acquisire i database come breadwallet.sqlite su BreadWallet per iOS o wallettracking.db su Mycelium per Android o  per esaminarne il contenuto e ricavare informazioni preziose come indirizzi o transazioni eseguite tramite il wallet.

Qui di seguito riportiamo il programma della Bitcoin Conference ad Hannover:

  • 08.30 Arrival and Registration
  • 09.00 Welcome & Introduction – Susanne Beck (Leibniz Universität Hannover, DE) Nikolaus Forgó (Leibniz Universität Hannover, DE)
  • 09.15 Innovation & Trust – Patrick Curry (British Business Federation Authority, UK)
  • 10.00 Virtual Currencies, Privacy and the European Anti Money Laundering Framework – Carolin Kaiser (Rijksuniversiteit Groningen, NL)
  • 10.45 Coffee break
  • 11.15 Crypto Currencies – Prevention of Illegal Use and Deregulation – Thomas Gloe (Dence GmbH, DE)
  • 12.00 Collaborative Discussion – Panel: Patrick Curry (British Business Federation Authority, UK) Carolin Kaiser (Rijksuniversiteit Groningen, NL), Thomas Gloe (Dence GmbH, DE)
  • 12.30 Lunch break
  • 13.30 Bitcoin Intelligence and Forensics – Mattia Epifani (Reality Net – System Solutions, IT) Paolo Dal Checco (Digital Forensics Bureau, IT)
  • 14.15 Bitcoin and Law Enforcement Investigation Matthew Simon (INTERPOL)
  • 15.00 Coffee break
  • 15.30 Deregulation of State Authority and Enforcement Mechanisms Christoph Burchard (Goethe-Universität Frankfurt am Main, DE)
  • 16.15 Bitcoin Opportunities and Challenges for Criminal Investigations Markus Hartmann (Public Prosecutor’s Of ce Cologne, DE)
  • 17.00 Collaborative Discussion – Moderator: Florian Jeßberger (University of Hamburg, DE), Panel: Christoph Burchard (Goethe-Universität Frankfurt am Main, DE) Mattia Epifani (Reality Net – System Solutions, IT), Paolo Dal Checco (Digital Forensics Bureau, IT), Markus Hartmann (Public Prosecutor’s Of ce Cologne, DE) Matthew Simon (INTERPOL)
  • 17.45 Wrap-Up – Open Discussion 2.0

Seminario “Dai bitcoin al narcotraffico”

Bitcoin, Narcotraffico e Investigazioni DigitaliSabato 2 luglio 2016, dalle ore 8:30 alle 14:00, si terrà presso la biblioteca del Palazzo della Provincia di Reggio Calabria in Via S. Francesco di Sales, 3, il seminario “Dai bitcoin al narcotraffico – Investigazioni e nuovi scenari digitali”.

Si parlerà, insieme all’amico Leonida Reitano, di investigazioni nel dark web, tecniche di bitcoin forensics e indagini sulle criptovalute con tracciamento delle transazioni e degli indirizzi spesso coinvolti in casi di truffa, furto, mercati illeciti o riciclaggio di denaro sporco, Social Media Intelligence, OSINT e investigazioni digitali.

L’evento è organizzato con la collaborazione della CONSAP – Confederazione Sindacale Autonoma di Polizia – di Reggio Calabria e la IPA – International Police Association – Sezione Italiana, XVIII Delegazione Calabria.

Il programma del seminario”Dai bitcoin al narcotraffico – Investigazioni e nuovi scenari digitali” è il seguente, la brochure è scaricabile da questo link:

  • 8:30: Apertura del convegno
  • 9:00: Investigazioni nel Dark Web (Paolo Dal Checco)
  • 10:00: Bitcoin, scenari operativi e tecniche di tracciamento (Paolo Dal Checco)
  • 11:10: pausa e question-time
  • 11:30: Social Media Intelligence e nuovi scenari investigativi (Leonida Reitano)
  • 12.30: Open Source Intelligence e investigazioni digitali (Leonida Reitano)
  • 13:30: pausa e question-time
  • 14:00: chiusura dei lavori

DFA Open Day 2016 a Milano

Martedì 28 giugno 2016 si terrà, a Milano, il consueto appuntamento annuale con il DFA Open Day, la giornata di seminario gratuita organizzata dall’Associazione “Digital Forensics Alumni” formata, attualmente, da corsisti ed ex-corsisti del Corso di Perfezionamento in “Computer forensics e investigazioni digitali” dell’Università degli Studi di Milano.

