Pillola di sicurezza ICT
- keymaster
- A-postolo Asexy
- Messaggi: 462
- Iscritto il: mer mag 28, 2008 11:58 pm
- Orientamento: asessuale, aromantico
- Genere: cyborg
- Località: Via Lattea, Sistema Solare, 3° pianeta
Pillola di sicurezza ICT
Un'ora e mezzo fa ho ricevuto nell'ennesimo ghiottissimo messaggio di posta elettronica con "sorpresa", chiaramente non propriamente positiva per chi lo riceve.
Veniamo al contenuto: il sito Linkedin chiede di verificare il proprio indirizzo di posta elettronica, non la password questa volta. Una simile richiesta può risultare apparentemente lecita, soprattutto grazie al layout del messaggio, del tutto identico a quello originale. Tuttavia il link "nascosto" dietro il collegamento "Click here" è il seguente: http://bjyfzb.com/running. php (sconsiglio di utilizzarlo, per sicurezza ho aggiunto uno spazio per rendere tale link inattivo).
Analizzando l'indirizzo menzionato tramite un sito appositamente dedicato (netcraft.com) è possibile risalire ad alcune informazioni interessanti. In primis l'ubicazione fisica del server su cui è ospitato il dominio in questione. In questo caso si tratta di un server ubicato ad Hong Kong, e quel sito risulta essere stato attivato, più o meno, nel mese di gennaio 2016 ed è ospitato su un sistema operativo Microsoft Windows 2003 server (sistema operativo per altro anche piuttosto datato) ed ovviamente su piattaforma IIS 6. Non dispongo di una macchina virtuale da sacrificare per scoprire cosa faccia la pagina "running.php" ma è altamente probabile che si attivi un ramsonware (ovvero una sequenza di script che, al termine, esegue una cifratura con algoritmo AES256 del contenuto di alcune directory significative del sistema operativo, con successiva richiesta di riscatto). D'altra parte questa è l'attuale metodologia di lavoro preminente di questi siti con "sorpresa".
Per ulteriore scrupolo ho voluto vedere anche l'header del messaggio email per leggere l'indirizzo IP dell'MX (server di posta elettronica) mittente. Provando a ricontattare l'IP dell'MX mittente questo non risponde sulla porta 25, come ci si aspetterebbe. Ciò indica che, completato l'invio di una sequenza di messaggi con "esca", questo MX cessa di funzionare. Per altro, come mi immaginavo, quell'indirizzo IP è presente in oltre una decina di blacklist antispam poiché ogni invio di questi messaggi provoca, chiaramente, una reazione da parte dei gestori di MX che operano in modo lecito e spesso implementano delle policy che segnalano queste mail anomale, a loro volta, ai gestori di queste blacklist antispam. Quindi inutile continuare a tenere attivo un MX su un IP ormai "bruciato". L'indirizzo IP da cui è stato spedito il messaggio è, per altro, in una sottorete assegnata ad un operatore ICT italiano con sede a Milano... Si potrebbe bussare alla loro porta e domandare come mai da una macchina con sistema operativo Linux, presso la loro infrastruttura, vengono inviati messaggi fittizi di Linkedin con link "a sorpresa". Probabile che sia una "testa di ponte" visto che quel sistema opearativo Linux espone l'accesso alla shell SSH sulla consueta porta TCP 22 (qualunque buon amministratore di sistemi operativi Linux non lascerebbe mai che ciò avvenisse).
Fine della pillola di sicurezza.
Veniamo al contenuto: il sito Linkedin chiede di verificare il proprio indirizzo di posta elettronica, non la password questa volta. Una simile richiesta può risultare apparentemente lecita, soprattutto grazie al layout del messaggio, del tutto identico a quello originale. Tuttavia il link "nascosto" dietro il collegamento "Click here" è il seguente: http://bjyfzb.com/running. php (sconsiglio di utilizzarlo, per sicurezza ho aggiunto uno spazio per rendere tale link inattivo).
Analizzando l'indirizzo menzionato tramite un sito appositamente dedicato (netcraft.com) è possibile risalire ad alcune informazioni interessanti. In primis l'ubicazione fisica del server su cui è ospitato il dominio in questione. In questo caso si tratta di un server ubicato ad Hong Kong, e quel sito risulta essere stato attivato, più o meno, nel mese di gennaio 2016 ed è ospitato su un sistema operativo Microsoft Windows 2003 server (sistema operativo per altro anche piuttosto datato) ed ovviamente su piattaforma IIS 6. Non dispongo di una macchina virtuale da sacrificare per scoprire cosa faccia la pagina "running.php" ma è altamente probabile che si attivi un ramsonware (ovvero una sequenza di script che, al termine, esegue una cifratura con algoritmo AES256 del contenuto di alcune directory significative del sistema operativo, con successiva richiesta di riscatto). D'altra parte questa è l'attuale metodologia di lavoro preminente di questi siti con "sorpresa".
