Sono appena tornato da Amsterdam dove ho partecipato all’evento hacker europeo dell’anno, Hack In The Box. L’HITB giunto alla 5 edizione è un evento che riunisce hacker, makers e aziende di sicurezza informatica di tutto il mondo.
HITB era organizzato in 2 parti, la prima a pagamento, l’HITB Conference (29 e 30 Maggio) con speakers di livello internazionale nel mondo della security, la seconda, l’Haxpo della durata di 3 giorni (dal 28 al 30 Maggio), evento gratuito che ha visto l’alternarsi di talk interessanti sulla sicurezza e la privacy dei dati.
Molti gli ospiti esclusivi a quest’evento, tra cui Phil Zimmermann padre del PGP, Raoul Chiesa (SecurityBrokers), Katie Moussouris (Lead, Microsoft Security Response Center), Jaya Baloo (Chief Security Officer, KPN Telecom), Philippe Langlois (P1 Security), Luigi Auriemma (ReVuln) e tanti altri.
Il primo giorno è stato una vera sorpresa, era la mia prima volta ad una conferenza internazionale, l’organizzazione mi è sembrata fin da subito molto diversa da tutte le conferenze che ho seguito qui in Italia. Una caratteristica prima su tutte, finalmente si respirava aria hacker, nessuna giacca e cravatta e gli sponsor erano in secondo piano.
Social Engineering Challenge di Sogeti
A questo evento ho avuto il piacere di conoscere alcune persone tra cui Carlo De Micheli e Cristiano Cafferata (Country Manager Security di Dell) che mi hanno accolto nel loro team chiamato Fuffa Team in gara in un contest organizzato da Sogeti. Il contest consisteva in diverse prove giornaliere a punti, che dovevano essere superate grazie al Social Engineering. Il premio in palio era una Printrbot Simple Black 3D.
Nei 3 giorni dell’evento abbiamo portato a termine moltissime prove tra cui alcune di una certa rilevanza, come convincere un giornalista olandese a farsi pubblicare un articolo scritto ad-hoc con determinate parole nel testo. Fatto! Eccolo qua.
Un’altra prova interessante è stata quella dei locker, in pratica ogni mattina nello stand Sogeti erano disponibili i codici di alcuni locker, la sfida era quella di convincere l’addetto alla sicurezza a farcelo aprire senza permesso. Da questa sfida ho imparato che non bisogna mai fidarsi a lasciare cose in quegli armadietti che a prima vista sembrano molto sicuri, ma è bastato veramente poco per farceli aprire.
AIS Attack
Tra una sfida e l’altra avevo il tempo di seguire la conferenza e l’haxpo, un talk degno di nota è stato quello degli italiani Marco Balduzzi e Alessandro Pasta che alla Conference principale hanno presentato “AIS Exposed: New Vulnerabilities and Attacks“. I nostri due connazionali hanno individuato e attaccato delle vulnerabilità nel sistema AIS, che sta per Automatic Identification System, e serve alla localizzazione delle imbarcazioni in mare.
Per capirci, la localizzazione avviene tramite Trasponder che è un apparato che fa parte dell’AIS e che permette alle imbarcazioni di segnalare la propria posizione, velocità e altri dati, in mare. L’AIS funziona sia attraverso radiofrequenze che tramite internet. Marco ed Alessandro sono riusciti ad attaccare entrambi i sistemi via internet e via 
radio.
Hanno spostato virtualmente imbarcazioni militari a centinaia di km di distanza, hanno fatto apparire navi fantasma e isolato dal sistema qualsiasi imbarcazione in un raggio di diversi km, il tutto con una facilità che fa spavento. Credo che questa vulnerabilità sia abbastanza seria e degna di nota al punto da dover far smuovere qualche sedia alla Marina Italiana. Personalmente vorrei dare un in bocca al lupo per la loro scoperta a Marco e Alessandro, che tra l’altro sono ragazzi
semplici e con un grande talento. Italian Embassy! ;-)
Per sapere qualcosa di più su questo talk veramente interessante vi consiglio l’articolo scritto da Raoul Chiesa molto preciso e tecnico.
