Pillola di sicurezza ICT

[keymaster]

Un'ora e mezzo fa ho ricevuto nell'ennesimo ghiottissimo messaggio di posta elettronica con "sorpresa", chiaramente non propriamente positiva per chi lo riceve.
Veniamo al contenuto: il sito Linkedin chiede di verificare il proprio indirizzo di posta elettronica, non la password questa volta. Una simile richiesta può risultare apparentemente lecita, soprattutto grazie al layout del messaggio, del tutto identico a quello originale. Tuttavia il link "nascosto" dietro il collegamento "Click here" è il seguente: http://bjyfzb.com/running. php (sconsiglio di utilizzarlo, per sicurezza ho aggiunto uno spazio per rendere tale link inattivo).

Analizzando l'indirizzo menzionato tramite un sito appositamente dedicato (netcraft.com) è possibile risalire ad alcune informazioni interessanti. In primis l'ubicazione fisica del server su cui è ospitato il dominio in questione. In questo caso si tratta di un server ubicato ad Hong Kong, e quel sito risulta essere stato attivato, più o meno, nel mese di gennaio 2016 ed è ospitato su un sistema operativo Microsoft Windows 2003 server (sistema operativo per altro anche piuttosto datato) ed ovviamente su piattaforma IIS 6. Non dispongo di una macchina virtuale da sacrificare per scoprire cosa faccia la pagina "running.php" ma è altamente probabile che si attivi un ramsonware (ovvero una sequenza di script che, al termine, esegue una cifratura con algoritmo AES256 del contenuto di alcune directory significative del sistema operativo, con successiva richiesta di riscatto). D'altra parte questa è l'attuale metodologia di lavoro preminente di questi siti con "sorpresa".

Per ulteriore scrupolo ho voluto vedere anche l'header del messaggio email per leggere l'indirizzo IP dell'MX (server di posta elettronica) mittente. Provando a ricontattare l'IP dell'MX mittente questo non risponde sulla porta 25, come ci si aspetterebbe. Ciò indica che, completato l'invio di una sequenza di messaggi con "esca", questo MX cessa di funzionare. Per altro, come mi immaginavo, quell'indirizzo IP è presente in oltre una decina di blacklist antispam poiché ogni invio di questi messaggi provoca, chiaramente, una reazione da parte dei gestori di MX che operano in modo lecito e spesso implementano delle policy che segnalano queste mail anomale, a loro volta, ai gestori di queste blacklist antispam. Quindi inutile continuare a tenere attivo un MX su un IP ormai "bruciato". L'indirizzo IP da cui è stato spedito il messaggio è, per altro, in una sottorete assegnata ad un operatore ICT italiano con sede a Milano... Si potrebbe bussare alla loro porta e domandare come mai da una macchina con sistema operativo Linux, presso la loro infrastruttura, vengono inviati messaggi fittizi di Linkedin con link "a sorpresa". Probabile che sia una "testa di ponte" visto che quel sistema opearativo Linux espone l'accesso alla shell SSH sulla consueta porta TCP 22 (qualunque buon amministratore di sistemi operativi Linux non lascerebbe mai che ciò avvenisse).

Fine della pillola di sicurezza.

[Edward]

Apprezzo sempre la tua precisione, keymaster. Dovresti scriverne altre, di queste pillole.

[Bianca]

Soprattutto per le salame come me...

[keymaster]

Apprezzo sempre la tua precisione, keymaster. Dovresti scriverne altre, di queste pillole.

Gentile Edward, se mi capitasse un altro messaggio ugualmente "ghiotto" ne effettuerò un'analisi similare. Magari prossimamente predisporrò una macchina virtuale da sacrificare per vedere cosa accade cliccando sul link con "sorpresa". Le macchine virtuali hanno il pregio di disporre della funzione "snapshot" (similare ai punti di ripristino) per poter tornare indietro ad una situazione pregressa stabile.
Potrebbe essere interessante indagare anche sui messaggi email che, in tempi recenti, simulano l'invio di fatture per ordinativi di materiale, presentando file allegati in formato .zip o .pdf. Sicuramente qualcuno di questi ghiotti messaggi sarà capitato anche a voi.

[Bianca]

E chi lo sa cosa aprii quando ebbi la criptazione di tutta la mia roba................

[gio74]

Una volta, spinto dalla curiosità, ho aperto un email del genere dove diceva click here... Ho dovuto formattare il PC... Tanto per dire il mio grado di "salamaggine"

[Bianca]

Almeno tu sai di averlo fatto di proposito.....io non so che cosa ho fatto...........

[gio74]

Hai fatto una salamata a tua insaputa

[Bianca]

È molto probabile....mi capita spesso...

[keymaster]

È molto probabile....mi capita spesso...

Gentilissima Bianca hai sperimentato direttamente il potere dei fantastici ramsonware. Se ogni utente avesse i propri dati su dispositivi separati e non collegati direttamente tramite USB o condivisioni di unità di rete, i ramsonware farebbero relativamente poco danno. L'ideale è disporre di dispositivi di archiviazione dati denominati NAS (network area storage) con accesso tramite protocollo SCP (secure copy) che ha il pregio di essere criptato e di non essere accessibile come unità di rete remota. Per altro utilizzando sistemi operativi Linux o derivati da Unix, la possibilità di incappare in un ramsonware è decisamente ridotta. Ad ogni modo, il miglior "antivirus" rimane l'utente medesimo. Se l'utente è addestrato e conosce i tranelli, qualunque antivirus software è del tutto inutile in quanto il suo comportamento lo porterà a ridurre allo 0,1% la possibilità di essere colpito. Purtroppo non c'è consapevolezza degli strumenti. Ovvero pochissimi sono in grado di leggere un header di un messaggio di posta elettronica e individuare tutti i passaggi tra i vari MX (Mail Exchanger, ovvero i server di posta elettronica).

Per altro il protocollo SMTP è stato scritto più di 35 anni fa e solo da pochi anni i vari MX hanno iniziato ad utlizzare una versione criptata (SMTPS-ecure) per le loro comunicazioni, che garantisce anche autenticazione delle comunicazioni. Ma non è un obbligo l'uso di questa versione più sicura del protocollo. Stesso ragionamento per il protocollo DNS, datato 1983, la cui "anzianità" è alla base di molti attacchi di tipo "DoS" (denial-of-service) volti a impedire l'accesso a indirizzi di rete che forniscono servizi.

[Bianca]

Key, grazie per tutte le informazioni che fornisci....
Penso che mi sarebbe utile un soggiorno di due anni e mezzo in Tirolo....
Se mi comportassi come l'animalino, tu pensi che potrebbe essere possibile?

E gli occhi di key iniziarono ad emettere lapilli...

[gio74]

Pure tre anni secondo me...

[Bianca]

Attento....
Potresti cacciarti nei guai....
Sai che, a volte, basta un sì...

[gio74]

Ma io parlavo per te mica per me...

[Bianca]

Scusa e, cosa credi che venga a fare in Tirolo?
Per venire a lezione da te.