Connect with us


Articoli

Le Tecniche hacker black hat per indentificare un obiettivo in modo anonimo

Redazione

Pubblicato

il

Una delle fasi fondamentali di un attacco è la sua preparazione. Più accurata ed esaustiva è l’analisi sull’obiettivo, più efficace sarà la nostra preparazione, la stesura della nostra strategia e, di conseguenza, più alte saranno le nostre probabilità di successo.

Lo scopo della fase di ricognizione è attingere il maggior numero di informazioni utili sul target, essenziali da utilizzare nella fase d’attacco, senza lasciare che la vittima si accorga di cosa sta avvenendo. Per raggiungere il nostro obiettivo effettueremo una ricognizione servendoci di tecniche di investigazione su fonti pubbliche/ aperte: Open Source Intelligence (OSINT)

LEGGI IL PDF COMPLETO

DOWNLOAD NUMERO HJ 260

Approfitta subito della nostra offerta ,
hai la possibilità di abbonarti per un anno a 33,90 € con digitale in omaggio anziché 46,90€!

ABBONATI ORA – CLICCA QUI


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

Articoli

Machine Learning a rischio cracker

I più avanzati modelli di intelligenza artificiale e di riconoscimento biometrico rappresentano un ghiotto boccone per gli hacker di tutto il mondo

Avatar

Pubblicato

il

Nella vita di tutti i giorni dipendiamo dalle più differenti applicazioni di Machine Learning. Basti pensare ai sistemi di riconoscimento biometrico, oppure alle pubblicità personalizzate che appaiono sui social o anche alle stesse soluzioni antimalware e antispyware che si basano su modelli di Intelligenza Artificiale. Sempre più spesso succede di non capire se le chat di assistenza a cui ci rivolgiamo siano presidiate da persone oppure da bot e prima che ci venga autorizzato un prestito o un finanziamento sarà sempre l’Intelligenza Artificiale ad avere l’ultima parola. Da qualche tempo però i modelli di Machine Learning possono essere utilizzati non solo dalle aziende, ma anche da semplici appassionati grazie alla disponibilità di speciali librerie come SciKit, Numpy, TensorFlow, PyTorch, e CreateML che permettono di risolvere problemi complessi che solo qualche anno fa avrebbero richiesto l’intervento di un esperto. Come accade regolarmente nei settori in continua crescita, parallelamente agli avanzamenti tecnologici appaiono minacce e attacchi portati da pirati informatici che in molti casi riescono ad agire senza essere individuati, fin quando non è troppo tardi.

 

Machine Learning sotto attacco

Gli Adversarial Attack sono attacchi informatici compiuti ai danni dei vari modelli di Intelligenza Artificiale con l’obiettivo di ingannare il modello di Machine Learning, in modo da alterarne il risultato. Un esempio concreto è rappresentato dai Pixel Attack che funzionano applicando modifiche minime, anche di un solo pixel, come ha dimostrato l’abstract dei ricercatori Jiawei Su, Danilo Vasconcellos Vargas e Kouichi Sakurai. I risultati forniti dalle Reti Neurali Profonde, (Deep Neural Network) possono essere facilmente alterati modificando in maniera umanamente impercettibile il vettore iniziale con l’inserimento di un solo pixel alterato. In questo modo fino al 74% dei risultati viene completamente corrotto, fornendo risultati inaffidabili. Nell’abstract appena citato sono mostrati diversi esempi di immagini modificate in un solo pixel che una volta analizzati dai sistemi di Machine Learning producono risultati completamente differenti. In un caso, come riferito dal Washington Post, è bastato modificare un solo pixel di un’immagine per alterare complessi modelli di compravendita azionaria con risultati disastrosi.