DFA Open Day 2016 a Milano

La conferenza si terrà presso l’aula Malliani dell’Università degli Studi di Milano, in via Festa del Perdono, 7 a Milano, dalle ore 08:30 alle ore 18:30. Per le iscrizioni è disponibile la pagina Eventbrite.

Aula Malliani - Università degli Studi di Millano

La locandina dell’evento è disponibile a questo link, durante il seminario l’Associazione ONIF – Osservatorio Nazionale per l’Informatica Forense – presenterà i risultati della Survey 2015 sulla figura professionale dell’Informatico Forense, cioè colui che esegue attività di perizia informatica forense per professione. Della professione d’informatico forense si dibatterà anche nel corso della tavola rotonda finale, con la partecipazione di esperti di digital forensics in ambito tecnico, giuridico e investigativo. Durante la giornata si parlerà anche di ransomware, Smart Contract, indagini OSINT su fonti aperte e Social Network Analysis (SNA), automotive e diverse problematiche legate alla digital forensics e investigazioni digitali.

L’agenda della conferenza DFA Open Day 2016 di Milano è la seguente:

8.30 – 9.00 Registrazione partecipanti

9.00 – 9.30 Saluti iniziali e presentazione attività DFA
Avv. Valerio Vertua, Presidente Consiglio DFA
Prof. Avv. Pierluigi Perri, Coordinatore Corso di perfezionamento in computer forensics e data protection, Università degli Studi di Milano
Dott. Mattia Epifani,Coordinatore del progetto traduzione EEG

9.30 – 10.30 Presentazione a cura degli sponsor

10.30 – 11.00 Introduzione agli aspetti giuridici degli Smart Contract
Ing. Marco Carlo Spada, Consigliere DFA, Digital forensics analyst
Avv. Maria Letizia Perugini, Dottoranda in diritto e nuove tecnologie CIRSFID UNIBO

11.00 – 11.30 Pausa caffè

11.30 – 12.00 Continuous monitoring efficace degli eventi di sicurezza: un caso concreto di successo
Ing. Roberto Obialero, Senior ICT security advisor

12.00 – 12.30 Social Network Analysis e OSINT nelle attività d’indagine
Dott. Alessandro Massaro,
Dott. Fabio Mele, Digital forensics analyst

12.30 – 13.00 Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware
Dott. Paolo Dal Checco, Digital forensics analyst
Avv. Giuseppe Vaciago, Avvocato

13.00 – 14.00 Pausa pranzo

14.00 – 15.30 Consegna dei diplomi Corso di perfezionamento in computer forensics e data protection e presentazione tesi

15.30 – 16.00 L’auto connessa: una pessima idea
Ing. Alessandro Guarino, Digital forensics analyst

16.00 – 16.30 ONIF Survey 2015: la figura dell’informatico forense in Italia
Dott. Alessandro Borra, Digital forensics analyst

16.30 – 16.45 Coffee break

16.45 – 18.00 Tavola rotonda “La figura professionale dell’informatico forense”
Avv. Donato La Muscatella, Consigliere DFA, Avvocato
Prof. Avv. Pierluigi Perri, Università degli Studi di Milano
Ing. Paolo Reale, Digital forensics analyst e Presidente Associazione ONIF
Ing. Michele Vitiello, Digital forensics analyst e socio Associazione ONIF
Prof. Avv. Giovanni Ziccardi, Università degli Studi di Milano

18.00 – 18.15 Considerazioni finali e saluti

DFA Open Day 2016 è stata organizzata con il patrocinio di Clusit, CSA Italia, Associazione DEFT, IISFA, ONIF, Oracle Community for security, Tech & Law.

