È soltanto un Pokémon con le armi o è un qualcosa di più? Vieni a parlarne su Award & Oscar!

Forum Pesca - Fishingforum.it - Pesca Forum Forum Pesca - Fishingforum.it The Sportfishing Company - Pesca Forum

NEWS SECURITY

  • Messaggi
  • lorette
    00 07/07/2006 17:06
    Ho aperto questo nuovo topic dove saranno hostate tutte le news security .
    E importante leggerle per la sicurezza del vostro PC .
    Per iniziare sposto qui tutte le news ,
    che saranno di sola lettura per tutti gli utenti .
    Si prega gentilmente di non postare messaggi sotto le news .



    [Modificato da lorette 07/07/2006 19.00]

  • lorette
    00 07/07/2006 17:11
    SECURITY

    Attenzione al Registro Italiano Internet


    Una missiva sembra un modulo obbligatorio per la registrazione del proprio sito, ma è in realtà un'offerta pubblicitaria che può costarvi 858 euro.



    Il logo sulla carta intestata somiglia molto, forse non a caso, a quello di Telecom Italia, e il nome ha un suono piuttosto ufficiale: Registro italiano in Internet per le imprese. Anche il tono della lettera è piuttosto perentorio: "Vi preghiamo di rinviare il modulo con i Vostri dati attuali... L'attualizzazione dei Vostri dati di base sarà eseguita anche se non passate alcun ordine".

    Si tratta di una lettera che, a giudicare dalle numerose segnalazioni dei lettori, sta arrivando a molti intestatari di siti Web aziendali italiani, col risultato è che chi la legge poco attentamente rischia di scambiarla per un modulo di registrazione obbligatorio, quando in realtà è un'offerta di inserimento in un catalogo privato, niente affatto obbligatorio, che costa ben 858 euro l'anno.

    La lettera è confezionata in modo decisamente ingannevole. Stando alle testimonianze delle ditte che l'hanno ricevuta, il "settore di appartenenza" indicato fra i dati del Registro riferiti alla ditta è infatti invariabilmente sbagliato, così si è indotti a mandare la rettifica via fax. Ma inviare il modulo via fax costituisce accettazione dell'offerta, per cui ci si ritrova inconsapevolmente ad aver accettato e firmato un contratto caro e salato.

    La situazione è chiarita dal testo in fondo alla lettera, che specifica che si tratta di pagare un'inserzione in un registro "pubblicato in CD-ROM ed in Internet" da un'impresa tedesca, la DAD Deutscher Adressdienst GmbH di Amburgo.

    Anche se non si può parlare di vera e propria truffa, perché ciò che si accetta firmando il modulo è specificato (sia pure in piccolo), la costruzione dell'offerta è chiaramente mirata ad ingannare sulla sua vera natura.

    Conviene quindi valutare bene se è il caso di pagare 858 euro l'anno per apparire in un catalogo la cui efficacia comunicativa e reale distribuzione sono tutte da dimostrare. Infatti il sito della DAD contiene un catalogo di aziende davvero striminzito: per esempio, una sola ditta nel terziario per tutta l'Italia, e nessun dato in molte altre categorie.

    Sembra inoltre che la DAD abbia effettuato campagne analoghe anche in altri paesi europei, come riportato da Stopecg, un sito che lotta contro le offerte ingannevoli. Caveat emptor!




    [Modificato da lorette 07/07/2006 17.14]

  • lorette
    00 07/07/2006 17:16
    SECURITY
    Il sito che ti cripta l'hard disk
    ... e ti chiede soldi per la decodifica!



    Un nuovo sofisticato tentativo di frode online è stato segnalato oggi dai Websense Security Labs. Si tratta di un attacco che mira a estorcere denaro, installando file di codifica in grado di rendere illeggibili i documenti presenti sul Pc di ignari utenti e obbligandoli poi all'acquisto di un tool di decodifica indispensabile per poter accedere nuovamente alle proprie informazioni.

    L'attacco si verifica nel momento in cui l'utente accede inconsapevolmente a un sito maligno che sfrutta una precedente vulnerabilità di Microsoft Internet Explorer la quale consente il lancio di applicazioni senza l'intervento dell'utente.

    Il sito maligno, tramite l'utilizzo del sottosistema Guida di Windows e di un file CHM, scarica e lancia un trojan (download-aag). Il sistema di download del trojan quindi si connette, via HTTP, a un altro sito maligno che lancia l'applicazione in grado di codificare i file sull'hard disk locale della vittima e su ogni drive mappato sul PC.

    L'attacco si conclude poi con l'invio di un messaggio con le istruzioni per acquistare il tool necessario per decodificare i file e tutti i dettagli per effettuare il pagamento.

    Per ulteriori informazioni sul questo tipo di attacco, sulle modalità di propagazione e sulle contromisure da adottare per proteggersi sono disponibili KLIKKANDO QUI A QUESTO URL

  • lorette
    00 07/07/2006 17:18
    SECURITY

    Difendersi dai siti-trappola creati dal pharming

    Tecnica evoluta di attacco informatico, il pharming consente furti di codici d'accesso in massa. Banche e commercio online a rischio, ma è facile difendersi



    Un avviso di protezione di Internet Explorer


    Siete sopravvissuti al recente attacco di phishing ai clienti delle banche italiane e vi siete appena fatti faticosamente una cultura su come difendersi da quest'insidia? Bene, allora siete pronti per la prossima tappa e per il prossimo termine straniero: pharming.

    E' una storpiatura dell'inglese farming, che in questo caso si potrebbe rendere con "allevamento in batteria", ed è un termine nato sul calco di phishing, che è un'alterazione di fishing, ossia "pesca".

    I termini sono nati per indicare due tecniche di attacco differenti ma entrambe mirate a rubare codici d'accesso di utenti di banche e siti di commercio online. Il phishing consiste nel lanciare tante esche, ciascuna in grado di prendere una sola vittima per volta (così come a pesca si tenta solitamente di pigliare un pesce per volta); il pharming, invece, consiste nel tendere una singola trappola che coglie molte vittime in un sol colpo.

    Mentre il phishing consiste nell'inviare alla vittima un e-mail contenente un link fasullo e nell'indurre la vittima a cliccarvi sopra facendole credere che si tratti di un link autentico, e quindi agisce a livello del singolo utente e del suo computer, il pharming agisce a un livello più alto, sul quale l'utente non ha alcun controllo.

    Il livello colpito dal pharming è quello dei server DNS, ossia dei "cartelli segnaletici" che indirizzano il traffico della Rete: i computer di Internet che, quando digitate per esempio "www.xxxxxxxxxxx.it" nel vostro browser, convertono il nome nell'indirizzo numerico (per esempio 151.9.162.202) corrispondente al sito desiderato e permettono al vostro computer di trovare la strada per raggiungerlo.

    Un server DNS contiene in sostanza una grande tabella di corrispondenze fra nomi di siti e indirizzi numerici. Il pharming consiste nell'alterare fraudolentemente queste corrispondenze, sostituendo all'indirizzo numerico di un sito di commercio online quello del proprio sito-trappola, costruito in modo visivamente identico. Spesso l'alterazione richiede soltanto una parlantina sciolta online e nessuna magia informatica.

    Così facendo, l'aggressore riesce a deviare in un sol colpo verso il proprio sito-trappola tutti coloro che digitano innocentemente il nome del sito autentico, ed è estremamente difficile riparare rapidamente il danno.

    Non è un problema astratto: attacchi di pharming (o, per usare il termine originale, domain spoofing) sono già avvenuti per esempio a settembre 2004, quando un diciannovenne dilettante d'informatica ha preso il controllo di eBay.de, e a gennaio 2005, coinvolgendo tutti gli utenti di Panix.com, ai quali è stata intercettata tutta la posta. Un altro attacco ha colpito il provider Hushmail ad aprile 2005. Meglio dunque essere al corrente del problema in modo da saperlo gestire quando si presenta.

