Un numero impressionante di violazioni e compromissioni ai danni di server e siti web avvengono a causa di un fenomeno che si chiama furto delle password. Non esiste solo il pericolo dei bruteforce ad insidiare le password e prima o poi potresti incontrare anche un keylogger. Molte persone ignorano le dinamiche di questi fenomeni e mi sembrava doveroso fare un pò di luce su di essi. In questo post parlerò quindi di password e di keylogger e di come questi due fattori possano incidere direttamente sulla sicurezza di un server che ospita numerosi siti web.

Audience del post: webmaster, web agency, liberi professionisti della rete, PMI, e chiunque sia interessato ad accrescere la conoscenza di un argomento fondamentale per la sicurezza informatica.

Password e caselle di posta

Prenderò come esempio un caso abbastanza comune e molto frequente: la fuoriuscita di spam da un server dedicato.
Molte configurazioni di server dedicati per l’hosting contengono sia lo spazio per i siti web di centinaia di clienti sia il servizio di posta per questi ultimi. Nonostante questa non sia una configurazione ottimale, per molte web agency e piccole imprese diventa fondamentale consolidare e contenere i costi, di conseguenza le piattaforme web e di posta sono molto di frequente in coppia.

Come ben sai la posta elettronica può essere consultata in diversi modi:

IMAP, il cliente si collega alla casella di posta con un client (Outlook, Thunderbird) e preleva i messaggi. Una copia delle e-mail rimane salvata sul server

POP, il cliente si collega alla casella di posta con un client (Outlook, Thunderbird) e preleva i messaggi che vengono cancellati dal server dopo lo scaricamento

WEBMAIL, il cliente si collega alla casella di posta attraverso un servizio di Webmail. Le webmail consentono di gestire la posta attraverso il browser

L’accesso alle caselle di posta è basato su un nome utente (username) e su una parola chiave (password) che sono legate univocamente ad ogni cliente.

Durante la fase di autenticazione, se il pc da cui ci si collega è infetto possono entrare in gioco i keylogger, veri e propri “registratori” che registrano (quasi) ogni dato e ogni password che viene digitato sulla tastiera o che compare a schermo. Senza entrare troppo nei dettagli tecnici un keylogger si frappone tra l’utente ed il sito web/casella di posta.

Lo stadio precedente all’infezione da keylogger è quello in cui l’utente contrae un’infezione sul suo personal computer. Questo può avvenire in diversi modi:

>> visitare un sito web infetto è uno dei modi più immediati per contrarre un’infezione

>> cliccare su allegati sospetti all’interno dei messaggi e-mail può consentire ad un trojan di insediarsi sul tuo pc

>> installare software sconosciuto e/o proveniente da fonti insicure è un altro veicolo di infezione molto potente

La grafica qui in basso può aiutarti a fissare meglio questi concetti:

Malware e trojan possono penetrare nel tuo pc con modalità diverse e multiformi

I blackhat sfruttano moltissimo l’ingegneria sociale per ingannare le potenziali vittime  e persuaderle ad installare software malevolo. Di recente [nel 2011] un botmaster ha pubblicato alcune “confessioni” su Reddit dando vita ad un topic molto popolare che è stato oggetto di attenzione da parte della comunità dei ricercatori. Tra le modalità di infezione preferite dal botmaster c’è anche quella di ingannare le vittime con software malevolo caricato su Usenet, una piattaforma usata in passato largamente come forum di discussione ma che in tempi più o meno recenti è diventato un ricettacolo di software piratato e non ultimo di software malevolo. [Rif. IAmA a malware coder and botnet operator] Si sospetta che questo individuo sia ancora in attività.

Un altro fattore di rischio proviene dagli allegati malevoli all’interno dei messaggi di posta. Sono milioni le varianti di malware presenti in rete e sono centinaia le tecniche usate per distribuire il seme dell’infezione. Qualsiasi spazio web può essere usato per diffondere il malware e qualsiasi servizio di storage può diventare il trampolino di lancio per un’infezione, come questo esempio:

Esempio di malware distribuito via e-mail

L’allegato è contenuto su un bucket Amazon S3. Il primo stadio dell’attacco è il malware Documento.exe identificato da AVG come Trojan horse Downloader.Agent2.BMIL. Clamav non è in grado di rilevare il malware. Il file è un PE32 executable for MS Windows (GUI) Intel 80386 32-bit.

