In sintesi, leggendo le anticipazioni del report, mi pare di capire che il lavoro degli anonymous a qualcosa sia servito

Dopo la lunga serie di attacchi avvenuti nel 2011 ad organizzazioni di primaria grandezza,  che si ritenevamo sicure e attrezzate in fatto di difesa, in questo inizio anno l’Information Security è un tema ancor più caldo. Gli attacchi hanno portato ad una presa di coscienza sull’urgenza di prevedere meglio i rischi, le vulnerabilità ed i possibili danni connessi all’interruzione del business ed alla perdita di reputazione.

Nonostante tutto

Frenano invece gli investimenti in Information Security alcuni fattori, tra cui il costo che è indicato come principale ostacolo da circa un rispondente su due in tutte le industry  coinvolte nella survey, dal settore bancario alla pubblica amministrazione.

E non di meno

Seguono la difficoltà nel dimostrare la necessità dell’investimento in strumenti e azioni che garantiscano la sicurezza e la mancanza di una cultura aziendale che lo favorisca.

• Test configuration: E’ stato implementato un link per testare la configurazione;
• Block Query > 255 char: Il blocco delle query troppo lunghe (>255 caratteri) è diventata una opzione, disabilitata di default;
• User Agent Empty: Le query con User Agent vuoto sono state isolate dal resto degli attacchi via User Agent e dalle opzioni di notifica email. Anche questa opzione è disabilitata di default;
• Attack Message: Ora è possibile scegliere se mostrare mostrare all’attaccante il messaggio di alert ogni volta che viene individuata una query sospetta o non mostrare nulla (Blank Page). L’alert è impostato di default.

Ecco come appare la nuova pagina delle impostazioni.

La to-do list e le riflessioni di seguito riportate verranno aggiornate con i nuovi feedback e le soluzioni che mi verranno in mente o suggerite dagli utenti. Ultimo aggiornamento 30/01/2012 ore 22:45

1. Log dei tentativi di intrusioni, magari limitato agli ultimi 10/30 giorni
2. Pulsante test per verificare plugin e notifica email
3. Blocco di qualsiasi query di lunghezza superiore a 255 caratteri: rischio falsi positivi
4. Alert di notifica per l’attaccante come opzione
5. Descrizione dettagliata dell’attacco
6. Indirizzo email alternativo per notifica attacco

LOG: Non condivido il primo punto, quello dei log. Abilitando la funzione di notifica email è possibile tenere traccia degli attacchi in tempo (quasi) reale. Implementare un log vuol dire sporcare il database di wordpress, personalmente mi infastidisco quando lo fanno gli altri plugins.

PULSANTE TEST: Mi trovate completamente d’accordo.

BLOCCO QUERY > 255: Credo che una soluzione potrebbe essere quella di lasciare all’utente la scelta di abilitare o meno questa opzione.

ALERT NOTIFICA: Per evitare di fornire indizi, le alternative all’alert che viene mostrato all’attaccante potrebbero essere:

• Pagina bianca
• Errore 404
• Redirect in home page

Implicitamente viene comunque fornito un indizio

Ecco la preview di ciò che inizialmente è nato come IDS per monitorare gli attacchi ai miei blog e man mano cresciuto fino a prendere le sembianze di un IPS.

WP WAF è un plugin per WordPress (leggero e per nulla invasivo) il cui scopo è quello di bloccare ed eventualmente notificare alla propria casella di posta i dettagli dell’attacco alla piattaforma.

Di default la notifica email degli attacchi non è abilitata. Per attivare questa funzione basta accedere al pannello di configurazione dal menu Impostazioni -> WP WAF impostare l’indirizzo email sul quale si desidera ricevere segnalazione e selezionare le opzioni di notifica.

L’opzione di notifica email degli attacchi via “User Agent” è sconsigliato attivarla per via delle richieste massive dei bot con user agent vuoto alle pagine del vostro blog. Le funzioni di notifica non influiscono sul meccanismo di protezione, gli attacchi vengono comunque bloccati a patto che il plugin sia attivo.

