Dopo aver rilasciato ben 20 patch di sicurezza lo scorso mese, Microsoft ha annunciato che non rilascerà nuovi aggiornamenti di protezione nell'ambito del prossimo Patch Day di Marzo.
Il colosso di Redmond ha però annunciato che renderà disponibile il 13 Marzo prossimo 6 aggiornamenti non relativi alla sicurezza: 2 su Windows Update e 4 su Microsoft update. In mancanza di nuovi bollettini di sicurezza per questo mese, Microsoft non terrà il consueto webcast su TechNet. Al contrario sarà rilasciato come di regola un aggiornamento per lo strumento di rimozione malware per Windows (KB890830). Bisogna notare che attualmente è stata svelata l'esistenza di almeno 5 vulnerabilità zero-day nei prodotti Microsoft per cui non sono ancora disponibili patch di protezione.
Ricordiamo che il mese scorso il colosso aveva rilasciato 6 bollettini "critici" e 6 "importanti"; i bollettini critici includevano aggiornamenti di protezione per Office (2), Windows (2), e Internet Explorer (versione 6 e 7). A questi si era aggiunto un aggiornamento di protezione per il Microsoft Malware Protection Engine integrato in vari strumenti di sicurezza tra cui Live OneCare e Windows Defender.
Il "patch break" di Marzo sarà sicuramente ben accolto dai manager IT, ancora impegnati a testare la dozzina di fix che Microsoft ha rilasciato il mese scorso. Inoltre molti manager potrebbero essere occupati nel passaggio all'orario di Daylight Saving in US che inizierà con tre settimane di anticipo e terminerà una settimana dopo rispetto a quanto accadeva in passato. Secondo quanto riporta il blog ufficiale del TechNet Team Italia, eventuali disallineamenti tra i sistemi potrebbero portare ad avere informazioni non corrette nell'orario di invio e ricezione delle e-mail, nello scheduling degli appuntamenti o nella sincronizzazione dei sistemi stessi. A questo proposito evidenziamo che per venire incontro alle esigenze di professionisti IT, amministratori di rete e amministratori di database, Microsoft ha messo a disposizione un portale da cui è possibile accedere a tutte le informazioni necessarie per la configurazione dei sistemi IT e agli aggiornamenti relativi ai differenti sistemi operativi e applicativi server.
L'ultima volta che Microsoft non aveva offerto aggiornamenti di protezione nell'ambito del suo ciclo mensile di update era stata a Settembre 2005. Microsoft commenta: "L'azienda continua ad indagare su vulnerabilità potenziali ed esistenti con l'intento di aiutare a proteggere i nostri clienti … creare aggiornamenti di sicurezza che correggano completamente con efficacia le vulnerabilità è un processo lungo che prevede una serie di passi sequenziali". Ad ogni modo, il mancato rilascio di patch di sicurezza offrirà anche maggior tempo ai cybercriminali per realizzare e mettere in opera gli exploit delle vulnerabilità conosciute. Microsoft ha già confermato di star lavorando su un fix per un ennesimo bug scoperto in Word. Secondo quanto riporta l'US-CERT infine, sono già disponibili i primi codici exploit per una nuova vulnerabilità recentemente scoperta in Microsoft Windows Explorer che interessa la gestione dei documenti OLE malformati.
Il prossimo "Patch Day" di Marzo 2007 includerà:
• Aggiornamento per il Malicious Software Removal Tool su WU, Download Center, MU, e WSUS
• 2 Aggiornamenti NON-SECURITY High-Priority per Windows su Windows Update (WU) e SUS
• 4 Aggiornamenti NON-SECURITY High-Priority su Microsoft Update (MU) e WSUS
MBSA = Rilevabile con Microsoft Baseline Security Analyzer EST = Rilevabile con Enterprise Scan Tool
Sophos: Il futuro dei malware e' nella crittografia
Malware sempre più pericolosi ed invisibili. E’ questo il futuro delle minacce on-line, secondo quanto riportato dall’azienda Sophos, che nel suo ultimo rapporto mensile, punta i riflettori su quello che è stato il malware leader dello scorso mese ed al tempo stesso il futuro incubo di milioni di protetti presonal computer:
“Il rapporto, compilato sui dati raccolti dai SophosLabs, rivela che la famiglia HckPk ha avuto il maggior impatto sugli utenti, rappresentando oltre la metà del malware segnalato nel mese di febbraio. Si tratta di malware modificato con l’ausilio di un programma di compressione allo scopo di nasconderne il carattere dannoso.
Sophos ha constatato che gli hacker utilizzano sempre più spesso strumenti per la crittografia e la compressione dei dati, con l’intento di camuffare il malware ed eludere le soluzioni di sicurezza. Il malware appartenente alla famiglia HckPk è programmato in modo tale da consentire agli hacker l’accesso remoto ai computer infetti. Il worm Dorf, in vetta alla classifica di gennaio 2007, e il worm di tipo mass-mailing denominato Dref, il malware più segnalato a dicembre 2006, sono soltanto due esempi di malware nascosto all’interno dei programmi HckPk. Inoltre, i criminali della Rete sono costantemente all’opera per modificare le tecniche di travestimento e bypassare i sistemi di protezione.
La top ten del malware per il mese di febbraio 2007 è la seguente:
"Sempre più spesso i cybercriminali sguinzagliano il malware dopo averlo nascosto all’interno di allegati che molti programmi antivirus non identificano come dannosi", ha dichiarato Walter Narisoni, Security Consultant di Sophos Italia. "Queste strategie di mascheramento sono adottate anche da minacce ampiamente diffuse come i worm Dref e Dorf. Bloccando i programmi HckPk viene quindi neutralizzato anche il malware che vi si annida. Se non vogliono cadere vittima del malware compresso o criptato, gli utenti devono accertarsi che la propria soluzione antivirus sia anche in grado di riconoscere e bloccare in maniera proattiva il malware sconosciuto". [...]
A febbraio l’incidenza delle mail infette è stata dello 0,39%, pari a una mail infetta su 256. Inoltre, Sophos ha identificato 7.757 nuove minacce, pertanto il numero complessivo di malware da cui è in grado di proteggere è salito a 222.713.
Rfid e' vulnerabile? Nel dubbio l'azienda blocca il convegno
Probabilmente chi aveva scommesso sull’infallibilità e sull’assoluta sicurezza della tecnologia Rfid avrà da meditare non poco. Recentemente è saltato un convegno nel quale i ricercatori della società di sicurezza IOActive avrebbero dovuto mostrare come sia possibile duplicare badge d’accesso realizzati con tecnologia Rfid.
Le ragioni? Evitare un potenziale costoso contenzioso giudiziario con l'azienda HID Global che vende sistemi di controllo accessi Rfid coperti da brevetto, oggetto di studio dei ricercatori della IOActive.
Così, la compagnia ha pensato bene di tirarsi indietro evitando da un lato di arricchire i propri avvocati con una causa giudiziaria epocale. Ma allo stesso tempo privando tutti noi della possibilità di conoscere nuove informazioni circa l’effettiva affidabilità del Rfid che viene sempre più spesso descritta come la panacea per risolvere tutti i problemi legati all’illecita circolazione di beni.
La notizia, la riporta il portale italiano dedicato all’Rfid, che, con molta onestà intellettuale, segnala ai propri lettori anche questa circostanza non propriamente lusinghiera legata al mondo Rfid. «il caso fa riesplodere la discussione sulla sicurezza dei sistemi Rfid» riportano dal sito «un tema caldo in molti circuiti del settore. Lo scorso anno, alla stessa conferenza, un ricercatore aveva dimostrato come duplicare un passaporto elettronico contenente un tag Rfid.
Ma la vicenda solleva anche altre preoccupazioni intorno al tema "disclosure", la diffusione delle informazioni all'intera security community. Osserva O'Brien, senior security analyst presso Sophos: “Occasioni come Black Hat sono pensate per porre le scoperte sulla vulnerabilità dei sistemi all'interno di uno sforzo collaborativo per superarli, ma il problema è che una volta che la presentazione avviene in un contesto pubblico ci potrebbero essere persone che hanno altre intenzioni”».
Secondo la testa d’uovo di Sophos, certe dimostrazioni si renderebbero quanto mai pericolose, perché costituirebbero un incitamento agli hacker. «Fare una dimostrazione sulla vulnerabilità dell'Rfid significa entrare in una zona rossa, c'è un rischio reale di educare un hacker a usare le informazioni per scopi illeciti». Come dire…magari le nostre tecnologie non sono sicure, anche se noi sosteniamo il contrario, ma, per carità che non si dica in giro! Chi si ricorda la favola del re nudo?!
Ecco alcune schede relative all’Rfid tratte dall’ottimo portale italiano dedicato all’argomento
«Rfid significa Radio Frequency Identification, ovvero identificazione a radiofrequenza. Con questo termine si indicano quelle tecnologie che consentono il riconoscimento a distanza di oggetti, animali e persone sfruttando le onde radio. Un sistema di identificazione a radiofrequenza è costituito da due componenti principali: un trasponder o tag, e un reader.
Il tag è l'etichetta che si appone all'oggetto. È qui che sono contenute tutte le informazioni ad esso relative e che lo identificano in modo univoco. I dati, memorizzati in un microchip, possono essere letti grazie a un'antenna che riceve e trasmette i segnali radio da e verso il reader Rfid.
Il microchip e l'antenna, insieme formano il tag Rfid e sono tenuti insieme su un supporto fisico. Il reader è il dispositivo, fisso o portatile, deputato alla lettura del tag Rfid, in grado di convertire le onde radio del tag in un segnale digitale che può essere trasferito su un computer. Per comunicare fra loro il tag e il reader devono essere sintonizzati alla stessa frequenza.
Rispetto al codice a barre e altre tecnologie di identificazione, la tecnologia a radiofrequenza offre numerosi vantaggi: la lettura non richiede contatto diretto e vista ottica, non c'è bisogno quindi dell'orientazione verso lo scanner. I tag possono essere letti contemporaneamente, possono lavorare in ambienti sporchi, contaminati e resistere anche a condizioni (agenti ambientali, sollecitazioni termiche, chimiche, meccaniche) molto difficili. Sono quindi più durevoli.
