La scorsa settimana ha avuto una certa risonanza la notizia che un gruppo di ricerca della University of California a Santa Barbara fosse riuscito ad entrare, all’inizio di quest’anno, nel cuore di una grossa botnet ed avesse così ottenuto un’enorme mole di dati riservati.
La botnet in questione si chiama Torpig (o Sinowal, Anserin, Mebroot), dal nome del malware che la controlla, il quale è specializzato nella cattura di dati personali e informazioni finanziarie degli utenti Windows.
Il cuore del malware consiste in un rootkit, Mebroot, che si inserisce nel Master Boot Record dell’hard disk così da eseguirsi in fase di boot, prima che il sistema operativo venga caricato, per massimizzare invasività e invisibilità ad anti-virus e simili.
Una volta infettata la macchina, il bot contatta ad intervalli di 20 minuti un server di Comando e Controllo (C&C) da cui riceve istruzioni e a cui passa i dati catturati, tra cui credenziali di accesso per Web-mail, FTP, POP3, SMTP, HTTP, password di Windows ed in pratica tutto ciò che viene digitato su tastiera, compresi messaggi su forum e chat, vista la presenza di un keylogger.
Torpig è solito diffondersi attraverso siti di drive-by download.
I ricercatori, come spiegano nel loro report, sono riusciti a dirottare il traffico della botnet sfruttando il modo in cui essa riceve comandi. Similmente a Conficker, infatti, Torpig genera una lista di domini con cui prova a comunicare (i server C&C), il primo che risulterà attivo potrà far eseguire operazioni a piacimento alla botnet, in particolare potrà catturare i dati che essa colleziona.
Siccome i domini che contatterà sono predicibili, e alcuni di essi non sono stati ancora registrati dai gestori della botnet, i ricercatori sono riusciti a registrarli al loro posto, prendendo così il controllo della botnet stessa per 10 giorni, dopo i quali i controllori “ufficiali” hanno cambiato il modo in cui Torpig cerca i server di C&C.
Durante quest’arco di tempo i ricercatori della UCSB hanno raccolto 70GB di dati tra cui quasi 300.000 credenziali di accesso (coppie username e password (cifrate e non)) provenienti da 53.000 distinti computer infetti, di cui 173.000 password univoche.
Hanno poi deciso di testare la robustezza di queste password, dandole in pasto al celebre password cracker John the Ripper, e riuscendo a recuperare circa 70.000 password in soli 75 minuti: più del 40%!
Hanno inoltre constatato che il 28% delle vittime erano solite riutilizzare le credenziali per accedere a siti differenti, risultato, purtroppo, assolutamente in linea con i dati snocciolati a marzo da Sophos sulle cattive abitudini degli utenti in fatto di password.
Ma l’aspetto forse più preoccupante di Torpig è la sua specialità nel catturare credenziali di accesso a servizi di online banking o numeri di carte di credito e non fa certo piacere constatare che l’Italia è al secondo posto in tutte le statistiche di credenziali rubate elencate nel report.
Al primo posto dei paesi con il maggior numero di host infetti da Torpig troviamo gli USA con 55.000 vittime, al secondo c’è l’Italia con 47.000 e al terzo la Germania con 24.000.
Per quanto riguarda il numero di credenziali per l’accesso a servizi di istituzioni finanziarie catturate dai ricercatori durante i 10 giorni di dirottamento della botnet, i dati parlano di 4.300 account per 60 diverse istituzioni negli USA, 1.500 account per 34 istituzioni in Italia, per un totale di 8.300 account considerando tutti i paesi. Al primo posto delle istituzioni troviamo PayPal (1.800), al secondo Poste Italiane (800) e al terzo Capital One (300).
I numeri di carta di credito catturati sono stati circa 1700, di cui il 49% dagli USA e il 12% dall’Italia.
Particolarmente sconcertante è il caso della cattura di 30 numeri di carta di credito da un singolo utente che si è rilevato poi essere un dipendente di un call center in lavoro da casa propria, mentre i numeri appartenevano ai clienti dell’azienda di cui lui era dipendente.
È un po’ come in auto: tu puoi essere il guidatore più prudente del mondo, ma il rischio che uno ti venga addosso non lo puoi gestire.
