venerdì 31 dicembre 2010

Likejacking e applicazione nascosta in pagina fake: motivo dell'Outing


Dopo la falsa pagina "Scena di SESS0 CON BELEN censurata in NATALE IN SUDAFRICA! VIDEO VERAMENTO SPINTO!!" continuano a prosperare le pagine spam su Facebook che promettono delle visualizzazioni incredibili. L'ultimo caso che andiamo ad analizzare riguarda una pagina che promette la visualizzazione di un presunto video hard di Marco Carta con Tiziano Ferro, che nelle intenzioni dovrebbe essere la prova del motivo per il quale il cantante di Latina ha confessato la sua omosessualità: "Mi voglio innamorare di un uomo. Un paio di anni fa ho iniziato un percorso di analisi. Da tempo non stavo bene, e avevo capito di dover riprendere in mano una serie di cose: dal forzato esilio lontano da amici e famiglia alla relazione col mio lavoro, al rapporto contrastato con l’omosessualità. Così, dopo due anni di duro lavoro su me stesso, sono arrivato a una conclusione...".


Ma tornando alla pagina, se clicchiamo sul post condiviso dai nostri amici in bacheca, non verrà avviato alcun video come potrebbe apparire dal post (camuffato da una sorta di video di YouTube), bensì si verrà rimandati ad una pagina esterna a Facebook dall'aspetto simile a quella di YouTube (chiamato per l'occasione YouTubo). Sulla pagina è presente un fermo immagine con il solito falso tasto di PLAY su quale si dovrebbe cliccare per far partire il video. Se clicchiamo sul pulsante o in qualsiasi parte dell'immagine non accadrà nulla, ma avremo dato, inconsapevolmente, la nostra preferenza alla pagina. Si tratta del fenomeno del Like-Jacking, cioè il trucco col quale vengono indotti gli utenti di Facebook a cliccare su "mi piace" tramite il pulsante like, che può essere nascosto dietro un'immagine o un pulsante con altro nome, su pagine esterne al social network.


Oltre alla pagina in questione potreste aver espresso inconsapevolmente la vostra preferenza su altre pagine di Facebook collegate alla pagina fake. Per rimuovere la propria iscrizione alla pagina, loggati su Facebook, potete cliccare su questo link http://www.facebook.com/editprofile.php?sk=interests (valido per i vecchi profili di Facebook). Mentre per i nuovi profili potete collegarvi a questa pagina su Facebook http://www.facebook.com/editprofile.php?sk=activities. In entrambi i casi, cercate la pagina fake e qualsiasi altra pagina che non riconoscete ed appene le avrete individuate rimuovetele dalle vostre preferenze, confermando la vostra scelta. Tornate sulla vostra bacheca e rimuoverte il post che avete condiviso, nonchè lo stream della notizia, nel modo indicato dall'immagine sottostante:


Ma non finisce qui. C'è anche un ulteriore problema di privacy. Se andiamo infatti ad analizzare il codice php che costituisce la pagina, troviamo il comando "fb:app_id" che altro non è che il comando per collegare la pagina alla falsa applicazione "YouTube" su Facebook. Il codice dell'applicazione è possibile ricavarlo subito dopo il "content, come potete vedere dall'immagine riportata sotto. Dunque diventa necessario bloccare l'applicazione ad essa collegata, cliccando sul seguente link. In sostanza, oltre ad aver espresso il vostro "Mi piace", avrete pure dato inconsapevolmente il consenso all'applicazione nascosta dietro la pagina fraudolenta. Ricordiamo che le applicazioni hanno accesso a parte dei vostri dati personali, diversamente dalle pagine che non possono in nessun modo interagire col vostro profilo.


Da come si può evincere, dietro queste pagine c'è un vero e proprio business. Il nostro consiglio, come al solito, è quello di diffidare dalle pagine che promettono visualizzazioni 'incredibili'. La cosa più fastidiosa risiede come al solito nel fatto che una volta condivisa la pagina automaticamente compare anche il “mi piace” sul vostro profilo e molti utenti non riescono a disicriversi. Scammer e spammer hanno gioco facile nello sfruttare la pervasività di Facebook e in particolare la sua capacità di far cadere in "trappola" persone che sono più digiuni dei pericoli che si possono nascondere online. La rivista Wired ha tal proposito voluto indagare un pò più a fondo del solito su una questione per certi versi preoccupante, per altri scontata: la vendita di fan su Facebook, qualcosa che - per chi segue questo blog e, in genere, i siti specializzati - non è per nella nuova né stupefacente.

giovedì 30 dicembre 2010

WordPress si aggiorna alla versione 3.0.4 e risolve grave falla XSS


Dopo il recente aggiornamento, WordPress ha reso disponibile un importante update di sicurezza che porta la versione attuale del famoso software di blogging alla versione 3.0.4. L’aggiornamento è definito dagli stessi sviluppatori ‘critico’ e quindi è vivamente consigliato a tutti coloro che usano WordPress di aggiornare il più presto possibile. La versione 3.0.4 di WordPress, disponibile da subito attraverso la pagina di aggiornamento nella vostra bacheca o per il download qui, è un aggiornamento molto importante da applicare ai siti più presto possibile, perché risolve un bug di sicurezza di base nella biblioteca HTML di WordPress, chiamata KSES. 

KSES è un filtro HTML scritto in PHP che provvede a rimuovere tutti gli elementi HTML indesiderati, ed effettua anche numerosi controlli sui valori degli attributi HTML. La versione 3.0.4 corregge un grave bug sul file KSES che gestisce l’immissione di codice HTML all’interno dei post e dei commenti del blog. KSES può essere utilizzato per evitare attacchi di tipo Cross-Site Scripting (XSS). Se siete un ricercatore di sicurezza, WordPress sarà grata se deste un'occhiata su questo changeset nonché una visione del loro aggiornamento. Per WordPress è importante l'opininone di ciascuno, perchè desidera sentire i pensieri di più utilizzatori possibili.


L'installazione di default di Wordpress 3.0.3 permetteva di inserire commenti come il seguente, al tal fine Mauro Gentile ha pubblicato un link ad altro sito:


Il protocollo di verifica viene effettuato quando il comando href è scritto in minuscolo. Se un utente è malintenzionato dovrebbe inserire l'attributo href con un vettore simile al seguente:


Questo è un sistema cattivo delle librerie HTML di igienizzazione. E 'anche possibile rubare i cookie di un utente collegato in maniera banale:


Si può anche realizzare un attacco più efficace, inserendo una riga di comando simile alla seguente:


Wordpress ha bisogno di un approvazione per ogni commento, ma un amministratore "ingenuo" potrebbe consentire una sorta di commento falso o potrebbe semplicemente cliccare sul link iniettato. Jon Cave ha provato a forzare l'aggiornamento con Exploit Scanner attraverso una nuova serie di hash per WordPress 3.0.4. L'aggiornamento elimina anche la cartella wp-content e sub-directories/files dalla lista dei file di hash file. 

Ciò è successo a causa della differenza nei cicli di rilascio di Wordpress e Akismet. In passato le installazioni vulnerabili di WordPress hanno facilitato la diffusione o worm. Matt Mullenweg, promotore e software blogging della fondazione WordPress, scrive sul suo blog che è consapevole del fatto che un aggiornamento durante le vacanze non è proprio piacevole, ma questo vale la pena di effettuarlo. Un ringraziamento và a Mauro Gentile e Jon Cave (duck_) che hanno scoperto e avvisato la Fondazione di questa vulnerabilità XSS.