Non ho ancora caricato il plugin sul repository ufficiale wordpress, per il momento l’ho distribuito a una decina di amici blogger che ho scelto come beta tester. Se qualcuno è interessato a testarlo può contattarmi via email.

Aggiornamento: Feedback e riflessioni qui

Per l’executive summary date sfogo alla vostra ispirazione e non dimenticate i grafici, quelli non passano mai di moda.

Gli account Gmail sono sempre più preziosi:

• 5 Million Gmail Emails $150.00
• 30 Million Yahoo Emails $250.00

E con soli $99.00 al mese potrete

Salient Features:

1. Sends 300,000 Emails Per Day
2. 2000 Emails Per Shot
3. All emails are delivered to Inbox to major domains like hotmail.com, yahoo.com, gmail.com, gmail.com and others. Guaranteed.
4. Your own PHP Mailer + Password Protected for security.
5. No SMTP Required.
6. Your IP is hidden for anonymity.

Insomma, basta disporre di un budget di circa $300.00 per cominciare (bene).

Questa volta alla ricerca delle web shell tramite una sintassi grep

grep -RPn "(system|phpinfo|pcntl_exec|python_eval|base64_decode|gzip|mkdir|fopen|fclose|readfile|passthru)" /pathto/webdir/

o con l’ausilio di NeoPI.

Un occhio bene allenato è indispensabile per distinguere i falsi positivi dalle reali compromissioni.

La situazione attuale è più o meno simile a quella descritta da Johann nel 2008 con la lieve differenza che oggi alcuni aggregatori preferiscono non presentarsi.

Solitamente, quando si tratta di pochi alert, ispeziono velocemente le sorgenti e la tipologia ma non mi concentro troppo sull’analisi dell’attacco. Questa volta invece, incuriosito dall’insistenza della sorgente, mi sono soffermato un attimino per capire a cosa puntava e per quale scopo.

Una volta compromesso il mio server web uno script PHP si sarebbe connesso a un server irc (porta 9595) per restare in contatto con il botmaster dal quale avrebbe ricevuto ordini tramite comandi inviati su un apposito canale creato ad hoc.

Lo scopo non era il defacement ma far diventare il mio server uno zombie da pilotare a distanza per sferrare attacchi di tipo DDoS. Da notare le funzioni urlbomb, udpflood e tcpflood usate per aprire connessioni simultanee attraverso la ben documentata funzione fsockopen

La scelta di compromettere un server web piuttosto che un client può essere motivata da due fattori fondamentali

1. Capacità di Calcolo
2. Larghezza di Banda

Rispetto ai client, il numero di server web (compromessi) necessari per sferrare un attacco DDoS è nettamente inferiore. E questo i Russi lo hanno capito da tempo.

• BackBox (PT / Forensics)
• BackTrack (PT / Forensics)
• Caine (Forensics)
• Deft (Forensics)

Le prime due, storicamente orientate al PT/VA, sono state adeguate alle esigenze di chi si occupa di indagini digitali. Una scelta imho condivisibile per certi aspetti.

Relativamente a BB e BT:

• I Pentester avranno a disposizione nuovi strumenti… anche se sto sforzandomi di capire quale di questi strumenti potrebbe agevolarli (forse qualche tool per il cracking password, ma erano già presenti nelle distribuzioni precedenti).
• I Forenser, invece, avranno in mano una bomba. Pronta a esplodere se maneggiata impropriamente.

A differenza di Caine e Deft trovo Backbox e Backtrack molto bene organizzati. L’usabilità fa da padrona. I tool sono facilmente reperibili perchè posizionati con criterio negli appositi menu, la grafica è leggera e rilassante. Per non parlare poi dei rispettivi siti che li ospitano. Curati nei minimi dettagli.

Ok, si fa presto a criticare senza mettere mano al lavoro. Avete ragione, non lo metto in dubbio, ma forse non sono l’unico a pensarla così

Per il resto nulla da dire. Quattro live cd italiane sono una delle poche cose che mi fanno sentire orgoglioso di essere nato e vivere in Italia.