Il tuo sito fa blackhat SEO spam e tu non lo sai

Negli ultimi giorni numerosi siti sono stati infettati al fine di indicizzare, tramite tecniche di blackhat SEO spam, pagine che portano i visitatori verso siti per adulti a contenuto pornografico o di azzardo a seguito di un attacco che ha sfruttato, in molti casi, uno 0-day presente nel plugin WordPress WP Mobile Detector. Ovviamente il tutto all’insaputa dei proprietari, che rischiano di accorgersene anche dopo settimane o mesi ignorando il fatto che parte dei visitatori che arriveranno sul loro sito tramite motori di ricerca verranno rediretti su pagine come questa.

Hack WP Mobile Detector (gopni3g)

La vulnerabilità sfruttata dagli attaccanti è quella presente nel plugin WP Mobile Detector, resa nota allo sviluppatore il 29 maggio ma utilizzata già da diversi giorni per bucare siti web e fare in modo, tramite tecniche di blackhat SEO, che Google, Bing e i motori di ricerca indicizzino e portino i visitatori tramite redirect verso pagine a contenuto esplicito contenute su server esterni.

Il blackhat SEO, come indica Google stesso nelle sue “Informazioni sull’ottimizzazione per i motori di ricerca” [WBM] all’interno della Guida di Search Console, indica le “Le tecniche illecite o bad practice che violano le istruzioni per i webmaster e manipolano i motori di ricerca per cercare di far avere una posizione migliore a un sito”. Ovviamente non sempre si tratta di un sito ma, spesso, il blackhat SEO permette di portare visitatori a siti e pagine esterne estranee all’argomento cercato, ingannandoli grazie al cloacking (es. un navigatore cerca “scarpe da ginnastica”, vede un link che parla di scarpe da ginnastica, clicca e finisce su un sito per adulti).

Blackhat SEO Spam secondo Google

Precisiamo, per correttezza, che i siti verso i quali puntano i vari redirect non sono in alcun modo responsabili degli attacchi e spesso sono loro stessi all’oscuro della fonte delle visite che ricevono. In realtà sono essi stessi vittime della frode chiamata “click fraud”, legata ai click a pagamento che tali siti sono disposti a pagare agli affiliati per portare visite su loro sito. In sostanza, tramite legami di affiliazione, i siti con le landing page che vengono mostrate al termine della catena di redirect pagano alcuni intermediari per portare, tramite adversiting, visite sul loro siti. Le visite ovviamente dovrebbero provenire da banner su siti a contenuto simile, forum, advertising, etc… mentre invece nel caso della click fraud provengono da click generati con l’inganno, appunto portando visitatori ignari su siti web bucati che poi li redirigono verso i clienti finali.

L’infezione si propaga sfruttando un baco del plugin WP Mobile Detector che permette di passare come parametro POST un file ospitato su siti esterni e caricarlo nel folder “cache”. In particolare, viene scaricato tramite una chiamata alla risorsa “/wp-content/plugins/wp-mobile-detector/resize.php” o “/wp-content/plugins/wp-mobile-detector/resize.php” (che include resize.php) il file offuscato hxxp://copia[.]ru/mig/tmp/css.php [WBM], che attiva poi il download del payload che si occupa di attivare l’indicizzazione su Google e i motori di ricerca (chi è interessato all’analisi del payload offuscato in php, può trovarne copia a questo link).

File resize.php del plugin WP Mobile Detector

Si precisa che è possibile rilevare numerosi siti infetti che non utilizzano la piattaforma CMS WordPress né il plugin WP Mobile Detector, sono in fase di analisi alcune casistiche per capire se l’infezione si è propagata a livello di webserver partendo da siti WordPress infetti o tramite altre vie d’ingresso.

Sono stati compromessi migliaia di siti, di ogni genere: siti di Comuni, aziende, scuole, blog italiani e di tutto il mondo e, ancora oggi, 10 giorni dopo l’infezione di massa, molti siti sono ancora infetti perché i proprietari non si sono accorti di nulla.

Come posso verificare se il mio sito è stato compromesso?

Non sempre questo hack causa disservizi evidenti al sito web, è quindi facile che un sito sia stato compromesso e il proprietario non se ne accorga anche per giorni o mesi. Per capire se il vostro sito è stato compromesso esistono però diverse soluzioni, vediamone alcune.

