HBGary, un piano per screditare Wikileaks

Gli Anonymous si tramutano in hacker e smontano pezzo per pezzo la credibilità della società "esperta" in sicurezza informatica. Una storia di kernel non patchati e ingegneria sociale

Roma – L’azienda di sicurezza HBGary finita nel mirino degli Anonymous sembra ormai al centro di uno psicodramma: la collegata HBGary Federal ha cancellato il discorso che doveva tenere riguardo agli Anonymous (denunciandone i responsabili di alcuni dei più famosi attacchi e delineandone la gerarchia) e che ha scatenato la reazione del gruppo stesso. Attesa alla conferenza RSA di San Francisco sulla sicurezza, poi, HBGary si è autoesclusa citando rischi di sicurezza: il loro stand è stato “vandalizzato” con un poster in pieno stile 4Chan: “Anon…in it 4 the lulz”. Il suo CEO, Aaron Barr, ha quindi riferito di aver ricevuto nei giorni precedenti “minacce di morte”.

HBGary è un’azienda che si definisce esperta in sicurezza, e che, pur piccola, con la sua offerta di servizi e software era arrivata a ritagliarsi un ruolo non marginale: ha lavorato con varie agenzie governative statunitensi, con l’Interpol, con McAfee e Apple aveva espresso interesse nei confronti dei suoi prodotti. Agli Anonymous, un gruppo eterogeneo sia nell’età che nelle conoscenze e teoricamente poco organizzato, tuttavia, è bastata poco più di una notte per metterla in ginocchio insieme al suo CEO, Aaron Barr.

L’azienda di sicurezza, che voleva cavalcare le scorribande del gruppo di hacktivisti per ritagliarsi un ruolo rilevante nella scena della sicurezza informatica internazionale, ha infatti subito un duro colpo dall’attacco che ha finito per subire, quasi completamente per suoi errori a livello di misure adottate a tutela dei propri sistemi informatici. Oltre ai dati perduti, a pesare è il danno di immagine subito.

Tra le 67mila email aziendali pubblicate da Anonymous (su un sito creato ad hoc in stile Wikileaks, Anonleaks.ru ) sarebbero comparsi materiali scottanti come la proposta da parte di Barr a Bank of America , lo studio legale Hunton&Williams e la Camera di Commercio statunitense, in vista dei nuovi documenti finanziari segreti che Assange ha minacciato di divulgare, su come avrebbero potuto ( in collaborazione con le aziende di sicurezza Palantir e Berico) screditare Wikileaks con cyberattacchi al sito e ai suoi sostenitori e inondandolo di documenti falsi .

Secondo gli Anonymous, questi piani da parte di HBGary sarebbero oltretutto stati noti anche dal Dipartimento di Giustizia statunitense. L’azienda ha invece accusato gli hacktivisti di aver falsificato i documenti divulgati, mentre il gruppo ha fatto notare che ogni email contiene la firma digitale che le identifica come reale.

L’attacco con cui Anonymous ha piegato HBGary è stato spiegato nei dettagli da ArsTechnica : non si è trattato, come era evidente, di un semplice DDoS, ma di un’offensiva che ha sfruttato un bug individuato nel content management system (CMS) che il sito dell’azienda, hbgaryfederal.com (che al momento risulta ancora offline), si era fatto fare su misura da terze parti. Il sito era per questo suscettibile ad un attacco SQL injection , attraverso cui il gruppo ha avuto accesso al database degli utenti con la lista di username, email e password degli impiegati che avevano accesso al CMS.

A questa falla si sono concatenati errori umani, dimenticanze, leggerezze e distrazioni . Il primo errore è stato nel sistema utilizzato per tutelare le password che, quanto meno, erano immagazzinate cifrate. Ma non si impiegavano tecniche di camuffamento con il salting (l’inserimento di una piccola quantità di dati random in ogni password per disinnescare le tecniche di decifratura), né sistemi di hashing doppio. Così agli Anonymous che si sono occupati dell’attacco è bastato ricorrere ad attacchi basati su cosiddette rainbow table per risalire alle password originali e prendere il controllo del CSM.

