di  -  martedì 10 febbraio 2009

Non ci resta che piangere. Perché se anche le software house che ci promettono sicurezza (a pagamento) con i propri prodotti appaiono improvvisamente vulnerabili, allora chi ci salverà dall’ondata di virus writer, cracker, che a con scopi più o meno negativi aumentano il senso di insicurezza dell’utente medio di pc?

Pensare di poter vivere in una sorta di bolla di sapone priva di rischi, quando si è connessi col mondo esterno, è pura utopia. Se non ci riescono gli enti governativi che subiscono con successo attacchi di varia natura, figurarsi cosa possiamo fare noi.

Però qualcosa in effetti siamo in grado e dovremmo fare, come navigare in siti sicuri, non aprire allegati di dubbia provenienza, usare account con privilegi limitati ed usare software ad hoc per la rilevazione di infezioni viral-informatiche.

Ma se gli stessi produttori vengono “bucati”, noi siamo possiamo realmente fidarci di loro?

Facciamo un passo indietro.
Nella giornata di ieri, varie testate online come TheRegister, The Inquirer ed altre nel campo specifico della sicurezza (tra cui GovernmentSecurity e Security and The Net) hanno riportato la notizia secondo cui l’infrastruttura web di Kaspersky, database compreso, sarebbe stata violata.

Database Kaspersky violato

In un primo momento il noto vendor di antivirus ha confermato l’azione ma sottolineando come non ci fosse alcun pericolo per i dati sensibili immagazzinati nelle proprie unità di storage.
Nel corso della giornata però è poi uscito allo scoperto il gruppo di hacker (white hat stando alle dichiarazioni di “non belligeranza”), mostrando le schermate che provano come l’attacco sia andato invece a buon fine proprio sul fronte dei dati. Pur dichiarando di non voler pubblicare le informazioni contenute, tra cui identità degli acquirenti di Kaspersky e relativi activation code, è evidente come le prime dichiarazioni rilasciate dalla SWHouse non fossero tutta quanta la verità.

Ma l’aspetto più grave della vicenda è tecnico e cioè che sia bastata una semplice SQLinjection a far collassare il sistema di difesa e lasciar entrare l’ospite inatteso, di nazionalità rumena.

L’hacker etico stando alle sue affermazioni, avrebbe cercato di contattare direttamente l’amministrazione ed i canali di public relation di Kaspersky non ricevendo però alcuna risposta.
E così ha deciso di rendere pubblico il fatto.

BitDefender database violato

Ma la famosa company russa non è stata la sola a subire questa sorte. Due giorni dopo aver attaccato Kaspersky (il 9 febbraio secondo quanto riporta la data del post sul blog), l’attenzione si è spostata su un altro grande del settore, Bitdefender ed in particolare alla sede portoghese.
Stessa modalità stessi problemi: in particolare, Unu, questo è il nickname dell’hacker, ha messo in luce i rischi di un riutilizzo degli indirizzi di posta elettronica per l’invio massiccio di spam, oltre ai già citati dati personali e chiavi di licenza dei prodotti.

Come quando ci furono gli attacchi portati con successo (anche da adolescenti) a FBI e NASA, mi viene anche questa volta in mente una scena finale di Enemy of the State dove un senatore intervistato (sulo problema della sicurezza collegato alla privacy) afferma: “dobbiamo monitorare le persone che monitoravano i nemici”; e la moglie di Will Smith risponde dal suo divano con la domanda: “e chi monitorizza i monitorizzatori dei monitorizzatori?”

Se i nostri dati non sono al sicuro nemmeno da chi vende prodotti per controllare che i nostri computer siano “sani” e per controllare che quei dati non vengano sfruttati da terzi a nostra insaputa, a chi ci affidiamo e soprattutto di chi ci possiamo fidare?

12 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    Fiber
     scrive: 

    Scusate ma i server con Apache web server violati tramite Sql injection non sono Linux ???

    chi amministra i server Linux ?? chi compila il codice coi Bug per far si che i server vengano violati con SQL injection?

    :-) :-):-)

    leggete qua’ info importantissime

    http://sicurezza.html.it/articoli/leggi/2963/le-minacce-del-2009/

    Le cose piu’ interessanti da notare: ogni 4,5 secondi un server WEB viene iniettato con codice malevolo ( per sfruttare un’eventuale vulnerabilita’ del browser web client che vi naviga sopra qualora i niubbi non lo tengano aggiornato con le relative patch di sicurezza)…il che’ significa che per errori di programmazione e solita Sql Injection verso gli applicativi sui server ( all’80% Linux) sovente i siti sono malprogammati da chi li gestisce/crea/amministra + anche negligenza in questo: io sono dell’opinione che se i server web fossero sicuri tanto da non venire iniettati dagli hacker, la cacca non ricadrebbe poi sui client/user che vi navigano sopra anche tramie social engineering (raggiro del niubbo) come da es. nel far scaricare il finto ( = malware) codec o il finto aggiornamento di Flash Player cosi’ come nell’iniettare codice dannoso sempre sul sito web che sfrutti apposta una vulnerabilita’ del browser ( per chi nn lo tiene aggiornato) per poterlo cosi’ poi remotare etc etc

    il problema principale sono i server malgestiti che si fanno iniettare codice malevolo non i computer client degli utenti

