Pillole di #penetrationtest

Non si deve assolutamente abbassare la guardia rispetto alle forme di attacco basate sul cyber squatting (typo squatting, bit squatting) perché sono ancora ben radicate nell'arsenale di attacco degli agenti di minaccia.

E' proprio di oggi la notifica da parte del portale di condivisione di informazioni di sicurezza IBM X-Force Exchange della individuazione di alcune campagne di squatting. E le vittime saranno al solito clienti di industrie molto note (Paypal e HotMail) che certamente sono attente alla loro sicurezza, ma difficilmente possono tenere sotto controllo questa forma di attacco che coinvolge tutto il parco clienti con la semplicità della registrazione di nomi di dominio "truffaldini" come paypal-groups.com, secure-paypal-loginuser.com, hotmails.se, htmail.se, 
ecc

Per approfondimenti:

https://exchange.xforce.ibmcloud.com/collection/6cc516faf515233c3b5765707e9149e1

https://exchange.xforce.ibmcloud.com/collection/a6599fef030d43f349fbe31d1805c8f5

Quando è notizia recentissima che Colonial Pipeline ha pagato un riscatto di $4.4 milioni per consentire lo sblocco dei propri sistemi dopo l'attacco ransomware subito il 7 maggio ne esce fuori un'altra ancora più eclatante.

CNA Hardy, compagnia di assicurazione che ha fatto delle assicurazioni contro il rischio cyber il proprio cavallo di battaglia, a marzo di quest'anno è stata colpita dal ransomware Phoenix Locker, divulgato dal gruppo APT russo Evil Corp. Non sono riuscito a capire quale è stata la tecnica utilizzata per veicolare il malware, ma generalmente Evil Corp utilizza RDP o VPN misconfiguration.

Ebbene, CNA Hardy per ritornare in possesso dei propri dati e evitare che venissero divulgati in rete ha pagato un riscatto di ben $40 milioni.

Sì, ho scritto bene: quarantamilionididollari!

Naturalmente oltre a questo danno facilmente quantificabile bisogna aggiungere i giorni di fermo e la perdita di reputazione, che per un'azienda che fa della protezione dal rischio cyber il proprio cavallo di battaglia non dovrebbe essere piccolo.

I ransomware oramai puntano al BGH, big game hunting, e pare che Evil Corp abbia proprio abbattuto un colosso!

#cybersecurity #cybercrime #ransomware #hacker #apt #PhoenixLocker #EvilCorp #ColonialPipeline #CNAHardy 

Pillole di #penetrationtest

Possiamo eseguire un processo di penetration test Internet Face (ossia osservando l'obiettivo da Internet) con soli strumenti online?

L'analisi di applicazioni esposte su Internet può richiede un cambio di arsenale: se questo tipo di analisi non è per noi una eccezione, potremmo trovarci con un arsenale inadeguato: perché allora pagarne gli oneri di miglioramento?

Potremmo più pragmaticamente orientarci verso una soluzione rapida fornitaci da strumenti online che abbiano la qualità funzionale desiderata.

Naturalmente non tutti i servizi online sono completamente gratuiti: hanno magari alcuni giorni di trial, oppure altre forme di limitazione in assenza di licenza; ma possono essere comunque una alternativa a strumenti di analisi offline che dobbiamo comunque acquisire o configurare.

Questo è quanto abbiamo trovato in Internet e vi proponiamo:

Per la ricognizione:

• https://www.google.com
• https://www.exploit-db.com/google-hacking-database
• https://www.waybackmachine.org/
• http://whois.domaintools.com/
• https://mxtoolbox.com/
• https://pentest-tools.com/information-gathering/find-subdomains-of-domain#
• https://dnsdumpster.com/

Per lo scanning:

• https://ping.eu/
• https://pingtool.org/
• https://sitereport.netcraft.com/
• https://www.shodan.io/

Per il vulnerability assessment:

• https://pentest-tools.com/website-vulnerability-scanning/website-scanner

Anche la valutazione robustezza password:

• https://howsecureismypassword.net/

Naturalmente questa è solo una piccola selezione. A voi la scelta e la ricerca di ulteriori strumenti online.

Il sistema di controllo degli accessi di un applicazione è responsabile della politica che prevede cosa possono fare gli utenti al suo interno.

La vunerabilità Broken Access Control in genere porta alla divulgazione non autorizzata di informazioni, alla modifica o alla distruzione di tutti i dati o all'esecuzione di una funzione al di fuori dei limiti dell'utente. Le vulnerabilità comuni del controllo degli accessi includono:

• Bypassare i controlli di controllo degli accessi modificando l'URL, lo stato dell'applicazione interna o la pagina HTML o semplicemente utilizzando uno strumento di attacco API personalizzato
• Consentire la modifica della chiave primaria nel record di un altro utente, consentire la visualizzazione o la modifica dell'account di qualcun altro.
• Elevazione del privilegio. Agire come utente senza aver effettuato l'accesso o agire come amministratore quando si accede come utente.
• Forza la navigazione nelle pagine autenticate come utente non autenticato o nelle pagine privilegiate come utente standard