    Il pharming è una trappola particolarmente insidiosa, perché è invisibile all'utente, non richiede e-mail esca e funziona con qualsiasi sistema operativo. L'utente non fa altro che digitare come al solito il nome del sito della propria banca, lo vede correttamente visualizzato nel proprio browser, ma in realtà si trova in un sito fasullo.

    Per fortuna esiste un metodo molto semplice per difendersi: se un attacco di pharming colpisce un sito di commercio elettronico, il vostro browser vi avviserà che il nome del "certificato di sicurezza" non è valido o non corrisponde al nome del sito.

    Infatti ogni sito di commercio online che si rispetti protegge le proprie transazioni con uno di questi "certificati", che il truffatore non riesce ad emulare: il certificato viene scaricato sul computer dell'utente al primo collegamento (che, si presume, avviene con il sito autentico) e fa da garante per tutte le connessioni successive. Se a un certo punto compare l'avviso di una discrepanza fra sito e certificato, è il caso di verificare che non sia dovuto a un attacco di pharming.

    Inoltre i siti autentici di commercio via Internet comunicano con l'utente tramite crittografia, come indicato sullo schermo dall'icona del lucchetto. Anche se spetta ai gestori dei DNS attivare procedure di sicurezza più serie, sta all'utente essere guardingo e non cliccare ciecamente sugli avvisi appositamente presentati dal proprio computer senza chiedersene la ragione.

  • lorette
    00 07/07/2006 17:20
    SECURITY

    Quello spam spassoso targato Italpay

    Scavalca i filtri antispam un esilarante quanto maccheronico invito a partecipare a un affare dal guadagno "assicurato"



    Si intitola "L'unica possibilità di avere uno stipendio meritevole. Come aumentare il Suo reddito?" ed è spesso corredato da un fantomatico "Anti codice di protezione dello Spam" il messaggio che da vari giorni sta imperversando fra gli utenti italiani della Rete.

    Il messaggio in sé è scritto in un italiano talmente patetico da far ridere, con i suoi "Lascilo darLe tre buone ragioni" e frasi come "Migliaia di gente in mondo stanno gia approfittando del nostro 'lavoro' dal programma domestico e guadagnano i loro stipendi mensili (assegni) - completamente quasii $6 000 000 durante l'anno scorso". Per non parlare di affermazioni che mandano in tilt completo la logica, come "Nessun'esperienza precedente di affari non e necessaria". Ma allora, è necessaria o non è necessaria?

    Se poi si consulta l'elenco dei testimonial, ci sono quel signor "A. Contrassegni" del Michigan e quel misterioso "A. L'Arizona Del Cooper" i cui nomi recano il tragico segno di un'unione contro natura fra un mass mailer e un programma di traduzione automatica.

    Ci sono anche momenti di profonda filosofia, anche se un po' ermetica: "La vita non diventa piu facile e Lei non diventa piu giovane. Fra un anno che Lei Lei avra ancora piu dispiacere ("avrei avuto...avrei potuto... avrei dovuto..")". Chiaro, no?

    Risate a parte, cosa c'è dietro? Molti lettori che mi hanno segnalato questo messaggio si sono stupiti del fatto che ha eluso i loro filtri antispam. La ragione di quest'elusione sembra piuttosto semplice: il messaggio contiene pochissimi ingredienti tipici dello spam, ed è oltretutto scritto in italiano, per cui molti filtri, calibrati sull'inglese (lingua principe dello spam), non vi trovano parole-chiave che lo facciano ritenere spam.

    Lo spam cita ripetutamente una certa Italpay, che sarebbe artefice di cotanto guadagno per chi partecipa, e l'indirizzo da contattare è MarioBravetti@italpay.com (o altri utenti sempre dello stessso dominio). Tuttavia il sito www.italpay.com è vuoto: o più precisamente, contiene una pagina che non c'entra niente con la proposta dello spammer ma è quella di default installata dal software di gestione del server Web (il Plesk indicato nel suo testo è il nome del software, Plesk Server Administrator).

    Secondo i dati di Whois, il dominio Italpay.com è intestato a un americano, un certo William Janss, ed è stato creato da pochissimi giorni (il 24 maggio scorso, per la precisione), cosa che è un tipico sintomo di una operazione truffaldina: gli spammer hanno l'abitudine di creare siti che durano pochi giorni prima di essere chiusi. Janss, fra l'altro, risulta intestatario di almeno un altro sito, m-pays.com, per il quale sta circolando un'analoga campagna di spam. Anche M-pays.com risulta al momento vuoto e gestito dal medesimo software Plesk.

    Lo scopo di tutta l'operazione, stando alle prime analisi, sarebbe il furto d'identità a scopo di truffa. L'e-mail, infatti, chiede a chi è abbastanza ingenuo da abboccare di comunicare una lunga serie di dati personali: nome e cognome, indirizzo, età e nome della propria banca. Dati che verranno poi usati presumibilmente come prestanome per transazioni illecite, per esempio su eBay.

    La raccomandazione, in tutti i casi di questo genere, è non rispondere assolutamente e non affidare dati personali a sconosciuti, ma semplicemente cancellare il messaggio e parlarne con gli amici per avvisarli dell'esistenza di questo genere di truffe. E ovviamente ricordarsi che se un'offerta è troppo bella per essere vera, di solito è perché non è vera.

  • lorette
    00 07/07/2006 17:24
    SECURITY

    Quando l'intrusione è a fin di bene

    Un giovanissimo smanettone trova una falla in un sito italiano, vi penetra e lo ripara da solo. Lezioni di sicurezza per tutti.



    La coabitazione è sempre un rischio, anche in informatica. Anzi, soprattutto in informatica, perché se si ha l'imprudenza di affidare il proprio sito a chi lo mette in "coabitazione" sul server insieme ad altri siti senza prendere le opportune precauzioni, può bastare una falla in uno dei siti "coinquilini" per dare accesso all'intero sistema e quindi anche alle pagine Web degli altri siti.

    E' quello che è successo a un server appartenente a uno dei più grandi gruppi editoriali siciliani, che ha messo a repentaglio circa 150 siti in co-hosting.

    Tutto inizia da una provocazione banale: un battibecco in chat fra un giovane smanettone e autore di libri d'informatica, il quindicenne S.A , e una persona che chiamerò Francesco (non è il suo vero nome). S.A analizza il sito del provocatore con gli strumenti pubblicamente disponibili in Rete e si accorge che è ospitato da un editore siciliano e che usa il software open source dBlog 1.4. Il server gira usando Microsoft Internet Information Server (IIS).

    S.A attinge a una falla di Blog documentata da quasi un anno e in pochi minuti accede all'amministrazione del blog del provocatore. Tuttavia non ha intenzioni vandaliche: si limita a inviare al server uno speciale script di prova, usando l'apposita funzione (mal configurata) di upload di file. Fatto questa banalissima operazione, ha accesso a tutti i file del server e non più soltanto a quelli di Francesco.

    Fra i file del server ci sono quelli di tutti i siti ospitati (sono oltre 150). S .A crea una pagina Web di prova sul server e verifica che è visibile dall'esterno. In altre parole, a questo punto chiunque avrebbe potuto alterare tutti i siti ospitati, nel più classico dei defacement di massa.

    Ma S.A non è il tipo da defacement, per cui cancella il file creato e si precipita ad avvisare l'editore che il suo sito ha una falla gravissima. Ha lasciato intatti i log in modo da rendere chiara la facilità della tecnica di intrusione utilizzata, e nell'andarsene dal sito ha riparato la falla usata per penetrarlo. Ma ne restano altre.

    L'errore di configurazione del server, racconta S.A, è "imperdonabile", perché rivela l'"assenza di limitazioni da parte di IIS (che è stato configurato male) e la presenza di permessi di scrittura/modifica/eliminazione ovunque". Prassi purtroppo assai diffuse, perché la gestione corretta dei permessi è un fastidio che intralcia il lavoro, e così si permette tutto a tutti per non tribolare. La conseguente facilità con la quale è avvenuta l'intrusione è molto educativa.

