-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
also allarme phishing in Germania: colpa di Skype
http://www.anti-phishing.it/image.news/paura.jpgIn altri tempi non avrebbe destato il minimo interesse e sarebbe passato inosservato, ma il crescente problema delle truffe on-line e la sempre più alta attenzione da parte degli utenti di servizi bancari, ha trasformato una serie di coincidenze sfortunate in un allarme generale per un presunto tentativo di phishing attraverso il vero sito web di un importante istituto di credito tedesco.
I protagonisti della singolare vicenda sono i clienti della Sparkasse, o meglio alcuni dei suoi clienti, i quali hanno visto comparire nella pagina di riepilogo della transazione da effettuare un numero telefonico situato nella Repubblica dello Zimbabwe da chiamare attraverso il noto software di telefonia Voip Skype.
Convinti di essere di fronte ad un elaborato tentativo di phishing, non hanno esitato a contattare il servizio clienti, per segnalare la truffa in atto. Anche se con loro sorpresa hanno appresso di essere gli autori del problema, a causa della toolbar di Skype installata nei loro sistemi.
La cui funzione è quella di "riconosce i numeri di telefono e i nomi Skype sulle pagine web, in modo da poter effettuare chiamate con un solo clic attraverso Skype." Peccato che questa volta abbia identificato il numero sbagliato, trasformando un codice bancario in un apparente numero del sud africa. Intanto l’unica soluzione per il momento è disinstallare la toolbar.
Ecco come appariva la pagina transazione degli sfortunati utenti tedeschi, in questa immagine fornita dal blog di Symantec.
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Phishing: Poste Italiane sempre nell’occhio del ciclone. Attenti alla truffe
http://www.anti-phishing.it/image.ne...aliane.old.jpgE’ ormai un fiume in piena quello che ha colpito Poste Italiane, unico obiettivo del phishing nazionale, che da oltre 3 mesi continua a far piovere nelle caselle e-mail di migliaia di italiani false richieste il cui unico scopo è quello di far abboccare all’amo il maggior numero di malcapitati.
Nonostante i rapidi ed efficaci interventi di chiusura da parte delle autorità competenti e della stessa Poste Italiane, degli appositi siti clone realizzati dai phisher, ed ospitati abusivamente in server altrui o in nomi a dominio appositamente registrati, il fenomeno non sembra intenzionato a cessare.
Il mese di marzo ha infatti realizzato per il momento ben 41 tentativi di phishing, con una media di 3 attacchi al giorno. 9 i nomi a dominio appositamente registrati, con lo scopo di rassomigliare al vero sito del gruppo romano. Alcuni esempi: poste-italiane.org – posste.info – posteitaliane.be. L’hosting abusivo rimane invece il sistema preferito dei phisher, alternando i loro siti clone tra siti che offrono spazio web gratuito e vere e proprie incursioni telematiche in server di ignare aziende e non.
Sul fronte e-mail, ossia la falsa comunicazione che invita l’ignara vittima a visitare l’apposito sito trappola, non è stata registrata nessuna variazione, rimangano pertanto invariati i modelli mostrati lo scorso 5 marzo. Il livello di pericolo rimane tuttavia alto visto il numero di attacchi giornalieri, per cui occhi aperti!!
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Microsoft: 7 Patch Non Rilasciate
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifArticolo fonte @ news.comhttp://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin2.jpgQuesto mese Microsoft non ha reso disponibile nessuna patch nell'ambito del "Patch Day" di Marzo 2007, limitandosi a rilasciare un aggiornamento per il suo strumento di rimozione malware per Windows (KB890830).
Sebbene il "patch break" di Marzo sia stato sicuramente ben accolto dai manager IT, ancora impegnati a testare la dozzina di fix che Microsoft ha rilasciato il mese precedente, ed occupati nel passaggio all'orario di Daylight Saving in US, il mancato rilascio di patch di sicurezza offrirà anche maggior tempo ai cybercriminali per realizzare e mettere in opera gli exploit delle vulnerabilità conosciute.
È interessante a questo punto dare uno sguardo alle vulnerabilità ancora presenti e prive di patch nei vari software del colosso di Redmond. Attualmente si contano quattro problemi di sicurezza ad alto rischio, due che preoccupano moderatamente, ed uno solo di lieve entità. Quattro falle affliggono Internet Explorer, una affligge Windows e due Office. La vulnerabilità scoperta da più tempo risale a Luglio 2006.
http://www.tweakness.net/immagini/links.gif IE7: Falla Spoofing "Onunload" - Word: Nuova Falla 0-Day "RCE" - Altre
CVE-2007-1091 (Alto rischio). Classificata come "Internet Explorer onUnload flaw (1091)," la falla affligge gli utenti di Internet Explorer, versione 7 e precedenti, ed è stata scoperta a Febbraio scorso. Un exploit condotto con successo può causare un denial of service (crash) ed eventualmente permettere accesso da remoto.
CVE-2006-6696 (Alto rischio). Classificata come "Windows flaw in WINSRV.DLL (6696)," questa falla affligge gli utenti di Microsoft Windows 2000, XP, 2003, e Vista, ed è stata scoperta a Dicembre 2006. Un exploit condotto con successo può portare ad una condizione di "elevazioni di privilegi".
CVE-2007-0870 (Alto rischio). Classificata come "Microsoft Word 2000 flaw (0870)," questa falla affligge gli utenti di Microsoft Word 2000 ed è stata scoperta ad inizio Febbraio. Un exploit condotto con successo può portare all'esecuzione di codice da remoto.
CVE-2007-0913 (Alto rischio). Alto rischio. Classificata come "Unspecified PowerPoint flaw (0913)," questa affligge gli utenti di Microsoft PowerPoint ed è stata scoperto sempre a Febbraio. Un exploit condotto con successo può permettere un elevazione di privilegi.
CVE-2006-4219 (Medio rischio). Classificata come "Terminal Services COM object flaw in Internet Explorer 6 (4219)," questa falla interessa gli utenti di Internet Explorer 6 ed è stata scoperta ad Agosto 2006. Un exploit condotto con successo può causare un denial of service (crash) ed eventualmente permettere accesso da remoto.
CVE-2006-3360 (Medio rischio). Classificata come "COM object flaw in Internet Explorer 6 (3360)," questa falla affligge gli utenti di Internet Explorer 6 ed è stata scoperta ad Agosto 2006. Un exploit condotto con successo può causare un denial of service (crash) ed eventualmente permettere l'esecuzione di codice nocivo.
CVE-2006-2658 (Basso rischio). Classificata come "Internet Explorer 'FolderItem' Object Access Remote Denial of Service Vulnerability (2658)," questa falla affligge gli utenti di Internet Explorer 6 ed è stata scoperta a Luglio 2006. Anche in questo caso un exploit condotto con successo può causare un denial of service (crash) ed eventualmente permettere l'esecuzione di codice nocivo.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
IE7: Falla Phishing Navcancl.htm
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifAdvisory di Aviv Raffhttp://www.tweakness.net/immagini/news/spacer.gifProof-of-Concepthttp://www.tweakness.net/immagini/news/spacer.gifVideo dimostrativo WMV
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/IE7_Phishing.jpgMicrosoft sta indagando su nuove segnalazioni relative ad una vulnerabilità in Internet Explorer 7 che potrebbe aiutare i cybercriminali a lanciare attacchi di phishing contro gli utenti del suo nuovo browser. La falla di sicurezza interessa Internet Explorer 7 su Windows Vista e XP.
Internet Explorer 7.0 presenta una vulnerabilità di cross-site scripting in una delle sua risorse locali. Questo problema in combinazione con una falla di design nel browser consente attacchi di phishing.
Un attacker può infatti usare un messaggio di errore mostrato dall'ultima versione del browser del colosso per dirigere gli utenti del software su siti web nocivi che saranno mostrati con l'indirizzo di un sito sicuro, come per esempio quello di una banca online, lo ha segnalato Aviv Raff, un programmatore israeliano esperto di sicurezza, sul suo sito web. Raff ha anche pubblicato un Proof of Concept dell'exploit della vulnerabilità, nell'ambito del quale un messaggio di errore (navcancl.htm) dirige i visitatori verso un sito arbitrario.
La vulnerabilità risiede nel messaggio che viene mostrato da IE quando il caricamento di una pagina web viene bloccato. Un utente malintenzionato potrebbe manomettere questo messaggio per includere un link nocivo nella pagina di risorse locale navcancl.htm (modificando il link che solitamente consente di ritentare il caricamento dell'indirizzo web).
Raff spiega: "Quando un navigazione viene bloccata, l'URL della pagina specifica viene inviato alla risorse locale navcancl.htm dopo il segno #. navcancl.htm si occupa di generare uno script nel link 'Refresh the page' in modo da permettere il ricaricamento del sito originario al clic dell'utente. È Possibile iniettare uno script in questo link in modo da questo sia eseguito al clic dell'utente su 'Refresh the page'. Fortunatamente Internet Explorer ora si esegue la maggior parte delle risorse locali (compreso navcancl.htm) nella 'Internet Zone', quindi questa vulnerabilità non può essere sfruttata per condurre un a attacco di esecuzione di codice da remoto. Sfortunatamente tuttavia, esiste anche una bug di progettazione in IE7. Il browser infatti rimuove automaticamente la URL path della risorse locale e lascia solo l'URL fornito. Per esempio quando un utente visita 'res://ieframe.dll/navcancl.htm#http://www.site.com', IE7 mostrerà 'http://www.site.com' nella barra degli indirizzi".
Un portavoce di Microsoft commenta: "Microsoft non è a conoscenza di attacchi che stanno tentando di sfruttare la vulnerabilità segnalata … continueremo ad indagare per aiutare a fornire assistenza addizionale ai clienti se necessario".
Per condurre un attacco di phishing tramite questa falla, un attacker potrebbe creare un link modificato ad arte alla risorse locale navcancl.htm con uno script che mostri contenuti fasulli di un sito fidato (se.:. una banca, paypal, MySpace). Quando la vittima aprirà il link inviato dall'attacker, una pagina "Navigation Canceled" sarà mostrata nel browser. La vittima penserà ad un errore nel sito o a qualche altro tipo di problema di rete e tenterà di ricaricare la pagina. Una volta cliccato sul link 'Refresh the page', verrà mostrato il contenuto fasullo (come per esempio un pagina di login fake) e la vittima sarà indotta a pensare di star visitando un sito legittimo, dato che la barra degli indirizzi mostrerà l'URL corretto. In rete sono disponibili un Proof-of-Concept dell'exploit e un video dimostrativo.
Fino alla disponibilità di una patch per questo problema di sicurezza Raff suggerisce a tutti gli utenti del nuovo browser di non prestare molta attenzione alle pagine "Navigation Canceled", evitando di usare il link integrato in questa pagina di errore per ricaricare i siti web.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
McAfee Mappa i Siti Web Pericolosi
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifComunicato McAfeehttp://www.tweakness.net/immagini/news/spacer.gifMapping the Mal Web - Marzo 2007http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/mcafee3.jpgMcAfee ha rilasciato i risultati di uno studio realizzato dalla divisione SiteAdvisor, che mira a creare una mappa globale dei luoghi più pericolosi e più sicuri in cui navigare ed effettuare ricerche sul World Wide Web. McAfee ha analizzato e classificato 265 domini top-level, come ad esempio il Giappone (.jp), la Italia (.it) e quello commerciale (.com), basandosi sui test di sicurezza Web contro spyware, spam, exploit e truffe.
Il report, "Mapping the Mal Web" ha rilevato sorprendentemente enormi differenze nella sicurezza da un dominio all'altro. Secondo questo ritratto a livello globale, ogni mese gli utenti Internet fanno oltre 550 milioni di click diretti verso siti Web pericolosi ed anche domini relativamente sicuri come la Germania (.de) o l'Inghilterra (.uk) comprendono milioni di click rischiosi. "Con questo report, McAfee ha creato una vera e propria guida ai domini di alto livello più pericolosi del Web," ha affermato Mark Maxwell, Senior Product Manager, McAfee Consumer and Small Business. "Quando si parla di sicurezza, appare chiaro che il Web non è molto differente dal mondo fisico. Ci sono quartieri sicuri e domini web sicuri, e ci sono luoghi dove è meglio non addentrarsi."
http://www.tweakness.net/immagini/links.gif McAfee "AudioParasitics" Podcast - McAfee: Aumento Minacce Mobile - Altre
Il software McAfee SiteAdvisor segnala in maniera intuitiva i risultati delle ricerche con icone di colore rosso, giallo o verde a seconda del rischio connesso, basandosi su test proprietari di oltre il 95% del traffico Web. Le valutazioni di colore rosso sono assegnate ai siti pericolosi che hanno fallito uno o più test McAfee per adware, spyware, virus, exploit, spamming, eccesso di pop-up o forti legami con altri siti valutati in rosso. I siti valutati in verde hanno superato ogni tipo di test. Il semaforo giallo viene assegnato a quei siti che hanno superato i test di sicurezza di McAfee ma hanno ancora qualche aspetto fastidioso, come ad esempio troppi pop-up, imponendo una certa cautela di navigazione all'utente.
Principali risultati dello studio: L'incidenza di siti rossi e gialli varia notevolmente nei vari domini top-level, spaziando dal minimo di 0.1% della Finlandia (.fi) fino alla massimo di 10.1% per la piccola isola di Tokelau (.tk). In generale, il 4.1% dei siti valutati da SiteAdvisor sono classificati in rosso o in giallo; Alcune attività via Web, come la registrazione presso un sito o il download di un file, sono significativamente più rischiose quando effettuate presso determinati domini. Per esempio, dare un indirizzo e-mail ad un qualsiasi dominio .info risulta in uno sbalorditivo 73.2% di probabilità di ricevere spam via e-mail; I più pericolosi domini delle grandi nazioni sono la Romania (.ro, 5.6% siti pericolosi) e la Russia (.ru, 4.5%). Inoltre è molto probabile che questi domini contengano exploit o utilizzino tecniche di "drive-by-download";
.info è il dominio generico più pericoloso, con il 7.5% dei siti classificati come pericolosi, mentre .com è il secondo dominio generico maggiormente pericoloso, con il 5.5% dei siti classificati come pericolosi; Tre dei cinque domini meno pericolosi sono nei paesi scandinavi – Finlandia (0.10%), Norvegia (.no, 0.16%) e Svezia (.se, 0.21%). Islanda (.is, 0.19%) e Irlanda (.ie, 0.11%); .gov è l'unico dominio spesso testato da SiteAdvisor nel quale non sono stati riscontrati siti pericolosi. .gov è disponibile solo per gli enti governativi degli Stati Uniti; Anche se il dominio .com è solo in quinto nella classifica dei domini più pericolosi, la sua grande popolarità amplifica notevolmente l'impatto sul rischio nella ricerca e nella navigazione. L'86.6% di click su siti catalogati come rossi o gialli approda su siti .com; Anche se Paesi Bassi (.nl), Germania (.de) e Inghilterra (.uk) sono domini di paese relativamente sicuri, classificandosi rispettivamente al 31esimo, 33esimo e 51esimo tra i più pericolosi, ognuno di questi domini conta mensilmente più di 2 milioni di click a siti rossi e gialli. Il Giappone (.jp) è classificato al 57esimo posto tra i più rischiosi e i siti rossi e gialli con dominio.jp ricevono circa 1.6 milioni di click al mese.
Il costo di registrazione basso o nullo e la minima svista nell'inserimento del dominio sembrano causare almeno alcuni dei più elevati livelli di rischio riscontrati per alcuni domini di alto livello. Per esempio, una ragione per cui il dominio .biz può essere favorito dagli spammer sta nel fatto che i domini .biz sono disponibili per utilizzo immediato, contrariamente agli altri per cui è necessario attendere in media 24 ore – un vantaggio cruciale per sconfiggere servizi anti-spam e blacklist.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Pirateria: dalla Romania l’ultima minaccia per eBay
http://www.anti-phishing.it/image.news/ebay.008.jpgSi tratta di uno scontro tra Davie e Golia quello intrapreso da eBay contro un pirata informatico rumeno soprannominato Vladuz, il quale in più occasioni si è divertito a sbeffeggiare i sistemi di sicurezza dal colosso mondiale delle aste on-line, il quale in netto "affanno" è stato costretto a rivolgersi all’FBI per cercare di porre fine al fastidioso problema.
C'è un pericolo che sta minacciando eBay: è conosciuto come Vladuz e sembra provenire dalla Romania. La minaccia è rappresentata da un cracker.
Oltre due mesi fa, l'attaccante conosciuto con il nick di Vladuz aveva bucato alcuni server appartenenti ad eBay. Da quel momento in poi, il cracker ha continuato a prendere di mira eBay e a deridere i suoi sistemi di sicurezza.
Come riportato da The Register, diversi attacchi possono essere collegati a Vladuz, il quale alla fine del mese scorso ha eseguito altri due attacchi contro il popolare sito web di aste online.
La tecnica di Vladuz per dimostrare che l'attacco fosse riuscito, era quella di postare delle informazioni sul forum del servizio clienti usando lo stesso sfondo rosa utilizzato dagli impiegati di eBay: in risposta ad un post dove Hani Durzy, portavoce di eBay, aveva dichiarato che Vladuz non era mai entrato nela rete interna di eBay, l'attaccante aveva risposto con : “Durzy... lies all the time” (“Durzy...mente tutte le volte”). E successivamente aveva replicato ad un altro post in riferimento ai suoi ritardi nelle risposte: “I was very busy. Being hunted by eBay doesnt' leave you much free time”. (“Ero molto occupato. Essere ricercato da eBay non ti lascia molto tempo libero”).
Nonostante il fatto che, secondo alcuni rappresentati dell'azienda, gli attacchi non abbiano colpito la rete dove risiedono i dati sensibili dei clienti, la loro gravità e frequenza ha richiesto un'immediata controreazione da parte di eBay, che si è rivolta niente meno che all' FBI per individuare l'attaccante. L'indagine porta in Romania, dove si suppone risieda Vladuz.
Catherine England, portavoce di eBay, non darebbe troppa importanza a questo attaccante, che viene considerato solo uno tra i centinaia di fisher che ogni giorno provano ad attaccare l'azienda.
Il problema reale di questa questione non è il singolo attacco eseguito da Vladuz, ma la quantità di aste fraudolente che sembrano accompagnare le sue attività. Infatti, dalla fine di Gennaio, è stato registrato un aumento nel numero di aste aperte che nel giro di un'ora venivano rimosse. Quindi, si sospetta che Vladuz ed i suoi complici siano i responsabili di tali azioni.