I ricercatori hanno ovviamente passato i dati ai soggetti coinvolti che hanno provveduto ad avvertire le proprie vittime.
Ricordo che in questi casi tutte le belle scritte che campeggiano sui siti di online commerce come “questo sito è protetto con SSL a 128 bit”, sono assolutamente inutili. Con Torpig (e tanti altri malware), la cattura della password avviene direttamente sul computer dell’utente, non quando viene trasferita sulla Rete.
In particolare, è risultato che il 38% delle password catturate fossero state ottenute dal password manager dei browser, piuttosto che da una sessione di login vera e propria.
Come è ovvio che sia, i ricercatori hanno affermato che la maggior parte delle vittime della botnet fossero utenti con sistemi malamente mantenuti e password facilmente indovinabili (ricordo che Conficker, oltre che sfruttano vulnerabilità in Windows, si diffonde anche, in LAN, indovinando le password delle condivisioni di rete).
Questo evidenzia come il problema del malware sia essenzialmente un problema culturale: “benché la gente sia istruita e capisca bene concetti come la sicurezza fisica e le necessità di mantenimento di un’auto, non comprende appieno le conseguenza di un comportamento irresponsabile durante l’uso di un computer.”
in pratica ci facciamo la figura degli utonti
abbiamo 1/4 della popolazione statunitense eppure quasi lo stesso numero di bot
e siamo al di sopra della Germania che ha una popolazione online più grande e migliori infrastrutture
insomma quando un italiano va online lo fa per trasmettere il numero della sua carta di credito ai russi
non c’è che dire proprio un primato da schifo
Ma questo significa che, a parte quei 10 giorni, la botnet è ancora attiva e pienamente controllata dai creatori? Comunque è un articolo molto interessante, grazie Alberto!
Per Fabio:
Sì, purtroppo la botnet è ancora perfettamente attiva.
Avranno distrutto almeno i dati che hanno prelevato.
“benché la gente sia istruita e capisca bene concetti come la sicurezza fisica e le necessità di mantenimento di un’auto, non comprende appieno le conseguenza di un comportamento irresponsabile durante l’uso di un computer.”
quant’è vera sta frase, assolutamente corrispondente alla realtà quotidiana, il più grande problema nell’ uso dei pc
non vedo l’ora di poter mettere le mani su uno dei creatori/gestori di botnet e ladri di credenziali nonchè soldi. Al che applicherei il concetto di “amplificazione del dolore”.
Quanto mi produno le mani a leggere queste cose.
Aggiungo solo una cosa. Se a chi ha creato virus in questi anni fosse capitato un decimo di quello che gli ho augurato, penso che sarebbe stata una strage…
una curiosità: dato che molti di questi rootkit sono invisibili, sconosciuti o quant’altro, questo vuol dire che anche in un sistema windows “allo stato dell’arte”, da un punto di vista degli applicativi di sicurezza, ce ne potrebbe essere uno o più d’uno?
non c’è alcun modo per rendersi conto con certezza se il proprio sistema (windows) è infetto?
e tagliare la testa al toro vorrebbe dire utilizzare un sistema linux?
Bel post, ma non credo che sia un problema culturale, o almeno mi sembra un modo per lavarsene le mani.
Il problema delle botnet è dovuto principalmente all’architettura di windows:
– molta gente lo prende pirata, per via del monopolio, e poi ha paura a fare gli aggiornamenti. Questa è una colpa degli utenti, ma anche i prezzi del software e la mancanza di alternative giustificano l’atteggiamento.
– su windows devi sempre eseguire roba, che arriva da fonti non del tutto fidate. Un bel sistema di pacchetti e repository toglierebbe moltissime infezioni.
– si lavora da root e non come utente non privilegiato.
– activeX, explorer e altri sw microsoft preinstallati fanno fare troppe cose ai dati che elaborano per essere sicuri.
Ti concedo che poi la gente non sa l’inglese e l’informatica e si mettono subito a fare cose complicate, ma il cliente ha sempre ragione.
Comunque la si guardi la situazione qui in Italia è tragica.
Sia nel rapporto tra truffati/popolazione che tra truffati/fruitori di internet siano primi alla grande.
