Mentre leggevo un articolo di TechCrunch su Flipboard (sezione technology), tappando su un link interno ad un articolo, si è aperto chrome e sono stato reindirizzato verso un sito che mi avvisa che ho fatto un sacco di cose cattive
Una volta aperta la pagina che vedete qui sopra, nel tentare di chiuderla tornando indietro, Flipboard va in crash (compare popup di avviso) e l'area del display occupata dall'app diventa nera ma mantiene la barra bianca in alto.
mentre il paragrafo della seconda pagina dell'articolo su Flipboard in cui è presente il link biricchino è questo:
TechCrunch reports that Fling, which was initially a small pet project of social startup Unii, is being broken off from the main company in order to allow for funding aimed exclusively at the photo app.
Questa è la pagina dell'articolo su Flipboard
Ho salvato l'articolo su Pocket dall'interfaccia di Flipboard e visitando il link da PC con Ubuntu, non accade nulla. Il fenomeno si è verificato con un Note 2 no root, no app market alternativi, in poche parole tengo un comportamento da manuale del bravo utente.
Re: Redirect sospetto con Flipboard
Inviato: mer lug 30, 2014 9:04 pm
da Al3x
ho riavviato il dispositivo e il fenomeno non si verifica più. Eppure prima del riavvio, per avere l'assoluta certezza che non fosse un episodio isolato, ho provato per ben 5 volte ho chiuso Flipboard dai task attivi e dopo averlo riavviato ho visitato la pagina incriminata: tutte le volte il redirect si è verificato!
boh
Re: Redirect sospetto con Flipboard
Inviato: gio lug 31, 2014 6:52 pm
da Ganondolf
Non credo sia colpa di Flipboard o del sito. In questi giorni ho notato più volte quell'avviso, sia sul portatile di mia sorella con windows, sia sul mio con ubuntu.
Dopo poche pagine di navigazione, ogni link riportava a quell'avviso, con un bel pop-up persistente che ti impediva di fare qualunque cosa, a parte terminare firefox o chrome da task manager. Dopo aver pulito il portatile windows col removal tool di kaspersky, la situazione è tornata normale, ma il giorno dopo era tornato. Sul portatile con ubuntu invece non è attecchito, mi è bastato chiudere la finestra di firefox (che tra l'altro era in navigazione anonima) per risolvere.
Altri miei amici mi hanno detto che è successo anche a loro, e un mio collega ha detto che navigando a casa (a Mestre) gli succede continuamente, mentre nella rete dell'università (a Padova) invece no. Sospettiamo siano stati infettati i server di rete di questa zona... Tu dove ti trovavi quando è successo?
Re: Redirect sospetto con Flipboard
Inviato: gio lug 31, 2014 8:10 pm
da Al3x
Roma
Re: R: Redirect sospetto con Flipboard
Inviato: gio lug 31, 2014 9:20 pm
da Ganondolf
Sono appena arrivato a casa a Mestre e ho provato ad aprire l'articolo che hai segnalato. Dopo un paio di sfogliate, è comparso questo:
Immagino sia intervento l'adblocker per impedire la connessione, ma sembra decisamente che volesse caricare la pagina di schifezze che dicevi.
Seguendo un suggerimento su quel sito, ho controllato i DNS del mio router, e ho trovato un intruso: 5.175.225.136
Come ci è finito li?
Re: Redirect sospetto con Flipboard
Inviato: gio lug 31, 2014 10:24 pm
da Al3x
Ganondolf ha scritto:
Seguendo un suggerimento su quel sito, ho controllato i DNS del mio router, e ho trovato un intruso: 5.175.225.136
era quello che temevo/sospettavo, una manomissione del DNS nel router o addirittura sui root server. Ciò che mi oggi mi ha fatto pensare al router dopo aver letto che anche ad altri era accaduto, era che il problema si era verificato con il telefono connesso tramite wifi (no 3G). Ora controllo il mio router per capire se anche io ho avuto visite o se la modifica avviene dall'interno della propria rete attraverso i nostri browser.
Re: Redirect sospetto con Flipboard
Inviato: gio lug 31, 2014 10:30 pm
da Al3x
verifica effettuata, i DNS sono quelli di OpenDNS e sono al loro solito posto. Il fatto che nel tuo sia spuntato quell'indirizzo è un poco preoccupante, per caso hai la funzione uPnP attiva?