Verificare la presenza di una cartella dal nome “gopni3g” nella root del webserver

In genere l’infezione si manifesta con la presenza della cartella “gopni3g” nella root del webserver, accompagnata dal file “gopni3g.zip” che contiene il folder che attiva il blackhat seo spam sul server. Il folder “gopni3g” non è l’unico lasciato dall’infezione, in diversi casi è stata riscontrata la presenza delle cartelle “dyonp7g”, “norxi4s” o “lrob5l”.

Se potete accedere ai file del webserver via FTP o filemanager web, verificate la presenza di cartelle anomale o archivi ZIP che non fanno parte del vostro sito o template. Se potete visualizzare le date di ultima modifica, ordinate i file in modo da portare in alto quelli modificati di recente che saranno con buona probabilità quelli eventualmente colpiti dall’hack del plugin WP Mobile Detector.

In base alle impostazioni di directory listing del webserver, è possibile anche verificare la presenza della cartella gopni3g direttamente via web tramite un browser, come possiamo osservare su questo sito ancora compromesso.

Folder gopni3g tramite directory listing sul webserver

La cartella “gopni3g” contiene il file “story.php” e due cartelle, “par” e “templates”. Se le regole di directory listing non permettono l’accesso di fare browse della cartella, è sempre possibile verificare se è disponibile il download del file gopni3g.zip, accedendo tramite browser all’URL “www.mytestsite.it/gopni3g.zip”.

Ricercare su Google le pagine indicizzate tramite la query “site:www.mytestsite.it”

Una semplice ricerca tramite l’advanced search vi permette di verificare se sono presenti pagine che non fanno parte del vostro sito, eventualmente raffinando la ricerca con “site:www.mytestsite.it gopni3g” o aggiungendo al posto di gopni3g gli altri nomi man mano identificati.

Trovare hack gopni3g con Google advanced search operators

Purtroppo – o per fortuna – Google ha rilevato la diffusione di questo tipo di infezione e sta rimuovendo dai risultati di ricerca quelli legati a gopni3g, quindi pur essendo ancora presenti pagine infette è facile che non le troviate tramite Google. Motori di ricerca come DuckDuckGo o Bing stanno procedendo più lentamente al rilevamento e possono essere ancora utilizzati per elencare le pagine infette indicizzate sul proprio sito o su siti terzi.

Registrare il proprio sito su Google Search Console e attivare le notifiche

Google fornisce gratuitamente un servizio di monitoraggio della sicurezza del proprio sito, chiamato “Google Search Console” ma fino ad alcuni mesi fa “Google Webmaster Tools”. Per iscrivere il proprio sito è sufficiente registrarsi all’indirizzo fornito da Google e dimostrare il possesso del sito web caricando un file o modificando i parametri DNS, oppure dimostrando di aver configurato correttamente Google Analytics.

Google vi avviserà se sarete colpiti dall’hack blackhat SEO grazie alla segnalazione di “Aumento delle pagine di errore “404” sul sito”, poiché Google rileva centinaia o migliaia di URL che non vengono in realtà trovate sul server perché viene avviata una redirezione verso risorse esterne.

Aumento di pagine d'errore su Google Search Console a causa di gopni3g

Visualizzare il proprio sito come Google

Questo tipo d’infezioni modifica il sito in modo che i visitatori continuino a vederlo come sempre ma Google e i motori di ricerca lo vedano diverso, indicizzando appunto le migliaia di pagine di spam che puntano verso siti esterni. Questo tipo d’infezione è chiamato anche “conditional seo spam” o “conditional malware” e si basa sul riconoscimento, da parte del malware, dello User Agent del visitatore: quando è Google a visitare il sito il malware si attiva, quando è un utente normale il malware rimane inerte o si comporta in modo da redirigere l’utente verso siti esterni.

Una verifica importante è, quindi, quella di vedere il sito come Google, utilizzando uno dei seguenti metodi:

1) Utilizzare i plugin per Google Chrome o Mozilla Firefox disponibili nei vari repository, come User Agent Switcher per Chrome o User Agent Overrider per Firefox. Se vedete una homepage diversa da quella che siete abituati a vedere, significa che qualche script sta facendo cloacking del vostro sito web, cioè mostrando a Google una versione diversa da quella che vedono i visitatori.