Mozilla rende pubblici accidentalmente ID utente e hash delle password


Mozilla ha esposto per errore 44.000 account registrati al programma addons.mozilla.org, con password cifrate con algoritmo hash MD5, su un server pubblico. Il rischio sembra minimo, ma potrebbe esserci una danno legato all'utiilizzo di nickname e password identiche su più portali. Ogni account conteneva anche informazioni quali l'indirizzo email, il nome e il cognome.

Mozilla, lo sviluppatore di popolari applicazioni open source come Firefox e Thunderbird, ha annunciato che un database contenente i nomi utente e gli hash delle password appartenenti a utenti dell'addons.mozilla.org è stato reso pubblico per caso. Se avete creato un account su addons.mozilla.org e voi siete uno dei 44.000 utenti che potrebbero essere stati colpiti da questa rivelazione accidentale, dovreste aver ricevuto una email di notifica da parte del team di sicurezza di Mozilla. 

Ma non si tratta di un'altra semplice storia di perdita di dati in un mare di nomi utente e password. Fortunatamente, Mozilla non memorizza le password in testo normale. Mozilla ha memorizzato le password prima del 9 Aprile 2009 come hash MD5 (Message Digest algorithm 5). Mentre l'algoritmo MD5 può essere utilizzato per memorizzare le password in modo sicuro, non è chiaro come l'MD5 sia stato utilizzato dall'infrastruttura di Mozilla. 


Mozilla ha controllato i propri registri e ha stabilito che l'unica persona al di fuori di Mozilla che ha avuto accesso al contenuto è stata la persona che ha rivelato la pubblicazione accidentale attraverso il programma web che permette ai volontari di segnalare bug relativi alla sicurezza. I funzionari della sicurezza di Mozilla sono stati informati della esposizione il 17 dicembre. 

La Fondazione ha inviato una notifica dell'esposizione via e-mail a tutti i titolari di account il 27 dicembre scorso. Mozilla ha cancellato i via precauzionale le password di tutti i 44.000 account che sono stati memorizzati in formato MD5 dal sito addons indipendentemente dal fatto che siano stati esposti o meno. Le password appena create non saranno vulnerabili da una simile rivelazione, infatti, dal 9 aprile 2009 Mozilla ha utilizzato la crittografia SHA-512 per memorizzare gli hash delle password di ogni utente, perchè considerata più sicura. 

Questo algoritmo di hash fornisce un significativo miglioramento della sicurezza per i titolari di un account addons.mozilla.org. Se voi foste uno dei sfortunati destinatari di una di queste e-mail, assicuratevi di non utilizzare la stessa password di Mozilla quando siete in altri siti. "Attualmente gli utenti e gli account di addons.mozilla.org non sono a rischio," ha dichiarato Chris Lyon, direttore dell'infrastruttura di sicurezza di Mozilla. 

Mentre Mozilla è abbastanza fiducioso che nessun altro, tranne la persona che ha denunciato l'accaduto abbia avuto accesso al fascicolo, se tali dichiarazioni fossero sbagliate o vengono divulgate le informazioni, altri account potrebbero essere a rischio. Ricordate, che le password univoche sono un obbligo, non un lusso. Sophos si congratula con Mozilla per la loro risposta a questo incidente, ma lascia alcune questioni che bisogna considerare. 


Come è accaduto che accidentalmente possano venir pubblicati i file contenenti i nomi utente e gli hash delle password? Sophos ha posto la domanda al team di sicurezza ed è stata deferita in un post del blog che spiega la loro risposta. Col senno di poi Mozilla aveva preso la decisione giusta quando, fino al 2009, aveva iniziato ad utilizzare un sistema più sicuro (SHA-512 per utente attivo). 

Questo è interessante e probabilmente anche importante, ma ancora non scusa o spiega, in primo luogo, come mai dettagli degli account siano stati compromessi. Infatti, i database degli account, quelli che contengono password codificati in hash, non dovrebbero essere leggibili da tutti. Purtroppo c'è un danno collaterale che Mozilla non può controllare, infatti molti utenti usano nickname e password identici su più portali. 

Chi ha scaricato il database potrebbe essersi appropriato quindi di una password valida anche su altri siti. Se si riceve una mail che avvisa che la vostra password potrebbe essere stata compromessa, sia da Mozilla o da chiunque altro, non cliccare su nessun link nella mail per andare ad aggiornare la vostra password. Questo è il trucco per i truffatori. Ricordatevi sempre di fare le operazioni sempre alla relativa pagina di modifica della password.

mercoledì 29 dicembre 2010

Ancora un tentativo di phishing a danno degli utenti di Facebook


Il phishing continua a bombardare gli utenti iscritti a Facebook. Nell'ultima settimana, infatti, le caselle email sono state invase da false email che apparentemente sembrano provenire da un contatto hotmail, in realtà, sono una vera e propria frode. E' l'ennesimo caso di phishing, ossia il tentativo di indurre l'utente a cliccare su un link collocato all'interno di una email facendogli credere di aver ricevuto una comunicazione segreta. Il phishing si presenta come una email indesiderata che presenta un link che indirizza ad un falso sito di Facebook, copiandone in tutto e per tutto la sua grafica. Nei messaggi email si invita gli utenti a loggarsi su Faceb00k (da notare le due "oo" sostituite da due zeri) ed a titolo di esempio vi mostriamo una email ricevuta in questi ultimi giorni.


Nella mail è presente un collegamento ipertestuale nel quale si legge: "It is possible add/view everybody instantly in faceb00k without autorization. See here how ...", che tradotto: "E 'possibile aggiungere/guardare tutti istantaneamente su Faceb00k senza autorizzazione. Leggi qui come fare ...". In sostanza l'utente viene invitato a cliccare sul link contenuto nella mail, dove si promette la possibilità di aggiungere contatti o guardarne i profili istantaneamente, senza l'autorizzazione da parte degli stessi. Se clicchiamo si viene indirizzati ad un falso sito di Facebook, perfettamente identico all'originale. Non a caso il phishing è rivolto direttamente al deposito unico mondiale delle informazioni personali: Facebook. Il phishing potrebbe presentarsi in forma personalizzata e meno distinguibile rispetto a quello attuale.


Lo scopo dei phisher è sempre lo stesso, cioè quello di far digitare all'utente la propria password di accesso a Facebook, una volta intercettata, prendere possesso dell'account per accedere alle sue informazioni riservate. Entrare in possesso di queste informazioni consente al phisher di inviare in futuro comunicazioni in grado di ingannare meglio l'utente, ad esempio personalizzando le comunicazioni con nome e cognome o inserendo tra i mittenti il nome di uno dei conoscenti. Gli utilizzatori del browser Google Chrome saranno avvisati tramite la funzionalità inclusa che protegge dagli attacchi di phishing e malware. Agli utenti che tenteranno di accedere al sito verrà presentata una pagina rossa con il titolo: "Attenzione: possibile tentativo di phishing!". Le versioni più recenti di gran parte dei browser includono filtri anti-phishing che possono aiutarvi a riconoscere i potenziali attacchi di phishing.


