-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [03/02/2007]
Microsoft "Pre-Patch Day" FEB06
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gifMicrosoft Security Bullettin Notehttp://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/..._Patch_Day.jpgIl 13 Febbraio prossimo Microsoft rilascerà ben 12 nuovi bollettini di sicurezza con relative patch per correggere varie falle nei suoi software. Gli update rientrano nel programma mensile di aggiornamento di protezione dei suoi prodotti, fissato per il secondo Martedì di ogni mese. I nuovi bollettini interesseranno Windows, Office, Visual Studio, e svariate altre applicazioni, tra cui i prodotti di sicurezza Live OneCare, Antigen, Windows Defender e Forefront. Almeno 5 delle prossime patch correggeranno problemi di sicurezza classificati come "critici".
Si tratterà di un "Patch Day" record per numero di problemi corretti ma bisogna considerare che la prossima tornata di update include anche i quattro aggiornamenti annunciati nel Bulletin Advance Notification di Gennaio e poi non più rilasciati il mese scorso dal colosso. Nelle sue Security Bulletin Advance Notification Microsoft, come regola, non rivela in anticipo i dettagli sulle vulnerabilità che saranno poi corrette con i rilasci "Patch Day". Tuttavia ricordiamo che il software Microsoft Word è stato preso di mira nelle scorse settimane da almeno quattro diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute nel software (descritte in news precedenti). Recentemente inoltre sono emerse nuove segnalazioni pubbliche relative ad attacchi di tipo "zero-day" che utilizzano una nuova vulnerabilità in Microsoft Office, sfruttata prevalentemente via Excel. Ieri Symantec ha pubblicato sul suo blog Security Response nuovi dettagli su questo problema di sicurezza che comunque è stato portato all'attenzione anche in un Security Advisory di Microsoft (932553). È probabile che il prossimo Patch Day porterà correzioni per alcuni di questi problemi di sicurezza (sono previsti 2 bollettini per Office e uno generale per Windows e Office).
http://www.tweakness.net/immagini/links.gif Nuova Falla 0-Day in Office/Excel - Word: Falle 0-Day, Novità e Filmato - Altre
La maggior parte delle nuove patch di protezione sarà comunque relativa a Windows (sono previsti 5 bollettini dedicati al sistema operativo). Il livello aggregato di rischio per questi problemi è critico, e non è da escludere il rilascio di una patch per la prima falla di sicurezza isolata in Windows Vista, che riguarda un errore nel buffer della memoria nella libreria Win32 (un problema che affligge anche le versioni precedenti del sistema).
Tra gli altri bollettini di sicurezza sono attese: 1 patch importante per Windows e Visual Studio, 1 importante per Step-by-Step Interactive Training, 1 patch critica per Data Access Components, e 1 aggiornamento critico per gli strumenti di sicurezza del colosso OneCare, Antigen, Windows Defender, e Forefront.
Ricordiamo che, secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi o attaccare senza richiedere intervento dell'utente. I problemi "importanti" invece si riferiscono alle vulnerabilità che possono essere sfruttate per compromettere la riservatezza, l'integrità e la disponibilità di dati e risorse di processing.
Il prossimo "Patch Day" di Febbraio 2007 includerà:
• 5 Bollettini per Microsoft Windows. Livello aggregato Critico. MBSA.
• 1 Bollettino per Microsoft Windows e Microsoft Office. Importante. MBSA.
• 2 Bollettini per Microsoft Office. Livello aggregato Critico. MBSA.
• 1 Bollettino per Microsoft Windows e Microsoft Visual Studio. Importante. MBSA e EST.
• 1 Bollettino per Step-by-Step Interactive Training. Importante. MBSA e EST.
• 1 Bollettino per Microsoft Data Access Components. Critico. MBSA e EST.
• 1 Bollettino per Windows Live OneCare, Microsoft Antigen, Windows Defender, e Forefront. Critico.
• Aggiornamento per il Malicious Software Removal Tool su WU, Download Center, MU, e WSUS
• 2 Aggiornamenti NON-SECURITY High-Priority per Windows su Windows Update (WU) e SUS
• 8 Aggiornamenti NON-SECURITY High-Priority su Microsoft Update (MU) e WSUS
MBSA = Rilevabile con Microsoft Baseline Security Analyzer
EST = Rilevabile con Enterprise Scan Tool
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [03/02/2007]
Kaspersky ed i Ransomware Trojan
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifKaspersky Labshttp://www.tweakness.net/immagini/news/spacer.gifRSA Conference 2007http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Kaspersky2.jpgI cybercriminali stanno lentamente modificando le loro strategie di attacco contro le aziende, abbandonando i tradizionali cyberattacchi su vasta scala in favore di tecniche "ransomware", che prevedono la criptazione (rapimento) dei dati degli utenti e la richiesta di un riscatto in cambio della decrittazione degli stessi, lo ha evidenziato Eugene Kaspersky, a capo della ricerca antivirus di Kaspersky Labs, durante un intervento alla RSA Conference 2007. Secondo Kaspersky l'uso dei cosiddetti "ransomware Trojans" sarà un trend di rilievo nel panorama della sicurezza per il 2007.
Questo tipo di software nocivo infetta un PC, esegue la criptazione di alcuni dati e poi mostra un avviso che invita la vittima a mandare soldi per ottenere la chiave di decrittazione necessaria per accedere nuovamente ai dati in ostaggio. Non si tratta di una tipologia di codice troppo nuova. Tra gli esempi più recenti troviamo Cryzip, scoperto a Marzo 2006, e GPCode, scoperto a Maggio 2005. Cryzip e GPCode non hanno causato danni su vasta scala, ma Kaspersky ritiene che quest'anno i cybercriminali saranno in grado di affinare le tecniche di programmazione di questi Trojan.
http://www.tweakness.net/immagini/links.gif RSA Conference 2007: Preview - Microsoft: 'Anywhere Access' Vision
La versione finale di GPCode usava una chiave di criptazione a 660-bit, che richiede 30 anni di processing per essere violata da un computer potente singolo. Kaspersky commenta: "Noi l'abbiamo violata in circa 10 minuti … perchè l'autore del codice non aveva letto il libro sulla crittografia fino all'ultima pagina. Se lo farà, i vendor antivirus non saranno in grado di decriptare e recuperare i vostri dati senza un aiuto".
Durante la conferenza Kaspersky ha anche parlato degli attacchi denial-of-service (DDoS) distribuiti, nell'ambito dei quali i server aziendali vengono bombardati di dati nel tentativo di causare un blocco delle macchine. Secondo il ricercatore questo tipo di attacchi è in declino, in parte perché sono state sviluppate in questi anni migliori tecnologie di filtering che possono ridurre notevolmente il traffico dati DoS prima che raggiunga il server bersaglio. Un altro fattore che ha contribuito alla riduzione della percentuale di questo tipo di attacchi è stato l'arresto di molte persone frutto di indagini su tentativi di estorsione, nei quali gli attacker chiedevano soldi per porre fine agli attacchi.
Kaspersky commenta: "Questa è una attività criminale rischiosa, perché l'attacco avviene prima che vi sia un trasferimento di denaro". Le vittime degli attacchi DoS hanno l'opportunità di coinvolgere le forze di polizia nella fase del pagamento del riscatto. Kaspersky fa notare che la polizia potrebbe invece non essere troppo interessata al caso di una vittima di "ransomware Trojan", perché normalmente questi riscatti prevedono una richiesta in denaro di minor conto ($20 o $30).
Diverse agenzie di scommesse online, tra cui Betfair, erano state colpite da attacchi DDoS nell'estate del 2004. Nel corso dello steso anno, 9 cittadini Russi furono arrestati per un presunto coinvolgimento in questi crimini, e tre di loro furono successivamente condannati a 8 anni di reclusione, dopo averne appurata la colpevolezza. Ad ogni modo i due "ringleader" dell'associazione criminale sono ancora a piede libero. Kaspersky è preoccupato che le forze dell'ordine abbiano difficoltà a catturare i criminali della rete: "Nel 2004, ci sono stati circa 100 arresti di criminali sospetti. Nel 2005, ce ne sono stati 400. L'anno scorso solo 100. Sembra che vengano arrestati i più ingenui, ma che le vere menti ideatrici stiano ancora operando indisturbate".
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [03/02/2007]
Firefox 1.5.0.9: Falla per "Popup"
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifSecuriTeam Advisoryhttp://www.tweakness.net/immagini/news/spacer.gifFirefox:1.5.0.10-2.0.0.2 Wikihttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/firefox_falla.jpgIl ricercatore di sicurezza Michal Zalewski ha reso pubblici i dettagli su una vulnerabilità di sicurezza che affligge Firefox 1.5.0.9, recente versione del browser open-source, nell'implementazione della funzione popup blocker. Il problema di sicurezza può essere sfruttato tramite un sito malintenzionato per aprire un file con codice nocivo sul computer dell'utente, o per rubare informazioni personali. Mozilla Foundation non ha confermato o smentito questi report, tuttavia sembra che la nuova major version del browser Firefox 2 (2.0.0.1) non sia affetta dal problema.
http://www.tweakness.net/immagini/links.gif Firefox Update in Vista e Firefox 3 - Altre
Per ragioni di sicurezza, Firefox non permette ai siti web Internet-originating di accedere allo spazio nomi "file://". Tuttavia quando gli utenti scelgono manualmente di mostrare un popup bloccato, i normali controlli sui permessi degli URL vengono bypassati. L'attacker può ingannare il browser in modo da eseguire il parsing di un documento HTML conservato sul filesystem locale. A questo punto dato che il security manager di Firefox tratta tutti gli URL "file:///" come se avessero la "stessa origine", un tale documento può leggere gli altri file locali arbitrariamente sfruttando XMLHttpRequest, eventualmente dirottando queste informazioni ad un server remoto.
Secondo l'advisory pubblicato da SecuriTeam, per rendere l'attacco efficiente un utente malintenzionato deve inserire un file dal nome prevedibile nel codice exploit. Questa apparentemente sembra una procedura difficile da realizzare, tuttavia Firefox crea a volte nomi file temporanei determinati nella cartella temporanei di sistema quando vengono aperti file con applicazioni esterne. Pur ignorando questa possibilità (che richiederebbe un ulteriore interazione da parte dell'utente vittima), alcuni file temporanei "random" vengono creati usando un algoritmo non sicuro in nsExternalAppHandler::SetUpTempFile e altre location. Sfruttando questo problema tramite l'uso di Javascript sarebbe possibile predire un nome file locale presente sul computer vittima e quindi sfruttare l'exploit del popup blocker.
Nell'advisory è anche incluso un codice PoC che mostra uno scenario di attacco contro la vulnerabilità. Nel codice di esempio quando un utente apre il popup, un file HTML viene caricato ed eseguito con i privilegi di lettura sui file locali, nel caso specifico viene letto il contenuto del file BOOT.ini del computer vittima.
Ricordiamo che Mozilla sta continuando a lavorare sulle prossime "security release" per Firefox 1.5 e 2.0, rispettivamente gli aggiornamenti 1.5.0.10 e 2.0.0.2. Secondo le ultime informazioni disponibili in rete il "code freeze" per le release era stato rimandato alla giornata di ieri. La data di rilascio è stata fissata per metà Febbraio durante un recente Status Meeting tra gli sviluppatori (forse il 20 Febbraio). Attualmente la community sta testando le release RC1 (Firefox 1.5.0.10 - Firefox 2.0.0.2). Il prossimo Community Test Day per i due aggiornamenti è fissato per domani. Le nuove versioni dovrebbero includere tra l'altro alcuni bugfix che miglioreranno la compatibilità del browser sul nuovo sistema operativo Windows Vista, che ha debuttato sul mercato consumer il 30 Gennaio.
Dopo 1/2 settimane dal rilascio di Firefox 1.5.0.10 e 2.0.0.2, Mozilla offrirà anche agli utenti Firefox 1.5.x il "major upgrade" automatico alla versione 2.0.x del browser. Attualmente infatti gli utenti Firefox 1.5.x che vogliono eseguire l'upgrade devono necessariamente scaricare ed installare manualmente Firefox 2.0.x. Mozilla ha già da tempo annunciato che Firefox 1.5.x sarà supportato solo fino al 24 Aprile prossimo, successivamente non saranno più rilasciati aggiornamenti di protezione e stabilità per questa versione del prodotto.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [03/02/2007]
Violento Attacco DoS ai Root Server
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifGrafico Attaccohttp://www.tweakness.net/immagini/news/spacer.gifCommento ISC SANShttp://www.tweakness.net/immagini/news/spacer.gifCommento SecurityFocus
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Root_Server_DoS.jpgI 13 "root" server che aiutano a gestire il traffico mondiale Internet sono stati colpiti nella giornata di ieri da una attacco "denial of service" che, secondo i report, ha quasi causato il blocco (take down) di tre delle macchine server DNS. Si tratta dell'attacco più violento contro i 13 "root" server universali a partire dal famoso attacco di Ottobre 2002, quando molte di queste macchine furono bloccate dai cybercriminali, lo afferma Ben Petro, un senior vice president di NeuStar Inc. Tre dei server si sono trovati sul punto di essere sovraccaricati dall'attacco, ma non si sono bloccati, afferma Petro, pur trovandosi in uno stadio di "brown-out" e rallentamento.
L'attacco di ieri è stato molto simile a quello del 2002 per quanto riguarda il vigore, ma ha sorpassato il vecchio assalto in sofisticazione, evidenzia Petro. I "root" server non sono andati in "take down" in virtù della potenza di computing significativamente maggiore rispetto a 4 anni fa, e grazie anche alle maggiori difese che sono state predisposte in seguito a quell'episodio. Petro afferma: "Se riesci a bloccare i root, blocchi tutta Internet … Quando vedi che qualcuno colpisce la root, si tratta di un attacco diretto all'infrastruttura di Internet". Petro evidenzia tuttavia che nella giornata di ieri Internet non è andata neanche vicina a questo tipo tracollo. Solo tre server sono stati pesantemente stressati ma hanno resistito ed il problema non è stato percepito in maniera evidente in nessuna parte del globo.
L'attacco principale ha colpito i server alle 5:30 a.m. ET di Martedì, ed ha raggiunto il livello massimo di traffico dati intorno alle 7 a.m. Successivamente l'attacco si è attenuato verso le 10:30 del mattino ma era ancora in atto, anche se debolmente, alle 7 p.m. di ieri. Zully Ramzan, un senior researcher di Symantec Security Response, ha affermato che non ci sono attualmente dati certi sull'attacco, tuttavia secondo alcune speculazioni il tentativo di bloccare la rete mondiale è partito dalla Corea del Sud. Johannes Ullrich, chief research officer di SANS Institute e chief technology officer del Internet Storm Center, ha affermato che sarà necessaria una più profonda analisi prima di poter capire l'origine esatta dell'attacco DoS. Fortunatamente l'attacco, afferma Petro, è stato anticipato da chiari segnali.
Nella notte di Lunedì, tra le 7 e le 9 p.m. un attacco DoS su scala ridotta aveva già colpito i root server. "È sembrato un precursore … non rappresentava un attacco sostanzioso ma aveva quel livello di intensità che ci si attende da chi ha lavorato per molto tempo per progettare un attacco reale … Ci siamo preparati. Quando vediamo questo tipo di attacco, tratteniamo il fiato per 24/48 ore perché molto spesso gli attacchi su larga scala sono preceduti da attacchi minori usati per testare il bersaglio".
I 13 server "root" DNS non sono controllati da una singola azienda o agenzia. Il Dipartimento della Difesa US ne gestisce uno, il server "G", a quanto pare il più colpito dall'attacco di ieri, ma altri sono controllati da università. Il sistema pubblico dei DNS è basato su questi 13 "root server", i cui indirizzi IP sono distribuiti indipendentemente tramite un file detto "root hints". Pensate ai root server come alla "directory assistance" di Internet, spiega Ramzan. Il sistema converte gli URL in indirizzi numerici che poi vengono usati per eseguire routing del traffico da un computer ad un altro. Dieci dei tredici root server sono, almeno nominalmente, situati negli USA, 2 in Europa (Londra e Stoccolma) ed uno a Tokio.
Secondo alcuni report in rete, le ripercussioni sulla rete mondiale sono state molto ridotte. Questo non sorprende se si pensa che i 13 root server sono programmati in modo da reggere adeguatamente il traffico mondiale anche quando due terzi di essi non funzionano. Solo Whois e altri servizi forniti da ICANN hanno fatto registrare un breve periodo di "down", almeno secondo quanto pubblicato su un gruppo di discussione. Bisogna ricordare che parte delle informazioni contenute nei 13 root server vengono salvate, per un periodo di tempo limitato, anche nei server locali degli ISP. In realtà le richieste d'informazione dirette ai root server sono poche, se paragonate alle richieste complessive che viaggiano in Internet. Solo se si fosse verificata una condizione di "take down" prolungata sarebbe partito il processo di lenta agonia della Rete mondiale. In tal caso sarebbe venuto meno il sistema DNS con ripercussioni per Internet, e per l'economia mondiale, anche se è difficile prevedere quanto gravi.
http://www.tweakness.net/immagini/news/spacer.gif
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [03/02/2007]
Per il gruppo Poste Italiane e' ancora pericolo phishing
http://www.anti-phishing.it/image.ne...bancoposta.jpgSiamo alle solite. Un nuovo giorno ed il phishing per l’obiettivo numero uno italiano ritorna puntualmente. Si tratta con quello odierno del diciottesimo tentativo di truffa ai danni dei clienti di Poste Italiane dall’inizio del 2007 e vista la frequenza degli attacchi il numero è destinato a salire.