Siamo degli analfabeti, sia informaticamente che tecnologicamente. Già con i cellulari la gente si fa letteralmente spennare da cose futili come suonerie e loghi. Figuriamoci se deve gestire una cosa complessa come un pc. Il problema è che queste persone non si rendono conto che oltre a provocare danni a se stesse, causano problemi agli altri. E sarà sempre peggio man mano che i servizi accessibili via web aumenteranno…
Dovrebbero fare trasmissioni televisive atte a creare una cultura informatica di base, come facevano negli anni 50 con le trasmissioni per l’alfabetizzazione di ampie fasce della popolazione.
Purtroppo la tv di oggi è quella che è, tra Grandi Fratelli, Fattorie, etc.
E una volta che certa gente rimane fregata, con chi vuoi che se la prenda: non con se stesso, ma con gli altri.
Non c’è speranza.
@ Andrea R
dissento su alcune cose:
> molta gente lo prende pirata, per via del monopolio, e poi ha paura a fare gli aggiornamenti. Q…
le persone comuni comprano i pc già bello che fatto, con installato Windows. Non averlo installato x risparmiare qualcosa è uno sbattimento non da poco. Se uno vuole installare Win Vista su un pc non recente dovrebbe PAGARE l’aggiornamento.
Se uno vuole un sistema + aggiornato potrebbe almeno fare un piccolo sforzo: mettere via i soldi oppure passare a una distro linux.
> su windows devi sempre eseguire roba, che arriva da fonti non del tutto fidate. Un bel sistema di pacchetti e repository toglierebbe moltissime infezioni.
sono d’accordissimo, ma sai che cause antitrust che partirebbero? Se si crea un repo unico chi lo andrebbe a gestire? Microsoft? Oppure un repo per ogni programma?
L’ideale sarebbe nascesse una fondazione che si occupasse di creare un repo unico per tutte le applicazioni Win opensource o freeware, mentre quelle commerciali se li gestissero le rispettive aziende. In questo modo sarebbe anche + facile aggiornare i programmi senza ogni volta cercare-scaricare-lanciare-fornire password admin-installare. Diventerebbe semplice quanto gli aggiornamenti di una qualsiasi distro linux, senza bisogno di quei software-accrocchio che sono SuMo, Star Updeter, etc.
> si lavora da root e non come utente non privilegiato
con vista hanno già imboccato la strada giusta. Ora sta ai produttori dei programmi adeguarsi. Non è possibile nel 2009 che alcuni software non funzionino senza i privilegi massimi. Non è possibile che per cambiare la posizione dei link ai programmi nel menu principade debba ogni volta inserire la password di admin.
> activeX, explorer e altri sw microsoft preinstallati fanno fare troppe cose ai dati che elaborano per essere sicuri.
Guarda, la situazione è nettamente migliorata, gli activex spero scompaiano definitivamente tra qualche anno…
a tutto c’è rimedio …. per gli italici ne esiste uno soltanto:
http://www.youtube.com/watch?v=77ZWoKBxWWc
QUOTE: non c’è alcun modo per rendersi conto con certezza se il proprio sistema (windows) è infetto? /QUOTE
mi rispondo da solo:
cercando “rootkit scanner” in G. si trovano varie pagine. in una molto interessante di MS ( http://technet.microsoft.com/it-it/sysinternals/bb897445(en-us).aspx ) si parla di un’utility di sysinternals che permette di identificare i rootkit, anche se non in modo semplice nè sicuro al 100%; su tale pagina si rimanda al forum di sysinternals per imparare a leggere l’output -davvero criptico- dello scanner in questione il meglio possibile.
Tuttavia c’è una frase lapidaria che non lascia ben sperare:
“Unfortunately, there is no definitive way to determine, based on the output, if a rootkit is present”
si riferisce allo scanner della sysinternals, ma suppongo sia traslabile a qualunque metodo disponibile per identificare i rootkit.
:(
@sam, certo un miglioramento lo stiamo vedendo, ma uac di vista è fatto male e tutto il mondo antivirus è sempre una cavolata.
Per la questione dei repo, una soluzione si potrebbe trovare. IHMO chissenefrega, io son su linux da 5 anni.