Contengono più dati rispetto al barcode e possono essere riscritti e aggiornati con nuove informazioni. Operano anche immersi in un fluido, dentro l'oggetto che si vuole identificare o all'interno di un contenitore. Inoltre il codice a barre identifica solo il lotto di un prodotto, ma non il singolo item. Il tag Rfid, invece, contiene un numero di serie unico e univoco che identifica ogni singolo prodotti fabbricato nel mondo.
I tag Rfid sono più costosi rispetto ai codici a barre, ma il il rapporto costi/benefici è generalmente vantaggioso. Sarebbe comunque sbagliato pensare che la tecnologia Rfid soppianterà il codice a barre. Molto più verosimilmente, le due coesisteranno».
Secondo quanto riportato su McAfee Alert Labs Blog, Windows Vista presenta una vulnerabilità di sicurezza nell'implementazione della funzione StickyKeys (Tasti Permanenti) destinata agli utenti disabili. StickyKeys è una funzione di accessibilità dedicata alle persone che non sono in grado di tenere premuto contemporaneamente due o più tasti. Quando una scelta rapida da tastiera prevede una combinazione di tasti (modifier key), come "Ctrl+Alt+Canc", StickyKeys consente di premere un tasto alla volta anziché tutti contemporaneamente. La funzionalità Tasti permanenti consente di premere il tasto MAIUSC, CTRL, ALT o il tasto logo Windows, mantenendoli attivi fino a quando non si preme un altro tasto. Per attivare la funzione è sufficiente premere un "modifier key" (es.: SHIFT) cinque volte di seguito (un avviso sonoro notifica l'attivazione della funzione).
Secondo i ricercatori di McAfee, Windows Vista non verifica l'integrità del file lanciato da StickyKeys ("c:/windows/system32/sethc.exe") prima di eseguirlo. Questo significa che sarebbe possibile rimpiazzare questo file con un altro eseguibile, in modo che venga eseguito alla pressione del tasto SHIFT per 5 volte. Per esempio si potrebbe sostituire il file con "cmd.exe", e il prompt dei comandi potrebbe essere richiamato così già alla schermata di login senza necessità di autenticarsi ed accedere al sistema.
Una volta lanciato il prompt dei comandi dalla schermata di login del sistema, un attacker potrebbe eseguire "explorer.exe", e guadagnare l'accesso completo al desktop sfruttando le credenziali dell'account NT Authority\system, e quindi l'accesso completo al sistema. Tramite il prompt dei comandi è anche possibile creare un nuovo utente ed aggiungerlo al gruppo degli amministratori (net command) e poi sfruttare questo account per eseguire l'accesso legittimo al sistema. Questo metodo "legacy backdoor" non affligge solo Vista ma anche Windows 2000 e XP. Applicando gli ultimi aggiornamenti per Windows l'utente può assicurarsi che il file "sethc.exe" venga protetto dalla funzione WFP (Windows file protection). In Windows Vista la sostituzione di file di sistema è ancora più complessa, in virtù della funzionalità "Trusted Installer". Tuttavia eseguendo 2 comandi è possibile evadere questo tipo di protezione:
Per eseguire questi comandi tuttavia, è necessario aver eseguito l'accesso come amministratori di sistema. Un attacker, secondo McAfee, potrebbe comunque trovare dei workaround per eseguire l'exploit di questa backdoor, "integrata di default" nel sistema operativo. Per sfruttare questa vulnerabilità un attacker ad ogni modo dovrà ottenere in qualche maniera accesso alla macchina attaccata. McAfee evidenzia che tra tutti i casi di accesso non autorizzato ai sistemi riportati dalle varie aziende l'anno scorso, circa il 27% sono stato eseguiti da impiegati interni. Questo testimonia l'importanza della problematica in particolare per gli ambienti aziendali. Un'altra caratteristica preoccupante di questa backdoor è che un attacker può usare la tecnica per bypassare il login su server terminal e workstation con la funzione desktop remoto attiva. Considerando che l'exploit non richiede l'installazione di nessuno strumento o software third-party nel sistema, gli amministratori potrebbero aver difficoltà a rilevare questo tipo di attacco al sistema. McAfee suggerisce a coloro che vogliono evitare questo tipo di exploit ed eliminare la backdoor di disattivare gli strumenti di accessibilità.
Microsoft ha rilasciato due giorni fa un aggiornamento per l'ultima versione di Windows Live OneCare, che va a correggere una serie di problemi di compatibilità con i software Microsoft Outlook e Outlook Express. La patch era inizialmente prevista al rilascio per la giornata di oggi, "Patch Day" atipico di Marzo, ma il colosso ha preferito distribuire l'update correttivo senza grande fanfara già l'11 Marzo scorso.
Vari "Microsoft watcher" avevano segnalato nei giorni scorsi un problema con Live OneCare che causava la cancellazione di messaggi di posta legittimi conservati nel programma di posta elettronica ad opera del software di sicurezza. Un portavoce di Microsoft Windows Live ha affermato: "Domenica 11 Marzo, il team Windows Live OneCare ha rilasciato un nuovo motore anti-malware che corregge il problema per cui OneCare metteva erroneamente in quarantena alcuni file Outlook .pst e Outlook Express .dbx quando venivano rilevati file infetti all'interno di essi. I clienti Windows Live OneCare i cui PC sono connessi a Internet riceveranno automaticamente il fix. Ci scusiamo con tutti i clienti per l'inconveniente causato".
Ad ogni modo coloro che intendono avere conferma di star usando la versione più recente del motore di scansione anti-malware possono eseguire questi passaggi manualmente: 1. Cliccare su "Modifica Impostazioni OneCare" nella finestra principale di OneCare. 2. Cliccare la scheda "Logging". 3. Cliccare il pulsante "Crea log di supporto". 4. Scorrere fino alla sezione Virus and Spyware Versions" e controllare la versione del AM Engine. Se il testo riporta la numerazione "2306" dopo 1.1 (come AM Engine: 1.1. 2306 .0), il motore è già aggiornato. Viceversa il motore necessita ancora di essere corretto. Per eseguire l'aggiornamento assicurarsi che il computer sia connesso alla rete e cliccare il link "Verifica aggiornamenti" nella finestra principale del programma. OneCare scaricherà ed installerà il fix.
Nel caso alcuni file Outlook .pst e Outlook Express .dbx siano già stati messi in quarantena prima dell'applicazione della patch, è possibile ripristinare i propri messaggi di posta con la seguente procedura: 1. Chiudere Outlook o Outlook Express. 2. Cliccare su "Modifica Impostazioni OneCare" nella finestra principale di OneCare. 3. Cliccare sulla scheda Viruses & Spyware. 3. Cliccare sul pulsante quarantena, selezionare i file pst o dbx in questione, e cliccare su Ripristina.
Ricordiamo che secondo quanto riporta Paul Thurrott su WindowsITPro, la fase di beta testing della nuova versione 2.0 di Windows Live OneCare, software di sicurezza Microsoft che offre un servizio ad abbonamento, automatico e auto-aggiornante, destinato alla cura del PC, partirà a breve, con la versione finale prevista al debutto nel terzo trimestre di quest'anno. OneCare Live 2.0 includerà tutte le funzioni di protezione offerte oggi da OneCare Live 1.5 e potrà essere usato in licenza su massimo 3 PC per household. OneCare Live 2.0 includerà funzioni di setup e sicurezza wireless ed un ottimizzatore dei tempi di boot del PC, offrirà report mensili sull'uso e la sicurezza della postazione, una nuova funzione di backup online dedicata ai file fotografici (a fronte di un canone addizionale), funzioni di monitoring e manutenzione di PC in rete, sharing di stampa e funzioni di tune-up automatizzate del PC. Thurrott ha anche pubblicato un link ad una survey su Microsoft Connect tramite la quale è possibile registrarsi nella waiting-list per la fase di testing di Windows Live OneCare 2.0 che partirà verso fine Aprile.
Nel frattempo OneCare Live 1.5 continua a ricevere critiche per quanto riguarda le performance di rilevamento di codici malware. Per maggior informazioni consultate le news dedicate.
In altri tempi non avrebbe destato il minimo interesse e sarebbe passato inosservato, ma il crescente problema delle truffe on-line e la sempre più alta attenzione da parte degli utenti di servizi bancari, ha trasformato una serie di coincidenze sfortunate in un allarme generale per un presunto tentativo di phishing attraverso il vero sito web di un importante istituto di credito tedesco.
I protagonisti della singolare vicenda sono i clienti della Sparkasse, o meglio alcuni dei suoi clienti, i quali hanno visto comparire nella pagina di riepilogo della transazione da effettuare un numero telefonico situato nella Repubblica dello Zimbabwe da chiamare attraverso il noto software di telefonia Voip Skype.
Convinti di essere di fronte ad un elaborato tentativo di phishing, non hanno esitato a contattare il servizio clienti, per segnalare la truffa in atto. Anche se con loro sorpresa hanno appresso di essere gli autori del problema, a causa della toolbar di Skype installata nei loro sistemi.
La cui funzione è quella di "riconosce i numeri di telefono e i nomi Skype sulle pagine web, in modo da poter effettuare chiamate con un solo clic attraverso Skype." Peccato che questa volta abbia identificato il numero sbagliato, trasformando un codice bancario in un apparente numero del sud africa. Intanto l’unica soluzione per il momento è disinstallare la toolbar.
Ecco come appariva la pagina transazione degli sfortunati utenti tedeschi, in questa immagine fornita dal blog di Symantec.
Phishing: Poste Italiane sempre nell’occhio del ciclone. Attenti alla truffe
E’ ormai un fiume in piena quello che ha colpito Poste Italiane, unico obiettivo del phishing nazionale, che da oltre 3 mesi continua a far piovere nelle caselle e-mail di migliaia di italiani false richieste il cui unico scopo è quello di far abboccare all’amo il maggior numero di malcapitati.
Nonostante i rapidi ed efficaci interventi di chiusura da parte delle autorità competenti e della stessa Poste Italiane, degli appositi siti clone realizzati dai phisher, ed ospitati abusivamente in server altrui o in nomi a dominio appositamente registrati, il fenomeno non sembra intenzionato a cessare.
