Il non-blog di Mario Pascucci

Sto lavorando sodo per preparare il mio prossimo errore (B. Brecht)

Cosa c’è di buono

Jun 8

Pubblicato da Mario Pascucci in Varie (ed eventuali) | 1 commento

Ben arrivati, o bentornati. Ecco alcune letture interessanti che si possono trovare in questo sito.
There are documents in english language, too.

Il mio libro Windows XP in sicurezza pubblicato da Apogeo come e-book gratuito. Leggetelo!

Un manuale sulla crittografia pratica, per Windows e Linux, con GnuPG, gratuito e leggibile on-line.

Se gestite un blog basato su Wordpress, assicuratevi di tenerlo aggiornato, o finirete nel girone infernale dei blog compromessi. Tutti i dettagli nella categoria Wordpress.

Per chi sta pensando di installare Linux, consiglio la lettura di Linux per Futili Motivi, Prima di installare Linux e Linux virus e antivirus, per sapere se Linux è la soluzione ai nostri problemi, e soprattutto cosa ci aspetta se decidiamo di installare.

Se poi comunque si decide per installare, e si sceglie Fedora, la mia distribuzione di riferimento, c’è una nutrita schiera di documenti a cui attingere:

Per chi vuole essere avvertito dell’arrivo di nuovi articoli può iscriversi al feed.

Se invece avete qualcosa da dirmi, qui trovate come contattarmi.

Buona lettura, e grazie per la visita.

Il cugino del Wordpress Autotest: Unmask Parasites

Jun 22

Pubblicato da Mario Pascucci in Information security, Wordpress | 2 commenti

Il test per blog infetti non è più disponibile su questo sito, ma qualcuno ha implementato un servizio simile, impiegando Google App Engine: Unmask Parasites.

Il servizio esegue dei controlli sul codice emesso dal web server del sito esaminato alla ricerca di indizi e segni tipici dell’intrusione che per oltre un anno ha devastato i blog basati su versioni obsolete e vulnerabili di Wordpress. Oltre questo, propone di usare Google per individuare i segni esterni dell’intrusione.

Peccato che, dagli ultimi siti analizzati, l’iniezione di link abusivi sia praticamente sparita per fare posto a codice malevolo molto più pericoloso. Non so se il sito in questione faccia dei controlli in tal senso, ma posso affermare che tali controlli sono quasi impossibili da automatizzare, per una ragione molto semplice: mentre l’iniezione di link nascosti ha certe caratteristiche comuni e ben individuabili, le violazioni su cui sto indagando negli ultimi tempi inseriscono del codice PHP offuscato che produce pagine web con codice Javascript, a sua volta offuscato, che opera redirect o tenta di rifilare malware a chi visita il sito. Il modello di offuscamento cambia ogni volta e non è possibile trovare degli elementi comuni, tali da permettere un automatismo nella ricerca.

Insomma, il mentecatto, come sospettavo, si sta dando da fare. La soluzione è sempre la stessa: aggiornare prima di essere violati.

Tags: , ,

Giuristi Telematici a Pescara per l’Abruzzo: IV parte

Jun 21

Pubblicato da Mario Pascucci in Computer Forensics, Eventi | 1 commento

Sabato mattina sarebbe toccato a noi, per il laboratorio del recupero della memoria. Eravamo presenti in tre, io, Lorenzo Dina e Litiano Piccin, con tre trolley, due zaini e tre cartoni di materiale tecnico ed informatico in previsione del lavoro di recupero.

Totale recuperi effettuati: 0. Zero. ZERO.

I motivi? Non è questa la sede per parlarne, ma in sostanza si possono riassumere molto brevemente con: nessuno ne sapeva nulla.

Non ci siamo persi d’animo, naturalmente. In poco tempo l’aula, piuttosto piccola, era piena di studenti estremamente interessati, a cui si sono aggregati alcuni avvocati, qualche tecnico e qualche rappresentante delle forze di polizia. Abbiamo parlato a braccio di computer forensic, tecniche, strumenti, tecnologie, aspetti legali, con la completa partecipazione di tutti i presenti. Le domande sono state tantissime, a testimoniare l’interesse per l’argomento. Di immenso valore poi le esperienze “sul campo” raccontate da Lorenzo e da Litiano, con estrema semplicità e una vena di umorismo, soprattutto quando narravano le disavventure con qualche aggeggio dotato di “feature” non documentate, purtroppo non infrequenti.