A gestire il phishing sono vere e proprie organizzazioni criminali specializzate nel furto delle identità. E' necessario fare molta attenzione. Una password intercettata può comportare gravi perdite economiche per il malcapitato. Diffidate di ogni comunicazione email, in particolar modo se queste arrivano inaspettate. Non cliccare mai sulla email. Se vi arriva una email da contatti sconosciuti, evitate di cliccarci sopra e digitate manualmente sul vostro browser l'indirizzo url. Soltanto in questo modo sarete al sicuro dal phishing. Fate attenzione, oggi il phishing è facilmente riconoscibile. Sono email spam senza alcuna personalizzazione, talvolta scritte in maniera rozza. In futuro, tuttavia, i phisher potrebbero essere in grado di personalizzare le comunicazioni con il vostro nome e gli altri dati personali allo scopo di renderle più credibili. L'unica difesa più sicura è la diffidenza su tutto ciò che proviene tramite email.

lunedì 27 dicembre 2010

GFI Labs, le dieci regole per accedere alla Rete in sicurezza nel 2011


Tom Kelchner, Communications e Research Analyst di GFI Software, produttrice di software di protezione Web e posta, servizi di rete e sicurezza, suggerisce le 10 regole per navigare sicuri nel corso del 2011. Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza.
  1. Limitare l'accesso alla rete alle persone che ne necessitano. Nelle piccole e medie imprese capita spesso che vengano assegnati alla quasi totalità dei dipendenti privilegi completi di accesso alla rete e ai dispositivi, anche se in realtà non ce ne sono i requisiti lavorativi. Tali decisioni comportano però una serie di rischi per la sicurezza aziendale. Se presumibilmente l'azienda ha assunto persone affidabili, come amministratori IT e specialisti responsabili di sicurezza per proteggere la rete aziendale, offrire privilegi completi rimane comunque un rischio… e non si può mai sapere.
  2. Serve una strategia per prevenire la perdita dei dati. Le minacce interne possono spesso essere quelle più pericolose e da cui probabilmente ci si protegge meno, semplicemente perché i dipendenti e il management nelle piccole e medie imprese tendono ad avere elevati livelli di fiducia reciproca. L'attività di rete dovrebbe essere monitorata e dovrebbe essere tendenzialmente vietata la connessione di dispositivi portatili, come le chiavette USB. Semplicemente, è estremamente facile per un dipendente scontento sottrarre dati confidenziali senza essere notato. Anche i lavoratori mobili rappresentano un problema per gli amministratori, e le aziende dovrebbero attuare una strategia definita sull'utilizzo di laptop e smartphone. 
  3. Limitare la navigazione su Internet ed educare gli utenti a riconoscere le minacce. Gli utenti spesso non conoscono le minacce presenti su Internet. È meglio prevenire i problemi potenziali, quali download pericolosi o social engineering, che conducono a codici malevoli. In assenza di un motivo di business per visitare i siti Web, può essere utile limitare la capacità di navigazione attraverso white o black list. I siti peer-to-peer possono essere vettori di malware o dare ai membri P2P remoti possibilità di accesso ai dati aziendali se il client non è configurato correttamente. Anche i siti di social networking, come ad esempio Facebook, possono portare a link malevoli. Questi possono provenire dall'account compromesso di un amico, senza che nessuno si accorga che quel determinato link rimanda a un sito malevolo. Il malware scaricato sulla macchina dell'utente può poi diffondersi attraverso la rete.
  4. Eseguire regolarmente audit di rete è fondamentale. Monitorare gli event log ed effettuare regolarmente controlli fornisce dati importanti sulla rete. Audit regolari consentono di ottenere informazioni sui materiali disponibili in rete. L'analisi dei log consente di comprendere come vengono utilizzate le risorse e come migliorarne la gestione. Date le richieste di conformità che oggi incidono sulle aziende, mantenere gli audit di rete aggiornati è "un must" e rappresentano una risorsa critica se qualcosa dovesse andare storto. La gestione delle vulnerabilità e delle patch è inoltre essenziale per qualsiasi strategia di sicurezza della rete. Le macchine su cui mancano alcune patch o gli ultimi aggiornamenti di sicurezza rappresentano un bersaglio facile per i creatori di malware e gli hacker, è quindi importante che gli amministratori dispongano della tecnologia in grado di identificare, valutare e riparare qualsiasi buco riscontrato in rete. 
  5. Verificare la sicurezza dei sistemi prima di connetterli alla rete. Se un qualsiasi nuovo computer può essere preso dalla confezione e connesso direttamente a Internet, farlo rappresenta un errore madornale per la sicurezza. Prima di connettere qualsiasi computer a un cavo Ethernet o alla linea telefonica, deve essere installato un software anti-malware. Una volta messe in atto queste misure di sicurezza e che la macchina è connessa a Internet, è fondamentale che queste funzionalità di sicurezza siano costantemente aggiornate per assicurare la protezione da malware e virus. I sistemi operativi, i browser e le altre applicazioni sono esposte a buchi di sicurezza. Una volta scoperta la falla, viene solitamente sfruttata nell'arco di poco tempo. Un responsabile degli acquisti IT dovrebbe essere responsabile anche del monitoraggio dei siti web del produttore o dei feed dei social media per le notifiche sul rilascio degli aggiornamenti.
  6. Rafforzare le policy di sicurezza. Le policy di sicurezza sono praticamente inutili se non vengono supportate e promosse da parte del management. Allo stesso tempo, bisogna trovare un equilibrio per consentire ai dipendenti di portare avanti il loro lavoro. Se le policy sono troppo restrittive, i dipendenti troveranno un modo per evitarle. Bisognerebbe fornire inoltre una spiegazione ai dipendenti sul perché vengono attuate determinate policy. Se i dipendenti sono consapevoli del perché non possono fare una determinata cosa, sono più propensi a rispettare tali policy. Un approccio dittatoriale porterà solamente a un senso di risentimento da parte dei dipendenti.
  7. Autenticare sempre chi effettua chiamate. Autenticare le chiamate telefoniche potrebbe sembrare un processo ridondante per gli amministratori quando riconoscono direttamente la voce di chi chiama. Tuttavia, dare nuove password e informazioni confidenziali al telefono senza seguire una procedura di autenticazione idonea potrebbe causare problemi di sicurezza che spesso non possono essere tracciati a ritroso fino al punto di origine - risultando poi molto più difficili da rilevare e da gestire. Lo spear-phishing - che consiste in attacchi di social engineering mirati - è sempre più diffuso e gli utenti dovrebbero essere informati su come distinguere una richiesta legittima di informazioni da un tentativo di phishing - che avvenga via email o telefonicamente.
  8. È necessario eseguire i backup ma anche verificarli. Non si è praticamente mai sentito che un back-up di sistema sia fallito, ma testare i backup e confermare che il piano di disaster recovery funziona realmente è tutta un'altra questione. Per prima cosa, i backup per essere efficaci devono essere creati su base regolare e tenuti offsite in un luogo sicuro. Se questo già avviene, il passaggio successivo è quello di garantire realmente che i backup funzionino in caso di emergenza. Spesso, vi sono richieste di conformità per la crittografia dei backup. È bene controllare due volte che la crittografia sia realmente abilitata per i backup e che i dati possano essere recuperati.
  9. Cosa fare se il programma di disaster recovery non funziona. In teoria, il piano aziendale di disaster recovery è probabilmente un capolavoro. Può sembrare perfetto sulla carta, archiviato nella cartella "disaster recovery" sul PC aziendale. Ma come funziona in pratica? Si è provato a simulare una situazione di disaster recovery in cui i backup devono essere utilizzati in modo da ripristinare i sistemi e renderli nuovamente attivi in modo da poter continuare il lavoro e ridurre al minimo la perdita di profitto? . Pianificare una simulazione di questo tipo per garantire che l'azienda possa effettivamente andare a ritroso nei backup rappresenta un elemento fondamentale per la sicurezza. Un piano di disaster recovery che fallisce una volta messo in pratica non è altro che un ulteriore disastro!
  10. Chiedere aiuto se necessario. Non bisogna temere di chiedere aiuto per i compiti più importanti. Eseguire da soli le impostazioni di rete è un compito estremamente impegnativo. È consigliabile cercare aiuto all'esterno se non si possiedono ancora l'esperienza e gli skill sufficienti. Se da un lato ricorrere a un aiuto esterno può risultare costoso,dall'altro i professionisti assicureranno che il lavoro sia eseguito correttamente.