Ma di utenti medi che comprano il pc e hanno windows pirata ne vedo parecchi e dirgli “non eseguire roba” e poi “installa firefox” li manda già nel pallone, perchè purtroppo è una contraddizione.
fixmbr?
Io mi ricordo che sull’amiga, nel momento che ho controllato avevo una collezione di virus che partivano con il MBR da floppy. La soluzione era l’antivirus che all’avvio riproduceva il messaggio: zerovirus3 says that your boot record is free
Ma come è possibile che dopo parta normalmente il sistema operativo? Una VM? ma che emuli TUTTO l’hw senza impostazioni è dura
Articolo interessante.
Avrei alcune domande:
1)Sbaglio o il rootkit Mebroot si può prendere anche solo visitando un sito internet con un browser bacato?
2)Ma gli UAC di Vista/7 bloccano questo malware?
3)Gli UAC di Vista/7 offre più o meno protezione dei permessi del mondo *nix?
Per lakar:
1) Assolutamente sì, è quello che ho scritto: Torpig (che contiene Mebroot) è solito diffondersi attraverso siti di drive-by download.
2) Purtroppo non mi risulta, i malware da tempo hanno imparato a bypassare l’UAC.
3) La gestione dei permessi in ambiente Windows è ancora inferiore rispetto a Unix: l’UAC di Vista è appunto facilmente bypassabile, lo era anche quello di 7, non so se con la RC lo sia ancora.
In ambiente Unix è a volte bypassabole un chroot, ma non la gestione dei permessi utente, a meno di vulnerabilità di local privilege escalation, ma è un caso particolare che affligge qualsiasi OS a causa di falle in software con elevati privilegi, non a causa di errori nel design della gestione dei permessi da parte dell’OS, come per Windows.
“John the Ripper password cracker”
Volevo mettere allaprova le mie password ma se provate a scaricarlo dal sito indicato nell’articolo quando lo estraete viene rilevato un exe come cavallo di troia ed eliminato dall’antivirus. E’ normale?
Per lever:Si, è normale, metti in pausa l’antivirus mentre lo usi.
———————–
Per Alberto Trivero:
I cd antimalware che mettono a disposizione gratuitamente i produttori di antivirus riescono a beccare questi virus?
Io credo di si, come anche le distro live antivirus.
Eventualmente c’è qualche software che analizza il traffico di rete per scovare lo scambio di dati virus-server-botnet(anche se immagino che i pacchetti saranno cammuffati)?
x Alberto Trivero
1)Oops, è vero, l’avevi scritto nell’articolo ma io avevo saltato quella riga! Chiedo venia.
2)Ma allora come ci si può difendere? Cambiare browser? NoScript di firefox?
3)Scusa ma forse volevi scrivere il contrario e cioè che “La gestione dei permessi in ambiente Windows è ancora inferiore rispetto a Unix” altrimenti sembra in contraddizione con quello scritto sotto o forse sono io che non ho capito qualcosa?
A proposito: perchè non scrivi un articolo sulle differenze tra UAC e gestione permessi di *nix (Unix, Linux,MacOS) e sulle loro vulnerabilità? Sarebbe molto interessante!
Per lakar:
Sì scusa volevo dire il contrario, succede quando si è appena svegli.. Ora ho corretto il commento.
Mantenere un qualsiasi browser aggiornato è già un buon modo per difendersi da molti attacchi di drive-by download. Noscript può essere utile anche se può azzoppare la navigazione su molti siti. Firefox non è una garanzia se non è aggiornato, ci sono exploit che sfruttano sue vulnerabilità e che eseguono codice arbitrario sulla macchina vittima. IE8 pare anche sia un buon browser.
Magari con la prossima uscita di Windows 7 analizzero com’è mutata la gestione dei permessi utente e la paragonerò a quella dei sistemi Unix-based.
Per Mech:
Il traffico generato dalle botnet è quasi sempre criptato o quantomeno offuscato, sinceramente però non so come sia il caso specifico di Torpig.
Mebroot oggigiorno dovrebbe essere individuato, esistono però numerose techiche per creare rootkit attualmente invisibili, sia su Windows che su Linux.