Malware e keylogger

Quasi tutti i trojan moderni incorporano anche la funzionalità di keylogging, letteralmente registrazione dei tasti. Un computer infetto trasmette centinaia di dati sensibili agli individui che sono a capo di reti di computer infetti (i botmasters o blackhat). Alla luce di questo è semplice comprendere che un personal computer infetto può potenzialmente trasmettere a individui ignoti tutte le password che transitano su di esso. Con questo meccanismo vengono rubate ogni giorno migliaia di credenziali.

Una delle conseguenze più frequenti di questi fenomeni è ad esempio la fuoriuscita di spam da un server dedicato quando è riconducibile ad account di posta violati. Un account di sistema o di posta su un server dedicato esposto sulla rete pubblica può essere attaccato con un bruteforce o più direttamente può essere usato senza colpo ferire quando il blackhat ha già in mano la password. In tempi recenti ho registrato numerosi casi come questo dove si sono verificate fuoriuscite di spam non precedute da nessun bruteforce. [Ogni server gestito è dotato di un sistema di prevenzione delle intrusioni che rileva e blocca i bruteforce. Un attacco di questo tipo non avrebbe avuto comunque successo.]

L’unica spiegazione plausibile ad un accesso non autorizzato su un account di posta è il fatto che la password è stata registrata in precedenza da un keylogger nel momento in cui l’utente si autenticava alla casella di posta. Il fenomeno dei keylogger influisce direttamente sulla sicurezza di un server dedicato o di un sito web. Una password può essere sfruttata in diversi modi:

1. Password FTP: hacking o defacing del sito web. Compromissione del sito web ed uso dello stesso per phishing, spam SEO, bruteforce e dDoS

2. Password SMTP/POP/IMAP: invio indiscriminato di spam dal server

La grafica che segue chiarisce meglio le dinamiche alla base di questi fenomeni:

Come in una vera e propria catena di montaggio ogni computer infetto produce una certa quantità di dati che viene intercettata dal keylogger. Le credenziali di  migliaia di computer infetti confluiscono nella base dati del botmaster che può usare queste informazioni come meglio crede.

E-mail, password e dati personali delle vittime possono essere venduti sul mercato nero.

I dati finanziari e i numeri delle carte di credito possono essere usati per acquisti fraudolenti.

Password di posta, password amministrative e password FTP possono essere usate per accessi non autorizzati a server e siti web.

A loro volta i server infetti diventano armi nella mani dei blackhat. Com’è possibile che un virus sul tuo computer possa avere come conseguenza l’invio di milioni di e-mail di spam? E’ possibile se il tuo computer è infetto con un trojan keylogger. Ma lo spam è solo uno dei possibili utilizzi di questi server compromessi.

I web server sono macchine connesse sulla rete pubblica che dispongono di enormi quantità di banda passante. Un attaccante può usare una password FTP trafugata per violare uno o più siti web, caricare su questi degli strumenti malevoli e far partire attacchi dDos verso altri obiettivi.

Un sito web nelle mani di un blackhat può costituire una risorsa non da poco perchè offre anche la possibilità di fare phishing contro vittime ignare. Le possibilità insomma sono tante ed il ciclo di vita di un malware può intaccare anche sistemi che all’apparenza sembrano rimanere immuni rispetto ad una semplice infezione su un pc casalingo.

Non solo blackhat

Il termine keylogger indica una famiglia di software e/o strumenti usati, come abbiamo visto, per registrare password e dati sensibili. Ma keylogger non significa soltanto malware e blackhat. Esistono infatti keylogger Usb o seriali che possono essere installati direttamente sul pc da monitorare, così come esistono casi di malware governativi usati per spiare dissidenti e giornalisti nelle nazioni con governi totalitari (e non).

Keylogger: avevi mai calcolato questo rischio?

Le icone usate per realizzare le grafiche provengono dal sito softicons.com e sono di proprietà dei rispettivi creatori.

Photo credit: Leo Reynolds / Foter.com / CC BY-NC-SA

Trojan e keylogger, ecco come i blackhat spiano le tue password by Valentino Gagliardi - See more at: http://www.servermanaged.it/sicurezza/keylogger-blackhat-spiano-le-tue-password/#sthash.TpPicVUn.dpuf