Il non-blog di Mario Pascucci

Sto lavorando sodo per preparare il mio prossimo errore (B. Brecht)

Articoli con tag iisfa

IISFA CyberCop 2009: il racconto

Sep 24

Pubblicato da Mario Pascucci in Computer Forensics, Eventi | Disattiva commenti

Come avevo accennato a suo tempo, stavo scrivendo qualcosa di cui non potevo parlare: un racconto poliziesco basato sulla trama del CyberCop 2009 di IISFA. Non sapevo se sarebbe stato abbastanza decente da venir pubblicato (non sono uno scrittore di professione, tanto meno di genere poliziesco), e soprattutto non sapevo quando.

Ebbene, se siete curiosi di conoscere il caso, naturalmente totalmente inventato, su cui era basato il CyberCop 2009 organizzato da IISFA, basta andare sul sito dell’associazione e scaricare la newsletter numero 2, è gratuita e di libera distribuzione.

Il mio racconto parte dalla prima pagina e si chiama “Detective Morgan”, dal nome di uno dei componenti della squadra di cui facevo parte, che è appunto un Sovrintendente di Polizia. Sono una dozzina di pagine.

Buona lettura.

Tags: , ,

Fare qualcosa per l’Abruzzo

Jun 9

Pubblicato da Mario Pascucci in Eventi | 1 commento

Tanti sono impegnati personalmente nel recupero della normalità dopo questa tragedia. Ci sono cose che naturalmente hanno la precedenza, come un tetto, l’istruzione, i servizi sanitari e via così.
Ci sono cose che, a prima vista, possono apparire futili, ma ragionandoci sopra non è poi così scontato.

Sotto le macerie sono finiti computer di tante persone, e con essi sono stati sepolti anche i ricordi. Molti di noi tengono foto, documenti, insomma una parte consistente della propria vita sul computer. Proviamo ad immaginare per un momento che per qualche motivo tutti i nostri dati non siano più accessibili, o peggio perduti.

Ci sono studenti che hanno perduto il materiale raccolto per la tesi di laurea, quando non la tesi stessa. Altri hanno perso tutte le foto, fra cui magari c’erano quelle di qualcuno rimasto sotto le macerie.

Per non parlare della ricostruzione delle infrastrutture informatiche: reti, server, punti di accesso, tutto fuori uso, distrutto, irraggiungibile. L’accesso a Internet è impossibile.

Molti si sono dati da fare in questo senso. Anche per questo, nei giorni 19 e 20 giugno si terrà a Pescara un grande convegno, in cui i Giuristi informatici si incontreranno e parleranno del presente e futuro della Rete e dei Diritti Digitali.
L’idea è di Giovanni Ziccardi e di Andrea Monti, ed i dettagli sono a disposizione sul sito http://donaunnetbook.org/, mentre il programma completo è disponibile qui http://www.ziccardi.org/ecl2009.pdf in PDF e come pagina web qui: http://donaunnetbook.org/?page_id=11.

Farò anche io la mia parte. Insieme al mio amico Lorenzo Dina di Nobug, insieme alle persone di IISFA, saremo a Pescara per tentare il recupero dei ricordi rimasti imprigionati in supporti informatici sotto le macerie. Sabato 20 giugno a partire dalle 9.30 saremo al Laboratorio N.2 (Vedi programma della conferenza) con le nostre attrezzature, le nostre teste e soprattutto la buona volontà.

Un ringraziamento particolare va a Lorenzo, il vero motore di questa iniziativa, ed a Massimo Mazza di Kroll Ontrack, che metterà a disposizione gratuitamente un certo numero di recuperi in camera bianca.

Qui una breve presentazione creata da Lorenzo (PDF) dove vengono fissate alcune idee generali e qualche dettaglio sulla procedura.

Tags: , , ,

IISFA Forum & CyberCop 2009: una esperienza da ripetere!

May 25

Pubblicato da Mario Pascucci in Computer Forensics, Eventi | 3 commenti

Anche quest’anno si è tenuto a Bologna, presso l’università, l’evento denominato IISFA Forum. Tre giorni intensi e frenetici, che hanno lasciato in me un segno indelebile. Posso dire senza timore di esagerare di star ancora elaborando ricordi, sensazioni e discorsi.

