skip to main | skip to sidebar
17 commenti

HackingTeam e quei link a YouPorn: una possibile spiegazione non comica

Ieri ho scambiato un po' di idee sulla vicenda HackingTeam con Antonio Forzieri, esperto di sicurezza di Symantec. Tornerò in un prossimo articolo sull'approccio delle società che vendono antivirus e prodotti per la sicurezza informatica a casi come questo, ma intanto volevo anticipare un argomento particolare fra i tanti che abbiamo toccato: entrambi ci siamo trovati perplessi di fronte alla presenza, fra i file trafugati a uno degli amministratori di sistema di HackingTeam, di un file di testo contenente un elenco di link a video pornografici, come vedete parzialmente qui accanto e come descritto in dettaglio in questo mio articolo.

Questo file ha suscitato molta ilarità in Rete, ma le risate hanno forse messo in secondo piano una domanda: che senso ha avere un file del genere? Una ipotesi è che si tratti di un file aggiunto dagli intrusi per ridicolizzare HackingTeam, e in effetti la strategia di far sembrare l'azienda un covo di pornomani dilettanti sembra aver avuto un certo effetto mediatico.

Ma c'è un'altra ipotesi che Forzieri e io abbiamo considerato e che i dati di Wikileaks rilasciati oggi sembrano supportare: l'elenco di link sarebbe legato a uno dei metodi d'infezione usati da Hacking Team.

Una ricerca nell'archivio Wikileaks usando il nome di uno dei siti pornografici citato nell'elenco porta infatti a un fitto scambio di mail del supporto tecnico di HackingTeam. In queste mail si parla di un “Network Injector” di nome INJECT-HTML-FLASH. che avrebbe effetto su un numero notevole di siti di video, quasi tutti pornografici e tutti basati su Flash. Youtube ne sarebbe immune:

INJECT-HTML-FLASH supported sites:
1) http://www.youtube.com (NO HTTPS)
2) http://www.veoh.com
3) http://www.metacafe.com
4) http://www.dailymotion.com
5) http://www.break.com
6) http://www.youporn.com
7) http://www.pornhub.com
8) http://www.xhamster.com
9) http://www.xvideos.com
10) http://www.porn.com
11) http://www.xnxx.com

Unfortunately youtube might not work, because they started the migration to https,
for this reason sometimes it works and sometimes it doesn't.
These are other sites which are currently supported:
www.veoh.com
www.metacafe.com
www.dailymotion.com
www.youporn.com

(fonte: fonte)

I visitatori di questi siti non si facciano prendere dal panico, comunque: da alcuni di questi messaggi sembra proprio che non si tratti di un attacco che infetta tutti quelli che guardano questi siti o quei video specifici e che non ci sia alcuna violazione dei siti stessi. In realtà si tratterebbe di una tecnica che consiste nell'intercettare la connessione a Internet del bersaglio e alterarne il contenuto, in modo che il bersaglio (e solo il bersaglio) riceva una versione alterata del video che contiene un attacco basato su una falla di Adobe Flash:

Ogni volta che va l'attacco inject flash dovrebbe esserci subito dopo anche una replace (significa che con inject flash il video e' stato sostituito mentre con la replace dopo il target ha scaricato il flash con la backdoor).

(fonte)

1) Inject exe ovvero infezione tramite melting degli exe scaricati dai target windows

2) Inject html flash ovvero infezione tramite melting degli installer di flash player per sistemi windows file exe, os x file dmg, linux file deb. Con questo attacco viene fatto prima un injection sulla pagina di youtube per rimpiazzare il video con il download del fake flash installer, una volta che il target apre il link del download del flash installer meltato viene applicata una regola di replace e in questo modo si avvia il download del target del file

3) Inject html file questo attacco serve per injectare codice html all'interno di qualsiasi pagina html. Viene usato al momento per l'exploit su internet explorer, ovvero viene injectato un iframe nella pagina html che richiama automaticamente dell'exploit da uno dei nostri server. Se hai domande specifiche sull'exploit ti consiglio di chiedere a guido perche' e' lui che se ne occupa

4) Replace questo attacco serve per rimpiazzare qualsiasi risorsa sul web con una customizzata, l'importante che risorsa da sostituire e risorsa sostituita siano dello stesso formato, ovvero un apk con un apk, una pagina html con una pagina html e cosi via.

(fonte)

In altre parole, potrebbe esserci una giustificazione per nulla ridicola per la presenza di quei link a luci rosse. Meglio quindi non considerarla come prova dell'inettitudine del personale di HackingTeam.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (17)
Caro Paolo,
le tesi da te elaborate a proposito della ragione dell'esistenza del file di testo contenete i link a youporn sono entrambe ben argomentate e plausibili.

Comunque, non ti nascondo (specialmente perché il mio account Google mi identifica come Unknown, e non ho intenzione né di sapere perché né di risolvere questa situazione) che anche io ho un file di quel tipo salvato nel mio computer. Semplicemente raccolgo lì i link ai filmati che mi piacciono in modo tale da non doverli salvare nei preferiti del browser.