Secondo le statistiche di eBay, c'è una differenza notevole tra l'andamento delle aste PRIMA e DOPO l'entrata in scena di Vladuz. Si suppone che questa volatilità possa essere imputabile ad una sorta di “gioco del gatto che rincorre il topo” tra i cyber criminali ed il team di sicurezza di eBay: appena il team di eBay rimuove le aste fraudolente c'è sempre qualcuno che le riapre.
In passato eBay incolpava gli utenti per la loro disattenzione nel cadere nelle trappole dei fisher, ma adesso l'azienda ha trovato le prove del coinvolgimento di Vladuz & Co in molti di questi casi.
Vladuz afferma anche di essere l'autore di molti tools e software, come un'estensione di Firefox che inserisce automaticamente i codici di verifica (rappresentati in un'immagine - captcha) quando vengono fatte alcune transazione su eBay. [Tratto da Zone-H.it]
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
ruffe 899, 29 arresti per l’operazione "Hot Line", alla Telecom danni per 1 milone di euro
http://www.anti-phishing.it/image.news/hotline.jpgMaxi operazione anti-frode telematica in Abruzzo. La Squadra Mobile della Questura di Ascoli e di Pescara con il coordinamento del servizio centrale operativo della polizia di Stato di Roma hanno eseguito un blitz questa mattina alle ore 5:00 che ha portato all’arresto di ben 29 persone, raggiunte da un provvedimento di custodia cautelare.
Diverse perquisizioni, 150 agenti impiegati, e circa 34 indagati nell’ambito di un’operazione denominata "hot-line". Secondo gli inquirenti gli indagati avrebbero realizzato un sodalizio criminale finalizzato a truffare la Telecom tramite le numerazioni 899.
Secondo le ricostruzioni degli inquirenti, gli indagati avrebbero partecipato alle divisioni dei proventi dei costi di alcuni centri servizi intestatari di numerazioni ad alta tariffazione che iniziavano con prefisso 899 attraverso metodi fraudolenti.
In sostanza gli accoliti, come è stato illustrato nel corso di una conferenza stampa tenuta stamane dagli inquirenti «reperivano abitazioni in cui venivano attivate utenze telefoniche Isdn per generare numerose telefonate verso le utenze a tariffazione speciale; il gruppo si serviva anche di 'telefonisti' il cui compito era appunto quello di fare materialmente le telefonate. Il loro compenso veniva calcolato in base al numero effettivo di chiamate fatte, di solito 50 centesimi l'una»
Ma qual’era il volume d’affari complessivo della gang? Poiché la tariffa per le utenze può arrivare sino a 15 euro al minuto, e poiché la Telecom per queste utenze versa ai gestori dei centri servizi una somma oscillante tra il 60% e l’80% si parla di circa un milione di euro di danno per l’ex monopolista della telefonia.
«Le telefonate venivano concentrate nel fine settimana o nei giorni festivi» è stato spiegato in conferenza stampa «quando l'ufficio frodi della Telecom non era in grado di rilevare il traffico anomalo, consentendo, quindi, agli indagati di sparire subito dopo»
L'operazione 'Hot line', ha visto impegnati circa 150 agenti in provincia di Ascoli, Roma, Napoli, Palermo, Perugia, Bari, Pescara, Chieti, Genova, L'Aquila, Trapani, Arezzo e Teramo.
Secondo le prime ricostruzioni le utenze dalle quali partivano le chiamate fraudolente agli 899 sembrerebbero essere state realizzate ad hoc dai malfattori, ma non si escludono appropriazioni indebite di utenze di ignari cittadini al fine di perpetrare gli illeciti propositi di questa che, come direbbe Beppe Grillo, pare una vera e propria associazione per delinquere di stampo "telefonico".
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Google: AdScape e Trendalyzer
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifGoogle Blog: Trendalyzerhttp://www.tweakness.net/immagini/news/spacer.gifGoogle Blog: AdScape Mediahttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Adscape_Google.jpgAlcuni giorni fa Google ha annunciato sul suo blog ufficiale le acquisizioni di Gapminder Trendalyzer, software dedicato alle animazioni statistiche, e di AdScape Media, azienda di advertising "in-game".
Marissa Mayer, VP Search Products & User Experience di Google, scrive sul blog del colosso relativamente all'acquisizione di Trendalyzer: "Mark Twain ha detto, 'i fatti sono testardi ma le statistiche sono più flessibili'. Siamo abbastanza sicuri che la definizione di 'flessibile' di Twain sia ben diversa dalla nostra. Creare flessibilità nei nostri prodotti di ricerca, e-mail e altri, è un fattore estremamente importante nel nostro processo di organizzazione delle informazioni del mondo, ed è semplicemente naturale allo stesso tempo continuare a cercare modi di usare queste statistiche in maniera più 'flessibile'". Sul server di Google è disponibile una pagina di test "Gapminder World" che mostra le potenzialità d Trendalyzer.
Trendalyzer genera grafici dinamici ed altri originali effetti per la presentazione visuale di fatti, dati e statistiche permettendo di valutare agevolmente l'evoluzione dei vari fenomeni. Mayer commenta: "In poche parole, Trendalyzer vede i dati di development, come la distribuzione di introiti regionali o le tendenze globali della sanità, letteralmente come un mondo di opportunità. Come Google, Gapminder si Sforza di rendere le informazioni più utili e Trendalyzer migliorerà qualsiasi funzione o applicazione nella quale i dati posso essere meglio visualizzati … Raccogliere dati e creare statistiche utili è un lavoro arduo che spesso non viene premiato. Speriamo di poter offrire le risorse necessarie per portare questo lavoro al suo audience più ampio e meritato migliorando ed espandendo Trendalyzer rendendolo disponibile gratuitamente a tutti gli utenti capaci di pensare aldilà delle assi X e Y".
Da Gapminder.org: "Gapminder e Google condividono il medesimo entusiasmo per le tecnologie che rendono i dati più facilmente accessibili e comprensibili al mondo. Il software Trendalyzer di Gapminder svela la bellezza delle statistiche convertendo noiosi numeri in animazioni interattive godibili. Crediamo che l'acquisizione di Trendalyzer da parte di Google accelererà il raggiungimento di questo nobile obiettivo".
In un secondo blog-post Google ha annunciato l'acquisizione di AdScape Media, azienda che offre annunci pubblicitari non-intrusivi all'interno dei titoli videoludici. Questo accordo era già stato anticipato da vari rumor a Gennaio scorso, ed ora è ufficialmente confermato. Da Google Blog: "[Oggi] i giochi possono essere giocati ovunque e in qualsiasi posto. In questo mondo 'mobile', i giochi si sono evoluti per diventare parte integrante delle nostre vite. Al contrario della televisione, i gamer possono realizzare giochi autonomamente, personalizzando la propria esperienza in veri modi e noi li stiamo aiutando a farlo alla grande. Ma ovviamente sviluppare questi giochi sofisticati può essere molto costoso. Tornando agli anni ottanta il costo di produzione di un singolo titolo era di circa $100 mila dollari. Oggi un gioco può costare anche $25 milioni in produzione. La buona notizia è che ci sono alcuno gamer molto appassionati che hanno trovato nuovi soluzioni interessanti per introdurre pubblicità non intrusiva e mirata per rendere i gaming accessibile ed economico per tutti".
Ricordiamo che ad inizio anno Microsoft ha acquisito Massive Inc., un'altra importante azienda di video game advertisement per la cifra di $200 milioni. Google non ha ancora svelato i termini finanziari delle due acquisizioni annunciate 3 giorni fa.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Symantec: Report Sicurezza XI
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifSymantec Bloghttp://www.tweakness.net/immagini/news/spacer.gifInternet Security Threat Report XIhttp://www.tweakness.net/immagini/news/spacer.gifSommario
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Symantec_XI.jpgLa maggior parte degli attacchi informatici ha origine negli Stati Uniti, questo emerge da uno studio condotto dall'azienda di sicurezza Symantec, e reso pubblico nella giornata di oggi. Un altro dato degno di nota è che i cybercriminali stanno diventando sempre più organizzati nel creare veri e propri "crime rings" sempre più efficaci per condurre gli attacchi. Il report è focalizzato sugli attacchi verificatisi durante l'ultima metà del 2006 su più di 120 milioni di computer con installato il software antivirus di Symantec.
Il report di Symantec, Internet Security Threat Report XI, che rientra in un programma di ricerca semestrale, offre una finestra sul mondo dei codici nocivi, attacchi di rete, vulnerabilità, phishing e spam. Con un panorama di minacce dominato da furto di dati, leakage di dati, frodi, e attività criminale coordinata, il team di Symantec ha voluto dare importanza alla ricerca non solo ai tipi ed al volume degli attacchi, ma anche al come, dove e perché questi avvengono. Per la prima volta in questo report, Symantec ha voluto discutere non solo le cause prime di questo tipo di attività ma anche dove queste si originano ed il loro valore reale nella economia underground. La competizione sul mercato underground infatti sta portando ad una discesa dei prezzi delle informazioni su carte di credito "verificate", che oggi costano tra i $1 e $6 USD, mentre i dati "full identity" possono essere acquistati a $14.
Secondo Symantec il 31 percento dell'attività nociva ha origine all'interno dei confini statunitensi, una percentuale più alta rispetto a quella di tutti gli altri paesi. Al secondo posto di questa particolare classifica si piazza la Cina (10%), mentre è la Germania ad occupare il terzo posto con il 7% degli attacchi. Tra gli altri fattori emersi dallo studio segnaliamo l'aumento di spam e frodi online. Il 59% del traffico e-mail durante la seconda metà del 2006 era di spam, e sono stati identificati ben 166,248 messaggi unici di phishing. L'azienda di sicurezza sfrutta più di 2 milioni di account e-mail "civetta" in modo da attrarre messaggi da tutto il mondo e identificare attività di spam e phishing.
Dal Blog del Symantec Security Response: "Abbiamo visto un graduale processo in cui minacce combinate si sono trasformate da un singolo attacco mirato a milioni di persone ad un numero più alto di attacchi individuali mirati a singoli o a piccoli gruppi di persone … oggi un grande numero di queste minacce disparate stanno lavorando insieme con un gruppo relativamente ridotto di singoli e organizzazioni per raccogliere profitti. Quando diciamo profitti, non stiamo paralando di centinaia o migliaia di dollari, ma di milioni. Il 2006 Internet Fraud Crime Report ha stimato che negli Stati Uniti un po' più di $198,000,000 sono stati persi a causa di frodi durante tutto il 2006. Se si prendono in considerazione altre grandi economie mondiali, si parla quindi di miliardi di dollari … A partire dal 2005, il numero totale di minacce è aumentato di circa il 300%. Solo durante il 2006, il numero globale di minacce è aumentato del 64%. I codici Trojan sono aumentati di 22 punti percentuali, gli utenti home continuano a essere il settore più colpito con il 93% di tutti gli attacchi, phishing e spam continuano ad aumentare, il numero di computer bot-infected nel mondo ha superato quota sei milioni".
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Microsoft su Critiche a OneCare
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifAnti-Malware Engineering Team Bloghttp://www.tweakness.net/immagini/news/spacer.gifWindows Live OneCare Team Bloghttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/...Care_1_5_2.jpgGiorni fa Microsoft ha risposto ufficialmente, tramite i blog dell'Anti-Malware Engineering Team e del Windows Live OneCare Team, alle critiche ricevute per Windows Live OneCare che secondo alcuni recenti test offre scarse performance di rilevamento dei codici malware.
Come riportato precedentemente il software non ha infatti passato il "virus test" condotto dalla organizzazione "AV Comparatives". Live OneCare è stato l'unico programma antivirus tra quelli testati da AV Comparatives a non aver superato il test. Secondo i risultati, pubblicati sul sito web dell'azienda, OneCare è riuscito a rilevare l'82.4% dei 500.000 virus campione usati, un dato largamente inferiore a quelli ottenuti dagli altri concorrenti. Secondo AV Comparatives, il punto debole di Live OneCate è il rilevamento di virus polimorfici, che modificano la loro configurazione per avere maggiori opportunità di eludere lo scan degli antivirus, e dei cosiddetti "script malware" (solo il 67.6%). Inoltre secondo i risultati degli ultimi test condotti dalla società di analisi di Virus Bulletin a Febbraio su 15 prodotti antivirus, è emerso che Live OneCare ha fallito la certificazione "VB100", che indica capacità di rilevamento del 100% su un gruppo selezionato di codici nocivi comuni "in the wild".
http://www.tweakness.net/immagini/links.gif Live OneCare Fallisce Ancora - Live OneCare Fallisce Test "VB100" - Altre
Dal Blog ufficiale del Windows Live OneCare Team: "OneCare è stato testato da numerose organizzazioni in tutto il mondo ed è stato certificato come software di protezione antivirus da due importanti autorità di certificazione indipendenti del settore: : International Computer Security Association (ICSA) Labs e West Coast Labs. Questi labs sono ampiamente riconosciuti come autorità principali nell'ambito dell'industria della ricerca, dell'intelligence e del certification testing di prodotti anti-malware. Entrambe le organizzazioni, ICSA e West Coast Labs, sfruttano metodologie di testing che riflettono minacce malware "out in the wild" e riteniamo che questi test rappresentino un importante giudizio sulle performance di OneCare per le minacce "real world". A parte queste particolari certificazioni, stiamo anche analizzando accuratamente la metodologia ed i risultati di altri recenti test realizzati da altre organizzazioni nel mondo, cercando di carpire qualsiasi suggerimento che possa aiutarci a migliorare OneCare consentendoci di garantire il livello più efficiente di protezione e servizio possibile per i nostri clienti". Il team del colosso conclude il suo commento evidenziando che OnceCare è stato programmato come un soluzione di sicurezza e cura del PC che adotta un approccio olistico e multi-livello (anti-virus, antispyware, firewall, backup e ripristino, anti-phishing), ed in questo senso l'azienda continuerà a impegnarsi per l'ottimizzazione di tutti i vari aspetti del programma.
Dal blog ufficiale del Anti-Malware Engineering Team: "Identificare i problemi importanti ed assicurarci di risolverli prima che diventino problematiche reali per gli utenti; questo è il motivo per il quale MSRR si concentra sull'aggiunta di capacità di rilevamento per i malware più diffusi e attivi in the wild, e facciamo questo combinando il nostro ampio ventaglio di dati con l'esperienza di ricercatori malware e l'uso di tecniche di analisi, in modo da rispondere rapidamente a quelle minacce che avranno un impatto più grave sui nostri clienti … Continueremo a lavorare con gli enti di certificazione per conservare le certificazioni già ottenute, e per guadagnare il VB100 Award ogni volta che saremo testati da Virus Bulletin. Abbiamo mancato il VB100 durante l'ultimo test perchè ci è sfuggito un solo virus. Di conseguenza abbiamo adottato nuove metodologie per rimediare a questo. Il nuovo metodo è quello guardare più accuratamente alle famiglie di virus che sono state isolate "in the wild" (ITW), in diffusione tra gli utenti ... Vogliamo essere in grado di rilevare questi pericoli con le definizioni che sviluppiamo già oggi, e non dopo che la minaccia venga rilasciata pubblicamente … Quindi mentre ci concentriamo su ciò che è realmente importante (i malware diffusi ITW), aumenteremo anche questi altri numeri nei risultati dei test di rilevamento. Vedrete i nostri risultati crescere gradualmente e con costanza fino a che non saranno alla pari con quelli delle altre principali aziende del settore".
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Firefox 2.0.0.3 e 1.5.0.11 QuickFix
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifFirefox 2.0.0.3http://www.tweakness.net/immagini/news/spacer.gifFirefox 1.5.0.11http://www.tweakness.net/immagini/news/spacer.gifNote di rilascio
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/firefox_falla.jpgCome previsto, Mozilla ha rilasciato il terzo aggiornamento per la nuova versione del suo browser open-source, Firefox 2.0.0.3, ed il corrispondente aggiornamento di stabilità e sicurezza Firefox 1.5.0.11 per il suo prodotto di "prima generazione". Da notare che per questo aggiornamento non sarà rilasciata una nuova versione corrispondente di Thunderbird, il client e-mail di Mozilla. La nuova release Firefox 2.0.0.3 è disponibile al download sul sito ufficiale (getfirefox.com), in tutte le 41 localizzazioni (italiano compreso) per Windows, Mac, e Linux.
Firefox 1.5.0.11 è disponibile al download separatamente. Firefox 1.5.0.x sarà supportato con aggiornamenti di stabilità e sicurezza fino al 24 Aprile 2007. Mozilla raccomanda a tutti gli utenti del browser di eseguire l'upgrade al nuovo Firefox 2 (http://www.getfirefox.com). A breve, Mozilla offrirà anche agli utenti Firefox 1.5.x il "major upgrade" automatico alla versione 2.0.x del browser. Attualmente infatti gli utenti Firefox 1.5.x che vogliono eseguire l'upgrade devono necessariamente scaricare ed installare manualmente Firefox 2.0.x.
http://www.tweakness.net/immagini/links.gif Firefox 2.0.0.3 in "Ampio" Testing - Firefox 2.0.0.2 e 1.5.0.10 Update - Altre
Già due settimane fa, Mozilla aveva annunciato l'imminente rilascio degli aggiornamenti 2.0.0.3/1.5.0.11 per Firefox, che avrebbero corretto un serie di "regressioni" importanti introdotte nel precedente aggiornamento di stabilità e sicurezza 2.0.0.2/1.5.0.10, reso disponibile a fine Febbraio.
Tre giorni fa Mozilla aveva distribuito le versioni RC1 delle release tramite la funzione di aggiornamento automatico del browser ad un gruppo selezionato di beta tester. L'annuncio di questo nuovo approccio di testing è stato annunciato su Mozilla Developer Center.
Note di rilascio: Firefox 2.0.0.3 - 1.5.0.11
Le nuove release apportano miglioramenti in stabilità e compatibilità, con la correzione di alcuni bug introdotti con le precedenti release, tra cui problemi di autenticazione via certificato, con l'autofilling delle password, e un bug in Backbase, un framework di sviluppo Ajax-based. Gli aggiornamenti 2.0.0.3/1.5.0.11 includono anche la correzione per una vulnerabilità di sicurezza che affligge le comunicazioni FTP (MFSA 2007-11 FTP PASV port-scanning). Gli utenti di Firefox 2 e della versioni 1.5.x del browser riceveranno automaticamente gli aggiornamenti nelle prossime 24/48 ore. Ricordiamo che è possibile comunque cercare manualmente gli update attraverso l'apposito comando (Menu Help – Controllo l'esistenza di aggiornamenti).
