giovedì 31 marzo 2011

Facebook patcha vulnerabilità XSS che permetteva spam su bacheche


Una vulnerabilità cross-site scripting (XSS) su Facebook è stata utilizzata per lanciare un worm auto-spam che si moltiplicava sul social network attraverso le bacheche degli utenti inconsapevoli, secondo i ricercatori di sicurezza di Symantec. La vulnerabilità XSS si trovava nelle API Facebook mobile ed è stata causata da una insufficiente validazione JavaScript.

L’argomento della validazione dei dati di una form tramite JavaScript è noto alla maggior parte degli sviluppatori di applicazioni Web. L’approccio classico consiste nell’intercettare un determinato evento (Blur, Click, Submit) ed eseguire un’apposita funzione JavaScript che verifichi la validità dei dati inseriti dall’utente. Al fine dello sfruttamento, gli hacker hanno creato una pagina Web che contiene un elemento iframe appositamente predisposto che ha costretto tutti gli utenti Facebook registrati che vi si recano a inserire messaggi canaglia sulla loro bacheca.

Il messaggio di spam lavorava per attirare gli utenti a visitare il sito "maligno", e gli hacker sono riusciti a creare un worm che si propagava autonomamente. Gli esperti di Symantec dicono che la vulnerabilità è stata sfruttata in attacchi sempre più limitati, prima di essere usata per lanciare il worm, ma fà notare anche che i copy-cats (imitatori) hanno seguito l'ondata iniziale. Alcuni browser hanno i filtri anti-XSS built-in per impostazione predefinita, ma non sono molto efficienti. L'unico che può bloccare un numero significativo di attacchi è incluso nell'estensione NoScript per Firefox.


NoScript è un componente aggiuntivo per il browser Firefox che consente di bloccare script sospetti o generati da siti potenzialmente pericolosi. E’ possibile definire una lista di domini sicuri e di domini giudicati non attendibili. Una volta installato tutti gli script javascript, Flash, Silverlight e anche alcuni eseguibili vengono automaticamente bloccati di default. Il worm XSS è stato usato frequente nel 2009, tuttavia, i siti di social media hanno cercato di fare del loro meglio per prevenire tali attacchi.

Nonostante ciò, alcuni continuano ad apparire di volta in volta. In realtà, l'ultimo che è stato lanciato su Facebook si è verificato all'inizio di questo mese ed è stato usato per diffondere spam di prodotti per la perdita peso. La vulnerabilità esisteva nella versione mobile delle API di Facebook a causa di insufficiente filtraggio JavaScript. Esso permetteva a qualsiasi sito web di includere, ad esempio, un elemento iframe maliziosamente preparato che conteneva JavaScript o utilizzava l'attributo http-equiv col valore "refresh" per reindirizzare il browser all'URL preparato contenente il JavaScript.


Qualsiasi utente che si registrava a Facebook e visitava un sito che conteneva un elemento del genere, inviava automaticamente un messaggio di posta arbitrario sulle bacheche, anche con connessione SSL attiva. Non c'era interazione con l'utente e le altre richieste, e non c'erano trucchi coinvolti, come il clickjacking. Bastava visitare un sito infetto e ciò era sufficiente per inviare un messaggio scelto dall'attaccante. Pertanto, non sorprendeva la veloce diffusione di alcuni di questi messaggi attraverso le bacheche di Facebook. Symantec ha individuato almeno 12 diversi attacchi.

Nel mese di ottobre dello scorso anno, dei ricercatori di sicurezza francesi hanno dimostrato come rubare informazioni attraverso worm che lavorava mettendo a frutto la falsificazione delle richieste cross-site e le vulnerabilità cross-site scripting su Facebook. Secondo Candid Wueest di Symantec, Facebook ha affrontato e risolto la vulnerabilità: " Facebook ci ha informati di aver patchato la vulnerabilità XSS. Inoltre, il team di sicurezza sta attualmente lavorando su come porre rimedio ai danni causati dagli attacchi", ha detto.