Per l’e-mail, elemento fondamentale del phishing, il truffatore si affida ancora una volta ad un testo già visto e conosciuto, il quale informa la potenziale vittima dell’attivazione di nuovi servizi sul sito Poste.it. Mentre per ospitare le proprie pagine trappola, il phisher sfrutta per la seconda volta al servizio di hosting gratuito rumeno ws43.com.
L’e-mail truffa:
Il sito clone:
http://www.anti-phishing.it/phishing...02.2007_01.png
Fonte: Anti-Phishing Italia – www.anti-phishing.it
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [03/02/2007]
uperati i filtri anti-phishing di Firefox ed Opera: via libera alle truffe
http://www.anti-phishing.it/image.ne...efox.opera.pngE’ sufficiente aggiungere uno slash "/" in più alla fine del nome a dominio per fare in modo che i sistemi anti-phsihing presenti nell’ultima edizione di Firefox ed Opera, non riconoscano come maligno un apposti sito creato per sottrarre dati e credenziali di autenticazione di ignari utenti.
A darne notizia è lo stesso scopritore del bug kanedaaa, in grado di già nel mese di novembre di by-passare i filtri anti-phishing di Opera, il quale pubblica oggi nel sito questo semplice sistema, dopo aver avvertito oltre un mese fa della vulnerabilità le rispettive società produttrici dei due browser. Anche se sino ad oggi nessuna delle due ha preso i necessari provvedimenti.
Ecco un esempio sul suo funzionamento dello slash / bug:
- il sito è riconosciuto da Firefox come una copia clone di Paypal
http://www.anti-phishing.it/phishing...fox.bug.01.png -Aggiungendo uno slash alle fine del nome a dominio il sito non è più rilevato come truffa:
http://www.anti-phishing.it/phishing...fox.bug.02.png
Fonte: Anti-Phishing Italia – www.anti-phishing.it
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [03/02/2007]
A San Valentino i pirati informatici amano ancora di piu' le proprie vittime
http://www.anti-phishing.it/image.ne...tter.virus.gifCome ogni evento dell’anno che si rispetti anche San Valentino porta con se un aumento delle attività criminali in Rete, in particolar modo legate al connubio posta elettronica e malware. Ecco le brutte sorprese che potreste trovare nella vostra casella e-mail secondo la Panda Software:
Il giorno di San Valentino si sta avvicinando e gli utenti devono fare attenzione ai messaggi romantici ricevuti via e-mail perché potrebbero contenere codici maligni. Il worm Nurech.A, comparso questa settimana, sfruttando questo richiamo ha causato un allarme virus di livello arancione e prosegue la propria diffusione.
Questo tipo di malware ha nell’oggetto testi come: "Together You and I", "Till the End of Time Heart of Mine". Il file che contiene il codice maligno è sempre eseguibile ed è chiamato in modi diversi come flash postcard.exe o greeting postcard.exe. Ma gli attacchi non sono finiti. Panda Software annuncia la comparsa di un altro worm che sta colpendo gli utenti in questi giorni, Nuwar.D, che arriva con messaggi di posta che recano nell’oggetto le frasi "5 reasons I love you" o "A kiss for you".
Eventi come San Valentino o Natale sono presi di mira dai criminali cibernetici per diffondere le loro creazioni attraverso e-mail infette inviate come cartoline di auguri. Questa tattica è conosciuta come “ingegneria sociale”. Il miglior esempio è il famoso virus LoveLetter che ha causato una delle più vaste epidemie nella storia dei PC.
Luis Corrons, direttore tecnico dei laboratori di Panda Software afferma "il prossimo San Valentino sarà l’occasione per una diffusione elevata di minacce.
Ogni genere di spam e nuovi virus si aggiungeranno a quelli già in circolazione, sfruttando questa festa. Come regola generale, si consiglia di non aprire messaggi sospetti, indipendentemente dal contenuto. Non affidarsi all’istinto, ma dotarsi di una soluzione di sicurezza che ci assicuri quando possiamo aprire un messaggio."
Il malware non sarà il solo protagonista. Con gli acquisti per il regali ci sarà un aumento delle transazioni online e del rischio di furto di informazioni bancarie. Molte delle junk mail (mail spazzatura) che raggiungono gli account degli utenti contengono link di collegamento a falsi siti di banche o di shopping accompagnati dalla richiesta di inserimento del numero di conto e password: la classica tecnica “phishing”.
Continua Corrons "per evitare attacchi di questo tipo, non cliccare sui link ricevuti via posta elettronica, ma inserite l’indirizzo direttamente nella barra del browser. Inoltre, nessuna banca vi chiederà dettagli via mail, per questo ogni messaggio di questo tipo deve essere considerato phishing, indipendentemente dalla sua autenticità."
Fonte: Anti-Phishing Italia – www.anti-phishing.it
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [09/02/2007]
Dialer in aumento mentre Telecom non rispetta gli accordi presi
http://www.anti-phishing.it/image.news/dialer.006.jpgSono allarmanti i dati forniti dal Movimento Difesa del Cittadino, secondo la quale l’emergenza dialer nel primo bimestre del 2007 non sembra diminuire visto che centinai di euro continuano ad essere addebitati all’insaputa di ignari utenti i quali si ritrovano fine mese con inspiegabili bollette gonfiate.
Il tutto mentre Telecom Italia, così come racconta MDC – "in violazione delle rassicurazioni rese pubblicamente anche davanti alle telecamere di Mi manda rai 3, stia sospendendo le linee a molti utenti che avevano sporto un formale reclamo per l'addebito illecito di chiamate verso numeri a sovrapprezzo".
Secondo Francesco Luongo, responsabile del Dipartimento TLC dell'associazione, che invita Ministero della Comunicazioni e Autorità ad agire efficacemente contro il fenomeno, la crisi è diffusa su tutto il territorio nazionale dal Lazio all'Abruzzo, al Veneto, alla Campania, a Emilia Romagna e Puglia.
Grazie al Movimento Difesa del Cittadino, che mette a disposizione degli utenti la modulistica per i reclami sul sito web www.mdc.it, molti utenti stanno riuscendo a contestare con successo le bollette: è il caso di un utente di Benevento che ha ottenuto dalla Telecom lo storno integrale di oltre mille euro addebitati illecitamente. Per coloro che non ottengono risposta al reclamo entro 30 giorni, l'associazione consiglia di avviare tempestivamente la procedura di conciliazione presso uno degli sportelli MDC. (tratto da Help Consumatori)
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [09/02/2007]
Adsl e bollette gonfiate: colpa del modem
http://www.anti-phishing.it/image.news/fear.jpgTutti ti hanno raccontato che con la linea Adsl si risolve il problema dei dialer, ossia le odiose chiamate nascoste ai numeri a tariffazione maggiorata (899, 992), tuttavia la tua ultima bolletta telefonica conteneva una connessione ad Internet di 24 ore che non hai mai fatto: "tranquillo" il colpevole potrebbe essere il tuo modem.
Questo nuovo e singolare problema arriva dalla Federconsumatori di Treviso, la quale segnala come utenti che utilizzano la propria linea Internet per pochi minuti al giorni, il tempo di controllare la posta elettronica o una semplice connessione in Rete, si siano ritrovati in una bolletta centinaia di euro «Sono disguidi del modem - spiegano gli addetti di Federconsumatori - Avvengono a chi spegne il computer ma non disconnette appunto il modem, ed in bolletta compaiono connessioni continue anche da 36 ore. Succede quando le apparecchiature sono mal funzionanti o guaste»
Come nel caso di una signora argentina residente a Montebelluna, in provincia di Treviso costretta a pagare per una connessione di 36 ore a causa del suo modem, che non essendosi scollegato è rimasto connesso facendo così incrementare il conto finale.
Ulteriori informazioni: Il Gazzettino on-line
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [13/02/2007]
Attenti alle e-mail e video di San Valentino
http://www.anti-phishing.it/image.news/s_valentine.jpgRipercorrendo lo stesso modus operandi dello scorso dicembre, giunge in queste ore nelle caselle –mail degli utenti web italiani, un'apparente e-mail di auguri legata ai festeggiamenti per San Valentino, la quale in realtà cerca di infettare il sistema colpito con lo stesso malware dell’ormai famoso Avv. Gentili.
A darne notizia è il sito web Pc al Sicuro curato da Marco Giuliani, ricercatore per la società di sicurezza informatica Prevx, il quale mette in guarda dalla seguente e-mail:
OGGETTO: Non ti dimenticheró mai
MESSAGGIO:
ciao!
un pensierino per San Valentino
http://go.xxxxx.com/cacas
poi fammi sapere se ti è piaciuto
Cliccando sul link proposto, anche se in alcuni casi tale e-mail potrebbe contenere in allegato un file con estensione .asx dal nome videoamore.asx o sanvalentino.asx, viene aperto Windows Media Player il quale avverte che non è possibile riprodurre il video a causa di un codec mancante.
http://www.anti-phishing.it/phishing...odec-alert.gif
Una volta terminato il download del falso codec, in realtà il trojan, viene mostrato un messaggio di errore la cui funzione dovrebbe essere quella di depistare l’ignaro utente in merito alla vera natura del file appena scaricato.
Come già annunciato il sistema a questo punto è infetto con una variante del trojan.Spambot lo stesso legato alle false diffide dell’avvocato giuliani, il quale prima di installarsi verifica se il sistema attacco contiene indirizzi di posta elettronica con domini quali polizia.it, poliziadistato.it, carabinieri.it. In caso di esito positivo il trojan non entra in funzione.
Nonostante i rischi legati a questo nuovo attacco, quello che più preoccupa comunque è il futuro, infatti come afferma lo stesso Giuliani: "Come questo team ci ha già insegnato lo scorso Dicembre, nei prossimi giorni probabilmente assisteremo ad un’invasione di massa di questo trojan con nuove varianti giornaliere."
Ulteriori informazioni: Video natalizi divertenti: a ridere e' solo il Trojan
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [13/02/2007]
Word: Nuova Falla 0-Day "RCE"
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gifSecurity Advisory 933052http://www.tweakness.net/immagini/news/spacer.gifMcAfee Avert Labs Bloghttp://www.tweakness.net/immagini/news/spacer.gifCVE-2007-0870
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Word_Falla3.jpgA soli due giorni dal rilascio di due bollettini di sicurezza con relative patch a correzioni di 8 vulnerabilità zero-day nelle sue applicazioni Office, Microsoft ha pubblicato un nuovo Security Advisory (933052) per avvertire di clienti riguardo nuove segnalazioni pubbliche relative ad attacchi "molto limitati e mirati" che utilizzano una ennesima vulnerabilità di esecuzione codice in Microsoft Word con Office 2000 e Office XP.
http://www.tweakness.net/immagini/links.gif Patch Day Febbraio 2007 - Word: 0-Day, Novità e Filmato
Si tratta di falla già segnalata da McAfee Avert Labs una settimana fa (CVE-2007-0870) che inizialmente sembrava interessare solo Word 2000 e che il colosso di Redmond aveva verificato come limitata ad un attacco Denial of Service. Una successiva e approfondita analisi effettuata da McAfee ha svelato che l'exploit di questo problema di sicurezza (inizialmente classificato come variante del codice Exploit-MS06-027) può invece essere sfruttato per eseguire codice da remoto su un sistema vulnerabile. Questa analisi è stata confermata da Microsoft che ha pubblicato immediatamente il nuovo Security Advisory. Il codice exploit per la falla può colpire a quanto pare anche Word XP, tuttavia, afferma Microsoft, la tecnica di attacco è tutt'altro che facile.
Dal Security Advisory 933052: "Per sferrare l'attacco, è necessario che un utente apra un file Office dannoso allegato a un messaggio di posta elettronica o altrimenti fornito da un utente malintenzionato. È buona norma essere molto cauti nell'aprire allegati non richiesti o di dubbia provenienza. Microsoft ha aggiunto informazioni sul rilevamento nel Windows Live OneCare Safety Scanner per la rimozione di malware che tentano di sfruttare questa vulnerabilità. Microsoft inoltre intende condividere le informazioni in suo possesso con i partner Microsoft Security Response Alliance in modo da poter rilevare e risolvere più prontamente eventuali attacchi. Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft. Le chiamate al supporto tecnico relative agli aggiornamenti per la protezione sono gratuite. Una volta completate le ricerche, Microsoft intraprenderà l'azione appropriata per la protezione dei clienti. In base alle esigenze dei clienti, potrebbe essere necessario distribuire un aggiornamento per la protezione tramite il processo di rilascio mensile oppure un aggiornamento per la protezione integrativo".
Microsoft evidenzia che vulnerabilità non può essere sfruttata in Office 2007, Office 2003 o Word 2003 Viewer. Inoltre in uno scenario di attacco un utente malintenzionato può ottenere gli stessi diritti utente dell'utente locale. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Infine, non è possibile sfruttare la vulnerabilità automaticamente per posta elettronica. L'attacco è possibile solo se l'utente apre un allegato a un messaggio di posta elettronica. Agli utenti che hanno installato e utilizzano lo strumento Richiesta di conferma all'apertura dei documenti per Office 2000 verrà richiesto di scegliere Apri, Salva o Annulla prima di aprire un documento.
Microsoft non ha rilasciato workaround particolari e si limita a raccomandare ai clienti di non aprire o salvare file Office provenienti da fonti non attendibili o ricevuti inaspettatamente da fonti attendibili.
Nell'ambito del Patch Day di due giorni fa, Microsoft ha rilasciato ben 12 bollettini di sicurezza per correggere 20 falle nei suoi software (7 bug zero-day di cui 5 relativi a Microsoft Office). Con i due aggiornamenti di protezione per la suite Office, Microsoft aveva corretto finalmente una serie di vulnerabilità di esecuzione codice che stavano venendo sfruttate in attacchi zero-day. Microsoft Word è stato preso di mira nelle scorse settimane da almeno quattro diversi attacchi zero-day legati a vulnerabilità nel codice software, corrette ora con [MS07-014] (in tutto 6 diverse falle). Recentemente inoltre sono emerse segnalazioni relative ad attacchi "zero-day" che utilizzano una vulnerabilità in Microsoft Office, sfruttata prevalentemente via Excel (CVE-2007-0671), ora corretta con [MS07-015] (include anche un fix per PowerPoint - CVE-2006-3877
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/02/2007]
Router a Rischio Drive-By Pharming
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifCommento di Symantec (blog) http://www.tweakness.net/immagini/news/spacer.gifDriveby Pharming PDFhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Drive_Pharming.jpgIn un recente studio congiunto, i ricercatori di Symantec e della Indiana University School of Informatics hanno descritto un nuovo tipo di attacco informatico, chiamato Drive-By Pharming. La tecnica cybercriminale prevede la creazione di un sito web che, quando visualizzato dall'utente vittima, si occupa di modificare la configurazione dei dispositivi router, home broadband o wireless, vulnerabili.
Questo tipo di exploit sfrutta Javascript per accedere alla configurazioni dei router (Cross Site Request Forgery) che presentano le password di accesso predefinite (spesso "admin" e "password") e quindi sulle impostazioni DNS. Le funzioni DNS sono come la rubrica telefonica di Internet, cioè si occupano di mappare indirizzi testuali in indirizzi numerici IP per consentire le comunicazioni web. Un attacker è quindi in grado di guadagnare il controllo completo sulle sessioni di navigazione Web dell'utente attaccato, e quindi di dirigerli ai siti malintenzionati di loro creazione (indipendentemente dall'indirizzo web digitato nel browser) per rubare informazioni personali.
I ricercatori sono stati in grado di creare una singola pagina web capace di eseguire l'exploit di questa debolezza sulle tre marche di router più popolari, Linksys, D-Link, e Netgear. Bisogna notare che questa "falla" non affligge una singola macchina, ma tutti i PC che sfruttano il router per connettersi alla rete. Zulfikar Ramzan, ricercatore di Symantec, commenta: "è possibile creare un sito web che attacchi tutte le marche di router. La mia impressione è che si tratti solo di una questione di tempo prima che i phisher inizino ad usare questa tecnica … Credo che questo attacco possa avere serie e diffuse implicazioni ed affliggere molti milioni di utenti in tutto il mondo … Fortunatamente allo stesso modo è facile difendersi da questo attacco".
I ricercatori di sicurezza evidenziano le seguenti ragioni per le quali questo tipo di attacco potrebbe avere un impatto su un gran numero di utenti della rete: 1. Tutto quello che bisogna fare per diventare vittime di questo attacco è visitare un sito web che ospita codice nocivo. Non si dovrà premere OK su nessuna finestra di dialogo o scaricare ed installare software malizioso. Basta visitare la pagina in questione per avviare il payload dell'attacco. 2. Molte persone non modificano la password predefinita dei loro router home broadband. Infatti secondo alcuni studi, il 50 percento degli utenti rientrano in questa categoria. 3. molte persone hanno attivo Javascript nei loro web browser (secondo alcuni studi il 95% degli utenti internet). Gran parte dei siti web fanno uso di questa tecnologia che risulta necessaria per il loro corretto funzionamento.
