Discussione Black hat honeypots, EDR scadenti & data leaks illegali: questa è Tehtris, una compagnia fondata sulla baguette

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Utente Jade
17 Gennaio 2022
445
128
328
691
Ultima modifica:
Demonizzare la figura di un penetration tester come un individuo intenzionato a compiere atti distruttivi contro i sistemi e le infrastrutture informatiche, è stato il primo errore della società medio-occidentale, favorendo la creazione di società nefaste come Tehtris, una compagnia francese che millanta di occuparsi di sicurezza informatica.

Questa società, si occupa di varie attività. Tralasciando lo sviluppo di EDR scadenti che ho "sconfitto" in laboratorio, una delle attività preferite di Tehtris è occuparsi della divulgazione dei dati sulle nuove minacce informatiche, al fine di migliorare la sicurezza delle infrastrutture, ma con un piccolo dettaglio:

nel codice etico, divulgare dati sulle minacce informatiche significa creare un honeypot ad alto livello, (alto livello = resembla fedelmente un infrastruttura reale), per indurre il criminale a rilasciare malware come ransomware, info-stealers o cryptominers. Nel momento in cui questi artefatti vengono caricati da remoto nell'honeypot, il team di ricercatori, insieme all'amministratore dell'honeypot, hanno il dovere morale e legale di stare immobili e muti come soldati mentre osservano molto attentamente l'andamento dell'attacco fino al momento della "pulizia", ossia quando il criminale ha cancellato le tracce ed è uscito. Fatto questo, si prelevano i dati sull'exploit usato per ottenere l'accesso iniziale e gli artefatti malevoli dall'honeypot, si reversano e si scrivono dettagliate regole YARA. In aggiunta, vengono effettuate massicce campagne di prevenzione della minaccia per le compagnie.

Con Tehtris, le informazioni scritte sopra non si verificano, ecco invece cosa succede: https://tehtris.com/en/blog/honeypots-activity-of-the-week-42
Nel blog, probabilmente scritto da un giovane neo-assunto dalla società (o almeno credo), vengono sbandierati sul web degli Indirizzi IP (di tipo datacenter) appartenenti ad un fornitore di VPS statunitense, probabilmente affitatti da utenti singoli, dato che gli IP Datacenter sono low-cost. Adesso, quello che dico io è questo:
Nella peggiore delle ipotesi, anche se dietro questa colletta di indirizzi IP leakati nel blog c'era effettivamente uno str** che voleva usare Log4shell per fare casini, leakare il suo indirizzo IP per comunicare "tacitamente" ai visitatori del blog una cosa del tipo "Eccu il suo indirizzo IP, ha stato lui cu lu tratture, sfundatelo di DDOS h1hihihii", può essere una scelta davvero utile e costruttiva per lo sviluppo della sicurezza informatica e degli EDR system? (che nel caso di Tehtris fanno ridere, forse perché compensano con queste soluzioni?)

Ma oltre a questo, ho 2 domande da porre al ricercatore che ha scritto il blog:
1. Come fai a sapere che quell'indirizzo IP è davvero la VPS dell'attaccante, o magari è un membro di una botnet per nascondere la vera origine dell'attacco?
2. Come fai a sapere che si trattava di un vero attacco e non di un analista che stava solo scansionando per fatti suoi?

Il signore nel blog, ci parla inoltre di Metasploit, basandosi sul fatto che la query reindirizzava la richiesta sulla porta "4444", dimostrando effettivamente che l'attaccante non si stava limitando ad usare lo scanner, voleva per l'appunto anche una shell. Qui cade l'asino. Il ricercatore ha denunciato la vicenda credendo che l'attore abbia tentato di accedere ad un sistema senza autorizzazione, tuttavia, come anche dimostra il fatto che le VPS erano statunitensi, le cose funzionano molto diversamente da quelle parti (e concordo): nella legge degli USA si parla ancora di "scansione" o "test" e non di accesso abusivo anche quando l'attaccante è riuscito a loggarsi. E nel blog, il ricercatore non è stato in grado di stabilire con chiarezza cosa stesse succedendo, si è limitato a terminare lo scritto dicendo che l'attaccante ha tentato varie tattiche di "recon" sul target (?)

Questo perché la legge negli USA in fatto di crimini informatici, è molto più lucida e razionale rispetto a quella europea. In italia (e probabilmente anche in Europa), il solo fatto di riuscire ad entrare, costituisce l'incriminante per il reato. Negli USA, ciò che sancisce il crimine è cosa fai dopo, non prima: se compi azioni nefaste sei colpevole, se avverti l'amministratore della falla, anche con la tecnica del .txt sul desktop, invece sei onesto. Tuttavia, in Europa il termine "onesto" è un'entità di Satana e mandata a /dev/null in favore di "fesso". Ed è per questo motivo, che la legge europea condanna anche una semplice scansione che viene fatta sull'host: "le tue intenzioni, erano quelle di violare la nostra preziosa legge, e soprattutto quel prezioso computer, non c'è niente che puoi fare per impedirci di applicarla!" Nel frattempo, per non sembrare troppo severa, la nostra preziosa legge si prende cura di dare solamente l'ergastolo ad assassini seriali, mafiosi e pedofili assassini, a discapito di qualche piccolo problema di sovrappopolazione nelle carceri.

Quindi come concludere? Ottenere una shell, da sé, come ragion vuole, significa solo aver verificato e dimostrato la presenza di una vulnerabilità. Commettere un accesso abusivo significa sfruttare questa shell per i seguenti scopi, piuttosto che per verificare la vulnerabilità e generare un report:

Alterare i dati;
Installazione di applicazioni letali;
Terminare in modo volontario i servizi attivi sull'host (come MSSQL), terminare o riavviare l'host contro la volontà dell'amministratore;
Sabotaggio e invalidazione dell'infrastruttura (cambio di password indesiderato);
Spionaggio a scopo estortivo;
Acquisizione e pubblicazione di informazioni private, a scopo di danno o di lucro;
Furto e sfruttamento di credenziali bancarie con artefatti malevoli (trojan) o mezzi fraudolenti (phishing);
Caricamento/o eventuale esecuzione di contenuti scritti/e o multimediali indesiderati (come immagini esplicite, beffe, o .txt contenenti insulti)
Chiedere del denaro all'amministratore per rilasciare informazioni sulla vulnerabilità sfruttata, piuttosto che rilasciare il report gratuitamente sul suo desktop


Finché una delle 9 condizioni riportate non si sono verificate, l'utente non dovrebbe essere meritevole di condanna, né tantomeno vedere la propria fingerprint deliberatamente sul web (ricordando comunque che gli IP Datacenter delle VPS vengono affittati da singoli utenti).
L'azione commessa da Tehtris nel blog invece, si può definire come un data leak vero e proprio e una violazione della privacy, che condurrà eserciti di script kiddies contro queste VPS (che si sentiranno autorizzati con la premessa fuorviante delle VPS "malvage" che meritano di essere dossate). E l'articolo in merito all'accesso abusivo a sistema informatico nella costituzione europea, dovrebbe subire una modifica.

Concludo con il dire che Tehtirs potrebbe operare in questo modo semplicemente per risparmiare: invece di investire denaro in honeypot ad alta interazione, settiamo su' un honeypot da quattro soldi con un logger che ci mostra solamente l'IP di chi che sia e il contenuto della webrequest che ci manda, e poi con queste due minchiate in croce ci facciamo il gr** ca** che vogliamo, come ad esempio ripubblicarle a caso sul web. Fine.
 
  • Mi piace
Reazioni: DjCanigia e Conti
Stato
Discussione chiusa ad ulteriori risposte.