Per ulteriore scrupolo ho voluto vedere anche l'header del messaggio email per leggere l'indirizzo IP dell'MX (server di posta elettronica) mittente. Provando a ricontattare l'IP dell'MX mittente questo non risponde sulla porta 25, come ci si aspetterebbe. Ciò indica che, completato l'invio di una sequenza di messaggi con "esca", questo MX cessa di funzionare. Per altro, come mi immaginavo, quell'indirizzo IP è presente in oltre una decina di blacklist antispam poiché ogni invio di questi messaggi provoca, chiaramente, una reazione da parte dei gestori di MX che operano in modo lecito e spesso implementano delle policy che segnalano queste mail anomale, a loro volta, ai gestori di queste blacklist antispam. Quindi inutile continuare a tenere attivo un MX su un IP ormai "bruciato". L'indirizzo IP da cui è stato spedito il messaggio è, per altro, in una sottorete assegnata ad un operatore ICT italiano con sede a Milano... Si potrebbe bussare alla loro porta e domandare come mai da una macchina con sistema operativo Linux, presso la loro infrastruttura, vengono inviati messaggi fittizi di Linkedin con link "a sorpresa". Probabile che sia una "testa di ponte" visto che quel sistema opearativo Linux espone l'accesso alla shell SSH sulla consueta porta TCP 22 (qualunque buon amministratore di sistemi operativi Linux non lascerebbe mai che ciò avvenisse).
Fine della pillola di sicurezza.
Peter: E lei Alice, è mestruata al momento?
Bibliotecario: Scusi, questo che c'entra?
Peter: Non rompiamo! Si inchini alla scienza!
Bibliotecario: Scusi, questo che c'entra?
Peter: Non rompiamo! Si inchini alla scienza!
- Edward
- AVENita di Classe A
- Messaggi: 2738
- Iscritto il: mar dic 09, 2014 10:49 pm
- Orientamento: ♠
- Genere: f
Re: Pillola di sicurezza ICT
Apprezzo sempre la tua precisione, keymaster. Dovresti scriverne altre, di queste pillole.
- Bianca
- AVEN Mastermind
- Messaggi: 29909
- Iscritto il: lun mar 10, 2014 7:11 pm
- Orientamento: Eterosessuale Sessuale Romanti
- Genere: Signora
Re: Pillola di sicurezza ICT
Soprattutto per le salame come me...
- keymaster
- A-postolo Asexy
- Messaggi: 462
- Iscritto il: mer mag 28, 2008 11:58 pm
- Orientamento: asessuale, aromantico
- Genere: cyborg
- Località: Via Lattea, Sistema Solare, 3° pianeta
Re: Pillola di sicurezza ICT
Gentile Edward, se mi capitasse un altro messaggio ugualmente "ghiotto" ne effettuerò un'analisi similare. Magari prossimamente predisporrò una macchina virtuale da sacrificare per vedere cosa accade cliccando sul link con "sorpresa". Le macchine virtuali hanno il pregio di disporre della funzione "snapshot" (similare ai punti di ripristino) per poter tornare indietro ad una situazione pregressa stabile.Edward ha scritto:Apprezzo sempre la tua precisione, keymaster. Dovresti scriverne altre, di queste pillole.
Potrebbe essere interessante indagare anche sui messaggi email che, in tempi recenti, simulano l'invio di fatture per ordinativi di materiale, presentando file allegati in formato .zip o .pdf. Sicuramente qualcuno di questi ghiotti messaggi sarà capitato anche a voi.
Peter: E lei Alice, è mestruata al momento?
Bibliotecario: Scusi, questo che c'entra?
Peter: Non rompiamo! Si inchini alla scienza!
Bibliotecario: Scusi, questo che c'entra?
Peter: Non rompiamo! Si inchini alla scienza!
- Bianca
- AVEN Mastermind
- Messaggi: 29909
- Iscritto il: lun mar 10, 2014 7:11 pm
- Orientamento: Eterosessuale Sessuale Romanti
- Genere: Signora
Re: Pillola di sicurezza ICT
E chi lo sa cosa aprii quando ebbi la criptazione di tutta la mia roba................
- gio74
- (A)VENdicatore
- Messaggi: 1637
- Iscritto il: dom ott 30, 2016 9:02 pm
- Orientamento: etero
- Genere: maschile
Re: Pillola di sicurezza ICT
Una volta, spinto dalla curiosità, ho aperto un email del genere dove diceva click here... Ho dovuto formattare il PC... Tanto per dire il mio grado di "salamaggine"
- Bianca
- AVEN Mastermind
- Messaggi: 29909
- Iscritto il: lun mar 10, 2014 7:11 pm
- Orientamento: Eterosessuale Sessuale Romanti
- Genere: Signora
Re: Pillola di sicurezza ICT
Almeno tu sai di averlo fatto di proposito.....io non so che cosa ho fatto...........
