Rissone Ruggero ha scritto:
-----Messaggio originale-----
[snip]
Ok...fai uno spyware , che non deve mettere in allerta nessun prodotto di
sicurezza che puo' essere presente sul PC di chi si vuole intercettare.
Presupponiamo che fai uno spyware che permetta di manipolare le librerie audio
di Windows, in modo da splittare l'audio proveniente dalla cuffia utilizzata
per Skype. Probabilmente detta funzionalita' non viene riconosciuta (ad oggi)
come attivita' anomala dai motori euristici di ricerca degli antivirus ma
l'invio di questi dati acquisiti verso un IP (punto di ascolto delle forze di
polizia) potrebbe venire facilmente individuato da qualsiasi firewall un pelino
piu' sofisticato di quello di default di Windows XP.
Ma se i delinquenti non usano l'audio ?? Lo spyware da te suggerito
richiederebbe anche funzionalita' di Keylogging e soprattutto di nuovo
richiederebbe l'invio dei dati acquisiti verso il punto di ascolto.
Mettiamo che hai risolto il problema dell'invio dei dati verso il punto di
ascolto, come lo installi ? Nei PC dei cinesi avevano fatto in modo di rendere
disponibile una versione localizzata in cinese, con il malware embedded, e
molti utenti l'avevano ingenuamente installata ed utilizzata.
Si potrebbe pensare ad un trucco analogo, mascherandolo sotto un finto
aggiornamento software.
Bene...E se questi criminali usassero per così dire, il client per linux
o mac ? Magari i vecchi asus eeepc che avevano quella orribile
distribuzione chiamata xandros... Ponendo il caso che sia anche semplice
usare un programma che faccia le stesse cose con linux, come fai ad
attivarlo? E per mac ?
Credo che oramai i criminali abbiano i loro tecnici "di fiducia" con un
background culturale tale da permettergli di continuare a gestire i loro
affari senza molta paura di essere intercettati. Quindi basta suggerire
una distribuzione "live" di linux fatta ad-hoc con skype per farli
sentire "sicuri".
Dovresti pero' essere sicuro di dirottare tutte le richieste provenienti dalla
linea dati utilizzata dal malvivente e fare in modo di realizzare in tempi
rapidi un MiTM ad hoc, per far si' che l'applicazion riconosca come valida la
presenza di un update contenente il malware.
L'alternativa e' molto old-style, quindi intercettazioni ambientali, magari occultando la
"cimice" all'interno del PC stesso ma rimane scoperta l'eventualita' che il
malvivente utilizzi la chat testuale anziche' la voce.
Credo...che l' unica soluzione possibile sia una ottima cimice attaccata
da qualche parte che permetta di ascoltare quello che dice almeno uno
dei due interlocutori.
Saluti,
Francesco
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