Ramzan raccomanda da tutti gli utenti che non hanno modificato la password predefinita del proprio router, di effettuare questa operazione immediatamente. Inoltre, come sempre, è consigliabile non visitare nessun sito "che non è riconosciuto almeno come affidabile". Bisogna evidenziare che anche le aziende produttrici di dispositivi di networking citate raccomandano ai loro clienti di modificare le password predefinite durante l'installazione degli stessi. Sul suo sito Web, Linksys avverte: "I cybercriminali conoscono queste password predefinite e tenteranno di accedere ai vostri dispositivi wireless per modificare le impostazioni di rete. Per evitare qualsiasi modifica non autorizzata, personalizzate la password del vostro dispositivo in modo che sia difficile da indovinare". Tuttavia spesso gli utenti meno esperti collegano i loro router senza effettuare questa necessaria procedura di sicurezza, lasciando le impostazioni predefinite intatte, e la maggior parte dei setup di prodotti sul mercato non richiedono nessuna interazione da parte dell'utente per la messa in opera dei dispositivi e per ottenere accesso alla rete.
Le varie aziende offrono informazioni dettagliate su come modificare la password del router sui loro rispettivi siti web. (D-Link - Linksys - NETGEAR).
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/02/2007]
"Storm" Trojan Torna via IM
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifDorf Trojan @ Sophoshttp://www.tweakness.net/immagini/news/spacer.gifTROJ_SMALL.EDW @ Trend Microhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/hacker2s.jpgIl worm "Storm", conosciuto anche come Storm Trojan, "Dorf" o "Peacomm", che il mese scorso ha colpito su vasta scala diffondendosi via spam in tutto il mondo, con svariante ondate di attacchi e varianti, sembra aver "attaccato" un nuovo fronte, sfruttando nuove capacità di propagazione via instant messaging.
Secondo quanto riporta eWeek, sono state isolate alcune nuove varianti di questo codice malware che sfruttano programmi come AOL Instant Messenger, Google Talk e Yahoo Messenger, per diffondersi tra i computer. Il worm rileva le sessioni di chat ed invia un messaggio IM con un link ad un sito web che ospita il codice nocivo. Se l'utente clicca sul link untore subisce l'infezione. Il worm si presenta con un messaggio apparentemente innocuo, tipo "Is it about you?" + link.
http://www.tweakness.net/immagini/links.gif Sophos Top Ten Gennaio 2007 - Storm Worm Attacca su Vasta Scala
Jose Nazario, software e security engineer di Arbor Networks, commenta: "I gestori delle botnet inietteranno periodicamente nuovi comandi in questa rete peer-to-peer, e una delle prime mosse è quella di ordinare alle macchine infette di scaricare svariati eseguibili … tra questi vi sono i binary aggiornati e altre componenti usate per attacchi DDoS [distributed denial of service], spam, e altro, compreso un rootkit in grado di nascondere la presenza del malware … Gli operatori stanno modificando continuamente la configurazione delle macchine per eludere firewall e filtri".
Il codice era stato battezzato "Storm" perché la prima ondata di attacco spam su vasta scala aveva sfruttato come vettore di social-engineering, con grande tempismo, le notizie sul ciclone Kyrill, che ha colpito il Nord Europa in maniera drammatica verso fine Gennaio.
Inoltre gli esperti hanno verificato che il codice è stato programmato per colpire con attacchi DoS popolari siti anti-spam ed anche i server usati dai malware rivali. La guerra fra diversi team di malware writer non è certo una novità in questo particolare settore della sicurezza informatica (ricordiamo per esempio la faida Mydoom vs Netsky). Tuttavia lo scontro tra Storm e Warezov, un altro popolare e recente mass-mailing worm, sembra svolgersi su un terreno diverso rispetto dal passato, esternamente alle macchine infette. Nazario commenta: "Invece di colpire le stesse postazioni infette, gli autori di questi codici hanno scelto di lanciare attacchi DDos contro le rispettive basi operative … Inoltre hanno scelto di lanciare attacchi DDoS a grande impatto contro aziende impegnate nella lotta anti-spam e anti-criminale, tra cui Spamhaus. Queste due reti malware sembrano specificatamente progettate per fare spam e quindi le iniziative anti-spam ostacolano il loro obiettivo primario di spam delivery".
Gli attacchi malware che usano i software IM si sono moltiplicati negli ultimi anni. Secondo uno studio dell'azienda di sicurezza Akonix Systems nel 2006 sono stati isolate ben 406 nuove minacce IM-borne, un dato che va paragonato a quello dei 347 attacchi rilevati dalla stessa azienda nel 2005. Secondo le previsioni di Akonix il numero di attacchi IM dovrebbe aumentare ancora durante il 2007. Secondo Nazario, sebbene il numero di worm specificatamente programmati per sfruttare le reti IM si sia ridotto negli ultimi tempi, è cresciuto di contro il numero di worm "multivettore", capaci cioè di propagarsi anche tramite questo canale di distribuzione.
http://www.tweakness.net/immagini/links.gif IM Worms: Hotmatom e Maniccum - Allerta Fake MSN 8: è un Worm IM
Per proteggersi da questo tipo di attacchi gli utenti dovrebbero configurare i loro client IM in modo da ignorare i messaggi provenienti da persone esterne alla propria lista contatti. Ad ogni modo vale sempre la buona norma di sicurezza di prestare particolare attenzione ai messaggi ricevuti inaspettatamente (come per le e-mail).
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/02/2007]
Firefox: Falla Cookie/Same-Domain
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifAdvisory full-disclosurehttp://www.tweakness.net/immagini/news/spacer.gifTest Casehttp://www.tweakness.net/immagini/news/spacer.gifBugZilla 370445
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/firefox_falla2.jpgMichal Zalewski, noto ricercatore di sicurezza e hacker, ha segnalato e descritto due giorni fa una vulnerabilità di sicurezza critica in Firefox 2.0.0.1, la versione più recente del famoso browser open-source. Il problema di sicurezza interessa anche le versioni precedenti del software di Mozilla. La falla potrebbe consentire ad un sito malintenzionato di "impersonare" un sito autentico ed impostare per conto di quest'ultimo un cookie sulla macchina attaccata e nell'ambito di attacchi cross-window e cross-frame di compromettere le informazioni scambiate tramite Ajax.
http://www.tweakness.net/immagini/links.gif Firefox 1.5.0.9: Falla per "Popup" - Altre
Zalewski afferma nel suo advisory full-disclosure: "Esiste un seria vulnerabilità in Mozilla Firefox, verificata nella versione 2.0.0.1, che quasi certamente interessa tutte le più recenti versioni del prodotto. Il problema risiede nel modo in cui Firefox gestisce le scritture della proprietà DOM 'location.hostname'. Tramite l'uso di uno script è possibile impostare questa proprietà ad un valore che non sarebbe altrimenti accettato come hostname durante il parsing di un URL regolare, includendo un stringa che contiene \x00. Facendo questo si provoca un particolare comportamento: internamente, le variabili stringa DOM sono NUL-terminated, e quindi la maggior parte dei controlli considerano un fantomatico 'evil.com\x00foo.example.com' come parte del dominio *.example.com. Il risolutore DNS, tuttavia, e gran parte del restante codice del browser, operano invece su stringhe ASCIZ native a C/C++, trattando l'esempio precedente come 'evil.com'. Questo permette a evil.com di modificare la proprietà location.hostname come descritto, ed inviare la richiesta HTTP risultante sempre a evil.com. Una volta caricata la nuova pagina, l'attacker sarà in grado di settare un cookie per *.example.com ed eventualmente manomettere il document.domain di conseguenza, in modo da bypassare la policy "same-origin" per XMLHttpRequest e accesso dati cross-frame/cross-window".
Zalewski ha anche reso disponibile una pagina di test che permette di verificare il funzionamento dell'exploit e la presenza della vulnerabilità nel browser. Dopo aver eseguito il PoC è possibile verificare l'esistenza del cookie coredump.cx (Strumenti – Opzioni – Privacy – Mostra Cookie). Per funzionare l'exploit necessita che il browser abbia Javascript attivo ed accetti cookie di sessione. Secondo Zalewski l'impatto di questa falla di sicurezza potrebbe essere alquanto grave: siti nocivi sono in grado infatti di manipolare i cookie di autenticazione di pagine third-party, e, bypassando la policy "same-origin", di modificare funzionamento e visualizzazione di questi siti.
Zalewski ha segnalato il problema al team Mozilla, che ha immediatamente aperto una pratica bug su BugZilla (370445). Nel giro di poche ore gli sviluppatori hanno già prodotto il codice necessario per la correzione del problema e poco fa il bug è stato segnato come "risolto" ed il fix è stato integrato nel trunk e nei rami di codice 1.8.0.10 e 1.8.1.2. Vista la gravità del problema, il fix sarà già reso disponibile con le imminenti "security release" per Firefox 1.5 e 2.0, rispettivamente gli aggiornamenti 1.5.0.10 e 2.0.0.2, attualmente previsti per il 21 Febbraio prossimo. In questo caso potrebbe esserci un ulteriore lieve delay sulla schedule di release considerato che il test sulle RC non aveva evidenziato stopper bug e che era già stato avviato il processo di realizzazione delle build l10n.
Nel frattempo il team di Mozilla suggerisce un workaround temporaneo di protezione: Digitate about:config nella barra degli indirizzi per accedere alle preferenze avanzte del borwser; Cliccate con tasto destro del mouse su qualsiasi voce e selezionate Nuovo->Stringa; Scegliete capability.policy.default.Location.hostname.set come nome dell'impostazione; Inserite come valore noAccess; Riavviate Firefox.
Ricordiamo che dopo 1/2 settimane dal rilascio di Firefox 1.5.0.10 e 2.0.0.2, Mozilla offrirà anche, agli utenti Firefox 1.5.x, il "major upgrade" automatico alla versione 2.0.x del browser. Attualmente infatti gli utenti Firefox 1.5.x che vogliono eseguire l'upgrade devono necessariamente scaricare ed installare manualmente Firefox 2.0.x. Mozilla ha già da tempo annunciato che Firefox 1.5.x sarà supportato solo fino al 24 Aprile prossimo, successivamente non saranno più rilasciati aggiornamenti di protezione e stabilità per questa versione del prodotto.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/02/2007]
Poste Italiane, Banca Intesa e Paypal: esplode il phishing italiano
http://www.anti-phishing.it/image.news/banca.p.p.pngSiamo in piena tempesta e le previsione per il futuro non sono delle migliori. Scusate il riferimento meteorologico, ma diversamente non potrebbe essere spiegata l’attuale situazione del phishing italiano, che si arricchisce nelle ultime ore di tre nuovi casi rispettivamente ai danni di Poste Italiane, Banca Intesa e Paypal Italia.
Ad accomunare i tre casi, tuttavia, ci pensa il classico italiano tradotto frutto di software di traduzione automatici, in grado di alleggerire il livello di pericolo, visto che per Banca Intesa i phisher hanno utilizzato la stessa e-mail impiegata lo scorso 11 febbraio contro il gruppo Poste Italiane, mentre per Paypal Italia i truffatori hanno dato vita ad una delle peggiori e-mail e sito clone mai visti.
L’e-mail truffa di Poste Italiane, Banca Intesa e Paypal:
http://www.anti-phishing.it/phishing...2007_email.png http://www.anti-phishing.it/phishing...2007_email.png Caro PayPal Member
Attenzione! Il vostro cliente di PayPal ? stato violato!
Qualcuno con il IP address 195.62.225.87 provato per accedere al vostro
cliente!
Scatti prego il collegamento qui sotto ed entri nelle vostre
informazioni di cliente per confermare che non siete attualmente. Avete
2 giorni per confermare le informazioni di cliente o il vostro cliente sar? locked.
Per ottenere Iniziato, Scattisi Prego Sopra
Attivi Il Vostro Accesso Di Cliente Di PayPal.
Questo email ? stato trasmesso dall'assistente in linea di PayPal per
verificare il vostro indirizzo di E-mail. Ci? ? fatta per la vostra
protezione, perch? alcuni dei nostri membri pi? non avranno accesso
alle loro operazioni bancarie in linea e dobbiamo verificarli.
Squadra Di Sicurezza Di PayPal
PayPal Inc.
Non risponda prego a questo E-mail. La posta trasmessa a questo
indirizzo non pu? essere risposta a.
I siti clone. Il dominio banco-posta-online.com non è più raggiungibile.
http://www.anti-phishing.it/phishing...02.2007_01.png http://www.anti-phishing.it/phishing...02.2007_02.png http://www.anti-phishing.it/phishing...02.2007_01.png
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]
Live Messenger Offre Malware
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/WinFixer.jpgIl software malware conosciuto comunemente come Winfixer, o Errorsafe, è stato distribuito tramite i banner pubblicitari che appaiono su Live Messenger. Questo grave problema è stato segnalato a Microsoft e team del colosso che si occupa della piattaforma di advertising ha indagato sull'accaduto ed ha prontamente rimosso gli annunci "nocivi".
Microsoft ha rilasciato anche un comunicato ufficiale a riguardo: "Microsoft è stata avvertita del fatto che alcuni malware sono stati distribuiti tramite gli annunci mostrati nei banner di Windows Live Messenger. Come risultato della notifica abbiamo immediatamente indagato sulla segnalazione e abbiamo rimosso gli annunci nocivi che violavano la nostra policy di servizio. Siamo in grado di confermare che questi annunci non vengono più mostrati in alcun sistema Microsoft. Ci scusiamo dell'inconveniente e stiamo rivalutando il nostro processo di approvazione degli annunci per ridurre la possibilità che simili problemi si verificano nuovamente. Per aiutare i clienti a proteggere i loro PC dalle minacce malware, Microsoft raccomanda ai clienti di seguire le nostre linee guida di protezione, disponibili all'indirizzo www.microsoft.com/protect".
I banner incriminati pubblicizzavano "Errorsafe", una applicazione che afferma di essere in grado di rilevare e riparare i problemi dei computer. Questo software è famoso, negativamente, perché spesso si installa nei PC senza il permesso degli utenti, e perché mostra falsi avvisi di sicurezza intesi a persuadere gli utenti ad acquistare un copia licenziata del software. La maggior parte dei vendor di sicurezza classifica Errorsafe, ed i software correlati come Winfixer, come Potentially Unwanted Program (Programmi potenzialmente indesiderati) o comunque ad un certo di livello di rischio di sicurezza.
Sandi Hardmeier, una Microsoft Most Valuable Professional, commenta sul suo blog Spyware Sucks: "Questa è una notizia molto brutta per gli utenti di Messenger, per MSN e Microsoft. Chi legge il mio blog regolarmente sa che mi sono molto impegnata nella lotta contro Winfixer, scrivendo di coloro che hanno tentato di infettare vittime tramite lo Sponsor Program di Messenger Plus!, o Activewin e MySpace. Non riesco ad esprimere quanto sia irritata ed infastidita e preoccupata da quello che è successo … Per anni ho presentato gli annunci di MSN Messenger come esempio di come la pubblicità possa essere distribuita in maniera sicura agli utenti finali senza esporli a rischio di attacchi malware … Oggi sembra tutto cambiato. Gli utenti sono stati messi a rischi diretto senza errori da parte loro e del resto non posso escludere i banner di Messenger quando aprono la loro finestra dei contatti, se non usando un hack third-party, eticamente scorretto". Hardmeier afferma di aver visto due tipi scenari di attacco nei quali i "bad guy" hanno tentato di installare Winfixer sui PC tramite gli annunci di Messenger: uno prevede un messaggio pop-up che appare senza alcuna interazione da parte dell'utente; l'altro richiede invece all'utente di cliccare sull'annuncio e di visitare una pagina web, e scaricare manualmente un installer". Hardmeier consiglia a tutti gli utenti di MSN Messenger di scaricare ed installare il file HOSTS di Mike Burgess che iuta a proteggersi da winfixer e da altri malware. Ulteriori informazioni e screenshot nel blog post di Hardmeier.
Gli esperti di sicurezza da tempo ormai hanno indicato gli annunci pubblicitari come potenziale nuovo vettore di attacco per la distribuzione di malware e codici exploit per le vulnerabilità software. I banner infatti offrono agli autori di malware un modo per piazzare codice d'attacco su siti web o servizi mainstream, normalmente classificati come affidabili e sicuri. Il nuovo incidente di Windows Live Messenger arriva a conferma di questa nuova minaccia.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]
KB927891: Un Fix del Fix per WU
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gifMSKB 927891http://www.tweakness.net/immagini/news/spacer.gifMSKB 916089http://www.tweakness.net/immagini/news/spacer.gifUpdate XP SP2 KB927891-v2-x86-ITA
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/mskb.jpgMicrosoft ha rilasciato un aggiornamento per un hotfix reso disponibile già precedentemente che correggeva un problema specifico di consumo delle risorse CPU durante l'esecuzione dello scan Windows Update per gli aggiornamenti delle applicazioni che usano Windows Installer (MSI) 3.1, tra cui gli update di Microsoft Office.