Lista dei bug principali corretti in Firefox 2.0.0.3/1.5.0.11:
Bugzilla 371576 - Backbase bug
Bugzilla 373181 - Subscribing to RSS feeds
Bugzilla 371925 - Rendering problems for tfoot
Bugzilla 370136 - Firefox 2.0.0.1 and later breaks automatic client certificate authentification
Bugzilla 371525 - Password Trouble with Multiple Accounts
Bugzilla 370559 - handling responses to ftp pasv command
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update12/03/2007]
Alla fine la FIMI ammette: scaricare non è reato, condividere sì!
http://www.anti-phishing.it/image.ne...teria-logo.jpgAlla fine, la FIMI si contraddice. Contravvenendo ad ogni norma di cautela, forse per via di un refuso redazionale, lascia intendere che, sì, i giornali hanno sbagliato, ma…limitarsi a scaricare effettivamente non è più reato. Forse lo era prima, ma ora non più.
La cosa mette in imbarazzo non poco anche noi che, all’indomani della sentenza della cassazione, avevamo messo in guardia i nostri lettori invitandoli ad usare cautela: scaricare è ancora reato.
Invece la FIMI, Federazione Industria Musicale Italiana aderente a Confindustria, a margine del comunicato stampa con il quale aveva reso nota l’ultima ondata di denunce della Gdf in tema di diritti d’autore, ha dichiarato l’indichiarabile. «Recentemente gli organi di stampa avevano erroneamente diffuso la notizia che scaricare e condividere musica su Internet senza scopo di lucro non desse origine a violazioni penali» afferma ad un certo punto il comunicato della FIMI, per poi così proseguire «chi scarica semplicemente rischia una sanzione amministrativa, quella prevista dall‘art. 174-ter l. 633/41».
In sostanza, tiene a precisare il FIMI, ciò che è più grave non è tanto scaricare ma condividere. Infatti, mentre il mero downloading prevede la sanzione amministrativa di euro 154 (che diventano 1.032,00 in caso di recidiva o di fatti quantitativamente rilevanti) oltre confisca del materiale tecnologico utilizzato e pubblicazione del nome in un quotidiano a diffusione nazionale; la condivisione assumi aspetti sanzionatori di natura prettamente penale.
A tal proposito occorre distinguere, precisa il FIMI, «tra chi lo fa a fini di lucro e chi lo fa per profitto». Nel primo caso, si ricade nelle ipotesi dell‘art. 171-ter, comma 2, lett. a-bis) della legge n. 633/41 (che punisce i trasgressori con la reclusione da uno a quattro anni congiuntamente ad una multa da 2.582 a 15.493 euro); nel secondo caso – ovvero laddove manchi il fine di lucro e quindi vi sia solo il profitto –va applicata la sanzione prevista dall‘art. 171, comma 1, lett. a-bis) (che punisce i trasgressori con la pena non detentiva della multa da euro 51 ad euro 2.065).
Quello che il FIMI non dice –e da qui il rischio di un fraintendimento che poteva certamente essere evitato- è che generalmente quasi tutti i sistemi di file sharing consentono il downloading solo a condizione che l’utente effettui l’uploading di file di sua provenienza, o che, comunque, condivida risorse con gli altri utenti della piattaforma.
Pertanto l’ipotesi del solo downloading, non penalmente rilevante, diventa una mera ipotesi di scuola. Questa la seconda parte del Comunicato del FIMI «Con questa operazione sale ad oltre 170 il numero di soggetti denunciati per condivisione illegale di brani musicali in rete in Italia dal 2005, in violazione delle norme i vigore che puniscono la diffusione di opere protette dal diritto d’autore.
Recentemente gli organi di stampa avevano erroneamente diffuso la notizia che scaricare e condividere musica su Internet senza scopo di lucro non desse origine a violazioni penali. In occasione di questa nuova operazione contro la il file sharing illegale, FIMI vuole ribadire quali sono i comportamenti oggetto di rilevanza penale, a parte i profili di responsabilità civile, sempre tutelati, e confermare che le norme in vigore colpiscono, con diversi livelli di intensità,sia chi scarica sia chi condivide.
Chi scarica semplicemente rischia una sanzione amministrativa, quella prevista dall‘art. 174-ter l. 633/41. Colui che mette in condivisione opere protette occorre, invece, distinguere tra chi lo fa a fini di lucro e chi lo fa per profitto Nel primo caso, si ricade nelle ipotesi dell‘art. 171-ter, comma 2, lett. a-bis) l. 633/41; con sanzioni molti pesanti.. Chi condivide senza una contropartita economica rimane soggetto ad una sanzione penale che è quella dell‘art. 171, comma 1, lett. a-bis).»
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update21/03/2007]
eport Symantec: aumentano le vulnerabilità sui pc, calano gli attacchi BOT ai server
http://www.anti-phishing.it/image.ne...c-partner2.jpgL'undicesima edizione dell'Internet Security Threat Report pubblicata da Symantec Corp ha impietosamente registrato i dati relativi al secondo semestre del 2006. Nel periodo oggetto della rilevazione Symantec ha identificato in tutto il mondo oltre 6 milioni di computer infettati da programmi BOT, con un incremento del 29% rispetto al periodo precedente.
Per contro, il numero dei server di comando e controllo delle reti BOT diminuito del 25%, a conferma della tendenza al consolidamento e all'espansione di questo tipo di infrastrutture da parte dei loro proprietari. I Trojan horse hanno costituito il 45% della Top 50 del codice maligno identificato da Symantec nel periodo in esame, con un incremento del 23% rispetto alla prima meta' dell'anno.
A conferma dell'ipotesi effettuata da Symantec nell'edizione precedente dello studio Internet Security Threat Report, questo incremento significativo accentua la tendenza da parte degli hacker ad abbandonare i worm mass-mailing a favore dei Trojan horse.
Nella seconda meta' del 2006 Symantec ha individuato e documentato 12 vulnerabilita', con un drastico incremento rispetto alla prima meta' dell'anno 2006, quando era stata identificata soltanto una vulnerabilita' di questo tipo.
Secondo il report di Symantec vi sarebbero «server sommersi» che «vengono utilizzati frequentemente da singoli e organizzazioni criminali per contrabbandare dati rubati». Si tratterebbe di carte di identita', carte di credito, bancomat, codici PIN (Personal Identification Number), account utente online ed elenchi di indirizzi e-mail.
Il 54 % dei furti di identità digitale e di informazioni riservate digitalizzate avviene, però, con metodi “classici”, quali lo smarrimento o il furto di un computer o di CD ROM o chiavi USB. Per la prima volta nella storia di questo report, Symantec ha stilato una vera e propria classifica dei Paesi “canaglia” in tema di attività illecite consumate in maniera digitale e gli Stati Uniti hanno generato la porzione piu' consistente delle attivita' pericolose con il 31% del totale, seguiti dalla Cina con il 10% e dalla Germania con il 7%.
La versione completa dell'Internet Security Threat Report disponibile sul sito www.symantec.com/threatreport/.
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update21/03/2007]
Falla di Sicurezza in Windows Mail
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifVista - Windows Mail Client Side Code Executionhttp://www.tweakness.net/immagini/news/spacer.gifAdvisory SecurityFocushttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/...Mail_Vista.jpgUna presunta vulnerabilità di sicurezza in Windows Mail, il nuovo client di posta gratuito integrato in Windows Vista, potrebbe consentire ad eventuali attacker di eseguire comandi in maniera silente sui computer che eseguono il nuovo sistema operativo. Un utente malintenzionato potrebbe infatti sfruttare un messaggio di posta elettronica inserendo nel corpo della e-mail un particolare link malizioso che, se cliccato, è in grado di eseguire un programma presente sul PC senza generare alcun avviso o notifica per l'utente.
Si tratta di una vulnerabilità di "client-side file-execution" dovuta ad un bug di progettazione presente nel codice di Windows Mail. Il problema è stato segnalato e descritto sulla popolare mailing-list di sicurezza "Full Disclosure".
Secondo quanto riporta SecurityFocus di Symantec in un advisory dedicato, questa vulnerabilità può essere sfruttata solo per eseguire programmi o script che risiedono nativamente su un computer e che inoltre presentano una cartella con lo stesso nome. A quanto pare Symantec non è ancora riuscita a riprodurre la vulnerabilità usando una installazione predefinita di Vista. L'azienda continuerà comunque ad analizzare il problema più approfonditamente.
Microsoft sta già indagando sul problema, afferma un portavoce del colosso: "Come pratica raccomandata, gli utenti dovrebbe sempre prestare estrema cautela quando cliccano su link presenti in messaggi di posta inattesi provenienti da mittenti conosciuti e sconosciuti".
Secondo il portavoce del colosso Microsoft non è a conoscenza di attacchi che stanno tentando attualmente di sfruttare la nuova vulnerabilità segnalata in Windows Mail. Completato il processo di indagine, Microsoft rilascerà un aggiornamento di protezione e fornirà ulteriori assistenza a riguardo, ha aggiunto il portavoce del colosso.
Dave Marcus, security research e communications manager di McAfee, commenta: "In base a che cosa questo link dice di fare a Windows Mail, il rischio per gli utenti di Vista può essere anche significativo. Teoricamente gli attacker possono fare un sacco di cose; sono in grado di passare qualsiasi comando tramite questo exploit". Ad ogni modo bisogna evidenziare che il rischio risulta attenuato dal fatto che Vista non è ancora un sistema molto diffuso, aggiunge Marcus. "Non credo che si vedranno molti tentativi idi attacco semplicemente perché Vista è molto poco diffuso nelle installazioni PC … Credo che Microsoft prenderà comunque il problema seriamente e correggerà la falla nella prossima tornata di patch".
Ricordiamo che Vista ha debuttato sul mercato retail a fine Gennaio. A partire da quel momento Microsoft ha rilasciato un unico aggiornamento di protezione [MS07-010] che ha interessato il nuovo sistema operativo. In quel caso si trattava di una vulnerabilità critica isolata nel codice del motore di scanning anti-malware (Microsoft Malware Protection Engine)integrato in vari prodotti di sicurezza dell'azienda, tra cui Windows Defender, strumento anti-spyware integrato in Vista.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update21/03/2007]
Phishing: bentornata Banca Sella
http://www.anti-phishing.it/image.news/sella.logo.pngL’atmosfera del phishing nazionale è ormai bollente e a gettare ulteriore benzina sul fuoco ci pensa una nuova e-mail rilevata da Anti-Phishing Italia poche ore fa (16:00) ed indirizzata verso i correntisti dell’istituto di credito Banca Sella.
Il quale anche se non nuovo ai tentativi di phishing, sebbene l’ultimo caso risale all’ottobre del 2005, torna tra gli obiettivi dei phisher, il tutto mentre continuano a piovere comunicazioni fasulle contro i correntisti di Poste Italiane e Banca Intesa.
L’e-mail utilizzata (il testo risulta di difficile lettura e comprensione in quanto per l’ennesima volta frutto di software di traduzione automatici. Anche la formattazione denota, per nostra fortuna, una scarsa cura nella realizzazione dell’e-mail truffa.)
Il sito clone ospitato fisicamente in Olanda, risulta ospitato abusivamente sfruttando una falla presente nel sistema CMS del sito web colpito.
http://www.anti-phishing.it/phishing...03.2007_01.png
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update21/03/2007]
Piovono critiche su eBay: sotto accusa le sue password
http://www.anti-phishing.it/image.news/ebay.010.jpgSe siete tra quelli che utilizzano come password il nome utente, bene questa storia è per voi. Perchè potreste tranquillamente essere uno dei 90 utenti di eBay colpiti da un 21enne australiano in grado di sfruttare l’ignoranza informatica di molti e dello stesso colosso delle aste on-line per il proprio tornaconto personale.
Il suo nome è Dov Tenenboim, residente in un sobborgo di Sidney, il quale adesso rischia 11 anni di reclusione ed una multa di 9.900dollari, per aver pubblicato false aste on-line tramite eBay, nelle quali l’oggetto da aggiudicarsi era un inesistente iPod. Il tutto grazie a quegli utenti, in molti casi anche PowerSeller, la cui password d’accesso al sistema era uguale al proprio username.
Il giovane infatti una volta ritrovata la chiave segreta sfruttava il nome di rispettati venditori per pubblicare le proprie aste fasulle, il tutto all’insapute delle malcapitate vittime e degli acquirenti che convinti di fare affari sicuri, si ritrovavano con un “pugno di mosce” in mano mentre i propri soldi erano ormai nelle mani del ventunenne australiano.
Il quale tuttavia non si è fermato. Visto che in molti casi le password recuperate provenivano anche da caselle di posta elettronica violate, all’interno delle quali si celavano anche credenziali d’accesso a conti di banking on-line. Come quelli della Commonwealth Bank, all’interno della quale il giovane pirata ha effettuato una serie di operazione atte ad arricchire il proprio patrimonio.
Adesso mentre Dov Tenenboim aspetta di conoscere il proprio futuro, contro eBay si scagliano una serie di pesanti accuse, visto che per molti, utenti compresi, come riporta oggi The Register.co.uk, la colpa è anche del colosso mondiale delle aste on-line poco attento alla sicurezza dei suoi clienti.
eBay ,infatti, a differenza di altri servizi quali Gmail, consentirebbe ad un utente con username james34231 di utilizzare una password del tipo james34, assolutamente poco e facilmente trovabile anche dal pirata informatico più inesperto.
Un paradosso se si pensa che il fratello minore PayPal adotta, anche se a pagamento e per ora in alcuni paesi, generatori automatici di password (One-Time Password token), per il momento solo annunciati dal grande e sempre più inaffidabile eBay.
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 25/03/2007]
Windows e Hijack di Rete via Proxy
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifConfigure DNS and WINS to reserve WPAD registrationhttp://www.tweakness.net/immagini/news/spacer.gifShmooConhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin4.jpgUn problema isolato nel modo in cui i PC Windows ottengono le impostazioni di rete potrebbe permettere ad eventuali attacker di eseguire l'hijack del traffico in linea, lo hanno segnalato alcuni ricercatori di sicurezza Sabato scorso. Il problema risiede in un bug di progettazione nel sistema usato da Windows per ottenere le impostazioni dei proxy, hanno affermato i ricercatori di IOActive durante la conferenza dedicata all'hacking ShmooCon. Per questo motivo un attacker è in grado di accedere alla rete di una azienda, per esempio, inserendo un proxy nocivo e visualizzando così tutto il traffico generato.
Chris Paget, director per research e development presso IOActive, ha affermato durante una intervista successiva alla presentazione: "Il risultato di questo è che posso diventare un vostro proxy senza che voi ve ne accorgiate … Posso inserire l'equivalente di un segnale di deviazione sul vostro network e re-dirigere tutto il traffico". Questo è possibile perché Internet Explorer su Windows cerca in maniera predefinita la presenza di un server proxy usando il Web Proxy Autodiscovery Protocol, o WPAD. È emerso che un attacker può facilmente registrare un server proxy su una rete usando il Windows Internet Naming Service, o WINS, ed altri servizi di rete come il Domain Name System, o DNS. "Quando IE si avvia, eseguirà una richiesta alla rete per trovare il server proxy relativo".
Microsoft ha confermato l'esistenza della problematica ed ha pubblicato un articolo di supporto tecnico sul sito TechNet (KB934864): "Un client software configurato per usare Web Proxy Automatic Discovery (WPAD) deve essere in grado di contattare un host che fornisce un file di configurazione automatica proxy (Wpad.dat). Un client WPAD-configured può usare svariati metodi per localizzare un host che contiene un file Wpad.dat. Due di questi modi richiedono la registrazione di una voce WPAD nei servizi Domain Name System (DNS) o Windows Internet Naming Service (WINS). Registrare una voce WPAD in DNS o WINS consente ai client di risolvere i nomi degli host che contengono file di configurazione automatica proxy.
Se un soggetto può registrare furtivamente una voce WPAD in DNS o in WINS, e questa voce risolve ad un host con file nocivo Wpad.dat, i client WPAD sono in grado di eseguire il routing del traffico Internet tramite un server proxy malevolo. Gli amministratori di rete che non hanno ancora registrato voci WPAD legittime in DNS e WINS, e coloro che hanno implementato in maniera non corretta WPAD tramite DHCP e Option 252, dovranno riservare nomi host DNS WPAD e nomi record WPAD WINS statici. Facendo questo, gli amministratori possono aiutare ad impedire possibili registrazioni malevole". Nel suo articolo, Microsoft descrive nel dettaglio i passaggi che gli amministratori di rete possono seguire per risolvere la problematica.
In caso di un attacco di questo genere, condotto con successo, tutto il traffico di rete passerà attraverso il proxy dell'attacker. Questo significa che un utente malintenzionato è in grado di accedere a tutti i dati, eseguire un redirect o manipolare gli stessi, per portare a compimento qualsiasi tipo di azione criminale, ha aggiunto Paget. Tuttavia il problema del proxy non rappresenta una vulnerabilità critica di sicurezza. Un attacco è possibile solo dopo aver ottenuto accesso alla rete presa di mira, non tramite Internet. "Il rischio più grande per una impresa potrebbe arrivare dagli individui interni ad essa, e malintenzionati … Non c'è motivo quindi di allarme generale e allerta critici". Ad ogni modo questo non elimina la necessità di correggere il problema, dato che le minacce che partono dall'interno delle aziende costituiscono un problema reale e molto attuale. Allo stesso modo, fanno notare i ricercatori, il problema dei proxy potrebbe attirare l'attenzione degli attacker, che trovano sempre più difficile eseguire l'exploit di altre vulnerabilità software.
I problemi con WPAD non sono comunque nuovi. Sette anni fa Microsoft aveva rilasciato una patch per Internet Explorer 5 perchè il browser cercava un proxy server su Internet se non lo trovava nella rete locale. Questo comportamento consentiva ai cybercriminali di fornire al browser impostazioni specifiche che potevano facilitare un attacco su più larga scala. Un problema analogo era stato sfruttato da alcuni cybercriminali che avevano registrato il nome dominio "wpad.org.uk", fornendo un file "wpad.dat" con informazioni proxy ai PC Windows che lo contattavano. Come risultato gli utenti che usavano questi PC si trovavano a visitare un sito di aste online, indipendentemente dall'indirizzo digitato nel browser.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 25/03/2007]
Gozi Trojan" Ruba Dati Criptati
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifGozi Trojan @ Secure Workshttp://www.tweakness.net/immagini/news/spacer.gifUS-CERT Alerthttp://www.tweakness.net/immagini/news/spacer.gifCommento ISC SANS
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/worm2.jpgL'azienda di sicurezza SecureWorks ha scoperto una nuova minaccia informatica descritta come un codice Trojan molto sofisticato che tenta di rubare certificati utente e altri dati identificativi dalle macchine Windows (attaccando vulnerabilità di Internet Explorer), inviandoli successivamente ad una serie di indirizzi IP localizzati in Russia.