Il mese di marzo ha infatti realizzato per il momento ben 41 tentativi di phishing, con una media di 3 attacchi al giorno. 9 i nomi a dominio appositamente registrati, con lo scopo di rassomigliare al vero sito del gruppo romano. Alcuni esempi: poste-italiane.org – posste.info – posteitaliane.be. L’hosting abusivo rimane invece il sistema preferito dei phisher, alternando i loro siti clone tra siti che offrono spazio web gratuito e vere e proprie incursioni telematiche in server di ignare aziende e non.
Sul fronte e-mail, ossia la falsa comunicazione che invita l’ignara vittima a visitare l’apposito sito trappola, non è stata registrata nessuna variazione, rimangano pertanto invariati i modelli mostrati lo scorso 5 marzo. Il livello di pericolo rimane tuttavia alto visto il numero di attacchi giornalieri, per cui occhi aperti!!
Sebbene il "patch break" di Marzo sia stato sicuramente ben accolto dai manager IT, ancora impegnati a testare la dozzina di fix che Microsoft ha rilasciato il mese precedente, ed occupati nel passaggio all'orario di Daylight Saving in US, il mancato rilascio di patch di sicurezza offrirà anche maggior tempo ai cybercriminali per realizzare e mettere in opera gli exploit delle vulnerabilità conosciute.
È interessante a questo punto dare uno sguardo alle vulnerabilità ancora presenti e prive di patch nei vari software del colosso di Redmond. Attualmente si contano quattro problemi di sicurezza ad alto rischio, due che preoccupano moderatamente, ed uno solo di lieve entità. Quattro falle affliggono Internet Explorer, una affligge Windows e due Office. La vulnerabilità scoperta da più tempo risale a Luglio 2006.
CVE-2007-1091 (Alto rischio). Classificata come "Internet Explorer onUnload flaw (1091)," la falla affligge gli utenti di Internet Explorer, versione 7 e precedenti, ed è stata scoperta a Febbraio scorso. Un exploit condotto con successo può causare un denial of service (crash) ed eventualmente permettere accesso da remoto.
CVE-2006-6696 (Alto rischio). Classificata come "Windows flaw in WINSRV.DLL (6696)," questa falla affligge gli utenti di Microsoft Windows 2000, XP, 2003, e Vista, ed è stata scoperta a Dicembre 2006. Un exploit condotto con successo può portare ad una condizione di "elevazioni di privilegi".
CVE-2007-0870 (Alto rischio). Classificata come "Microsoft Word 2000 flaw (0870)," questa falla affligge gli utenti di Microsoft Word 2000 ed è stata scoperta ad inizio Febbraio. Un exploit condotto con successo può portare all'esecuzione di codice da remoto.
CVE-2007-0913 (Alto rischio). Alto rischio. Classificata come "Unspecified PowerPoint flaw (0913)," questa affligge gli utenti di Microsoft PowerPoint ed è stata scoperto sempre a Febbraio. Un exploit condotto con successo può permettere un elevazione di privilegi.
CVE-2006-4219 (Medio rischio). Classificata come "Terminal Services COM object flaw in Internet Explorer 6 (4219)," questa falla interessa gli utenti di Internet Explorer 6 ed è stata scoperta ad Agosto 2006. Un exploit condotto con successo può causare un denial of service (crash) ed eventualmente permettere accesso da remoto.
CVE-2006-3360 (Medio rischio). Classificata come "COM object flaw in Internet Explorer 6 (3360)," questa falla affligge gli utenti di Internet Explorer 6 ed è stata scoperta ad Agosto 2006. Un exploit condotto con successo può causare un denial of service (crash) ed eventualmente permettere l'esecuzione di codice nocivo.
CVE-2006-2658 (Basso rischio). Classificata come "Internet Explorer 'FolderItem' Object Access Remote Denial of Service Vulnerability (265," questa falla affligge gli utenti di Internet Explorer 6 ed è stata scoperta a Luglio 2006. Anche in questo caso un exploit condotto con successo può causare un denial of service (crash) ed eventualmente permettere l'esecuzione di codice nocivo.
Microsoft sta indagando su nuove segnalazioni relative ad una vulnerabilità in Internet Explorer 7 che potrebbe aiutare i cybercriminali a lanciare attacchi di phishing contro gli utenti del suo nuovo browser. La falla di sicurezza interessa Internet Explorer 7 su Windows Vista e XP.
Internet Explorer 7.0 presenta una vulnerabilità di cross-site scripting in una delle sua risorse locali. Questo problema in combinazione con una falla di design nel browser consente attacchi di phishing.
Un attacker può infatti usare un messaggio di errore mostrato dall'ultima versione del browser del colosso per dirigere gli utenti del software su siti web nocivi che saranno mostrati con l'indirizzo di un sito sicuro, come per esempio quello di una banca online, lo ha segnalato Aviv Raff, un programmatore israeliano esperto di sicurezza, sul suo sito web. Raff ha anche pubblicato un Proof of Concept dell'exploit della vulnerabilità, nell'ambito del quale un messaggio di errore (navcancl.htm) dirige i visitatori verso un sito arbitrario.
La vulnerabilità risiede nel messaggio che viene mostrato da IE quando il caricamento di una pagina web viene bloccato. Un utente malintenzionato potrebbe manomettere questo messaggio per includere un link nocivo nella pagina di risorse locale navcancl.htm (modificando il link che solitamente consente di ritentare il caricamento dell'indirizzo web).
Raff spiega: "Quando un navigazione viene bloccata, l'URL della pagina specifica viene inviato alla risorse locale navcancl.htm dopo il segno #. navcancl.htm si occupa di generare uno script nel link 'Refresh the page' in modo da permettere il ricaricamento del sito originario al clic dell'utente. È Possibile iniettare uno script in questo link in modo da questo sia eseguito al clic dell'utente su 'Refresh the page'. Fortunatamente Internet Explorer ora si esegue la maggior parte delle risorse locali (compreso navcancl.htm) nella 'Internet Zone', quindi questa vulnerabilità non può essere sfruttata per condurre un a attacco di esecuzione di codice da remoto. Sfortunatamente tuttavia, esiste anche una bug di progettazione in IE7. Il browser infatti rimuove automaticamente la URL path della risorse locale e lascia solo l'URL fornito. Per esempio quando un utente visita 'res://ieframe.dll/navcancl.htm#http://www.site.com', IE7 mostrerà 'http://www.site.com' nella barra degli indirizzi".
Un portavoce di Microsoft commenta: "Microsoft non è a conoscenza di attacchi che stanno tentando di sfruttare la vulnerabilità segnalata … continueremo ad indagare per aiutare a fornire assistenza addizionale ai clienti se necessario".
Per condurre un attacco di phishing tramite questa falla, un attacker potrebbe creare un link modificato ad arte alla risorse locale navcancl.htm con uno script che mostri contenuti fasulli di un sito fidato (se.:. una banca, paypal, MySpace). Quando la vittima aprirà il link inviato dall'attacker, una pagina "Navigation Canceled" sarà mostrata nel browser. La vittima penserà ad un errore nel sito o a qualche altro tipo di problema di rete e tenterà di ricaricare la pagina. Una volta cliccato sul link 'Refresh the page', verrà mostrato il contenuto fasullo (come per esempio un pagina di login fake) e la vittima sarà indotta a pensare di star visitando un sito legittimo, dato che la barra degli indirizzi mostrerà l'URL corretto. In rete sono disponibili un Proof-of-Concept dell'exploit e un video dimostrativo.
Fino alla disponibilità di una patch per questo problema di sicurezza Raff suggerisce a tutti gli utenti del nuovo browser di non prestare molta attenzione alle pagine "Navigation Canceled", evitando di usare il link integrato in questa pagina di errore per ricaricare i siti web.
McAfee ha rilasciato i risultati di uno studio realizzato dalla divisione SiteAdvisor, che mira a creare una mappa globale dei luoghi più pericolosi e più sicuri in cui navigare ed effettuare ricerche sul World Wide Web. McAfee ha analizzato e classificato 265 domini top-level, come ad esempio il Giappone (.jp), la Italia (.it) e quello commerciale (.com), basandosi sui test di sicurezza Web contro spyware, spam, exploit e truffe.
Il report, "Mapping the Mal Web" ha rilevato sorprendentemente enormi differenze nella sicurezza da un dominio all'altro. Secondo questo ritratto a livello globale, ogni mese gli utenti Internet fanno oltre 550 milioni di click diretti verso siti Web pericolosi ed anche domini relativamente sicuri come la Germania (.de) o l'Inghilterra (.uk) comprendono milioni di click rischiosi. "Con questo report, McAfee ha creato una vera e propria guida ai domini di alto livello più pericolosi del Web," ha affermato Mark Maxwell, Senior Product Manager, McAfee Consumer and Small Business. "Quando si parla di sicurezza, appare chiaro che il Web non è molto differente dal mondo fisico. Ci sono quartieri sicuri e domini web sicuri, e ci sono luoghi dove è meglio non addentrarsi."
Il software McAfee SiteAdvisor segnala in maniera intuitiva i risultati delle ricerche con icone di colore rosso, giallo o verde a seconda del rischio connesso, basandosi su test proprietari di oltre il 95% del traffico Web. Le valutazioni di colore rosso sono assegnate ai siti pericolosi che hanno fallito uno o più test McAfee per adware, spyware, virus, exploit, spamming, eccesso di pop-up o forti legami con altri siti valutati in rosso. I siti valutati in verde hanno superato ogni tipo di test. Il semaforo giallo viene assegnato a quei siti che hanno superato i test di sicurezza di McAfee ma hanno ancora qualche aspetto fastidioso, come ad esempio troppi pop-up, imponendo una certa cautela di navigazione all'utente.