L'hotfix originale (916089) risolveva una serie di problematiche che potevano verificarsi eseguendo il servizio di aggiornamento di Microsoft, incluso un errore nel registro eventi relativo a svchost.exe.
Questi problemi potevano verificarsi sul sito Microsoft Update, su Aggiornamenti Automatici tramite Internet o via Windows Server Update Services (WSUS), con Microsoft Systems Management Server Inventory Tool per Microsoft Updates (SMS ITMU), con Microsoft Baseline Security Analyzer (MBSA), e con qualsiasi applicazione che esegue uno scan di aggiornamento usando il file CAB offline (Wsusscan.cab) che sfrutta Windows Update Agent (WUA).
Tuttavia, Microsoft ha verificato la possibilità per gli utenti di incorrere, dopo aver installato il pacchetto hotfix 916089, in un altro simile problema, sempre durante l'installazione di un update da Windows Update o Microsoft Update: il crash del processo Svchost.exe che esegue Windows Update e conseguenti errore di violazione di accesso e blocco dei servizi Server e Workstation. Per questo motivo ieri il colosso ha rilasciato un hotfix aggiornato 927891 che rimpiazza quello precedente. Questo nuovo update aggiorna il file Msi.dll (ed eventualmente Wmsi.dll) del sistema ed è disponibile per Windows Server 2003 e Windows XP nelle varie piattaforme.
Download: Windows Server 2003 | Itanium | x64 Edition - Windows XP | x64 Edition
Articoli MSKB: 916089 (KB originale) - 927891 (nuova KB)
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]
Windows Defender "Sotto Schiaffo"
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
Comunicato PC Toolshttp://www.tweakness.net/immagini/news/spacer.gifWindows Defenderhttp://www.tweakness.net/immagini/news/spacer.gifSpyware Doctor
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/..._spydoctor.jpgUn'altra azienda rivale di Microsoft nel campo della sicurezza ha pubblicato i risultati di uno test da cui emerge che Windows Defender, il software antispyware del colosso, integrato nel nuovo Windows Vista, è stato capace di bloccare solo un percentuale ridotta dei malware testati.
Secondo il test, condotto da Enex TestLab, ma sponsorizzato dal vendor australiano PC Tools, Defender è riuscito a rilevare e bloccare solo il 46.6% dei codici spyware usati come campione durante la sua funzione di quick scan, ed il 53.4% sfruttando la scansione più lunga completa. A confronto, secondo Enex, il prodotto di punta di PC Tools, Spyware Doctor, si è comportato significativamente meglio nel test, bloccando l'83% degli spyware in quick scan e l'88.7% in scansione full.
http://www.tweakness.net/immagini/links.gif Webroot Critica Windows Defender - Live OneCare Fallisce Test "VB100"
Il mese scorso anche Webroot Software aveva criticato la tecnologia di protezione antispyware integrata in Windows Vista, definendola "inefficace e debole". Webroot aveva condotto un test simile a quello di Enex, sfruttando in proprio campione di codici nocivi. Un team di Webroot ha testato Defender con una serie di Trojan horse, adware, keylogger, system monitor, ed altri programmi non desiderati, tutti provenienti da minacce in-the-wild. Gerhard Eschelbeck, chief technology officer di Webroot, aveva affermato: "Se si guarda ai dati, questi parlano da soli … Defender non ha bloccato l'84% dei malware testati. Questo non è il livello di performance che gli utenti desiderano". Spy Sweeper di Webroot al contrario del software di Microsoft aveva bloccato il 100% di queste minacce. Maggiori dettagli sulle affermazioni di Webroot sono disponibili nella precedente news dedicata.
PC Tools riserva invece un commento diretto ad entrambi i rivali, Webroot e Microsoft. Simon Clausen, PC Tools CEO, afferma: "Pur essendo d'accordo con Webroot nel concludere che la sicurezza di Vista non è sufficiente, il loro approccio contraddice fondamentalmente le regole dell'analisi statistica, e chiaramente produce un risultato sleale … Scegliendo a mano il set campione, è facile ottenere i risultati che più si desidera. Sarebbe stato anche possibile mostrare una capacità di rilevamento dello 0% per Vista … Abbiamo voluto provare attraverso una recensione indipendente e leale che la protezione anti-spyware di Vista è infatti inadeguata, e potrebbe dare vita ad un falso senso di protezione ai clienti".
Secondo Clausen, è stata Enex Testlab, non PC Tools, a scegliere i codici spyware ed adware da usare come test, descritti come "minacce spyware real-world in circolazione durante il 2006", per provare vari software tra cui Windows Defender e Spyware Doctor.
Matt Tett, Senior Test Engineer di Enex TestLab, commenta: "Abbiamo dato uno sguardo a vari vendor antispyware nel tempo per determinare il livello attuale di accuratezza nella protezione contro le minacce spyware nel 2006. Questi risultati mostrano che Vista richiede maggiore lavoro per proteggere gli utenti. I vendor di sicurezza third party, in particolare nel settore anti-spyware, rimangono una componente essenziale per ottenere tale protezione".
Vari analisti hanno da tempo previsto la fine dei software stand-alone anti-spyware, a causa di Windows Defender, gratuito ed integrato in Windows Vista, e della release di suite all-in-one, da parte di aziende come Symantec e McAfee, che integrano anche rilevamento spyware.
Microsoft non ancora commentato ufficialmente i risultati dei test resi pubblici dalle due aziende rivali.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]
Le truffe, colpa anche degli utenti di home banking
http://www.anti-phishing.it/image.news/apple.people.jpgUn vecchio detto recita "Chi è causa del suo male, pianga se stesso" e sembra proprio calzare guardando i dati che emergono da una sondaggio a campione condotto dall’ Osservatorio Nazionale sulla sicurezza informatica, sui possessori di conti di home banking. I quale nel 60% dei casi navigano in Rete senza le opportune precauzioni, ormai indispensabili, esponendosi di conseguenza alla nuova generazione di truffatori digitali. Ecco i dati emersi:
L’Osservatorio Nazionale sulla sicurezza informatica ha effettuato nel periodo di gennaio e febbraio 2007 un sondaggio su di un campione di 200 utenti home user’s (utenti domestici) e 100 business user’s che utilizzano regolarmente l’internet banking. I dati emersi sono davvero preoccupanti, soprattutto in considerazione all’esponenziale aumento di questa forma di utenza on line.
Dal sondaggio è emerso che:
UTENTI HOME USER’S
- di 200 utenti home user’s intervistati il 90% è a conoscenze dei rischi della rete, mentre il 5% non sapeva dei pericoli
- sempre di questi 200 utenti 60% usano sistemi operativi non aggiornati o fuori produzione, come ad esempio windows 95
- 88% ha installato regolarmente un antivirus, ma non sa dire se e con frequenza viene aggiornato
- il dato sicuramente più preoccupante è dato dal fatto che solo il 60% di questi utenti ha istallato un firewall
UTENTI BUSINESS
- di 100 utenti Business, intervistando i security manager tutti sono a conoscenza dei pericoli
- di questi 100 utenti, il 65% ha installato sistemi operativi fuori produzione, riconoscendone l’elevato rischio, ma affermando che i budget per il cambio con hardware e sistemi operativi più recenti non vengono concessi
- il 100% ha installato un antivirus
- il 100% ha installato firewall, ma di questi un 22% usa ancora firewall di vecchia generazione
- Tutti i security manager sono a conoscenza dei rischi della rete, e vorrebbero una collaborazione più attiva sul fronte della security con le banche
“ Dall’indagine da noi effettuata emerge che in sostanza circa il 60% degli intervistati quando si connette alla sua banca rischia di far intercettare i propri dati e quindi di essere vittima di una frode. – ha dichiarato Mirko Gatto, di Yarix – Il fatto e’ che fino ad oggi la sicurezza delle transazioni on line si e’ concentrata sulla “blindatura” dei siti delle banche, che infatti oggi possono essere ritenuti sicuri. Il fatto e’ che invece la falla della sicurezza e’ tutta nei pc degli utenti, che sono spesso esposti ad attacchi di ogni genere e con scarse difese.”
“ Il recente decreto Bersani ha ampliato parecchio il ricorso all’home banking soprattutto da parte delle piccole imprese e dei professionisti, che fino ad oggi vi avevano ricorso poco. E sono soprattutto loro le prede preferite dai truffatori on line, perché spesso sono i meno attrezzati sul fronte della sicurezza” – ha continuato Gatto.
L’Osservatorio e Yarix hanno anche diffuso un piccolo decalogo per la sicurezza dell’home banking:
1: Non rispondere mai a richieste di informazioni personali ricevute tramite posta elettronica o via sms
2: Non visitare mai i siti web ciccando direttamente nell’url ricevuto nella mail, ma digitare il rispettivo URL nella barra degli indirizzi
3: Verificare che il sito Web utilizzi la crittografia (https:// )
4: Esaminare regolarmente i conti bancari e della carta di credito, e ove l’istituto fornisca il servizio di ricezione sms per ogni movimento, attivarlo
5: Denunciare immediatamente eventuali sospetti di furto di informazioni
6: Usare sistemi operativi aggiornati
7: Usare antivirus e aggiornarli con cadenza giornaliera
8: Usare firewall
9: Non collegarsi mai da HOTSPOT, INTERNET CAFFE’ ETC ETC per fare consultare e fare transazione on-line
Non fidarsi.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Upda16/02/2007]
Phishing: 5 attacchi in tre giorni contro Poste Italiane ed eBay
http://www.anti-phishing.it/image.ne...p.phishing.pngL’escalation di truffe ai danni degli utenti italiani sembra non finire, anzi, piazza tre nuovi tentativi di phishing ai danni del gruppo Poste Italiane nella sola giornata di oggi, i quali si vanno a sommare ad un ulteriore caso avvenuto nella giornata di ieri, ed al ritorno del phishing contro eBay Italia apparso lunedì.
Il tutto ad alimentare una situazione di per se bollente, tanto da costringere lo stesso gruppo romano a correre ai ripari, pubblicando un’apposita guida video allo scopo di istruire ed informare i propri clienti sul rischio truffe digitali e come riconoscerle. (guarda)
Intanto sul piano tecnico i phisher sfoderano una nuova e-mail, la quella presenta sempre il medesimo testo già visto in ulteriori occasioni e qualche elemento grafico in meno, prelevato sempre in maniera fraudolenta dal sito Poste.it
Per eBay Italia, invece la minaccia arriva dalla classica e-mail, dall’italiano tradotto e graficamente improponibile, la quale smorza (fortunatamente) il livello di pericolo.
Le e-mail truffa:
http://www.anti-phishing.it/phishing...2007_email.png http://www.anti-phishing.it/phishing...7_email.01.png http://www.anti-phishing.it/phishing...7_email.01.png
I siti clone ospitati in Francia, Stati Uniti ed Italia. Del sito italiano non si dispone di un immagine, visto che il suo periodo d’attività è stato brevissimo grazie al rapido intervento delle autorità competenti.
http://www.anti-phishing.it/phishing...02.2007_01.png http://www.anti-phishing.it/phishing...02.2007_02.png http://www.anti-phishing.it/phishing...02.2007_02.png http://www.anti-phishing.it/phishing...2007_email.png
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
BootMerlin Worm Modifica Boot.ini
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gifW32/BootMerlin @ McAfeehttp://www.tweakness.net/immagini/news/spacer.gifBootMerlin @ Secuniahttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Boot_Merlin.jpgMcAfee ha scoperto e descritto un nuovo codice malware, chiamato W32/BootMerlin, che, pur non costituendo un pericolo particolare (classificato ad un rischio basso), presenta una particolarità cioè si occupa di modificare il Boot.ini delle macchine Windows infettate.
BootMerlin è stato programma in Visual Basic probabilmente da un virus-writer di lingua spagnola.
Il worm è un "network walker" che colpisce le workstation modificando il file C:\Boot.ini dei sistemi infetti in modo tale che al riavvio della macchina vengono mostrati alcuni messaggi in spagnolo Anti-Windows o Anti-Microsoft. All'esecuzione il worm può anche mostrare una animazione Wizard modificata sempre in questo senso. BootMerlin crea delle copie di se stesso, camuffandole con l'icona dei documenti Word, sui dischi locali e di rete presenti nel sistema. Il codice nocivo è in grado di infettare altri sistemi usando gli stessi dischi di rete.
McAfee riporta i seguenti file e location usati dal worm (X è la lettera del disco usato sulla machina infetta e %Windir% è il riferimento alla cartella di sistema):
%Windir%\System\csrss.exe
%Windir%\System32\dllcache\G-Vulcan-III.exe
X:\Recuerda que te quiero.exe
X:\LINEAS TELEFONICAS SIJIN VIEJA.exe
X:\PODER SALDARRIAGA1.exe
X:\SOLICITUD A MI GENERAL.exe
X:\SEGURO BTA EQUIPOS.exe
X:\CURSO CONSTITUCIONAL.copia.exe
Ricordiamo che esiste un file csrss.exe "legittimo" che si trova nella cartella %Windir%\System32 e che fa parte del sistema operativo Windows.
Il worm crea anche la segeunte chiave di registro per autoeseguirsi al boot del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\ "WinSound" = "%Windir%\System\csrss.exe"
Ricapitolando, i sintomi di infezione da BootMerlin sono: 1. animazione Wizard con messaggi in spagnolo anti-Microsoft; 2. modifica del file C:\Boot.ini; 3. messaggi Anti-Windows o Anti-Microsoft mostrati dal Windows Boot Manager durante il boot; 4. presenza dei file menzionati precedentemente; 5. presenza della chiave di registro e della entry di boot WinSound.
I messaggi che appaiono al boot possono essere eliminati ripristinando il contenuto del file Boot.ini precedente all'infezione. Per farlo si può usare un editori di testo. Per esempio:
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="AUN Usas Windows..?"/fastdetect
dovrà essere modificato in:
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="{nome sistema}" /fastdetect {ozpioni}
Attualmente in rete non sono disponibili ulteriori descrizioni ed informazioni sul worm.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
Falla RCE in Office Publisher 2007
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifAdvisory di eEye Digital Securityhttp://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/...2007_Falla.jpgL'azienda di sicurezza eEye Digital Security ha scoperto una prima presunta vulnerabilità nella nuova suite di produttività Microsoft Office 2007 che ha debuttato meno di un mese fa sul mercato retail.
eEye ha pubblicato un advisory sul suo sito web per segnalare la scoperta di una vulnerabilità "sfruttabile da remoto" che affligge il software Office Publisher 2007. Microsoft ha ricevuto notifica del problema di sicurezza il 16 Febbraio scorso. La falla permetterebbe ad attacker di eseguire codice arbitrario da remoto nel contesto dell'utente loggato al sistema. Ross Brown, CEO di eEye, afferma che l'azienda ha classificato il problema ad un rischio "alto" di sicurezza, tuttavia ha aggiunto che Microsoft molto probabilmente classificherà la vulnerabilità come "critica". Finora comunque non sono stati isolati codici exploit che tentano di sfruttare la falla in questione.
eEye, non ha reso pubblici ulteriori dettagli sulla vulnerabilità e non hanno spigato quale sia la componente di Publisher affetta. I ricercatori temono infatti che questo tipo di informazioni possano aiutare i cybercriminali nella creazione di un exploit, cosa che aggraverebbe notevolmente il rischio per gli utenti finali del nuovo software. Brown commenta: "Ripongo (in Microsoft) grande fiducia per l'innalzamento del loro livello di reazione al problema … Tuttavia una cosa è avere un falla, una cosa è avere un falla di controllo remoto. Tramite la loro iniziativa di trustworthy computing hanno implementato processi per la verifica della qualità del codice. Trovare un vulnerabilità di controllo remoto in un prodotto così recentemente rilasciato è stata una grande sorpresa per i nostri ricercatori". Andre Derek Protas, un security researcher di eEye, ha affermato che la speranza di trovare un livello di protezione più alto nella nuova versione di Office, oggi è minore: "Direi che abbiamo a che fare con lo stesso livello di protezione che abbiamo visto in Office 2000 e Office 2003".
Un portavoce di Microsoft ha confermato che il colosso sta analizzando le segnalazioni sua una possibile vulnerabilità in Microsoft Publisher 2007: "Microsoft non è attualmente a conoscenza di alcun attacco che tenta di sfruttare la vulnerabilità segnalata o di ulteriore impatto per i clienti … Microsoft continuerà a lavorare con eEye per comprendere ulteriormente la segnalazione come parte del nostro processo standard MSRC e fornirà ulteriori dettagli e linee guida per i clienti qualora necessario".
Ricordiamo che le precedenti versioni della suite Office di Microsoft sono state al centro delle attenzioni dei ricercatori di sicurezza per tutto il 2006 ed anche nei primi giorni del nuovo anno. Nei mesi recenti è stata scoperta una lunga serie di vulnerabilità nelle applicazioni che compongono la suite per l'ufficio del colosso di Redmond. In risposta c'è stata una grande attività malware associata alle varie falle, alcune delle quali interessavano anche la versione 2003, nelle componenti Word, PowerPoint e Excel. Nel 2005, Microsoft ha rilasciato solo 5 patch per correggere altrettante falle in varie versioni del suo software. Nel 2006, il numero di queste patch è salito a più di 25.