Re: Redirect sospetto con Flipboard
Inviato: gio lug 31, 2014 10:33 pm
da Ganondolf
Si
Re: Redirect sospetto con Flipboard
Inviato: gio lug 31, 2014 10:42 pm
da Al3x
io l'ho disattivato da tempo visto che presenta dei problemi di sicurezza. Ci sono dei test in rete per verificare eventuali vulnerabilità, proverei quello del buon Steve Gibson: https://www.grc.com/su/UPnP-Rejected.htm
Re: Redirect sospetto con Flipboard
Inviato: gio lug 31, 2014 11:05 pm
da Ganondolf
Il test non ha verificato vulnerabilità (i pacchetti non hanno risposto), ma almeno per il momento stacco l'uPnP finché ci sono sti problemi. Grazie per la segnalazione
Re: Redirect sospetto con Flipboard
Inviato: ven ago 01, 2014 7:48 am
da Al3x
faccio una specie di riassunto su cui riflettere
- questo fenomeno sembra coinvolgere sia PC che dispositivi mobili
- sembrerebbe (condizionale d'obbligo fino a prova contraria) che non si verifichi tramite connessione 3G
- colpisce la risoluzione DNS e in qualche modo il traffico viene rediretto su quel sito
- non lo imputerei ad un virus presente sui terminali/computer
- vengono misteriosamente modificate (nel caso di Ganondolf) le impostazioni del router
L'impressione che si ricava è della presenza di codice inserito nelle pagine che si visitano il quale sembra riesca in qualche modo ad agire dall'interno della rete da cui si naviga. Forse uno zero day che colpisce i sistemi operativi dei router il cui veicolo sono i browser a bordo dei dispositivi? E questo codice da dove viene, che siano infetti i siti che visitiamo?
Re: Redirect sospetto con Flipboard
Inviato: ven ago 01, 2014 12:32 pm
da Ganondolf
Che ISP hai? Io ho telecom. Dopo sento il mio collega per i suoi dettagli.
Non credo che il codice sia su un qualche sito specifico, dovrebbe essere fin troppo diffuso... La navigazione mia e di mia sorella hanno in comune solo la pagina principale di google. A meno che non sia infetta quella! Ma ne dubito.
Re: Redirect sospetto con Flipboard
Inviato: ven ago 01, 2014 1:15 pm
da hashcat
Potreste fornirmi un link diretto (quello sul sito legittimo che effettua il redirect)?
P.S.: Il caro vecchio urlquery, nella sezione HTTP Transactions (di una precedente analisi relativa all'IP malevolo inserito nel router), riporta un simile redirect:
Re: Redirect sospetto con Flipboard
Inviato: ven ago 01, 2014 1:24 pm
da Al3x
Ganondolf ha scritto:Che ISP hai? Io ho telecom.
anch'io, router Fritzbox 7390 con ultima release firmware
Re: Redirect sospetto con Flipboard
Inviato: ven ago 01, 2014 1:42 pm
da Ganondolf
Io ho un d-link, non ho modello sotto mano ma è simile al dkt-810. Firmware stock.
Re: Redirect sospetto con Flipboard
Inviato: ven ago 01, 2014 3:48 pm
da hashcat
Una lista dei domini ransom utilizzati per le truffe associati all'ip relativo all'indirizzo malevolo riportato da Ganondolf:
Analsi di qualche giorno fa trovata su di un blog: QUI.
Probabilmente i domini nocivi sono relativi a siti compromessi. L'attaccante ha modificato i server DNS dei servizi e creato, per ciascuno di essi, il sottodominio utilizzato per la truffa:
law-enforcement-var.nomedominio.tld^
I dati WHOIS relativi all'ip del server tedesco fanno riferimento ad un proprietario russo:
^ Le porzioni colorate ed in grassetto sono variabili.
Re: Redirect sospetto con Flipboard
Inviato: ven ago 01, 2014 11:00 pm
da hashcat
Ganondolf ha scritto:Io ho un d-link, non ho modello sotto mano ma è simile al dkt-810. Firmware stock.
Al tuo posto, in caso non lo avessi già fatto, cambierei i dati d'accesso all'interfaccia di configurazione del router.