    La storia ha anche un ulteriore lieto fine, che poteva anche non esserci, visto che l'intrusione informatica, anche se fatta a fin di bene, rimane comunque un reato e quindi il titolare del sito avrebbe potuto inguaiare seriamente il giovane S.A. Invece non se l'è presa (forse anche perché la sua figuraccia non è stata resa pubblica con nomi, cognomi e ragioni sociali degli interessati), ma anzi ha ringraziato Aranzulla per l'aiuto; un gesto lodevole e insolitamente sportivo, visto che non è facile reagire con garbo quando un quindicenne dimostra di saperne più del responsabile del sito.

    Il problema, in casi come questi, è che in realtà bisogna resistere alla tentazione di intervenire, limitandosi a segnalare ai titolari l'esistenza della falla. Ma molto spesso queste segnalazioni vengono ignorate, e allora ci si trova di fronte al dubbio: lasciare il sito vulnerabile o intervenire, violando la legge, per prevenire un disastro?

    La risposta non è semplice, anche perché se poi il server subisce un defacement, è facile che i primi sospetti cadano proprio su chi innocentemente ha segnalato la falla e quindi aveva perfetta conoscenza di come commettere l'atto vandalico.

    L'intera vicenda, con le schermate e i dettagli dell'exploit, è : SUL SITO KLIKKATE QUI :

  • lorette
    00 07/07/2006 17:26
    SECURITY

    Arrivano i file Acrobat spioni

    Nuove funzioni del software Adobe consentono di tracciare la lettura dei documenti PDF. Rischio privacy per privati e aziende



    Non è bello vivere in un mondo dove qualcuno può sapere cosa stiamo leggendo. E' ancora meno bello non sapere di essere sorvegliati nelle proprie letture digitali, e non sapere neppure chi sia il sorvegliante. E' una sensazione sgradevole a prescindere dalla riservatezza o delicatezza di quello che leggiamo.

    Eppure è proprio quello che consente di fare la nuova versione del programma di lettura Acrobat Reader 7. Ogni volta che aprite un documento PDF usando questo software, l'autore del documento può esserne silenziosamente informato.

    Le implicazioni di privacy sono abbastanza evidenti a livello individuale (il fastidio di essere spiati); sono forse meno evidenti quelle aziendali. Sapere esattamente chi ha letto un certo documento aziendale riservato può essere estremamente utile anche per commettere reati.

    Poniamo, infatti, che un dipendente voglia dare a un giornalista le prove di un crimine perpetrato dall'azienda e documentato in un file PDF, che però è sorvegliato. Il giornalista apre il documento e inconsapevolmente allerta i criminali. La riservatezza della talpa viene devastata immediatamente, con tutte le conseguenze del caso, e i responsabili del crimine sanno di essere stati scoperti e hanno tempo in abbondanza per far sparire le prove.

    Il controverso servizio di monitoraggio è offerto dalla società Remote Approach. Come racconta LWN.net, per creare un documento sorvegliato basta genera un normale file PDF e inviarlo alla Remote Approach, che ve lo rispedisce dopo avervi inserito del codice di sorveglianza.

    Fatto questo, ogni copia distribuita del documento avviserà Remote Approach quando viene letta, comunicando l'indirizzo IP del computer del lettore. Secondo la documentazione di Remote Approach, i dati acquisiti includono, oltre all'indirizzo IP dal quale si può determinare l'ubicazione geografica dell'utente e l'eventuale sua appartenenza ad organizzazioni o aziende, il tipo di dominio (suffissi com, net, eccetera), il tipo di browser, di sistema operativo, il provider e l'ora locale del lettore.

    La funzione di sorveglianza opera usando la porta 80 con protocollo HTTP, per cui è piuttosto difficile bloccarla senza bloccare nel contempo la navigazione in Rete.

    Per fortuna la funzione è attiva soltanto con il reader Acrobat 7.0; se il documento PDF viene aperto con altri reader, la "cimice" non viene risvegliata. Kpdf, Xpdf e anche il vecchio Reader 5.0 di Adobe, sotto Linux, non fanno la spia; lo stesso vale per l'Anteprima in Mac OS X.

    Stando alle analisi di LWN.net, la "cimice" è basata su Javascript, che è attivo per default in Adobe Reader 7. Per disattivare la sorveglianza è quindi necessario sapere che esiste questo rischio e provvedere manualmente a disattivare Javascript nel Reader, oppure usare un reader alternativo. I più abili potranno bloccare il traffico diretto al sito di Remote Approach oppure impedire ad Adobe Reader di accedere a Internet. I più drastici, invece, potranno scollegarsi da Internet prima di aprire i documenti PDF.

    E' chiaro che una tecnologia che consente di sapere quante persone leggono un documento e di accumulare dati statistici sui lettori è estremamente positiva e preziosa per esempio per gli editori di libri elettronici, ma implementarla senza informarne il lettore comporta il rischio di abusi. Abusi peraltro facilmente evitabili da parte di Adobe aggiungendo una semplice finestra di richiesta di consenso prima di attivare la "cimice".


  • lorette
    00 07/07/2006 17:28
    SECURITY

    Lo spam letterario che beffa i filtri

    Nuove tecniche degli spammer per eludere i filtri antispam: i messaggi mutaforma. Difficile difendersi pienamente, possibile un contenimento del fastidio



    La battaglia contro lo spam pareva vinta, ma gli spammer si sono vendicati. I filtri bayesiani antispam adottati da molti provider sembravano aver risolto il problema alla radice: in cambio di un canone mensile estremamente modico, presso la maggior parte dei provider è da tempo possibile chiedere l'attivazione di un filtro antispam estremamente efficace e selettivo, con un tasso d'errore inferiore a quello umano.

    Nella mia casella di posta su Tin.it, per esempio, si accumulano in media 3000 spam ogni settimana. Tutti vengono sistematicamente filtrati e non li vedo neppure. Cosa più importante, non perdo tempo e denaro a scaricarli, cosa preziosa specialmente in un periodo in cui viaggio molto e sono spesso online tramite GPRS o connessioni Wifi a pagamento negli alberghi.

    Con l'introduzione di questi filtri, il numero di spam che ricevevo in casella e che quindi dovevo eliminare a mano era sceso a un livello sopportabilissimo; una piacevole esperienza condivisa da molti utenti che hanno optato per la formula "meglio pagare qualcosina e lavorare bene piuttosto che avere tutto gratis e tribolare".

    Ma le cose sono cambiate. Stanno infatti iniziando a circolare dei messaggi mutaforma che scavalcano gli attuali filtri antispam. Meritano attenzione perché hanno un aspetto decisamente insolito: spesso sembrano messaggi privi di ogni richiamo pubblicitario, come potete vedere in questa immagine.



    Dopo averne ricevuti a decine nonostante i miei filtri antispam, ho cominciato a chiedermi che senso avesse inviare spam che non promuove alcun prodotto ma contiene invece soltanto una citazione letteraria (altri esempi che imperversano in questi giorni sono costituiti da testi latini). Certo, le parole rare e i nomi contenuti nella citazione aiutano a superare i filtri bayesiani, che per loro natura tendono ad accettare messaggi contenenti più di un tot di parole raramente frequenti nello spam. Ma lo scopo primario dello spam è vendere, per cui un messaggio senza link o nomi di prodotti sembra un assurdo.

    Ho pensato anche a un trucco da tempo caro agli spammer, ossia inserire il testo del messaggio pubblicitario come immagine allegata, ma questo spam non è accompagnato da immagini.

    Poi finalmente mi si è accesa la lampadina. Come ogni navigatore della Rete che abbia a cuore la sicurezza e non sia ansioso di trovarsi nella posta pornografia e altre sorprese, ho impostato il mio client di posta (THUNDERBIRD KLIKKATE QUI : )
    in modo che non interpreti l'HTML eventualmente presente nei messaggi. In questo modo, vedo soltanto il testo semplice del messaggio, evitando immagini osé e altre trappole.

    Ho provato a riattivare l'interpretazione dell'HTML per quel messaggio, e con grande sorpresa ho trovato che ha cambiato completamente contenuto. Da citazione letteraria si è trasformato in una chiarissima réclame di farmaci, con tanto di link cliccabile, come potete vedere in questa immagine.