Le vulnerabilità in Microsoft Office offrono una piattaforma ottimale per gli attacchi di social engineering ed e-mail. Infatti, un gran numero di imprese, grandi e piccole, e clienti continua a condividere e scambiare informazioni tramite questo tipo di documenti che non viene bloccato dalla maggior parte delle soluzioni antivirus e firewall, e per questo motivo rappresenta un ottimo veicolo per nascondere codice malizioso eseguibile. Sfruttare vulnerabilità dei software stessi, usati per visualizzare questi documenti, significa anche ottimizzare il tentativo di attacco, che spesso risulta totalmente "invisibile" agli utenti meno esperti.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
IE7: Falla Spoofing "Onunload"
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifFull-Disclosurehttp://www.tweakness.net/immagini/news/spacer.gifAdvisory Secuniahttp://www.tweakness.net/immagini/news/spacer.gifDemo "IETRAP" per IE7
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/ie7_falla.jpgMichal Zalewski, noto ricercatore di sicurezza e hacker, ha scoperto una vulnerabilità in Internet Explorer 7, che potrebbe affliggere anche altri prodotti browser. La falla è stata classificata dalla nota azienda di security monitoring Secunia ad un livello basso di rischio.
Secondo Zalewski la vulnerabilità è causata da una combinazione tra una funzione di design "banale" presente in molti browser, che gestisce l'evento onUnload Javascript (permettendo ad un sito malintenzionato di impedire ad un visitatore di abbandonare la pagina), ed un metodo buggato che gestisce la transizione tra le pagine. Questa combinazione di fattori permette ad un attacker di "intrappolare" un visitatore, ma anche di ingannarlo a pensare che stia navigando su un nuovo sito non correlato. Un attacker può nel frattempo condurre qualsiasi tipo di attacco di spoofing o phishing.
Zalewski ha reso disponibile una pagina di test che permette di "provare" la vulnerabilità digitando qualsiasi sito come google.com, cnn.com, slashdot.org (sarà necessario JavaScript attivo).
http://www.tweakness.net/immagini/links.gif IE: Falla DoS ActiveX, Anche IE7 - Microsoft su IE7 e Falla Injection - Altre
Secondo quanto riporta Secunia Research, la vulnerabilità può essere sfruttata da una sito malintenzionato per eseguire lo "spoofing" della barra degli indirizzi. Sfruttando l'evento "onunload" è infatti possibile bloccare il caricamento di un nuovo sito web.
In particolare, la falla mette gli utenti a rischio in uno scenario normalmente elencato tra le "best practice", cioè quello in cui l'utente inserisce manualmente l'indirizzo web nella barra per visitare un sito affidabile (cosa che normalmente impedisce attacchi di spoofing) invece di seguire collegamenti (in particolare inclusi in messaggi di posta elettronica). Secunia ha verificato la falla su un sistema "fully patched" Windows XP SP2 con Internet Explorer 7. L'azienda di sicurezza non esclude che la vulnerabilità possa interessare anche altre versioni del browser.
Secondo Zalewski, Firefox non è attualmente vulnerabile a questo problema di sicurezza, ma consideratone il comportamento, è probabile che il browser open-source sia vulnerabile ad una variante del medesimo attacco (Firefox mostra infatti lo stesso comportamento di IE7 ma restituisce un pagina corrotta). Come "soluzione", Secunia suggerisce di chiudere tutte le finestre del browser dopo aver visitato siti non affidabili.
Sandi Hardmeier, una Microsoft Most Valuable Professional, commenta: "Al contrario di altre vulnerabilità di IE7 segnalate, che comportavano strani comportamenti del browser con evidenza per tutti (tranne per gli utenti più sbadati) che qualcosa stava andando storto, l'attacco a questa vulnerabilità è praticamente impossibile da rilevare … Detto questo, per sfruttare la vulnerabilità, è necessario convincere un utente a visitare un sito malizioso, e poi convincere il visitatore ad inserire manualmente un URL nella barra degli indirizzi". Secondo Hardmeier si tratta di un elemento importante di "user interaction", e questo riduce l'affidabilità e la superficie di un simile attacco.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
Guida a GMER Anti-Rootkit
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifGuida a GMER @ PC al Sicurohttp://www.tweakness.net/immagini/news/spacer.gifGMER Homepagehttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/GMER.jpgMarco Giuliani, esperto di sicurezza che collabora con la società di sicurezza Prevx, ha pubblicato una ottima guida all'utilizzo di GMER, programma che include una componente scanner antirootkit potente ma non proprio user-friendly. Riportiamo vari estratti dell'articolo e rimandiamo al sito di Giuliani "PC al Sicuro" per l'intera guida sul software di sicurezza.
Dalla guida: "GMER è attualmente uno degli scanner più utilizzati per l'individuazione e la rimozione di rootkit dai sistemi Windows. È spesso necessario effettuare scansioni antirootkit con software quali GMER perché gran parte degli attuali software antivirus non include tecnologie per l'individuazione di questa particolare minaccia, molto differente dalle classiche infezioni da worm, trojan, backdoor o gli ormai defunti virus. GMER risulta essere a volte un tool complesso … fornisce molti strumenti, alcuni avanzati ma in molti casi non sono necessari per l'utente che vuole semplicemente fare un check del sistema.
… Lanciamo gmer.exe. Ci apparirà una schermata del programma e per alcuni secondi il programma risulterà bloccato. In realtà sta effettuando una scansione preliminare del sistema alla ricerca di possibili rootkit nelle zone più delicate del sistema. Nel 90% dei casi se è presente un rootkit l'utente verrà avvertito già a questa prima scansione…
Quando GMER indica in rosso una riga e con la dicitura (*** hidden ***) in fondo al nome del file vuol dire che quello specifico file è nascosto agli occhi dell'utente e del sistema, cioè sta avvalendosi di particolari tecniche che permettono di poter agire indisturbato senza che l'utente sappia della sua esistenza … Oltre alle righe in rosso, l'utente si può trovare di fronte ad altre informazioni scritte in normale carattere color nero. In effetti GMER non elenca esclusivamente ciò che risulta nascosto nel sistema ma anche tutte le modifiche che vengono rilevate in alcuni punti cruciali del sistema ... L'utente meno esperto si dovrebbe curare particolarmente della presenza delle voci in rosso, poiché le voci in nero possono essere sì sintomo di un infezione ma andrebbero controllare con maggior dettaglio.
… Scansione completa del sistema. Sul lato destro del programma vediamo un elenco di voci da poter spuntare (sono tutte abilitate di default): sono le locazioni del sistema che GMER andrà a controllare. Per fare una scansione approfondita del sistema è consigliabile lasciarle tutte abilitate - compresa l'opzione ADS per controllare la presenza di eventuali file nascosti negli Alternate Data Stream del file system NTFS. Per prima cosa troviamo le voci in rosso, se ci sono, e ci clicchiamo sopra su ognuna con il tasto destro del mouse. Scegliamo l'opzione apposita per l'eliminazione - spesso solo un'opzione è utilizzabile per cui l'utente difficilmente si potrà sbagliare. Eliminate tutte le voci in rosso (può succedere che qualche voce in rosso non sia eliminabile immediatamente a causa dell'esecuzione del file, ma l'importante è che tutte le voci rosse che si potevano eliminare siano state eliminate. Riavviando poi il sistema e ri-effettuando una scansione sarà poi possibile eliminare ciò che prima non era eliminabile).
Se clicchiamo il pulsante in alto a fianco di Rootkit denominato ">>>" avremo accesso alle funzionalità avanzate di GMER. Tra le varie opzioni quelle che possono interessarci di più sono SERVICES e AUTOSTART. La voce SERVICES ci elenca tutti i servizi che partono all'avvio di Windows. Come sopra, possiamo controllare manualmente che non ci siano voci in rosso. Se ne vediamo alcune possiamo come al solito cliccarci sopra con il tasto destro ed eliminarle. La voce AUTOSTART invece ci dà una panoramica molto dettagliata di tutto ciò che parte all'avvio del sistema - servizi di Windows esclusi ovviamente … Infine, GMER fornisce anche un'ottima funzionalità di LOG, attraverso il pulsante COPY che è possibile trovare solitamente vicino al pulsante SCAN". Leggete la Guida a GMER completa su PC al Sicuro (include esempi e screenshot).
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
E-mail truffa: continua il phishing contro Poste Italiane
http://www.anti-phishing.it/image.ne...etta.poste.jpgNon sembrano destinati a diminuire i tentativi di phishing contro il gruppo romano, ormai sempre più unico bersaglio da parte dei truffatori digitali, che negli ultimi cinque giorni ha fatto registrare altrettanti tentativi di e-mail truffa.
Le quali si attengono al classico copione ormai utilizzato dai phisher da oltre un mese, con una falsa comunicazione che informa del rilascio di nuovi servizi nel portale poste.it, usufruibili unicamente dagli utenti registrati oppure che avverte che il proprio conto bancoposta è stato temporaneamente sospetto per motivi di sicurezza, e che potrà essere ripristinato solo dopo aver fornito i propri dati nell’apposito sito (clone).
Che continuano ad essere ospitati in maniera abusiva in server sparsi tra l’America e l’Europa (Inghilterra, Francia , Germania e Danimarca), fatta eccezione per l’unico sito clone in grado di sfruttare un apposito nome a dominio registrato ad hoc da parte del phisher.
Si tratta di poosteitaliane.info, capace di ingannare facilmente le propri vittime, specialmente se inesperte, visto che la doppia “o” non è immediatamente riconoscibile.
I siti clone:
http://www.anti-phishing.it/phishing...02.2007_01.png http://www.anti-phishing.it/phishing...02.2007_01.png
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
Storm Trojan Mira a Blog e Forum
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifDorf Trojan @ Sophoshttp://www.tweakness.net/immagini/news/spacer.gifReport di CNET Newshttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/hacker2s.jpgSecondo quanto riporta CNET News.com, una nuova variante di attacchi del codice Trojan conosciuto come Storm Worm sta colpendo gli utenti della rete che intervengono su blog e bulletin board. Il worm "Storm", conosciuto anche come Storm Trojan, "Dorf" o "Peacomm", aveva attaccato su vasta scala il mese scorso diffondendosi via spam in tutto il mondo, con svariante ondate e varianti.
Successivamente aveva "attaccato" anche un nuovo fronte, sfruttando aggiunte capacità di propagazione via instant messaging. Il codice nocivo era stato battezzato originariamente "Storm" perché la prima ondata di attacco spam su vasta scala aveva sfruttato come vettore di social-engineering, con grande tempismo, le notizie sul ciclone Kyrill, che ha colpito il Nord Europa in maniera drammatica verso fine Gennaio.
http://www.tweakness.net/immagini/links.gif "Storm" Trojan Torna via IM
Le ultime varianti isolate attaccano i computer di ignari utenti sempre all'apertura di allegati nocivi inclusi in messaggi di posta elettronica, all'apertura di link e-mail o durante la navigazione su siti malintenzionati, lo riporta Dmitri Alperovitch, principal research scientist di Secure Computing. La novità sta nel fatto che quando queste persone inseriscono interventi su blog e bulletin board, il malware aggiunge automaticamente ad ogni post un link ad un sito nocivo con lo scopo di diffondere l'infezione.
Alperovitch classifica questo nuovo comportamento ad un livello di rischio "alto": "Non avevamo visto sfruttare il canale Web finora … in passato, abbiamo visto link nocivi distribuiti ai contatti presenti nella rubrica dell'utente infetto, camuffati in modo da apparire come messaggi istantanei". Il nuovo livello di pericolo deriva dal fatto che l'utente sta effettivamente intervenendo su un blog o forum legittimo, ignaro che un link malizioso sarà iniettato nel testo del post.
Secondo quanto riportato da eWeek precedentemente, altre nuove varianti di questo codice malware avevano iniziato a sfruttare programmi come AOL Instant Messenger, Google Talk e Yahoo Messenger, per diffondersi tra i computer. Il worm rileva le sessioni di chat ed invia un messaggio IM con un link ad un sito web che ospita il codice nocivo. Se l'utente clicca sul link untore subisce l'infezione. Il worm si presenta con un messaggio apparentemente innocuo, tipo "Is it about you?" + link. Jose Nazario, software e security engineer di Arbor Networks, aveva commentato: "I gestori delle botnet inietteranno periodicamente nuovi comandi in questa rete peer-to-peer, e una delle prime mosse è quella di ordinare alle macchine infette di scaricare svariati eseguibili … tra questi vi sono i binary aggiornati e altre componenti usate per attacchi DDoS [distributed denial of service], spam, e altro, compreso un rootkit in grado di nascondere la presenza del malware … Gli operatori stanno modificando continuamente la configurazione delle macchine per eludere firewall e filtri".
http://www.tweakness.net/immagini/links.gif Sophos Top Ten Gennaio 2007 - Storm Worm Attacca su Vasta Scala
Inoltre ricordiamo che gli esperti hanno verificato che alcuni campioni del codice malware sono stati programmati per colpire con attacchi DoS popolari siti anti-spam ed anche i server usati dai malware rivali. La guerra fra diversi team di malware writer non è certo una novità in questo particolare settore della sicurezza informatica (ricordiamo per esempio la faida Mydoom vs Netsky).
Tuttavia lo scontro tra Storm e Warezov, un altro popolare e recente mass-mailing worm, sembra svolgersi su un terreno diverso rispetto dal passato, esternamente alle macchine infette. Invece di colpire le stesse postazioni infette, gli autori di questi codici hanno infatti scelto di lanciare attacchi DDoS contro le rispettive basi operative.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
"Wanuk" Worm Attacca Solaris
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifSun: Script anti-wormhttp://www.tweakness.net/immagini/news/spacer.gifCommento Symantechttp://www.tweakness.net/immagini/news/spacer.gifCommento Arbor SERT
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Wanuk.jpgA pochi giorni dalla pubblicazione delle informazioni relative ad una vulnerabilità nel telnet daemon (in.telnetd) del sistema operativo Solaris versioni 10 e 11, gli esperti di sicurezza hanno iniziato a rilevare impennate di traffico sulla porta 23 usata dal protocollo. Secondo quanto riporta Symantec, la maggior parte di questo traffico era dovuta ad operazioni di scanning in cerca di sistemi vulnerabili. Due giorni fa si è notata un nuovo "traffic spike", questa volta attribuito all'azione di un nuovo worm, "Wanuk", che sfrutta proprio la vulnerabilità in Solaris per diffondersi.
http://www.tweakness.net/immagini/links.gif Sun Solaris 10: 0-Day Bug in Telnet
Secondo quanto riporta Symantec sul suo weblog del Security Response, una volta attaccato ed infettato un sistema, il worm rilascia un eseguibile che crea una backdoor /bin/sh, che a sua volta si pone in ascolto sulla porta 32982/TCP. In aggiunta il payload di Wanuk include l'invio di messaggi broadcast "creativi" ed ironici diretti ad una serie di ricercatori di sicurezza, che comunque avviene solo in determinati momenti e giorni del mese in base a vari fattori. Sun ha affermato su un blog ufficiale di essere a conoscenza del nuovo codice nocivo programmato per sfruttare la vulnerabilità nel suo sistema. L'azienda offre contestualmente anche vari comandi che permettono di verificare l'infezione dal worm e uno shell script di "inoculation" che può essere lanciato da locale sui sistemi infetti, come utente root, per rimuovere il codice nocivo e prevenire re-infezioni.
Report in rete: ISC SANS – Sun Security Blog – Symantec Security Response Blog – Arbor SERT
Secondo quanto affermato precedentemente, la vulnerabilità nel telnet daemon (in.telnetd) di Solaris (CVE-2007-0882) poteva permettere ad un eventuale attacker di guadagnare facilmente l'accesso ai computer che eseguono il sistema operativo, da remoto, con privilegi elevati. Telnet in Solaris può ricevere informazioni di autenticazione tramite la variabile di ambiente USER ma non esegue correttamente la verifica di questi dati prima di passarli al programma di login. Questo problema può permettere ad un cybercriminale di bypassare i meccanismi di protezione di telnet. Nelle configurazioni di default di Solaris questa vulnerabilità non è sfruttabile per guadagnare accesso all'account di root, ma qualsiasi account non-root è vulnerabile a questo tipo di attacco. Sun Solaris 8 e 9 non sono affetti dal problema di sicurezza. Johannes Ullrich, CTO di Internet Storm Center, un sistema cooperativo di notifica e monitoring sulle cyber-minacce, ha spiegato, durante una intervista a InformationWeek, che semplicemente aggiungendo un cosiddetto "trick" o un semplice testo ad un comando Telnet, il sistema non chiede più username e password. Solaris 10 è stato rilasciato nel 2005, e più di 7 milioni di utenti secondo i report lo hanno finora registrato presso Sun.
