La ShmooCon è una convention annuale, con sede a Washington DC, piuttosto importante nel panorama della sicurezza informatica e del hacking internazionale, e una settimana fa si è conclusa la sua quinta edizione. Conferenze di questo tipo sono molto importanti per aggiornarsi sulle ultime ricerche del settore e per entrate in contatto con l’underground informatico, ambiente ancora pieno di vita, prolifico e mutevole.
Quest’anno i partecipanti sono stati circa 1600 e le presentazioni ben 37, non abbiamo ovviamente lo spazio per analizzarle tutte, ci limiteremo quindi a descrivere brevemente quelle che mi sembrano più interessanti per un pubblico generalista. Questo farà luce su nuovi e interessanti traguardi tecnici cui si è giunti e permetterà di meglio comprendere le reali minacce che si profilano per la nostra sicurezza digitale.
Di indubbio fascino è la presentazione di Rick Farina che descrivere come modificare la propria schede di rete wireless al fine di estenderne lo spettro di funzionamento (di base intorno a 2,4 GHz) verso frequenze ben più alte e solitamente riservate, andando magari anche a scandagliare i 4,8 GHz e le comunicazioni cifrate Type 1 della National Security Agency statunitense.
Rimanendo tra le tecnologie senza fili, Michael Ossmann e Dominic Spill hanno descritto quali tecniche sia possibile utilizzare per monitorare in modo passivo tutti e 79 i canali del protocollo Bluetooth al fine di acquisire una notevole mole di informazioni sui dispositivi in zona (parliamo anche di alcune centinaia di metri se muniti di antenne speciali). Esistono poi tecniche più invasive per violare tali dispositivi, ma questo è un altro discorso.
Enno Rey e Daniel Mende hanno invece mostrato come sia possibile realizzare attacchi contro alcuni protocolli di rete responsabili del funzionamento delle backbone di Internet: BGP, MPLS, Carrier Ethernet e PBT. Si tratta soprattutto di attacchi che consentono di redirigere il traffico a piacimento e sono ovviamente molti più complessi rispetto a quelli solitamente effettuati su reti LAN; essi richiedono peraltro l’accesso alle infrastrutture di rete delle backbone, quindi certamente non li si può effettuare dal PC di casa. Considerata la sensibilità degli apparati coinvolti, è comunque bene tenerne conto.
Prajakta Jagdale, ricercatrice del HP Web Security Research Group, ha discusso della sicurezza delle applicazioni create con la Adobe Flash Platform e di come sia spesso facile comprometterle.
Chris Paget ha trattato uno dei temi caldi degli ultimissimi anni, la sicurezza dei dispositivi RFID. Con la tutto sommato modica cifra di 250$ egli ha creato un lettore RFID in grado di clonare certi passaporti e patenti di guida elettronici che si sono diffusi di recente negli Stati Uniti. Interessante è anche la distanza a cui queste carte possono essere lette: benché progettate per funzionare fino a circa 10 metri di distanza, non è troppo difficile riuscire a leggerle anche ad alcune centinaia di metri. Le conseguenze per la sicurezza e la privacy dei cittadini sono evidenti. Online è già disponibile l’intero filmato della presentazione.
In tempi di Web 2.0 e reti sociali, merita senza dubbio attenzione il talk di Nathan Hamiel e Shawn Moyer sulla sicurezza dei social networks. Essi hanno mostrato esempi di attacco su siti come MySpace, Facebook o LinkedIn, attraverso l’uso di varie tecniche come l’inserzione di codice HTML malevolo nei commenti, l’utilizzo di tag IMG per realizzare attacchi di CSRF, CSS o JavaScript hijacking, eccetera. Considerando che molti professionisti della sicurezza informatica sono cascati nelle trappole da loro realizzate come dimostrazione, non c’è da ben sperare per gli utenti comuni. Molti sono anche i suggerimenti dati ad utenti, sviluppatori e provider per rendere più sicuri i social network. Un articolo con intervista degli autori e altre riflessioni è disponibile su eWeek.
Jay Beale ha presentato un tool, Middler, per la realizzazione di attacchi Man-in-the-Middle in particolare su protocollo HTTP. Il tool permette di iniettare codice JavaScript in una sessione, dirottarla, effettuare vari tipi di redirect, e tante altre cose, anche sul protocollo cifrato HTTPS.
Gli attacchi di SQL injection, nonostante la loro anzianità, hanno ancora fatto parlare molto di loro nel 2008 per i centinaia di migliaia di siti web compromessi in poco tempo con attacchi distribuiti di questo tipo. Merita quindi attenzione la presentazione di Chema Alonso e Palako che presenta nuove tecniche per la loro attuazione.
Charlie Miller, già noto per essere stato il primo ad aver sviluppato un exploit remoto per iPhone e per altri importanti risultati, ha ora invece descritto i meccanismi di sicurezza presenti in Android, sistema operativo open source di Google per cellulari, come aggirarli per realizzare certi tipi di attacchi e ha mostrato un exploit remoto per l’HTC Dream (o T-Mobile G1) che sfrutta una vulnerabilità recentemente patchata.
Concludiamo questa carrellata con un firetalk di pochi minuti di Chris Gates che mostra come utilizzare il famoso framework per il penetration testing Metasploit per attaccare i database Oracle. Il video è reperibile a questo indirizzo.
Infine non si può non segnalare come allo ShmooCon sia stata presentata la prima beta pubblica di BackTrack 4, famosa distribuzione live Linux-based per il penetration testing, che in quest’ultima versione, oltre a varie migliorie tecniche e aggiornamenti software, si fa notare per il passaggio da Slax ad Ubuntu, con tutti i vantaggi di supporto che ne conseguono.
Le slides e i video di tutti i talk dovrebbero essere disponibili fra non molto sul sito della convention, permettendo a ciascuno di comprendere più in dettaglio gli argomenti desiderati. Per il momento un po’ di materiale è raccolto a questo indirizzo.