Il primo giorno è stato interamente dedicato alla presentazione di software ed hardware di supporto alla computer forensic, con particolare attenzione alla mobile forensic (quella dei cellulari, per capirci). Tutti molto disponibili i rappresentanti delle ditte intervenute. Nonostante qualche intoppo, dovuto soltanto alla densità elevatissima di cose interessanti, ho trovato estremamente utile la panoramica che ne ho ricavato, sia dal punto di vista di cosa offre il mercato, sia per quello che nelle brochures non c’è scritto.

Il giorno successivo è stato dedicato invece alla gara denominata “CyberCop”, in parallelo ai seminari, che purtroppo non ho potuto seguire, dato che ho partecipato con la mia squadra, composta quasi all’ultimo momento, e peraltro ci siamo conosciuti sul posto, visto che una metà non conosceva l’altra metà. Ma l’affiatamento è stato immediato, e ci siamo battuti con tenacia fino alla fine, anche se ha vinto la squadra con più esperienza, come era anche atteso che fosse.
L’intreccio informatico-giuridico era degno dei più intricati casi mai scritti dai migliori giallisti, con un criminale virtuale che dimostrava una grande competenza sia in campo informatico che nelle tecniche e metodi di indagine delle Forze dell’Ordine.
Alla fine siamo riusciti a mettergli le mani addosso, in senso virtuale, ma il tempo per risolvere l’enigma è scaduto senza che riuscissimo a dimostrare, con prove in grado di reggere un processo, che il criminale fosse proprio quello.

L’ultimo giorno si è svolta la simulazione del dibattimento in aula, con tanto di Pubblico Ministero, Difensore e Giudice, e non si sono fatti mancare nulla: prove non ammesse, eccezioni del difensore, imbarazzo del Pubblico Ministero e colpo di scena finale. Insomma, una sceneggiatura perfetta per una puntata di Law&Order.

Se da un lato mi viene da dire “Pazienza, andrà meglio la prossima volta”, dall’altra devo ammettere di aver “rosicato” un poco, lo confesso. Ero convinto di aver inquadrato perfettamente il modus operandi del criminale virtuale, ma i fatti mi hanno dato torto, e sulle prime ci sono rimasto parecchio male.
Poi, dopo qualche giorno, a mente fredda, mentre scrivevo un qualcosa legato alla sfida (e che per ora non posso dire), ho capito parecchie cose su come sono andati i fatti.

Riassumendo brevemente, a parte quello che mi ripeto spesso, ossia che c’è veramente tanto da imparare, forse troppo, il problema è stato proprio l’essere convinto di aver inquadrato la situazione. Due parole: presunzione e pregiudizio.

Il presumere di aver compreso tutto di una situazione, quando se ne ha un punto di vista ristretto e limitato, porta a sottovalutare la realtà e sopravvalutare l’immagine che ce ne siamo fatta. arrivando a scartare elementi che ad un osservatore esterno e non coinvolto appaiono palesi. Per fare un esempio: in una certa fase vi era un file ZIP protetto da password. Ero talmente convinto che il criminale virtuale fosse troppo furbo per usare una password debole, che non ci ho neanche provato a fare un attacco a dizionario. Invece la password era banale, di quattro lettere e senso compiuto, in un attacco a dizionario l’avrei trovata in pochi secondi.

Il pregiudizio di avere di fronte qualcuno “che ci capisce”, ma non così tanto, visto che usa software comuni e strategie note, mi ha fatto di nuovo sottovalutare la situazione. Ho subito associato al criminale virtuale la figura di quello che conosce tutti i programmini del mondo, ma in fondo non sa come funzionano e soprattutto perché. Un esempio: il criminale virtuale aveva un campionario estesissimo di software per crittografia e steganografia, e c’era una immagine che risultava differente da una copia presente in Rete. Le ho provate tutte: analisi del contrasto, mappatura, confronto per sottrazione, istogrammi RGB, ma ho mancato la prova più ovvia: l’immagine conteneva dati nascosti da steganografia, appunto.