Joanna Rutkowska negli ultimi anni si è occupata molto dell’argomento, qui chi vuole può trovare un po’ di materiale: http://www.invisiblethings.org/papers.html
Per Alberto:
non condivido alcuni tuoi punti. Esattamente queste due affermazioni:
2) Purtroppo non mi risulta, i malware da tempo hanno imparato a bypassare l’UAC.
3) La gestione dei permessi in ambiente Windows è ancora inferiore rispetto a Unix: l’UAC di Vista è appunto facilmente bypassabile, lo era anche quello di 7, non so se con la RC lo sia ancora.
Riguardo al punto 2, potresti fare qualche esempio di un codice nocivo che è in grado di bypassare tecnicamente l’UAC? L’UAC di Vista non è possibile bypassarlo in alcun modo, a meno di bug residenti nel codice di implementazione di Windows, ma lo stesso può valere per qualunque altro sistema operativo quale Linux. L’unico modo per bypassare l’UAC è quello di ingannare l’utente, ma se per “bypassare l’UAC” intendi far leva sull’incoscienza dell’utenza, a quel punto stai tranquillo che lo stesso vale per un sistema operativo alternativo, tra i quali risulta anche Linux.
3) La gestione dei permessi in ambiente Windows è incredibilmente complessa e per alcuni aspetti superiore a Unix. Il problema è saperli impostare e gestire, cosa che mentre chi si affaccia a Linux ci si trova a lavorarci immediatamente, con Windows non è altrettanto immediato. Per il fatto che l’UAC di Vista è facilmente bypassabile aspetto dei riscontri tecnici, per quanto riguarda quello di Windows 7 quello è purtroppo un effetto collaterale della gente che si lamenta e vuole il massimo della sicurezza con il minimo dell’invasività.
Per Ringo:
Eccoti alcune prove:
http://www.google.com/search?q=bypass+uac
http://209.85.229.132/search?q=cache:yY7f_rjZsHIJ:robpaveza.net/VistaUACExploit/UACExploitWhitepaper.pdf+User-Prompted+Elevation+of+Unintended+Code+in+Windows+Vista+filetype:pdf&cd=1&hl=it&ct=clnk&client=safari
http://www.symantec.com/avcenter/reference/Windows_Vista_Security_Model_Analysis.pdf
http://troyanosyvirus.com.ar/2009/03/vistauacmaker-bypass-uac.html
“Para los que programan malware, la UAC no tendria que generar problemas, ya que se puede modificar HKCU sin permisos, tambien se puede escribir sobre carpetas comunes como ProgramDatta. La UAC es un buen sistema de seguridad, pero solo para malware antiguo, hoy en dia es muy facil saltearselo.”
Confido nella semplicità dello spagnolo.. Gli argentini sono ottimi autori e utilizzatori di malware, fidati..
L’UAC di Windows contiene vulnerabilità e palesi errori di design. La gestione dei permessi nei sistemi Unix-based non contiene falle da non so più quanti anni. Le eventuali privilege escalation sono da imputarsi a vulnerabilità residenti in software di terze parti che gira con privilegi elevanti, in software con il bit SUID attivo, o nel sistema operativo stesso: non nel codice deputato alla gestione dei permessi di accesso!
Poi, al di là delle impostazioni di default, ad evidente vantaggio di Linux, non mi risulta che Windows implementi strumenti sofisticati come SELinux che permette gestioni degli accessi di tipo DAC, MAC o RBAC.
Per l’appunto, come volevasi dimostrare. Eventuali attacchi a ciò che riguarda l’ambiente limitato all’utente sono un altro discorso che non c’entrano niente con l’efficacia dell’UAC.
Lo UAC è studiato per impedire a qualsiasi software di alterare il sistema operativo, non per impedire a qualsiasi utente di fare ciò che vuole nel proprio account. Grazie che la chiave di registro HKCU è accessibile senza prompt dell’UAC, è una chiave limitata all’utente in questione e non al sistema. Su Linux è altrettanto possibile per un utente modificare e configurare la partenza di determinati software all’avvio del *proprio* account. Ciò non indica che l’utente possa farlo per il sistema in maniera globale, perché sia su Linux che su Windows Vista con UAC è impossibile farlo a meno di ingannare l’utente.
Se si vuole un programma che controlli anche l’utente e quello che fa nel proprio spazio, quello non è compito dell’UAC, è compito di qualsiasi altro software di sicurezza.
