LogWiper: falsificare il log degli accessi

neverloggedinTra gli obiettivi principali di un Hacker, c’è quello di poter accedere in maniera arbitraria in un sistema precedentemente attaccato.

La sua presenza però, viene generalmente rivelata dalla modifica di file, librerie di funzioni, o più semplicemente dall’installazione di backdoor.

In questo scenario, il modo più furtivo per collegarsi al server, è quello di utilizzare le credenziali di autenticazione di un utente privilegiato. A seguito del primo accesso e della conseguente scalata ad utente amministratore, un Hacker, senza alterare il sistema con sniffer e keylogger o avvalendosi di particolari escamotage, può ottenere la password craccando il file “shadow”.

Oggigiorno, esistono servizi di “cloud cracking” che mettono a disposizione migliaia di macchine per il calcolo distribuito, e consentono di fare un brute force di chiavi a 9 caratteri in meno di 2 settimane. L’immediato problema di questa tecnica, e quindi la questione che approfondiremo nell’articolo, è che tale tipo di accesso venga tracciato.

In qualunque momento, infatti, è possibile conoscere la lista degli utenti collegati al server.

Sicurezza: oltre 3000 incidenti gestiti nel 2013

spam

In un anno quintuplicati gli interventi del nostro abuse desk. Aumenta il malware nei PC, ma anche il numero di clienti…

Nel 2013 il numero di segnalazioni di incidenti di sicurezza inviate ai clienti dal nostro abuse desk è aumentato significativamente: questo in parte è spiegabile con l’aumento del numero dei nostri clienti e la crescita delle loro attività, ma dipende soprattutto da alcune grandi campagne di hacking e malware e da una maggiore proattività da parte nostra nel gestire tutti gli incidenti prima che siano segnalati dai clienti stessi alla nostra assistenza tecnica.

Consideriamo queste attività una parte fondamentale dei servizi di assistenza forniti ai nostri clienti, perché la gestione tempestiva di un problema di sicurezza aiuta a evitare blacklisting, penalizzazioni SEO o altri danni ancora più gravi ai loro server.

Innanzitutto abbiamo rilevato un fortissimo aumento dei furti di credenziali SMTP da malware che ha infettato i PC dei clienti, arrivando in certi periodi a gestirne decine al giorno. Per questo motivo nei mesi scorsi abbiamo implementato sui nostri server un limite alla quantità di posta inviabile da ogni account, in modo da tutelare i nostri clienti da possibili penalizzazioni.

L’altro problema esplosivo è quello dei siti compromessi a causa di componenti insicuri del CMS Joomla: sui nostri server spesso blocchiamo queste intrusioni grazie a configurazioni opportune, ma il numero di cloud server compromessi in questo modo è stato altissimo. In particolare è stata degna di nota la lunga campagna di intrusioni automatizzate usate per attacchi di Distributed Denial of Service (DDoS) verso istituzioni finanziarie statunitensi.

Accedi

Registrati | Password dimenticata?