Blog di Exodus1984

E-banking 2015: ...dove la legge perdeva l'impero... ;-)

Eccomi di nuovo qui, dopo una maratona informatica di quasi trenta
giorni sono rientrato solo oggi qui sul blog per dare alcune
risposte basate su ricerche che ho fatto e per fornire i primi
dati per il nuovo progetto che sto preparando.

Cari amici di rete e cari bloggers, oggi parliamo dell'uso che
viene fatto della rete Internet Normale, mi posso immaginare
già molti di voi che pensano:
"ma come, niente più' reti cifrate e gabole varie???...":-)))

In effetti, no, niente reti cifrate, ma oggi parleremo degli
spippolamenti sui server bancari, lato utente e lato server... ;-)

Questo argomento prende spunto da alcune semplici ricerche che
sto facendo per la preparazione di un nuovo sistema operativo
basato su Gnu/Linux, come sapete, ormai da molti anni si può
avere la gestione personale dei propri conti bancari direttamente
da casa propria, senza doversi recare presso gli sportelli
bancari evitando attese e file a volte interminabili, a causa
del personale e dei sistemi che nelle piccole filiali funzionano
in gran parte a questo modo, senza nulla togliere ai servizi  
bancari che funzionano in modo adeguato seguendo le specifiche
del cliente.

Ma il discorso sui sistemi e reti bancarie non si ferma certo
qui, bisogna vedere il reale livello di sicurezza che una
connessione bancaria ci può offrire, e molte volte, le specifiche
tecniche non ci sono note per il semplice fatto che "se non lo
sanno, il server è al sicuro...".
(...Le ultime parole famose...) :-) :-P

Negli ultimi anni, si è avuta una impennata di truffe/furti a
livello telematico, questo perché gli utenti si fidano delle
pagine che visualizzano il loro portale e-banking, ma non sono
in gran parte capaci di verificare che il server al quale si
sono connessi, sia realmente quello del loro istituto di credito.

Gli assalti informatici di questo tipo, si possono dividere
i tre categorie distinte e in continua evoluzione:

1)violazione del computer utente con accesso diretto ai dati
  personali per funzioni e-banking, in questo caso, il server
  bancario accetterà i dati utente perché sono veri, anche se
  ad usarli saranno solo i cybercriminali e non l'utente reale.

2)registrazione delle transazioni da parte degli ISP fatte ad opera
  di persone che oltre alla gestione specifica dell'ISP, sfruttano
  e catturano a proprio vantaggio i certificati degli utenti che
  lavorano con servizi e-banking.

3)impiegati delle reti che forniscono i servizi cellulari, nel
  settore del mobile-banking, è stato registrato il più' alto
  numero di frodi e truffe bancarie ai danni degli utenti.
  Impiegati bancari disonesti che conoscono i dati utente e li
  sfruttano a loro vantaggio o vendono queste informazioni ad
  altre persone per guadagnarci molto senza rischiare nulla.


Ecco una banale lista concentrata di quello che succede oggi
in rete e della "sicurezza" di cui disponete:
 
Il 60% di attacchi informatici è cybercrime
Hacktivism il 27%, l'espionage l'8% e la cyber warfare il 5%
Colpiti i siti GOV, News, Banche
Health e Pharma, incremento del 190% rispetto al 2013
Attacchi Ransomware in aumento

Fonte: Rapporto Clusit 2015

Questo è il problema, ma come possiamo difenderci?

Esistono pagine web che indicano con precisione i server e i
dati di verifica per banche online, italiane ed internazionali.
Questo però non toglie che comunque queste connessioni non possano
essere rilevate e di conseguenza, attaccate per prendere possesso
dei dati utente fornendo al server dati reali con i quali poter
commettere un furto telematico. 

I sistemi utente più esposti in questo senso, sono quelli a
grande diffusione di massa(Windows,Mac e ultimamente anche Linux).

Vorrei soffermarmi un attimo su questo punto: Linux??? :-))

Certo, anche Linux non è esente da difetti e bachi di sistema
per i quali molte organizzazioni di cybercriminali hanno costruito
intere reti dedicate ad osservare il traffico proveniente da
questi sistemi operativi per decodificarlo e ottenere più
informazioni possibili per operare nel settore delle frodi
telematiche bancarie.

Tutte queste organizzazioni, dispongono di tempo, soldi e
tecnologie in grado di effettuare questo tipo di lavoro in
poche ore, sfruttando reti proprietarie per il calcolo e la
decodifica informativa dei dati di interesse bancario.

Per questo motivo, mi è stato chiesto cosa ne penso in merito
alla situazione attuale delle banche online italiane.