 

Data Poisoning

La modalità di attacco Adversarial si fonda sui classici sistemi basati su algoritmi come quelli di data poisoning (inquinamento dei dati) e inference attack. Solo che in questo caso l’attaccante sceglie di colpire la modalità di archiviazione e di distribuzione dei modelli. Anche se i modelli di Machine Learning vengono percepiti come una tecnologia talmente evoluta da essere difficilmente analizzabile da un non addetto ai lavori, in realtà vengono utilizzate le stesse modalità in uso con normali software con tanto di ricerca di vulnerabilità che possano essere sfruttate dall’attaccante. È questo il caso del formato di archiviazione Pickle che viene normalmente utilizzato nel linguaggio di programmazione Python. Questo formato viene usato anche per i modelli di Machine Learning e permette a un’attaccante di eseguire del codice malevolo utilizzando uno strumento Open Source chiamato Fickling, come è ben noto alla community di sicurezza internazionale.

[Foto: DA GATTO A CANE
Come ha dimostrato il paper del ricercatore Goodfellow e dei suoi colleghi alla RSA Conference, è bastato inserire un pixel nell’immagine di un felino per farlo riconoscere come cane da un sistema di Machine Learning]

*illustrazione articolo progettata da macrovector / Freepik
Continua a Leggere

Articoli

Email a prova di intercettazioni

Scopriamo come inviare una mail crittografata end-to-end e protetta da una password attraverso il servizio ProtonMail

Avatar

Pubblicato

il

Cos’è ProtonMail? Non è facile rispondere con precisione. Potremo definire questo servizio come una piattaforma e-mail, un servizio Webmail che consente il criptaggio e il decriptaggio delle email. Ma che dà anche la possibilità di attivare una connessione VPN, uno Drive e un calendario. Ciò che è certo è che sono una serie di strumenti votati alla sicurezza e alla privacy. Soprattutto per quanto concerne la posta elettronica. Basta pensare al fatto che usa la crittografia end-to-end e che consente di impostare una password per ogni messaggio. Il tutto, senza preoccuparsi di installare o impostare alcun tipo di software.

 

Parola d’ordine: privacy!

La prima cosa che si nota quando ci si accinge a utilizzare ProtonMail è che, durante l’iscrizione, vengono richiesti solo un nickname e una password. Nient’altro! Quindi, niente inserimenti di dati personali, età, provenienza, nazionalità, indirizzo, numero di telefono… Insomma, nessuna di quelle informazioni che, al giorno d’oggi, sono ormai delle vere e proprie valute di scambio. E basta dunque con pubblicità, sponsorizzazioni, profilazioni d’ogni genere e via discorrendo.

 

Anche sul Dark Web

È possibile utilizzare ProtonMail anche da smartphone. Su questo sito trovate l’applicazione per Android e per iOS, nonché il client di posta Bridge (solo per chi sottoscrive un abbonamento a pagamento), disponibile per Windows, Mac OS e Linux.
Una particolarità che ha spinto il collettivo Anonymous ad annoverare ProtonMail in quella che abbiamo definito “La cassetta degli attrezzi anticensura”. In pratica, una serie di tool atti a tutelare la privacy e ad aggirare le limitazioni imposte all’Ucraina dal governo sovietico, e di cui abbiamo parlato più volte su HJ.

 

IN PRATICA

Protonmail: guida all’uso

 #1
Il primo passo è naturalmente quello di collegarsi sul sito ufficiale di ProtonMail, ovvero https://proton.me/it e registrarsi sul portale. Una volta aperta la home, cliccate su Prodotti e scegliete ProtonMail. Poi, selezionate il tasto Crea un account gratuito. E infine, Ottieni Proton gratis.

 

#2
Compilate gli unici tre campi che vi vengono proposti a video. E cioè: nome, utente e password. Ripetete quest’ultima e cliccate su Crea account. Risolvete il captcha e scrivete il nome che volete visualizzare quando inviate una email, gli inviti a un evento o condividete un file.

 

#3
Procedete senza inserire altri dati. Alla fine una schermata di vi dà il benvenuto al vostro account. Scegliete il tema che preferite e proseguite. Terminata la configurazione, vi troverete di fronte al vostro pannello di amministrazione della casella mail, con le classiche voci: posta in arrivo, inviata, bozze…

 

 #4

Inviare una mail con ProtonMail è praticamente uguale a farlo con un qualsiasi altro servizio di Webmail. C’è solo da tenere in considerazione la possibilità di impostare una password per gli invia a caselle non-Proton. In questo caso, infatti, dopo aver cliccato su Nuovo Messaggio e compilato la mail, dovete cliccare sul simbolo del lucchetto.