GFI Software offre un'unica fonte di software di protezione web e posta, archiviazione, back-up e fax, servizi di rete e sicurezza e soluzioni ospitate per piccole e medie imprese. Grazie alla tecnologia vincitrice di numerosi riconoscimenti, a una politica tariffaria concorrenziale e alla particolare attenzione rivolta ai requisiti specifici delle piccole e medie imprese (PMI), GFI soddisfa le esigenze informatiche delle PMI su scala mondiale. Inoltre, è un Microsoft Gold Certified Partner. Ulteriori informazioni all'indirizzo http://www.gfi-italia.com/.

Spam: una ragazza sexy gioca alla Wii e... guarda cosa succede!


Ancora spam attraverso link condivisi sulle bacheche degli utenti di Facebook grazie alla loro curiosità. Una tecnica ormai consolidata che continua a mietere vittime, nonostante i nostri ripetuti e continuati appelli alla cautela. Secondo uno studio di BitDefender, il 20% degli iscritti al social network si trova a fronteggiare del malware che si spaccia per contenuti imperdibili. Un esperimento condotto su Facebook e Twitter ha rivelato come il 97% del campione clicchi senza preoccupazioni su qualsiasi link condiviso su una piattaforma sociale, senza prima verificare se contenga malware. Nonostante l'attenzione che può porre nel proteggersi, uno su cinque di essi si è comunque trovato a dover fare i conti con i post pericolosi degli amici. In questo caso viene proposta la visione di un fantomatico video che mostrebbe qualcosa d'incredibile mentre che una ragazza sta giocando alla Wii. Ecco come si presenta il post sulla bacheca degli amici:


Nonostante il post possa sembrare un video condiviso, in realtà cliccandoci sopra si viene rimandati ad una falsa pagina simile a quella di YouTube, che presenta il fermo immagine della ragazza d'innanzi alla consolle, ma si tratta d'un semplice montaggio fotografico, infatti è stato aggiunto sulla foto il riquadro simile al tasto play dei video che troviamo per esempio su YouTube. Per caricare il presunto video si viene invitati a condividere il post sulla propria bacheca, in modo da essere visibile sulla home page degli amici, che a loro volta saranno indotti a cliccare.


Eseguendo l'operazione si verrà rimandati su una pagina dove viene comunicato che il video in questione è bloccato e che per poterlo visualizzare bisognerà completare dei questionari e confermare la propria email (specificando d'inserire quella reale). In realtà, seguendo la procedura proposta non vederete nulla, ma sarete rimandati ad un sito d'incontri online e potreste ricevere spam nella vostra casella di posta elettronica. Inoltre diventerete fan della pagina fasulla su Facebook collegata attraverso il protocollo open graph al falso video di cui vi stiamo parlando.


Per rimuovere la vostra iscrizione dalla pagina di Facebook collegatevi alla pagina delle attività, cercate la pagina incriminata e rimuovete la vostra preferenza cliccando sul pulsante Rimuovi Pagina in corrispondenza della pagina stessa. Tale procedura è valida per rimuovere tutte le pagine che presentano lo stesso metodo di propagazione, dunque non dimenticatelo. Ricordatevi inoltre di rimuovere il post dalla vostra bacheca per evitare che altri ed in particolare i vostri amici, cadano nella trappola. Pote anche contrassegnarlo come spam dal menu a tendina che si aprirà cliccando sulla X.


Il nostro consiglio è come al solito quello di diffidare dai post che promettono contenuti esclusivi o video imperdibili, anche se condivisi dai vostri amici e non da sconosciuti. Gli spammer utilizzano l'ingegneria sociale per far cadere nella trappola gli utenti meno accorti. Si chiede di cliccare su 'mi piace' e di condividere poi il link sulla propria bacheca, ma alla fine non c'è nulla da vedere: anche in questo caso, come anche in molti altri, la pagina si limita a sfruttare la curiosità morbosa dell'utente. Un utente distratto può cadere in questa tipologia  di marketing e aderire a pagine fake, che hanno il solo scopo di raccogliere utenti e aumentare le visite su un sito. Ciò che sorprende è il fatto che molti internauti, nonostante questa pratica si ripeta ciclicamente su qualsiasi argomento, continuino comunque ad "abboccare", solo per la curiosità di verificare se il presunto video ci sia o meno. Dunque, ogni volta che vedete una pagina che sponsorizza contenuti sensazionali (di solito "Incredibili"), evitate di cliccarci.

Continua la diffusione di applicazioni spam su Facebook


Offrendo alle persone uno strumento semplice per restare in contatto con parenti e amici, Facebook è diventato rapidamente il più importante social network al mondo. Oggi, gli utenti di Internet trascorrono più tempo su Facebook di quanto non ne dedichino alle email. Gli spammer lo sanno e hanno adottato alcuni metodi per agire di conseguenza. È meglio prevenire i problemi potenziali, quali download pericolosi o social engineering, che conducono a codici malevoli. La crescita dello spam su Facebook è causata infatti sia dai falsi profili sia dalle applicazioni spam, che presentano spesso la foto di una donna giovane e attraente. 

Facendo leva sulla curiosità degli utenti di conoscere un semplice click per accedere ad una pagina esterna a Facebook, un altro per fornire all’applicazione i diritti di accesso al proprio profilo e alle informazioni ad esso connesso ed il gioco è fatto: un gioco fatto di spam, di dati sensibili a rischio, di privacy violata irrimediabilmente, e tutto ciò per aver semplicemente risposto agli istinti della propria curiosità. Ed in queste ore si sta diffondendo su Facebook una falsa applicazione che promette di mostrare il presunto suicidio di una ragazza dopo che questa avrebbe visto un post condiviso dal padre.


Questa ragazza si è uccisa dopo il suo papà ha postato questo!

Clicca sull'immagine per vedere quello che suo papà ha postato!

L'applicazione che si diffonde attraverso le bacheche degli utenti invita a cliccare sulla foto della ragazza. Dopo aver cliccato si verrà rimandati sulla pagina vera e propria dell'applicazione che potrà:

  • Accedere alle vostre informazioni di base che includono nome, immagine del profilo, sesso, reti, ID utente, lista degli amici e qualsiasi altra informazione per la quale la privacy è impostata su "Tutti".
  • Pubblicare elementi sulla vostra bacheca quali messaggi di stato, note, foto e video
  • Accedere ai vostri dati in qualsiasi momento anche quando non state utilizzando l'applicazione
Avrete 30 sec. di tempo per cliccare (dimostrando che non siete dei bot) e poter vedere così il presunto contenuto eclatante. In realtà se cliccate sarete rimandati a siti esterni dove non visualizzerete alcuna immagine imperdibile, bensì vi verranno proposti abbonamenti a suonerie ed emoticons da installare sul proprio browser.