    Questo, insomma, è quello che avrebbe visto qualsiasi utente che avesse ricevuto questo spam e non avesse disattivato l'interpretazione dell'HTML: uno spam perfetto, chiaramente leggibile e addirittura privo degli errori di ortografia che solitamente appestano lo spam. Uno spam che ha eluso agilmente i filtri antispam. Come è possibile?

    Il trucco viene rivelato esaminando l'HTML del messaggio.



    Dopo una prima parte di testo semplice, che contiene la citazione letteraria, c'è una parte in HTML che ospita il testo pubblicitario. In questa seconda parte, le parole-chiave che avrebbero allertato i filtri antispam sono spezzate inserendovi codici HTML e frammenti della citazione. Le ho evidenziate in grassetto qui sotto per chiarezza e ho sostituito le parentesi angolari dell'HTML con parentesi quadre.

    In questo modo, il filtro antispam non capisce che "V[SPAN style=3D"DISPLAY: none"]of the shed where = the Governor was standing at the moment.[/SPAN]lAGRA VA[SPAN = style=3D"DISPLAY: none"]with that of his unfortunate fellow-convicts = bring him the[/SPAN]LlUM" verrà letto come "Viagra Valium" (con la L minuscola usata come I) e viene quindi beffato.

    Non resta che attendere la prossima generazione di filtri antispam, capace di interpretare l'HTML e analizzare il messaggio tenendo conto anche di come verrebbe visualizzato, anziché limitarsi ad analizzarne il testo. Nel frattempo, almeno per ora, gli spammer hanno vinto.

    Rimane comunque valido il consiglio di non attivare l'interpretazione dell'HTML nel vostro programma di posta: così, perlomeno, vedrete la citazione letteraria al posto delle scempiaggini degli spammer

  • lorette
    00 07/07/2006 17:30
    SECURITY

    Falla MSN favorisce il phishing

    Facile confezionare messaggi-esca dall'aria assolutamente autorevole usando MSN. Microsoft allertata, ma per ora la falla persiste

    [News - 20-06-2005]




    Un difetto di MSN.com consente di creare messaggi che non solo hanno il mittente falso, ma contengono anche link-trappola che non rivelano il pericolo neppure passandovi sopra con il mouse. MSN rischia quindi di diventare involontario trampolino per efficaci attacchi di phishing.

    La dimostrazione preparata dal giovane Salvatore Aranzulla fornisce i DETTAGLI del problema. La vittima, secondo il copione classico del phishing, riceve un e-mail che apparentemente proviene dal servizio clienti Microsoft (perlomeno stando al'indirizzo visualizzato) e lo avvisa di un "uso anomalo" del suo account, invitandolo a cliccare sul link che lo porterà a maggiori informazioni sul caso.

    Fin qui niente di speciale: l'icona è un link a un sito-trappola, fac-simile di quello vero, nel quale la vittima immetterà inconsapevolmente i propri codici d'accesso, regalandoli al truffatore.

    La differenza è che una delle più diffuse contromisure adottate da molti utenti, ossia passare il mouse sul link per vederne la vera destinazione, non funziona, e il link-trappola inganna anche i browser particolarmente sensibili alla sicurezza come Firefox. Quando il mouse si trova sopra il link-trappola, infatti, la barra informativa del browser visualizza un indirizzo del sito Microsoft dall'aria assolutamente legittima, visto che inizia con g.msn.it, e il browser non mostra alcun messaggio d'allerta (gli utenti Hotmail vengono AVVISATI ma questo avviene quando cliccano su qualsiasi link, legittimo o meno).

    Se volete verificare la vulnerabilità, potete usare il
    TEST INNOCUO predisposto da Aranzulla: immettete il vostro indirizzo di e-mail e riceverete un messaggio che simula l'effetto della trappola di phishing, ma invece di portarvi a un sito-fotocopia che vi carpisce i dati vi porta innocuamente a Google. Un aggressore potrebbe con la stessa facilità portarvi nella propria trappola online.

    Il risultato è ottenuto sfruttando anche una piccola tecnica di obfuscation, ossia rappresentando l'indirizzo di Google in un formato diverso dal consueto www.google.com o dall'indirizzo IP corrispondente: la vera destinazione del link-trappola, infatti, è quell'http://1113983379/ che segue la destinazione apparente (http://g.msn.it/IT9/105419.1). 1113983379 è la traduzione in formato dotless di 66.102.9.147, che è l'indirizzo IP di Google inglese.

    Microsoft è già stata allertata da Aranzulla. In attesa che prenda misure in proposito, conviene trattare con particolare cautela maggiore tutti i messaggi che contengono link apparentemente diretti a MSN.

  • lorette
    00 07/07/2006 17:36
    SECURITY

    Curiosi aneddoti sul malware

    Il primo semestre 2005 non è stato testimone di epidemie rilevanti.
    Tuttavia, anche se può sembrare contraddittorio,
    si è dimostrata una straordinaria attività da parte dei codici maligni.

    News - 27-07-2005

    Il primo semestre 2005 non è stato testimone di epidemie rilevanti. Tuttavia, anche se può sembrare contraddittorio, si è dimostrata una straordinaria attività da parte dei codici maligni.

    Sembra che la nuova tendenza degli autori del malware sia quella di riempire il cyberspazio con molti esemplari diversi, più che diffonderne uno solo in modo massiccio. Tra i codici maligni che sono apparsi nei primi sei mesi, Panda Software ne segnala alcuni che presentano delle caratteristiche davvero curiose:

    Il più maleducato - Cisum.A. L'onore spetta a questo worm che non soddisfatto nel disattivare i sistemi di protezione del malware dei PC che colpisce, dedica una frase all'utente "You're an idiot". Questo messaggio non si vede solo in una piccola finestra che si apre sul desktop, ma può essere ascoltata attraverso gli speaker del computer ogni 5 secondi.

    Il più meschino - Zar.A. Questo titolo gli corrisponde. Utilizzava una donazione fasulla per le vittime dello tsunami per fare in modo che l'utente aprisse il file che conteneva il codice maligno.

    Il più sexy - Bropia.A. Questo worm che si propagava attraverso il sistema di instant messenger può essere considerato ironicamente il più sexy: aveva in allegato l'immagine di un pollo arrosto in bikini.

    Il più pericoloso - Whiter.F. In questo caso la selezione è abbastanza semplice: Whiter.F, il "simpatico" codice maligno che cancella tutto il contenuto dell'hard disk. Altro dato curioso è quello che prima di procedere con l'eliminazione, rimpiazza tutti i file con dei nuovi contenenti il testo "You did piracy, you deserve it" (hai commesso un atto di pirateria, te lo meriti).

    Il più imbroglione - Così si potrebbe definire il worm Sober.V che mandava messaggi regalando i biglietti per i Campionati Mondiali del 2006 in Germania. Questa tecnica gli ha consentito di diffondersi in modo significativo, ma per fortuna gli utenti non sono risultati così sprovveduti tanto che il worm non ha raggiunto l'obiettivo di creare una nuova epidemia.

    Il più versatile - Eyeveg.D. E' uno di quei malware inclassificabile. Assomiglia a un worm, ma anche a un Trojan e a una backdoor. Il suo fine è quello di rubare informazioni riservate dai PC che colpisce e di consentire attacchi in remoto. Per aumentare la sua efficacia è in grado di diffondersi per posta elettronica.