Il sistema, inoltre, utilizzava la stessa password (oltretutto di pochi e sempici caratteri) anche per la macchina di supporto Linux su cui erano conservati gli shell account con ssh access degli impiegati.

A questo punto gli attacanti hanno scovato una vulnerabilità nel kernel utilizzato ( individuata già ad ottobre e con già a disposizione in circolazione patch correttive non impiegate dall’azienda) che ha permesso agli hacker di ingannare il sistema per dare ad un utente maggiori privilegi.

Aggiungendo la beffa la danno, Barr usava la stessa password anche per altre postazioni, dall’email agli account Twitter e Linkedin. Compreso l’account Gmail che aveva anche sulle caselle degli altri dipendenti lo status di amministratore, con tutto ciò che ne consegue per quanto riguarda i privilegi di accesso, e che conteneva l’indirizzo di Jussi Jaakonaho, Chief Security Specialist di Nokia. Da quest’ultimo hanno ottenuto le ultime informazioni necessarie a prendere il completo controllo delle macchine informatiche del sito di sicurezza, chiedendoglielo semplicemente tramite l’email di cui avevano ottenuto il controllo, condendo il tutto con un pizzico di social engineering .

Claudio Tamburrino

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bazinga scrive:
    ...
    "secondo l'amministratore delegato di Google, sarebbe stato meglio installare l'elastico Android sui telefoni dell'azienda finlandese"Ma dai?
    • rb1205 scrive:
      Re: ...
      oste, è buono il vino? :D
    • Ito scrive:
      Re: ...
      Anche in Nokia pensavamo fosse la scelta giusta passare ad Android...poi sono arrivati i miliardi di Microsoft a fargli cambiare idea :D
      • terminator2 scrive:
        Re: ...
        Sí ma i miliardi MS sono una tantum e le una tantum non sono dei buoni affari... Meglio avere 500 di gratifica natalizia ogni anno o un aumento di 50 euro al mese in busta paga? ;-)Con Android avrebbero avuto aumentato il fatturato mensile... con Windows 7 mah... vedremo.P.S.. Io son fan di Microsoft ma dei sistemi operativi per PC...
        • rover scrive:
          Re: ...
          l'intervista di Elop lascia intravedere un forte contributo di Nokia al miglioramento di Win7 phone, che potrebbe anche provocare un legame a doppio file.Cioè solo su Nokia, perlomeno con certe features.
          • terminator2 scrive:
            Re: ...
            Sí ma il problema é che il cliente vuole Android e tu gli vuoi dare Windows... tu compreresti le mele (belle o brutte che siano) offerte dal fruttivendolo quando sei alla ricerca delle pere?Io no... e infatti non so cosa compreró come Android quest'anno, di sicuro ovviamente non Nokia. Ma non perché abbia qualcosa contro Nokia.
          • ruppolo scrive:
            Re: ...
            Dura essere fan di Microsoft, eh? (rotfl)
          • naXma scrive:
            Re: ...
            - Scritto da: ruppolo
            Dura essere fan di Microsoft, eh? (rotfl)Non più di quanto sia facile per te sparare idiozie:http://punto-informatico.it/b.aspx?i=3090273&m=3090647#p3090647
          • ruppolo scrive:
            Re: ...
            - Scritto da: naXma
            - Scritto da: ruppolo

            Dura essere fan di Microsoft, eh? (rotfl)

            Non più di quanto sia facile per te sparare
            idiozie:

            http://punto-informatico.it/b.aspx?i=3090273&m=309Prova prova a seguire la discussione, poi vediamo chi spara idiozie...
          • hermanhesse scrive:
            Re: ...
            Fatto.Tu.
Chiudi i commenti