Al3x ha scritto:L'impressione che si ricava è della presenza di codice inserito nelle pagine che si visitano il quale sembra riesca in qualche modo ad agire dall'interno della rete da cui si naviga. Forse uno zero day che colpisce i sistemi operativi dei router il cui veicolo sono i browser a bordo dei dispositivi? E questo codice da dove viene, che siano infetti i siti che visitiamo?
E' possibile accedere all'interfaccia di configurazione di molti router sfruttando un iframe incoporato in una qualsiasi pagina caricata dal browser dell'utente. L'iframe può essere invisibile; questo contatta il router al suo indirizzo locale proprio della LAN ed impartisce, tramite i parametri nell'url, le credenziali d'accesso (di default o bruteforce tramite breve lista) e le impostazioni da alterare (in questo specifico caso i server dns utilizzati dal router):
Probabilmente il tuo router è stato compromesso in QUESTO modo (in sintesi quanto spiegato sopra).
Re: R: Redirect sospetto con Flipboard
Inviato: ven ago 01, 2014 11:33 pm
da Ganondolf
Allora, il router è un d-link 2740r con firmware eu_1.15 a1
hashcat ha scritto:
Al tuo posto, in caso non lo avessi già fatto, cambierei i dati d'accesso all'interfaccia di configurazione del router.
Of course l'ho cambiata con una più robusta.
Grazie per il link, ora me lo leggo e lo passo al mio collega che ha avuto lo stesso problema...
C'è modo di impedire al router di ricevere/ascoltare questi iframe?
Re: R: Redirect sospetto con Flipboard
Inviato: sab ago 02, 2014 12:18 am
da hashcat
Ganondolf ha scritto:C'è modo di impedire al router di ricevere/ascoltare questi iframe?
No, perché agli occhi del router le richieste provengono dal browser dell'utente e sono identiche a quelle che quest'ultimo potrebbe effettuare navigando attraverso l'interfaccia grafica.
Ciò che puoi fare per proteggerti è:
Controllare se esistono aggiornamenti del firmware del tuo router che risolvono la vulnerabilità CSRF (non sembrano esserci ma puoi aggiornare alla versione 1.16)
Modificare nome utente e password di amministrazione del router con credenziali solide
Impedire a tutti i browser (tranne ad uno portatile specificamente predisposto) di contattare l'indirizzo del router o, più genericamente tutti, quelli della rete locale, attraverso specifiche regole del firewall di sistema
Se utilizzi Mozilla Firefox puoi installare il componente aggiuntivo NoScript che, fra le altre cose (anche disabilitando la protezione JavaScript), permette di filtrare le richieste malevole verso la rete locale (funzionalità ABE)
Domani, se posso, ti rispondo in maniera estesa per quanto il punto 3 della lista (indicando i passaggi per configurare correttamente il firewall di Windows).
Re: Redirect sospetto con Flipboard
Inviato: sab ago 02, 2014 11:07 am
da hashcat
Come promesso.
Configurazione del firewall di Windows (da Vista in poi):
Aprire Windows Firewall (Esegui > wf.msc)
Configurare come indicato nelle schermate che seguono (nell'esempio mi occupo di "proteggere" Internet Explorer)
Re: Redirect sospetto con Flipboard
Inviato: sab ago 02, 2014 2:36 pm
da Al3x
Ottimo lavoro hash ma perché non farne un articolo?
Re: Redirect sospetto con Flipboard
Inviato: sab ago 02, 2014 11:06 pm
da hashcat
Al3x ha scritto:Ottimo lavoro hash ma perché non farne un articolo?
Forse potrò occuparmene questo settimana. Secondo te l'articolo dovrebbe illustrare la configurazione del firewall o trattare l'argomento della discussione più in generale?
Re: Redirect sospetto con Flipboard
Inviato: sab ago 02, 2014 11:24 pm
da Ganondolf
Grazie, ma io uso Linux
Re: Redirect sospetto con Flipboard
Inviato: lun ago 04, 2014 7:07 am
da Al3x
hashcat ha scritto:
Al3x ha scritto:Secondo te l'articolo dovrebbe illustrare la configurazione del firewall o trattare l'argomento della discussione più in generale?
il sistema di content management blocca le immagini e non so darti una risposta
l'ho cambiata con una più robusta.