- gio74
- (A)VENdicatore
- Messaggi: 1637
- Iscritto il: dom ott 30, 2016 9:02 pm
- Orientamento: etero
- Genere: maschile
Re: Pillola di sicurezza ICT
Hai fatto una salamata a tua insaputa
- Bianca
- AVEN Mastermind
- Messaggi: 29909
- Iscritto il: lun mar 10, 2014 7:11 pm
- Orientamento: Eterosessuale Sessuale Romanti
- Genere: Signora
Re: Pillola di sicurezza ICT
È molto probabile....mi capita spesso...
- keymaster
- A-postolo Asexy
- Messaggi: 462
- Iscritto il: mer mag 28, 2008 11:58 pm
- Orientamento: asessuale, aromantico
- Genere: cyborg
- Località: Via Lattea, Sistema Solare, 3° pianeta
Re: Pillola di sicurezza ICT
Gentilissima Bianca hai sperimentato direttamente il potere dei fantastici ramsonware. Se ogni utente avesse i propri dati su dispositivi separati e non collegati direttamente tramite USB o condivisioni di unità di rete, i ramsonware farebbero relativamente poco danno. L'ideale è disporre di dispositivi di archiviazione dati denominati NAS (network area storage) con accesso tramite protocollo SCP (secure copy) che ha il pregio di essere criptato e di non essere accessibile come unità di rete remota. Per altro utilizzando sistemi operativi Linux o derivati da Unix, la possibilità di incappare in un ramsonware è decisamente ridotta. Ad ogni modo, il miglior "antivirus" rimane l'utente medesimo. Se l'utente è addestrato e conosce i tranelli, qualunque antivirus software è del tutto inutile in quanto il suo comportamento lo porterà a ridurre allo 0,1% la possibilità di essere colpito. Purtroppo non c'è consapevolezza degli strumenti. Ovvero pochissimi sono in grado di leggere un header di un messaggio di posta elettronica e individuare tutti i passaggi tra i vari MX (Mail Exchanger, ovvero i server di posta elettronica).Bianca ha scritto:È molto probabile....mi capita spesso...
Per altro il protocollo SMTP è stato scritto più di 35 anni fa e solo da pochi anni i vari MX hanno iniziato ad utlizzare una versione criptata (SMTPS-ecure) per le loro comunicazioni, che garantisce anche autenticazione delle comunicazioni. Ma non è un obbligo l'uso di questa versione più sicura del protocollo. Stesso ragionamento per il protocollo DNS, datato 1983, la cui "anzianità" è alla base di molti attacchi di tipo "DoS" (denial-of-service) volti a impedire l'accesso a indirizzi di rete che forniscono servizi.
Peter: E lei Alice, è mestruata al momento?
Bibliotecario: Scusi, questo che c'entra?
Peter: Non rompiamo! Si inchini alla scienza!
Bibliotecario: Scusi, questo che c'entra?
Peter: Non rompiamo! Si inchini alla scienza!
- Bianca
- AVEN Mastermind
- Messaggi: 29909
- Iscritto il: lun mar 10, 2014 7:11 pm
- Orientamento: Eterosessuale Sessuale Romanti
- Genere: Signora
Re: Pillola di sicurezza ICT
Key, grazie per tutte le informazioni che fornisci....
Penso che mi sarebbe utile un soggiorno di due anni e mezzo in Tirolo....
Se mi comportassi come l'animalino, tu pensi che potrebbe essere possibile?
E gli occhi di key iniziarono ad emettere lapilli...
Penso che mi sarebbe utile un soggiorno di due anni e mezzo in Tirolo....
Se mi comportassi come l'animalino, tu pensi che potrebbe essere possibile?
E gli occhi di key iniziarono ad emettere lapilli...
- gio74
- (A)VENdicatore
- Messaggi: 1637
- Iscritto il: dom ott 30, 2016 9:02 pm
- Orientamento: etero
- Genere: maschile
Re: Pillola di sicurezza ICT
Pure tre anni secondo me...
- Bianca
- AVEN Mastermind
- Messaggi: 29909
- Iscritto il: lun mar 10, 2014 7:11 pm
- Orientamento: Eterosessuale Sessuale Romanti
- Genere: Signora
Re: Pillola di sicurezza ICT
Attento....
Potresti cacciarti nei guai....
Sai che, a volte, basta un sì...
Potresti cacciarti nei guai....
Sai che, a volte, basta un sì...
- gio74
- (A)VENdicatore
- Messaggi: 1637
- Iscritto il: dom ott 30, 2016 9:02 pm
- Orientamento: etero
- Genere: maschile
Re: Pillola di sicurezza ICT
Ma io parlavo per te mica per me...
- Bianca
- AVEN Mastermind
- Messaggi: 29909
- Iscritto il: lun mar 10, 2014 7:11 pm
- Orientamento: Eterosessuale Sessuale Romanti
- Genere: Signora
Re: Pillola di sicurezza ICT
Scusa e, cosa credi che venga a fare in Tirolo?
Per venire a lezione da te.
Per venire a lezione da te.