Long Live old JRE
Durante il pomeriggio del mio secondo giorno (primo giorno della conferenza) ho seguito “Reloading Java Exploits: Long Live Old JRE!” di due ragazzi sempre italiani ma residenti a Malta molto famosi nella scena hacker mondiale, Luigi Auriemma e Donato Ferrante fondatori di ReVuln. Luigi e Donato, hanno evidenziato che ancora milioni di utenti usano delle versioni di Java vecchie e vulnerabili. Nelle impostazioni di Java il livello di sicurezza Alto non permette l’esecuzione delle Java Applets e delle Java Web Start Application, ma basta aggiungere l’applet nella lista delle eccezioni per bypassare i controlli. Normale amministrazione, se non fosse che l’ultima versione di Java blocca le applet con certificato auto firmato e quelle senza certificato.
Il terrore di molti SysAdmin dato che la maggior parte delle app ad uso interno sono auto firmate. Il sito di Java ci dice che il problema è bypassabile impostando il livello di sicurezza a Medium (ovviamente non lo farete mai vero?). Purtroppo molti scelgono questa soluzione, infatti si ritrovano vulnerabili anche a exploit vecchi di anni. Per esempio, basta prendere un exploit vecchio tipo CVE-2012-4681 modificarlo e eseguirlo attraverso o un JVM o embedded in una pagina web, ma c’è un problema.
Il problema si chiama Security Manager, il quale in sostanza, decide quale applet eseguire nell’ambiente di sicurezza. E allora che fare?
In breve, Luigi e Donato hanno preso il vecchio exploit funzionante lo hanno splittato in più parti così da eseguirlo a step e facendo cooperare tra loro le applet.In questo modo l’antivirus deve prima capire il comunication pattern, ma offuscando il codice attraverso una funzione di serializzazione di stringhe, a cui a sua volta vengono passate stringhe offuscate con meccanismi semplici di encoding, non riesce più a leggere il codice malevolo e quindi viene bypassato. Tutto questo permetteva l’esecuzione di codice malevolo evadendo la maggior parte degli antivirus ad oggi in commercio. Easy, no? Sto pensando ad un post dedicato, perché questa tecnica potrebbe essere applicata anche ad altri exploit.
Nel frattempo, durante il contest di Sogeti…
La prova era abbastanza ardua e ha sollevato diversi grattacapi. La sfida consisteva nel salire sulla torre dell’edificio e farsi un selfie con la campana. Bene, detta cosi sembra semplice, ma superare una porta chiusa e non sapere chi è il custode della chiave non è stato proprio semplice. Fortunatamente Cristiano ha risolto questo impasse e ci ha permesso di aggiungere un bel 30 ai punti della nostra classifica. Il Fuffa Team è stato proclamato vincitore del giorno e sembrava avanzare senza rivali…
Hack your cable TV
Durante il primo giorno della Conference nel pomeriggio c’è stata la presentazione “Hacking Your Cable TV Network: Die Hard Style” di Rahul Sasi che ha spiegato in un indianglese di difficile comprensione, come hackerare i sistemi tv digitali, analogici e IPTV Networks, settore dove ho fatto qualche lavoretto anch’io.
Il sistema usato da Rahul era abbastanza difficile da strutturare in quanto richiedeva l’accesso a cavi che in ambienti Europei sono difficili da individuare. Secondo ha costruito un CED interamente fatto con decoder, modulatori e cavi coassiali e ha scoperto che i segnali inviati al QAM passavano in chiaro. Eseguendo un attacco MITM è stato possibile sostituire il segnale originale con quello inviato attraverso la postazione che aveva costruito per la modica cifra di 80 Dollari.
E’ stata la presentazione che ha mostrato più video e immagini di tutte le altre, credo spiegare un sistema simile non sia cosi facile. Comunque, il signor Rahul Sasi nella lontana India c’è riuscito. Tanto di cappello!