Secondo Russ Castronovo, un portavoce della società di Santa Clara, le prime versioni di Solaris 10 presentano Telnet abilitato di default "out of the box", ma nelle più recenti release, compresa la versione beta di Solaris 11, è necessario abilitare specificatamente la componente. In genere, conclude il portavoce, Sun consiglia ai suoi clienti di usare esclusivamente il più sicuro protocollo Solaris Secure Shell SSH. A quanto pare Sun sta valutando di eliminare totalmente il vecchio Telnet dalla sua prossima release del sistema. Nonostante Telnet sia un protocollo ormai obsoleto, secondo gli esperti di sicurezza, questa particolare falla zero-day è causata dal codice del sistema operativo. Secondo quanto riporta l'advisory ufficiale di Sun per proteggersi dalla falla di sicurezza, almeno fino alla disponibilità di una patch di protezione, è consigliabile disabilitare il servizio vulnerabile, eseguendo un commando come "# svcadm disable svc:/network/telnet:default". In caso non sia possibile disattivare Telnet, per esempio per l'esecuzione di applicazioni hard-coded, sui suoi blog Sun suggerisce di abilitare i tcp_wrappers e di permettere l'uso di telnet solo da host fidati e necessari.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
"Mespam" Infetta Web 2.0 via LSP
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifSymantec Bloghttp://www.tweakness.net/immagini/news/spacer.gifTrojan.Mespam @ symantechttp://www.tweakness.net/immagini/news/spacer.gifSpam-Mespam @ McAfee
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Mespam.jpgIeri abbiamo segnalato una nuova variante di attacco che deriva dal codice Trojan conosciuto come "Storm Worm", e che sta colpendo gli utenti della rete sfruttando come vettore il web stesso. In queste ore sono stati pubblicati ulteriori dettagli su questo tipo di minaccia da parte di varie aziende di sicurezza. Prima di tutto bisogna precisare che il nuovo codice Trojan, che si occupa di iniettare link nocivi nei post degli utenti infetti, su blog, board e altri servizi web, è stato classificato come Mal/Cimuz-A (Sophos), Trojan.Mespam (Symantec), e Spam-Mespam (McAfee).
Il Trojan viene distribuito prevalentemente tramite la botnet del worm "Storm", aka "Dorf" o "Peacomm", che aveva attaccato su vasta scala a Gennaio diffondendosi via spam in tutto il mondo.
http://www.tweakness.net/immagini/links.gif Storm Trojan Mira a Blog e Forum
Quando gli utenti infetti con Trojan.Mespam stanno per inviare un intervento su un qualsiasi sito web che esegue VBulletin o phpBB, il codice nocivo aggiunge in maniera silente un link nocivo al pacchetto web in uscita. Lo stesso accade anche quando gli utenti stanno inviando messaggi di posta elettronica usando client web come Gmail, Yahoo Mail, Lycos, Tiscali, AOL, e molti altre applicazioni di posta Web-based. Gli utenti difficilmente si accorgono della modifica del proprio input, comunque non prima che il messaggio sia effettivamente stato inviato.
Trojan.Mespam è capace di aggiungere il contenuto nocivo al volo semplicemente controllando il nome del sito web o l'URL visitato. Questo è possibile perché il Trojan installa la libreria "rvsp32_2.dll" come Layered Service Provider (LSP) di sistema, cosa che gli permette di manipolare il traffico TCP/IP, intercettando pacchetti in uscita e aggiungendo i link nocivi. L'intero processo di manipolazione avviene a livello di rete. Symantec fa notare una scoperta curiosa: sembra che anche alcuni spammer della gang "Nigerian scam" siano stati infettati da questo LSP nocivo e abbiano iniziato ad inviare scam con link Mespam.
Questo tipo di attacco sembra funzionare molto bene nel mondo del "Web 2.0", in virtù della frequente interazione utente e della popolarità delle applicazioni web. Una minaccia ancora maggiore potrebbe manifestarsi nel momento in cui gli autori di Mespam e Peacomm decideranno di aggiungere ai propri Trojan il codice necessario per diffondere le infezioni su altri popolari canali Web, come YouTube, Myspace, feed RSS, o Google Docs.
Alcuni messaggi creati da Mespam, che si possono trovare su blog, board ed in e-mail:
- LOL! You must see this! http://[postcards_domain]
- Dont forget to see http://[postcards_domain]
- lol, look http://[postcards_domain]
- have you seen this? http://[postcards_domain]
- LOOL!!! http://[postcards_domain]
- just look http://[postcards_domain]
- :-) http://[postcards_domain]
Dove [postcards_domain] è uno di questi siti (NON VISITATELI): mailfreepostcards.com, postcardsbargain.com, 2007 postcards.com, ecolorpostcards.com, bestnetpostcards.com, freewebpostcards.com. I cybercriminali hanno il controllo diretto sulla componente LSP nociva, quindi questi messaggi ed i domini saranno modificati frequentemente. La raccomandazione classica in questi casi è quella di non cliccare su nessun link sospetto anche se questo è stato ricevuto da amici e gente fidata. In particolare gli utenti dovranno prestare attenzione ai domini che includono "postcards".
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
Sophos: Rapporto Sicurezza 2007
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifRapporto sulla sicurezza per il 2007http://www.tweakness.net/immagini/news/spacer.gifArticolo fonte @ sophos.ithttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/sophos.jpgSophos, società leader a livello mondiale nel settore della sicurezza informatica, ha pubblicato il "Rapporto sulla sicurezza per il 2007", che prende in esame il panorama delle minacce informatiche negli ultimi dodici mesi e delinea le tendenze previste per il 2007 in tema di malware e spam. Il rapporto rivela che gli Stati Uniti ospitano oltre un terzo dei siti web contenenti il malware identificato nel corso del 2006, e inviano una quantità di spam superiore a quella di tutti gli altri Paesi. La Top Ten dei Paesi che nel 2006 hanno ospitato siti web contenenti malware è la seguente:1. Stati Uniti (34,2%), 2. Cina (31,0%), 3. Federazione Russa (9,5%), 4. Paesi Bassi (4,7%), 5. Ucraina (3,2%), 6. Francia (1,8%), 7. Taiwan (1,7%), 8. Germania (1,5%), 9. Hong Kong (1,0%), 10 Corea (0,9%).
L'Italia occupa l'11esimo posto (0,8%) insieme con Canada, Malesia e Turchia. "Gli Stati Uniti si confermano la roccaforte delle attività illecite online. Malgrado l'impegno profuso dalle autorità per porre un freno ai crimini informatici, resta elevato il numero dei siti web che continuano ad adottare misure di sicurezza blande", ha dichiarato Walter Narisoni, Security Consultant di Sophos Italia. "Vista l'efficacia degli attacchi via web, è necessario che le società di web hosting operanti negli USA e in altri Paesi intensifichino i controlli sulla pubblicazione dei contenuti, garantendo tempestiva rimozione dei malware".
Per quanto riguarda lo spam prosegue il predominio indisturbato degli Stati Uniti che, pur avendo compiuto passi da gigante nella riduzione del volume di spam inviato, restano saldamente al comando della classifica dei principali produttori di e-mail "spazzatura". I dieci Paesi che nel 2006 hanno inviato la maggior quantità di spam sono i seguenti: 1. Stati Uniti (22,0%), 2. Cina con Hong Kong (15,9%), 3. Corea del Sud (7,4%), 4. Francia (5,4%), 5. Spagna (5,1%), 6. Polonia (4,5%), 7. Brasile (3,5%), 8. Italia (3,2%), 9. Germania (3,0%), 10. Regno Unito (1,9%). Gli esperti Sophos hanno constatato che il 90% di tutto lo spam proviene attualmente da computer zombi controllati a distanza dagli hacker per mezzo di Trojan, worm e virus.
Nel 2006 le minacce più prolifiche sono stati i worm appartenenti alle famiglie Mytob, Netsky, Sober e Zafi, che nel complesso hanno rappresentato più del 75% di tutte le mail infette. Tuttavia, secondo le previsioni di Sophos, nel 2007 si assisterà a un significativo cambio di rotta: anziché utilizzare la posta elettronica per diffondere il malware, i cybercriminali sfrutteranno la popolarità di Internet a livello globale e l'accresciuta interattività degli utenti web. La posta elettronica continuerà ad essere un importante vettore di diffusione del malware, ma il crescente utilizzo di soluzioni per la sicurezza del gateway di posta sta spingendo i criminali ad optare per altri metodi di attacco, tant'è che il numero dei siti web infetti è in costante aumento. I SophosLabs identificano attualmente una media di 5.000 URL al giorno che ospitano malware.
Nel corso del 2006, Sophos ha registrato un calo nell'utilizzo dello spyware tradizionale a favore di un maggior impiego di Trojan scaricati dai siti Internet. Per attirare gli utenti sui siti web infetti, i cybercriminali inviano una mail, per esempio con oggetto "Offerta speciale", in cui invitano l'utente a visitare un sito web che dovrebbe fornire ulteriori informazioni sull'offerta. Cliccando sul link all'interno del messaggio, l'utente scarica automaticamente sul proprio PC un file eseguibile. Questo file tenta a sua volta di scaricare ulteriori Trojan per mettere fuori gioco il sistema di protezione del PC. Solo a questo punto viene scaricato un componente spyware che, sul computer ormai privo di difese, avrà migliori probabilità di successo. Dalle statistiche stilate dai SophosLabs risulta che a gennaio 2006 circa la metà di tutte le mail infette conteneva spyware, mentre nel 40% circa dei messaggi erano contenuti collegamenti a siti web ospitanti Trojan downloader. A dicembre 2006 la situazione si è ribaltata: i messaggi contenenti link a siti Internet infetti costituivano oltre il 50% di tutte le mail infette, mentre il 42% circa dei messaggi conteneva spyware. Secondo gli esperti di sicurezza informatica, questa tendenza è destinata a restare invariata nel 2007 e oltre.
Nel 2006 Sophos ha identificato 41.536 nuovi malware, la quota dei Trojan è stata quattro volte superiore a quella dei virus e worm specifici di Windows. Infine, dal 2005 al 2006, il volume di mail infette è sceso da una mail su 44 a una mail su 337.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
Parte MoPB: Primi Bug PHP
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifMonth of PHP Bugs Homepagehttp://www.tweakness.net/immagini/news/spacer.gifBlog di Esserhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/MoPB.jpgStefan Esser, fondatore del Hardened-PHP Project e del PHP Security Response Team e guru di sicurezza informatica, ha inaugurato oggi l'iniziativa Month of PHP Bugs (MoPB), nell'ambito della quale saranno svelati durante tutto il mese di Marzo 2007 gli errori di programmazione più comuni nella progettazione di popolari applicazioni PHP-based, ed alcuni bug del codice sorgente stesso del linguaggio.
http://www.tweakness.net/immagini/links.gif Marzo 2007: "Month of PHP Bugs"
Stefan Esser è un security consultant e application developer che ha contribuito per circa 5 anni a dozzine di advisory relativi a buchi di sicurezza in software come CVS, Subversion, Linux, NetBSD, MySQL, PHP, Samba ed anche nella piattaforma Microsoft Xbox. 6 anni fa Esser ha iniziato a lavorare per PHP ed è divenuto in questi anni uno degli sviluppatori principali del progetto. Anche per questo motivo Esser ha scoperto la maggior parte delle vulnerabilità di PHP segnalate durante gli ultimi anni. Con l'intento di migliorare la sicurezza della piattaforma PHP, Esser ha fondato Hardened-PHP Project (poi rinominato Hardening-Patch per PHP), una progetto di piattaforma di programming parallela a PHP e focalizzata sui miglioramenti di protezione, ed il PHP Security Response Team, che comunque ha recentemente abbandonato, una sorta di mailing-list per gli sviluppatori principali di PHP che raccoglie i security report inviati all'indirizzo security@php [dot] net.
L'iniziativa dedicata alla disclosure di bug era stata annunciata una settimana fa circa. Da una precedente intervista di SecurityFocus : "L'obiettivo è quello di far capire alle persone ed in particolare agli sviluppatori stessi di PHP che esistono bug in questo linguaggio ... PHP ha una reputazione molto negativa relativamente alla sicurezza, e questo è causato per lo più da tutti gli advisory relativi a buchi di sicurezza segnalati per le applicazioni PHP-based. Per alcune classi di bug segnalati come, SQL injection e XSS, non è corretto, perché questi attacchi possono avvenire in qualsiasi linguaggio. Tuttavia le "Remote File Inclusion", le vulnerabilità dovute a register_globals, o gli altri problemi interni al motore di PHP possono essere giustamente attribuiti a PHP. Sfortunatamente questo tipo di considerazioni non è apprezzato dagli sviluppatori PHP che continuano ad affermare che PHP non è peggiore di altri linguaggi, e che il problema sta solo nelle applicazioni mal programmate. Il "Month of PHP bugs" mostrerà che esistono molti bug nel codice sorgente stesso di PHP".
Esser ha voluto ribadire che l'iniziativa MoPB non è dovuta ai dissapori "interni" alla community di sviluppo di PHP: "Dovete considerare il Month of PHP Bugs come un risultato di report di una nuovo audit du PHP … Sfortunatamente quando si svelano problemi di sicurezza nel codice di terzi o nel loro processo di gestione dei bug, gli sviluppatori si sentono spesso attaccati e feriti".
Esser ha già svelato i primi tre bug PHP-related in MoPB: 1. MOPB-01-2007 PHP 4 Userland ZVAL Reference Counter Overflow Vulnerability, in PHP 4 il codice userland è capace di mandare in overflow il counter di referenza interno16bit zval creando molte referenze ad una variabile. Questo porta ad una condizione double dtor attaccabile. 2. MOPB-02-2007 - PHP Executor Deep Recursion Stack Overflow, una profonda ricorsività di codice PHP userland esaurisce l'intero stack disponibile portando ad un crash a volte attivabile da remoto. 3. MOPB-03-2007 - PHP Variable Destructor Deep Recursion Stack Overflow, la distruzione di array PHP annidate profondamente esaurisce l'intero stack disponibile portando a crash attivabili da remoto.
Essere aveva commentato: "Sveleremo diversi tipi di bug, per lo più sovraccarichi del buffer e vulnerabilità double free(/destruction), alcuni solo locali, ma altri sfruttabili anche da remoto (per esempio perché si trovano in funzioni spesso esposte ad user input). Inoltre ci saranno alcune vulnerabilità minori nelle funzioni di protezione stesse di PHP. Saranno resi pubblici sono i buchi di sicurezza presenti nel codice rilasciato con la distribuzione predefinita di PHP ... La maggior parte delle vulnerabilità svelate nell'ambito del "Month of PHP bugs" sono state già segnalate ai rispettivi vendor, ma altre no (altre ancora sono già state corrette in PHP 5.2.1 n.d.r.) ... In totale abbiamo più di 31 bug da svelare, e quindi certi giorni ne sveleremo più di uno contemporaneamente".
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
Il phishing non molla. 10 casi in 3 giorni
http://www.anti-phishing.it/image.news/postacelere.jpgResta alto il livello d’allarme legato al phishing nazionale, che ormai da mesi continua incessantemente a martellare e giungere nelle caselle di posta elettronica di migliaia di utenti italiani. Facendo registrare negli ultimi 3 giorni, un vero e proprio record, con 10 nuovi tentativi di frode. Che utilizzando nomi a dominio appositamente registrati come www.possteitaliane.info o l’ultimo, rilevato poche ore fa, www.postte.info insieme ad hosting abusivi continuano a colpire il gruppo romano Poste Italiane.
Per le e-mail i phisher dimostrano di avere un certo attaccamento a tre false comunicazioni già viste in passato, che grazie al loro italiano comprensibile, ma comunque grammaticalmente stentato, smorzano nel limite del possibile la pericolosità dell’attacco.
Ecco gli ultimi siti clone:
http://www.anti-phishing.it/phishing...03.2007_02.png http://www.anti-phishing.it/phishing...03.2007_01.png
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 23/02/2007]
600 bancomat clonati. Prelievi abusivi dalla Svezia
http://www.anti-phishing.it/image.ne...-cards_170.jpgSfruttando un grande magazzino Upim durante il periodo dei saldi, hanno impiegato poche ore per clonare 600 carte bancomat e far tornare in Trentino il pericolo “skimming” dopo i fatti dello scorso 2005.
Più di seicento bancomat bloccati in poche ore ed una cinquantina di tesserine effettivamente clonate. Torna in città l'incubo delle card «copiate» e torna pure l'ombra di qualche organizzazione altamente preparata dal punto di vista tecnologico che agisce nel Nord Est. Da mesi le banche non registravano in Trentino casi di questo tipo, dopo l'ondata di clonazioni che fra novembre e dicembre 2005 portò al blocco preventivo ed alla sostituzione di qualche migliaio di bancomat.
L'allarme, grazie ai sistemi di sicurezza degli istituti di credito, è scattato nella notte fra sabato e domenica: più di 50 i prelievi con bancomat «trentini» effettuati in Svezia in poche ore. L'anomalia è stata subito segnalata ai responsabili delle banche per la sicurezza e sono scattati a partire da lunedì scorso i blocchi preventivi dei bancomat che risultavano essere stati utilizzati nel punto vendita Upim di via Manci. Da evidenziare che il grande magazzino è del tutto estraneo alla vicenda, essendo vittima anch'esso della banda di malviventi.