Principali risultati dello studio: L'incidenza di siti rossi e gialli varia notevolmente nei vari domini top-level, spaziando dal minimo di 0.1% della Finlandia (.fi) fino alla massimo di 10.1% per la piccola isola di Tokelau (.tk). In generale, il 4.1% dei siti valutati da SiteAdvisor sono classificati in rosso o in giallo; Alcune attività via Web, come la registrazione presso un sito o il download di un file, sono significativamente più rischiose quando effettuate presso determinati domini. Per esempio, dare un indirizzo e-mail ad un qualsiasi dominio .info risulta in uno sbalorditivo 73.2% di probabilità di ricevere spam via e-mail; I più pericolosi domini delle grandi nazioni sono la Romania (.ro, 5.6% siti pericolosi) e la Russia (.ru, 4.5%). Inoltre è molto probabile che questi domini contengano exploit o utilizzino tecniche di "drive-by-download";
.info è il dominio generico più pericoloso, con il 7.5% dei siti classificati come pericolosi, mentre .com è il secondo dominio generico maggiormente pericoloso, con il 5.5% dei siti classificati come pericolosi; Tre dei cinque domini meno pericolosi sono nei paesi scandinavi – Finlandia (0.10%), Norvegia (.no, 0.16%) e Svezia (.se, 0.21%). Islanda (.is, 0.19%) e Irlanda (.ie, 0.11%); .gov è l'unico dominio spesso testato da SiteAdvisor nel quale non sono stati riscontrati siti pericolosi. .gov è disponibile solo per gli enti governativi degli Stati Uniti; Anche se il dominio .com è solo in quinto nella classifica dei domini più pericolosi, la sua grande popolarità amplifica notevolmente l'impatto sul rischio nella ricerca e nella navigazione. L'86.6% di click su siti catalogati come rossi o gialli approda su siti .com; Anche se Paesi Bassi (.nl), Germania (.de) e Inghilterra (.uk) sono domini di paese relativamente sicuri, classificandosi rispettivamente al 31esimo, 33esimo e 51esimo tra i più pericolosi, ognuno di questi domini conta mensilmente più di 2 milioni di click a siti rossi e gialli. Il Giappone (.jp) è classificato al 57esimo posto tra i più rischiosi e i siti rossi e gialli con dominio.jp ricevono circa 1.6 milioni di click al mese.
Il costo di registrazione basso o nullo e la minima svista nell'inserimento del dominio sembrano causare almeno alcuni dei più elevati livelli di rischio riscontrati per alcuni domini di alto livello. Per esempio, una ragione per cui il dominio .biz può essere favorito dagli spammer sta nel fatto che i domini .biz sono disponibili per utilizzo immediato, contrariamente agli altri per cui è necessario attendere in media 24 ore – un vantaggio cruciale per sconfiggere servizi anti-spam e blacklist.
Pirateria: dalla Romania l’ultima minaccia per eBay
Si tratta di uno scontro tra Davie e Golia quello intrapreso da eBay contro un pirata informatico rumeno soprannominato Vladuz, il quale in più occasioni si è divertito a sbeffeggiare i sistemi di sicurezza dal colosso mondiale delle aste on-line, il quale in netto "affanno" è stato costretto a rivolgersi all’FBI per cercare di porre fine al fastidioso problema.
C'è un pericolo che sta minacciando eBay: è conosciuto come Vladuz e sembra provenire dalla Romania. La minaccia è rappresentata da un cracker.
Oltre due mesi fa, l'attaccante conosciuto con il nick di Vladuz aveva bucato alcuni server appartenenti ad eBay. Da quel momento in poi, il cracker ha continuato a prendere di mira eBay e a deridere i suoi sistemi di sicurezza.
Come riportato da The Register, diversi attacchi possono essere collegati a Vladuz, il quale alla fine del mese scorso ha eseguito altri due attacchi contro il popolare sito web di aste online.
La tecnica di Vladuz per dimostrare che l'attacco fosse riuscito, era quella di postare delle informazioni sul forum del servizio clienti usando lo stesso sfondo rosa utilizzato dagli impiegati di eBay: in risposta ad un post dove Hani Durzy, portavoce di eBay, aveva dichiarato che Vladuz non era mai entrato nela rete interna di eBay, l'attaccante aveva risposto con : “Durzy... lies all the time” (“Durzy...mente tutte le volte”). E successivamente aveva replicato ad un altro post in riferimento ai suoi ritardi nelle risposte: “I was very busy. Being hunted by eBay doesnt' leave you much free time”. (“Ero molto occupato. Essere ricercato da eBay non ti lascia molto tempo libero”).
Nonostante il fatto che, secondo alcuni rappresentati dell'azienda, gli attacchi non abbiano colpito la rete dove risiedono i dati sensibili dei clienti, la loro gravità e frequenza ha richiesto un'immediata controreazione da parte di eBay, che si è rivolta niente meno che all' FBI per individuare l'attaccante. L'indagine porta in Romania, dove si suppone risieda Vladuz.
Catherine England, portavoce di eBay, non darebbe troppa importanza a questo attaccante, che viene considerato solo uno tra i centinaia di fisher che ogni giorno provano ad attaccare l'azienda.
Il problema reale di questa questione non è il singolo attacco eseguito da Vladuz, ma la quantità di aste fraudolente che sembrano accompagnare le sue attività. Infatti, dalla fine di Gennaio, è stato registrato un aumento nel numero di aste aperte che nel giro di un'ora venivano rimosse. Quindi, si sospetta che Vladuz ed i suoi complici siano i responsabili di tali azioni.
Secondo le statistiche di eBay, c'è una differenza notevole tra l'andamento delle aste PRIMA e DOPO l'entrata in scena di Vladuz. Si suppone che questa volatilità possa essere imputabile ad una sorta di “gioco del gatto che rincorre il topo” tra i cyber criminali ed il team di sicurezza di eBay: appena il team di eBay rimuove le aste fraudolente c'è sempre qualcuno che le riapre.
In passato eBay incolpava gli utenti per la loro disattenzione nel cadere nelle trappole dei fisher, ma adesso l'azienda ha trovato le prove del coinvolgimento di Vladuz & Co in molti di questi casi.
Vladuz afferma anche di essere l'autore di molti tools e software, come un'estensione di Firefox che inserisce automaticamente i codici di verifica (rappresentati in un'immagine - captcha) quando vengono fatte alcune transazione su eBay. [Tratto da Zone-H.it]
ruffe 899, 29 arresti per l’operazione "Hot Line", alla Telecom danni per 1 milone di euro
Maxi operazione anti-frode telematica in Abruzzo. La Squadra Mobile della Questura di Ascoli e di Pescara con il coordinamento del servizio centrale operativo della polizia di Stato di Roma hanno eseguito un blitz questa mattina alle ore 5:00 che ha portato all’arresto di ben 29 persone, raggiunte da un provvedimento di custodia cautelare.
Diverse perquisizioni, 150 agenti impiegati, e circa 34 indagati nell’ambito di un’operazione denominata "hot-line". Secondo gli inquirenti gli indagati avrebbero realizzato un sodalizio criminale finalizzato a truffare la Telecom tramite le numerazioni 899.
Secondo le ricostruzioni degli inquirenti, gli indagati avrebbero partecipato alle divisioni dei proventi dei costi di alcuni centri servizi intestatari di numerazioni ad alta tariffazione che iniziavano con prefisso 899 attraverso metodi fraudolenti.
In sostanza gli accoliti, come è stato illustrato nel corso di una conferenza stampa tenuta stamane dagli inquirenti «reperivano abitazioni in cui venivano attivate utenze telefoniche Isdn per generare numerose telefonate verso le utenze a tariffazione speciale; il gruppo si serviva anche di 'telefonisti' il cui compito era appunto quello di fare materialmente le telefonate. Il loro compenso veniva calcolato in base al numero effettivo di chiamate fatte, di solito 50 centesimi l'una»
Ma qual’era il volume d’affari complessivo della gang? Poiché la tariffa per le utenze può arrivare sino a 15 euro al minuto, e poiché la Telecom per queste utenze versa ai gestori dei centri servizi una somma oscillante tra il 60% e l’80% si parla di circa un milione di euro di danno per l’ex monopolista della telefonia.
«Le telefonate venivano concentrate nel fine settimana o nei giorni festivi» è stato spiegato in conferenza stampa «quando l'ufficio frodi della Telecom non era in grado di rilevare il traffico anomalo, consentendo, quindi, agli indagati di sparire subito dopo»
L'operazione 'Hot line', ha visto impegnati circa 150 agenti in provincia di Ascoli, Roma, Napoli, Palermo, Perugia, Bari, Pescara, Chieti, Genova, L'Aquila, Trapani, Arezzo e Teramo.
Secondo le prime ricostruzioni le utenze dalle quali partivano le chiamate fraudolente agli 899 sembrerebbero essere state realizzate ad hoc dai malfattori, ma non si escludono appropriazioni indebite di utenze di ignari cittadini al fine di perpetrare gli illeciti propositi di questa che, come direbbe Beppe Grillo, pare una vera e propria associazione per delinquere di stampo "telefonico".
Alcuni giorni fa Google ha annunciato sul suo blog ufficiale le acquisizioni di Gapminder Trendalyzer, software dedicato alle animazioni statistiche, e di AdScape Media, azienda di advertising "in-game".
Marissa Mayer, VP Search Products & User Experience di Google, scrive sul blog del colosso relativamente all'acquisizione di Trendalyzer: "Mark Twain ha detto, 'i fatti sono testardi ma le statistiche sono più flessibili'. Siamo abbastanza sicuri che la definizione di 'flessibile' di Twain sia ben diversa dalla nostra. Creare flessibilità nei nostri prodotti di ricerca, e-mail e altri, è un fattore estremamente importante nel nostro processo di organizzazione delle informazioni del mondo, ed è semplicemente naturale allo stesso tempo continuare a cercare modi di usare queste statistiche in maniera più 'flessibile'". Sul server di Google è disponibile una pagina di test "Gapminder World" che mostra le potenzialità d Trendalyzer.
Trendalyzer genera grafici dinamici ed altri originali effetti per la presentazione visuale di fatti, dati e statistiche permettendo di valutare agevolmente l'evoluzione dei vari fenomeni. Mayer commenta: "In poche parole, Trendalyzer vede i dati di development, come la distribuzione di introiti regionali o le tendenze globali della sanità, letteralmente come un mondo di opportunità. Come Google, Gapminder si Sforza di rendere le informazioni più utili e Trendalyzer migliorerà qualsiasi funzione o applicazione nella quale i dati posso essere meglio visualizzati … Raccogliere dati e creare statistiche utili è un lavoro arduo che spesso non viene premiato. Speriamo di poter offrire le risorse necessarie per portare questo lavoro al suo audience più ampio e meritato migliorando ed espandendo Trendalyzer rendendolo disponibile gratuitamente a tutti gli utenti capaci di pensare aldilà delle assi X e Y".