Intanto le sfide continuavano…
Sono rimasto un po perplesso quando ho letto la sfida. In pratica consisteva nell’ andare in un centro commerciale li nei dintorni e cercare un libro chiamato “Innocent Code”, prenderlo senza farsi vedere e uscire dal centro commerciale. Ma non è contro la legge? Fortunatamente no, questo libro non era presente nella lista dei libri disponibili nella libreria e nel caso in cui fossimo stati scoperti, nel libro c’era un foglio di scarico di responsabilità scritto in olandese. Ma ero comunque leggermente preoccupato….
Fortunatamente non mi hanno arrestato e in più siamo riusciti a trovarne 2 di libri. Usciti dal centro commerciale con una certa preoccupazione mista a calma apparente ci siamo diretti verso HITB dove ci hanno dato altri punti utili…Fuffa Team continua…
Real Life
Alla fine della giornata, sono andato a cena con alcuni degli speaker della Conference e altri hacker presenti all’evento (che non posso citare). La cena si è evoluta in allegria, tra un brindisi all’Italian Embassy e un “may have another bottle please” è terminata con un conto calcolabile in numeri primi. Smaltito il conto, più che l’alcool, ci siamo fatti una passeggiata verso uno dei tanti Coffee Shop di Amsterdam dove ci siamo rilassati tra birra e cannabis e scambiati qualche info utile.
Terzo giorno all’HITB
Al secondo giorno di Conferenza i talk interessanti iniziavano a sovrapporsi, così ho iniziato ad escluderne alcuni (purtroppo) e a correre a destra e a sinistra per cercare di seguirli almeno in parte.
Exploiting iOS Web Browsers
Due polacchi Lukasz Pilorz e Marek Zmyslowski entrambi esperti di sicurezza e pen tester, hanno presentato il loro talk “Exploring and Exploiting iOS Web Browsers” mettendo in evidenza le vulnerabilità degli innumerevoli browser di terze parti presenti su iOS. Il mercato dei browser fa gola a molti, ma alcuni non hanno le potenzialità per riuscire ad emergere e la corsa a chi pubblica prima la propria app browser rende il lavoro dei pentester più facile.
E’ stato discusso il sistema di sviluppo dei browser presenti nell’App Store e su come alcuni abbiano delle vulnerabilità abbastanza critiche. Su alcuni Browser è possibile riuscire a nascondere la barra degli indirizzi attraverso la manipolazione delle funzioni contenute nella UIWebView API.
Queste API ti permettono di caricare file/html remoti file binari e perfino programmare alcune funzioni di base di navigazione (goBack, goForward, stopLoading, reload). Una delle funzioni usate dai due polacchi è stringByEvaluationJavaScriptFromString che permette di eseguire codice javascript da una stringa e avere gli stessi privilegi della pagina da cui viene lanciato (request.mainDocumentURL). Di fatto è possibile far caricare una pagina web e sostituirla nella sua versione in chiaro HTTP con un redirect e rubare le credenziali di login attraverso un MITM.
Nella loro simulazione c’era qualcosa di anomalo, si perché hanno preso il sito di Facebook come riferimento nel test, ma un redirect su http del sito di Facebook non è più possibile in quanto oramai il sito permette l’autenticazione solo su HTTPS. La domanda sorge spontanea, WTF?
Credo che scriverò a Lukasz per avere delucidazioni in merito…vi terrò aggiornati.
Oltre a nascondere la barra degli indirizzi sono riusciti a crearne una fake (ABS Address Bar Spoofing), che visualizzava l’indirizzo sicuro di Facebook con tanto di lucchetto e segno di verifica verde del certificato. Questa vulnerabilità è interessante sia dal punto di vista dell’attaccante per rubare le password sia per caricare siti spam e monetizzare con i click. E’ buona pratica quella di non fidarsi troppo delle applicazioni che visualizzano in una singola schermata la pagina web.