Giunta l’ora di chiudere eravamo ancora circondati da persone che facevano domande, anche mentre liberavamo l’aula dai nostri bagagli.

Potevamo risparmiarci di portare i vari chili di attrezzature, ma, come si sa, il senno di poi è una scienza esatta, solo che rimane fine a sé stessa.

In ogni caso, per quanto mi riguarda, ne è valsa la pena, per molte ragioni. Ho finalmente potuto conoscere un po’ meglio Litiano, che è una persona speciale.

In ogni caso, il recupero della memoria per l’Abruzzo è ancora un discorso aperto: si sta lavorando in tal senso. Appena ho notizie più precise sarà mia cura pubblicarle.

Tags: , ,

Giuristi Telematici a Pescara per l’Abruzzo: III parte

Jun 20

Pubblicato da Mario Pascucci in Computer Forensics, Eventi | 1 commento

Al termine della prima giornata, come spesso accade in questi convegni, è arrivata la parte migliore: oltre due ore di discussione molto stimolante sulla prova digitale, sull’attendibilità, sulla necessità di regole chiare e condivise per far sì che diventi sempre più normale l’uso delle evidenze digitali, non solo in procedimenti giudiziari riguardanti reati puramente informatici.

Si è scatenato un dibattito, a volte con toni anche accesi, ma che ha visto partecipare tutti: tecnici, giuristi, rappresentanti delle forze di polizia, avvocati difensori e magistrati. Le posizioni sono state esposte sempre con grande chiarezza, tanto che anche io che non sono “del mestiere” alla fine mi ero appassionato e non mi sono perso una battuta.

Da più parti è stata invocata l’adozione di un linguaggio comune fra informatici e “non tecnici”, per fare in modo che anche per chi non è informatico, possa comprendere tutte le complesse sfaccettature e sfumature delle infinite situazioni e casistiche che ogni giorno incontriamo nel nostro lavoro di tecnici. E’ importante che questo si realizzi per evitare il ripetersi di situazioni al limite del grottesco, per chi non è coinvolto, ma drammatiche per chi suo malgrado vi si trova invischiato.

Dopo la conferenza, la sera, le discussioni sono continuate, spesso davanti ad un bicchiere. Sul litorale di Pescara, dove erano alloggiati la maggioranza dei partecipanti, era facile trovare, seduti intorno allo stesso tavolo, gruppi di partecipanti al convegno che continuavano a parlare e confrontarsi su questi delicati argomenti.

Le tre del mattino sono arrivate senza che ce ne accorgessimo, e con molti, al momento della buonanotte, c’è stata la netta sensazione di aver avviato qualcosa.

Tags: ,

Giuristi Telematici a Pescara per l’Abruzzo: II parte

Jun 19

Pubblicato da Mario Pascucci in Computer Forensics, Eventi | Nessun commento

Ora la parte relativa alla computer forensic si è spostata nell’aula Azzurra, e si parte subito con i piatti forti: mobile forensic, con la presentazione di una strategia nuova per l’acquisizione dei dispositivi mobili, ossia di fare il boot da una flash card con una applicazione specifica per poi procedere all’acquisizione dei dati, in breve una sorta di live-cd per dispositivi mobili, denominata MIAT, presentata da uno dei partecipanti alla gara Cybercop 2009, come le due seguenti, la prima delle quali sulla forensic per Android, il sistema operativo per SmartPhone di Google.

E’ stato divertente scoprire, grazie alla presentazione successiva, che il mio navigatore satellitare (di nota marca) contiene una quantità impressionante di informazioni che sarebbero utili ad indagare su chi sono e dove vado. Da oggi guarderò il mio navigatore con maggior sospetto del solito.

Il relatore successivo è un giurista, e porta alcuni ragionamenti sulla legge 48 del 2008, ossia le norme sulla prova digitale.

Alle persone che conosco e che incontro qui a Pescara, aggiungo Donato Caccavella e Davide D’Agostino.

Donato ha parlato attingendo alla sua esperienza di tecnico dei problemi che pone l’acquisizione forense dei cellulari.