Errori banali, dettati appunto da presunzione e pregiudizio. Le mie convinzioni personali mi hanno impedito di accettare ed accertare i fatti come erano. Era un gioco, ma se fosse stata una indagine reale il danno sarebbe stato tutt’altro che trascurabile.

Sul treno del ritorno, con il mio amico Lorenzo, stavamo ricapitolando gli errori e le sviste commesse, ripetendoci ad ogni passo: “Manco le basi!“.

Oltre questo, la lezione ha avuto per me un valore incalcolabile, a parte la constatazione di avere ancora molto da imparare: si può essere buoni tecnici, ma fare l’investigatore è tutto un altro paio di maniche.

Per il resto, ho ancora parecchio materiale da elaborare, contatti da perfezionare e qualche nuovo amico, che male non fa.

Conto di partecipare anche l’anno prossimo, ma così faranno le altre squadre, e la battaglia sarà dura. Ma il divertimento sarà maggiore, ne sono certo.

Tags: , , ,

27 marzo 2009: analisi di siti web compromessi presso IISFA a Roma

Mar 24

Pubblicato da Mario Pascucci in Computer Forensics, Eventi | 2 commenti

Il prossimo venerdì 27 marzo, dalle 14.30 alle 18.30, presso la Cassa Nazionale Forense a Roma terrò un seminario sull’analisi di siti web violati, riservato ai soli soci del capitolo italiano di IISFA (International Information Systems Forensics Association).

Ringrazio di nuovo l’Associazione e Gerardo Costabile per l’opportunità concessami.

Presenterò due casi reali, presi fra quelli su cui ho lavorato, con le tecniche e le considerazioni relative all’analisi per individuare punto d’ingresso, modalità e scopi dell’intrusione. Uno dei due casi riguarda un blog Wordpress compromesso.

Sul sito IISFA tutti i dettagli del seminario, e le informazioni per raggiungere la località. Per chi fosse interessato all’argomento, è il caso di prendere in considerazione l’iscrizione all’associazione.

Per chi partecipa, ci vediamo là.

Tags: , ,

Owned Wordpress: tempesta finita? Questa sì.

Mar 17

Pubblicato da Mario Pascucci in Information security, Wordpress | Disattiva commenti

In un prossimo seminario presso IISFA parlerò dei metodi di analisi relativi ad una intrusione in un sito web, al fine di trovare cosa è stato modificato, in che modo e quale sia lo scopo delle modifiche rilevate.

Per l’occasione userò il materiale raccolto negli ultimi tempi in alcuni incidenti di sicurezza riguardanti vari siti web, il cui proprietario ha dato naturalmente il consenso per l’uso. Una parte consistente sarà tratta dal lavoro fatto su numerosi blog con Wordpress compromessi in vari modi.

Siti puliti, o sporcati in modo differente

Con l’occasione ho dato uno sguardo a parecchi siti web “storici”, ossia compromessi da tempo, che non sono mai stati ripuliti. Alcuni sono lindi e innocenti come un neonato. Niente link, niente codice strano prodotto al passaggio di uno spider, niente di niente. La versione di Wordpress è esattamente la stessa di prima, cioè non è stato fatto alcun aggiornamento all’installazione, solo che l’infezione è sparita. In altri siti è cambiato il tipo di infezione, da quello più sofisticato, con il codice attivo nascosto nel database che reagisce agli spider dei motori di ricerca, ad un semplice blocco di codice HTML accodato ad uno o più post, di solito un tag <font>, <u> o <b>, con una istruzione di stile che serve a nascondere il blocco (tipicamente uno style=”display:none;”). Nel blocco, 100-200 link con le solite parole chiave, invisibili a meno che si disabiliti l’uso dei fogli di stile nel browser o si vada ad ispezionare il codice emesso dal server.

Probabilmente la presenza del blocco non è neanche visibile aprendo il post modificato nell’editor avanzato di Wordpress.