    I più solidali - Si tratta dei worm Gaobot.IUF e Prex.AM, non aiutano gli altri, ma solo se stessi dato che ciò che fanno è quello di dividersi i compiti al momento di portare a termine azioni dannose sui computer sui quali si installano. Gaobot.IUF crea una backdoor che consente attacchi di hacking, Prex.AM invia messaggi falsi attraverso instant messenger, affinché gli utenti scarichino il file contenete entrambi i codici maligni

    I più costanti - Più di 4.200 varianti lanciate nell'ultimo anno fugano ogni dubbio: gli autori dei worm Gaobot sono tra i più tenaci visti fino ad ora. L'obiettivo è quello di mettere in circolazione il maggior numero di varianti con la speranza di creare, prima o poi, un'autentica epidemia

    I worm giustizieri - Quest'anno due codici maligni si contendono il primo premio. Da una parte abbiamo già visto il Trojan Whiter.F, dall'altra il worm Nopir.A. Quest'ultimo cancella tutti i file che si trovano nel computer con estensione COM e MP3, inoltre si diffonde attraverso la rete per condividere file P2P. Quando attacca il sistema mostra un'immagine nella quale indica il suo rifiuto alla pirateria. Non bisogna però farsi ingannare: la condanna alla pirateria non è che una scusa per mettere in circolazione un esemplare pericoloso di malware.

    I ricattatori - Sembra che chiedere denaro per liberarsi dall'azione di un codice maligno stia diventando di moda, come una nuova forma di truffa online. In questo ambito emergono i Trojan PGpCoder che criptano alcuni file dell'hard disk e chiedono per farli tornare al loro stato originale del denaro o l'acquisto di una certa applicazione. E' qualcosa di simile ad altri esemplari di malware come SpywareNo (un software spia) che chiede l'acquisto di un determinato software antispyware se l'utente desidera liberarsi dalla sua presenza.

    I truffatori di banche - Più che le banche, ciò che cercano di svuotare sono i conti bancari degli utenti. Le molteplici varianti della famiglia dei Trojan Bancos hanno tutte lo stesso obiettivo: avere i dati degli utenti per portare a termine ogni tipo di frode finanziaria.


  • lorette
    00 07/07/2006 17:38
    SECURITY

    Dietro al crack... un worm

    Un nuovo worm si sta diffondendo attraverso le reti P2P
    e di instant messaging spacciandosi per il crack
    di alcuni popolari giochi e programmi per Windows

    New 01-07-05

    Roma - Tra i worm estivi che potrebbero guastare le ferie degli utenti di Windows c'è Hagbard-A, la cui peculiarità è quella di diffondersi sia attraverso le reti di instant messaging che quelle di file-sharing.

    Per indurre gli utenti a scaricare il file infetto, il vermicello si spaccia per il crack o il generatore di chiavi (keygen) di centinaia di videogiochi e applicazioni per PC, tra cui GTA San Andreas NO CD Crack.exe, Half Life 2 Keygen - RELOADED.exe e Visual C++ ALL VERSIONS - Software Keygen.exe. L'elenco completo dei nomi di file dietro cui si maschera Hagbard-A si trova qui MY WEBPAGE

    Una volta infettato un sistema, il worm è in grado di mettere una copia di se stesso all'interno delle cartelle condivise di numerosi programmi P2P, tra cui Edonkey2000, WinMX, ICQ, Kazaa e Overnet. Stranamente manca all'appello uno dei più diffusi, eMule.

    Hagbard-A tenta di installare nel sistema un server web controllabile da remoto da un cracker, inoltre cambia la pagina iniziale di Internet Explorer.

    Per gli utenti di Windows/MSN Messenger il worm può anche arrivare sotto forma di messaggio istantaneo contenente il testo "please download this...its only small brb" e il link ad una copia del virus memorizzata su di un sistema infetto.


  • lorette
    00 07/07/2006 17:40
    SECURITY

    Msn A Pagamento?

    PER ORA E SOLO UNA CATENA DI S.ANTONIO

    Da tempo sta circolando una mail che avvisa dell'imminente passaggio di MSN (il portale web made in Microsoft) a pagamento. Si tratta di una bufala, non confermata, anzi smentita dai fatti. La mail non è da inoltrare.

    Ecco la mail circolante:
    A partire dal primo di agosto msn diventerà a pagamento, a meno che non invii questa mail ad almeno 18 membri msn della tua
    lista di contatti. Non è uno scherzo (guarda su www.msn.com). Nel momento in cui avrai inviato questa mail a 18 persone, la tua icona msn (il pupazzetto) diventerà blu!!!!


    Perchè si tratta di un falso, da non diffondere ulteriormente:

    1) Non viene confermato da MSN, e nel messaggio non viene specificato quale servizio diventi a pagamento. Forse il messaggio si riferisce al servizio Messenger, ma in ogni caso sul portale www.msn.com in questione non c'è alcun riferimento all'eventuale passaggio a pagamento dei servizi offerti (posta elettronica hotmail e messanger in testa). Solo alcuni servizi aggiuntivi e opzionali sono a pagamento, come ad esempio il MSN Extrastorage (antivirus sugli allegati per chi utilizza Hotmail)

    2) Se anche MSN volesse trasformare questi servizi gratuiti in servizi a pagamento (politica commercialmente molto rischiosa), dovrebbe informare con anticipo e soprattutto in maniera ufficiale gli oltre 2 milioni di utenti del loro servizio di posta (dotati di indirizzo hotmail.com). Nessuna comunicazione ufficiale è giunta agli utenti di hotmail, e in ogni caso il preavviso sarebbe troppo breve

    3) Anche se inoltrate la mail a 18 persone, MSN non lo saprebbe. Non c'è software che permetta di tracciare in maniera corretta se un utente abbia o meno inoltrato una email. In teoria è sì possibile fare un controllo generale sulle email in uscita fino a quando l'utente utilizza il suo account direttamente sul web (tramite il pannello di controllo sul web all'indirizzo login.passport.net ad esempio), ma una volta scaricata la posta elettronica sul prioprio programma di posta sul computer (Outlook express, Eudora e l'ottimo Mozilla ad esempio), questo ipotetico software ne perderebbe traccia, e per funzionare questo controllore dovrebbe essere un programma da scaricare ed installare sul proprio computer.

    4) Che senso avrebbe per MSN un meccanismo del genere? Chi non vuol pagare mi avvisi prima e così si salva?. Per conoscere indirizzi di posta degli utenti msn e hotmail? Ce li ha già. O per vedere chi ci casca?

    Msn è una realta commerciale del web, e come tale fornirà sempre un mix di contenuti free di base insieme a dei contenuti a pagamento. Se un giorno deciderà di abbandonare o di limitare i servizi gratuiti che offre, dovrà farlo comunque avvisando ufficialmente e con anticipo i propri utenti.

    In ogni caso se vi arriva questa catena di S. Antonio non inoltratela, è una bufala. Se invece l'avete già incautamente inoltrata allora forse è il caso di avvisare i vostri contatti!

    E infine: attenzione a girare comunque le email utilizzando la funzione A oppure Cc del vostro progamma di posta, perchè via via che la mail circola si crea un elenco di indirizzi di posta che poi possono finire nelle mani di uno spammer. Meglio utilizzare la funzione CCn (i destinatari non vedono gli altri indirizzi di destinazione).


  • lorette
    00 07/07/2006 17:45
    SECURITY

    Arriva Zotop, il nuovo virus di Windows

    Si chiama Zotop il nuovo worm che infetta i sistemi
    operativi di Microsoft e dà ai cracker la possibilità
    di controllare a distanza il Pc.

    News - 22-08-2005

    I programmatori giapponesi di Trend Micro che lo hanno individuato, lo hanno battezzato Zotob: è il nuovo virus che si insinua nelle falle di sicurezza di Windows 95, 98, ME, 2000 e Xp, in modo molto più veloce di altri worm apparsi in passato, e permette ai cracker di prendere il controllo del Pc a distanza.

    Zotob riesce a lanciare una sua copia all'interno di Windows, cosi come faceva il precedente BOTZOR.EXE e modifica i file temporanei nel sistema del Pc e può impedire anche di ottenere assistenza on line dai siti antivirus.

    Gli esperti di Trend Micro suggeriscono di aggiornare subito i propri sistemi operativi con il download della patch.


  • lorette
    00 07/07/2006 17:52
    SECURITY

    Come ti rifilo il dialer
    Sei un webmaster? Allora stai attento:
    il tuo sito potrebbe essere uno spara-dialer!