 

#5

Dopo aver cliccato sul lucchetto, apparirà un box dal quale impostare la password. Dopo aver inserito un suggerimento dovete confermare con Set encryption. Di fianco all’indirizzo del destinatario verrà mostrato un altro lucchetto, stavolta di colore azzurro. Proseguite con Invia.
 

#6

Il destinatario riceverà una mail standard con all’interno (e in chiaro) il suggerimento inserito dal mittente. Cliccando su Unlock message gli si aprirà una schermata nella quale inserire la password e, subito dopo, scegliere il tasto Decripta. A questo punto leggerà la posta. Tutto ciò è ovviamente non necessario se il destinatario usa anche lui ProtonMail.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Orange Pi 800

Avatar

Pubblicato

il

By

Orange Pi 800

Molti di noi conosceranno o avranno la Raspberry Pi 400, cioè la tastiera che integra una Raspberry Pi 4. Ebbene, ora questo dispositivo ha un rivale che si chiama Orange Pi 800. Scopriamo se è un degno avversario.

Tutto dentro la tastiera

Anche la Orange Pi 800 sembra una tastiera, invece è un intero computer – un miniPC – con CPU, memoria, disco e porte di collegamento. In pratica la tastiera ha al suo interno un chipset Rockchip RK3399 che integra una CPU a sei core (due di essi sono dei Cortex-A72 a 1,8 GHz, gli altri quattro sono dei Cortex-A53s a 1,4 GHz). Troviamo poi una GPU (scheda grafica) Mali-T860MP4, 4 GB of RAM di tipo LPDDR4 e un disco da 64 GB di tipo eMMC.

Orange Pi 800 è disponibile solo con il layout americano, tra i 78 tasti non troviamo cioè le lettere accentate che usiamo di norma. I programmatori gradiranno questo layout visto che usano spesso le parentesi quadre e graffe. In tutti i casi è possibile impostare nel sistema operativo il layout italiano: se si è abituati a digitare ci si adatta velocemente trovando comunque le lettere accentate pur non vedendole scritte.

Distro Linux

Orange Pi 800 arriva con il sistema Linux Orange Pi OS preinstallato, ma sul sito del produttore troviamo altri sistemi installabili: Manjaro, Ubuntu 22.04 e Debian 11. Queste distribuzioni Linux devono essere salvate su scheda microSD. Di OrangePi OS esiste anche una versione basata su Android. Avviata la macchina, ci troviamo di fronte un classico desktop: in alto a sinistra troviamo il menu Applications (Applicazioni, una volta che avremo messo in italiano il sistema) con i vari programmi installati divisi per categorie (Impostazioni, Internet, Multimedia, Grafica, Ufficio, ecc.). Per mettere in italiano il sistema operativo il modo più rapido è usare il programma OrangePi config che troviamo nel menu delle impostazioni. Tramite esso è anche possibile installare vari programmi non presenti all’inizio, come LibreOffice, il media center Plex o la soluzione per la sincronizzazione dei file Syncthing. Sempre in alto, a destra, ci sono invece le icone che indicano lo stato della rete, l’orario, il Bluetooth, ecc. Prima che ce la chiediate, la password dell’utente predefinito è orangepi. La tastiera è tutto sommato comoda nella digitazione. è necessario dotarsi di un mouse, non incluso nella confezione (nello store ufficiale su Amazon, https://bit.ly/ci272_orangepi800), dove invece troviamo l’alimentatore da rete, Orange Pi 800, infatti, non va a batteria. Noi l’abbiamo usata come un classico sistema desktop, con buone prestazioni. Orange Pi 800 può piacere anche ai programmatori e agli appassionati di elettronica, anche se bisogna notare che il GPIO presente non permette l’uso delle schede pensate per la Raspberry Pi. E ovviamente, installando il software adatto, diventa tranquillamente una stazione da hacking!

