XForceTeam

X-Reporter Ep.2

Mon, 10 Sep 2012 08:31:00 +0200

La seconda puntata di X-Reporter è dedicata alla recente pubblicazione del “McAfee Threats Report 2012 Q2”, ovvero il rapporto sullo stato delle minacce informatiche rilasciato con cadenza trimestrale da McAfee, noto produttore di software antivirale.

In questo video, XForceTeam evidenzierà brevemente gli aspetti più rilevanti che emergono dal citato rapporto a partire dall'enorme e continuo aumento registrato nel numero di malware presente in-the-wild.

Speaker's Corner - Ep.5

Mon, 30 Jul 2012 16:59:00 +0200

Anche se la sua rilevanza non è una novità per chi si occupi professionalmente di Incident Response, la Memory Analysis sta divenendo sempre più l'approccio privilegiato in tutte quelle situazioni in cui si debba velocemente verficare la presenza di attività illecite di natura malevola.

La prova del ruolo di primo piano che questo approccio analitico sta conquistando a fianco dei più tradizionali metodi di analisi ( Live e Post-Mortem Analysis ), può essere ritrovata anche nell'interesse che importanti attori del settore come il progetto Volatility e la Mandiant hanno ultimamente mostrato nello sviluppare strumenti di analisi anche per piattaforme comunemente ritenute meno esposte come Mac OS X e Linux.

Speaker's Corner - Ep.4

Fri, 06 Jul 2012 09:05:00 +0200

La pubblicazione del Security Advisory 2719615 da parte di Microsoft ci fornisce lo spunto per ragionare su un tema che sta divenendo sempre più rilevante, ovvero su come si sia spesso chiamati a porre in campo soluzioni proattive di difesa che vadano oltre il tradizionale ( ed ovviamente irrinunciabile ) meccanismo dell'aggiornamento delle piattaforme software.

Infatti, la vulnerabilità CVE-2012-1889, scelta da XForceTeam per questo quarto appuntamento di Speaker’s Corner, non avendo ancora ad oggi ( 6 Luglio 2012 ) una patch definitiva, offre la possibilità per soffermarci brevemente sulle molte possibilità di workaround che tanto in ambito SOHO come in contesti Enteprise forniscono un valido esempio per realizzare in modo compiuto il celebrato, ma spesso trascurato, paradigma “Defense in Depth”.

[ UPDATE ] - 10 Luglio 2012
E’ stata rilasciata la patch ufficiale per la vulnerabilità critica in questione.
I dettagli sono disponibili sulla pagina web del Bollettino Microsoft MS12-043.

Security Onion 10.04 First Steps

Sat, 26 May 2012 20:03:00 +0200

English Version

Questo è il primo di una serie di video dedicati a Security Onion, un'ottima distribuzione Linux creata da Doug Burks per chi si occupi di “Network Security Monitoring” (NSM) e “Network Intrusion Response”.

In questo video ci occupiamo di alcuni aspetti introduttivi e basilari quali:

Download dell'iso e dell'hash md5
Verifica del checksum md5
Installazione su macchina virtuale
Principali comandi da shell
Installazione VMWare Tools
Upgrade della piattaforma
Creazione snapshot VM

Speaker's Corner - Ep.3

Mon, 16 Apr 2012 19:24:00 +0200

Nelle ultime settimane, l’intero mondo della Sicurezza Informatica si è dedicato a ragionare sulla ormai notissima vulnerabilità CVE-2012-0507 che affligge versioni non aggiornate del JRE ( Java Runtime Environment ) e sulle molteplici forme che gli attaccanti hanno escogitato per sfruttare tale vulnerabilità.

Tra queste, l'ultima in termini di tempo è stata la comparsa del malware Flashback che colpendo specificamente le piattaforme Mac OS X di Apple ha evidenziato come le minacce informatiche odierne non risparmino nemmeno quei Sistemi Operativi tradizionalmente considerati maggiormente al riparo dai rischi di attacco.