Dall'analisi approfondita pubblicata da SecureWorks su questo nuovo malware battezzato "Gozi Trojan": "Gli autori di malware russi stanno trovando nuovi modi per rubare e trarre profitto da dati che normalmente vengono considerati al sicuro perché criptati via SSL/TLS … Ad inizio Gennaio 2007, un utente ci ha segnalato che vari account sui siti web da lui visitati da lavoro e da casa avevano subito un hijack. Un'analisi del suo PC di casa ha svelato un eseguibile malware precedentemente non classificato".
Se analizzato con 30 prodotti antivirus, il malware non veniva rilevato in maniera specifica da nessuno di essi; tuttavia, alcuni di questi prodotti, che usano tecnologie euristiche, hanno rilevato il file come sospetto o come minaccia generica, alla luce della sua compressione realizzata tramite un popolare malware packer. Un successivo scan (Febbraio) con gli stessi 30 vendor antivirus ha prodotto i seguenti risultati di rilevamento: Agent.AAV (AntiVir, Sunbelt) o Agent.BB (Microsoft), Pinch.B (BitDefender), Small.BS (VBA32, TheHacker, Ewido, eSafe, Fortinet, Kaspersky), altre varianti Small (VirusBuster, UNA), Ursnif.AG (eTrust VET). Altri sette vendor hanno rilevato sempre una minaccia generica. Bisogna evidenziare che 5 antivirus vendor non riportavano alcun pericolo nel file analizzato, e non rilevavano neanche l'uso del packer per l'eseguibile. In generale nessuno di questi rilevamenti da parte dei prodotti di sicurezza garantisce la rimozione completa dell'infezione dal PC affetto, evidenzia Secure Works.
Secondo l'azienda di sicurezza Gozi Trojan potrebbe essersi diffuso "in the wild" (senza venire rilevato dai prodotti di sicurezza) da Dicembre 2006. Inoltre l'autore di questo malware potrebbe semplicemente modificare il packer usato per comprimere l'eseguibile, per tornare al "day zero" di rilevamento da parte degli antivirus.
Dall'analisi della minaccia condotta da Secure Works è emerso che Gozi Trojan è una raccolta di sottoroutine malware personalizzare per questo specifico attacco. Dal punto di vista funzionale il trojan è simile ad un altro codice precedente, chiamato Sinowal, ma contrariamente a quest'ultimo Gozi si focalizza sulle richieste http POST (in maniera simile, a livello di codice, ai malware Ursnif e Snifula). Gozi sfrutta dei meccanismi comuni per infettare un PC vittima: nasconde codice JavaScript in un frame integrato in una pagina (IFRAME) che ne contiene a sua volta un'altra, ed esegue un file (via XMLHTTP e ADODB) per modificare i registri di avvio del sistema e insediarsi nel PC. Bisogna tuttavia notare che le chiavi di registro che avviano il codice malware non sono "visibili" dal sistema in modalità normale, in virtù della capacità rootkit integrate nel codice malware. Gozi sfrutta una chiave di registro come tramite per trasferire dati tra il sistema infetto e gli indirizzi IP di contatto. Il Trojan tenta anche di eseguire l'accesso ai server di una banca californiana, inizialmente usando dati fasulli, in una sequenza che sembra volere determinare i protocolli usati dalla banca. Secondo Secure Works, il malware sfrutta queste informazioni per apparire come un "layered service provider", nel tentativo di eludere la crittazione SSL.
Secondo l'analisi di Secure Works almeno 5,200 utenti home PC sono stati infettati con Gozi, e le informazioni di 10,000 account sono state compromesse e rubate da oltre 300 organizzazioni tramite le infezioni. Queste informazioni rubate includono dati bancari, numeri di pagamento, e di social security, e molte altre informazioni personali. Secondo l'azienda di sicurezza il malware è attualmente venduto nel mercato underground insieme ad altri kit malware ad un prezzo che va dai $500 ai $2.000. Finora, a quanto pare, il server principale del Trojan è ancora online e funzionante. Anche l'US-CERT ha diramato giorni fa un allerta per questa minaccia, senza tuttavia essere in grado di offrire agli utenti consigli specifici per proteggere se stessi e le proprie aziende da questo o da simili attacchi.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 25/03/2007]
Home Server: Tanti i Bug Segnalati
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifHome Server Bloghttp://www.tweakness.net/immagini/news/spacer.gifStop Digital Amnesiahttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Home_Server2.jpgSecondo quanto riportato sul blog ufficiale degli sviluppatori di Windows Home Server, nuovo innovativo prodotto software "consumer server" di Microsoft, la fase di betatesting del prodotto sta vedendo una vera e propria "infestazione" di bug, che stanno venendo segnalati in grande quantità da tutti i tester che partecipano al programma beta. Nome in codice "Q" (e precedentemente "Quattro"), Windows Home Server, frutto di due anni e mezzo di sviluppo, sarà un sistema operativo estremamente semplice "per la famiglia" ma nello stesso sufficientemente potente da soddisfare i cosiddetti "power user".
http://www.tweakness.net/immagini/links.gif Windows Home Server: Primi Scatti - Altre
Chris Sullivan, un Program Manager del team Windows Home Server, afferma: "Stiamo vivendo una condizione simile alla entomofobia. Siamo quasi infestati dai bug, 3377 problemi sono stati segnalati dai partecipanti al programma beta fino ad oggi… Non tutti i bug vanno considerati negativamente, in particolare in ambito di sviluppo software. I bug infatti danno l'idea di quelle aree del prodotto che necessitano di miglioramenti e sostanzialmente aiutano a creare un prodotto migliore". Secondo i dati pubblicati da Sullivan, il team ha ricevuto circa 2.400 segnalazioni di bug nel codice del prodotto, con 495 di questi (circa il 21% del totale) ancora classificati come "attivi". A questi si aggiungono 740 "suggerimenti" ancora in esame. Secondo il sistema di classificazione di Microsoft un bug "attivo" è un problema che sta ancora venendo analizzato, che attende una verifica o che si trova in coda d'indagine.
Tra gli altri bug che sono già stati presi in esame dagli sviluppatori, circa il 15% sono già stati corretti, il 13% sono problemi "by design", il 21% non hanno potuto essere riprodotti dagli sviluppatori, l'11% saranno rimandati alle versioni successive e il 7% probabilmente non saranno corretti. Ulteriori dettagli sono disponibili nel post sul blog ufficiale del team di sviluppo di Home Server. Microsoft non ha specificato se questo grande numero di bug segnalati potrà causare un delay sulla schedule di release del prodotto, che comunque dovrebbe debuttare entro fine anno. Secondo quanto riportato durante lo scorso Consumer Electronics Show (CES), l'idea originale del colosso era quella di rendere disponibile Home Server entro questa estate.
A metà Febbraio Microsoft aveva annunciato il rilascio ai tester della milestone Beta 2 del sistema. Contestualmente il colosso aveva compiuto il primo passo nell'estensione della fase di betatesting ai tester esterni, che potevano registrarsi al programma sul sito Microsoft Connect.
Per quanto riguarda la nuova milestone Beta 2, il team di sviluppatori del colosso aveva affermato sul blog ufficiale del progetto: "Mentre le precedenti release sono state testate da più di 1000 impiegati Microsoft e da alcuni dei nostri partner software e hardware, ora abbiamo iniziato a invitare un gruppo più ampio di tester esterni per partecipare al testing di Beta 2 ... Tenete in mente che Beta 2 non rappresenta una 'esperienza consumer'. La maggior parte dei clienti acquisterà Home Server solo con soluzione integrata hardware/software, votata al 'plug and play' (come con HP MediaSmart Server), Beta 2 si riferisce solo al software, ovviamente, e questo significa che i tester devono sapere come installare e configurare un sistema operativo server. I partecipanti a Beta 2 necessitano inoltre di una macchina dedicata per Home Server, con un Pentium 4, 512 MB RAM e due o più dischi rigidi interni (almeno 300 GB di disco rigido primario raccomandati), almeno 2 PC client PCs e una connessione a banda larga". Microsoft ha reso disponibile anche il forum Windows Home Server pubblico ufficiale dove si può discutere del prodotto e delle release Beta. Ricordiamo che è già disponibile una pagina web dedicata a Home Server ("Stop Digital Amnesia"), che offre una descrizione delle varie caratteristiche del prodotto e link ai comunicati stampa relativi.
I piani di sviluppo di Home Server erano stati svelati ufficialmente da Bill Gates, Microsoft Chairman, durante la sua keynote al Consumer Electronics Show (CES) 2007 di Las Vegas. (Maggiori dettagli)
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 28/03/2007]
uovo Gromozon? Non Proprio
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifArticolo fonte @ PC al Sicurohttp://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/hacker2s.jpgMarco Giuliani, esperto di sicurezza che collabora con la società di sicurezza Prevx, ha pubblicato interessanti informazioni su un nuovo codice malware, attualmente in circolazione, che presenta funzionalità e caratteristiche molto simili al famoso Gromozon, un codice nocivo che ha colpito duramente il mercato italiano negli ultimi mesi.
Dal blog-post di Giuliani su PC al Sicuro: "Fine settimana scorsa ho ricevuto un sample di un trojan che a prima vista sembrava avere funzionalità rootkit poiché terminava l'esecuzione di alcuni programmi, quali ad esempio gmer o hijackthis. Appena ricevuto il sample ho fatto un'analisi rapida e sembrerebbe essere un'opera proveniente dalla stessa idea dello scorso Gromozon, sebbene non sia così articolato … Il file, una volta eseguito, crea una copia di se stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all'avvio del sistema grazie all'aggiunta della chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]. In questa maniera il trojan parte con il caricamento di explorer.exe. Vengono modificati i permessi di accesso alla chiave di registro in modo tale da renderne più difficile la rimozione. Una volta caricato si inietta all'interno di explorer.exe e crea un thread che, una volta al secondo, fa una scansione delle finestre aperte sul desktop e ne controlla i titoli. Se il titolo contiene una delle parole presenti in un elenco contenuto all'interno del codice malevolo, il trojan ricava il PID del processo relativo alla finestra in questione e termina l'esecuzione del programma. Tra le parole controllate e bloccate possiamo trovare: gmer, catchme, avenger, hijackthis, hardware upgrade forum, p2p forum italia, suspectfile".
Anche questo trojan include funzioni "dialer". Fortunatamente non sono presenti funzionalità "rootkit" per cui la rimozione è più semplice rispetto a Gromozon.
Giuliani offre anche una procedura manuale che permette rimuovere questa nuova minaccia: Con regedit, controllare la presenza della chiave di registro: Windows NT\CurrentVersion\Image File Execution Options\explorer.exe =. Se presente, prendere nota del percorso del file. Scaricate Avenger da questo link e decomprimetelo sul desktop. Aprite il task manager premendo la combinazione di tasti CTRL-ALT-CANC e terminate il processo explorer.exe. Il desktop scomparirà, non vi preoccupate. Sempre con il task manager aperto cliccate su FILE - NUOVA OPERAZIONE (ESEGUI) - SFOGLIA, cercate sul desktop avenger e lanciatelo. Una volta eseguito, cliccate sulla voce "Input script manually" e poi clicca sull'icona della lente di ingrandimento. Si aprirà una finestra, copiateci il seguente script:
Files to delete: [percorso che avete trovato nella chiave di registro] Registry keys to delete: hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Cliccate su "done" e poi sull'icona col semaforo. Il pc si riavvierà, al successivo riavvio del PC dovrebbe comparire un log con la conferma dell'avvenuta rimozione
Giuliani commenta: "La complessità del codice non é pari a quella del vecchio Gromozon, sebbene l'idea sia in effetti buona ed efficace. Ho più l'impressione che non sia mano dello stesso team di programmatori ma più che altro qualcuno ispirato. Qualche mese addietro i link che prima dirigevano ai server gromozon, per qualche periodo hanno fatto scaricare un trojan che controllava la presenza di un modem o isdn all'interno del pc infettato e si auto-terminava se non trovava niente. Personalmente non ho considerato quei trojan facenti parte della famiglia gromozon, a causa della modalità di scrittura del codice molto differenti dal primo gromozon - sebbene anche in quel caso c'erano delle particolarità interessanti, quali lo start automatico all'avvio del sistema configurato come task di Windows".
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 29/03/2007]
IE7 Download Fake: è un Malware!
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifWin32.Grum.A @ F-Securehttp://www.tweakness.net/immagini/news/spacer.gifW32/Grum-A @ Sophoshttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/IE7_Malware.jpgSta circolando via spam tra le caselle di posta di tutto il mondo un messaggio nocivo scam che fa uso di una tecnica di spoofing per apparire ai destinatari come inviato dall'indirizzo admin[at]microsoft[dot]com e che include una immagine relativa ad internet Explorer 7. Il messaggio e-mail, intitolato "Internet Explorer 7 Downloads" invita in maniera subdola gli utenti a scaricare il pachetto IE 7.0 Beta 2, cliccando sull'immagine inclusa nel corpo del messaggio. In realtà l'immagine porta l'utente malcapitato a scaricare un file chiamato "ie7.0.exe", ospitato da vari siti web malevoli, un Trojan-Proxy.
Bisogna evidenziare che ancora molti antivirus non rilevano correttamente questo file come malware, e quindi è necessario prestare la massima cautela in caso di ricezione di messaggi di questo tipo. Sunbelt, una delle prime aziende di sicurezza ad aver segnalato la minaccia, ha pubblicato un'analisi del malware eseguita nel suo ambiente Sandbox e il codice sorgente del messaggio spam. F-Secure ha classificato il malware come Virus.Win32.Grum.A, così come Kaspersky e Sophos.
Secondo gli esperti di sicurezza attualmente non sono stati segnalati danni diffusi causati da questa nuova minaccia. Tuttavia il malware è degno di attenzione per almeno due motivi: prima di tutto include una immagine molto convincente realizzata per riprodurre abbastanza fedelmente lo stile grafico usato da Microsoft per promuovere il suo nuovo browser, in secondo luogo il codice nocivo viene trasmesso alle vittime tramite il clic sulla immagine integrata nel messaggio di spam e non sfrutta il classico vettore dell'allegato di posta. Questo ultimo aspetto, secondo gli esperti, rende difficile bloccare i messaggi a monte, impedendo che raggiungano le caselle di posta degli utenti. Mikko Hypponen, chief research officer di F-Secure Corp. commenta: "L'idea di inviare un link sembra essere una tendenza tra gli attacker; è ancora abbastanza nuova e funziona meglio rispetto all'invio diretto di un file".
Secondo Sophos, W32/Grum-A è in grado di auto-spedirsi a tutti gli indirizzi di posta presenti nella rubrica del sistema infettato. Il codice nocivo inoltre manomette i registri di sistema per insediarsi nel PC attaccato e scaricare ulteriori file nocivi da internet. I dettagli sul payload del malware non sono ancora stati descritti in maniera esauriente dai vari vendor antivirus. Tuttavia questo tipo di codici normalmente installa programmi keystroke logger per rubare informazioni personali dal computer ospite e creano una rete di computer infetti per lanciare attacchi denial of service, le cosiddette botnet. Hypponen commenta: "Non sappiamo ancora niente sulla provenienza del malware … è stato programmato abbastanza bene ed è difficile analizzarlo usando i normali strumenti". F-Secure ha ricevuto finora numerose segnalazioni di e-mail nocive ma un numero esiguo di segnalazioni di infezione. Questo indica che per il momento questo attacco è ancora sotto controllo e limitato.
Inoltre il malware viene distribuito da svariati server in tutto i mondo, e questo rende difficile identificare tutte le fonti di infezione, procedendo alla chiusura dei siti o alla pulitura degli stessi. Secondo Hypponen, sembra infatti trattarsi di server web che sono stati compromessi in modo da forzare la distribuzione del codice nocivo. SANS Internet Storm Center raccomanda a tutti gli amministratori di rete di analizzare i propri log per assicurarsi di non star ospitando il malware.
Grum.A affligge solo la piattaforma Windows e Microsoft ha fatto sapere, tramite un portavoce, di star investigando sul problema e sull'impatto sui clienti. Ricordiamo che la versione finale di IE7 è stata rilasciata da tempo. Per difendersi da questo tipo di messaggi fasulli Microsoft rende disponibile una pagina web dove spiega come riconoscere le "fake e-mail".
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 29/03/2007]
Falla ed Exploit "Windows .ANI"
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifMSA 935423http://www.tweakness.net/immagini/news/spacer.gifTrojan.Anicmoo @ Symatechttp://www.tweakness.net/immagini/news/spacer.gifeEye: Advisory e Patch
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpgMicrosoft ha reso noto tramite il Security Advisory 935423 di star investigando su nuove segnalazioni pubbliche relative ad attacchi che sfruttano una vulnerabilità nel modo in cui Windows gestisce i file cursore animati (.ani).
Secondo quanto riporta Symantec sul blog del Security Response: "La vulnerabilità è causata da una verifica di formato non adeguata, prima del rendering di cursori, cursori animati ed icone. Se sfruttata con successo, la falla permette ad un attacker di eseguire codice da remoto sulla macchina vittima … Pur essendo simile alla vulnerabilità descritta nel Bollettino di Sicurezza MS05-002, si tratta di una falla totalmente nuova … il Security Response ha ricevuto solo una manciata di submission dell'exploit. Attualmente tutti i campioni di codice sono rilevati come Downloader o Trojan.Anicmoo. Si tratta generalmente di file .ani rinominati con l'estensione .jpg". Anche Sophos ha pubblicato un articolo dedicato al nuovo problema di sicurezza, e ha classificato il codice nocivo coinvolto negli attacchi alla falla come Troj/Animoo-U. Anche Trend Micro ha classificato il codice exploit come Troj_Anicmoo.ax. Secondo l'advisory dedicato di Secunia, nota azienda di security monitoring, la vulnerabilità affligge Windows 2000, Windows Server 2003, Windows Storage Server 2003, Windows Vista e Windows XP.
Dal Security Advisory 935423 di Microsoft: "Perché questo tipo di attacco possa essere condotto con successo un utente deve visitare un sito web che contiene una pagina usata per sfruttare la vulnerabilità, oppure deve visualizzare un messaggio di posta modificato ad arte o un allegato e-mail inviatogli da un attacker. È buona norma essere molto cauti nell'aprire allegati non richiesti o di dubbia provenienza. Microsoft ha aggiunto informazioni sul rilevamento nel Windows Live OneCare Safety Scanner per la rimozione di malware che tentano di sfruttare questa vulnerabilità. Microsoft inoltre intende condividere le informazioni in suo possesso con i partner Microsoft Security Response Alliance in modo da poter rilevare e risolvere più prontamente eventuali attacchi. Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft.".