Visto che la sicurezza informatica è come un terno al lotto, ho
proposto la costruzione e la preparazione di un sistema Gnu/Linux
dedicato solo a fare questo tipo di lavoro, ovvero connettersi
con il proprio istituto di credito, cercando di offrire la più
grande sicurezza informatica possibile sulla connessione che
gli utenti dovranno fare, purtroppo sono ancora all'inizio di
questo progetto e non posso garantire ancora una valida stabilità
del sistema operativo di test...:-(

Questo, mi ha spinto a pescare alcuni programmi sorgente dal mio
vecchio archivio informatico, per vedere se qualcosa di valido
possa ancora essere utilizzato nel nuovo sistema in fase di
sviluppo.
 
Da tempo, mi balenava l'idea di usare un sistema proxy in grado
di agganciare SOLO il server e-banking, in questo modo il cliente
e il server avrebbero avuto un canale unico, lasciando fuori il
resto della rete internet e di conseguenza, tutti i disturbi che
possono rovinare una connessione pulita.

Naturalmente, anche se cifrata, questa connessione rimane sempre
disponibile alle reti di sniffing dei cybercriminali, ma questo
problema potrebbe essere risolto dal proxy di selezione, impedendo
all'utente di digitare pagine internet non affidabili, oppure
usando la nuova tecnologia che impedisce agli utenti di commettere
errori durante una sessione e-banking.

Quello che molti utenti inesperti fanno, è impostare un proxy per
accedere al server e-banking, questo fatto, li fa sentire al sicuro
perché pensano di non essere visibili e di non venire tracciati
dai delinquenti informatici...:-)))

Ebbene, non fatelo, uno dei metodi avanzati più utilizzati dai
cybercriminali, è proprio questo, le persone pensano di essere
al sicuro utilizzando un proxy per eludere i curiosi e i
truffatori, ma sono appunto i truffatori che ci guadagnano da
questa vostra convinzione sulla sicurezza informatica bancaria.

Non voglio entrare in discorsi tecnici, che probabilmente molti
non riuscirebbero a capire in modo corretto, ma vi posso dare
un consiglio che fu dato anche a me moltissimi anni fa:

Se volete usare un proxy, costruitevelo da soli e gestite con le
vostre mani tutto quello che arriva dalla rete.

Da questo, la mia idea di usare un proxy esclusivo solo per
transazioni e-banking, se sapete usare e programmare le socket
potete fare della rete internet tutto quello che volete, con un
solo limite, la vostra fantasia informatica:

nome comune: Hacker
nome scientifico: Tapirus Vorax Internetensis
(questo è solo un banale esempio...) ;-)))

Programmare le socket di rete, vi permette di poter gestire
direttamente un server bancario senza passare da altre applicazioni
di cui non sapete nulla ma che vi promettono una connessione
sicura...:-)))

Un sistema operativo LiveUSB, in grado di lasciare inalterato
un ambiente Windows e Mac, ma con programmi specifici per ottenere
un canale unico cifrato tra il vostro sistema e il server bancario.

Dalle prove effettuate in queste settimane, ho ottenuto ottimi
risultati informatici, anche se la strada è ancora lunga e piena
di numerosi interrogativi che sto risolvendo in base alla loro
importanza per il progetto. :-)

Vediamo come funziona in generale il sistema operativo BankASS:

Bisogna configurare firefox perché veda il proxy alla porta
specificata (48000) per l'indirizzo di loopback 127.0.0.1 .
Per configurare il volpone di fuoco, dovrete aprire il menu
su: Modifica -> Preferenze -> scheda Rete > Connessione >
Impostazioni .

Selezionare quindi "Configurazione manuale dei Proxy:"
Impostare solo la sezione Proxy HTTP 127.0.0.1 Porta 48000
e quindi cliccare su OK per confermare i cambiamenti.

La rete che viene vista, è solo quella inerente ai server che
avete impostato come indirizzo proxy, altri indirizzi possono
non essere visibili, vi ricordo che questo è un proxy esclusivo
creato solo per effettuare questo servizio, quindi avremo solo
il nostro server e-banking, ma nessun'altra connessione, quindi
se magari deciderete di vedere una pagina web mentre caricate la
vostra scheda telefonica dal vostro account, invece della pagina
richiesta avrete sempre una connessione al vostro server e-banking.

Ho preparato un file di testo con esempi per l'uso sui vari
server che un utente potrebbe avere.
Questo breve file contiene solo degli esempi pratici per l'uso
del programma bankass, e non è detto che la risposta dei vari
server di questa lista possa garantire una corretta visione
delle pagine dedicate ai servizi bancari offerti.

Pertanto, si invitano tutti gli utenti a verificare che le pagine
inviate dal server siano conformi agli standard preposti da ogni
singolo servizio bancario.

Quando inserite il proxy, create un canale unico tra voi e il
vostro servizio bancario, se provate a contattare altri siti
web, riceverete sicuramente degli errori di connessione.