Sono circa 400 le tesserine bloccate dalle Casse rurali, circa 200 quelle appartenenti ad altri istituti di credito. Da quanto hanno appurato le banche, incrociando i dati dei possessori delle card, dei movimenti dei conti e del prelievo in terra svedese, è emerso con chiarezza un punto in comune: le tesserine erano state tutte utilizzate per pagamenti all'interno del grande magazzino del centro. Sarebbero passate dalla stessa cassa e strisciate nel medesimo Pos, quello manomesso all'insaputa dei dipendenti. Dell'accaduto è stata informata la polizia.
Le operazioni con le tessere clonate sono state effettuate tutte in Svezia con prelievi che non superano i 200 euro alla volta, per un raggiro complessivo attorno ai 10.000 euro. Molti clienti delle banche hanno ricevuto il messaggino sul cellulare sabato notte, con l'avviso di un prelievo di alcune centinaia di euro. Immediatamente hanno bloccato la loro carta attraverso il numero verde; altri clienti hanno schivato il rischio perché il bancomat in loro possesso era escluso dal circuito estero (opzione offerta dalle banche appunto per evitare prelievi indesiderati in caso di clonazione). Al momento sono stati bloccati solo i bancomat utilizzati nel grande magazzino negli ultimi dieci giorni di gennaio, ossia circa 600 tesserine. Il Pos in cui sono state strisciate le tesserine - appartenente ad una banca con sede fuori regione - è stato visionato dagli investigatori.
«I bancomat clonati sono stati utilizzati sabato notte, e già lunedì mattina abbiamo bloccato per precauzione 400 nostre tessere - spiega Mauro Foresti, responsabile dello sviluppo organizzativo della Cassa Centrale delle Casse rurali trentine - nel giro di poche ore il nostro sistema di sicurezza ha segnalato le numerose richieste di prelievo dall'estero e con una serie di incroci di dati siamo riusciti a capire il periodo in cui sarebbe avvenuta la clonazione e dove».
Sulle modalità tecnologiche della clonazione sono in corso indagini: è da verificare se all'interno dell'apparecchio siano rimaste tracce dei circuiti utilizzati per la duplicazione o se sia stato tutto «ripulito».
Due le possibilità che stanno vagliando gli investigatori: l'apparecchio Pos originale, all'interno del punto vendita, potrebbe essere stato sostituito da un Pos manomesso solo per qualche giorno, ossia per il tempo necessario a mettere in opera la truffa; ma non è escluso che gli apparecchi potrebbero essere stati alterati attraverso «skimmer», ossia «copiatori» integrati non visibili né dagli utenti né dai commessi del grande magazzino. [tratto da L’Adige.it]
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 02/03/2007]
Il Firewall di Vista è Vulnerabile
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifSymantec Bloghttp://www.tweakness.net/immagini/news/spacer.gifThe Impact of Malicious Code (PDF)http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Vista_Firewall.jpgSecondo quanto riportato dai ricercatori di Symantec, il firewall integrato in Windows Vista può essere facilmente "violato" a causa di alcune decisioni di progettazione fatte da Microsoft. Tre giorni fa, Orlando Padilla, un ricercatore di sicurezza del security response team di Symantec, ha pubblicato i risultati di uno studio sull'Impatto del Codice Nocivo su Windows Vista, in due blog post dedicati, evidenziando questa non trascurabile debolezza della componente firewall del sistema operativo.
http://www.tweakness.net/immagini/links.gif Vista Firewall: Limitato Per Scelta
"[Il firewall] impone una ottima limitazione all'azione del codice nocivo che cerca di creare una backdoor in un host … Sfortunatamente, il pulsante di Sblocco può essere raggiunto con lo stesso livello di privilegi di un utente standard. Questa configurazione di privilegi creare un punto di vulnerabilità che mina alla base l'efficienza dei criteri firewall in Windows Vista", scrive Padilla. Javier Santoyo, manager per il development nel gruppo di ricerca Symantec, spiega: "Violare un firewall non è nulla di nuovo, tuttavia Microsoft, con Vista e User Account Control [UAC], aveva l'opportunità di rafforzare questa funzione", e non lo ha fatto.
Secondo Santoyo, il problema è che il firewall di Vista blocca tutto il traffico di rete third-party e non sicuro a meno che l'utente non clicca il pulsante Sblocca: non è difficile per un attacker programmare un codice malevolo capace di eseguire questa operazione in maniera silente. Per automatizzare questa funzione basta sfruttare la chiamata API SendMessage, aggiunge Padilla. Microsoft avrebbe dovuto accertarsi che solo un click di un utente reale fosse in grado di sbloccare il firewall per una applicazione che chiede accesso ad internet. "Avrebbero potuto programmarlo in modo tale che solo un utente interattivo fosse in grado di cliccare questo pulsante".
Le motivazioni per ingannare Vista e permettere ad un malware di accedere ad internet sono chiare: "A quel punto sono in grado di scaricare ulteriore codice malware" o nascondere il traffico di command-and-control tra il PC infetto e quello del cybercriminale, sfruttando la macchina come spam zombie o denial-of-service attacker. "Supponendo che un attacker possa effettuare lo sblocco del firewall, la maggior parte delle funzionalità presenti comunemente in un bot sarebbero disponibili", scrive Padilla nel suo paper di ricerca. Secondo Symantec, un altro aspetto preoccupante di Vista è che non UAC permette ad un utente stardard di richiamare le funzioni, SetWindowsHookEx e GetAsyncKeyState, permettendo di eseguire un attacco per operazioni di perform keylogger o sniffer-like.
Novità nel Windows Firewall di Windows Vista e Windows Server "Longhorn":
Supporto per traffico in entrata ed in uscita; Nuovo Microsoft Management Console (MMC) snap-in per la configurazione GUI; Impostazioni integrate per Firewall filtering e Internet Protocol security (IPsec); Configurazione eccezioni per accounts e gruppi Active Directory, indirizzi IP sorgente e destinazione, numero IP, porte sorgente e destinazione Transmission Control Protocol (TCP) e User Datagram Protocol (UDP), porte TCP o UDP (tutte o multiple), specifici tipi di interfaccia (LAN, accesso remoto, interfaccia wireless, ecc..), traffico Internet Control Message Protocol (ICMP) e ICMP per IPv6 (ICMPv6) per Type e Code, e servizi. Il nuovo firewall supporta il firewalling per il traffico in entrata, quindi si occupa di far cadere il traffico in entrata "non richiesto" che non corrisponde né al traffico inviato in risposta ad una richiesta del computer (traffico richiesto) né al traffico non richiesto che è stato settato come "consentito" (excepted traffic). Questa funzione di firewalling è cruciale per il computer, infatti aiuta a prevenire le infezioni causate da virus e worm "a livello di rete" che si diffondo tramite traffico in entrata "non richiesto". Il comportamento predefinito del nuovo Windows Firewall: Blocca tutto il traffico in entrata a meno che non sia "richiesto" o specificato in una eccezione; Consente tutto il traffico in uscita a meno che non corrisponda ad una eccezione.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 02/03/2007]
Gromozon: "Windows Live Bomb"
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifArticolo di Symantechttp://www.tweakness.net/immagini/news/spacer.gifSegnalazione di Sunbelthttp://www.tweakness.net/immagini/news/spacer.gifWindows Live
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Gromozon_Live.jpgSecondo quanto segnalato sul weblog del Symantec Security Response, che riprende una segnalazione fatta dall'azienda di sicurezza Sunbelt, il motore di ricerca Windows Live di Microsoft è stato preso di mira dai cybercriminali che hanno creato il malware Linkoptimizer (aka Gromozon), codice nocivo molto popolare, "mirato" al mercato italiano.
Dal blog di Symantec: "Al momento, il problema è che quando qualcuno cerca una combinazione di parole chiave sul portale Windows Live, ottiene sempre un set di link 'particolari' tra i risultati della ricerca. Questi link sono legati probabilmente alla gang Linkoptimizer (aka Gromozon). Questo significa probabilmente che questi cybercriminali hanno tentato di realizzare un take-over dei risultati della ricerca Windows Live, con lo scopo di manipolarli e posizionare i propri link nocivi in cima ai risultati".
Questo tipo di problema, afferma Symantec, non è nuovo. Google era già stato preso di mira dalla stessa gang di cybercriminali durante il primo outbreak di Gromozon, verificatosi l'anno scorso. In questi casi di parla di attacco "Google bomb" (o anche 'link bomb'), che nel slang di Internet indica un tipo di attacco che si occupa di influenzare il ranking di una determinata pagina di risultati di ricerca, spesso con finalità umoristiche o politiche.
Ma come ha fatto la gang di Gromozon a realizzare questo tipo di attacco? Prima di tutto i cybercriminali hanno meticolosamente selezionato una lista di parole chiave "calde", parole che si riferiscono ad oggetti di particolare interesse o parole che semplicemente sono molto polari come query sui motori di ricerca. Questa lista è molto lunga, ecco tuttavia alcuni esempi riportati da Symantec: ricetta baci perugina, contratto collettivo colf, finanziamento online, cerco lavoro nave crociera, fastweb wind tele2, traduzione testo canzone, ministero sanità iscrizione, modella calendario, giubbotto pelle, incontro annuncio personale. In secondo luogo la gang ha registrato un grande numero di nomi dominio usando altre parole in italiano. Hanno poi creato nuovi domini con provider di spazio web differenti, usando nomi generati dalla permutazione o dalle varianti delle parole chiave menzionate precedentemente. Il formato URL usato dalla gang è simile a: http://[numero].[parola random].com/[keywords_permutation].
Tutto questo assicura già un buon rank sui motori di ricerca per le query in questione. Per massimizzare questo risultato sono stati inoltre usati altri trucchi. Cioè, per esempio, su ciascuna di queste pagine, è stata caricata una pagina con link verso siti legittimi correlati con la parola chiave specifica. Ognuna di queste pagina include inoltre un codice Javascript, che funzione come "redirector". È interessante notare che tutte queste pagine mostrano i colori della bandiera italiana come sfondo. Inoltre una colonna a sinistra sulla pagina presenta un lunga lista di URL che collegano ad altre pagine nocive. L'obiettivo è quello di creare uno spider web sofisticato ed intricato tra pagine web self-referenced che generano il più alto rank sui motori di ricerca sfruttando il funzionamento stesso degli algoritmi di analisi dei motori.
Secondo Symantec, questo particolare problema di sicurezza interessa Windows Live in Italia e Germania, ed anche qualche versione italiana di altri motori di ricerca, come Lycos, anche se con un impatto minore. Attualmente non si conoscono le precise finalità di questo tipo di attacco. Tuttavia sembra che qualcosa stia per "succedere". Il codice Javascript criptato, incluso nelle pagine nocive, re-indirizza i visitatori verso i domini hxxp://www.itzzot.cc e hxxp://e1.extreme-dm.com. Fortunatamente, per ora, nessuno di questi domini ospita file nocivi o codici exploit, ma le pagine si occupano solo di tenere traccia dei visitatori. Il team Microsoft di Windows Live dovrebbe tuttavia già essere a conoscenza del problema e star lavorando per filtrare correttamente questi risultati.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 02/03/2007]
GnuPG: E-Mail Criptate a Rischio
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifAlert di GnuPGhttp://www.tweakness.net/immagini/news/spacer.gifGNU Privacy Guardhttp://www.tweakness.net/immagini/news/spacer.gifCore Security Advisory
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/GnuPG.jpgUn problema di sicurezza in una tecnologia open-source di crittografia, ampiamente diffusa, potrebbe consentire ad utenti malintenzionati di violare i messaggi di posta elettronica firmati digitalmente e criptati. Il problema risiede nel modo in cui certe applicazioni e-mail mostrano i messaggi che sono firmati usando GNU Privacy Guard, tecnologia conosciuta anche come GnuPG e GPG, lo ha segnalato due giorni fa il gruppo GnuPG in un alert di sicurezza.
Secondo quanto riporta l'alert: "Risulta possibile inserire testo addizionale all'inizio o alla fine di un messaggio OpenPGP firmato e criptato, e quindi ingannare l'utente inducendolo a credere che questo testo addizionale faccia parte della firma digitale". Questo problema di sicurezza mette a rischio gli utenti che utilizzano questa tecnologia crittografica per autenticare o crittare i propri messaggi di posta elettronica. Un simile problema con la tecnologia GnuPG era emerso anche l'anno scorso.
Secondo Core Security Technologies, azienda che ha inizialmente scoperto la vulnerabilità, svariati client di posta elettronica open-source sono affetti dall'ultima problematica. La lista di prodotti vulnerabili include KMail di KDE, Novell Evolution, Sylpheed, Mutt e GnuMail.org. Anche Enigmail, una estensione per i client e-mail di Mozilla, presenta la vulnerabilità.
Core spiega nell'alert: "É importante notare che non si tratta di un problema di crittografia. Bensì la falla risiede nel modo in cui le informazioni vengono presentate all'utente ed in come le applicazioni third-party interagiscono con GnuPG". Oltre ad aggiungere contenuti per assumere le sembianze di e-mail sicure, gli attacker possono usare questo problema di sicurezza per bypassare le difese di content-filtering, tra cui gli stessi meccanismi antispam.
GnuPG è un soluzione gratuita alternativa alla tecnologia crittografica Pretty Good Privacy. Un messaggio di posta che sfrutta la crittografia OpenPGP può essere composto di diverse sezioni, e non tutte queste richiedono di essere firmate o criptate. I programmi di posta che non interpretano correttamente il messaggio possono indicare che questo è totalmente sicuro, quando invece, di fatto, non lo è. Arrigo Triulzi, membro dello staff del SANS Internet Storm Center, scrive sul blog dell'organizzazione: "Vedrete la bella icona che vi avverte che l'intero messaggio e criptato o firmato, indipendentemente dalla presenza di sezioni di testo, binari o altro, mentre invece non lo è".
Il gruppo GnuPG ha rilasciato degli aggiornamenti (GnuPG 1.4.7 e GPGME 1.1.4) per prevenire attacchi di "tampering" ai messaggi firmati o criptati, tuttavia ha evidenziato che le singole applicazioni e-mail potrebbero dover essere aggiornate allo stesso modo, per mostrare in maniera corretta i messaggi firmati dopo l'installazione dell'aggiornamento GPG. GnuPG afferma: "Dopo aver applicato queste patch, certe applicazioni vulnerabili potrebbe non riuscire a gestire determinati messaggi. La correzione dell'applicazione è necessaria, perché non ci sarebbe altro modo di farlo da parte di GnuPG", prosegue l'alert di GnuPG. Bisogna segnalare a questo proposito che il software Enigmail è già stato aggiornato e rilasciato con questo tipo correzione.
Core ha anche reso pubblico un work-around, per aiutare gli utenti e rilevare e prevenire l'exploitation della falla. Se un messaggio firmato appare sospetto, la validità della firma può essere verificata invocando manualmente GnuPG da linea di comando e aggiungendo lo switch speciale "--status-fd" per ottenere informazioni extra.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 09/03/2007]
Microsoft: Nessuna Patch a Marzo
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifMicrosoft Security Bullettin Notehttp://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/..._Patch_Day.jpgDopo aver rilasciato ben 20 patch di sicurezza lo scorso mese, Microsoft ha annunciato che non rilascerà nuovi aggiornamenti di protezione nell'ambito del prossimo Patch Day di Marzo.
Il colosso di Redmond ha però annunciato che renderà disponibile il 13 Marzo prossimo 6 aggiornamenti non relativi alla sicurezza: 2 su Windows Update e 4 su Microsoft update. In mancanza di nuovi bollettini di sicurezza per questo mese, Microsoft non terrà il consueto webcast su TechNet. Al contrario sarà rilasciato come di regola un aggiornamento per lo strumento di rimozione malware per Windows (KB890830). Bisogna notare che attualmente è stata svelata l'esistenza di almeno 5 vulnerabilità zero-day nei prodotti Microsoft per cui non sono ancora disponibili patch di protezione.
http://www.tweakness.net/immagini/links.gif Microsoft Patch Day Febbraio
Ricordiamo che il mese scorso il colosso aveva rilasciato 6 bollettini "critici" e 6 "importanti"; i bollettini critici includevano aggiornamenti di protezione per Office (2), Windows (2), e Internet Explorer (versione 6 e 7). A questi si era aggiunto un aggiornamento di protezione per il Microsoft Malware Protection Engine integrato in vari strumenti di sicurezza tra cui Live OneCare e Windows Defender.
Il "patch break" di Marzo sarà sicuramente ben accolto dai manager IT, ancora impegnati a testare la dozzina di fix che Microsoft ha rilasciato il mese scorso. Inoltre molti manager potrebbero essere occupati nel passaggio all'orario di Daylight Saving in US che inizierà con tre settimane di anticipo e terminerà una settimana dopo rispetto a quanto accadeva in passato. Secondo quanto riporta il blog ufficiale del TechNet Team Italia, eventuali disallineamenti tra i sistemi potrebbero portare ad avere informazioni non corrette nell'orario di invio e ricezione delle e-mail, nello scheduling degli appuntamenti o nella sincronizzazione dei sistemi stessi. A questo proposito evidenziamo che per venire incontro alle esigenze di professionisti IT, amministratori di rete e amministratori di database, Microsoft ha messo a disposizione un portale da cui è possibile accedere a tutte le informazioni necessarie per la configurazione dei sistemi IT e agli aggiornamenti relativi ai differenti sistemi operativi e applicativi server.