Tocca poi a Stefano Zanero, ricercatore del Politecnico di Milano, che parla dell’acquisizione di pagine web da remoto e di cloud computing, con i problemi che ne conseguiranno per la computer forensic.

Tags: , ,

Giuristi Telematici a Pescara per l’Abruzzo: I parte

Jun 19

Pubblicato da Mario Pascucci in Computer Forensics, Eventi | Nessun commento

Come promesso, sono a Pescara per seguire il convegno organizzato dai giuristi telematici.

L’evento si svolge su due differenti percorsi, uno orientato al privato, ospitato nell’aula Azzurra dell’Università di Pescara, ed uno orientato alla parte penale e di computer forensic, ospitato nell’aula Rossa. Al momento l’aula Rossa, grande un terzo dell’aula Azzurra, è praticamente piena, mentre l’altra è molto meno frequentata.

Il nostro interesse, mio e del mio amico Lorenzo, è per la parte di computer forensic, ovviamente. Se le condizioni me lo permettono cercherò di scrivere qualcosa sul procedere degli interventi e degli argomenti, e forse anche qualche foto.

Per intanto, da quello che ho visto e sentito fin qui, è ormai un fatto accettato che le prove informatiche debbano essere considerate alla stessa stregua delle prove fisiche, con la stessa efficacia e dignità di qualsiasi altra “evidenza”. E che questo pone una intera categoria di problemi: di interpretazione, di procedure, di eccezioni e, non ultimo, di carenze legislative, con il tentativo di applicare le regole degli usuali accertamenti tecnici estendendo il senso e l’applicabilità delle norme esistenti, che, a quanto sento dai relatori, crea più problemi di quanti ne risolve.

Di quelli che conosco personalmente ho incontrato fino ad ora: Stefano Aterno, Francesco Paolo Micozzi, Gerardo Costabile, Mario Ianulardo, Giovanni Battista Gallus.

Tags: , ,

Owned Wordpress: niente più test

Jun 17

Pubblicato da Mario Pascucci in Varie (ed eventuali), Wordpress | 2 commenti

Era da un po’ che lasciavo andare in pezzi il blog, ed oggi mi sono deciso a fare un po’ di pulizie di primavera, in ritardo. Aggiornamenti, nuovo tema, rimossa vecchia roba inutile.

Fra questi, ho eliminato il test per i blog Wordpress “0wn3d”, per vari motivi:

  • Non è più efficace. L’ondata di spam nascosto e mostrato agli spider dei motori di ricerca è stato reso inefficace dalla reazione forte dei motori di ricerca stessi. I blog con ancora installate le vecchie versioni, o che erano colpiti dalla pestilenza, sono ora colpiti da varianti meno complesse ma infinitamente più subdole: iniezioni di Javascript colpiscono i visitatori tentando di rifilare malware estremamente dannosi; link singoli vengono nascosti in punti insospettabili; backdoor vengono insediate in punti poco evidenti. Insomma, il test è del tutto inefficace per queste varianti, ma chi ha un blog violato, anche se ha aggiornato all’ultima versione di Wordpress potrebbe avere gravi problemi di sicurezza, non rilevabili facilmente dall’esterno.
  • Nelle ultime settimane ha lavorato pochissimo, segno che l’interesse non è più così alto. Naturalmente, blog colpiti ve ne sono ancora tanti, ma i sintomi sono differenti.
  • Il codice è stato scritto senza preoccuparsi troppo della correttezza formale e dei canoni della programmazione. Non è da escludere che contenga errori gravi abbastanza da compromettere l’intero sito. E non mi va di rischiare, senza nessun vantaggio.

Per questo motivo, la pagina del test è sostituita con un redirect a questo post. Se a qualcuno interessa, lo script PHP dell’ultima versione è disponibile per il download, senza nessun vincolo, a parte la licenza GPLv2.

Wordpress Autotest v1.11 (zip)

Questo capitolo si chiude, ma il mentecatto è là fuori che trama. Il suo problema non è trovare siti vulnerabili da conquistare, no. Questo è semplicissimo. Il suo problema è trovare il modo di guadagnarci sopra, ma non dovrebbe essere troppo difficile inventarsi qualche birbonata.

