L’azienda di sicurezza HBGary finita nel mirino degli Anonymous sembra ormai al centro di uno psicodramma: la collegata HBGary Federal ha cancellato il discorso che doveva tenere riguardo agli Anonymous (denunciandone i responsabili di alcuni dei più famosi attacchi e delineandone la gerarchia) e che ha scatenato la reazione del gruppo stesso. Attesa alla conferenza RSA di San Francisco sulla sicurezza, poi, HBGary si è autoesclusa citando rischi di sicurezza: il loro stand è stato “vandalizzato” con un poster in pieno stile 4Chan: “Anon…in it 4 the lulz”. Il suo CEO, Aaron Barr, ha quindi riferito di aver ricevuto nei giorni precedenti “minacce di morte”.
HBGary è un’azienda che si definisce esperta in sicurezza, e che, pur piccola, con la sua offerta di servizi e software era arrivata a ritagliarsi un ruolo non marginale: ha lavorato con varie agenzie governative statunitensi, con l’Interpol, con McAfee e Apple aveva espresso interesse nei confronti dei suoi prodotti. Agli Anonymous, un gruppo eterogeneo sia nell’età che nelle conoscenze e teoricamente poco organizzato, tuttavia, è bastata poco più di una notte per metterla in ginocchio insieme al suo CEO, Aaron Barr.
L’azienda di sicurezza, che voleva cavalcare le scorribande del gruppo di hacktivisti per ritagliarsi un ruolo rilevante nella scena della sicurezza informatica internazionale, ha infatti subito un duro colpo dall’attacco che ha finito per subire, quasi completamente per suoi errori a livello di misure adottate a tutela dei propri sistemi informatici. Oltre ai dati perduti, a pesare è il danno di immagine subito.
Tra le 67mila email aziendali pubblicate da Anonymous (su un sito creato ad hoc in stile Wikileaks, Anonleaks.ru ) sarebbero comparsi materiali scottanti come la proposta da parte di Barr a Bank of America , lo studio legale Hunton&Williams e la Camera di Commercio statunitense, in vista dei nuovi documenti finanziari segreti che Assange ha minacciato di divulgare, su come avrebbero potuto ( in collaborazione con le aziende di sicurezza Palantir e Berico) screditare Wikileaks con cyberattacchi al sito e ai suoi sostenitori e inondandolo di documenti falsi .
Secondo gli Anonymous, questi piani da parte di HBGary sarebbero oltretutto stati noti anche dal Dipartimento di Giustizia statunitense. L’azienda ha invece accusato gli hacktivisti di aver falsificato i documenti divulgati, mentre il gruppo ha fatto notare che ogni email contiene la firma digitale che le identifica come reale.
L’attacco con cui Anonymous ha piegato HBGary è stato spiegato nei dettagli da ArsTechnica : non si è trattato, come era evidente, di un semplice DDoS, ma di un’offensiva che ha sfruttato un bug individuato nel content management system (CMS) che il sito dell’azienda, hbgaryfederal.com (che al momento risulta ancora offline), si era fatto fare su misura da terze parti. Il sito era per questo suscettibile ad un attacco SQL injection , attraverso cui il gruppo ha avuto accesso al database degli utenti con la lista di username, email e password degli impiegati che avevano accesso al CMS.
A questa falla si sono concatenati errori umani, dimenticanze, leggerezze e distrazioni . Il primo errore è stato nel sistema utilizzato per tutelare le password che, quanto meno, erano immagazzinate cifrate. Ma non si impiegavano tecniche di camuffamento con il salting (l’inserimento di una piccola quantità di dati random in ogni password per disinnescare le tecniche di decifratura), né sistemi di hashing doppio. Così agli Anonymous che si sono occupati dell’attacco è bastato ricorrere ad attacchi basati su cosiddette rainbow table per risalire alle password originali e prendere il controllo del CSM.
Il sistema, inoltre, utilizzava la stessa password (oltretutto di pochi e sempici caratteri) anche per la macchina di supporto Linux su cui erano conservati gli shell account con ssh access degli impiegati.
A questo punto gli attacanti hanno scovato una vulnerabilità nel kernel utilizzato ( individuata già ad ottobre e con già a disposizione in circolazione patch correttive non impiegate dall’azienda) che ha permesso agli hacker di ingannare il sistema per dare ad un utente maggiori privilegi.
Aggiungendo la beffa la danno, Barr usava la stessa password anche per altre postazioni, dall’email agli account Twitter e Linkedin. Compreso l’account Gmail che aveva anche sulle caselle degli altri dipendenti lo status di amministratore, con tutto ciò che ne consegue per quanto riguarda i privilegi di accesso, e che conteneva l’indirizzo di Jussi Jaakonaho, Chief Security Specialist di Nokia. Da quest’ultimo hanno ottenuto le ultime informazioni necessarie a prendere il completo controllo delle macchine informatiche del sito di sicurezza, chiedendoglielo semplicemente tramite l’email di cui avevano ottenuto il controllo, condendo il tutto con un pizzico di social engineering .
Claudio Tamburrino