A questo punto, se desiderate provvedere al blocco immediato dell'applicazione, cliccate su questo link. A questo proposito rammentiamo che la gran parte di smiley che richiedono l'installazione sul browser Web, non sono altro che adware utilizzati per indagare sulle vostre abitudini, nonchè sulla cronologia di navigazione, per poi mandarvi pubblicità mirata (nel miglior dei casi).  Facebook ha recentemente preso provvedimenti per eliminare lo spam, tra cui miglioramenti al sito, come la possibilità di segnalare lo spam e il filtro antispam per le pagine aziendali. 

Ci sono altre cose che Facebook può fare per rimuovere i falsi profili che creano sempre più spam. In ogni caso, la migliore arma a disposizione degli utenti per ridurre lo spam su Facebook è aggiungere tra i propri contatti esclusivamente persone conosciute e di fiducia. Il consiglio è sempre quello di diffidare da applicazioni che promettono di rivelare dati in realtà privati, facendo sempre attenzione alle applicazioni cui si concede l’accesso al proprio profilo. Tramite la pagina per l’impostazione della privacy è possibile tener traccia delle applicazioni abilitate, e configurare i dati da concedere ogni qual volta se ne abiliti una nuova.

domenica 26 dicembre 2010

Cyberoam: Wikileaks pretesto per attacchi informatici dei cybercriminali


Secondo la società specialista in sicurezza Cyberoam, i prossimi pericoli verranno dai cybercriminali che, nel tentativo di imitare Wikileaks, tenteranno di colpire gli utenti internet con azioni legate a phishing, malware e molto altro ancora, dietro richieste di false donazioni ed utilizzando i siti di social networking come Facebook, LinkedIn, ecc. Alla luce degli sviluppi della controversa questione Wikileaks, lo specialista della sicurezza Cyberoam anticipa quelli che saranno i prossimi pericoli provenienti dai cybercriminali che, nel tentativo di imitare Wikileaks, tenteranno di colpire gli utenti internet con azioni legate a phishing, malware e molto altro ancora. Non vi e' mai stata cosi' tanta attenzione riversata sul tema della liberta' di espressione come di recente. 

L'arresto ufficiale del fondatore di Wikileaks, Julian Assange, ha gia' portato a una guerra di parole senza precedenti e a cyber-attacchi reciproci tra hacker attivisti e governo/aziende. Attualmente, se si dovesse cogliere il sentimento comune di una moltitudine crescente di sostenitori di Wikileaks, si scoprirebbe che questi sarebbero piu' che favorevoli a donare denaro per mantenere vivo il proprio sito preferito. Questo contesto offre un terreno piu' che fertile ai cyber criminali intenzionati a cavalcare l'onda Wikileaks per colpire vittime ignare attraverso spam, e-mail fraudolente, attacchi di phishing e altro. Gli internauti devono pertanto essere sempre piu' cauti nell'affrontare una qualsiasi comunicazione proveniente da un sito web. Di seguito tre importanti consigli, da Cyberoam, su come proteggersi da queste truffe.

- Attenzione alle richieste di ''donazione'': il giro di vite di VISA, Mastercard e dei sistemi di pagamento online come Paypal per il trasferimento di fondi a Wikileaks aumenta la possibilita' di e-mail fraudolente che richiedono di inviare denaro ad ''agenti'' anonimi che lavorano a favore del sito. I truffatori traggono vantaggio dal fatto che i sistemi di pagamento hanno gia' creato blacklist di beneficiari di Wikileaks e cio' fornisce una ragione in piu' agli aspiranti donatori per fidarsi di questi ''agenti'' anonimi. Queste e-mail fraudolente possono rispecchiare in maniera precisa sia il layout di Wikileaks sia i contatti delle persone chiave associate al sito.


- Non cliccare su link sospetti: alcuni dei link presenti in messaggi di spam possono installare malware sul computer dell'utente o dirottare le sessioni del browser con funzionalita' rootkit. Andare incontro a rallentamenti, riavvii frequenti e sparizioni di file solo perche' si voleva sperimentare il lato divertente di Wikileaks non e' proprio un affare.

- Attenzione agli attacchi provenienti dai social network: i siti di social networking come Facebook, LinkedIn, ecc. prosperano basandosi sul concetto di fiducia che gli utenti attribuiscono al network e questo li trasforma in terreno fertile per i malware. Inoltre, i cyber criminali sono sempre piu' abili nello sfruttare i social network per sedurre gli utenti e convincerli a cliccare e installare applicazioni indesiderate sfuggendo al radar degli investigatori che si occupano della sicurezza.

Ricordiamo che Mastercard, Visa e Paypal, i grandi circuiti di pagamento, erano finiti nel ciclone WikiLeaks, lo scorso mercoledì 8 dicembre, dopo l'arresto di Julian Assange, fondatore di WikiLeaks, da parte delle autorità britanniche. Il sito di Mastercard era stato colpito da un attacco di hacker come ritorsione nei confronti di quelle società che hanno bloccato dei servizi a WikiLeaks. Un gruppo anonimo, che dice di sostenere l'"operazione Payback", aveva dichiarato attraverso Twitter di essere dietro all'azione che ha creato problemi al sito della società di carte di credito. 

Sotto attacco erano finiti anche i siti internet del tribunale svedese e dell'autorità svizzera che ha bloccato il conto corrente di Julien Assange. Inoltre, per omolte  ore era stato impossibile effettuare transazioni anche sul sito della banca svizzera PostFinance.ch, dove Assange aveva conti correnti che sono stati congelati. Qualche ora prima, un altro assalto informatico era stato lanciato contro PayPal, da Operation Payback. Mastercard aveva reso noto di aver riscontrato un forte traffico sul proprio sito e stava lavorando per ristabilire una situazione di navigabilità normale. «Non c'è stato alcun impatto sulla possibilità da parte dei possessori di carte Mastercard e Maestro di utilizzarle per effettuare delle transazioni in piena sicurezza» aveva annunciato la società statunitense.

Bloccato su Facebook un servizio di short url per ragioni di sicurezza


Bit.ly consente di trasformare un indirizzo internet lungo e complicato in un indirizzo corto e facile da digitare. Alcuni indirizzi web abbreviati di Bit.ly sono rimbalzati indietro attraverso messaggi di errore di Facebook. La società ha confermato di aver bloccato i collegamenti j.mp degli aggiornamenti di stato e messaggi di pagine per motivi di sicurezza, sperando si tratti di una misura temporanea.


Soprattutto con l’avvento di servizi come Twitter, in cui lo spazio per il testo è assai limitato, sono nati moltissimi siti Web che consentono di accorciare indirizzi Web particolarmente lunghi, rendendoli adatti alla condivisione in qualunque contesto. Se da una parte gli short URL sono davvero comodi, dall’altra è sorto il problema che la destinazione effettiva del link viene automaticamente camuffata. E alcuni indirizzi web abbreviati di Bit.ly sono rimbalzati indietro attraverso messaggi di errore di Facebook. 