    News - 13-09-2005

    Un sistema ingegnoso, quanto truffaldino, può trasformare il sito di un incolpevole webmaster, che da un giorno all'altro si ritrova, suo malgrado, a distribuire dialer ai propri visitatori. A causa di qualche defacement del suo sito? No, senza che venga alterata la minima riga del codice da lui scritto. A giudicare dalle segnalazioni giunteci in redazione, il sistema si sta purtroppo diffondendo. Vi spieghiamo quindi come può accadere, come scoprirlo e come prevenirlo.

    Step 1
    Il nostro webmaster ha creato il suo sito che ha chiamato www.mio_sito.it. Per avere informazioni sui visitatori si abbona ad un servizio gratuito di statistiche sul web, fornito da un altro sito che chiameremo www.statistiche_gratis.it, che gli assegna un link personalizzato da inserire nella home page. Il link potrebbe essere del tipo www.statistiche_gratis.it/logo.asp?utente=27 e contiene uno script capace di tenere traccia del profilo dei visitatori.

    Step 2
    Dopo un po' di tempo di felice utilizzo del servizio di statistiche, lo script "logo.asp" viene modificato da statistiche_gratis.it con l'aggiunta di una riga di codice. E qui iniziano i problemi del nostro webmaster. Quella riga di codice, infatti, induce il caricamento di un IFRAME nel browser dell'ignaro visitatore. L'IFRAME non è ovviamente visibile perché opportunamente dimensionato di larghezza e altezza nulle. Al proprio interno è richiamato il contenuto di una pagina presente su un altro server, ad esempio www.500XXXX./winasp/msie.htm?id=27. E' difficile che il webmaster si accorga del cambiamento e anche qualora se ne accorgesse vedrebbe in quella pagina solo uno script dall'aria innocente, ad esempio la verifica del browser in uso dal visitatore.

    Step 3
    Cosa fa in realtà questa nuova pagina caricata nell'IFRAME? Oltre allo script innocuo contiene una parte di codice criptato. Il trucco è qui: in questa porzione di codice sono contenute le istruzioni per caricare un'altra pagina, come in un gioco di scatole cinesi: ad esempio la pagina www.500XXXX./winupg/script.asp?id=27, che proporrà al browser (se vulnerabile) dei navigatori il download del dialer.

    Il webmaster, allertato dai propri visitatori, impazzirà nel tentativo di capire l'origine del problema e perderà inutilmente ore a spulciare i propri codici e a verificare i link del proprio sito. Questo finché il sito statistiche_gratis.it riterrà conveniente eliminare la riga di codice aggiuntiva in "logo.asp", ripristinando il normale servizio e soprattutto... senza lasciare tracce.

    Nel frattempo gli inconvenienti in cui può incappare il nostro webmaster sono molti e facilmente immaginabili: dalla perdita di immagine, all'allontanamento di potenziali clienti, fino alla possibilità di diventare oggetto di indagine da parte della polizia postale, a seguito di denunce dei visitatori truffati.

    C'è però un modo, per fortuna semplice, per accorgersi di quello che viene caricato con una pagina web. Occorre visualizzarla con il browser Firefox in cui sia stata installata l'estensione ADBLOCK. Questa estensione, nata per rimuovere la pubblicità dalle pagine internet, si rileva in questo caso molto utile.

    Cliccando sulla scritta "Adblock" in basso a destra del riquadro, come in questa immagine, si apre infatti una finestra che mostra tutti gli elementi caricati dalla finestra (immagini, filmati, script, iframe...) e tra essi è possibile cercare quelli "anomali". Nel caso del nostro webmaster avremmo visto, ad esempio, questa schermata:

    Accanto agli elementi legittimi (le due immagini) si notano l'IFRAME aperto nello Step 2 ed il link allo script malevolo richiamato nello Step 3. Da notare che con Firefox, anche visualizzando le informazioni sulla pagina (Tools\Page info), non avremmo visto niente di sospetto: tutti i link visualizzati sono solo quelli legittimi.

    Il consiglio che possiamo dare, per ridurre i rischi di diventare vittime di queste persone senza scrupoli, è duplice: per quanto riguarda la navigazione web evitare di utilizzare un browser che gestisce gli ActiveX (ad esempio Internet Explorer) o comunque se proprio si desidera usarlo, tenere gli script (vbscript e javascript) disattivati; mentre per quanto riguarda i webmaster il suggerimento è quello di diffidare dei servizi completamente gratuiti forniti da siti dei quali non è più che certa l'integrità morale


  • lorette
    00 07/07/2006 17:54
    SECURITY

    Il pishing cammuffato da Playboy

    Circolano e-mail che invitano a scaricare in anteprima la nuova edizione on line di Playboy, ma c'è il rischio che vengano sottratte le password bancarie.

    News15-09-2005



    C'è chi subito cerca di approfittare dell'interesse che Playboy suscita per praticare l'ultima novità in fatto di truffe on line, il pishing.

    In questi giorni sta circolando un'email in portoghese, che sembrerebbe provenire da Playboy, che invita a scaricare l'ultima edizione della rivista in anteprima, prima della pubblicazione.

    In realtà, cliccando sul link in fondo all'email si viene reindirizzati a un sito fraudolento che risiede in Australia e ospita un file eseguibile denominato playboy.exe. Questo file, una volta lanciato, scarica un keylogger in grado di catturare le password bancarie dell'utente quando questo accede ai siti degli istituti di credito. Questo trojan già controlla i siti di diverse banche brasiliane.


  • lorette
    00 07/07/2006 17:55
    SECURITY

    Virus coreano dentro Mozilla e Thunderbird

    Molta paura ma pericolo limitato per gli utenti del browser e del client email open source.

    News - 22-09-2005]


    Totem coreani: secondo la tradizione, tengono lontani dalle città gli spiriti cattivi (foto di Ah Hay)


    La notizia ha fatto capolino sul blog di Kaspersky Lab per poi rimbalzare su Slashdotraggiungendo in poco tempo 576 commenti. I binari per Linux con localizzazione coreanadi Mozilla e Thunderbird sono stati infettati dal virus Virus.Linux.RST.b. Il virus in questione infetta i binari ELF nella home directory dell'utente e i file nella cartella /bin oltre ad aprire una shell in grado di connettersi a siti malevoli, scaricare script ed eseguirli.

    Intervistato da Zeus News, Chris Beard, head of marketing and products della Mozzilla Corp., ha così confermato la notizia: "The virus was introduced through the Korean localization team's hosting server, which has since been changed, and only affects the Linux versions of Korean Mozilla Suite 1.7.6 and Thunderbird 1.0.2. Mozilla Firefox was not affected".

    Pericolo assolutamente limitato dunque ma che sicuramente farà piacere a chi come Symantec recentemente ha sferrato un duro attacco a Firefox e ai prodotti di Mozilla Corp.


  • lorette
    00 07/07/2006 18:00
    SECURITY

    Ritorna Sober

    Arriva Sober.S, una variante del pericoloso worm Sober, che si sta diffondendo attraverso allegati di posta elettronica in inglese e tedesco.

    News 13-10-2005

    Una nuova variante del noto e pericoloso worm Sober, chiamata Sober.S, si sta diffondendo rapidamente attraverso gli allegati di posta elettronica in inglese e tedesco.

    Il worm si nasconde dentro file .ZIP che riportano nomi quali pword_change.zip, screen_photo.zip, Privat-Foto.zip. Per questo bisogna prestare, come sempre, molta attenzione agli allegati di posta con nomi scelti appositamente per fungere da esca.

    I laboratori F-Secure, che hanno scoperto il worm, hanno già messo a disposizione l'update Antivirus.


  • lorette
    00 07/07/2006 18:04
    SECURITY

    Sony installa rootkit spacciandoli per DRM

    Individuato un malware in alcuni Cd musicali in grado di infettare Windows. AGGIORNAMENTO - Scoperto il primo Trojan che utilizza il Sony DRM.