Da Gapminder.org: "Gapminder e Google condividono il medesimo entusiasmo per le tecnologie che rendono i dati più facilmente accessibili e comprensibili al mondo. Il software Trendalyzer di Gapminder svela la bellezza delle statistiche convertendo noiosi numeri in animazioni interattive godibili. Crediamo che l'acquisizione di Trendalyzer da parte di Google accelererà il raggiungimento di questo nobile obiettivo".
In un secondo blog-post Google ha annunciato l'acquisizione di AdScape Media, azienda che offre annunci pubblicitari non-intrusivi all'interno dei titoli videoludici. Questo accordo era già stato anticipato da vari rumor a Gennaio scorso, ed ora è ufficialmente confermato. Da Google Blog: "[Oggi] i giochi possono essere giocati ovunque e in qualsiasi posto. In questo mondo 'mobile', i giochi si sono evoluti per diventare parte integrante delle nostre vite. Al contrario della televisione, i gamer possono realizzare giochi autonomamente, personalizzando la propria esperienza in veri modi e noi li stiamo aiutando a farlo alla grande. Ma ovviamente sviluppare questi giochi sofisticati può essere molto costoso. Tornando agli anni ottanta il costo di produzione di un singolo titolo era di circa $100 mila dollari. Oggi un gioco può costare anche $25 milioni in produzione. La buona notizia è che ci sono alcuno gamer molto appassionati che hanno trovato nuovi soluzioni interessanti per introdurre pubblicità non intrusiva e mirata per rendere i gaming accessibile ed economico per tutti".
Ricordiamo che ad inizio anno Microsoft ha acquisito Massive Inc., un'altra importante azienda di video game advertisement per la cifra di $200 milioni. Google non ha ancora svelato i termini finanziari delle due acquisizioni annunciate 3 giorni fa.
La maggior parte degli attacchi informatici ha origine negli Stati Uniti, questo emerge da uno studio condotto dall'azienda di sicurezza Symantec, e reso pubblico nella giornata di oggi. Un altro dato degno di nota è che i cybercriminali stanno diventando sempre più organizzati nel creare veri e propri "crime rings" sempre più efficaci per condurre gli attacchi. Il report è focalizzato sugli attacchi verificatisi durante l'ultima metà del 2006 su più di 120 milioni di computer con installato il software antivirus di Symantec.
Il report di Symantec, Internet Security Threat Report XI, che rientra in un programma di ricerca semestrale, offre una finestra sul mondo dei codici nocivi, attacchi di rete, vulnerabilità, phishing e spam. Con un panorama di minacce dominato da furto di dati, leakage di dati, frodi, e attività criminale coordinata, il team di Symantec ha voluto dare importanza alla ricerca non solo ai tipi ed al volume degli attacchi, ma anche al come, dove e perché questi avvengono. Per la prima volta in questo report, Symantec ha voluto discutere non solo le cause prime di questo tipo di attività ma anche dove queste si originano ed il loro valore reale nella economia underground. La competizione sul mercato underground infatti sta portando ad una discesa dei prezzi delle informazioni su carte di credito "verificate", che oggi costano tra i $1 e $6 USD, mentre i dati "full identity" possono essere acquistati a $14.
Secondo Symantec il 31 percento dell'attività nociva ha origine all'interno dei confini statunitensi, una percentuale più alta rispetto a quella di tutti gli altri paesi. Al secondo posto di questa particolare classifica si piazza la Cina (10%), mentre è la Germania ad occupare il terzo posto con il 7% degli attacchi. Tra gli altri fattori emersi dallo studio segnaliamo l'aumento di spam e frodi online. Il 59% del traffico e-mail durante la seconda metà del 2006 era di spam, e sono stati identificati ben 166,248 messaggi unici di phishing. L'azienda di sicurezza sfrutta più di 2 milioni di account e-mail "civetta" in modo da attrarre messaggi da tutto il mondo e identificare attività di spam e phishing.
Dal Blog del Symantec Security Response: "Abbiamo visto un graduale processo in cui minacce combinate si sono trasformate da un singolo attacco mirato a milioni di persone ad un numero più alto di attacchi individuali mirati a singoli o a piccoli gruppi di persone … oggi un grande numero di queste minacce disparate stanno lavorando insieme con un gruppo relativamente ridotto di singoli e organizzazioni per raccogliere profitti. Quando diciamo profitti, non stiamo paralando di centinaia o migliaia di dollari, ma di milioni. Il 2006 Internet Fraud Crime Report ha stimato che negli Stati Uniti un po' più di $198,000,000 sono stati persi a causa di frodi durante tutto il 2006. Se si prendono in considerazione altre grandi economie mondiali, si parla quindi di miliardi di dollari … A partire dal 2005, il numero totale di minacce è aumentato di circa il 300%. Solo durante il 2006, il numero globale di minacce è aumentato del 64%. I codici Trojan sono aumentati di 22 punti percentuali, gli utenti home continuano a essere il settore più colpito con il 93% di tutti gli attacchi, phishing e spam continuano ad aumentare, il numero di computer bot-infected nel mondo ha superato quota sei milioni".
Giorni fa Microsoft ha risposto ufficialmente, tramite i blog dell'Anti-Malware Engineering Team e del Windows Live OneCare Team, alle critiche ricevute per Windows Live OneCare che secondo alcuni recenti test offre scarse performance di rilevamento dei codici malware.
Come riportato precedentemente il software non ha infatti passato il "virus test" condotto dalla organizzazione "AV Comparatives". Live OneCare è stato l'unico programma antivirus tra quelli testati da AV Comparatives a non aver superato il test. Secondo i risultati, pubblicati sul sito web dell'azienda, OneCare è riuscito a rilevare l'82.4% dei 500.000 virus campione usati, un dato largamente inferiore a quelli ottenuti dagli altri concorrenti. Secondo AV Comparatives, il punto debole di Live OneCate è il rilevamento di virus polimorfici, che modificano la loro configurazione per avere maggiori opportunità di eludere lo scan degli antivirus, e dei cosiddetti "script malware" (solo il 67.6%). Inoltre secondo i risultati degli ultimi test condotti dalla società di analisi di Virus Bulletin a Febbraio su 15 prodotti antivirus, è emerso che Live OneCare ha fallito la certificazione "VB100", che indica capacità di rilevamento del 100% su un gruppo selezionato di codici nocivi comuni "in the wild".
Dal Blog ufficiale del Windows Live OneCare Team: "OneCare è stato testato da numerose organizzazioni in tutto il mondo ed è stato certificato come software di protezione antivirus da due importanti autorità di certificazione indipendenti del settore: : International Computer Security Association (ICSA) Labs e West Coast Labs. Questi labs sono ampiamente riconosciuti come autorità principali nell'ambito dell'industria della ricerca, dell'intelligence e del certification testing di prodotti anti-malware. Entrambe le organizzazioni, ICSA e West Coast Labs, sfruttano metodologie di testing che riflettono minacce malware "out in the wild" e riteniamo che questi test rappresentino un importante giudizio sulle performance di OneCare per le minacce "real world". A parte queste particolari certificazioni, stiamo anche analizzando accuratamente la metodologia ed i risultati di altri recenti test realizzati da altre organizzazioni nel mondo, cercando di carpire qualsiasi suggerimento che possa aiutarci a migliorare OneCare consentendoci di garantire il livello più efficiente di protezione e servizio possibile per i nostri clienti". Il team del colosso conclude il suo commento evidenziando che OnceCare è stato programmato come un soluzione di sicurezza e cura del PC che adotta un approccio olistico e multi-livello (anti-virus, antispyware, firewall, backup e ripristino, anti-phishing), ed in questo senso l'azienda continuerà a impegnarsi per l'ottimizzazione di tutti i vari aspetti del programma.
Dal blog ufficiale del Anti-Malware Engineering Team: "Identificare i problemi importanti ed assicurarci di risolverli prima che diventino problematiche reali per gli utenti; questo è il motivo per il quale MSRR si concentra sull'aggiunta di capacità di rilevamento per i malware più diffusi e attivi in the wild, e facciamo questo combinando il nostro ampio ventaglio di dati con l'esperienza di ricercatori malware e l'uso di tecniche di analisi, in modo da rispondere rapidamente a quelle minacce che avranno un impatto più grave sui nostri clienti … Continueremo a lavorare con gli enti di certificazione per conservare le certificazioni già ottenute, e per guadagnare il VB100 Award ogni volta che saremo testati da Virus Bulletin. Abbiamo mancato il VB100 durante l'ultimo test perchè ci è sfuggito un solo virus. Di conseguenza abbiamo adottato nuove metodologie per rimediare a questo. Il nuovo metodo è quello guardare più accuratamente alle famiglie di virus che sono state isolate "in the wild" (ITW), in diffusione tra gli utenti ... Vogliamo essere in grado di rilevare questi pericoli con le definizioni che sviluppiamo già oggi, e non dopo che la minaccia venga rilasciata pubblicamente … Quindi mentre ci concentriamo su ciò che è realmente importante (i malware diffusi ITW), aumenteremo anche questi altri numeri nei risultati dei test di rilevamento. Vedrete i nostri risultati crescere gradualmente e con costanza fino a che non saranno alla pari con quelli delle altre principali aziende del settore".
Come previsto, Mozilla ha rilasciato il terzo aggiornamento per la nuova versione del suo browser open-source, Firefox 2.0.0.3, ed il corrispondente aggiornamento di stabilità e sicurezza Firefox 1.5.0.11 per il suo prodotto di "prima generazione". Da notare che per questo aggiornamento non sarà rilasciata una nuova versione corrispondente di Thunderbird, il client e-mail di Mozilla. La nuova release Firefox 2.0.0.3 è disponibile al download sul sito ufficiale (getfirefox.com), in tutte le 41 localizzazioni (italiano compreso) per Windows, Mac, e Linux.