Secondo Microsoft, gli attacchi sembrano per ora molto limitati e mirati e non diffusi. L'azienda sta monitorando la problematica ed aggiornerà l'Advisory e il blog del team MSRC con nuove informazioni a riguardo, appena disponibili. Il colosso ha anche fornito alcune informazioni addizionali per i clienti riguardo le componenti vulnerabili, un workaround che attenua il rischio derivante dal problema di sicurezza ed i fattori attenuanti che vanno a limitare il livello di rischio per gli utenti di Windows.
Microsoft suggerisce di leggere i messaggi di posta in formato testo normale in Outlook 2002 e successivi, o Outlook Express 6 SP1 e successivi, per evitare il vettore di attacco nell'anteprima HTML delle e-mail. Il colosso evidenzia che: 1. Se sta usando Outlook 2007 l'utente risulta protetto dalla vulnerabilità indipendentemente dalla modalità di consultazione della posta, come testo normale o no. 2. Se sta usando Windows Mail di Vista per leggere la posta l'utente risulta protetto fintanto che non esegue un forward o un reply della mail inviata dagli attacker. 3. Outlook Express risulta in ogni caso vulnerabile, indipendentemente dalla modalità di consultazione della posta, come testo normale o no.
Secondo l'alert dell'US-CERT: "Una vulnerabilità di stack buffer overflow esiste in nel modo in cui Windows processa file malformati di cursori animati. Windows non convalida correttamente le dimensioni specificate nell'header ANI. Bisogna notare che Windows Explorer processa i file ANI con diverse estensioni file, come .ani, .cur, o .ico. Inoltre i file di cursore animati vengono processati quando la cartella che li contiene viene aperta o viene usata come un cursore. Infine Internet Explorer è in grado di processare file ANI nei documenti HTML, quindi anche pagine web e messaggi di posta in HTML possono sfruttare la falla". Infine segnaliamo che eEye Digital Security Research Team ha reso disponibile una patch temporanea che impedisce ai file cursore di essere caricati esternamente alla cartella %SystemRoot%. La patch impedisce ai siti web di caricare le proprie icone animate, eventualmente nocive. eEye evidenzia che le aziende che sono interessate ad installare la patch third-party dovranno anche procedere alla sua rimozione una volta che Microsoft avrà reso disponibile un aggiornamento di protezione ufficiale.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]
Dai un paio di giorni un nuovo virus si propaga attraverso le condivisioni di rete ed il client di messaggistica Microsoft MSN Messenger. Una volta eseguito, effettua numerose modifiche al Registry di Windows .
Il virus si autoreplicherà inserendosi con denominazione variabile nelle cartelle condivise (risorse di file-sharing) e inviandosi ai contatti di MSN Messenger.
Per il momento nome ed estensione pare siano " Photoalbum.zip."
Una volta in payload, rende assai problematico l'utilizzo del pc, a causa della chiusura immediata delle finestre di numerose applicazioni, nonché la terminazione di numerosi processi di servizio.
Un esempio di testo nel messaggio è "hey man accept my new photo album.. made it for yah, been doing picture story of my life"
Fate attenzione a non accettare nessun allegato se non l'avete espressamente richiesto.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]
Internet: Pesci d'Aprile 2007
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifLista di Pesci d'Aprile 2007 @ wikipedia.orghttp://www.tweakness.net/immagini/news/spacer.gif@ aprilfools.urgo.orghttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Google_TiSP.jpgLa rete è stata invasa, come sempre il primo giorno di Aprile, da notizie false, divertenti ed, a volte, ingegnosamente costruite.
Google si è presentata puntuale all'appuntamento dell'April Fool Day con l'annuncio di un nuovo rivoluzionario servizio, Google TiSP (BETA), un sistema end-to-end progettato per fornire a tutte le abitazioni accesso wireless in-home, sfruttando la rete fognaria per l'infrastruttura in fibra ottica. Il colosso della ricerca ha anche introdotto Gmail Paper, un servizio integrato nella sua popolare webmail che permette di richiedere un copia fisica dei propri messaggi di posta facendo clic su un semplice pulsante presente nella inbox, Google provvederà a inviare in maniera totalmente gratuita i documenti via posta ordinaria. Eventuali dubbi sull'impatto ambientale di tale soluzione vengono sciolti da Google: i Gmail Paper sono realizzati in un particolare materiale composto al 96% da "post-consumer organic soybean sputum" (espettorato organico di semi di soia). Ma i pesci di aprile tra le news relative alla tecnologia per questo 2007 sono davvero tanti, e probabilmente continueranno ad essere svelati per tutta la giornata e oltre (considerando anche le differenze in fuso orario con gli Stati Uniti). Tra gli altri siti web che hanno organizzato e pubblicato pesci di aprile celebrando a loro modo questo giorno dell'anno dedicato agli "scherzi" segnaliamo: The Pirate Bay, The Register, TechCrunch, World of Warcraft e Slashdot. Una lista aggiornata di nuove notizie e pesci di Aprile (2007) in newspaper, magazine e siti web è disponibile e mantenuta su wikipedia.
Opera Software va invece contro corrente quest'anno (almeno in apparenza), annunciando in comunicato stampa i risultati di un processo di indagine durato 5 mesi per scegliere il Pesce d'Aprile di quest'anno. Il dipartimento di "Corporate Relations and Prevarication" di Opera ha deciso: "Niente Pesce d'Aprile per il 2007". La burla praticamente sta nel comunicato stampa stesso.
La festa del Pesce d'aprile viene festeggiata il primo aprile in diversi paesi. In quel giorno vengono fatti scherzi (detti appunto pesci d'aprile) anche piuttosto sofisticati con lo scopo di mettere le persone in imbarazzo. Le origini del pesce d'aprile non sono note, anche se sono state proposte diverse teorie. Si considera che sia collegato all'equinozio di primavera, che cade il 21 marzo. Prima dell'adozione del Calendario Gregoriano nel 1582, veniva osservato come Capodanno da diverse culture, distanti come l'antica Roma e l'India. Il Capodanno era in origine celebrato dal 25 marzo al 1° aprile, prima che la riforma gregoriana lo spostasse indietro al 1° gennaio. Le persone che dimenticavano o che rifiutavano questo cambiamento venivano invitate a feste inesistenti o ricevevano regali divertenti, ecc. che venivano chiamati poisson d'avril (pesce d'aprile).
Ecco solo alcune delle news-pesce di Aprile di quest'anno:
- Gmail Paper, servizio di paper archiving per tutti i messaggi Gmail.
- Google TiSP (beta), in-home wireless broadband gratuito "via cavo in fibra ottica nella rete fongaria"
- Slashdot ha aggiunto un sistema di rating Digg- o reddit-like per gli articoli, chiamato SlashRating.
- TechCrunch ha annunciato l'acquisizione di FuckedCompany.com
- CNET.com ha realizzato una recensione del progetto 'top secret' Apple TiVo.
- The Register riporta che Google e Apple lanceranno un telefono Mobile chiamato iD.
- The Pirate Bay ha annunciato di voler spostare i server all'ambasciata nordcoreana a Stoccolma.
- MyBB ha annunciato una partnership con Microsoft.
- Digital Inspiration ha rilasciato un hack per scaricare gratis film, audiobook e video musicali da iTunes.
- NASA ha pubblicato una imagine della "Prima partita di Quidditch nello spazio".
- SkypeJournal offre una "first look" di "Skype for Cows 3.2".
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]
Falla Windows ANI: Worm e Patch
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifSecurity Advance Notificationhttp://www.tweakness.net/immagini/news/spacer.gifMSRC Bloghttp://www.tweakness.net/immagini/news/spacer.gifCISRT: ANI Worm
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpgMicrosoft ha annunciato tramite la sua Security Bulletin Advance Notification che rilascerà nella giornata di domani un aggiornamento di protezione out-of-bound di emergenza per la vulnerabilità recentemente scoperta in Windows nella gestione dei file cursore animati (.ani). Normalmente il colosso rilascia aggiornamenti di protezione per i suoi software ogni secondo Martedì del mese. La patch di emergenza si è resa necessaria a causa dell'aggravarsi del rischio derivante dalla vulnerabilità che, secondo numerose aziende di sicurezza, sta venendo già sfruttata in-the-wild da codici malware worm-like. Precedentmente l'aggiornaemnto di protezione per la falla Windows Animated Cursor Handling era previsto al rilascio nell'ambito del Patch Day di Aprile (10 Aprile prossimo).
Il Chinese Internet Security Response Team (CISRT) ha infatti segnalato nella giornata di ieri l'esistenza di un nuovo worm che sfrutta l'exploit della falla nella gestione degli ANI per diffondersi ed infettare i computer. L'esistenza del codice nocivo è stata confermata da F-Secure che ha classificato il file principale del worm come Trojan-Downloader.Win32.Agent.bkp ed i file scaricati dal malware come differenti varianti di Trojan-PSW.Win32.OnLineGames.
http://www.tweakness.net/immagini/links.gif Falla ed Exploit "Windows .ANI"
Il worm, afferma F-Secure, tenta di localizzare tutti i file HTML presenti nel sistema e di modificarli per inserire un script che carica un file ANI dal dominio macr.microfsot.com. Quando l'utente visualizza questi file HTML o li carica su un web server, l'infezione viene diffusa. Oltre a diffondersi tramite questa falla, il worm tenta di propagarsi anche tramite penne USB e altri media rimovibili (file tool.exe e autorun.inf nella root dei drive e sysload3.exe nella cartella system32).
Anche Symantec ha pubblicato nella giornata di ieri alcune informazioni relative al nuovo worm, classificato come W32.Fubalca, sul blog ufficiale del Security Response. Symantec evidenzia che lo scopo principale di questo codice malware è quello di rubare account relativi a giochi online, come emerge dall'analisi dei file scaricati dallo stesso worm sui computer ospiti, una serie di "game infostealers". Ulteriori informazioni sono state pubblicate dallo stesso CISRT sul blog ufficiale del gruppo. Anche McAfee ha integrato capacità di rilevamento per il worm nei suoi prodotti antivirus: il codice in questo caso è stato chiamato W32/Fujacks.aa. Nel contempo l'Internet Storm Center ha lanciato uno "Yellow Alert" per il problema di sicurezza. Segnaliamo che sia Immunity sia Metasploit Project hanno incorporato codici exploit di attacco contro questa falla nei loro rispettivi software di security-checking. Nel contempo ricordiamo che sia Eye Digital Security sia ZERT avevano reso disponibili delle patch temporanee che consentivano di proteggere il sistema da attacchi dalla vulnerabilità Windows Animated Cursor Handling.
Tornando all'aggiornamento di protezione ufficiale per la falla che sarà rilasciato da Microsoft domani, riportiamo il più recente commento pubblicato sul blog del Microsoft Security Response Center: "Dal nostro continuo monitoraggio della situazione, possiamo dire che durante il fine settimina gli attacchi contro questa falla sono aumentati in una certa misura. Inoltre, siamo a conoscenza della divulgazione pubblica di codice proof-of-concept. Alla luce di questo, ed in base al feedback dei clienti, abbiamo lavorato giorno e notte per testare questo aggiornamento e attualmente prevediamo di rilasciare la patch di protezione per il problema Martedì 3 Aprile 2007. Bisogna evidenziare che stiamo ancora testando la release e continueremo a farlo fino a prima del rilascio, per assicurarci il livello massimo di qualità. Potrebbe quindi accadere di trovare un problema che potrebbe forzare un delay della release".
Nel frattempo Microsoft incoraggia tutti i clienti a procurarsi le ultime definizioni per il proprio software antivirus e per gli altri prodotti di sicurezza, in modo da disporre di un livello di protezione contro eventuali attacchi. Nei giorni scorsi Microsoft ha anche aggiornato il Security Advisory 935423 dedicato al problema di sicurezza per chiarire alcuni punti relativi ai fattori attenuanti e fornire ulteriori informazioni sui sistemi operativi vulnerabili.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]
JavaScript "Jikto" PoC in-the-wild
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifSlide: Javascript Malwarehttp://www.tweakness.net/immagini/news/spacer.gifCommento di Schrollhttp://www.tweakness.net/immagini/news/spacer.gifHoffman Blog
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Jitko.jpgSecondo quanto riporta InfoWorld, un codice software che può essere usato per trasformare un web browser in un insospettabile strumento di hacking è trapelato su Internet, dopo essere stato scaricato da uno dei partecipanti alla conferenza di hacking "Shmoocon" tenutasi il mese scorso.
Il software, chiamato "Jikto", è stato scritto da Billy Hoffman, lead researcher di Spy Dynamics. Hoffman ha dato dimostrazione del funzionamento del codice il 24 Marzo scorso durante una presentazione dedicata ai pericoli derivanti dai malware JavaScript. Il ricercatore ha scoperto un modo per creare un "web vulnerability scanner" in JavaScript, linguaggio script supportato da qualsiasi browser moderno. La tecnica mostrata è capace di eludere le restrizioni di sicurezza di JavaScript e per questo motivo, nel timore che il suo codice potesse essere usato impropriamente, Hoffman aveva affermato di aver preso alcuni provvedimenti per impedire la diffusione del particolare software.
Tuttavia per effettuare la dimostrazione durante la conferenza Shmoocon si era reso necessario caricare il codice Jikto su Internet. Hoffman commenta: "Per un momento è stato possibile vedere l'URL originale da cui veniva caricato il codice Jikto". Questo è stato sufficiente per consentire a Mike Schroll, un altro partecipante alla conferenza e information security consultant di Security Management Partners, di salvare una copia del codice. Schroll ha reso pubblico il codice sul suo sito web il 25 Marzo, inviando un link al codice su Digg.com. Successivamente, dopo alcune ore, Schroll ha rimosso il codice su richiesta di Hoffman.
Schroll ha affermato di aver pubblicato il codice ritenendo che potesse essere utile per i professionisti della sicurezza che cercano modi di spiegare e descrivere la pericolosità di questo tipo di attacchi. Il software è stato scaricato dal suo sito web circa 100 volte prima di essere rimosso, aggiunge Schroll, che ribadisce che il suo intento non voleva essere nocivo, evidenziando che codice reso pubblico rappresenta solo una parte dell'applicazione, il codice client-side e non la componente GUI di controllo, il viewer, etc. Durante lo scorso fine settimana tuttavia "Jikto" è apparso nuovamente in rete, questa volta sul forum di discussione online Sla.ckers.org.
Con Jikto ormai "in-the-wild", i ricercatori di sicurezza temono che il codice possa essere usato dai cybercriminali per eseguire scan di reti interne in cerca di informazioni sensibili o per creare codici nocivo botnet. Jeremiah Grossman, chief technology officer di WhiteHat Security, commenta: "Questo particolare strumento è programmato per prendere il controllo del web browser. È capace di analizzare altri siti web in crawling, cercando vulnerabilità".
Hoffman ha comunque affermato che i cybercriminali probabilmente sono già da tempo in grado di creare qualcosa di simile alla sua piccola applicazione (800 righe di codice). Il ricercatore commenta: "Si tratta quasi di una tragedia che questo codice sia finito in rete … Tuttavia, in realtà, i bad guy probabilmente già conoscevano questa tecnica, ed anche se non la conoscevano, sarebbe stata comunque questione di un paio di mesi". Hoffman ha affermato di non essere particolarmente adirato con Schroll per la release del suo codice: "Probabilmente ha fatto ciò che avrebbe fatto qualsiasi curioso … non posso davvero biasimare qualcuno per la propria curiosità considerato che è proprio ciò su cui si basa il mio lavoro".
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]
MS07-017: Patch per Windows ANI
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifBollettino MS07-017http://www.tweakness.net/immagini/news/spacer.gifCommento MSRC Bloghttp://www.tweakness.net/immagini/news/spacer.gifMSKB 925902
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpgCome annunciato ieri, Microsoft ha reso disponibile il bollettino di sicurezza MS07-017, che include un aggiornamento di protezione di emergenza per la vulnerabilità critica di Windows nella gestione dei file cursore animati (.ani). Il colosso e gli esperti di sicurezza incoraggiano tutti gli utenti ad applicare la patch correttiva al più presto, dato che la vulnerabilità sta venendo sfruttata in-the-wild da codici malware worm-like e rootkit, tramite i vettori web e spam. Precedentemente l'aggiornamento di protezione per la falla Windows Animated Cursor Handling era previsto al rilascio nell'ambito del Patch Day di Aprile (10 Aprile prossimo), appuntamento comunque confermato da Microsoft (domani 5 Aprile avremo notizie sui bollettini che saranno inclusi nel prossimo Patch Day).
http://www.tweakness.net/immagini/links.gif Falla Windows ANI: Worm e Patch - Falla ed Exploit "Windows .ANI"
La vulnerabilità critica nel Windows Animated Cursor Handling interessa anche il nuovo sistema Windows Vista, oltre che Windows 2000 SP4, Windows XP SP2, Windows Server 2003, Windows Server 2003 SP1, e Windows Server 2003 SP2. In particolare il bollettino MS07-017 include correzioni per sette diverse vulnerabilità nel codice del sistema operativo del colosso: GDI Local EoP - CVE-2006-5758; WMF DoS - CVE-2007-1211; EMF EoP - CVE-2007-1212; GDI Invalid Window Size EoP - CVE-2006-5586; Windows Animated Cursor RCE - CVE-2007-0038; GDI Incorrect Parameter Local EoP - CVE-2007-1215; Font Rasterizer Local EoP - CVE-2007-1213. Windows Vista è affetto da tre di questi problemi di sicurezza come riportato dalla tabella nella sezione "Executive Summary" del bollettino MS07-017.
Download MS07-017 - KB925902 - ITA: Windows XP SP2 – x64 – Windows Vista – x64
Dal MSRC Blog: "Incoraggiamo i clienti a testare ed installare questo aggiornamento il più velocemente possibile oltre che ad assicurarsi di avere gli ultimi aggiornamenti e definizioni per i propri prodotti di sicurezza, come gli antivirus. Gli utenti Home e Small Business che hanno seguito le best practice ed hanno configurato Aggiornamenti Automatici (AU) riceveranno questo aggiornamento automaticamente e non dovranno fare altro. Gli utenti Business che stanno usando Windows Server Update Services (WSUS) e Systems Management Server (SMS) potranno usare questi strumenti per rilevare ed installare automaticamente la patch. Abbiamo evidenziato nell'advisory originale che gli attacchi contro questa vulnerabilità interessano tutte le versioni supportate di Windows e Windows Server, incluso Vista, e sono web-based ed e-mail based. Se state usando Vista, il protected mode di Internet Explorer 7 fornirà protezione addizionale contro gli attacchi web. Inoltre se state usando Outlook 2007, sarete protetti dagli attacchi e-mail based".