Le porte della Orange Pi 800

Grazie alle porte HDMI 2.0 (con uscita in 4K) e VGA possiamo collegare due monitor alla tastiera, che integra un altoparlante non eccelso ma comodo.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Più sicuri e protetti sul Web

Vi presentiamo un’estensione per browser capace di rendere la navigazione migliore: all’insegna della sicurezza, della riservatezza e della celerità

Avatar

Pubblicato

il

Decentraleyes è un componente aggiuntivo per browser che consente di navigare aggirando le principali CDN presenti online. Come quella di Google, Amazon, Meta e via discorrendo. Non sapete cos’è una CDN? Beh, il concetto è semplice… CDN è l’acronimo di Content Delivery Network, in altre parole una rete per la distribuzione dei contenuti. Un insieme di server, tecnicamente, distribuiti in più aree geografiche che – mediante la memorizzazione sui PC di piccoli file, velocizza la navigazione degli utenti. Ma allo stesso tempo memorizza informazioni personali, come ad esempio le ricerche in base ai gusti e alle preferenze manifestate in Rete. In parole povere, svolge la cosiddetta attività di “profilazione”. Ecco quindi l’importanza di un software come Decentraleyes, in grado di aggirare tutto questo e garantire una protezione della privacy e, al contempo, di velocizzare un po’ il caricamento delle pagine. Come? Vediamolo subito…

 

Come funziona?

Decentraleyes non fa altro che emulare i file di tracciamento, riproponendo agli utenti quelli più diffusi e presenti sul Web. In pratica, l’add-on memorizza al suo interno le librerie e, quando intercetta una richiesta da parte di un sito di una di queste, la fornisce direttamente, così che nessun altro sito venga più contattato per scaricarla. Crea una sua personale CDN. Ciò, inizialmente, non apporta grandi agevolazioni, ma col passare del tempo evita che gli utenti scarichino altri file di tracciamento non richiesti. Protegge così la privacy e, indirettamente, accelera la navigazione. Decentraleyes è un add-on che è fa parte dell’ormai nota “Cassetta degli attrezzi anticensura” di cui abbiamo scritto nei numeri scorsi. Nei prossimi passi vi facciamo vedere come si utilizza in pratica.

 

IN PRATICA

Create la vostra CDN personale

 Installazione
Installate l’add-on per Firefox collegandovi a questo indirizzo e cliccando su Aggiungi a Firefox; oppure su Aggiungi se adoperate Google Chrome, o ancora su Ottieni per Edge. Scegliete il pulsante Installa e aspettate qualche secondo.

Anche in finestra anonime?
Al termine dell’installazione, apparirà un messaggio in alto a destra che vi consentirà di impostare questo add-on anche per le finestre anonime del browser. Se volete attivare questa funzione mettete una spunta sul messaggio e, infine, cliccate sul pulsante OK.

 

 Un test
Per provare l’add-on appena installato, il produttore ha inserito (in basso a sinistra della schermata principale) un link dedicato alla realizzazione di un test. Cliccate qui: vedrete che il componente bloccherà un paio di risorse e mostrerà il numero 2. Provate ora a disabilitarlo cliccando sul tasto di accensione…

 

Le impostazioni
Entrate adesso nelle impostazioni dell’add-on cliccando sul tasto degli ingranaggi riportato in basso a destra della schermata principale. Dalla schermata che si apre potete scegliere tra quattro opzioni. Il consiglio, comunque, è quello di lasciare tutto inviato.

  

Un altro test
Per vedere le risorse che Decentraleyes ha bloccato finora, cliccate con il tasto destro su una qualsiasi parte vuota di un sito e scegliete Analizza. Poi entrate nella scheda Rete e scorrete il listato che vi appare. Da qui è possibile constatare che alcune librerie sono servite all’istante senza nemmeno che ci sia una richiesta.