Cosa cambia

I siti rimasti con la vecchia infezione sembrano abbandonati dal mentecatto, ossia i link iniettati sono rimasti gli stessi da parecchio tempo. Alcuni siti che sono stati ripuliti usando un backup, senza quindi aggiornare, hanno subito una o due reinfezioni per poi essere lasciati in pace, segno che o il mentecatto ha capito che non ne vale la pena, o ha chiuso l’attività.

Sicuramente la reazione forte dei principali motori di ricerca, ossia il ban e la totale esclusione del sito dall’indice alla rilevazione dell’infezione, ha avuto la sua parte nella rinuncia del mentecatto, sempre se di rinuncia si tratta.

Per i siti ancora riportanti i link, il modello dell’intrusione è differente. Per poter modificare i post e aggiungere in coda i link nascosti è necessario molto meno lavoro e l’intrusione è molto meno profonda: non servono plugin nascosti, non servono modifiche ai file di Wordpress, non servono blocchi di codice nascosti nel database. E’ sufficiente operare solo la prima parte dell’intrusione per creare un amministratore nascosto, ed utilizzarlo per modificare a piacere i post già pubblicati. Il vantaggio è che non serve codice complesso o strane alchimie, è sufficiente avere tale account nascosto.

Il Wordpress Autotest

In questo frangente l’autotest è molto meno efficace, mancando gran parte delle firme caratteristiche dell’intrusione. Efficace nel senso che gli indicatori rossi sono molti meno, non meno efficace nel rilevare le stranezze. Quindi le indicazioni appaiono meno preoccupanti ad un osservatore poco attento. In pratica l’autotest è quasi inutile.

A questo proposito nelle prossime settimane aprirò il codice, mettendolo a disposizione di chi vuole studiarselo, visto la sua probabile inutilità.

Il pericolo non è passato

Il fatto che il nostro amico mentecatto abbia rinunciato, non vuol dire che i blog con versioni vulnerabili di Wordpress (ossia tutte quelle anteriori alla 2.6.5, al momento in cui scrivo) possano ritenersi al sicuro. Manco per niente. Quella che è passata è solo questa specifica tempesta di intrusioni, ma i siti sono ancora vulnerabili e sfruttabili per un numero incredibile di usi poco etici. Phishing, distribuzione di materiale proibito o illegale, spam, solo la fantasia (malata) di questa gente pone un limite. Ficcare un sito di phishing in un sito Wordpress compromesso è un gioco da ragazzi.

Per capirci, il nostro amico mentecatto non ha avuto alcuna particolare difficoltà a trovare il modo di violare tanti siti web. Basta fare un giro su alcuni siti web, fra cui il conosciutissimo e professionale SecurityFocus per trovare tutto quello che serve. In questi siti si trovano nel caso migliore solo dei PoC (Proof of Concept, dimostrativi) ossia dei brevi spezzoni di codice che mostrano come sfruttare il bug nel codice dell’applicazione. Mettere insieme alcuni di questi spezzoni e costruire uno strumento automatizzato per violare a catena un numero a piacere di siti web è una operazione banale per chi sappia maneggiare un po’ di codice.

Il motivo per cui questi spezzoni di codice vengono pubblicati è perché gli errori e le vulnerabilità sono note al produttore, che ha rilasciato la correzione da tempo, e che probabilmente sono arcinoti alla pletora di acari in giro per la Rete, quindi il passarli sotto silenzio è infinitamente più pericoloso che renderli pubblici. Se la serratura della mia auto si apre con una mina di matita senza lasciare tracce, io voglio saperlo. Ed il parallelo è quanto mai azzeccato, potete credermi sulla parola.

Se poi sappiamo dove andare a guardare ci sono in giro kit già pronti con tutto il necessario per trovare, violare e sfruttare a proprio piacimento siti web vulnerabili, utilizzabili da qualsiasi idiota che sappia come lanciare un programma. Ne ho parlato un due diverse occasioni, una delle quali era il convegno di CFItaly nel giugno 2008.