Nonostante il rilascio ufficiale di una patch per il problema, i ricercatori di sicurezza prevedono un ulteriore inasprimento degli attacchi contro la vulnerabilità nei prossimi giorni. Secondo Websense, sono stati isolate almeno 700 siti web che ospitavano e diffondevano il codice exploit .ANI. Inoltre i ricercatori hanno identificato il codice attacco anche in messaggi inviati via spam, e kit automatizzati stanno venendo distribuiti online per consentire anche ai cybercriminali meno esperti di creare malware basati sul l'exploit della falla in Windows ANI. Nelle ultime 24 ore gli exploit .ANI hanno rappresentato in codice malware più rilevato proveniente dalle regioni asiatiche. Secondo i ricercatori, il codice diventerà entro una settimana o due l'exploit più utilizzato in tutto il mondo.
A questo proposito segnaliamo un interessante articolo tecnico pubblicato dal gruppo ZERT che descrive il funzionamento dell'exploit ANI (con commenti e diagrammi). Segnaliamo inoltre un video pubblicato sul blog ufficiale di Determina, l'azienda che aveva segnalato per prima a Dicembre 2006 la falla di sicurezza a Microsoft, che mostra l'esecuzione di una attacco alla vulnerabilità su Windows Vista tramite un exploit che funziona su Internet Explorer 7 e Mozilla Firefox 2.0. Infine evidenziamo un "problema noto" che interessa l'aggiornamento MS07-017 e che potrebbe causare inconvenienti a molti utenti, in particolare a coloro che usano gli Aggiornamenti Automatici e che non hanno letto l'articolo KB925902. Dopo l'installazione dell'aggiornamento su Windows XP SP2 gli utenti potrebbero riscontrare un problema nel caricamento del Realtek HD Audio Control Panel (Rthdcpl.exe) e ricevere un errore. Microsoft ha reso disponibile una articolo di supporto dedicato (KB935448) ed un hotfix scaricabile per i clienti interessati da questo specifico problema.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 30/03/2007]
BN Amro rimborserà le vittime del phishing
http://www.anti-phishing.it/image.ne...Amro_Banks.pngLa buona notizia è solo per quattro vittime delle nuove truffe on-line, ma in ogni caso è la dimostrazione della buona volontà delle banche di tutelare i propri clienti.
I quattro malcapitati utenti della banca olandese, erano rimasti vittime di un apposita e-mail contenente in allegato un pericoloso malware (Trojan-Spy.Win32.Banker.cmb) in grado di modificare le impostazioni dei propri browser e reindirizzare gli utenti nel momento in cui cercavano di accedere al sito web del proprio istituto di credito, verso una sua copia clone.
All’interno del quale non hanno esitato a fornire i propri dati personali, insieme ad username e password, tutte informazioni che hanno permesso al phisher di svuotare i loro conti, anche se al momento la cifra totale estorta non si conosce.
Poco male, visto che in ogni caso per i quattro l’incubo phishing è terminato nel migliore dei modi, infatti come Johan van Hall, responsabile di ABN Amro Olanda, ha dichiarato "Abbiamo preso questo incidente molto seriamente, ed abbiamo implementato ogni possibile soluzione tecnica a nostra disposizione per fermare questi criminali".
ABN Amro entra così, anche se non si conoscono le regioni per cui solo quattro clienti vengano rimborsati, tra gli istituti di credito e non che hanno dato il via al restituzione delle somme truffate ai propri clienti da parte di sempre più abili furfanti digitali.
L’ultima in ordine di tempo è stata la svedese Nordea, che ha dichiarato di voler risarcire i propri clienti, per un tentativo di truffa analogo a quello dell’istituto di credito olandese, mentre nel paese del sol levante Yahoo! Japan ha tutelato le vittima di apposite aste fanstama.
Ulteriori informazioni: ABN Amro
Fonte: Anti-Phishing Italia – www.anti-phishing.it
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 05/04/2007]
Microsoft "Pre-Patch Day" APR 07
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifMicrosoft Security Bullettin Notehttp://www.tweakness.net/immagini/news/spacer.gifZero-Day Tracker di eEye Digitalhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/..._Patch_Day.jpgDopo aver rilasciato due giorni il bollettino di emergenza out-of-bound MS07-017 per correggere la vulnerabilità critica di Windows nella gestione dei file cursore animati (.ani), già sfruttata in numerosi attacchi malware in-the-wild, Microsoft ha annunciato oggi che il 10 Aprile prossimo rilascerà 5 nuovi bollettini di sicurezza con relative patch per correggere varie altre falle isolate nei suoi software.
http://www.tweakness.net/immagini/links.gif MS07-017: Patch per Windows ANI - Altre
Gli update rientrano nel programma mensile di aggiornamento di protezione dei suoi prodotti, fissato per il secondo Martedì di ogni mese. Si contano 4 bollettini di sicurezza relativi a Microsoft Windows (di cui almeno uno di livello critico) e 1 bollettino critico relativo a Microsoft Content Management Server, strumento basato sulla tecnologia .Net dedicato alla gestione di contenuti Web. Ricordiamo che, secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi o attaccare senza richiedere intervento dell'utente.
Il colosso rilascerà anche il consueto aggiornamento per lo strumento di rimozione malware per Windows. Per quanto riguarda gli aggiornamenti non relativi alla protezione, Microsoft renderà disponibili anche 2 aggiornamenti ad alta priorità per Windows su Windows Update e Software Update Services e 4 aggiornamenti su Microsoft Update e WSUS.
Nelle sue Security Bulletin Advance Notification Microsoft, come regola, non rivela in anticipo i dettagli sulle vulnerabilità che saranno poi corrette con i rilasci "Patch Day". Tra le patch di protezione per Windows non è da escludere il rilascio di un aggiornamento di sicurezza per Internet Explorer e di correzioni per varie falle conosciute già da mesi.
Da quanto trapelato ad ogni modo il colosso non fornirà correzioni per vulnerabilità in Microsoft Office. Secondo lo Zero-Day Tracker di eEye Digital, rimarrebbero scoperte ancora una falla di esecuzione codice in Microsoft Word, segnalata a metà Febbraio, ed una falla DoS in PowerPoint che risale ad Ottobre 2006. Per Word si tratta di una falla segnalata da McAfee Avert Labs (CVE-2007-0870) che inizialmente sembrava interessare solo Word 2000 e che il colosso di Redmond aveva verificato come limitata ad un attacco Denial of Service. Una successiva e approfondita analisi effettuata da McAfee ha svelato che l'exploit di questo problema di sicurezza (inizialmente classificato come variante del codice Exploit-MS06-027) può invece essere sfruttato per eseguire codice da remoto su un sistema vulnerabile. Questa analisi è stata confermata da Microsoft che ha pubblicato immediatamente il Security Advisory 933052 dedicato. Il codice exploit per la falla può colpire a quanto pare anche Word XP, tuttavia, afferma Microsoft, la tecnica di attacco è tutt'altro che facile.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 05/04/2007]
Sophos Top Ten Marzo 2007
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifSophos Top Ten marzo 2007http://www.tweakness.net/immagini/news/spacer.gifGraficihttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/sophos.jpgSophos, società leader a livello mondiale nella sicurezza informatica e nella tecnologia di controllo dell'accesso alla rete (NAC), ha reso nota la classifica del malware e dei falsi allarmi che hanno dominato la scena nel mese di marzo 2007, causando problemi agli utenti di tutto il mondo.
L'Italia occupa il dodicesimo posto nella classifica dei paesi che ospitano il maggior numero di siti web infetti. Dai dati raccolti dai SophosLabs emerge un cambiamento per quanto riguarda i vettori di diffusione usati dagli hacker: scende il malware nascosto nella posta elettronica, 0,18%, pari a una e-mail infetta su 555, crescono invece i messaggi spam contenenti link a siti web infetti. Il rapporto, compilato sui dati raccolti dai SophosLabs, rivela che nel mese di marzo sono stati i worm della famiglia Netsky a rendere la vita particolarmente difficile agli utenti di tutto il mondo, infatti, quasi un terzo di tutto il malware segnalato in marzo appartiene a questa famiglia. Netsky è riuscito a riconquistare la vetta della classifica, sebbene protezione specifica per questo codice sia disponibile ormai da oltre tre anni.
http://www.tweakness.net/immagini/links.gif Sophos: Domina il Malware Criptato - Sophos: Rapporto Sicurezza 2007 - Altre
Un dato interessante riguarda l'incidenza delle e-mail infette: a marzo i SophosLabs hanno registrato una percentuale dello 0,18%, pari a una mail infetta su 555. Le nuove minacce identificate da Sophos sono state invece 8.835. Queste cifre indicano che, se da un lato il malware nascosto nella posta elettronica continua a causare problemi, i vettori di diffusione stanno cambiando: gli hacker sono sempre meno propensi a rilasciare worm di tipo mass-mailing e tendono invece all'utilizzo sempre più frequente di messaggi di spam contenenti link a siti web infetti.
La top ten del malware per il mese di marzo 2007 è la seguente:1. Netsky (32,7%), 2. Mytob (30,4%), 3. Sality (7,8%), 4. MyDoom (5,2%), 5. Bagle (4,1%), 6. Zafi (3,4%), 7. Stratio (2,6%), 8. Nyxem (2,6%), 9. Clagger (2,4%), 10. DwnLdr (2,0%), Altri 6,8%
"I messaggi indesiderati che nascondono Netsky nell'allegato continuano a proliferare come erbacce in un giardino incolto. Ciò dimostra che le mail non richieste, inviate a milioni di utenti, continuano comunque ad essere uno strumento efficace per propagare il malware", ha dichiarato Walter Narisoni, Security Consultant di Sophos Italia. "È frustrante constatare quanto mirati e subdoli siano i nuovi attacchi che sfruttano i messaggi di spam. Ma come possiamo sperare che gli utenti si proteggano adeguatamente contro queste nuove minacce, se non siamo ancora riusciti a debellare due 'soliti noti' come Netsky e Mytob? È indispensabile che gli utenti, sia privati che business, si adoperino per salvaguardare i propri PC, nell'interesse di se stessi e di tutti gli utenti che navigano in Internet".
La top ten dei Paesi che ospitano il maggior numero di siti web infetti per il mese di marzo 2007 è la seguente: 1. Cina (incl. Hong Kong) 35,6%, 2. Stati Uniti 32,3%, 3. Germania 7,5%, 4. Regno Unito 5,5%, 5. Russia 4,6%, 6. Francia 3,6%, 7. Paesi Bassi 1,3%, 8. Corea del Sud 1,2%, 9. Ucraina e Canada 1,0%, Altri 6,4%. "Con lo 0,8% l'Italia occupa il 12° posto della classifica dei Paesi che ospitano il maggior numero di siti web - prosegue Narisoni - una posizione che genera un segnale d'allarme per le società di web hosting: è necessario che queste vigilino attentamente sulla sicurezza dei propri server, per evitare che i criminali informatici ne assumano il controllo e installino malware sui siti web ospitati su tali server".
La classifica dei falsi allarmi e delle catene di Sant'Antonio per il mese di marzo 2007 è la seguente:1. Hotmail hoax (39,2%), 2. Olympic torch (5,6%), 3. Budweiser frogs screensaver (3,7%), 4. Meninas da Playboy (2,3%), 5. A virtual card for you (2,3%), 6. MSN is closing down (2,3%), 7. Bonsai kitten (1,9%), 8. Bill Gates fortune (1,7%), 9. Justice for Jamie (1,4%), 10. Music Top 50 (1,2%)
I grafici di questa top ten sono disponibili all'indirizzo: www.sophos.com/pressoffice/imggallery/topten/
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 05/04/2007]
MS07-017: Problemi Noti e Dettagli
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifMSRC Bloghttp://www.tweakness.net/immagini/news/spacer.gifBollettino MS07-017http://www.tweakness.net/immagini/news/spacer.gifMSKB 925902
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpg Nei giorni scorsi Microsoft ha pubblicato due dettagliati commenti sul blog ufficiale del suo Microsoft Security Response Center per fornire informazioni addizionali sul bollettino di sicurezza MS07-017 ed il relativo hotfix di protezione di emergenza per la vulnerabilità critica Animated Cursor Handling (CVE-2007-1215) di Windows nella gestione dei file cursore animati (.ani), rilasciati 4 giorni fa. Prima di tutto Microsoft ha voluto fornire un "inside look" al processo di sviluppo e rilascio del bollettino MS07-017 per chiarire alcuni dubbi emersi riguardo il tempo impiegato dall'azienda per questa release (3 mesi dalla segnalazione originale di Determina del 20 Dicembre 2006).
http://www.tweakness.net/immagini/links.gif MS07-017: Patch per Windows ANI - Falla Windows ANI: Worm e Patch - Altre
Microsoft evidenzia in particolare di aver fornito la patch di sicurezza entro 5 giorni dalle prime notifiche relative ad attacchi exploit in-the-wild: "Il problema di sicurezza ha seguito il medesimo processo usato per tutte le segnalazioni di vulnerabilità. In base alla gravità della segnalazione iniziale, abbiamo iniziato a lavorare per la release subito dopo ave verificato e riprodotto la vulnerabilità. Il livello di priorità assegnato ai problemi di sicurezza è basato sulla gravità della falla e sul rischio per i clienti.
Il livello di urgenza e la nostra volontà di 'abbreviare' i passaggi del processo, come il testing sulla qualità, per abbreviare i tempi di release, è basato sul rischio effettivo per clienti in quel determinato momento. Indipendentemente dal tipo segnalazione del problema, effettuata in maniera responsabile o no, se il rischi per i clienti è imminente tentiamo di bilanciare la necessità di qualità e 'comprehensiveness' (indagine, correzione e testing di tutte le vulnerabilità nel codice interessato) con la necessità di proteggere i clienti il più presto possibile … In questo particolare caso, la nostra indagine in Gennaio e Febbraio ha evidenziato che esisteva una dipendenza tra uno dei file necessari per la correzione di una falla correlata in un driver di sistema che si esegue in kernel mode (win32k.sys) CVE-2006-5758 ed il file che doveva essere aggiornato per risolvere la vulnerabilità Windows Animated Cursor Handling CVE-2007-0038 (user32.dll). Questa dipendenza significava che un aggiornamento comprensivo richiedeva che entrambi i file fossero installati nei sistemi allo stesso tempo, e la nostra indagine ha incluso diversi componenti.
Il risultato di questa indagine complessiva è stato che in MS07-017 abbiamo corretto 7 diverse vulnerabilità segnalate ed altri problemi riscontrati durante il processo di indagine interna, invece di richiedere ai clienti di installare svariati fix per lo stesso set di vulnerabilità… Il passo successivo della nostra indagine è stato quello di creare e testare gli aggiornamenti di protezione a Febbraio e Marzo, un processo che richiede, in media, 2 mesi di tempo per la maggior parte degli aggiornamenti di protezione per Windows. Per questa particolare problematica, l'aggiornamento modifica una funzionalità interna e fondamentale al sistema operativo, sia nel rendering grafico, sia nelle operazioni in kernel mode. Per questo motivo è stato effettuato un testing esteso, e questo processo ha coinvolto centinaia di persone in diversi team in tutto il mondo per assicurare un copertura più completa. In questo caso ad un certo punto i nostri test hanno scoperto più di 80 potenziali problematiche con l'aggiornamento che sono state analizzate e risolte … solo un problema minore era conosciuto e assistenza con un hotfix era già pronti per clienti al momento della release".
Avevamo infatti già evidenziato nella news relativa al rilascio del bollettino il "problema noto" che interessava l'aggiornamento MS07-017 e che poteva causare inconvenienti a molti utenti, in particolare a coloro che usano gli Aggiornamenti Automatici e che non avevano letto l'articolo KB925902. Dopo l'installazione dell'aggiornamento su Windows XP SP2 gli utenti potrebbero riscontrare un problema nel caricamento del Realtek HD Audio Control Panel (Rthdcpl.exe) e ricevere un errore. Microsoft ha reso disponibile una articolo di supporto dedicato (KB935448) ed un hotfix scaricabile per i clienti interessati da questo specifico problema. Microsoft ha pubblicato recentemente nuove informazioni sui problemi noti per l'aggiornamento MS07-017, aggiornando l'articolo KB925902. "I nostri team lavorano continuamente fio che non rilasciamo un aggiornamento di protezione tramite il processo regolare o out-of-band. Una volta rilasciato l'aggiornamento ANI, il nostro gruppo di 'Customer Service e Support' mondiale ha immediatamente insaziato a lavorare giorno e notte con i clienti per aiutarli ad installare gli aggiornamenti e da quel momento abbiamo isolato tre applicazioni addizionali che sono interessate dallo stesso problema documentato precedentemente. In particolare, oltre al problema al Realtek HD Audio Control Panel, abbiamo aggiunto le seguenti applicazioni all'articolo Knowledge Base: ElsterFormular, TUGZip, CD-Tag ... l'hotfix disponibile attualmente al download corregge il problema identificato".
Secondo Microsoft l'impatto di questi problemi è "chiaramente non diffuso", ma tuttavia potrebbe interessare alcuni utenti. Per aiutare i clienti che usano queste applicazioni, il colosso ha rilascaito l'hotfix per risolvere il problema su Windows Update (WU), Microsoft Update (MU), e Automatic Updates (AU) come parte del Patch Day del 10 Aprile come aggiornamento ad alta priorità non di sicurezza.
Il colosso ha anche rilasciato spiegazioni dettagliate per la distribuzione su Windows Server Update Services (WSUS) e Software Update Services (SUS) e per gli utenti degli strumenti Microsoft Baseline Security Analyzer (MBSA) e Systems Management Server (SMS).
Nonostante il rilascio ufficiale di una patch per il problema nel Animated Cursor Handling (CVE-2007-1215), i ricercatori di sicurezza avevano previsto un inasprimento degli attacchi contro la vulnerabilità in questi giorni. Secondo Websense, sono stati isolate almeno 700 siti web che ospitavano e diffondevano il codice exploit .ANI. Inoltre i ricercatori hanno identificato il codice attacco anche in messaggi inviati via spam, e kit automatizzati stanno venendo distribuiti online per consentire anche ai cybercriminali meno esperti di creare malware basati sul l'exploit della falla in Windows ANI. Nelle ultime 24 ore gli exploit .ANI hanno rappresentato in codice malware più rilevato proveniente dalle regioni asiatiche. Secondo i ricercatori, il codice diventerà entro una settimana o due l'exploit più utilizzato in tutto il mondo.