  • # 2
    Jacopo Cocchi (Autore del post)
     scrive: 

    Sicuramente è colpa di chi li amministra, se però Kaspersky (com’è probabilmente) si appoggia a server farm terze ed i miei dati finiscono in mani di chi non dovrebbe averli, Kaspersky deve risponderne alla legge. Tant’è che in Italia, per esempio, la legislazione in merito all’etica professionale e alla privacy parla proprio di questo: vedere decreto legislativo 196 del 2003.

    Quello che volevo far notare e che preoccupa (ovviamente c’è anche una punta d’ironia, non volevo certo metterla in tragedia :)) è la facilità con cui sono stati bucati i server. Voglio dire…non c’entra Linux o Windows, le SQLinjection sono evitabili se si progetta una base dati con determinate attenzioni e se si patchano regolarmente webserver e DBMS. E’ difficile che ci siano 0-day attack con questa metodologia.
    Per cui sarebbe stata auspicabile un minimo di attenzione in più visto il tipo di dati e le migliaia di contatti memorizzati.

  • # 3
    Fiber
     scrive: 

    @jacopo cocchi

    concordo su cio che dici per i server

    sono malgestiti e sovnetissimamente malprogrammato il codice

    il problema GENRALE ora tralasciando i server di kapersky e per tutti e’ che prima iniettano con codice malevolo sui server per sfruttare una vulnerabilita dei browser o plug-ins del browsr per i motivi di cui sopra( flash & java VM in primis) e poi i client che nn aggiornando il browser ed i plug ins ( anche i plug.ins del browser devono essere tenuti aggiornati) rispondono e si appestano

    il problema a monte in generale per il codice malware sono in i server che si fanno iniettare ( server kaspersky discorso a parte )

  • # 4
    Jacopo Cocchi (Autore del post)
     scrive: 

    ma cosa intendi per “malprogrammato il codice”?
    Parli dei webserver? Intesi come applicazioni che girano sopra lo strato del sistema operativo?

    In questo caso io non credo si possa parlare di una programmazione poco avveduta…voglio dire ci sono prodotti più o meno buoni ma i bug ci sono e ci saranno sempre (e questo vale per qualsiasi software); proprio per questo in un ambito così delicato gli aggiornamenti ed i bugfix rilasciati vanno poi applicati tempestivamente.
    La mia è una riflessione a tutto tondo sulle politiche di gestione (come hai giustamente detto tu tra l’altro), spesso poco avvedute.

    “il problema GENRALE ora tralasciando i server di kapersky e per tutti e’ che prima iniettano con codice malevolo sui server per sfruttare una vulnerabilita dei browser o plug-ins del browsr per i motivi di cui sopra( flash & java VM in primis) e poi i client che nn aggiornando il browser ed i plug ins ( anche i plug.ins del browser devono essere tenuti aggiornati) rispondono e si appestano

    il problema a monte in generale per il codice malware sono in i server che si fanno iniettare ( server kaspersky discorso a parte )”

    Ni. Pensa al XSS o al phishing. Le SQLinjection riescono perché non c’è un’attenta politica di restrizione per esempio di permessi associati ad alcuni path specifici dove sono contenuti quei dati sensibili.
    E va bene. Ma molte infezioni non sono un problema dei server ma il fatto che i client, i computer con cui accediamo ai vari servizi non sono sufficientemente protetti.
    Cioè è un problema a tutto tondo.
    Se io navigo con privilegi di root, non uso un antivirus, un firewall, non aggiorno, è chiaro che mi espongo a tutta una serie di problematiche a rischio.
    Anche perché non sono solo i server portatori delle infezioni ma anche gli stessi client.
    Se tu pensi ai vari attacchi DDoS avvengono con la compartecipazione (ignorata) di chi si è beccato a sua insaputa un certo tipo di malware e contribuisce a buttare giù un sito oppure rendere con meccanismi di flood inutilizzabili tot servizi.
    Non può esserci sicurezza se tutti e due gli estremi del “tubo” non sono a loro volta “sicuri”.