La prova di oggi fingerprinting e access point
Diversa dalle solite sfide, oggi Sogeti ci ha proposto 2 prove abbastanza tecniche. La prima quella di ricavare alcune informazioni dal loro sito internet sogeti.nl e individuare le versione dell’server antispam Barracuda. La seconda era quella di individuare nell’area dell’Haxpo un access point nascosto avendo solo il suo MAC address.
Per questa volta ci siamo divisi. Carlo si è occupato del fingerprinting del Barracuda e del sito mentre io nel frattempo ho cercato l’access point con il mio portatile e la mia antenna ALFA. Inizialmente l’antenna faceva un po di bizze con il driver, ma poi ha funzionato alla grande riuscendo a individuare l’access point nascosto.
Ancora due prove superate e punti per il Fuffa Team…Ma oggi c’era un problema, un’altro team iniziava a darci fastidio…
Fly for Free
Non potevo non seguire il talk di Anthony Hariton “Exploiting Passbook to Fly for Free“, questo ragazzo è stato anche sui notiziari di tutto il mondo perché è riuscito a generare codici validi per volare gratis. Anthony ci ha raccontato come è andata veramente e i problemi che ha incontrato in aeroporto durante la sua strada per bypassare i vari check di sicurezza.
Tutto nasce da un’app, Passbook per iOS, Anthony è riuscito a generare dei Qrcode validi, grazie ai quali gli è stato possibile andare in aeroporto e farsi dare il formato cartaceo dalle hostess di terra, semplicemente chiedendolo. In realtà, Anthony si è studiato un libricino, molto interessante, dove viene spiegato come funziona il sistema elettronico dei biglietti aerei americano (firmato IATA), comprese tutte le procedure esistenti in caso di errore.
In questo libro c’era scritto che il sistema di emissione del biglietto elettronico non teneva conto degli errori specifici. In caso si presentassero problematiche relative all’emissione di biglietti elettronici questi dovevano essere trattati caso per caso e risolti attraverso procedure dalle hostess di terra. BIG FAIL!
Cosi Anthony ha studiato la cosa in questo modo: ha creato il suo finto Passbook code attraverso un sito specifico, il problema più grande è che lui non risultava su nessuna lista dei passeggeri (PNL) e questo serviva a superare i check di sicurezza. Sul manuale della IATA, ha trovato che esistono delle procedure che aiutano i passeggeri in ritardo, chiamati “Go Show Passengers”, che non risultano sulla PNL e le hostess di terra sono tenute ad inserire controllando che il ticket elettronico sia valido.
Ticket valido, inserimento nella lista passeggeri, stampa del biglietto cartaceo, superati i check di sicurezza…..signor Anthony, buon volo.
Fortuna che tutto questo può accadere solo negli Stati Uniti. W gli USA!
End of the game
Ragazzi, che voi ci crediate o no, siamo arrivati alla fine del contest Sogei, superate mille difficoltà è con mia grande soddisfazione che il Fuffa Team è riuscito VINCERE! Aggiudicandosi il titolo di Sogeti Social Engineering Challange 2014.
Questo il video del ritiro del premio. Un ringraziamento speciale a Carlo de Micheli, Cristiano Caffarata e Raoul Chiesa.
Conclusioni
Questo evento è stato per me un’esperienza unica, toccare con mano e vivere conferenze dove le persone che parlano hanno in comune una passione, la stessa che hai tu che sei lì seduto ad ascoltare. Niente sponsor ne pubblicità, sana curiosità e hacking. Organizzazione ineccepibile, non è mancato nulla, si respirava aria hacker ed il contesto al De Beurs Van Berlage, era perfetto. Speaker di qualità e vulnerabilità a non finire, potevo chiedere di meglio? Sono molto soddisfatto e ne è valsa veramente la pena, la cosa che mi dispiace di più? E’ che alla prossima conferenza di sicurezza informatica che farò qui in italia mi toccherà andarci con giacca e cravatta….
Vi lascio con un po di foto che ho scattato all’ HITB.
Comments by Fabio Natalucci
Postfix: come configurare smtp esterno
Perfetto! Sono contento che ti sia stata utile.