 


Rimuoverlo
Come detto, l’efficacia di Decentraleyes la si apprezzerà di più con il passare del tempo. Se però non siete soddisfatti del suo funzionamento o non volete aspettare, per rimuovere l’add-on vi basta cliccare con il tasto destro sul simbolo in alto a destra e scegliere Rimuovi estensione.


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Il lato oscuro del Metaverso

Aziende e persone parlano della nuova frontiera del Web… ma anche la cybercriminalità si sta preparando a esplorare questo nuovo spazio

Avatar

Pubblicato

il

È difficile identificare le minacce informatiche di uno spazio che non esiste ancora completamente. Ma su una cosa siamo sicuri: quando arriveranno, saranno micidiali. Perché il Metaverso, quella specie di rete che collega e rende interoperabili differenti ambienti di realtà virtuale con l’ausilio di visori e occhiali VR, oggi sembra una barzelletta mal riuscita raccontata da Mark Zuckerberg, ma domani potrebbe diventare una serie di ambienti giganteschi e molto reali dal punto di vista economico e sociale. E conoscendo la natura umana, ci sarà chi cercherà di sfruttarlo per il suo lato oscuro.

 

RICERCA RIVELATORIA

Una delle prime ricerche che mette in luce quali configurazioni potrebbe avere questo spazio virtuale è quella condotta dall’azienda di cybersecurity Trend Micro. Ma i ricercatori non sono gli unici a preoccuparsi: sono in molti quelli che già provano a immaginare come i primi abbozzi di Metaverso verranno trasformati anche in luoghi di incontro e scambio illegale.

 

CRIMINALI VIRTUALI

I rischi possibili nell’immediato futuro sono davvero molti. Il Metaverso prevede l’utilizzo degli NFT per la regolamentazione della proprietà, viste le loro caratteristiche di immutabilità. Però, proprio come accade con i furti di Bitcoin e delle altre criptovalute oggi, gli NFT saranno oggetto di phishing, furti, frodi anche in 3D. Non solo. Le proprietà di “spazi fisici” virtuali nel Metaverso daranno la possibilità di riciclare soldi sporchi con compravendite con valori artificialmente gonfiati e generare un’economia parallela e illegale. Inoltre, la privacy sarà completamente stravolta, perché non solo la possibilità di tracciare i comportamenti degli utenti è ancora tutta da definire, ma il tipo di dati e di azioni che possono essere viste è enormemente più sofisticato e complesso. Infine, fake news, propaganda e ingegneria sociale la faranno da padroni in spazi molto realistici dove però è tutto generato digitalmente e quindi tutto potenzialmente falso.

 

IL FAR WEST

La base del ragionamento che viene fatto è che oggi il Metaverso è ancora sul tavolo da disegno dei progettisti della Rete. Meta, cioè Facebook, ma anche le centinaia di aziende che stanno cercando il modo di investire e personalizzare gli ambienti a loro vantaggio, sono ancora agli inizi. È, a quanto pare, un ambiente embrionale dove non esistono regole e dove sembra che nessuno le voglia mettere. Anzi, come la corsa all’Ovest del vecchio Far West, quando i coloni sbarcati dall’Europa potevano correre verso le grandi pianure e fermarsi per colonizzare gratuitamente tutta la terra che fossero stati in grado di prendere, così nel Metaverso le aziende oggi stanno cercando di acchiappare visibilità e “spazi” (rappresentati dagli NFT) in maniera tale da avere un vantaggio. Ma, proprio come nel Far West dell’Ottocento, nel Metaverso troveranno casa criminali e truffatori. E le forze dell’ordine potranno fare molto poco.