  • # 5
    Fiber
     scrive: 

    @jacopo Cocchi

    A prescindere dall’OS sul webserver ( che cmqe e’ Linux nell’80% dei casi) , una Sql Injection si sfrutta per errori di programmazione del “codice che compone l’applicazione web” che sta’ sul server e che fornira’ le pagine web ( PHP & ASP) dallo stesso server ai browser client .
    Se chi programma il sito fa errori nel codice dell’applicazione web server si puo’ poi sfruttare una Sql injection sfruttando questi “errori” di richiesta query al DB per entrare nel sito con credenziali admin ed iniettare codice malevolo nelle “componenti” delle pagine web ivi residente ….. e da far poi a sua volta eseguire al browser vulnerabile’ a quel determinato codice malevolo iniettato quando lo stesso browser client che navighera’ sopra al sito e gli verra’ fornita la pagina web (corrotta)

    Ovvero prima si scopre la vulnerablita’ di un browser web, poi l’hacker assembla il codice malevolo ( arbitrary code) per sfruttare questa falla trovata…poi hackera un web server tramite Sql Injection come sopra e inietta questo codice nel codice della pagina Web per colpire poi i browser che vi navigheranno sopra quando chiederanno la pagina web e che risponderanno a quel codice malevolo solo se non tenuti patchati con gli ultimi fix di sicurezza

    questo per sfruttare una vulnerabilita’ del browser e remotarlo etc

    Moltissime volte invece si usano le sql injection sul server per cambiare nel codice della pagina web che verra’ poi fornita ai browser client un link etc tramite javascript etc per redirectare il browser a downloadare malware apposta usando la tecnica del social engineering dove sara’ poi l’utente raggirato ad installare il malware sul sistema

    ciao

  • # 6
    Fiber
     scrive: 

    @Jacopo Cocchi

    sempre in merito al secondo esempio che ti ho fatto di SQL injection con Social engineering per poi raggirare l’utente e senza sfruttare vulnerabilita’ del browser perche tenuto sempre aggiornato con le patch di sicurezza:

    http://paoblog.wordpress.com/2009/01/30/mybarackobamacom-trappola-presidenziale/

    http://www.oneitsecurity.it/21/01/2009/obama-rifiuta-la-carica-ma-e-un-trojan/

    in questi casi bisogna solo usare la testa/cervello

    Si ricorda sempre:mai scaricare ed installare presunti codec per vedere filmati in streaming sul web da siti NON ufficiali perche’ e’ malware

    i codec per vedere i filmati in streaming su internet sicuramente gia’ li avete installati ed al massimo si scaricano dal sito ufficiale di Adobe per Flash Player o PDF ( Reader) , o Apple per Quick Time ( esiste anche Quick Time alternative) , coi Wmv se avete WMP installato ( al 100%) ..sito Real player per streaming Real …e si e’ apposto

    Se un sito, pur avendo voi gia’ questi codec sul sistema , vi dice che dovete scaricare un “aggiornamento” per vedere un tal filmato non farlo..e’ raggiro di social engineering per indurre l’utente stesso a scaricare ed installare il malware sul sistema

  • # 7
    Flare
     scrive: 

    Questa notizia ha fatto il giro del mondo, ma vedo spesso associare la bucabilità di un sito con lo sviluppo di strumenti di sicurezza per desktop, come se fosse la stessa cosa. Direi invece che sono due cose poco correlate. L’unico elemento di discussione può essere l’attenzione da parte della società in questione: “se sono così poco attenti alla sicurezza del loro sito, come possiamo essere certi che siano attenti nello sviluppo dei loro prodotti?”.
    Siamo però sicuri che dietro il codice dell’antivirus e la realizzazione del sito ci siano le stesse persone?

    A parte questo, andando più sul generale, ci fidiamo ad inserire dati su vari server, ma è impressionante come ancora siano diffuse le vulnerabilità da SQL iniection.

  • # 8
    Jacopo Cocchi (Autore del post)
     scrive: 

    L’elemento che poni è proprio quella che è in fondo all’articolo scritto.
    Logicamente, come ho detto, c’è una sorta di ironia leggera, ovvero “non spaventiamoci di questo fatto”, perché in ogni caso nessuno è invulnerabile.
    Non lo sono enti governativi che spendono miliardi di dollari non lo è la società del signor Kaspersky.
    Riguardo alla tua domanda, per me cittadino ed utilizzatore del prodotto Kaspersky ( o Bitdefender) poco mi interessa se i server sono affidati a terze parti o fanno parte (nel senso di proprietà) della società Kaspersky (o Bitdefender), perché la responsabilità della tutela degli stessi, una volta che io compro il loro prodotto e quindi i miei dati finiscono nella loro tutela, è responsabilità di Kaspersky a meno che nell’agreement siglato non vi siano dispositivi segnalati diversamente.