Firefox 1.5.0.11 è disponibile al download separatamente. Firefox 1.5.0.x sarà supportato con aggiornamenti di stabilità e sicurezza fino al 24 Aprile 2007. Mozilla raccomanda a tutti gli utenti del browser di eseguire l'upgrade al nuovo Firefox 2 (http://www.getfirefox.com). A breve, Mozilla offrirà anche agli utenti Firefox 1.5.x il "major upgrade" automatico alla versione 2.0.x del browser. Attualmente infatti gli utenti Firefox 1.5.x che vogliono eseguire l'upgrade devono necessariamente scaricare ed installare manualmente Firefox 2.0.x.
Già due settimane fa, Mozilla aveva annunciato l'imminente rilascio degli aggiornamenti 2.0.0.3/1.5.0.11 per Firefox, che avrebbero corretto un serie di "regressioni" importanti introdotte nel precedente aggiornamento di stabilità e sicurezza 2.0.0.2/1.5.0.10, reso disponibile a fine Febbraio.
Tre giorni fa Mozilla aveva distribuito le versioni RC1 delle release tramite la funzione di aggiornamento automatico del browser ad un gruppo selezionato di beta tester. L'annuncio di questo nuovo approccio di testing è stato annunciato su Mozilla Developer Center.
Le nuove release apportano miglioramenti in stabilità e compatibilità, con la correzione di alcuni bug introdotti con le precedenti release, tra cui problemi di autenticazione via certificato, con l'autofilling delle password, e un bug in Backbase, un framework di sviluppo Ajax-based. Gli aggiornamenti 2.0.0.3/1.5.0.11 includono anche la correzione per una vulnerabilità di sicurezza che affligge le comunicazioni FTP (MFSA 2007-11 FTP PASV port-scanning). Gli utenti di Firefox 2 e della versioni 1.5.x del browser riceveranno automaticamente gli aggiornamenti nelle prossime 24/48 ore. Ricordiamo che è possibile comunque cercare manualmente gli update attraverso l'apposito comando (Menu Help – Controllo l'esistenza di aggiornamenti).
Alla fine la FIMI ammette: scaricare non è reato, condividere sì!
Alla fine, la FIMI si contraddice. Contravvenendo ad ogni norma di cautela, forse per via di un refuso redazionale, lascia intendere che, sì, i giornali hanno sbagliato, ma…limitarsi a scaricare effettivamente non è più reato. Forse lo era prima, ma ora non più.
La cosa mette in imbarazzo non poco anche noi che, all’indomani della sentenza della cassazione, avevamo messo in guardia i nostri lettori invitandoli ad usare cautela: scaricare è ancora reato.
Invece la FIMI, Federazione Industria Musicale Italiana aderente a Confindustria, a margine del comunicato stampa con il quale aveva reso nota l’ultima ondata di denunce della Gdf in tema di diritti d’autore, ha dichiarato l’indichiarabile. «Recentemente gli organi di stampa avevano erroneamente diffuso la notizia che scaricare e condividere musica su Internet senza scopo di lucro non desse origine a violazioni penali» afferma ad un certo punto il comunicato della FIMI, per poi così proseguire «chi scarica semplicemente rischia una sanzione amministrativa, quella prevista dall‘art. 174-ter l. 633/41».
In sostanza, tiene a precisare il FIMI, ciò che è più grave non è tanto scaricare ma condividere. Infatti, mentre il mero downloading prevede la sanzione amministrativa di euro 154 (che diventano 1.032,00 in caso di recidiva o di fatti quantitativamente rilevanti) oltre confisca del materiale tecnologico utilizzato e pubblicazione del nome in un quotidiano a diffusione nazionale; la condivisione assumi aspetti sanzionatori di natura prettamente penale.
A tal proposito occorre distinguere, precisa il FIMI, «tra chi lo fa a fini di lucro e chi lo fa per profitto». Nel primo caso, si ricade nelle ipotesi dell‘art. 171-ter, comma 2, lett. a-bis) della legge n. 633/41 (che punisce i trasgressori con la reclusione da uno a quattro anni congiuntamente ad una multa da 2.582 a 15.493 euro); nel secondo caso – ovvero laddove manchi il fine di lucro e quindi vi sia solo il profitto –va applicata la sanzione prevista dall‘art. 171, comma 1, lett. a-bis) (che punisce i trasgressori con la pena non detentiva della multa da euro 51 ad euro 2.065).
Quello che il FIMI non dice –e da qui il rischio di un fraintendimento che poteva certamente essere evitato- è che generalmente quasi tutti i sistemi di file sharing consentono il downloading solo a condizione che l’utente effettui l’uploading di file di sua provenienza, o che, comunque, condivida risorse con gli altri utenti della piattaforma.
Pertanto l’ipotesi del solo downloading, non penalmente rilevante, diventa una mera ipotesi di scuola. Questa la seconda parte del Comunicato del FIMI «Con questa operazione sale ad oltre 170 il numero di soggetti denunciati per condivisione illegale di brani musicali in rete in Italia dal 2005, in violazione delle norme i vigore che puniscono la diffusione di opere protette dal diritto d’autore.
Recentemente gli organi di stampa avevano erroneamente diffuso la notizia che scaricare e condividere musica su Internet senza scopo di lucro non desse origine a violazioni penali. In occasione di questa nuova operazione contro la il file sharing illegale, FIMI vuole ribadire quali sono i comportamenti oggetto di rilevanza penale, a parte i profili di responsabilità civile, sempre tutelati, e confermare che le norme in vigore colpiscono, con diversi livelli di intensità,sia chi scarica sia chi condivide.
Chi scarica semplicemente rischia una sanzione amministrativa, quella prevista dall‘art. 174-ter l. 633/41. Colui che mette in condivisione opere protette occorre, invece, distinguere tra chi lo fa a fini di lucro e chi lo fa per profitto Nel primo caso, si ricade nelle ipotesi dell‘art. 171-ter, comma 2, lett. a-bis) l. 633/41; con sanzioni molti pesanti.. Chi condivide senza una contropartita economica rimane soggetto ad una sanzione penale che è quella dell‘art. 171, comma 1, lett. a-bis).»
eport Symantec: aumentano le vulnerabilità sui pc, calano gli attacchi BOT ai server
L'undicesima edizione dell'Internet Security Threat Report pubblicata da Symantec Corp ha impietosamente registrato i dati relativi al secondo semestre del 2006. Nel periodo oggetto della rilevazione Symantec ha identificato in tutto il mondo oltre 6 milioni di computer infettati da programmi BOT, con un incremento del 29% rispetto al periodo precedente.
Per contro, il numero dei server di comando e controllo delle reti BOT diminuito del 25%, a conferma della tendenza al consolidamento e all'espansione di questo tipo di infrastrutture da parte dei loro proprietari. I Trojan horse hanno costituito il 45% della Top 50 del codice maligno identificato da Symantec nel periodo in esame, con un incremento del 23% rispetto alla prima meta' dell'anno.
A conferma dell'ipotesi effettuata da Symantec nell'edizione precedente dello studio Internet Security Threat Report, questo incremento significativo accentua la tendenza da parte degli hacker ad abbandonare i worm mass-mailing a favore dei Trojan horse.
Nella seconda meta' del 2006 Symantec ha individuato e documentato 12 vulnerabilita', con un drastico incremento rispetto alla prima meta' dell'anno 2006, quando era stata identificata soltanto una vulnerabilita' di questo tipo.
Secondo il report di Symantec vi sarebbero «server sommersi» che «vengono utilizzati frequentemente da singoli e organizzazioni criminali per contrabbandare dati rubati». Si tratterebbe di carte di identita', carte di credito, bancomat, codici PIN (Personal Identification Number), account utente online ed elenchi di indirizzi e-mail.
Il 54 % dei furti di identità digitale e di informazioni riservate digitalizzate avviene, però, con metodi “classici”, quali lo smarrimento o il furto di un computer o di CD ROM o chiavi USB. Per la prima volta nella storia di questo report, Symantec ha stilato una vera e propria classifica dei Paesi “canaglia” in tema di attività illecite consumate in maniera digitale e gli Stati Uniti hanno generato la porzione piu' consistente delle attivita' pericolose con il 31% del totale, seguiti dalla Cina con il 10% e dalla Germania con il 7%.
Una presunta vulnerabilità di sicurezza in Windows Mail, il nuovo client di posta gratuito integrato in Windows Vista, potrebbe consentire ad eventuali attacker di eseguire comandi in maniera silente sui computer che eseguono il nuovo sistema operativo. Un utente malintenzionato potrebbe infatti sfruttare un messaggio di posta elettronica inserendo nel corpo della e-mail un particolare link malizioso che, se cliccato, è in grado di eseguire un programma presente sul PC senza generare alcun avviso o notifica per l'utente.
Si tratta di una vulnerabilità di "client-side file-execution" dovuta ad un bug di progettazione presente nel codice di Windows Mail. Il problema è stato segnalato e descritto sulla popolare mailing-list di sicurezza "Full Disclosure".
Secondo quanto riporta SecurityFocus di Symantec in un advisory dedicato, questa vulnerabilità può essere sfruttata solo per eseguire programmi o script che risiedono nativamente su un computer e che inoltre presentano una cartella con lo stesso nome. A quanto pare Symantec non è ancora riuscita a riprodurre la vulnerabilità usando una installazione predefinita di Vista. L'azienda continuerà comunque ad analizzare il problema più approfonditamente.
Microsoft sta già indagando sul problema, afferma un portavoce del colosso: "Come pratica raccomandata, gli utenti dovrebbe sempre prestare estrema cautela quando cliccano su link presenti in messaggi di posta inattesi provenienti da mittenti conosciuti e sconosciuti".
Secondo il portavoce del colosso Microsoft non è a conoscenza di attacchi che stanno tentando attualmente di sfruttare la nuova vulnerabilità segnalata in Windows Mail. Completato il processo di indagine, Microsoft rilascerà un aggiornamento di protezione e fornirà ulteriori assistenza a riguardo, ha aggiunto il portavoce del colosso.