 

LE DOMANDE APERTE

ll vero problema, infatti, non è soltanto l’insicurezza, ma anche la difficoltà a capire come fare a introdurre delle forme di controllo e di sicurezza credibili. Come fare a sorvegliare i territori virtuali? Come attribuirsi le competenze e la giurisdizione? Come ridefinire i reati quando questi diventano virtuali? Sono molti i problemi aperti che stanno preoccupando i ricercatori e gli esperti. E le domande sono tante: come saranno moderate le attività degli utenti e il parlato nel Metaverso? E chi saranno i responsabili? Come verranno controllate e applicate le violazioni del diritto d’autore? Come faranno gli utenti a sapere se stanno interagendo con una persona reale o unbot? Ci sarà un test di Turing per differenziare le AI dagli esseri umani? C’è un modo per salvaguardare la privacy impedendo che il Metaverso venga dominato da poche grandi aziende tecnologiche, come vorrebbe per esempio Meta? Sono tutte domande aperte che, se non trovano risposta adesso, potrebbero diventare problemi cronici del nuovo spazio virtuale.

Continua a Leggere

Articoli

Un pericoloso scambio di identità

Il servizio EKS di Amazon Web Services utilizza il sistema di identità AWS IAM per gestire gli utenti e li traduce nel sistema di ruoli e permessi tipici di Kubernetes. Questa traduzione, però, nasconde un punto debole

Avatar

Pubblicato

il

Amazon Web Services è il cloud di Amazon, una delle principali piattaforme cloud disponibili. La quantità di servizi che offre è enorme, praticamente qualsiasi cosa si possa immaginare nel mondo del cloud computing, e sono solitamente indicati con delle sigle. S3, per esempio, è un semplice storage cloud. EC2 offre macchine virtuali. Mentre EKS (Elastic Kubernetes Service) è l’implementazione in chiave Amazon di Kubernetes. Naturalmente, nella logica di Amazon, tutti i vari servizi sono interconnessi, in particolare per quanto riguarda l’autenticazione. Su Kubernetes è, infatti, presente un meccanismo di autenticazione basato su utenti e ruoli, per cui a ogni utente vengono assegnati dei token identificativi e una serie di autorizzazioni per l’accesso a specifiche risorse. Questo permette di definire con estrema precisione quali attività possano essere svolte da ciascun utente, rendendo l’ambiente molto sicuro, perché non è necessario dare a qualcuno più permessi di quanti ne servono. L’aspetto interessante è che già da prima che esistesse Kubernetes, il sistema di autenticazione di Amazon, AWS IAM, funzionava con la stessa logica.

 

DOVE RISIEDE LA VULNERABILITÀ

Per evitare di dover ripetere tutto due volte, cosa piuttosto complicata in aziende con centinaia o migliaia di dipendenti, Amazon ha deciso di integrare il proprio IAM con la sua implementazione di Kubernetes, così è possibile utilizzare le utenze AWS preesistenti, magari già in uso per accedere a servizi come S3 o CloudFront, per accedere anche alle risorse allocate sul cluster Kubernetes. È quindi stato pubblicato il modulo AWS IAM authenticator for Kubernetes, che permette l’utilizzo del sistema di autenticazione di Amazon per accedere alle risorse di un cluster Kubernetes (uno qualsiasi, in realtà, non necessariamente EKS). Kubernetes è infatti open source, quindi chiunque può realizzarsi un cluster sul proprio hardware, e Amazon ha rilasciato come open source anche la propria implementazione, col nome di “EKS Anywhere”. E chiunque può decidere di utilizzare come autenticatore il servizio IAM di Amazon, su qualsiasi cluster Kubernetes. Semplicemente, Kubernetes continua a gestire i suoi ruoli e permessi come al solito, ma per l’autenticazione di un accesso non si fa il classico scambio di chiave direttamente in Kubernetes: l’utente si autentica su Amazon e riceve un token di autorizzazione temporaneo, che viene poi utilizzato nelle varie chiamate alle KubeAPI per collegare l’attività all’utente. Il modulo  aws-iam-authenticator si occupa proprio di mettere in relazione i ruoli nativi di Kubernetes con l’autenticazione di Amazon. Ed è in questa “traduzione” che è stato trovata una vulnerabilità, a meno di un anno dalla pubblicazione di EKS Anywhere.