Il Cross-Site Scripting è uno dei principali problemi di qualsiasi servizio Web-based. Dal momento che i browser Web sostengono l'esecuzione di comandi incorporati nelle pagine Web per consentire pagine Web dinamiche, gli attaccanti possono fare uso di questa caratteristica per far rispettare l'esecuzione di codice dannoso nel browser Web di un utente. JavaScript è il linguaggio comunemente più usato in questo contesto. Se in modo abusivo, il furto di informazioni di autenticazione possono essere possibili permettendo agli hacker di agire nel quadro di un furto identità.

L'attacco si basa sulla possibilità di inserire il codice JavaScript "maligno" in pagine visualizzate ad altri utenti. Pertanto il filtraggio di codice JavaScript "maligno" è necessario per qualsiasi applicazione web. Questo articolo descrive il problema globale ed approfondisce le possibilità di filtrare le applicazioni web in Javascript. E' presentata anche una architettura di filtraggio che consente agli sviluppatori di applicazioni Web di filtrare JavaScript a seconda dell'applicazione, per ridurre il pericolo di successo degli attacchi Cross-Site Scripting.

mercoledì 30 marzo 2011

G Data: pulizie digitali di Primavera per una miglior protezione dei dati


Per prevenire attacchi dai cyber criminali è necessario procedere a una periodica pulizia del proprio disco fisso. Con l’inizio della Primavera è tempo per il nostro computer di essere liberato dai dati inutili e da software non aggiornato. Dati e programmi non utilizzati e non aggiornati all’ultimo update non solo occupano spazio non necessario sull’hard disk, ma rallentano anche il Pc. Inoltre la presenza di software datato rappresenta un serio problema dal momento che i cyber criminali possono sfruttare falle di sicurezza per penetrare nei Pc e creare così grossi danni. 

G Data fornisce una serie di utili consigli per le pulizie di Primavera del proprio Pc e mostra come gli utenti possano pulire efficacemente i loro computer rendendoli così anche più sicuri. I vecchi dati ed il software non aggiornato si accumulano sulla maggior parte dei Pc con il passare del tempo. Questo fatto rallenta il computer, utilizza risorse di sistema in maniera non necessaria e presenta un rischio per la sicurezza che non dovrebbe essere sottovalutato.

“Ogni utente dovrebbe pulire il proprio computer in maniera regolare ed accurata”, avvisa Ralf Benzmüller, esperto di sicurezza e responsabile dei G Data SecurityLabs. “Il software non aggiornato rappresenta un grosso rischio. Questo include programmi non aggiornati e sistemi operativi per i quali i produttori non garantiscono più supporto ed aggiornamenti per bloccare le falle di sicurezza. I cyber criminali hanno così la possibilità di accedere facilmente a questi computer.” Gli utenti dovrebbe quindi mantenere costantemente aggiornato il proprio sistema e sostituire i vecchi programmi per i quali non esistono più update con dei nuovi software.