    News - 04-11-2005

    Mark Russinovich ha colto Sony con le mani nel sacco. Il noto programmatore di Sysinternals ha dettagliatamente descritto nel suo blog come in alcuni cd della Sony venga inserito un software di Digital Rights Management (DRM) che si installa sui Pc con sistema operativo Windows e attua dei comportamenti in tutto e per tutto simili a quelli di un rootkit. Con questo termine viene identificato un particolare tipo di malware in grado di rendersi invisibile mascherando la sua esecuzione e permettendo il più delle volte l'apertura di una backdoor a chi lo ha installato sulla macchina vittima.

    In pratica in alcuni Cd musicali della Sony viene inserito un player musicale che consente l'ascolto su pc con sistema Windows. In aggiunta al programma viene installato un sistema di DRM chiamato Extended Copy Protection (XCP)sviluppato da First 4 Internet Ltd che può essere classificato a tutti gli effetti come un rootkit. Il software di DRM tenta di mascherare le cartelle di installazione, le chiavi di registro e i processi rendendosi invisibile a Esplora risorse di Windows.

    Oltre a risultare invisibile il software non fornisce alcuna routine di disinstallazione dal sistema. Russinovich è riuscito a individuare il rootkit e a rimuoverlo solo grazie all'utilizzo di programmi specifici quali RootKit Revealer, un debugger, il disassambler IDA Pro, Regmon e Filemon oltre al classico Regedit di Windows.

    Oltre al ricercatore di Sysinternals in queste ore anche la casa produttrice di antivirus F-Secure sta dando risalto alla notizia del Sony-rootkit accusando esplicitamente la multinazionale nipponica di installare un software spia, potenzialmente sfruttabile da altri malware per infettare un sistema senza essere individuati da alcun antivirus in commercio. L'unico sistema per individuare la presenza del rootkit è ricorrere a tool specifici come RootKit Revealer e BlackLight.

    Non sappiamo quali saranno le reazioni della Sony alle critiche mosse dagli esperti di sicurezza ma di certo il malware individuato da Russinovich è un segnale importante che deve far riflettere sull'arroganza delle multinazionali dell'audio/video nei confronti della libertà degli utenti.

    AGGIORNAMENTO: Sony rilascia il kit di disinstallazione del rootkit. Con questo passo indietro vergognoso, la major nipponica ammette di aver fatto lo sgarro. Una figuraccia di dimensioni colossali.

    AGGIORNAMENTO - Scoperto il primo Trojan che utilizza il Sony DRM

    Oggi (10 novembre 2005) alle ore 12,15 i laboratori di BitDefender hanno scoperto l'esistenza di un nuovo trojan che usufruisce della copertura fornita dal Sony DRM per passare inosservato. Si tratta del primo caso di malware in grado di utlizzare il Sony DRM con rootkit scoperto e studiato da Mark Russinovich.

    Sembra che il trojan installi un IRC backdoor sul sistema colpito e che possa avere altre funzioni.

    "Ci siamo resi conto dell'esistenza di un malware in grado di sfruttare le capacità di nascondersi del Sony DRM per il proprio tornaconto. BitDefender ha quindi aggiornato il proprio software in modo che possegga capacità di rilevamento euristico nei confronti di tutti i software che utilizzano tale tecnica. Il trojan non si è ancora diffuso in maniera allarmante, ma la sua sola esistenza è una conferma alle nostre proccupazioni" ha dichiarato Viorel Canja, Capo dei Laboratori BitDefender.

    Gli utilizzatori di BitDefender sono protetti da tale minaccia, dato che il trojan viene rilevato in maniera proattiva e bloccato. Un aggiornamento della firma è attualmente in corso, per poter aiutare gli amministratori ad identificare il nuovo pericolo.

    Sul sito internet di BitDefender è presente una completa analisi tecnica di questo malware, oltre ad un approfondimento dell'articolo.


  • lorette
    00 07/07/2006 18:07
    SECURITY

    Rootkit, la nuova ondata di malware invisibile

    Recentemente è sorta una grande discussione in merito ai rootkit e al tipo di minaccia che essi rappresentano.
    Questo articolo intende fornire una spiegazione di base
    sui rootkit e sulle modalità con cui questa può essere sfruttata dagli autori di malware per infiltrarsi
    all'interno dei computer in maniera estremamente
    difficile da rilevare e neutralizzare.

    News - 16-11-2005


    Il peluche Tim

    Il nome "rootkit" deriva dal termine "root", ovvero la figura del "superuser" nei sistemi operativi appartenenti alla famiglia UNIX. Negli anni Ottanta gli hacker erano soliti penetrare all'interno di macchine UNIX per installare un programma che, di fatto, apriva una backdoor al loro interno consentendo di rientrarvi in qualunque momento con tutti i privilegi di "root". Il termine "rootkit" è ora usato in modo similare dai moderni ricercatori anche programmi basati su Windows.

    Il sistema operativo fornisce ai programmatori un insieme di funzioni di base utilizzabili per effettuare azioni comuni come aprire un file o stabilire una connessione di rete. Questo set di funzioni è conosciuto come API (Application Programmer's Interface). I rootkit intercettano particolari funzioni della API in modo tale che le informazioni restituite da queste ultime siano false.

    Immaginiamo cosa potrebbe fare un rootkit che si impossessasse di una funzione relativa ai file: potrebbe facilmente impedire la visualizzazione di un certo file o di una determinata cartella sul disco. Potrebbe nascondere se stesso e qualunque altro file agli occhi di qualsiasi programma, da Windows Explorer fino al semplice comando "dir".

    Potente, vero? Ma non è finita qui. Un rootkit potrebbe nascondere la presenza di programmi pericolosi attivi nel sistema così come qualunque elemento del registry modificato per i propri scopi. Ecco perché i rootkit stanno diventando così popolari tra gli autori di malware: come minimo, garantiscono loro un manto d'invisibilità.

    Va bene, ma come fanno tutto questo?

    I rootkit possono dirottare le chiamate a funzioni del sistema operativo e restituire informazioni fasulle. Ma come riescono a far ciò?

    Esistono due strategie principali per questo scopo, corrispondenti alla loro classificazione: rootkit funzionanti in user-mode e rootkit attivi in kernel-mode.

    Nei microprocessori moderni i programmi possono girare in kernel-mode o in user-mode. La differenza principale risiede nel livello di accesso agli altri programmi residenti in memoria. I programmi kernel-mode possono accedere a tutta la memoria (possono sovrascrivere qualunque altro dato o programma e compiere qualsiasi operazione immaginabile), mentre i programmi user-mode sono confinati in un proprio spazio di memoria e non possono influire su aree esterne. La distinzione tra queste due modalità permette di ottenere ambienti di calcolo molto più sicuri, come ad esempio può essere Windows XP rispetto a Windows 9x.

    Esistono metodi per alterare il comportamento del sistema anche in user-mode, cosa che i moderni programmi spyware hanno spesso messo a frutto per loro tornaconto, ma girare in kernel-mode è l'obiettivo per antonomasia di qualunque attaccante. Un programma pericoloso capace di installarsi come driver in kernel-mode potrebbe manipolare qualunque struttura di dati presente in memoria, persino il codice del sistema operativo. I puntatori alle funzioni delle API si troverebbero a puntare invece al codice del rootkit.

    Si noti qui l'uso del termine "driver": solamente i device driver possono ottenere un livello di accesso così alto. I permessi sono elementi vitali per la sicurezza di una rete: se tutti gli utenti disponessero dei privilegi dell'amministratore, chiunque sarebbe in grado di caricare driver - anche quelli pericolosi. Sebbene di ciò si sia già parlato in passato, le nuove minacce kernel-mode evidenziano la necessità di considerare anche quest'elemento ai fini della sicurezza aziendale quando si progettano nuovi sistemi. Se ci fossero meno utenti dotati dei privilegi dell'amministratore, i rootkit sarebbero una minaccia meno grave.

    È vero che sviluppare un rootkit è una cosa difficile. Tuttavia lo sviluppo continuo di queste minacce è per sua natura aperto, e il codice sorgente necessario a creare rootkit è liberamente scaricabile da Internet. Proprio come altre tipologie di malware registrate di recente, diventa liberamente disponibile sempre più codice di questo genere - e il suo formato modulare permette anche a personaggi inesperti di aggiungerlo con relativa facilità ai loro programmi nonostante la complessità intrinseca dei rootkit.