Visualizza come Google utilizzando plugin Firefox o Chrome

Questo è un esempio di una homepage infetta dall’attacco gopni3g, si notano chiaramente i link di spam in grigio chiaro che ovviamente nella homepage non sono presenti.

2) Utilizzare la funzione “Scansione -> Visualizza Come Google “nella Google Search Console.

3) Utilizzare siti di visualizzazione header di richiesta e risposta HTTP come Web Sniffer, impostando “GoogleBot” come User Agent.

Il mio sito è stato compromesso, come posso rimediare?

Se il sito è stato compromesso, con alcune operazioni è possibile tornare operativi e ripristinare anche l’indicizzazione su Google e i motori di ricerca che, dopo l’infezione, sarà compromessa dalla presenza di materiale esplicito.

Ripristino dei file da backup o rimozione dell’infezione

la prima cosa da fare è rimuovere il folder “gopni3g” o quelli eventualmente creati dall’attacco, inclusi eventuali archivi ZIP. Se potete ripristinare da backup, in realtà, è meglio farlo, non è infatti certo che la rimozione manuale elimini qualunque infezione, potrebbero esserne subentrate altre dopo quella principale dovuta alla vulnerabilità del plugin WP Mobile Detector.

Aggiornate WordPress e tutti i plugin, per quanto riguarda WP Mobile Detector è stato rimosso dal repository e reinserito di recente ma ancora non è stato sufficientemente verificato. Se potete aspettare prima di riutilizzarlo è certamente consigliabile.

Ripristino della corretta indicizzazione da parte di Google e motori di ricerca

Una volta ripulito il sito web, è necessario informare Google (ed eventualmente Bing) che l’infezione è stata rimossa. Per farlo, è necessario accedere al proprio account Google Search Console e indicare a Google che abbiamo rimosso le anomalie (nel caso in cui Google segnali l’infezione) e verificato le pagine contenenti errori.

Accedete alla pagina “Scansione” -> “Errori di scansione” e verificate se Google ha rilevato errori di scansione. In caso affermativo, selezionate tutte le pagine d’errore legate all’infezione da gopni3g e cliccate su “segna come corretti”.

Rimuovere infezione gopni3g da pagine errore Google

Verificate, ovviamente, che le pagine d’errore restituiscano davvero errore e non facciano redirect verso siti esterni.

Importante verificare che il worm non abbia  modificato la sitemap fornendone a Google una falsata. La verifica può essere fatta sia accedendo al tipico percorso delle sitemap aggiungendo all’indirizzo la URI “sitemap.xml”, “sitemap.xml.gz” o “sitemap_index.xml” e verificando se il file robots.txt è stato alterato, includendo ad esempio una fake sitemap.

In ogni caso, per ripristinare o “rinforzare” la sitemap legittima, si può agire direttamente sulla Google Search Console, nella sezione “Scansione -> Sitemap”. Si può intanto verificare se Google ha acquisito una sitemap errata e, in ogni caso, inviarne una corretta tramite il comando “Aggiungi/testa sitemap”. Questo ovviamente se avete generato una sitemap a mano (sconsigliato e scomodo) oppure tramite i vari plugin SEO Sitemap XML disponibili per WordPress.

Upload sitemap su Google Search Console

Ovviamente quanto riportato per Google è fattibile anche tramite la piattaforma Bing Webmaster Tools di Microsoft, anche se tendenzialmente Google ha un impatto maggiore sull’indicizzazione dei siti web.

Il caso specifico vede l’indicizzazione su motori di ricerca compromessa da un attacco informatico ma, nei casi in cui fosse necessaria una Perizia SEO relativa all’ottimizzazione dei siti web per l’indicizzazione da parte dei motori di ricerca come Google, Bing e Yahoo, lo Studio è in grado di produrre analisi tecniche e perizie forensi anche giurate e asseverate che valutino i parametri e le caratteristiche delle attività legate all’indicizzazione del sito web.