In mezzo ad un continuo susseguirsi di notizie su patch rilasciate da Oracle ed Apple, removal tools creati ad-hoc ( a volte forse anche troppo affrettatamente ) e critiche incrociate per i ritardi manifestati nell'affrontare il problema, XForceTeam cerca con questo breve video di fare il punto sull'intricata situazione.

Speaker's Corner - Ep.2

Tue, 03 Apr 2012 10:08:00 +0200

Tra le molte caratteristiche dei certificati digitali, una delle più interessanti è sicuramente quella di poter firmare digitalmente il codice in modo da garantire l'identità dello sviluppatore e rassicurare l'utilizzatore finale riguardo all'esecuzione di un dato software.

Il controllo esercitato sulla validità del certificato da parte del Sistema Operativo potrebbe sembrare un limite insuperabile per gli aggressori informatici che puntino a far eseguire codice malevolo sulle piattaforme dei target da loro scelte.

Purtroppo però, se da una parte gli attaccanti hanno la possibilità di firmare il proprio codice con certificati rubati a soggetti universalmente riconosciuti come “trusted”, dall'altra possono anche decidere di fare leva sull'ingenuità e l'imperizia dell'utente finale proponendo certificati di tipo “self-signed”.
In questo episodio di Speaker’s Corner, XForceTeam mostra perchè sempre più malware utilizzino le firme digitali per meglio ingannare target umani e sistemi informatici al fine di indurli ad eseguire codice malevolo.

TrueCrypt & Two-Factor Authentication

Wed, 28 Mar 2012 17:43:00 +0200

English Version

TrueCrypt è sicuramente uno dei software più conosciuti per la cifratura di dati “on-the-fly”. I contenitori di dati cifrati, chiamati “volumi”, sono normalmente protetti da una password, ma si può scegliere di utilizzare dei “keyfiles” per rafforzare il modello di autenticazione passando da un paradigma di tipo “what we know” ( una password o una passphrase ) ad uno di tipo “what we have” ( un file, un token o una smart-card ).

Purtroppo, TrueCrypt attualmente non supporta i “keyfiles” per la cifratura di sistema, come risulta dalla documentazione ufficiale:

“Note: Keyfiles are currently not supported for system encryption.”

Prendendo spunto da una recente idea di Didier Stevens, XForceTeam mostra in questo video come sia possibile creare una forma di autenticazione a due fattori anche per i dischi di sistema interamente cifrati con TrueCrypt.

[NOTA: questo video non ha una voce narrante in sottofondo poichè riteniamo che le diapositive e le didascalie presenti nel video siano sufficienti per comprendere quanto mostrato nelle sezioni demo.]

Speaker's Corner - Ep.1

Tue, 27 Mar 2012 09:45:00 +0200

XForceTeam lancia oggi una nuova serie di appuntamenti periodici che, attraverso brevissimi video, vogliono essere un'occasione per proporre al pubblico i temi più attuali e rilevanti tra quelli presenti nel vasto scenario della Sicurezza Informatica.

In occasione dell'imminente rilascio di Firefox 12 ( l'uscita è prevista per il 24 Aprile 2012 ), XForceTeam pone in evidenza luci ed ombre della nuova strategia seguita da Mozilla nel cercare di non perdere quote di mercato a favore di Google Chrome, il suo principale e più temibile avversario nella lotta per il predominio sul Web.

X-Reporter Ep.1

Fri, 23 Mar 2012 09:38:00 +0100

X-Reporter vuole periodicamente analizzare alcuni dei molti Reports sulla stato della Sicurezza Informatica resi disponibili dai più importanti Advisors e Vendors presenti sul mercato ( Symantec, Verizon-Business, Cisco, Microsoft, IBM, Secunia, etc ).

Per fare ciò, gli analisti di XForceTeam pubblicheranno di volta in volta un breve video in lingua italiana che ponendo in evidenza i dati maggiormente significativi tra quelli emersi dal Report li renda velocemente fruibili a chiunque desideri tenersi aggiornato sull'evoluzione degli scenari globali.

Questa prima puntata è dedicata al “Verizon 2011 Investigative Response Caseload Review”, estratto in forma sintetica del recentissimo “2012 Data Breach Investigations Report”.