L'ultima volta che Microsoft non aveva offerto aggiornamenti di protezione nell'ambito del suo ciclo mensile di update era stata a Settembre 2005. Microsoft commenta: "L'azienda continua ad indagare su vulnerabilità potenziali ed esistenti con l'intento di aiutare a proteggere i nostri clienti … creare aggiornamenti di sicurezza che correggano completamente con efficacia le vulnerabilità è un processo lungo che prevede una serie di passi sequenziali". Ad ogni modo, il mancato rilascio di patch di sicurezza offrirà anche maggior tempo ai cybercriminali per realizzare e mettere in opera gli exploit delle vulnerabilità conosciute. Microsoft ha già confermato di star lavorando su un fix per un ennesimo bug scoperto in Word. Secondo quanto riporta l'US-CERT infine, sono già disponibili i primi codici exploit per una nuova vulnerabilità recentemente scoperta in Microsoft Windows Explorer che interessa la gestione dei documenti OLE malformati.
Il prossimo "Patch Day" di Marzo 2007 includerà:
• Aggiornamento per il Malicious Software Removal Tool su WU, Download Center, MU, e WSUS
• 2 Aggiornamenti NON-SECURITY High-Priority per Windows su Windows Update (WU) e SUS
• 4 Aggiornamenti NON-SECURITY High-Priority su Microsoft Update (MU) e WSUS
MBSA = Rilevabile con Microsoft Baseline Security Analyzer
EST = Rilevabile con Enterprise Scan Tool
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Sophos: Il futuro dei malware e' nella crittografia
http://www.anti-phishing.it/image.ne...d.spamming.jpgMalware sempre più pericolosi ed invisibili. E’ questo il futuro delle minacce on-line, secondo quanto riportato dall’azienda Sophos, che nel suo ultimo rapporto mensile, punta i riflettori su quello che è stato il malware leader dello scorso mese ed al tempo stesso il futuro incubo di milioni di protetti presonal computer:
“Il rapporto, compilato sui dati raccolti dai SophosLabs, rivela che la famiglia HckPk ha avuto il maggior impatto sugli utenti, rappresentando oltre la metà del malware segnalato nel mese di febbraio. Si tratta di malware modificato con l’ausilio di un programma di compressione allo scopo di nasconderne il carattere dannoso.
Sophos ha constatato che gli hacker utilizzano sempre più spesso strumenti per la crittografia e la compressione dei dati, con l’intento di camuffare il malware ed eludere le soluzioni di sicurezza. Il malware appartenente alla famiglia HckPk è programmato in modo tale da consentire agli hacker l’accesso remoto ai computer infetti. Il worm Dorf, in vetta alla classifica di gennaio 2007, e il worm di tipo mass-mailing denominato Dref, il malware più segnalato a dicembre 2006, sono soltanto due esempi di malware nascosto all’interno dei programmi HckPk. Inoltre, i criminali della Rete sono costantemente all’opera per modificare le tecniche di travestimento e bypassare i sistemi di protezione.
La top ten del malware per il mese di febbraio 2007 è la seguente:
http://www.anti-phishing.it/phishing...es_feb2007.gif
"Sempre più spesso i cybercriminali sguinzagliano il malware dopo averlo nascosto all’interno di allegati che molti programmi antivirus non identificano come dannosi", ha dichiarato Walter Narisoni, Security Consultant di Sophos Italia. "Queste strategie di mascheramento sono adottate anche da minacce ampiamente diffuse come i worm Dref e Dorf. Bloccando i programmi HckPk viene quindi neutralizzato anche il malware che vi si annida. Se non vogliono cadere vittima del malware compresso o criptato, gli utenti devono accertarsi che la propria soluzione antivirus sia anche in grado di riconoscere e bloccare in maniera proattiva il malware sconosciuto". [...]
A febbraio l’incidenza delle mail infette è stata dello 0,39%, pari a una mail infetta su 256. Inoltre, Sophos ha identificato 7.757 nuove minacce, pertanto il numero complessivo di malware da cui è in grado di proteggere è salito a 222.713.
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Rfid e' vulnerabile? Nel dubbio l'azienda blocca il convegno
http://www.anti-phishing.it/image.news/Stop_RFID.jpgProbabilmente chi aveva scommesso sull’infallibilità e sull’assoluta sicurezza della tecnologia Rfid avrà da meditare non poco. Recentemente è saltato un convegno nel quale i ricercatori della società di sicurezza IOActive avrebbero dovuto mostrare come sia possibile duplicare badge d’accesso realizzati con tecnologia Rfid.
Le ragioni? Evitare un potenziale costoso contenzioso giudiziario con l'azienda HID Global che vende sistemi di controllo accessi Rfid coperti da brevetto, oggetto di studio dei ricercatori della IOActive.
Così, la compagnia ha pensato bene di tirarsi indietro evitando da un lato di arricchire i propri avvocati con una causa giudiziaria epocale. Ma allo stesso tempo privando tutti noi della possibilità di conoscere nuove informazioni circa l’effettiva affidabilità del Rfid che viene sempre più spesso descritta come la panacea per risolvere tutti i problemi legati all’illecita circolazione di beni.
La notizia, la riporta il portale italiano dedicato all’Rfid, che, con molta onestà intellettuale, segnala ai propri lettori anche questa circostanza non propriamente lusinghiera legata al mondo Rfid. «il caso fa riesplodere la discussione sulla sicurezza dei sistemi Rfid» riportano dal sito «un tema caldo in molti circuiti del settore. Lo scorso anno, alla stessa conferenza, un ricercatore aveva dimostrato come duplicare un passaporto elettronico contenente un tag Rfid.
Ma la vicenda solleva anche altre preoccupazioni intorno al tema "disclosure", la diffusione delle informazioni all'intera security community. Osserva O'Brien, senior security analyst presso Sophos: “Occasioni come Black Hat sono pensate per porre le scoperte sulla vulnerabilità dei sistemi all'interno di uno sforzo collaborativo per superarli, ma il problema è che una volta che la presentazione avviene in un contesto pubblico ci potrebbero essere persone che hanno altre intenzioni”».
Secondo la testa d’uovo di Sophos, certe dimostrazioni si renderebbero quanto mai pericolose, perché costituirebbero un incitamento agli hacker. «Fare una dimostrazione sulla vulnerabilità dell'Rfid significa entrare in una zona rossa, c'è un rischio reale di educare un hacker a usare le informazioni per scopi illeciti». Come dire…magari le nostre tecnologie non sono sicure, anche se noi sosteniamo il contrario, ma, per carità che non si dica in giro! Chi si ricorda la favola del re nudo?!
Ecco alcune schede relative all’Rfid tratte dall’ottimo portale italiano dedicato all’argomento
«Rfid significa Radio Frequency Identification, ovvero identificazione a radiofrequenza. Con questo termine si indicano quelle tecnologie che consentono il riconoscimento a distanza di oggetti, animali e persone sfruttando le onde radio. Un sistema di identificazione a radiofrequenza è costituito da due componenti principali: un trasponder o tag, e un reader.
Il tag è l'etichetta che si appone all'oggetto. È qui che sono contenute tutte le informazioni ad esso relative e che lo identificano in modo univoco. I dati, memorizzati in un microchip, possono essere letti grazie a un'antenna che riceve e trasmette i segnali radio da e verso il reader Rfid.
Il microchip e l'antenna, insieme formano il tag Rfid e sono tenuti insieme su un supporto fisico. Il reader è il dispositivo, fisso o portatile, deputato alla lettura del tag Rfid, in grado di convertire le onde radio del tag in un segnale digitale che può essere trasferito su un computer. Per comunicare fra loro il tag e il reader devono essere sintonizzati alla stessa frequenza.
Rispetto al codice a barre e altre tecnologie di identificazione, la tecnologia a radiofrequenza offre numerosi vantaggi: la lettura non richiede contatto diretto e vista ottica, non c'è bisogno quindi dell'orientazione verso lo scanner. I tag possono essere letti contemporaneamente, possono lavorare in ambienti sporchi, contaminati e resistere anche a condizioni (agenti ambientali, sollecitazioni termiche, chimiche, meccaniche) molto difficili. Sono quindi più durevoli.
Contengono più dati rispetto al barcode e possono essere riscritti e aggiornati con nuove informazioni. Operano anche immersi in un fluido, dentro l'oggetto che si vuole identificare o all'interno di un contenitore. Inoltre il codice a barre identifica solo il lotto di un prodotto, ma non il singolo item. Il tag Rfid, invece, contiene un numero di serie unico e univoco che identifica ogni singolo prodotti fabbricato nel mondo.
I tag Rfid sono più costosi rispetto ai codici a barre, ma il il rapporto costi/benefici è generalmente vantaggioso. Sarebbe comunque sbagliato pensare che la tecnologia Rfid soppianterà il codice a barre. Molto più verosimilmente, le due coesisteranno».
Ulteriori informazioni: RFID Italia
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Vista: Backdoor in StickyKeys
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifStickyKeys Backdoor @ avertlabs.comhttp://www.tweakness.net/immagini/news/spacer.gifAccessibilità in Windows Vistahttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/...yKeys_Flaw.jpgSecondo quanto riportato su McAfee Alert Labs Blog, Windows Vista presenta una vulnerabilità di sicurezza nell'implementazione della funzione StickyKeys (Tasti Permanenti) destinata agli utenti disabili. StickyKeys è una funzione di accessibilità dedicata alle persone che non sono in grado di tenere premuto contemporaneamente due o più tasti. Quando una scelta rapida da tastiera prevede una combinazione di tasti (modifier key), come "Ctrl+Alt+Canc", StickyKeys consente di premere un tasto alla volta anziché tutti contemporaneamente. La funzionalità Tasti permanenti consente di premere il tasto MAIUSC, CTRL, ALT o il tasto logo Windows, mantenendoli attivi fino a quando non si preme un altro tasto. Per attivare la funzione è sufficiente premere un "modifier key" (es.: SHIFT) cinque volte di seguito (un avviso sonoro notifica l'attivazione della funzione).
Secondo i ricercatori di McAfee, Windows Vista non verifica l'integrità del file lanciato da StickyKeys ("c:/windows/system32/sethc.exe") prima di eseguirlo. Questo significa che sarebbe possibile rimpiazzare questo file con un altro eseguibile, in modo che venga eseguito alla pressione del tasto SHIFT per 5 volte. Per esempio si potrebbe sostituire il file con "cmd.exe", e il prompt dei comandi potrebbe essere richiamato così già alla schermata di login senza necessità di autenticarsi ed accedere al sistema.
Una volta lanciato il prompt dei comandi dalla schermata di login del sistema, un attacker potrebbe eseguire "explorer.exe", e guadagnare l'accesso completo al desktop sfruttando le credenziali dell'account NT Authority\system, e quindi l'accesso completo al sistema. Tramite il prompt dei comandi è anche possibile creare un nuovo utente ed aggiungerlo al gruppo degli amministratori (net command) e poi sfruttare questo account per eseguire l'accesso legittimo al sistema. Questo metodo "legacy backdoor" non affligge solo Vista ma anche Windows 2000 e XP. Applicando gli ultimi aggiornamenti per Windows l'utente può assicurarsi che il file "sethc.exe" venga protetto dalla funzione WFP (Windows file protection). In Windows Vista la sostituzione di file di sistema è ancora più complessa, in virtù della funzionalità "Trusted Installer". Tuttavia eseguendo 2 comandi è possibile evadere questo tipo di protezione:
takeown /f c:\windows\system32\sethc.exe
cacls c:\windows\system32\sethc.exe /G administrator:F
Per eseguire questi comandi tuttavia, è necessario aver eseguito l'accesso come amministratori di sistema. Un attacker, secondo McAfee, potrebbe comunque trovare dei workaround per eseguire l'exploit di questa backdoor, "integrata di default" nel sistema operativo. Per sfruttare questa vulnerabilità un attacker ad ogni modo dovrà ottenere in qualche maniera accesso alla macchina attaccata. McAfee evidenzia che tra tutti i casi di accesso non autorizzato ai sistemi riportati dalle varie aziende l'anno scorso, circa il 27% sono stato eseguiti da impiegati interni. Questo testimonia l'importanza della problematica in particolare per gli ambienti aziendali. Un'altra caratteristica preoccupante di questa backdoor è che un attacker può usare la tecnica per bypassare il login su server terminal e workstation con la funzione desktop remoto attiva. Considerando che l'exploit non richiede l'installazione di nessuno strumento o software third-party nel sistema, gli amministratori potrebbero aver difficoltà a rilevare questo tipo di attacco al sistema. McAfee suggerisce a coloro che vogliono evitare questo tipo di exploit ed eliminare la backdoor di disattivare gli strumenti di accessibilità.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Microsoft: Fix per OneCare-Outlook
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifArticolo fonte @ All About Microsofthttp://www.tweakness.net/immagini/news/spacer.gifReport @ computerworld.comhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/...Care_1_5_2.jpgMicrosoft ha rilasciato due giorni fa un aggiornamento per l'ultima versione di Windows Live OneCare, che va a correggere una serie di problemi di compatibilità con i software Microsoft Outlook e Outlook Express. La patch era inizialmente prevista al rilascio per la giornata di oggi, "Patch Day" atipico di Marzo, ma il colosso ha preferito distribuire l'update correttivo senza grande fanfara già l'11 Marzo scorso.
http://www.tweakness.net/immagini/links.gif Live OneCare 2.0 Beta a Breve
Vari "Microsoft watcher" avevano segnalato nei giorni scorsi un problema con Live OneCare che causava la cancellazione di messaggi di posta legittimi conservati nel programma di posta elettronica ad opera del software di sicurezza. Un portavoce di Microsoft Windows Live ha affermato: "Domenica 11 Marzo, il team Windows Live OneCare ha rilasciato un nuovo motore anti-malware che corregge il problema per cui OneCare metteva erroneamente in quarantena alcuni file Outlook .pst e Outlook Express .dbx quando venivano rilevati file infetti all'interno di essi. I clienti Windows Live OneCare i cui PC sono connessi a Internet riceveranno automaticamente il fix. Ci scusiamo con tutti i clienti per l'inconveniente causato".
Ad ogni modo coloro che intendono avere conferma di star usando la versione più recente del motore di scansione anti-malware possono eseguire questi passaggi manualmente: 1. Cliccare su "Modifica Impostazioni OneCare" nella finestra principale di OneCare. 2. Cliccare la scheda "Logging". 3. Cliccare il pulsante "Crea log di supporto". 4. Scorrere fino alla sezione Virus and Spyware Versions" e controllare la versione del AM Engine. Se il testo riporta la numerazione "2306" dopo 1.1 (come AM Engine: 1.1. 2306 .0), il motore è già aggiornato. Viceversa il motore necessita ancora di essere corretto. Per eseguire l'aggiornamento assicurarsi che il computer sia connesso alla rete e cliccare il link "Verifica aggiornamenti" nella finestra principale del programma. OneCare scaricherà ed installerà il fix.
Nel caso alcuni file Outlook .pst e Outlook Express .dbx siano già stati messi in quarantena prima dell'applicazione della patch, è possibile ripristinare i propri messaggi di posta con la seguente procedura: 1. Chiudere Outlook o Outlook Express. 2. Cliccare su "Modifica Impostazioni OneCare" nella finestra principale di OneCare. 3. Cliccare sulla scheda Viruses & Spyware. 3. Cliccare sul pulsante quarantena, selezionare i file pst o dbx in questione, e cliccare su Ripristina.
Ricordiamo che secondo quanto riporta Paul Thurrott su WindowsITPro, la fase di beta testing della nuova versione 2.0 di Windows Live OneCare, software di sicurezza Microsoft che offre un servizio ad abbonamento, automatico e auto-aggiornante, destinato alla cura del PC, partirà a breve, con la versione finale prevista al debutto nel terzo trimestre di quest'anno. OneCare Live 2.0 includerà tutte le funzioni di protezione offerte oggi da OneCare Live 1.5 e potrà essere usato in licenza su massimo 3 PC per household. OneCare Live 2.0 includerà funzioni di setup e sicurezza wireless ed un ottimizzatore dei tempi di boot del PC, offrirà report mensili sull'uso e la sicurezza della postazione, una nuova funzione di backup online dedicata ai file fotografici (a fronte di un canone addizionale), funzioni di monitoring e manutenzione di PC in rete, sharing di stampa e funzioni di tune-up automatizzate del PC. Thurrott ha anche pubblicato un link ad una survey su Microsoft Connect tramite la quale è possibile registrarsi nella waiting-list per la fase di testing di Windows Live OneCare 2.0 che partirà verso fine Aprile.
Nel frattempo OneCare Live 1.5 continua a ricevere critiche per quanto riguarda le performance di rilevamento di codici malware. Per maggior informazioni consultate le news dedicate.