Dave Marcus, security research e communications manager di McAfee, commenta: "In base a che cosa questo link dice di fare a Windows Mail, il rischio per gli utenti di Vista può essere anche significativo. Teoricamente gli attacker possono fare un sacco di cose; sono in grado di passare qualsiasi comando tramite questo exploit". Ad ogni modo bisogna evidenziare che il rischio risulta attenuato dal fatto che Vista non è ancora un sistema molto diffuso, aggiunge Marcus. "Non credo che si vedranno molti tentativi idi attacco semplicemente perché Vista è molto poco diffuso nelle installazioni PC … Credo che Microsoft prenderà comunque il problema seriamente e correggerà la falla nella prossima tornata di patch".
Ricordiamo che Vista ha debuttato sul mercato retail a fine Gennaio. A partire da quel momento Microsoft ha rilasciato un unico aggiornamento di protezione [MS07-010] che ha interessato il nuovo sistema operativo. In quel caso si trattava di una vulnerabilità critica isolata nel codice del motore di scanning anti-malware (Microsoft Malware Protection Engine)integrato in vari prodotti di sicurezza dell'azienda, tra cui Windows Defender, strumento anti-spyware integrato in Vista.
L’atmosfera del phishing nazionale è ormai bollente e a gettare ulteriore benzina sul fuoco ci pensa una nuova e-mail rilevata da Anti-Phishing Italia poche ore fa (16:00) ed indirizzata verso i correntisti dell’istituto di credito Banca Sella.
Il quale anche se non nuovo ai tentativi di phishing, sebbene l’ultimo caso risale all’ottobre del 2005, torna tra gli obiettivi dei phisher, il tutto mentre continuano a piovere comunicazioni fasulle contro i correntisti di Poste Italiane e Banca Intesa.
L’e-mail utilizzata (il testo risulta di difficile lettura e comprensione in quanto per l’ennesima volta frutto di software di traduzione automatici. Anche la formattazione denota, per nostra fortuna, una scarsa cura nella realizzazione dell’e-mail truffa.)
Il sito clone ospitato fisicamente in Olanda, risulta ospitato abusivamente sfruttando una falla presente nel sistema CMS del sito web colpito.
Piovono critiche su eBay: sotto accusa le sue password
Se siete tra quelli che utilizzano come password il nome utente, bene questa storia è per voi. Perchè potreste tranquillamente essere uno dei 90 utenti di eBay colpiti da un 21enne australiano in grado di sfruttare l’ignoranza informatica di molti e dello stesso colosso delle aste on-line per il proprio tornaconto personale.
Il suo nome è Dov Tenenboim, residente in un sobborgo di Sidney, il quale adesso rischia 11 anni di reclusione ed una multa di 9.900dollari, per aver pubblicato false aste on-line tramite eBay, nelle quali l’oggetto da aggiudicarsi era un inesistente iPod. Il tutto grazie a quegli utenti, in molti casi anche PowerSeller, la cui password d’accesso al sistema era uguale al proprio username.
Il giovane infatti una volta ritrovata la chiave segreta sfruttava il nome di rispettati venditori per pubblicare le proprie aste fasulle, il tutto all’insapute delle malcapitate vittime e degli acquirenti che convinti di fare affari sicuri, si ritrovavano con un “pugno di mosce” in mano mentre i propri soldi erano ormai nelle mani del ventunenne australiano.
Il quale tuttavia non si è fermato. Visto che in molti casi le password recuperate provenivano anche da caselle di posta elettronica violate, all’interno delle quali si celavano anche credenziali d’accesso a conti di banking on-line. Come quelli della Commonwealth Bank, all’interno della quale il giovane pirata ha effettuato una serie di operazione atte ad arricchire il proprio patrimonio.
Adesso mentre Dov Tenenboim aspetta di conoscere il proprio futuro, contro eBay si scagliano una serie di pesanti accuse, visto che per molti, utenti compresi, come riporta oggi The Register.co.uk, la colpa è anche del colosso mondiale delle aste on-line poco attento alla sicurezza dei suoi clienti.
eBay ,infatti, a differenza di altri servizi quali Gmail, consentirebbe ad un utente con username james34231 di utilizzare una password del tipo james34, assolutamente poco e facilmente trovabile anche dal pirata informatico più inesperto.
Un paradosso se si pensa che il fratello minore PayPal adotta, anche se a pagamento e per ora in alcuni paesi, generatori automatici di password (One-Time Password token), per il momento solo annunciati dal grande e sempre più inaffidabile eBay.
Un problema isolato nel modo in cui i PC Windows ottengono le impostazioni di rete potrebbe permettere ad eventuali attacker di eseguire l'hijack del traffico in linea, lo hanno segnalato alcuni ricercatori di sicurezza Sabato scorso. Il problema risiede in un bug di progettazione nel sistema usato da Windows per ottenere le impostazioni dei proxy, hanno affermato i ricercatori di IOActive durante la conferenza dedicata all'hacking ShmooCon. Per questo motivo un attacker è in grado di accedere alla rete di una azienda, per esempio, inserendo un proxy nocivo e visualizzando così tutto il traffico generato.
Chris Paget, director per research e development presso IOActive, ha affermato durante una intervista successiva alla presentazione: "Il risultato di questo è che posso diventare un vostro proxy senza che voi ve ne accorgiate … Posso inserire l'equivalente di un segnale di deviazione sul vostro network e re-dirigere tutto il traffico". Questo è possibile perché Internet Explorer su Windows cerca in maniera predefinita la presenza di un server proxy usando il Web Proxy Autodiscovery Protocol, o WPAD. È emerso che un attacker può facilmente registrare un server proxy su una rete usando il Windows Internet Naming Service, o WINS, ed altri servizi di rete come il Domain Name System, o DNS. "Quando IE si avvia, eseguirà una richiesta alla rete per trovare il server proxy relativo".
Microsoft ha confermato l'esistenza della problematica ed ha pubblicato un articolo di supporto tecnico sul sito TechNet (KB934864): "Un client software configurato per usare Web Proxy Automatic Discovery (WPAD) deve essere in grado di contattare un host che fornisce un file di configurazione automatica proxy (Wpad.dat). Un client WPAD-configured può usare svariati metodi per localizzare un host che contiene un file Wpad.dat. Due di questi modi richiedono la registrazione di una voce WPAD nei servizi Domain Name System (DNS) o Windows Internet Naming Service (WINS). Registrare una voce WPAD in DNS o WINS consente ai client di risolvere i nomi degli host che contengono file di configurazione automatica proxy.
Se un soggetto può registrare furtivamente una voce WPAD in DNS o in WINS, e questa voce risolve ad un host con file nocivo Wpad.dat, i client WPAD sono in grado di eseguire il routing del traffico Internet tramite un server proxy malevolo. Gli amministratori di rete che non hanno ancora registrato voci WPAD legittime in DNS e WINS, e coloro che hanno implementato in maniera non corretta WPAD tramite DHCP e Option 252, dovranno riservare nomi host DNS WPAD e nomi record WPAD WINS statici. Facendo questo, gli amministratori possono aiutare ad impedire possibili registrazioni malevole". Nel suo articolo, Microsoft descrive nel dettaglio i passaggi che gli amministratori di rete possono seguire per risolvere la problematica.
In caso di un attacco di questo genere, condotto con successo, tutto il traffico di rete passerà attraverso il proxy dell'attacker. Questo significa che un utente malintenzionato è in grado di accedere a tutti i dati, eseguire un redirect o manipolare gli stessi, per portare a compimento qualsiasi tipo di azione criminale, ha aggiunto Paget. Tuttavia il problema del proxy non rappresenta una vulnerabilità critica di sicurezza. Un attacco è possibile solo dopo aver ottenuto accesso alla rete presa di mira, non tramite Internet. "Il rischio più grande per una impresa potrebbe arrivare dagli individui interni ad essa, e malintenzionati … Non c'è motivo quindi di allarme generale e allerta critici". Ad ogni modo questo non elimina la necessità di correggere il problema, dato che le minacce che partono dall'interno delle aziende costituiscono un problema reale e molto attuale. Allo stesso modo, fanno notare i ricercatori, il problema dei proxy potrebbe attirare l'attenzione degli attacker, che trovano sempre più difficile eseguire l'exploit di altre vulnerabilità software.
I problemi con WPAD non sono comunque nuovi. Sette anni fa Microsoft aveva rilasciato una patch per Internet Explorer 5 perchè il browser cercava un proxy server su Internet se non lo trovava nella rete locale. Questo comportamento consentiva ai cybercriminali di fornire al browser impostazioni specifiche che potevano facilitare un attacco su più larga scala. Un problema analogo era stato sfruttato da alcuni cybercriminali che avevano registrato il nome dominio "wpad.org.uk", fornendo un file "wpad.dat" con informazioni proxy ai PC Windows che lo contattavano. Come risultato gli utenti che usavano questi PC si trovavano a visitare un sito di aste online, indipendentemente dall'indirizzo digitato nel browser.
L'azienda di sicurezza SecureWorks ha scoperto una nuova minaccia informatica descritta come un codice Trojan molto sofisticato che tenta di rubare certificati utente e altri dati identificativi dalle macchine Windows (attaccando vulnerabilità di Internet Explorer), inviandoli successivamente ad una serie di indirizzi IP localizzati in Russia.
Dall'analisi approfondita pubblicata da SecureWorks su questo nuovo malware battezzato "Gozi Trojan": "Gli autori di malware russi stanno trovando nuovi modi per rubare e trarre profitto da dati che normalmente vengono considerati al sicuro perché criptati via SSL/TLS … Ad inizio Gennaio 2007, un utente ci ha segnalato che vari account sui siti web da lui visitati da lavoro e da casa avevano subito un hijack. Un'analisi del suo PC di casa ha svelato un eseguibile malware precedentemente non classificato".
Se analizzato con 30 prodotti antivirus, il malware non veniva rilevato in maniera specifica da nessuno di essi; tuttavia, alcuni di questi prodotti, che usano tecnologie euristiche, hanno rilevato il file come sospetto o come minaccia generica, alla luce della sua compressione realizzata tramite un popolare malware packer. Un successivo scan (Febbraio) con gli stessi 30 vendor antivirus ha prodotto i seguenti risultati di rilevamento: Agent.AAV (AntiVir, Sunbelt) o Agent.BB (Microsoft), Pinch.B (BitDefender), Small.BS (VBA32, TheHacker, Ewido, eSafe, Fortinet, Kaspersky), altre varianti Small (VirusBuster, UNA), Ursnif.AG (eTrust VET). Altri sette vendor hanno rilevato sempre una minaccia generica. Bisogna evidenziare che 5 antivirus vendor non riportavano alcun pericolo nel file analizzato, e non rilevavano neanche l'uso del packer per l'eseguibile. In generale nessuno di questi rilevamenti da parte dei prodotti di sicurezza garantisce la rimozione completa dell'infezione dal PC affetto, evidenzia Secure Works.