Un breve esempio del funzionamento particolare di bankass, provate
a creare un canale unico tra il vostro browser e il server di
posta di google:
 
mail.google.com
216.58.212.101
./bankass 127.0.0.1 48000 216.58.212.101 443

Per raggiungere la vostra mail, dovrete digitare il nome del
server mail.google.com direttamente nella barra degli indirizzi
web, altrimenti potreste ricevere da firefox questi errori:

...................................
La connessione è stata annullata

La connessione al server è stata annullata durante il caricamento
della pagina.

Il sito potrebbe non essere disponibile o sovraccarico. Riprovare
fra qualche momento.

Se non è possibile caricare alcuna pagina, controllare la
connessione di rete del computer.

Se il computer o la rete sono protetti da un firewall o un proxy
assicurarsi che Firefox abbia i permessi per accedere al web.
.................................

Nel nostro caso, noi siamo bloccati dall'ultima opzione, e quindi
se il proxy non riceve dati esclusivi solo da 216.58.212.101 443
potreste non riuscire a vedere nessuna pagina internet al di fuori
dell'indirizzo specificato...:-)))

Questo è proprio il lavoro che si dovrebbe fare per creare un
canale unico su internet, non si può parlare di sicurezza per
il fatto che il nostro proxy comunica i nostri dati e il nostro IP
al server, ma sui conti bancari, non abbiamo bisogno di essere
anonimi, bankass è stato costruito per ottenere un canale unico
e avere una connessione sicura e pulita, nonostante che la nostra
connessione proxyzzata e cifrata sia ancora visibile, abbiamo
ottenuto un grande aumento della sicurezza rispetto a quanto
succede con una normale connessione bancaria effettuata su molti
sistemi operativi normali.

Il sistema BankASS è stato progettato per tutelare gli utenti
che usano i servizi e-banking, fornendo loro una connessione che
elimina l'obiettivo primario preferito dai cybercriminali, ovvero
lo studio delle applicazioni web usate nei servizi e-banking per
creare degli exploits che possono prendere possesso online di
tutti i dati utente, naturalmente, il server che fornisce i
servizi deve essere quello giusto e verificato con il vostro
operatore bancario di fiducia, quindi il lato utente risulta
estremamente sicuro.

Vi siete mai chiesti quale sia la sicurezza reale della rete
che usate per lavorare sui vostri servizi e-banking?

Se ancora non ve lo siete chiesto, penso che dovreste iniziare a
farlo, dalle analisi di rete, si evince che molto spesso, un
utente che si connette al suo e-banking con sistemi normali, viene
usato come "testa di ponte" dai cybercriminali  per fornire un
accesso valido e involontario per violare i server bancari online.

Le mie prime impressioni usando questo nuovo sistema, sono state
molto positive considerando che:

1) il sistema operativo è ancora da definire(test di sicurezza)
2) il proxy bankass può usare solo un server bancario per volta
3) Firefox non appare adeguato per questo uso(nuovo Browser???)
4) Il controllo della rete non soddisfa le mie aspettative

Tutti questi problemi, mi hanno fatto notare dei particolari
interessanti, scoperti con questa nuova tecnologia, si, avete
letto bene, Firefox non è adeguato per questo uso, e se provo
a costruire un nuovo browser che contenga solo le caratteristiche
che mi servono?
Forse è la strada giusta da seguire, applicazioni speciali per
un sistema operativo speciale e dedicato, vabbè, intanto vado
avanti in ordine sparso, poi vedremo che cosa viene fuori...;-))
 
Altri test, indicano che il presente sistema non è ancora pronto
per essere rilasciato, in quanto i problemi tecnici incontrati
sono ancora lontani dall'essere risolti.
Il problema principale è la gestione utente, nella mia esperienza
ho potuto vedere validi sistemi operativi configurati per la
sicurezza informatica abbattuti da utenti che non sapevano nulla
di tecnologie informatiche, ma volevano semplicemente vedere il
sistema...:-(

Per cui, anche fornendo un sistema operativo configurato e messo in
sicurezza, l'utente finale ha il completo controllo della propria
macchina e pertanto può o potrebbe fare delle cose che compromettono
la sicurezza stessa della connessione bancaria.

Nei miei futuri progetti, ho in mente un hardware dedicato, a cui
gli utenti non possano accedere per fare guai sul sistema, e di
conseguenza mantenere una sicurezza informatica abbastanza elevata
rispetto agli standard bancari che vengono usati oggi.
Ho già costruito cose di questo tipo in passato, e penso che per
questo progetto possa essere utile riesumare qualche vecchia gabola
dal mio laboratorio informatico. :-)

Concludo questo breve post augurandovi come sempre una buona
navigazione su internet e un buon divertimento. :-)