La società ha confermato che ha bloccato i collegamenti j.mp degli aggiornamenti di stato e messaggi di pagine (non profili) per motivi di sicurezza, sperando si tratti di una misura temporanea. Bit.ly consente di trasformare un indirizzo internet lungo e complicato in un indirizzo corto e facile da digitare. Dobbiamo far notare che J.mp è un servizio valido di Bit.ly. Una possibile spiegazione è che ci siano stati una quantità inconsueta di URL j.mp canaglia con link a siti Web dannosi o siti di spam, innescando un meccanismo automatico di blocco di Facebook.


Un portavoce di Facebook ha detto:
"Come parte del nostro sforzo per mantenere Facebook e le persone che utilizzano il nostro servizio sicuro, viene effettuato un attento monitoraggio per lo spam condiviso sul sito dai contenuti dannosi. Al momento abbiamo bloccato j.mp, oltre il 70% dei collegamenti j.mp delineano spam o altri problemi di sicurezza. Stiamo lavorando con bit.ly per risolvere il problema."
Bit.ly utilizza dati provenienti da un certo numero di fonti indipendenti (tra cui Sophos, Websense, VeriSign, PhishTank e la Navigazione sicura di Google), oltre ai classificatori speciali interni a Facebook che stabiliscono se i siti di destinazione di short URL propagano spam, virus o altro malware. È ancora possibile postare gli short URL bit.ly su Facebook. Ad Agosto Facebook aveva bloccato temporaneamente gli URL abbreviati con il dominio utilizzato da Ow.ly, probabilmente in risposta al worm Ymbot.a distribuito in uno short url che girava su Facebook. Tutti i link Ow.ly su Facebook, legittimi e malicious, avevano portato al blocco temporaneo del sito, visualizzando su Facebook una pagina di errore. In quell'occasione, Caroline Ghiossi socio di Facebook, aveva detto:
"Non possiamo fornire tutti i dettagli di come i nostri sistemi antispam lavorano, perché se lo facessimo, gli spammer potrebbero cercare di aggirare l'ostacolo. Tuttavia, sono progettati per rilevare automaticamente un comportamento sospetto, bloccare e mettere in guardia la persona invitandola a rallentare nel suo comportamento". Gli utenti di Facebook devono prestare comunque attenzione agli URL accorciati e Facebook deve affrontare la questione, tracciando una la linea di demarcazione tra tutela degli utenti e l'offerta d'un servizio coerente e affidabile."

Lo svantaggio degli short URL è che non sempre è possibile essere sicuri della sicurezza di questi link, soprattutto perchè non sempre, cliccandoci sopra, viene mostrato il sito di destinazione. Questo significa che i link accorciati potrebbero condurre verso siti pericolosi senza alcuna consapevolezza da parte dell’utente che ne prende visione. Per evitare situazioni del genere è possibile utilizzare un servizio come LinkPeelr. Si tratta d'un un servizio gratuito che permette di scoprire a quale contenuto puntano gli short URL, altrimenti definiti link brevi, che troviamo molto spesso in rete, soprattutto in servizi come Twitter e Facebook. 

Per utilizzare il servizio non bisogna fare altro che incollare il link breve nell’apposito campo, e dunque cliccare su “Peel”. Ad operazione completata verrà visualizzato il link originale per esteso. Verificato dunque che il contenuto non è nulla di pericoloso si potrà procedere alla visita del sito cliccando su “Follow”. Per facilitare le operazioni il servizio mette a disposizione anche un comoda estensione per il browser Chrome che permetterà di rivelare velocemente cosa si cela dietro ogni link.

venerdì 24 dicembre 2010

G Data: attenzione ai falsi programmi per la manutenzione del computer



G Data mette in guardia gli utenti su una nuova tipologia di software scareware, che sta iniziando a colpire i computer. Si tratta di falsi tool di sistema che promettono di aiutare a mantenere il Pc dell'utente pulito e stabile ma, in realtà, non fanno altro che creare ulteriori problemi e perdite di denaro. I criminali online hanno perfino replicato la finestra di pagamento di Microsoft Internet Explorer con tanto di icona lucchetto e indirizzo HTTPS.

La manutenzione del proprio Pc è importante, ma attenzione alle false offerte di aiuto. Le prime variazioni di questo genere di malware sono apparse già nel mese di Ottobre proponendosi con i nomi più svariati: “System Defragmenter”, “Scan Disk”, “Check Disk”, “Win HDD”, e sono aumentate nel corso delle ultime settimane. I metodi di propagazione dello scareware sono molteplici. Una possibile via di infezione possono essere i download drive-by da un sito infetto, ma il programma potrebbe essere diffuso anche grazie all’aiuto di botnet, piuttosto che come allegato alle e-mail. La variante apparsa in questi giorni si chiama “Win HDD” e gli esperti di G Data hanno voluto analizzarla da vicino realizzando un video per mostrarne meglio il funzionamento. Il comportamento di questo tipo di software è molto simile a quello dei falsi antivirus. L’utente viene tratto in inganno con false minacce ed allarmi di sistema per essere poi spinto ad acquistare un programma che, di fatto, non serve proprio a nulla.

http://www.spywareremove.com/

Win HDD, anche conosciuto come WinHDD, è un falso programma disk defragmenter. Il programma può infettare sistemi con qualunque versione del sistema operativo di Windows. Win HDD spera di convincere l’utente che si tratti di un vero programma usando varie tattiche, per esempio creando false scansioni di virus. Il programma è generalmente installato attraverso l’uso di un trojan e quindi senza il permesso dell’utente. Win HDD è una truffa e non funziona. Il programma modificherà le impostazioni del sistema in modo da bloccare l’accesso a pagine Web e l’apertura di programmi. Il virus può anche modificare le impostazioni per la connessione a Internet Explorer. 

I criminali online hanno perfino replicato la finestra di pagamento di Microsoft Internet Explorer con tanto di icona lucchetto e indirizzo HTTPS, ossia falsificando le icone e le scritte che, normalmente, indicano connessioni sicure e criptate. In realtà l’indirizzo mostrato non esiste affatto. Il vero indirizzo è un altro, che non viene ovviamente visualizzato ed è stato inoltre registrato nel mese di Settembre con un certificato SSL di comodo. Il sospetto è che si tratti di un certificato della semplice durata di 90 giorni la cui scadenza è prevista per il 28 Dicembre 2010. 

"I cyber scammer stanno ora passando dai falsi antivirus ai falsi tool di sistema. Essi stanno prendendo di mira gli utenti che desiderano sempre mantenere il proprio Pc in perfetto stato di efficienza. Questi tool di sistema sono falsi, ma la perdita di denaro che gli utenti rischiano di affrontare è reale. Chi ha già pagato ed acquistato uno di questi software difficilmente riuscirà a provare che sono dei falsi. I criminali, infatti, stanno infatti sfruttando una ‘zona grigia’ della legge”. L’interfaccia grafica di questo tipo di programmi può sembrare vera ed ingannare gli utenti ma, a uno sguardo più attento, si può notare come le funzioni implementate, di fatto, siano di fatto inutilizzabili.

http://www.themomsbuzz.com/

Un’altra curiosità su “Win HDD” riguarda il cosiddetto Extended Download Service (EDS). Questa opzione è in vendita ad un prezzo aggiuntivo di 4,90 euro. Il servizio consente di scaricare nuovamente “Win HDD” anche dopo averlo cancellato dal proprio sistema, per esempio dopo una formattazione dell’Hard Disk. Il link di download rimanda però a un form di registrazione dove non importa affatto che cosa digitiamo dal momento che il server accetterà subito qualsiasi dato inserito. Un altro segnale che dovrebbe mettere ancora più in guardia l’utente. Il consiglio è dunque quello di non scaricare mai da Internet tool di sistema di cui non si conosce la provenienza, preferendo affidarsi sempre a programmi noti e sicuri. L’utilizzo, inoltre, di una soluzione di sicurezza completa consente di identificare subito ogni tipo di software falso e pericoloso. Chi per errore avesse istallato questo software e volesse eliminarlo può seguire la procedura spiegata da G Data sul suo blog.