Segnaliamo un video pubblicato sul blog ufficiale di Determina che mostra l'esecuzione di una attacco alla vulnerabilità su Windows Vista tramite un exploit che funziona su Internet Explorer 7 e Mozilla Firefox 2.0. A questo proposito secondo Determina, la vulnerabilità relativa ai cursori animati di Windows interessa tutte le applicazioni che si appoggiano alle API relative di Microsoft. Tra questi programmi ricordiamo molti viewer di file grafici e multimediali, come IrfanView ed anche Firefox. Questi programmi potrebbero quindi essere utilizzati come vettori per sfruttare la falla. Mozilla Foundation ha reso noto di essere al lavoro su un aggiornamento di Firefox che possa impedire eventuali attacchi basati sui cursori animati, e questo anche nel caso in cui l'utente non abbia provveduto ad applicare la patch di Microsoft.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 05/04/2007]
Windows XP SP3: Dubbi, Conferme
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifPaul Thurrott su XP SP3http://www.tweakness.net/immagini/news/spacer.gifCommento di Mary Jo Foleyhttp://www.tweakness.net/immagini/news/spacer.gifSP Road Map
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/winXPSP3_2.jpgMentre ormai si parla già ampiamente del prossimo SP1 per Windows Vista, riemergono in rete dubbi e domande riguardo Windows XP SP3, il terzo service pack per il "vecchio" sistema client Windows, il cui rilascio è stato varie volte "rimandato" dal colosso di Redmond.
Paul Thurrott di WindowsITpro riporta in un recente articolo un rumor preoccupante: "L'azienda ha completamente abbandonato Windows XP e assolutamente non ha intenzione di rilasciare mai XP SP3 … Secondo me Microsoft farà quello che ha già fatto con il Service Pack finale di Windows 2000: affermare anni dopo che non è più necessario e rilasciare solamente un security patch roll-up finale. Questo è il peggior benservito per un prodotto Microsoft che io abbia mai visto, e ci si attendeva che l'azienda mostrasse un po' più rispetto per il suo sistema operativo più venduto di tutti tempi".
Lo scorso autunno Microsoft aveva aggiornato la sua "Windows Service Pack Road Map", relativa ai rilasci dei Service Pack per i sistemi operativi supportati, portando la data di rilascio di Windows XP Service Pack 3 (SP3), definita "preliminare", alla prima metà del 2008. Ad inizio 2006 il colosso aveva già "rimandato" XP SP3 a fine 2007. Ricordiamo che l'ultimo aggiornamento service pack per XP, rilasciato dal colosso ad Agosto 2004, è stato Windows XP SP2, una release "significativa", un "major upgrade" del sistema, in virtù delle nuove funzionalità e caratteristiche introdotte. Microsoft non rilasciato commenti ufficiali per spiegare il delay, anche se c'è da immaginare che lo sviluppo di Windows Vista e Longhorn Server siano stati finora la priorità assoluta del team Windows.
http://www.tweakness.net/immagini/links.gif Windows XP SP3 Slitta nel 2008!
Precedentemente Microsoft aveva confermato il futuro rilascio di XP SP3 ma ne aveva prevista la disponibilità per lo stesso periodo di lancio di Windows Vista. Il ritardo di XP SP3 era arrivato come una notizia raccapricciante per home user, amministratori e OEM, che sono costretti a scaricare una quantità sempre maggiore (più di 200MB) di aggiornamenti di sistema dopo aver effettuato un'installazione "pulita" di Windows XP, anche con SP2 slipstreamed. Ovviamente tutte le patch e gli aggiornamenti possono essere integrati in anticipo nel CD di installazione del sistema, ma questa non è certo una operazione facile o comoda, considerando che Microsoft rilascia patch di sicurezza su base mensile.
In rete circolano da tempo vari pacchetti SP3 non ufficiali che offrono una semplice collezione di hotfix e updates rilasciate successivamente a Service Pack 2 per Windows XP. Microsoft aveva comunque commentato, alquanto duramente, queste release non ufficiali di Windows Service Pack 3, evidenziando il fatto che questi pacchetti includessero hotfix privati che normalmente vengono rilasciate solo ai clienti con specifici problemi. Molti hotfix non hanno passato i test di qualità adeguati ad un rilascio pubblico e per questo motivo vengono inviate agli utenti solo tramite assistenza. Microsoft consiglia esclusivamente l'uso di Windows Update e Download Center per ottenere gli ultimi aggiornamenti disponibili per il proprio sistema operativo. Qualsiasi altro update ottenuto non direttamente da una download location Microsoft non viene supportato dall'azienda in nessuna maniera.
Mary Jo Foley ha ripreso le ultime indiscrezioni su XP SP3 sul suo blog All About Microsoft ed ha riportato un commento ufficiale di Microsoft alle parole di Thurrott. "SP3 per Windows XP Home Edition [e Professional] è attualmente previsto per 1H CY2008. Questa data è preliminare", ha affermato un portavoce dell'azienda. In altre parole ufficialmente Microsoft non ha modificato i suoi piani di rilascio di XP SP3, che rimane previsto per la prima metà del 2008, circa un anno dopo il rilascio di Vista e ben 4 anni dopo XP SP2, così come annunciato l'anno scorso sulla pagina dedicata ai product-lifecycle.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]
McAfee: Threat Report "Issue 2"
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifMcAfee Threat Centerhttp://www.tweakness.net/immagini/news/spacer.gifSage Vol.1, Issue 2 (PDF)http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/...eat_Report.jpgMcAfee ha annunciato la seconda uscita del Global Threat Report, il periodico semestrale di sicurezza ideato per aggiornare e tenere informato chi si occupa di sicurezza a tutti i livelli, dal personale tecnico ai responsabili di sicurezza, sulle tematiche più attuali che possano essere loro di supporto nel prendere decisioni riguardo alla sicurezza con maggiore consapevolezza. Il nuovo numero del Global Threat Report include articoli firmati da famosi ricercatori, manager e divulgatori McAfee, che si sono cimentati su argomenti quali il cybercrimine, la sicurezza di Microsoft Windows Vista, lo spyware, lo spam, la sicurezza nella telefonia mobile, la perdita dei dati e il security risk management. La nuova versione del Global Threat Report è scaricabile dal McAfee Threat Center.
http://www.tweakness.net/immagini/links.gif McAfee SiteAdvisor: Quota 38 Mln - Altre
Il Global Threat Report offre uno sguardo a quello che sarà il prossimo futuro della sicurezza informatica: le minacce, le difese e le problematiche che chi si occupa di sicurezza si troverà ad affrontare nei prossimi cinque anni.
Il futuro del cybercrimine: oggi, la maggior parte dei criminali informatici punta agli utenti di PC, ma prevediamo che gli aggressori amplieranno i loro orizzonti verso altre aree tecnologiche, come il VoIP e l'RFID, dal momento che tali tecnologie sono oggi adottate in modo più diffuso. Rendere sicure le applicazioni: la sicurezza delle applicazioni è una gara costante e gli sviluppatori stanno lottando per stare al passo. Dal momento che vengono rese disponibili più informazioni sulla natura dei bug software e sulle modalità per poterli sfruttare, gli hacker possono usufruire di queste informazioni nel loro processo di scoperta delle falle e trovare delle vulnerabilità che precedentemente erano state considerate innocue. Il futuro della sicurezza, Vista: mentre Microsoft ha adottato delle misure per rendere più sicuro il kernel di Vista, i miglioramenti non solo indeboliscono gli sforzi delle terze parti per aumentare la sicurezza del sistema, ma non sono in grado di svolgere questo compito con le proprie sole forze.
Lo spyware è in aumento: anche se i programmatori aggiungono alcune misure di sicurezza in fase di sviluppo, la nuova tecnologia spyware spesso supera di molto la migliore progettazione perfino dei tecnici più diligenti, aprendo nuovi fronti agli attacchi. Lo spyware ci perseguiterà anche attraverso nuove tecnologie, come il Bluetooth e l'RFID. La piaga dello spam persiste: McAfee prevede una crescita molto limitata del volume dello spam in termini percentuali nei prossimi due anni, ma sarà il volume complessivo dello spam in sé a crescere con l'aumento di banda a livello globale. Lo spam di immagini è l'ultimo escamotage degli spammer per superare le difese. La criminalità online si trasferisce sui telefoni cellulari: Mentre è opinione comune che la telefonia mobile sia sicura, McAfee sta osservando una rapida crescita negli attacchi mobile con un incremento anche nella diversificazione delle tecniche di attacco. Fermare la fuoriuscita dei dati: la perdita dei dati è una preoccupazione di sicurezza emergente e ha un immenso impatto sulla reputazione di una società. Mentre la crittografia del disco rimane l'unica tecnologia ragionevolmente matura per prevenirla, McAfee prevede che una protezione di base contro la perdita dei dati e la crittografia dei dischi avranno una diffusione ragionevolmente ampia all'interno di aziende strutturate nei prossimi cinque anni. Gestire il rischio: il security risk management è un problema di strategia non indifferente per i manager IT. Le organizzazioni necessitano di adottare un processo di risk management per le loro attività.
"La lotta continua tra chi si occupa di sicurezza e gli autori di malware è una corsa agli armamenti — non importa quanto velocemente i professionisti della sicurezza progettino nuove difese, i cattivi sembrano fare gli stessi progressi" ha dichiarato Jeff Green, senior vice president, McAfee Avert Labs. "Il Global Threat Report è stato creato per aiutare gli esperti di sicurezza a stare al passo con il mutevole panorama odierno delle minacce, offrendo loro dei punti di vista ragionati su cosa devono tenere d'occhio e su quello da cui guardarsi nel momento in cui pianificano per il futuro.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]
Falla DNS Server: Allerta Worm!
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifMSA 935964http://www.tweakness.net/immagini/news/spacer.gifNirbot.worm!RpcDns @ McAfeehttp://www.tweakness.net/immagini/news/spacer.gifRinbot.BC @ Symantec
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpgVarie aziende di sicurezza hanno lanciato l'allerta sulla diffusione di nuovi codici worm che sfruttano la vulnerabilità in Domain Name System (DNS) Server Service (CVE-2007-1748) su Windows 2000 Server SP4, Server 2003 SP1, e Windows Server 2003 SP2, segnalata alcuni giorni fa. Ricordiamo che Microsoft aveva reso noto tramite il Security Advisory 935964 di star investigando su nuove segnalazioni pubbliche relative ad attacchi "limitati" che sfruttavano questo problema di sicurezza.
Tuttavia la situazione si è "aggravata" giorno dopo giorno con il rilascio di almeno 4 codici exploit pubblici ed ora con la diffusione di almeno 2 varianti di codice malware "worm". Bisogna evidenziare che Windows 2000 Pro SP4, Windows XP SP2, e Windows Vista non sono affetti da questo problema di sicurezza perchè non contengono il codice vulnerabile, per questo non possono essere attaccati dal worm tramite il nuovo vettore.
http://www.tweakness.net/immagini/links.gif MSA935964: Falla RCE DNS Server
Dal blog ufficiale del Microsoft Security Response Center: "Il nostro processo di monitoring continuo in collaborazione con i nostri partner MSRA indica l'esistenza di un nuovo attacco che tenta di sfruttare questa vulnerabilità. Al momento l'attacco non sembra essere diffuso su larga scala. Come parte del nostro Software Security Incident Response Process (SSIRP) continuiamo a lavorare tramite diversi canali per incoraggiare i clienti ad installare rapidamente i workaround offerti nell'Advisory. Facendo questo è possibile attenuare il rischio di attacchi efficaci alle proprie reti … In particolare, incoraggiamo i clienti a applicare la soluzione alternativa con la modifica della chiave di registro. Inoltre invitiamo tutti ad assicurarsi di aver installato le ultime definizioni di rilevamento per i propri prodotti di sicurezza". Nel suo advisory MSA935964, Microsoft fornisce alcuni workaround temporanei che permettono ai clienti di difendersi dagli attacchi che sfruttano questa vulnerabilità. Si tratta di in sostanza di disabilitare la gestione remota tramite RPC per i server DNS, modificando una chiave di registro (manualmente o tramite REG), o bloccando o filtrando le porte usate dal protocollo nel firewall o via IPSEC (tutti i dettagli nel MSA935964 - Versione in italiano).
Detto questo, diamo uno sguardo ai dettagli finora trapelati sui nuovi codici malware worm che sfruttano questa vulnerabilità per infettare i sistemi e creare una botnet di PC infetti. McAfee ha riportato la notizia della scoperta dei nuovi malware sul blog ufficiale dei suoi Avert Labs. L'azienda di sicurezza ha isolato finora due varianti di questo codice nocivo che ha classificato come varianti del worm Nirbot. Nella descrizione della minaccia, W32/Nirbot.worm!83E1220A è classificato come "internet relay chat controlled backdoor" in grado di offrire agli attacker accesso non autorizzato da remoto ai computer compromessi. I computer infetti possono essere usati per inviare spam, installare adware, distribuire contenuti illegali o lanciare attacchi DDoS ad altri sistemi. Questa variante esegue lo scan di macchine vulnerabili sulla rete ed usa le stesse vulnerabilità utilizzate dal codice originale W32/Nibot.worm.gen più la nuova vulnerabilità in DNS RPC. Finora le due nuove varianti sono state associate a due nomi file: mozila.exe (W32/Nirbot.worm!RpcDns) e mdnex.exe (W32/Nirbot.worm!83E1220A).
Anche Symantec sul blog del suo team Security Response ha riportato la scoperta dei nuovi codici worm in-the-wild. Symantec ha classificato la minaccia come W32.Rinbot.BC. L'azienda ha notato un aumento dell'attività sulla porta TCP 1025 come risultato delle operazioni di scanning effettuate da W32.Rinbot.BC in cerca di computer vulnerabili in rete. Symantec consiglia di bloccare la porta TCP 1025 in modo da evitare l'attacco. Anche ISC SANS riporta la medesima attività di scanning e offre uno sguardo all'attuale copertura di rilevamento antivirus. Bisogna tuttavia evidenziare che in un ultimo aggiornamento per il Security Advisory 935964, Microsoft ha reso noto che la vulnerabilità può essere sfruttata anche tramite la porta 445. ISC SANS evidenzia che è già disponibile un exploit pubblico che supporta il vettore di attacco TCP445, anche contro Windows 2003 Server SP2.
Sophos ha classificato la minaccia come W32/Delbot-AI worm. L'azienda evidenzia che il codice worm è capace di sfruttare anche una vulnerabilità presente nei prodotti antivirus di Symantec, che comunque è stata corretta un anno fa dal vendor.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]
Storm "Nuwar": Attacco Massiccio
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifW32/Nuwar@MM!zip @ McAfeehttp://www.tweakness.net/immagini/news/spacer.gifWORM_NUWAR.AOP @ Trend Microhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/hacker2s.jpgIl famigerato "Storm worm" che ha colpito duramente nei mesi scorsi diffondendosi via spam in tutto il mondo, con svariante ondate e varianti, è tornato nuovamente all'attacco con una nuova pericolosa variante (probabilmente due) della famiglia "NUWAR" che si sta rendendo responsabile in queste ore di un massiccio attacco via spam.
http://www.tweakness.net/immagini/links.gif Storm Trojan Mira a Blog e Forum - Altre
Secondo l'Internet Storm Center sono state rilevate almeno 20.000 infezioni solo nella giornata di ieri. Patrick Martin, un senior product manager del Security Response Team di Symantec, ha affermato di aver ricevuto centinaia di segnalazioni di e-mail nocive in circolazione. Secondo i ricercatori di Postini Inc., il nuovo "spam run" è il più massiccio attacco di questo tipo degli ultimi 12 mesi, oltre tre volte più vasto in volume rispetto ai due più grandi attacchi spam recenti. Adam Swidler, senior manager del solutions marketing presso Postini parla di un volume di spam 50/60 volte più grande rispetto al normale. Johannes Ullrich, chief research officer del SANS Institute echief technology officer dell'Internet Storm Center, commenta: "Potenzialmente si tratta di un problema enorme … una volta che l'utente viene infettato, è molto difficile poter eliminare l'infezione. È probabile che sia necessario re-installare il sistema".
Il nuovo "virus outbreak" è iniziato con un attacco spam imponente che sta intasano gli account di posta di tutto il mondo. Le e-mail nocive presentano come oggetto: "Worm Alert," "Virus Alert," "Worm Activity Detected!" e "Dream of You". Alcuni dei titoli usati dai cybercriminali includono anche la parola "love", molti altri promettono una patch per un fantomatico "new bug". A quanto pare il sistema usato per generare lo spam modifica i testi degli oggetti in maniera regolare in modo da ingannare utenti e vendor antivirus. All'interno delle e-mail infette è presente una immagine GIF e un file zip criptato. L'immagine mostra la password necessaria per aprire l'archivio. Al contrario del malware originale "Storm", che si nascondeva in eseguibili, la variante è contenuta in un file ZIP criptato, e quindi molto più difficile per i software antivirus rilevare la presenza di codice nocivo nell'allegato di posta e bloccarlo preventivamente.
Se un utente apre il file infetto, il malware si insedia nella macchina vittima e si connette ad una rete peer-to-peer nella quale può caricare dati, come informazioni personali rubate dal PC infettato. Il malware è inoltre capace di scaricare codice nocivo addizionale nel sistema. Come le varianti precedenti di Storm Trojan, il malware presenta capacità rootkit per nascondere la sua presenza nel sistema, disabilita programmi di sicurezza, e ruba dati confidenziali dal PC vittima. I computer infettati inoltre entrano a far parte di una botnet come macchine "zombie", e possono essere usati per inviare spam e lanciare altri attacchi. La nuova variante di Storm esegue anche una ricerca nel disco rigido dell'utente per trovare indirizzi di posta e propagarsi inviando messaggi nocivi a questi contatti. L'integrazione del sistema P2P rende il malware ancora più invulnerabile e difficile da bloccare, in quanto non è possibile chiudere o mettere offline un server specifico o un nodo di rete, come accade con i malware che sfruttano i server IRC. Trend Micro classifica il codice come WORM_NUWAR.AOP e riporta un rischio complessivo "Medio" per il problema di sicurezza.