Figura 1 – Il problema è che il nome utente viene cercato come lowercase, quindi è possibile che due nomi, che differiscono solo per le maiuscole, vengano confusi. [Fonte]

 

UN DIZIONARIO PER LA TRADUZIONE

La procedura di autenticazione percorre sostanzialmente sei passi:

  1. L’utente invia una richiesta alle API di EKS, per ottenere delle risorse Kubernetes (per esempio, “kubectl get pods”). La richiesta include un token di autorizzazione nell’intestazione, che è una stringa base64 di AWS Security Token Service.
  2. Il server riceve la richiesta, estrae il token, e lo invia nel corpo della richiesta verso il server di AWS IAM.
  3. Il server di autenticazione di AWS IAM riceve il token dal server API, lo decodifica e lo verifica. Se è corretto, il server IAM invia la richiesta di autenticazione firmata ad AWS STS.
  4. AWS STS riceve la richiesta e contolla la firma. Se la firma è valida, poi invia i dettagli dell’identità IAM dell’utente come risposta alla chiamata GetCallerIdentityResponse (chiamata che IAM fa a STS).
  5. L’autenticatore IAM riceve la risposta della propria chiamata GetCallerIdentityResponse da STS e traduce l’identità IAM collegata a quel token in un serviceaccount di Kubernetes, basandosi sulle regole scritte nella ConfigMap aws-auth. L’identità Kubernetes che viene riconosciuta grazie a questa ConfigMap deve ovviamente essere presente nel cluster, e avere delle regole RBAC che le permettano l’accesso a delle risorse. AWS IAM passa l’identità Kubernetes corrispondente alla propria alle API di EKS.
  6. Il server delle API riceve l’identità, controlla i permessi tramite RBAC, e verifica se la richiesta (“get pods”, nell’esempio) è autorizzata per questo serviceaccount. In caso positivo, esegue la richiesta e restituisce il risultato direttamente al chiamante.

Uno dei punti deboli è che è possibile modificare la ConfigMap, come si farebbe con una qualsiasi altra ConfigMap:

kubectl edit configmaps aws-auth -n kube-system

Se si aggiungesse un elemento di questo tipo alla sezione mapUsers:

mapUsers: |
– userarn: arn:aws:iam::000000000000:user/testuser
username: user:

Sarebbe possibile assegnare una access key IAM arbitraria (per esempio la propria) all’utente testuser. Naturalmente, per poterlo fare bisogna prima di tutto avere l’accesso alla ConfigMap in questione, ma è possibile che un utente possa accedere al namespace kube-system senza però avere altri privilegi. Con questo meccanismo, potrebbe modificare la ConfigMap e assegnarsi un serviceaccount Kubernetes che ha maggiori privilegi, andando quindi a impersonare un altro ruolo. Ci si potrebbe chiedere: ma, se viene mappato un utente già presente nella ConfigMap, non dovrebbe generare un errore? La realtà è che questo non accade a causa di questo bug nella lettura della ConfigMap da parte del sistema di verifica dei token:

queryParamsLower.Set(strings.ToLower(key), values[0])

Come si può vedere, la chiave (l’utente) viene trasformata in minuscolo. È quindi possibile modificare la ConfigMap per sostituire l’utente “amministratore” con un piccolo trucco: basta aggiungere la propria access key per l’utente “Amministratore”. Siccome le due stringhe sono diverse, non ci sarà una sovrascrittura e nessun errore nell’inserimento. Poi, quando AWS cercherà di confrontare le varie access key, selezionerà questa stringa ma trasformandola in minuscolo, quindi dando l’accesso al service account “amministratore”.

 

LA SOLUZIONE

Amazon ha risolto il problema semplicemente aggiungendo al codice una funzione che faccia un vero controllo dei duplicati, per assicurarsi che nessuno aggiunga una seconda volta l’access key per un utente già esistente. Il nuovo codice è stato caricato su tutte le istanze EKS gestite da Amazon, e per quelle installate dagli utenti sul proprio hardware basta fare un aggiornamento di EKS Anywhere. A ogni modo, il bug era presente fin dal 2020, e non sappiamo se sia stato sfruttato da qualcuno prima che venisse scoperto e corretto, quindi conviene assicurarsi che i permessi degli utenti nel proprio cluster EKS siano rimasti come previsto. In particolare, all’amministratore basta controllare la ConfigMap aws-auth nel namespace kube-system, per assicurarsi che non ci siano “duplicati” (pur con differenze tra maiuscole e minuscole) dei nomi degli account.