Non è comodo, a tuo parere? ;)
Non può essere semplicemente dovuto al fatto che in modalità "in incognito" non si possono salvare i preferiti? Un mio ex coinquilino faceva esattamente lo stesso :/
Quindi mi pare di capire che non è che Flash sia "meno sicuro" di prima, non lo è mai stato.
Quindi sono al sicuro anche se ho visto "hamburger pussy"? Ottimo :P

No, veramente, sarà stata tipo la prima volta che visitavo un sito porno con puro intento di curiosità "scientifica".
Possibile che Flash continui ad avere così tanti bug dopo tutti questi anni di "onorato" servizio?
Ho cercato su wikileaks proprio la parola "porno" per vedere cosa viene fuori, dalle mail sembra che proprio che cercassero siti porno e non porno basati su flash apposta, fanno anche una lista, lista fatta a richiesta, e si tratta di "nuovi siti" da implementare nella "nuova versione", quindi hanno già un numero imprecisato di siti conosciuti che aumenta di tanto in tanto. Nelle mail salta fuori pure una dove viene annunciato che Youtube lascia flash e in risposta c'è una mail che dice "che tanto gli utenti non se ne accorgono e continueranno a credere di dover aggiornare il plug in" insomma ad un certo punto per loro non importa finché è solo youtube a non usare flash, l'importante è che gli utenti continuino ad aggiornalo. Cercando anche la semplice parola "flash" sono arrivato ad un interessante scambio di mail dal titolo "è cominciata la guerra contro flash" in cui effettivamente c'è qualcuno preoccupato per l'abbandono di flash da parte del tubo, ma qualcuno porta la calma perché finché spuntano articolo che dicono "che è meglio non usarlo allora non cambia niente" e aggiunge che il problema sarebbe "se i browser decidessero di spegnerlo di default o se uscirà un popup a richiesta".
Quindi, secondo me, Paolo ha ragione.
Quindi su OSX l'injection avverrebbe già nel dmg invece che nel pkg oppure si tratta di un errore di descrizione dovuto al fatto che il file di download più comune è un dmg (che non è un installer)?
Altro dato che emerge è che esiste qualcuno che viene pagato per andare in giro a cercare siti porno in flash... Quasi quasi chiedo di essere assunto dall'Hacking Team potrebbe essere un'occupazione interessante...
quella di far credere di aver bisogno di un plugin o di aggiornare quello che si ha già per vedere un video è vecchia come il cucco però
Chissà se il "pasticcio HT" provocherà un'accelerazione verso l'abbandono di flash.
Michele/ENERGIA si, è normale. Flash di oggi è ben diverso dal flash "di una volta". Fa un SACCO di cose in più..
videolan ha ancora quel bug che con flv permette l'hacking?
Negli articoli precedenti si fa riferimento all'uso di eMule per scaricare film nei PC interni di Hacking Team. Lo stesso ragionamento dei porno si potrebbe applicare ad eMule?
Vi espongo la teoria: Hacking Team ha una versione "moddata" del Mulo per tracciare i client in upload e in download. Per avere qualcosa da condividere prima deve scaricarlo, pertanto mette in download i file più popolari del momento e dapprima traccia gli IP delle fonti. Poi, una volta acquisite abbastanza parti, comincia a condividere le sue parti con altri client in upload, e traccia anche loro. Con i dati raccolti, può fare tante cose: venderli alla polizia postale, oppure iniettare del malware tracciante ai client, magari condividendo versioni craccate ad hoc di programmi molto ricercati, verisoni che sono note per la loro pericolosità intrinseca. In questo modo non è più necessario continuare a scaricare a manetta, basta mettere in ascolto i PC di hacking team sulle backdoor del loro malware tracciante e divertirsi come meglio credono.
I complottisti direbbero che ogni dispositivo informatico ha almeno 10 backdoor
embedded in hardware e software volutamente installati allo scopo del controllo totalitarista.
USA Power !!!
I complottisti direbbero che manca poco all' hacking biologico con le stampanti del DNA.
I complottisti direbbero che saranno creati 50 specie di virus diversi per vendere medicine di alcune aziende. USA Power !!!


Va bene che lavoravano su quei siti, ma a me quel file sembra tanto una semplice lista di preferiti. Considerando il tipo di vulnerabilità che stavano sfruttando, che senso avrebbe avuto tenere quei link specifici? Anche il tipo dei link è sospetto: from=search, from=related, from=categ, ...
I download su emule sono tracciabili con qualsiasi clienti. Ma il fatto preoccupante non è che si possa vedere cosa si scarica con emule,a ma che si possa usare emule per "iniettare" files nel computer.
Segnalo un interessante fatto riguardante Hacking Team che non è stato ripreso dai principali giornali specialistici (e non).

Dave Jones, un noto sviluppatore del kernel Linux che lavora per Red Hat/Fedora, ha deciso di non rendere più open-source Trinity, un noto software di fuzzy usato per scovare bug e falle di sicurezza per il kernel Linux. Il motivo di tale decisione? Apparentemente, Hacking Team usava Trinity per scovare falle di sicurezza in Android e poi usarle a suo vantaggio in Galileo/RCS. Dave, con la sua decisione, spera così di evitare di avvantaggiare questo genere di approfittatori (cit.): "I’m done enabling assholes".

La scelta di Dave è condivisibile, ma così facendo l'intera comunità open-source viene danneggiata indirettamente. Ci sarà molto meno interesse da parte dei volontari del mondo open-source nel collaborare al progetto di Trinity e di conseguenza ci sarà una riduzione sensibile dei contributi per risolvere i problemi di stabilità e sicurezza del kernel Linux.

Chiaramente, non è una notizia da strapparsi i capelli, ma è innegabile come la shit storm generata da "Hacking Team" abbia avuto ripercussioni inaspettate per chi lavora onestamente nel settore della sicurezza informatica.

Fonte: http://codemonkey.org.uk/2015/07/12/future-trinity/