Quindi, torno a ripetere: il fatto, possibile anche se non confermato, che il nostro amico mentecatto abbia abbandonato la sua attività non è un segnale che autorizza a lasciare il proprio sito Wordpress (vale anche per Joomla, Xoops, Drupal, MediaWiki, ecc.) non aggiornato ad una versione obsoleta e vulnerabile. E’ un comportamento irresponsabile, niente di meno.

Niente di più facile che il sito vulnerabile sia usato come “testa di ponte” per attaccare l’intero hosting, situazione già verificatasi più volte. Per il proprietario del sito sarebbe una brutta storia, perché il servizio di hosting scaricherebbe la responsabilità della riuscita dell’attacco (giustamente, dico io) sul proprietario del sito web vulnerabile.

Insomma, spero sia chiaro che non c’è da scherzarci sopra. E per la legge italiana, chiedete conferma a chi volete, se qualcuno subisce un attacco dal vostro sito web, violato da qualcun altro, occorre dimostrare di aver fatto il possibile per evitare che succedesse. E non credo che il mancato aggiornamento di un software in versione notoriamente vulnerabile possa essere considerato “tutto il possibile”. Ed un avvocato considererà molto peggio una scusa del tipo “non mi funziona il template con le versioni nuove”.

Cosa ci insegna la vicenda

Che se da un lato è semplice e “trendy” parlare di Web 2.0 e social networks, a quanto pare parlare di sicurezza in Rete è considerato demodé, ed i risultati si vedono. Negli ultimi tempi gli attacchi si stanno facendo meno sofisticati, mantenendo di contro una altissima efficacia. Segno che non solo gli utenti sono impreparati ad affrontare un attacco di phishing o a base di social engineering, ma il dramma è che gli stessi professionisti del settore informatico sono poco preparati, quando non ignorano del tutto il problema.

Mi sono capitati sviluppatori, webmaster, grafici, sysadmin che non hanno la più pallida idea del livello di sicurezza richiesto per “andare in Rete”. In qualche caso mi è stato risposto che “basta prendere un hosting blindato”. Non mi stupirebbe che siano in molti a pensarla così.

Una cosa che personalmente ho imparato, e che mi ha lasciato molto perplesso, almeno all’inizio, è l’estrema difficoltà a far capire alle persone quanto pericoloso sia avere un sito vulnerabile, o peggio già violato. Lo dimostra anche il fatto che il mentecatto non è stato sconfitto, per niente. Ha rinunciato lui perché la strategia di piazzare link nascosti nei blog non è più efficace ai suoi scopi. Semmai è stato sconfitto dalla prontezza e dalle azioni di contrasto di chi gestisce i motori di ricerca, più che dalla reazione dei proprietari di siti violati. Tanto è che alcune persone mi hanno contattato alla ricerca di aiuto solo dopo che il dio Google li aveva eliminati dalla faccia del web, bannandoli dall’indice.

Altra cosa è che presentarsi per segnalare che un certo sito web è stato violato provoca spesso reazioni ostili, piuttosto che di attenzione o allarme. Insomma, o ti chiami con un nome notissimo (e magari con fama immeritata), o nella migliore delle ipotesi vieni ignorato. C’è stato un momento in cui ho temuto di essere scambiato per il nostro amico mentecatto… Ovvio, no? Prima ti “buco” il sito, poi mi presento e ti chiedo 500 euro per ripulirtelo.

Semmai mi è successo il contrario: vengo contattato perché il blog è stato bucato e una ricerca su Google restituisce il mio sito, ed alla mia offerta di dare una mano senza nulla chiedere mi viene detto che i blog in realtà sono di più, perché anche quelli di altri amici sono bucati.

Alla fin fine

Questo probabilmente sarà l’ultimo articolo dedicato alla vicenda, che per quanto mi riguarda ha esaurito la sua importanza, per non parlare del mio interesse in merito. Come ho già detto, nelle prossime settimane, se il mentecatto non si farà vivo con qualche altra trovata geniale, pubblicherò il sorgente del Wordpress Autotest, che contestualmente verrà eliminato dal mio sito. Non sono uno sviluppatore esperto di sicurezza, e non è una ipotesi peregrina che il codice possa contenere un disastroso errore, tale da compromettere la sicurezza del mio sito. Il codice è stato sviluppato in fretta e con il preciso scopo di fornire uno strumento di autoverifica affidabile e di facile uso per chi non ha le competenze necessarie.