Cowjacking: [FINALMENTE!] Yara Gambirasio è stata ritrovata!!...



Dopo la pagina che annunciava le foto del ritrovamento della piccola Yara, la tredicenne scomparsa da quasi un mese a Brembate Sopra, il marketing selvaggio e di pessimo gusto alza il tiro. Il solito sito ha pubblicato la falsa notizia del ritrovamento di Yara Gambirasio. Lo ha denunciato il comitato di vigilanza sulla tv e sui media Osservatorio antiplagio, segnalando la falsa informazione diffusa dal sito al ministero dell'Interno e alla Polizia Postale. 

Per definire questa tipologie di pagine-bufala, che ricorrono al protocollo open graph di Facebook, Protezione Account ha già coniato un nuovo termine: "Cowjacking". Per chi non fosse a conoscenza, spieghiamo che il protocollo Open Graph consente di integrare le pagine web nel grafico sociale. Compreso l'Open tag Grafico nella pagina Web, che rende la pagina equivalente ad un pagina Facebook. Ciò significa che quando un utente fa clic sul pulsante like nella pagina, viene effettuata una connessione tra la pagina e l'utente.


La pagina che utilizza il protocollo apparirà nella "sezione" Interessi e preferenze del profilo utente, dove si avrà la possibilità di pubblicare gli aggiornamenti per l'utente. Ma tornando alla nuova definizione, ovviamente ci riferiamo a pagine che sono delle bufale ma al tempo stesso 'spingono' l'utente a spammare i loro post sulle bacheche dei profili (e dunque visibili sulla home page degli amici). Sulla pagina, nell'aspetto simile al sito di Facebook, troviamo le solite istruzioni per autopromuoversi ed aumentare il numero di iscritti alla pagina stessa:

"Segui i semplici passi per vedere le foto.

PASSO 1 Clicca sul pulsante Mi Piace qua sotto

PASSO 2 Clicca sul pulsante Condividi qua sotto e condividi per continuare


Più di 15.000 utenti sono caduti nella trappola e avrebbero cliccato sulla pagina. Precisiamo che coloro i quali hanno cliccato sul "Mi piace" e hanno "condiviso" il post sulla propria bacheca, non installano malware sul proprio pc, ma avranno contribuito ad aumentare il numero degli iscritti alla pagina. Infatti, come già detto, il post sarà visibile sulla propria bacheca e nella home page degli amici. Naturalmente, dopo aver eseguito la procedura descritta non visualizzerete alcuna intervista.


Come in tutti questi ed in altri casi in giro su Facebook e per il web, la pagina sfrutta la curiosità morbosa dell'utente. Per rimuovervi dagli iscritti collegatevi alla pagina di modifica delle attività su Facebook, cercate la pagina 'incriminata' e rimuovere la vostra preferenza, dunque confermate la scelta cliccando su "Salva". Inoltre non dimenticate di rimuovere il post dalla vostra bacheca e di contrassegnarlo come spam.


Una trovata pubblicitaria, di pessimo gusto, proprio come già successo con la povera Sarah Scazzi. «Bisogna intervenire con urgenza per individuare i responsabili dell'iniziativa, tanto deprecabile quanto di cattivo gusto, ed oscurare sia la pagina web che il gruppo da Facebook» ha commentato il coordinatore dell' "Osservatorio Antiplagio" Giovanni Panunzio. Come al solito in questi casi ed altri casi similari, non credete a promesse di visualizzazioni eclatanti e prestate attenzione quando vi trovate al di fuori del sito di Facebook.com.

Pericolosa falla di sicurezza in tutte le versioni di Internet Explorer



Una vulnerabilità legata all'esecuzione di codice contro le versioni 6, 7 e 8 del browser Internet Explorer,è stata annunciata di recente, e un proof-of-concept dell'exploit è già stato aggiunto ai prodotti di Metasploit. Anche la nuovissima release 9 beta di IE sarebbe interessata dalla problematica. Microsoft non ha ancora tirato fuori una patch, ma ha pubblicato una soluzione che dovrebbe proteggere da questo exploit e da altri simili.

Microsoft sta indagando su una nuova vulnerabilità presente in tutte le versioni di Internet Explorer (6, 7 e 8) che consente l'esecuzione di codice da remoto.  La falla è stata originariamente segnalata come una condizione di negazione del servizio sulla mailing list Full Disclosure l'8 dicembre. Tuttavia, la società di sicurezza come la Secunia e di vulnerabilità VUPEN hanno avvertito che potrebbe anche essere sfruttata per eseguire codice arbitrario. «Una vulnerabilità è stata identificata in Microsoft Internet Explorer, che potrebbe essere sfruttata da un attaccante remoto per prendere il controllo completo di un sistema vulnerabile. 

Questo problema è causato da un errore di "Use-after-free" all'interno della libreria "mshtml.dll" quando l'elaborazione di una pagina web fà riferimento ad un file CSS (Cascading Style Sheets), che ospita diverse regole "@ import" maligne, che potrebbe consentire ad aggressori remoti di eseguire codice arbitrario tramite una pagina web appositamente predisposta», spiega VUPEN. La società ha confermato questa vulnerabilità in Microsoft Internet Explorer 8 su Windows 7, Windows Vista SP2 e Windows XP SP3, e con Internet Explorer 7 e 6 su Windows XP SP3. L'exploit è stato aggiunto a Metasploit e dal momento che il quadro è open source, chiunque può potenzialmente afferrarlo e usarlo per lanciare attacchi drive-by download.

http://www.metasploit.com/
La vulnerabilità, come dichiara la società di sicurezza Sophos,  è stata pubblicata all'inizio del mese in una divulgazione di sicurezza completa.  Divulgazione completa significa renderla disponibile a tutti. La teoria alla base di ciò è non impedire ai fornitori di software di ignorare il problema e quindi di non risolverlo. Lo svantaggio, naturalmente, è che viene messa a disposizione anche dei "cattivi", allo stesso tempo come per tutti gli altri.  La vulnerabilità si basa su un bug di memoria di utilizzo di Internet Explorer quando si elabora un file Cascading Style Sheet (CSS è il modo in cui si specifica l'aspetto del codice HTML che compone le pagine web). 

Purtroppo, questo nuovo exploit sembra funzionare contro tutte le versioni supportate di Internet Explorer, fino a IE 8 su Windows 7, nonostante i miglioramenti della sicurezza dei prodotti Microsoft. Un gruppo di ricerca sulla sicurezza chiamato Abysssec, ha infatti annunciato che il bug permette di bypassare i due meccanismi di protezione della memoria “più solidi” implementati da Microsoft: Data Execution Prevention (DEP) e Address Space Layout Randomisation (ASLR). DEP è progettato per impedire l'invio di pacchetti di dati contenenti codice malevolo ideato per crashare le applicazioni che lo ricevono. Le aree di memoria in cui l'applicazione memorizza i dati di run-time - incluso lo stack e l'heap - sono contrassegnati non eseguibili.


