L
INKED
I
N
:
UNA FALLA DOVUTA
A UNA PROTEZIONE OBSOLETA
Sempre ai primi di giugno 2012 è stata segnalata la pub-
blicazione su un forum russo di un’enorme quantità di pas-
sword, più di 6 milioni, di utenti di LinkedIn, il social net-
work professionale molto usato dall’ambiente informatico.
Anch’io sono un utente, e sono stato avvisato del rischio,
richiedendomi di resettare la mia password, azione che ho
tempestivamente effettuato. LinkedIn non ha comunicato le
modalità di attacco e come sono stati sottratte tutte queste
password; l’unico aspetto positivo è che non dovrebbero
essere stati scoperti gli identificativi d’utente degli account,
che non sono stati resi pubblici. Modificando la sola pas-
sword, come richiesto, non dovrebbero sussistere ulteriori
problemi per gli utenti. L’attacco ha però fatto scoprire come
tutte le password di LinkedIn fossero archiviate tramite la fun-
zione hash SHA-1 (Secure Hash Algorithm), rilasciata come
standard nel 1995 e considerata ormai troppo debole.
I danni sembrano nel complesso assai limitati, più di im-
magine e di reputazione: è bastato cambiare la password,
che tra l’altro non ha una scadenza temporale...
I due casi considerati sono emblematici della situazione at-
tuale: da un lato gli attacchi tipo APT, come Flame, sem-
pre più sofisticati, poliedrici, difficili da scoprire e ancor più
da prevenire e contrastare; dall’altro le protezioni in atto de-
boli e obsolete in molti sistemi e social network, come nel
caso di LinkedIn. Nell’eterna gara tra guardie e ladri, que-
sti ultimi troppo spesso riescono a vincere a causa dei man-
cati aggiornamenti dei sistemi di prevenzione e prote-
zione.
luglio-agosto 2012
office automation
89
L’Osservatorio Attacchi Informatici
è presente su Linkedin.
CERCA IL GRUPPO E ISCRIVITI
di catturare informazioni anche da vari dispositivi digitali,
quali macchine fotografiche, cineprese, tablet e smar-
tphone. Flame utilizza funzionalità di tipo rootkit , disinstalla
gli eventuali strumenti di protezione, in primis l’antivirus, e
sfrutta anche le vulnerabilità del sistema operativo ospite.
Il codice maligno è firmato con falsi certificati digitali Mi-
crosoft, così da apparire come un software originale; inol-
tre la sua memoria è protetta in modo che sia inaccessibile
da un’applicazione dell’utente. I vari moduli del codice non
sono visibili nell’elenco dei processi attivi in Windows.
“I
L PIÙ SOFISTICATO CODICE MALIGNO
A OGGI SVILUPPATO
”
Tutte le informazioni catturate dal codice Flame sono crit-
tate (può usare cinque algoritmi diversi) e trasferite a dei ser-
ver remoti: ulteriori comandi al codice maligno sono inviati
dagli attaccanti attraverso questi server di comando e con-
trollo. Il comando kill consente di pulire ogni traccia di
Flame, codice maligno incluso. Dopo la pubblicazione
della sua individuazione, questo comando è stato inviato
ai circa 1.000 sistemi infettati. Il Cert iraniano ha realizzato
un programma per la scoperta e la rimozione di Flame, ri-
lasciandolo però solo ad alcune organizzazioni. Microsoft
ha rilasciato lo scorso 3 giugno un ‘Security Advisory’ con
i passi da effettuare per individuare, bloccare ed eliminare
i programmi firmati con il falso certificato.
Gli esperti hanno considerato Flame come il più sofisticato
codice maligno a oggi sviluppato, e come dargli torto, pre-
sumibilmente creato da una organizzazione dotata di
grandi risorse e capacità.
Marco Bozzetti