Tags: ,

Fare qualcosa per l’Abruzzo

Jun 9

Pubblicato da Mario Pascucci in Eventi | 1 commento

Tanti sono impegnati personalmente nel recupero della normalità dopo questa tragedia. Ci sono cose che naturalmente hanno la precedenza, come un tetto, l’istruzione, i servizi sanitari e via così.
Ci sono cose che, a prima vista, possono apparire futili, ma ragionandoci sopra non è poi così scontato.

Sotto le macerie sono finiti computer di tante persone, e con essi sono stati sepolti anche i ricordi. Molti di noi tengono foto, documenti, insomma una parte consistente della propria vita sul computer. Proviamo ad immaginare per un momento che per qualche motivo tutti i nostri dati non siano più accessibili, o peggio perduti.

Ci sono studenti che hanno perduto il materiale raccolto per la tesi di laurea, quando non la tesi stessa. Altri hanno perso tutte le foto, fra cui magari c’erano quelle di qualcuno rimasto sotto le macerie.

Per non parlare della ricostruzione delle infrastrutture informatiche: reti, server, punti di accesso, tutto fuori uso, distrutto, irraggiungibile. L’accesso a Internet è impossibile.

Molti si sono dati da fare in questo senso. Anche per questo, nei giorni 19 e 20 giugno si terrà a Pescara un grande convegno, in cui i Giuristi informatici si incontreranno e parleranno del presente e futuro della Rete e dei Diritti Digitali.
L’idea è di Giovanni Ziccardi e di Andrea Monti, ed i dettagli sono a disposizione sul sito http://donaunnetbook.org/, mentre il programma completo è disponibile qui http://www.ziccardi.org/ecl2009.pdf in PDF e come pagina web qui: http://donaunnetbook.org/?page_id=11.

Farò anche io la mia parte. Insieme al mio amico Lorenzo Dina di Nobug, insieme alle persone di IISFA, saremo a Pescara per tentare il recupero dei ricordi rimasti imprigionati in supporti informatici sotto le macerie. Sabato 20 giugno a partire dalle 9.30 saremo al Laboratorio N.2 (Vedi programma della conferenza) con le nostre attrezzature, le nostre teste e soprattutto la buona volontà.

Un ringraziamento particolare va a Lorenzo, il vero motore di questa iniziativa, ed a Massimo Mazza di Kroll Ontrack, che metterà a disposizione gratuitamente un certo numero di recuperi in camera bianca.

Qui una breve presentazione creata da Lorenzo (PDF) dove vengono fissate alcune idee generali e qualche dettaglio sulla procedura.

Tags: , , ,

Qualche pensiero sull’hacker 2.0

Jun 5

Pubblicato da Mario Pascucci in Information security | Nessun commento

Nell’inserto del giovedì Nova24 del Sole 24 Ore di questa settimana è apparso un articolo di Guido Arata sull’evoluzione dell’hacker. C’è anche un mio breve intervento tratto dall’intervista telefonica che mi ha fatto Guido sull’argomento.

L’articolo si può leggere direttamente sul sito di Guido Arata: Chi è l’Hacker 2.0?.

Tags: , ,

IISFA Forum & CyberCop 2009: una esperienza da ripetere!

May 25

Pubblicato da Mario Pascucci in Computer Forensics, Eventi | 1 commento

Anche quest’anno si è tenuto a Bologna, presso l’università, l’evento denominato IISFA Forum. Tre giorni intensi e frenetici, che hanno lasciato in me un segno indelebile. Posso dire senza timore di esagerare di star ancora elaborando ricordi, sensazioni e discorsi.

Il primo giorno è stato interamente dedicato alla presentazione di software ed hardware di supporto alla computer forensic, con particolare attenzione alla mobile forensic (quella dei cellulari, per capirci). Tutti molto disponibili i rappresentanti delle ditte intervenute. Nonostante qualche intoppo, dovuto soltanto alla densità elevatissima di cose interessanti, ho trovato estremamente utile la panoramica che ne ho ricavato, sia dal punto di vista di cosa offre il mercato, sia per quello che nelle brochures non c’è scritto.