PIANO dell'OPERA

Sat, 17 Mar 2012 09:42:00 +0100

English Version

Vogliamo brevemente esporre quelli che saranno i principali contenuti di XForceTeam.com.

I video proposti saranno di due tipi:

Video tutorial di breve durata senza commento vocale. Riteniamo infatti che, per questo tipo di video, le diapositive e le didascalie siano sufficienti per comprendere quanto mostrato nelle sezioni demo.
Video corsi completi che approfondiscano una tematica di largo respiro attraverso una serie di vere e proprie video lezioni. Grazie ad una maggiore durata dei video e all'utilizzo del commento vocale sarà possibile trattare gli argomenti in esame partendo dagli aspetti basilari per arrivare a quelli più avanzati.

Inoltre, XForceTeam.com pubblicherà una serie di post a cadenza periodica sotto forma di brevi video informativi che porranno in evidenza alcuni temi caldi presenti sullo scenario globale.

SSDEEP ON STEROIDS

Tue, 13 Mar 2012 15:59:00 +0100

English Version

Questo video mostra come utilizzare Ssdeep con file di grandi dimensioni come ad esempio immagini binarie in formato raw (.dd).

Infatti, Ssdeep versione 2.7 pur essendo la più recente ha ancora un bug che gli impedisce di calcolare il Fuzzy Hashing su file di dimensione superiore a 2GB.
La ricompilazione del codice sorgente consente di superare tale limite ma Jesse Kornblum, il creatore di ssdeep, sta lavorando per rilasciare a breve una versione del tool ( dovrebbe essere la 2.8 ) che supporti nativamente i file di grandi dimensioni.

I risultati delle demo presenti nel video si riferiscono esclusivamente all'utilizzo di Ssdeep in ambiente Linux.

"XFORCETEAM - MANIFESTO"

Fri, 09 Mar 2012 00:41:00 +0100

“XFORCETEAM - MANIFESTO”

- English Version

XForceTeam.com è un blog interamente dedicato alla Malware Analysis e al Network Security Monitoring (NSM) che si propone di mettere a disposizione dei propri visitatori una modalità di accesso ai materiali proposti piuttosto differente da quella in uso sulla maggior parte degli altri blog.

Infatti, noi crediamo che il modo migliore per essere davvero utili a chiunque voglia comprendere a fondo tematiche complesse come la Malware Analysis e la NSM sia di mostrare il lato pratico delle tecniche di analisi e delle procedure operative senza mancare di sottolinearne i necessari aspetti teorici.

Per fare ciò riteniamo che il mezzo del video tutorial sia da considerarsi molto migliore del semplice testo scritto corredato da qualche screenshot.

La nostra scelta si basa sull'esperienza che i membri dell'XForceTeam hanno maturato durante un periodo di oltre dieci anni di attività professionale svolta nel campo della formazione aziendale ( principalmente incentrata su tematiche relative alla Sicurezza Informatica ).

Infine, vogliamo sottolineare come per noi la Malware Analysis e la NSM rivestano un ruolo particolarmente importante all'interno del vasto mondo della Sicurezza Informatica poichè riteniamo che in uno scenario dominato da minacce sempre più sofisticate diverrà sempre più decisivo il poter disporre di analisti che siano
altamente preparati e qualificati a fornire risposte tempestive.

Per avvalorare quanto appena affermato, vogliamo citare le seguenti parole come chiaro esempio di quello che crediamo sia già lo scenario attuale ed allo stesso tempo anche un'anteprima di ciò che ci riserverà il prossimo futuro:

“…non è più una questione di ‘se’ saremo attaccati, ma di 'quando’ e 'quante volte’ lo saremo……Sono convinto che esistano solo due tipi di aziende: quelle che sono state violate e quelle che lo saranno in futuro”.

Robert S. Mueller, III
Direttore of Federal Bureau of Investigation
RSA Cyber Security Conference
San Francisco, CA
1 Marzo 2012

"Opening: March, 2012"

Wed, 07 Mar 2012 19:15:00 +0100

“Opening: March, 2012”

- Apertura del blog XForceTeam.com: Marzo 2012