Figura 2 – Il problema è stato risolto con una nuova funzione che controlla la presenza di eventuali utenti duplicati  a prescindere da maiuscole e minuscole, e segnala l’errore. [Fonte]


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

Articoli

Attacco dal canale laterale

Le tecniche che permettono agli hacker di ottenere dati senza necessariamente accedere al sistema. Così i “Side-Channel Attack” compromettono la privacy

Avatar

Pubblicato

il

Quando pensiamo a un cyber attacco, la prima cosa che ci viene in mente è un pirata informatico che, collegato col suo PC magari a migliaia di chilometri, sferra un attacco sfruttando la rete Internet come mezzo per raggiungere le vittime e violare la sicurezza dei loro dispositivi. Tuttavia, esistono attacchi che permettono a un hacker di prendere possesso di dati sensibili senza sfruttare falle di sicurezza, né connessioni di rete; in gergo vengono chiamati attacchi sul canale laterale (Side Channel Attack).

 

Che cos’è un attacco di canale laterale?

Un attacco di tipo side-channel tenta di raccogliere informazioni da un sistema misurando o sfruttando gli effetti indiretti dello stesso, senza quindi irrompere direttamente nei dispositivi. Ad esempio, un attacco di questo tipo è quello conosciuto come phreaking di van Eck, noto anche come radiazione di Van Eck; in questo tipo di offensiva vengono impiegati dispositivi in grado di captare le emissioni elettromagnetiche provenienti ad esempio da tastiere e display di PC o smartphone; tali segnali, opportunamente elaborati, consentono a un malintenzionato di ricostruire le informazioni digitate o visualizzate. Un altro esempio di attacco di canale laterale è quello in cui vengono captati i toni DTMF tipici di alcuni tastierini d’allarme o dei telefoni cordless. Ad ogni tasto premuto corrisponde un numero/codice digitato, è quindi possibile decodificare i suoni per capire quale tasto è stato premuto e quindi quale sequenza è stata digitata.

 

Lo strumento dell’hacker: la fotocamera termica

È di qualche settimana fa la pubblicazione di una ricerca che strizza l’occhio agli attacchi a canale laterale. Alcuni ricercatori dell’Università di Glasgow – con a capo il prof. Mohamed Khamis – hanno sviluppato un sistema, battezzato ThermoSecure, per dimostrare come il calo dei prezzi delle termocamere sta invogliando nuove tipologie di cyber attacchi conosciuti come “attacchi termici”; si possono attuare dopo che gli utenti hanno digitato dati sensibili sulla tastiera di un PC, sullo schermo di uno smartphone o finanche sul tastierino di un bancomat prima di lasciare il dispositivo incustodito.
Un pirata dotato di una termocamera può scattare una foto che rivela i punti caldi in cui le dita dell’ignaro utente hanno toccato il dispositivo. Più un’area appare luminosa nell’immagine termica, più recentemente è stata toccata. Misurando l’intensità relativa delle zone più calde, è così possibile determinare le lettere, i numeri oi simboli specifici che compongono la password o altri dati sensibili, determinando anche l’ordine in cui i caratteri sono stati digitati. Una precedente ricerca ha dimostrato che si possono indovinare con successo le password digitate semplicemente osservando attentamente le immagini termiche scattate tra 30 e 60 secondi dopo che le superfici sono state toccate.

Un’immagine ottenuta da ThermoSecure. Sono ben evidenti i tasti digitati dall’utente pochi secondi prima di scattare la foto. Photo Credits: Università di Glasgow


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

In Edicola & Digitale


268 – Dal 20 Dicembre 2022!

Forum

Trending