Secondo l'azienda di sicurezza Gozi Trojan potrebbe essersi diffuso "in the wild" (senza venire rilevato dai prodotti di sicurezza) da Dicembre 2006. Inoltre l'autore di questo malware potrebbe semplicemente modificare il packer usato per comprimere l'eseguibile, per tornare al "day zero" di rilevamento da parte degli antivirus.
Dall'analisi della minaccia condotta da Secure Works è emerso che Gozi Trojan è una raccolta di sottoroutine malware personalizzare per questo specifico attacco. Dal punto di vista funzionale il trojan è simile ad un altro codice precedente, chiamato Sinowal, ma contrariamente a quest'ultimo Gozi si focalizza sulle richieste http POST (in maniera simile, a livello di codice, ai malware Ursnif e Snifula). Gozi sfrutta dei meccanismi comuni per infettare un PC vittima: nasconde codice JavaScript in un frame integrato in una pagina (IFRAME) che ne contiene a sua volta un'altra, ed esegue un file (via XMLHTTP e ADODB) per modificare i registri di avvio del sistema e insediarsi nel PC. Bisogna tuttavia notare che le chiavi di registro che avviano il codice malware non sono "visibili" dal sistema in modalità normale, in virtù della capacità rootkit integrate nel codice malware. Gozi sfrutta una chiave di registro come tramite per trasferire dati tra il sistema infetto e gli indirizzi IP di contatto. Il Trojan tenta anche di eseguire l'accesso ai server di una banca californiana, inizialmente usando dati fasulli, in una sequenza che sembra volere determinare i protocolli usati dalla banca. Secondo Secure Works, il malware sfrutta queste informazioni per apparire come un "layered service provider", nel tentativo di eludere la crittazione SSL.
Secondo l'analisi di Secure Works almeno 5,200 utenti home PC sono stati infettati con Gozi, e le informazioni di 10,000 account sono state compromesse e rubate da oltre 300 organizzazioni tramite le infezioni. Queste informazioni rubate includono dati bancari, numeri di pagamento, e di social security, e molte altre informazioni personali. Secondo l'azienda di sicurezza il malware è attualmente venduto nel mercato underground insieme ad altri kit malware ad un prezzo che va dai $500 ai $2.000. Finora, a quanto pare, il server principale del Trojan è ancora online e funzionante. Anche l'US-CERT ha diramato giorni fa un allerta per questa minaccia, senza tuttavia essere in grado di offrire agli utenti consigli specifici per proteggere se stessi e le proprie aziende da questo o da simili attacchi.
Secondo quanto riportato sul blog ufficiale degli sviluppatori di Windows Home Server, nuovo innovativo prodotto software "consumer server" di Microsoft, la fase di betatesting del prodotto sta vedendo una vera e propria "infestazione" di bug, che stanno venendo segnalati in grande quantità da tutti i tester che partecipano al programma beta. Nome in codice "Q" (e precedentemente "Quattro"), Windows Home Server, frutto di due anni e mezzo di sviluppo, sarà un sistema operativo estremamente semplice "per la famiglia" ma nello stesso sufficientemente potente da soddisfare i cosiddetti "power user".
Chris Sullivan, un Program Manager del team Windows Home Server, afferma: "Stiamo vivendo una condizione simile alla entomofobia. Siamo quasi infestati dai bug, 3377 problemi sono stati segnalati dai partecipanti al programma beta fino ad oggi… Non tutti i bug vanno considerati negativamente, in particolare in ambito di sviluppo software. I bug infatti danno l'idea di quelle aree del prodotto che necessitano di miglioramenti e sostanzialmente aiutano a creare un prodotto migliore". Secondo i dati pubblicati da Sullivan, il team ha ricevuto circa 2.400 segnalazioni di bug nel codice del prodotto, con 495 di questi (circa il 21% del totale) ancora classificati come "attivi". A questi si aggiungono 740 "suggerimenti" ancora in esame. Secondo il sistema di classificazione di Microsoft un bug "attivo" è un problema che sta ancora venendo analizzato, che attende una verifica o che si trova in coda d'indagine.
Tra gli altri bug che sono già stati presi in esame dagli sviluppatori, circa il 15% sono già stati corretti, il 13% sono problemi "by design", il 21% non hanno potuto essere riprodotti dagli sviluppatori, l'11% saranno rimandati alle versioni successive e il 7% probabilmente non saranno corretti. Ulteriori dettagli sono disponibili nel post sul blog ufficiale del team di sviluppo di Home Server. Microsoft non ha specificato se questo grande numero di bug segnalati potrà causare un delay sulla schedule di release del prodotto, che comunque dovrebbe debuttare entro fine anno. Secondo quanto riportato durante lo scorso Consumer Electronics Show (CES), l'idea originale del colosso era quella di rendere disponibile Home Server entro questa estate.
Per quanto riguarda la nuova milestone Beta 2, il team di sviluppatori del colosso aveva affermato sul blog ufficiale del progetto: "Mentre le precedenti release sono state testate da più di 1000 impiegati Microsoft e da alcuni dei nostri partner software e hardware, ora abbiamo iniziato a invitare un gruppo più ampio di tester esterni per partecipare al testing di Beta 2 ... Tenete in mente che Beta 2 non rappresenta una 'esperienza consumer'. La maggior parte dei clienti acquisterà Home Server solo con soluzione integrata hardware/software, votata al 'plug and play' (come con HP MediaSmart Server), Beta 2 si riferisce solo al software, ovviamente, e questo significa che i tester devono sapere come installare e configurare un sistema operativo server. I partecipanti a Beta 2 necessitano inoltre di una macchina dedicata per Home Server, con un Pentium 4, 512 MB RAM e due o più dischi rigidi interni (almeno 300 GB di disco rigido primario raccomandati), almeno 2 PC client PCs e una connessione a banda larga". Microsoft ha reso disponibile anche il forum Windows Home Server pubblico ufficiale dove si può discutere del prodotto e delle release Beta. Ricordiamo che è già disponibile una pagina web dedicata a Home Server ("Stop Digital Amnesia"), che offre una descrizione delle varie caratteristiche del prodotto e link ai comunicati stampa relativi.
I piani di sviluppo di Home Server erano stati svelati ufficialmente da Bill Gates, Microsoft Chairman, durante la sua keynote al Consumer Electronics Show (CES) 2007 di Las Vegas. (Maggiori dettagli)
Marco Giuliani, esperto di sicurezza che collabora con la società di sicurezza Prevx, ha pubblicato interessanti informazioni su un nuovo codice malware, attualmente in circolazione, che presenta funzionalità e caratteristiche molto simili al famoso Gromozon, un codice nocivo che ha colpito duramente il mercato italiano negli ultimi mesi.
Dal blog-post di Giuliani su PC al Sicuro: "Fine settimana scorsa ho ricevuto un sample di un trojan che a prima vista sembrava avere funzionalità rootkit poiché terminava l'esecuzione di alcuni programmi, quali ad esempio gmer o hijackthis. Appena ricevuto il sample ho fatto un'analisi rapida e sembrerebbe essere un'opera proveniente dalla stessa idea dello scorso Gromozon, sebbene non sia così articolato … Il file, una volta eseguito, crea una copia di se stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all'avvio del sistema grazie all'aggiunta della chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]. In questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne più difficile la rimozione. Una volta caricato si inietta all'interno di explorer.exe e crea un thread che, una volta al secondo, fa una scansione delle finestre aperte sul desktop e ne controlla i titoli. Se il titolo contiene una delle parole presenti in un elenco contenuto all'interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l'esecuzione del programma. Tra le parole controllate e bloccate possiamo trovare: gmer, catchme, avenger, hijackthis, hardware upgrade forum, p2p forum italia, suspectfile".
Anche questo trojan include funzioni "dialer". Fortunatamente non sono presenti funzionalità "rootkit" per cui la rimozione è più semplice rispetto a Gromozon.
Giuliani offre anche una procedura manuale che permette rimuovere questa nuova minaccia: Con regedit, controllare la presenza della chiave di registro: Windows NT\CurrentVersion\Image File Execution Options\explorer.exe =. Se presente, prendere nota del percorso del file. Scaricate Avenger da questo link e decomprimetelo sul desktop. Aprite il task manager premendo la combinazione di tasti CTRL-ALT-CANC e terminate il processo explorer.exe. Il desktop scomparirà, non vi preoccupate. Sempre con il task manager aperto cliccate su FILE - NUOVA OPERAZIONE (ESEGUI) - SFOGLIA, cercate sul desktop avenger e lanciatelo. Una volta eseguito, cliccate sulla voce "Input script manually" e poi clicca sull'icona della lente di ingrandimento. Si aprirà una finestra, copiateci il seguente script:
Files to delete: [percorso che avete trovato nella chiave di registro] Registry keys to delete: hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Cliccate su "done" e poi sull'icona col semaforo. Il pc si riavvierà, al successivo riavvio del PC dovrebbe comparire un log con la conferma dell'avvenuta rimozione
Giuliani commenta: "La complessità del codice non é pari a quella del vecchio Gromozon, sebbene l'idea sia in effetti buona ed efficace. Ho più l'impressione che non sia mano dello stesso team di programmatori ma più che altro qualcuno ispirato. Qualche mese addietro i link che prima dirigevano ai server gromozon, per qualche periodo hanno fatto scaricare un trojan che controllava la presenza di un modem o isdn all'interno del pc infettato e si auto-terminava se non trovava niente. Personalmente non ho considerato quei trojan facenti parte della famiglia gromozon, a causa della modalità di scrittura del codice molto differenti dal primo gromozon - sebbene anche in quel caso c'erano delle particolarità interessanti, quali lo start automatico all'avvio del sistema configurato come task di Windows".