    La connessione tra bot e spyware

    I rootkit sono essenzialmente una tecnologia: per loro natura non sono dunque né buoni né cattivi. Piuttosto, vengono sempre più frequentemente usati come sistema per rendere invisibile spyware o altro malware. E poiché i rootkit sono facilmente disponibili, i creatori di worm bot hanno iniziato a nascondere le loro creazioni dietro la cortina dei rootkit allo scopo di non farsi individuare per un tempo più lungo.

    Ciò significa che in futuro potremo attenderci un aumento dei casi di rootkit rilevati. Dal punto di vista di un attaccante, saltare sul carro dei rootkit presenta diversi vantaggi: codice sorgente liberamente scaricabile e un meccanismo di rilevamento separato che, se scoperto, non inficia in ogni caso il programma principale.

    La sfida degli antivirus: intercettazione ed eliminazione

    Il problema che deve affrontare ora la maggior parte degli antivirus riguarda il rilevamento dei rootkit: la difficoltà deriva dal fatto che il malware protetto dai rootkit risulta installato a livello di sistema, per cui le tradizionali tecniche di scansione antivirus non sono efficaci - e il malware può continuare a funzionare indisturbato.

    Le tre aree in cui le aziende possono concentrare l'intercettazione dei rootkit sono le seguenti:
    1. Intervento. Rilevare e fermare il rootkit prima che infetti il sistema; per questo si può usare il meccanismo di verifica delle segnature (o firme) dei programmi di installazione.
    2. Rilevamento comportamentale. Rilevare il rootkit mentre viene installato sul sistema. In teoria è possibile analizzare il comportamento dei programmi in esecuzione evidenziando le azioni simili a quelle tipiche di un rootkit. Un problema è dato dal fatto che tecniche di questo genere sono facilmente preda di falsi positivi, dato che programmi legittimi possono presentare schemi di comportamento simili (è il caso ad esempio dei normali device driver). Questo è pertanto un modo rischioso per rilevare i rootkit.
    3. Pulizia. Rilevare i rootkit una volta che sono installati. L'obiettivo è quello di scoprire i driver fasulli mentre sono attivi, intercettando una loro porzione non nascosta.

    Come accade con tutto il resto del malware, anche le tecniche dei rootkit sono in costante evoluzione e i loro autori scoprono nuovi metodi per nascondere processi, file e registry in maniera efficace contrastando i tentativi dei produttori di antivirus di rilevarli. Si tratta di una battaglia senza soste che potrebbe non avere mai fine, anche se è chiaro che i rootkit non sono destinati a scomparire e continueranno anzi a presentare una sfida alquanto seria. I produttori di antivirus devono concentrarsi sui sistemi per intercettare, rilevare e neutralizzare questa minaccia crescente.


  • lorette
    00 07/07/2006 18:11
    SECURITY

    Ritorna Sober e si finge dell'Fbi

    Si stanno diffondendo in questi giorni
    nuove varianti del worm Sober.

    News - 25-11-2005



    I laboratori di F-Secure lanciano l'allarme per una nuova variante del worm Sober, Sober.Y, simile al Sober.K apparso nello scorso febbraio e che come quello arriva come allegato di una mail in inglese o tedesco.

    Scoperto la settimana scorsa, solo dal 21 Novembre si è cominciato a rilevare una diffusione massiccia del worm, in genere i testi dell'email che reca l'allegato sono di vario tipo anche falsi allarmi provenienti dall'Fbi.

    A causa dell'aumento dei casi di infezione, il team di esperti della sicurezza del Symantec Security Response ha alzato a 3 il livello di pericolosità del virus W32.Sober.X@mm, su una scala di valori compresi tra 1 (gravità minore) e 5 (gravità maggiore).

    W32.Sober.X@mm è stato diffuso in maniera simultanea dalle vecchie varianti di Sober. Sembra che le vecchie varianti si siano sincronizzate via NTP, Network Time Protocol, per mettere in moto un invio di massa esattamente 23 giorni dopo le ore 19.00 GMT del 29 ottobre.

    "Mentre i "mass-mailer" worm non rappresentano in sé una novità, il comportamento zombie con cui hanno agito i computer già infettati dalle vecchie varianti di Sober non è da sottovalutare," ha spiegato a Zeus News Giuseppe Borgonovo, Pre-Sales Technical Manager Symantec Italia. "L'aumento del livello di pericolosità è dovuto appunto a tale comportamento, unitamente al fatto che il messaggio è stato veicolato in diverse lingue. Consigliamo quindi agli utenti di aggiornare i propri sistemi di sicurezza per proteggersi da possibili minacce e agli amministratori IT di implementare adeguate best practice sulla sicurezza per prevenire eventuali infezioni".

    W32.Sober.X@mm è un worm mass-mailing che ricorre al proprio motore SMTP per autoinviarsi e diffondersi. Si presenta sottoforma di un innocuo allegato ad un messaggio di posta elettronica, inviato però da un computer infetto. Il Symantec Security Response ha rilevato per la prima volta questo malware il 19 novembre

    Le potenziali vittime di questo worm possono ricevere un messaggio email, che sembra provenire dall'FBI o dalla CIA, o che invita l'utente a scaricare alcune foto di Paris Hilton. Maggiori informazioni disponibili QUI ---> MY WEBPAGE

    Il Symantec Security Response ha inoltre innalzato il livello di ThreatCon da 1 a 2 (su una scala massima di 4), a causa dell'aumento della diffusione del W32.Sober.X@mm e alla diffusione del codice di sfruttamento di una vulnerabilità di Microsoft IE. Il ThreatCon fornisce una "previsione" sullo stato di Internet.

    Anche i laboratori di Panda Software hanno rilevato la comparsa di Sober.AH, nuova variante del worm Sober, che sta attaccando via posta elettronica i computer di tutto il mondo, diventando uno dei virus maggiormente individuati da Panda ActiveScan, la soluzione antivirus online.

    Questa nuova variante utilizza tecniche di ingegneria sociale: induce gli utenti a installare file che contengono il codice maligno. Inoltre, Sober.AH è in grado di raggiungere i computer diffondendosi come allegato ad un'e-mail che finge di essere una comunicazione da parte dell'FBI che avverti gli utenti di aver visitato siti Internet illegali. Il worm si invia in messaggi di posta in inglese o tedesco, secondo l'indirizzo del destinatario.

    Gli utenti devono ricordare che i messaggi e-mail contenenti Sober.AH possono variare, così come il nome dell'oggetto, il messaggio di testo e l'allegato, che vengono scelti a caso da una lunga lista di opzioni.

    Se il file viene eseguito, si aprirà una finestra con un falso messaggio di errore. Quando ciò accade, Sober.AH si invia automaticamente a tutti gli indirizzi di posta elettronica che trova nei file di sistema, analizzando i domini degli indirizzi connettendosi a vari server pubblici DNS e controllando la data e l'ora da diversi server NTP.

    Inoltre, il worm è capace di bloccare applicazioni del sistema in esecuzione, tra le quale alcune soluzioni di sicurezza. Quando un processo viene portato a termine, apparirà una finestra di dialogo che afferma che nessun virus, Trojan o spyware è stato trovato. L'obiettivo di questo worm è di lasciare i PC senza alcuna protezione contro futuri attacchi. Maggiori informazioni su questa variante sono disponibili qui.

    Luis Corrons, direttore del Laboratori di Panda Software, ha affermato: "Dopo molti tentativi, gli autori dei worm Sober sono riusciti a realizzare il loro obiettivo in modo semplice: utilizzando le tecnologie di ingegneria sociale. Quando un codice maligno usa messaggi di interesse pubblico, riesce a diffondersi su un numero molto elevato di computer. L'uso di tecnologie preventive può determinare se un messaggio di posta elettronica contiene un codice maligno sconosciuto, avvisando l'utente prima dell'apertura della posta."


    • 1
    Off - Topic
    Passa alla versione desktop

    • Anteprima