Come sempre in occasione di questo tipo di allerta virus (e come buona norma di sicurezza generale) si consiglia di mantenere aggiornato il proprio software antivirus e di non aprire allegati e file ricevuti in maniera inaspettata da persone conosciute o sconosciute. Come riporta Harry Waldron, un Microsoft MVP, sul suo blog dedicato alla sicurezza, la copertura in rilevamento da parte degli antivirus è ancora molto bassa, così come emerge eseguendo un scan dell'allegato ZIP infetto sul servizio online VirusTotal. Se si escludono gli antivirus che non eseguono lo scan del file perché criptato, tra più di 30 software antivirus e antimalware, solo Mcafee (W32/Nuwar@MM!zip), ClamAV (Trojan.Small-zippwd-18), Symantec (Trojan.Peacomm!zip) e Webwasher-Gateway (Trojan.Zhelatin.ZIP.Gen) rilevano la minaccia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]
MSA935964: Falla RCE DNS Server
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifSecurity Advisory 935964http://www.tweakness.net/immagini/news/spacer.gifMSRC Bloghttp://www.tweakness.net/immagini/news/spacer.gifSecunia Advisory 24871
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin2.jpgMicrosoft ha reso noto tramite il Security Advisory 935964 di star investigando su nuove segnalazioni pubbliche relative ad attacchi "limitati" che sfruttano una vulnerabilità Domain Name System (DNS) Server Service in Windows 2000 Server SP4, Server 2003 SP1, e Windows Server 2003 SP2. Il colosso segnala che Windows 2000 Professional SP4, Windows XP SP2, e Windows Vista non sono affetti da questo problema di sicurezza perchè non contengono il codice software vulnerabile.
http://www.tweakness.net/immagini/links.gif Nuovi Zero-Day: Word 2007, .HLP - Altre
Dal Security Advisory 935964 di Microsoft: "L'indagine iniziale effettuata da Microsoft rivela che i tentativi di sfruttare questa vulnerabilità possono permettere ad un attacker di eseguire codice nel contesto di sicurezza del Domain Name System Server Service, che si esegue in maniera predefinita come Local SYSTEM. Una volta completate le ricerche, Microsoft intraprenderà l'azione appropriata per la protezione dei clienti. In base alle esigenze dei clienti, potrebbe essere necessario distribuire un aggiornamento per la protezione tramite il processo di rilascio mensile oppure un aggiornamento per la protezione out-of-cycle. Se si ritiene di essere interessati da questo problema e si desidera usufruire dei servizi del supporto tecnico, visitare il sito del Servizio Supporto Tecnico Clienti Microsoft".
Secondo quanto riporta Secunia, nota azienda di security monitoring, in un advisory dedicato al problema di sicurezza, la vulnerabilità è causata da un "boundary error" in una interfaccia RPC del servizio DNS usata per la gestione remota del servizio. Questo bug può essere sfruttato per causare un sovraccarico stack-based del buffer tramite un richiesta RPC modificata ad arte. Un exploit condotto con successo, aggiunge Secunia, permette esecuzione di codice arbitrario con privilegi "SYSTEM". Per questa ragione l'azienda danese classifica il problema come "altamente critico", il livello di pericolosità più grave del suo sistema di rating.
Nel suo advisory MSA935964, Microsoft fornisce alcuni workaround temporanei che permettono ai clienti di difendersi dagli attacchi che sfruttano questa vulnerabilità. Si tratta di in sostanza di disabilitare la gestione remota tramite RPC per i server DNS, modificando una chiave di registro (manualmente o tramite REG), o bloccando o filtrando le porte usate dal protocollo nel firewall o via IPSEC (tutti i dettagli nel MSA935964). Una lista completa dei sistemi operativi affetti è disponibile nell'articolo KB935964
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]
McAfee: Threat Report "Issue 2"
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifMcAfee Threat Centerhttp://www.tweakness.net/immagini/news/spacer.gifSage Vol.1, Issue 2 (PDF)http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/...eat_Report.jpgMcAfee ha annunciato la seconda uscita del Global Threat Report, il periodico semestrale di sicurezza ideato per aggiornare e tenere informato chi si occupa di sicurezza a tutti i livelli, dal personale tecnico ai responsabili di sicurezza, sulle tematiche più attuali che possano essere loro di supporto nel prendere decisioni riguardo alla sicurezza con maggiore consapevolezza. Il nuovo numero del Global Threat Report include articoli firmati da famosi ricercatori, manager e divulgatori McAfee, che si sono cimentati su argomenti quali il cybercrimine, la sicurezza di Microsoft Windows Vista, lo spyware, lo spam, la sicurezza nella telefonia mobile, la perdita dei dati e il security risk management. La nuova versione del Global Threat Report è scaricabile dal McAfee Threat Center.
http://www.tweakness.net/immagini/links.gif McAfee SiteAdvisor: Quota 38 Mln - Altre
Il Global Threat Report offre uno sguardo a quello che sarà il prossimo futuro della sicurezza informatica: le minacce, le difese e le problematiche che chi si occupa di sicurezza si troverà ad affrontare nei prossimi cinque anni.
Il futuro del cybercrimine: oggi, la maggior parte dei criminali informatici punta agli utenti di PC, ma prevediamo che gli aggressori amplieranno i loro orizzonti verso altre aree tecnologiche, come il VoIP e l'RFID, dal momento che tali tecnologie sono oggi adottate in modo più diffuso. Rendere sicure le applicazioni: la sicurezza delle applicazioni è una gara costante e gli sviluppatori stanno lottando per stare al passo. Dal momento che vengono rese disponibili più informazioni sulla natura dei bug software e sulle modalità per poterli sfruttare, gli hacker possono usufruire di queste informazioni nel loro processo di scoperta delle falle e trovare delle vulnerabilità che precedentemente erano state considerate innocue. Il futuro della sicurezza, Vista: mentre Microsoft ha adottato delle misure per rendere più sicuro il kernel di Vista, i miglioramenti non solo indeboliscono gli sforzi delle terze parti per aumentare la sicurezza del sistema, ma non sono in grado di svolgere questo compito con le proprie sole forze.
Lo spyware è in aumento: anche se i programmatori aggiungono alcune misure di sicurezza in fase di sviluppo, la nuova tecnologia spyware spesso supera di molto la migliore progettazione perfino dei tecnici più diligenti, aprendo nuovi fronti agli attacchi. Lo spyware ci perseguiterà anche attraverso nuove tecnologie, come il Bluetooth e l'RFID. La piaga dello spam persiste: McAfee prevede una crescita molto limitata del volume dello spam in termini percentuali nei prossimi due anni, ma sarà il volume complessivo dello spam in sé a crescere con l'aumento di banda a livello globale. Lo spam di immagini è l'ultimo escamotage degli spammer per superare le difese. La criminalità online si trasferisce sui telefoni cellulari: Mentre è opinione comune che la telefonia mobile sia sicura, McAfee sta osservando una rapida crescita negli attacchi mobile con un incremento anche nella diversificazione delle tecniche di attacco. Fermare la fuoriuscita dei dati: la perdita dei dati è una preoccupazione di sicurezza emergente e ha un immenso impatto sulla reputazione di una società. Mentre la crittografia del disco rimane l'unica tecnologia ragionevolmente matura per prevenirla, McAfee prevede che una protezione di base contro la perdita dei dati e la crittografia dei dischi avranno una diffusione ragionevolmente ampia all'interno di aziende strutturate nei prossimi cinque anni. Gestire il rischio: il security risk management è un problema di strategia non indifferente per i manager IT. Le organizzazioni necessitano di adottare un processo di risk management per le loro attività.
"La lotta continua tra chi si occupa di sicurezza e gli autori di malware è una corsa agli armamenti — non importa quanto velocemente i professionisti della sicurezza progettino nuove difese, i cattivi sembrano fare gli stessi progressi" ha dichiarato Jeff Green, senior vice president, McAfee Avert Labs. "Il Global Threat Report è stato creato per aiutare gli esperti di sicurezza a stare al passo con il mutevole panorama odierno delle minacce, offrendo loro dei punti di vista ragionati su cosa devono tenere d'occhio e su quello da cui guardarsi nel momento in cui pianificano per il futuro."
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]
Phishing: il lucchetto diventa un icona
http://www.anti-phishing.it/image.ne...k.security.jpgQuante volte vi è stato detto che la mancanza del lucchetto nella barra di stato in basso a desta per Internet Explorer o in quella degli indirizzi per Firefox è sinonimo della presenza di un sito clone, ossia di trappole virtuali appositamente realizzate per sottrarre username e password di conti on-line o numeri di carte di credito. Tante…forse troppe volte eppure non bastano perché i phisher come dice il proverbio "ne sanno sempre una più del diavolo"
L’apparizione del simbolo del lucchetto ossia sinonimo dell’attivazione di una connessione protetta SSL che apre un tunnel sicuro e crittografato per il passaggio dei dati tra l’utente e l’istituto di credito senza che questi possano cadere durante il trasferimento nella mani sbagliate, è sempre stato usato come punto di riferimento contro il phishing, per consentire anche a quegli utenti assolutamente non informati di riconoscere grazie ad un semplice controllo visivo l’autenticità del sito web in cui si trovano.
Adesso tale consiglio potrebbe ritorcesi contro proprio quegli utenti che ne hanno fatto una regola fondamentale della propria sicurezza,visto che i phisher non potendosi permettere l’acquisto di un vero certificato SSL, a causa non solo del costo dello stesso ma anche dello spreco visto che potrebbe essere semplicemente utilizzato per un singolo caso, hanno pensato bene di realizzarlo in proprio trasformandolo in un icona.
Uno dei siti clone rilevati oggi ai danni di Poste Italiane, presentava infatti un "simpatico" lucchetto posizionato in un punto in cui un dovrebbe essere, il quale ad ogni modo forniva l’impressione di essere nel vero sito web del gruppo romano.
http://www.anti-phishing.it/phishing...04.2007_01.png Il finto lucchetto, in realtà un immagine, sfruttava la posizione destinata all’icona che i vari webmaster possono decidere di associare al nome a dominio del proprio sito web, quindi un semplice ed ingegnoso raggiro “visivo” quello organizzato dai phisher, la cui pericolosità potrebbe comunque mettere nei guai più di un cliente di Poste Italiane.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 10/04/2007]
Incontri on-line: dietro una bella ragazza potrebbe nascondersi una brutta truffa
http://www.anti-phishing.it/image.news/sex001.jpgTi aveva detto che eri l’uomo giusto per lei e che ti avrebbe amato ma alla fine ti ha sfilato 1.000 euro ed ora sei più solo di prima, più povero ed "incazzato nero" ….. consolati perché fai parte del 20% dei singoli incappati in uno dei tanti cyber-raggiri amorosi. La truffa non è nuovo ed in Rete è possibile trovare veri e propri elenchi di ragazzi, aspiranti amanti, ma di professione truffatrici disposte a promettervi l’amore eterno ma con un unico pensiero in testa:
Quattro milioni di navigatori in Italia si dedicano agli affari di cuore in rete: per molti il dating on-line è solo un modo come un altro di allargare le conoscenze. Circa 30 mila nuovi utenti si iscrivono ogni giorno a siti che offrono servizi di incontri attraverso Internet. Ma sulla rete sono in crescita i tentativi di raggiri: il 20 per cento dei single dichiara di essersi imbattuto in tentativi di frodi on-line di vario genere.
Quattro milioni di single italiani sperano di trovare l’anima gemella on-line. L’80 per cento dei cuori solitari ha provato almeno una volta i sistemi di incontro sul web. Il 50 per cento di loro è composto da donne e la presenza femminile on-line è destinata a crescere ancora. Ma su Internet è anche in aumento il rischio di incontrare malintenzionati, persone che si fingono chi non sono. A lanciare l’allarme è il Club per Single «Eliana Monti», un club reale con contatti reali, che rivela i risultati di un sondaggio realizzato su un campione di 800 single italiani di età compresa tra i 20 e i 60 anni.
Il sondaggio Eliana Monti rivela tanti dati interessanti sugli incontri on-line, ma anche e soprattutto un dato preoccupante: il 20 per cento dei single dichiara infatti di essersi imbattuto in tentativi di frodi on-line. E qualcuno ci è anche caduto. Il fenomeno riguarda soprattutto i single di sesso maschile che vengono ’agganciatì da ragazze bellissime che sembrano top-model. Molto spesso si tratta di foto candide e sensuali di giovani donne del tutto ignare delle frodi perpetrate con le loro immagini. Così basta una e-mail per truffare gli amanti virtuali: le ragazze scrivono frasi d’amore fino al giorno in cui chiedono denaro in prestito. Poi scatta la cybertruffa, scompaiono e i pretendenti rimangono delusi e con i portafogli svuotati.
«Al primo scambio di posta elettronica dicono che sei romantico come piace a loro. Ma spesso queste donne virtuali non esistono», commenta Eliana Monti, che di questioni di cuori ne ha fatto una professione. I Club per Single da lei fondati offrono grandi opportunità per nuovi incontri, ma con un attivo controllo sugli iscritti per garantirne la serietà. «Su Internet invece - prosegue Eliana Monti - si trova veramente di tutto e spesso si conclude poco o nulla».
Se il suo Club per Single garantisce profili selezionati nel pieno rispetto delle aspettative individuali affinchè le persone possano relazionarsi solo con chi ha obiettivi di vita simili, non necessariamente è così per la maggior parte dei siti che offrono servizi di incontri attraverso le pagine del web. In molti portali web gli utenti possono gratuitamente (e non) creare il loro profilo e muoversi all’interno di un catalogo di potenziali partner sulla base delle fotografie o attraverso dei parametri di ricerca quali l’età, la zona di residenza, gli interessi, la descrizione. Ma chi garantisce l’attendibilità dei dati? Se è vero che basta un click per entrare in contatto con molti potenziali partner, il rovescio della medaglia è proprio che è altrettanto vero che ci sono le stesse probabilità di entrare in contatto con un malintenzionato.
Che succede dopo l’approccio virtuale? «A me è capitato di scoprire al primo incontro nella vita reale che la ragazza che avevo conosciuto on-line aveva mentito sull’età levandosi più di una decina di anni» racconta Cristiano, un internauta torinese di 32 anni che dopo quella ed altre esperienze negative sul web si è iscritto al Club per Single Eliana Monti, un’organizzazione che seleziona davvero i suoi membri e controlla la veridicità dei dati. «Milioni di single italiani - puntualizza Eliana Monti - ricorrono al web per fare incontri, per cui la veridicità dei dati diventa un requisito fondamentale. Tra i tanti meriti di Internet c’è anche quello di avere dato la possibilità a molti single di allargare la ricerca dell’anima gemella, ma la mancanza di verifiche sulle informazioni contenute nei profili degli utenti è un fattore critico». [tratto da La Stampa.it – 16.04.2007]
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update 17/04/2007]
Falla DNS Server: Nuovi Dettagli
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifMSRC Bloghttp://www.tweakness.net/immagini/news/spacer.gifMicrosoft Security Advisory (935964)http://www.tweakness.net/immagini/news/spacer.gifRinbot.BC @ Symantec
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpgTramite il blog ufficiale del Microsoft Security Response Center, recentemente rinnovato, Microsoft continua a rilasciare aggiornamenti sulla situazione relativa alla vulnerabilità nel Domain Name System (DNS) Server Service (CVE-2007-1748) che affligge Windows 2000 Server SP4, Server 2003 SP1, e Windows Server 2003 SP2, segnalata diversi giorni fa. Recentemente varie aziende di sicurezza hanno lanciato l'allerta sulla diffusione di nuovi codici worm che sfruttano la falla. Microsoft aveva reso noto tramite il Security Advisory 935964 di star investigando sulle segnalazioni pubbliche relative ad attacchi "limitati" che sfruttavano questo problema di sicurezza. Tuttavia la situazione si è "aggravata" giorno dopo giorno con il rilascio di almeno 4 codici exploit pubblici e con la diffusione di almeno 2 varianti di codice malware "worm". Bisogna evidenziare che Windows 2000 Pro SP4, Windows XP SP2, e Windows Vista non sono affetti da questo problema di sicurezza perchè non contengono il codice vulnerabile, per questo non possono essere attaccati dal worm tramite il nuovo vettore.
http://www.tweakness.net/immagini/links.gif Falla DNS Server: Allerta Worm! - MSA935964: Falla RCE DNS Server
Microsoft ha rilasciato varie revisioni del suo Security Advisory 935964 per fornire ulteriori dettagli e chiarimenti riguardo il problema di sicurezza, che sta venendo monitorando da vicino dal colosso del software. Christopher Budd del team MSRC afferma: "I nostri team stanno continuando a lavorare ed a testare gli aggiornamenti per questo problema, e la nostra analisi della situazione mostra che gli attacchi non sono ancora diffusi su vasta scala". Nel suo advisory MSA935964, Microsoft fornisce alcuni workaround temporanei che permettono ai clienti di difendersi dagli attacchi che sfruttano questa vulnerabilità. Si tratta di in sostanza di disabilitare la gestione remota tramite RPC per i server DNS, modificando una chiave di registro (manualmente o tramite REG), o bloccando o filtrando le porte usate dal protocollo nel firewall o via IPSEC (tutti i dettagli nel MSA935964 - Versione in italiano).
Attualmente Microsoft è a conoscenza di 4 codici nocivi che tentano di sfruttare la vulnerabilità. Nessuno di questi, afferma il colosso, è in grado di propagarsi attraverso la rete automaticamente. Microsoft ha pubblicato i dettagli tecnici su ciascun codice nocivo nella Malicious Software Encyclopedia: Siveras.B, Siveras.C, Siveras.D, Siveras.E. Un voce separata è dedicata al codice proof of concept originario classificato come Siveras.A. In un blog-post precedente Microsoft aveva annunciato di aver aggiornato Windows Live Safety Scanner e Windows Live One Care integrando capacità di protezione per questi codici nocivi, e di star lavorando con il programma Global Infrastructure Alliance for Internet Safety (GIAIS) per aiutare a limitare la diffusione di questi attacchi.
Budd ricorda a tutti gli utenti Windows che i workaround segnalati nell'advisory di sicurezza sono efficaci per prevenire tutti gli attacchi finora isolati in-the-wild. Nella giornata di ieri Microsoft ha aggiornato nuovamente l'advisory fornendo ulteriori dettagli riguardo la possibilità attacco alla vulnerabilità tramite la porta 139 (che quindi si aggiunge alla lista di porte da bloccare tramite Firewall e IPSec). Inoltre il colosso ribadisce che, attaccando le porte 445 e 139, un attacker necessita di eseguire l'autenticazione con username e password validi. Sebbene non siano possibili attacchi "unauthenticated", se attivo, l'account guest potrebbe essere sfruttato per accedere al sistema.
Per quanto riguarda l'aggiornamento di protezione per la falla, Microsoft afferma: "Non abbiamo un data precisa stimata per il completamento dello sviluppo e del testing degli aggiornamenti per il problema, ma abbiamo team in tutto il mondo che lavorando 20 ore al giorno su questi, e speriamo di potrei rilasciare gli aggiornamenti non più tardi del 8 Maggio 2007 contestualmente alla release mensile dei bollettini di sicurezza … Per questo problema, i nostri team stanno lavorando sullo sviluppo e sul testing di 133 aggiornamenti separati: uno per ciascuna lingua e per ciascuna versione attualmente supportata di Windows server … Dato che DNS è una componente critica dell'infrastruttura di rete, è necessario testare gli aggiornamenti per assicurarsi che le modifiche introdotte non portino rischi maggiori rispetto al problema di sicurezza stesso che vanno a risolvere".