Nessuno di quei documenti spiega in maniera tecnica come bypassare l’UAC e quelli che spiegano alcuni possibili scenari tecnici d’attacco sono documenti vecchi che facevano riferimento ad una versione beta di Windows Vista. Inutile dirlo, nella versione finale di Windows Vista molte delle lacune che erano state individuate sono state risolte.
Per il discorso del privilege escalation: è ovvio quello che dici tu, quasi palese. E, comunque, rileggendo la frase:
“sono da imputarsi a vulnerabilità residenti in software di terze parti che gira con privilegi elevanti, in software con il bit SUID attivo, o nel sistema operativo stesso: non nel codice deputato alla gestione dei permessi di accesso”
il codice che gestisce i permessi d’accesso è comunque parte del sistema operativo ;)
Scusa, mi ero scordato di rispondere a strumenti sofisticati quali SELinux che permette accessi DAC/MDAC/RBAC
http://msdn.microsoft.com/en-us/library/ms692877(VS.85).aspx
http://windowsitpro.com/Windows/Articles/ArticleID/38775/pg/2/2.html
x Alberto Trivero
Tornando sul discorso dei malware drive-by-download mi sono dimenticato di chiederti se il browser Chrome con la sua famosa sandbox può essere più efficace di Firefox+NoScript
x Ringo e Alberto Trivero
Perchè l’UAC di windows 7 sarebbe più vulnerabile di quello di Vista? Per la sua impostazione di default? E alzandolo al massimo livello si riavrebbe la protezione di Vista?
Un’altra cosa che mi sono chiesto spesso: perchè in Vista/7 l’UAC si può disattivare? Questioni di retrocompatibilità o cos’altro?
Lakar:
L’UAC di Windows 7 è stato reso regolabile, ciò significa che l’utente può scegliere quale livello di sicurezza avere. Mentre l’UAC di Windows Vista è “fisso” e l’utente viene inondato spesso di richieste di approvazione, grazie ai livelli di configurazione l’UAC di Windows 7 può diventare più o meno invasivo. Ovviamente, tutto ciò ha una ripercussione dal punto di vista sicurezza. Meno invasività significa che ci deve essere per forza un compromesso con la sicurezza, ovvero vengono controllate meno cose oppure alcune vengono date “per scontate”. Viceversa, se il livello di sicurezza dell’UAC viene regolato al massimo, molte delle “falle” (anche se non sono vere e proprie falle) riscontrate verranno risolte, tornando però ad un livello di allarme esagerato per la maggior parte delle persone.
La gente vuole il massimo della sicurezza al minimo dell’invasività, ma ciò non è possibile. Per poter ottenere una cosa del genere bisogna per forza fare qualche compromesso.
Il livello di default dell’UAC di Windows 7 è studiato per ottenere un buon livello di sicurezza ed un limitato numero di avvisi per l’utente. Chiaro, così ci sono delle falle che possono essere sfruttate. Come dicevo prima: non si può avere la botte piena e la moglie ubriaca.
Perché l’UAC è disattivabile? Guarda l’impatto negativo che ha avuto l’UAC con la maggior parte delle persone che hanno installato Vista e capisci perché sia possibile disattivarlo.
Per lakar:
La sandbox di Chrome diventa molto utile nel rendere molto difficile lo sviluppo di un exploit per il browser e quindi rende più arduo compromettere un sistema attraverso di esso. E’ una cosa molto diversa rispetto a Noscript che è utile in altri aspetti della sicurezza web.
[…] I drive-by dowloads, ovvero i downlaod (di solito malevoli) che avvengono senza il consenso dell’utente, sono uno dei metodi preferiti dal malware per diffondersi, come abbiamo visto un paio di settimane fa nel caso della botnet Torpig. […]
[…] Ricordo che nei mesi passati sono comparsi in rete diversi exploit pubblici per i reader PDF di casa Adobe. Considerando la pervasività di tale prodotto e il fatto che è spesso eseguibile in automatico da un sito web attraverso il browser, lo rendono un bersaglio molto allettante per i malintenzionati per compromettere un sistema e magari trasformarlo in un computer zombie parte di una botnet. […]