Il giorno successivo è stato dedicato invece alla gara denominata “CyberCop”, in parallelo ai seminari, che purtroppo non ho potuto seguire, dato che ho partecipato con la mia squadra, composta quasi all’ultimo momento, e peraltro ci siamo conosciuti sul posto, visto che una metà non conosceva l’altra metà. Ma l’affiatamento è stato immediato, e ci siamo battuti con tenacia fino alla fine, anche se ha vinto la squadra con più esperienza, come era anche atteso che fosse.
L’intreccio informatico-giuridico era degno dei più intricati casi mai scritti dai migliori giallisti, con un criminale virtuale che dimostrava una grande competenza sia in campo informatico che nelle tecniche e metodi di indagine delle Forze dell’Ordine.
Alla fine siamo riusciti a mettergli le mani addosso, in senso virtuale, ma il tempo per risolvere l’enigma è scaduto senza che riuscissimo a dimostrare, con prove in grado di reggere un processo, che il criminale fosse proprio quello.

L’ultimo giorno si è svolta la simulazione del dibattimento in aula, con tanto di Pubblico Ministero, Difensore e Giudice, e non si sono fatti mancare nulla: prove non ammesse, eccezioni del difensore, imbarazzo del Pubblico Ministero e colpo di scena finale. Insomma, una sceneggiatura perfetta per una puntata di Law&Order.

Se da un lato mi viene da dire “Pazienza, andrà meglio la prossima volta”, dall’altra devo ammettere di aver “rosicato” un poco, lo confesso. Ero convinto di aver inquadrato perfettamente il modus operandi del criminale virtuale, ma i fatti mi hanno dato torto, e sulle prime ci sono rimasto parecchio male.
Poi, dopo qualche giorno, a mente fredda, mentre scrivevo un qualcosa legato alla sfida (e che per ora non posso dire), ho capito parecchie cose su come sono andati i fatti.

Riassumendo brevemente, a parte quello che mi ripeto spesso, ossia che c’è veramente tanto da imparare, forse troppo, il problema è stato proprio l’essere convinto di aver inquadrato la situazione. Due parole: presunzione e pregiudizio.

Il presumere di aver compreso tutto di una situazione, quando se ne ha un punto di vista ristretto e limitato, porta a sottovalutare la realtà e sopravvalutare l’immagine che ce ne siamo fatta. arrivando a scartare elementi che ad un osservatore esterno e non coinvolto appaiono palesi. Per fare un esempio: in una certa fase vi era un file ZIP protetto da password. Ero talmente convinto che il criminale virtuale fosse troppo furbo per usare una password debole, che non ci ho neanche provato a fare un attacco a dizionario. Invece la password era banale, di quattro lettere e senso compiuto, in un attacco a dizionario l’avrei trovata in pochi secondi.

Il pregiudizio di avere di fronte qualcuno “che ci capisce”, ma non così tanto, visto che usa software comuni e strategie note, mi ha fatto di nuovo sottovalutare la situazione. Ho subito associato al criminale virtuale la figura di quello che conosce tutti i programmini del mondo, ma in fondo non sa come funzionano e soprattutto perché. Un esempio: il criminale virtuale aveva un campionario estesissimo di software per crittografia e steganografia, e c’era una immagine che risultava differente da una copia presente in Rete. Le ho provate tutte: analisi del contrasto, mappatura, confronto per sottrazione, istogrammi RGB, ma ho mancato la prova più ovvia: l’immagine conteneva dati nascosti da steganografia, appunto.

Errori banali, dettati appunto da presunzione e pregiudizio. Le mie convinzioni personali mi hanno impedito di accettare ed accertare i fatti come erano. Era un gioco, ma se fosse stata una indagine reale il danno sarebbe stato tutt’altro che trascurabile.

Sul treno del ritorno, con il mio amico Lorenzo, stavamo ricapitolando gli errori e le sviste commesse, ripetendoci ad ogni passo: “Manco le basi!“.

Oltre questo, la lezione ha avuto per me un valore incalcolabile, a parte la constatazione di avere ancora molto da imparare: si può essere buoni tecnici, ma fare l’investigatore è tutto un altro paio di maniche.

Per il resto, ho ancora parecchio materiale da elaborare, contatti da perfezionare e qualche nuovo amico, che male non fa.

Conto di partecipare anche l’anno prossimo, ma così faranno le altre squadre, e la battaglia sarà dura. Ma il divertimento sarà maggiore, ne sono certo.

Tags: , , ,