Se il mentecatto ha rinunciato perché efficacemente contrastato da Google, il test è diventato inutile ed è privo di senso lasciarlo online, visto che potrebbe costituire un pericolo per il mio stesso sito.

Tutto ciò non deve autorizzare nessuno a dormire sonni tranquilli. Ogni giorno decine, forse centinaia di siti web vengono violati in modi sottili, perché la violazione spesso non si esplicita in un defacement, plateale ma inutile agli scopi di questa gente. Sempre più spesso il sito violato finisce per ospitare un sito per il phishing, o peggio un appoggio per materiale illegale da distribuire. Quasi tutti i siti di phishing che mi capita di trovare nei messaggi di spam che ogni giorno infestano la mia casella di posta sono “ospitati” in siti di ignari utenti che non hanno la più pallida idea di cosa stia capitando. Chi detiene un sito vulnerabile, e lo sa, sarà prima o poi vittima di un attacco del genere. E’ inevitabile. Lo dice lo spam.

Tags: , ,

14 novembre 2008: seminario su Data Hiding presso IISFA a Roma

Nov 6

Pubblicato da Mario Pascucci in Computer Forensics, Eventi | 3 commenti

Il prossimo venerdì 14 novembre, presso la Cassa Nazionale Forense a Roma terrò un seminario sulle tecniche di data hiding riservato ai soli soci del capitolo italiano di IISFA (International Information Systems Forensics Association).

La mia partecipazione è stata possibile grazie alla estrema gentilezza e disponibilità del presidente Gerardo Costabile, che ringrazio per l’opportunità concessami.

Presenterò alcuni esempi di tecniche atte a nascondere dati, pensate anche per resistere ad eventuali indagini forensi, e le relative contromisure. Parlerò inoltre di una categoria del tutto nuova di nascondigli, i siti web violati, utilizzando parte del materiale raccolto nella mia indagine contro i blog Wordpress compromessi.

Sul sito IISFA tutti i dettagli del seminario, e le informazioni per raggiungere la località. Per chi fosse interessato all’argomento, è il caso di prendere in considerazione l’iscrizione all’associazione.

Per chi partecipa, ci vediamo là.

Tags: , ,

Andò per fare phishing e rimase… all’amo?

Nov 4

Pubblicato da Mario Pascucci in Computer Forensics, Information security | 7 commenti

Qualche giorno addietro, nella lista riservata agli iscritti IISFA del capitolo italiano, è stato segnalato un sito dove sono a disposizione “ready to deploy” dei kit per il phishing per un nutrito elenco di siti di home banking, oltre ai soliti eBay e PayPal.

Passato il primo momento di sorpresa per tanta tracotanza (arrivare a mettere in vendita dei kit per perfetto phisher, il massimo!), la curiosità prende il sopravvento. Lo so, prima o poi mi metterò nei guai per questo…

La domanda che mi frullava per la testa è stata: cosa ci guadagna il tizio? Perché i kit sono liberamente scaricabili, in pacchetti compressi con il formato RAR, senza alcuna protezione. Quindi che razza di pagamento pensa di ottenere?

Lo confesso, ho scaricato un paio di kit, ed ho iniziato ad analizzare il codice, naturalmente in PHP.

E la sorpresa è doppia. Sì, perché c’è molto di più di un kit per il phishing, nei pacchetti. Vado a spiegarmi. Nella più classica modalità da truffatore esperto di umane debolezze, il kit di phishing ha un doppio uso, il secondo dei quali è a danno anche di chi dovesse sfruttare il kit per fare phishing.

Nei file costituenti il kit ve ne è uno che si incarica di spedire al phisher i dati inseriti dall’ignaro navigante che cada nella trappola. Il metodo scelto è l’e-mail, a differenza di altri che semplicemente scrivono i dati su un file locale al server che poi il nostro amico phisher preleverà dopo qualche giorno. In evidenza c’è una riga in PHP dove si intuisce al volo che è il posto dove inserire il proprio indirizzo di posta elettronica per ricevere i dati.