    Se il tizio Caio si sveglia e decide che quei dati non sono stati tutelati a dovere (la legislazione italiana lo impone, immagino che negli altri Paesi ci siano norme affini) e quindi intenta una causa alla società, sarà poi questa eventualmente che deciderà di rivalersi sui terzi che amministrano quei server e non li hanno gestiti come avrebbero dovuto, ma io ho il dovere di farlo con Kaspersky con il quale ho siglato il contratto al momento della compravendita del prodotto.
    Per cui, che tecnicamente o meno siano responsabili, da un punto di vista legale e deontologico lo sono in ogni caso.
    E quindi il discorso tecnico passa, a mio avviso al momento in un secondo piano.

    Se poi invece vogliamo analizzare la questione tecnica, quello che gli altri operatori internazionali (e che io ho condiviso) hanno sottolineato è stata la facilità con cui hanno potuto bucare quei server.
    Il fatto che con una semplice SQLinjection l’hacker si sia potuto introdurre è preoccupante e come segnali tu, in realtà i casi sono tanti e non riguardano certo solo questa tipologia di software house.

    Ed infine viene il lato ironico della faccenda. E cioè che società che predicano sicurezza (per gli altri) poi invece si dimostrano esse stesse poco sicure…e lì la domanda “di chi ci fidiamo?”
    Questo vuole mettere l’accento anche sulla questione per cui, affidarsi a prodotti terzi e quindi fidarsi è indispensabile (dato che sono in pochi credo a poter sviluppare firewall o antivirus in casa, siano privati siano anche aziende), ma c’è anche la necessità da parte degli utenti (e ribadisco, privati o società che siano) di sensibilizzarsi sull’argomento: non lasciando password in giro per l’ufficio, non dando a terzi i propri dati se non strettamente necessario, dotando gli elaboratori di sistemi hardware e software ad hoc e via avanti.

    Forse ora ho spiegato meglio il senso dell’articolo :)

  • # 9
    Jacopo Cocchi (Autore del post)
     scrive: 

    x Fiber

    ok adesso ho capito il tuo ragionamento, non riuscivo a seguirti su cosa intendessi “server+programmazione” :)
    Sono d’accordo la responsabilità è anche di chi sviluppa l’applicazione web residente sul server (application server o quel che è a seconda di quanti tier ha l’infrastruttura), ma non solo.
    Lo è di chi progetta il DB che deve evitare la duplicazione dei dati e che possano essere correlati non correttamente (cioè ad esempio se io faccio una query e ho credenziali da utente non posso vedere restituita la tupla con le informazioni di un altro utente compresa la sua password).

    Quello che volevo dire è che non è solo colpa di chi amministra la parte server di un’infrastruttura se all’interno di una rete telematica si propaga un’infezione informatica, la responsabilità ricade su di tutti.
    Se io utente e faccio sì che venga eseguito codice arbitrario perché
    – il mio browser non è aggiornato
    – navigo con privilegi di amministratore (e quindi read/write anche su porzioni di memoria dov’è allocato il sistema)
    – non uso strumenti che prevengano questo tipo di attacchi (antispy, antivirus, firewall quel che serve insomma)
    allora la responsabilità è anche mia.
    Era questo il mio pensiero.
    Non possiamo pensare che i server siano al 100% sicuri…sarebbe bello, in un mondo ideale, ma così come non lasciamo la porta di casa spalancata perché sarebbe bello fossero tutte persone oneste ma purtroppo non lo sono, allora dobbiamo dotarci degli strumenti e soprattutto della consapevolezza che noi fruitori di un servizio dobbiamo per primi essere in grado di riconoscere se questo servizio non funziona correttamente o non è sicuro (e quindi evitarlo se possibile).
    Questo è quello che penso io, logicamente.

  • # 10
    Jacopo Cocchi (Autore del post)
     scrive: 

    L’esempio di sito che fai fiber però non ha nulla a che vedere con l’SQLinjection sfruttata poi per distribuire malware.

    Semplicemente hanno utilizzato la possibilità del socialnetwork creando account e relative pagine, facendo commenti e quindi aggregando informazioni (tra cui media vari) alle quali sono linkati finti codec installer a cui hai fatto riferimento.
    Ma non c’è nessuna SQLinjection.

  • # 11
    L’Inghilterra è sotto attacco - parte 1 - Appunti Digitali
     scrive: 

    […] escalation nell’ambito della sicurezza informatica. Il 23 febbraio uno white-hacker di nostra conoscenza ha affermato che il sito della lotteria nazionale inglese era vulnerabile a potenziali attacchi di […]

  • # 12
    Il team HackersBlog abbandona la scena - Appunti Digitali
     scrive: 

    […] si sottraggono al problema nemmeno le società, tra cui Kaspersky, BitDefender, F-Secure, Symantec, che dovrebbero in primis garantire con i propri prodotti un […]

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.