Quindi, anche se si riempie di malware e si cerca d'ingannare il computer col codice incriminato, il sistema operativo ne impedisce l'esecuzione. Se a causa di DEP, non si può semplicemente fornire ed eseguire il proprio codice, allora l'exploit ha bisogno di fare uso di codice che è già caricato in memoria e contrassegnato come eseguibile. Ciò significa che è necessario prevedere esattamente la posizione nella memoria. E ASLR è specificamente destinato a impedire di fare ciò. E' possibile caricare programmi e DLL in una localizzazione casuale in maniera da non poter prevedere dove si trovi la memoria utile. 

Quindi per prima cosa vi sarà la necessità di individuare la posizione - ma non si potrà fare neppure questo, perché il codice avrebbe bisogno di effettuare la ricerca che è bloccata da DEP. Le funzionalità DEP e ASLR, in quanto tecnologie di mitigazione dei rischi di attacco, sono state pensate per rendere difficile la vita agli attacker, in modo da rendere sconveniente impegnare molto tempo per sviluppare un exploit ben funzionante. Anche se sono state individuate tecniche per bypassare singolarmente queste funzionalità, la combinazione delle due, DEP+ASLR, rappresentava fino alla scoperta di questo bug, un modo molto efficace per bloccare gli attacchi attualmente in circolazione.



Purtroppo, Microsoft permette ad ogni DLL di decidere se essa supporta ASLR o meno. E IE è implementato come tutta una serie di DLL - alcune delle quali vengono caricati in fase di esecuzione, come richiesto, per il rendering del contenuto che IE carica. Così, con l'invio a IE di altri file "innocenti", lo si può ingannare caricando DLL conosciute. Se una di quelle DLL non supportano ASLR, poi verranno caricate in un luogo conosciuto in memoria. 

Nel corso del tempo, potremo aspettarci di vedere andare in pensione le Microsoft DLL che non sono sicure, e garantire che le applicazioni Internet siano gestite completamente da ASLR. Questo renderà molto più difficile il successo di attacchi come quello descritto. Per adesso, una buona soluzione alternativa è quella di utilizzare Microsoft Enhanced Experience Mitigation Toolkit (EMET). Con questo strumento, è possibile forzare le applicazioni chiamate a svolgere ASLR su ogni DLL da loro caricata. 

Questo rende molto meno probabile che un exploit remoto basato su indirizzi hard-wired abbia successo. Al momento Redmond, assieme ai suoi partner, sta ponderando se rilasciare o meno una patch fuori dal classico ciclo di update mensile. Il prossimo "Patch Tuesday", infatti, sarà il prossimo 11 gennaio. Per mitigare spiacevoli eventualità Microsoft consiglia di tenere alto il livello di protezione in IE su Windows Vista e Windows 7, disabilitando anche i controlli ActiveX e Active Scripting.

giovedì 23 dicembre 2010

Messaggi di phishing agli utenti di Facebook provenienti da falsi profili


Ci è stata segnalata una nuova minaccia che potrebbe creare non pochi problemi agli utenti di Facebook. Si tratterebbe di un nuovo attacco phishing nel quale gli utenti di Facebook potrebbero ricevere un messaggio che sembrerebbe provenire da un profilo denominato "Control Mode" e che ha come immagine il vecchio logo di Facebook Security. 

 Ci è stato segnalato un nuovo tentativo di phishing, attraverso messaggi di posta su Facebook, con l'intento di rubare i dati di login ai principali servizi di posta elettronica. Questo messaggio chiederebbe all’utente di fare click su uno dei link contenuti nel messaggio e successivamente di inserire i propri dati per evitare la chiusura del proprio account Facebook a causa di segnalazioni di comportamenti impropri dell’account in possesso. Ecco come si potrebbe presentare un possibile messaggio proveniente da un sedicente profilo "Control Mode":

Your account will be desactivated immediatly. Because someone has reported your actions. Maybe you have written content that is abusive or upload a picture taht can be insulting or harmful to other users. You must confirm your account, to stp the warning desactivated on your account. Please re-confirm your account at:
◄ ▬ V I P® ▬ ► = Hotmail
http://www.zazfo***.com/login/hotmail.com/?i=210
◄ ▬ V I P® ▬ ► = Yahoo
http://www.zazfo***.com/login/yahoo.com/?i=210
◄ ▬ V I P® ▬ ► = GmaiL
http://www.zazfo***.com/login/gmail.com/?i=210
We provide 24 hours to re-confirm your facebook account. If not, we will desactivate your account for the benefit of other users
®®®®®®®®®®®®®®®®®®®®®®®®®®®®®®®
che tradotto:
Il tuo account verrà immediatamente disattivato. Perché qualcuno ha segnalato le vostre azioni. Forse avete scritto contenuto offensivo o caricato una immagine che può essere offensiva o dannosa per gli altri utenti. È necessario confermare l'account, per bloccare l'avviso di disattivazione sul vostro account. Si prega di ri-confermare il vostro account su:
◄ ▬ I P V ® ▬ ► Hotmail =
http://www.zazfo***.com/login/hotmail.com/?i=210
◄ ▬ I P V ® ▬ ► Yahoo =
http://www.zazfo***.com/login/yahoo.com/?i=210
◄ ▬ I P V ® ▬ ► Gmail =
http://www.zazfo***.com/login/gmail.com/?i=210
Mettiamo a disposizione 24 ore per ri-confermare il vostro account facebook. In caso contrario, saremo costretti a Disattivare il vostro account per il bene di altri utenti
®®®®®®®®®®®®®®®®®®®®®®®®®®®®®®®
Naturalmente è tutto falso e a quanto pare, secondo la segnalazione pervenutaci, il messaggio proviene da un utente su Facebook che ha come immagine del profilo il vecchio logo di Facebook Security

Allo stato attuale i link sembrano non funzionanti, ma abbiamo cercato la copia cache di google ed ecco a quale pagine si veniva indirizzati se si fosse cliccato su uno dei link ricevuti in posta


Come potete vedere veniva riproposta, in questo caso, una pagina fake verosimile di login al servizio hotmail di Microsoft. Noi abbiamo voluto verificare l'attendibilità del sito in questione, utilizzando il noto servizio gratuito online Norton Safe Web di verifica URL messo a disposizione da Norton, ecco il risultato


Diffidate dunque da qualsiasi messaggio proveniente da fantomatici profili di Facebook e che vi informa sulla imminente disattivazione del vostro account per presunta violazione dei termini di condotta sul social network. Si tratta SEMPRE d'un tentativo di phishing che cerca di estorcere le vostre credenziali di accesso ai servizi, nonchè i vostri dati personali sensibili. Bloccate, in questo caso, l'utente dal quale proviene il messaggio fraudolento. Quindi nel caso riceviate questo messaggio, non rispondete assolutamente ed eliminate il messaggio, perché facendo quella procedura i truffatori verranno a conoscenza dei vostri dati e di conseguenza potranno rubarvi anche l’account Facebook, perchè avranno accesso a tutti i dati presenti nella vostra casella email.