Il file in oggetto è a prima vista molto semplice, ed è costituito da una serie di istruzioni di concatenazione di stringa, per comporre il messaggio contenente user ID, password, numeri di carta di credito, indirizzi, ecc. Guardando meglio il codice si nota che è inutilmente complicato, e che le istruzioni di concatenazione sono assurdamente frammentate. Trattandosi di codice scritto da un Grande Hacker, è abbastanza nella norma, ma tutto sta nel non lasciarsi fuorviare. Guardando il codice e cercando di capire cosa faccia, mi sono reso conto che in una variabile c’era una vocale “e” al posto di una “a”. Le righe erano alternate e componevano DUE messaggi differenti, uno dei quali in realtà era un indirizzo di posta elettronica molto poco intuitivo. Al termine il messaggio composto viene inviato a tre differenti indirizzi di posta elettronica: il primo è quello nella variabile bene in vista, pronto per essere sostituito dall’indirizzo del phisher-wannabe. Gli altri due indirizzi sono presi da due variabili, una è quella inframmezzata alla composizione del messaggio, dell’altra non vi è traccia nel file.

Ho tentato una ricerca in tutti i file del pacchetto di “$Var3″ (il nome della variabile è inventato, è inutile cercarlo con Google…), senza fortuna. Allora ho tentato il jolly: una ricerca per la funzione PHP base64_decode. Tana!

In uno dei form della pagina di phishing c’è un campo input di tipo hidden il cui nome è “Var3″ ed il cui valore è l’output di una chiamata alla funzione base64_decode, con una stringa che, a questo punto l’avrete capito, si risolve in un altro indirizzo di posta elettronica, diverso da tutti gli altri.

In definitiva, se Ernesto (nome inventato), convinto di fare una gran birbonata, installa il kit del perfetto phisher su un sito, i dati li riceverà anche chi ha preparato il kit. E lo scopo è proprio questo, visto lo sforzo che c’è nel codice di nascondere ed offuscare proprio quei due indirizzi di posta aggiuntivi. Se Ernesto venisse scoperto, cosa abbastanza verosimile, pagherebbe dalla A alla Z, mentre il nostro furbacchione si godrebbe i risultati della birbonata di Ernesto, indisturbato. Ricordiamo che avrebbe a sua disposizione tutti i dati che ha in mano Ernesto, inviatigli in “copia conforme”, e che Ernesto probabilmente attenderebbe di averne un po’ prima di iniziare ad usarli, mentre il creatore del kit inizierà ad usarli da subito, prima che Ernesto sospetti qualcosa o che venga scoperto, come quasi certamente sarà.

Tutto ciò, naturalmente, a meno che non si trovi come avversario un investigatore un po’ più smaliziato. A questo punto non avrebbe vita troppo facile, ma per prima cosa sarebbe necessario che l’investigatore si ponga la domanda, si faccia venire il dubbio.

Altrimenti, la cosa potrebbe venir fuori solo al momento dell’interrogatorio di Ernesto.

Ecco, immaginate. Sala per interrogatori, due agenti vestiti di scuro, uno in piedi alle spalle di Ernesto, l’altro seduto dall’altra parte del tavolo:
- Chi ti ha aiutato a creare il codice per il phishing?
- L’ho fatto io! (Ernesto, credendo di fare più impressione, tenta di prendersi il merito)
- Naaahhh. Non ne sei capace. Abbiamo visto nel tuo computer. Il codice che sviluppi non gli si avvicina neanche. Abbiamo curiosato nella cache del tuo browser e sappiamo dove l’hai preso.

Chi è meno credibile: Ernesto che si vanta di aver sviluppato del codice, cosa di cui non è neanche lontanamente capace, o l’investigatore smaliziato al punto da capire che il livello di competenza di Ernesto è insufficiente ed è anche lui vittima di qualcun altro più furbo?

Fate voi. Al solito, non mi rimane che ricordare:
Trust no one

Tags: , , , ,