Consigli per le pulizie di Primavera del proprio hard disk
  • Il sistema operativo ed il software installato dovrebbero sempre essere aggiornati con gli ultimi service pack, patch e update. I programmi non aggiornati per i quali non è previsto più alcun supporto da parte del produttore dovrebbero essere completamente rimossi e sostituiti con una nuova versione se necessario.
  • Una regolare pulizia reduce la quantità dei dati presenti. Gli utenti dovrebbero cancellare file doppi ed inutili, nonché quelli non più utilizzati. Programmi gratuiti come CloneSpy o AntiTwin sono utili per individuare i doppioni. I file dovrebbero essere rimossi completamente utilizzando la funzione di “digital shredder” spesso integrata in molte soluzioni per la sicurezza.
  • Gli utenti dovrebbero anche cancellare con regolarità i file temporanei situati nella cartella “Temp” della directory Windows. Questi file sono generati quando si naviga nel web. Rimuoverli rende il computer decisamente più veloce.
  • I cookies, la history e i web form files dovebbero essere cancellati dopo ogni sessione Internet dal momento che registrano dati sulla navigazione nel web. C’è una funzione automatica per cancellare i settaggi del browser. Alcuni browser, inoltre, hanno anche una modalità pirata che cancella in automatico i file temporanei alla fine della sessione. In alternativa è possibile usare programmi come Ccleaner.
  • Gli utenti dovrebbero disabilitare la funzione "Save password" nel browser. Le password già salvate nel browser dovrebbero essere cancellate. Tutti i websites con password registrate vanno cancellati nei settaggi del browser.
  • Gli utenti dovrebbero usare una completa soluzione per la sicurezza informatica e mantenerla sempre aggiornata. L’utilizzo di una soluzione per la sicurezza con sistema integrato di tuning e pulizia del registro rende il sistema più efficiente e stabile.
  • Oltre ad utilizzare una soluzione base per la sicurezza, gli utenti dovrebbero navigare con un firewall attivato per proteggere le loro attività online
  • Un back up salva tutti i dati fondamentali in caso di infezione o crash del sistema. Inoltre un’immagine di back up dell’intero hard disk salva oltre ai dati anche tutti i programmi installati. Le più complete soluzioni per la sicurezza includono moduli di questo tipo.
  • Gli utenti dovrebbero anche assicurarsi di navigare con diritti utente limitati, funzione gestibile attraverso il Pannello di Controllo. Chiunque reinstalli Windows può specificare un profilo appropriato durante il processo di installazione.


Le pulizie digitali di Primavera pagano in ogni caso. Il tempo speso in queste operazioni è sempre un tempo speso bene perché un PC può essere infettato sempre a causa di una mancata attenzione al suo corretto funzionamento. La G Data Software AG, con sede a Bochum, è un’azienda innovativa e in rapida espansione, specializzata nello sviluppo, produzione e commercializzazione di prodotti dedicati alla sicurezza informatica. Quale specialista della sicurezza in Internet e pioniere nel campo dell’antivirus, l’azienda, fondata a Bochum nel 1985, sviluppò il primo programma antivirus 20 anni fa e nel 2010 festeggiò il suo 25° anniversario. Negli ultimi 5 anni G Data ha ottenuto più riconoscimenti e vittorie nei test di qualsiasi altro produttore di software per la sicurezza informatica.

Rubate password dal database MySQL.com tramite SQL Injection


A dimostrazione che nessun sito web è mai veramente sicuro, alcuni hacker hanno compromesso il database di MySQL.com, così come le versioni francese, tedesco, italiano, giapponese e altre localizzate del sito, sfruttando ironicamente una vulnerabilità di tipo SQL injection. Tramite un messaggio inviato alla celebre mailinglist Full Disclosure, un cracker firmatosi Jackh4xor ha segnalato di aver "bucato" il sito MySQL.com, punto di riferimento ufficiale per tutte le attività legate al celebre database open source. 

Il rapporto include informazioni sul parametro vulnerabile, un elenco delle tabelle dei diversi database e un elenco del database degli utenti con l'hashing delle password. Poco dopo, TinKode, un hacker rumeno ha pubblicato una più completa relazione sul suo blog, e reso disponibile pubblicamente tramite la risorsa per programmatori pastebin.com, sostenendo di essere stato lui e un amico a scoprire alcuni mesi fà la vulnerabilità e che non doveva essere resa pubblica. 

Anche il sito di Oracle sun.com è stato attaccato, ma gli hacker non sono riusciti ad estrarre informazioni sensibili da questo. "In questa mattinata il nostro amico Jackh4x0r ha deciso di rendere pubblica una vulnerabilità in MySQL.com. Si tratta di un parametro vulnerabile a SQL Injection, ciò che noi (TinKode & Ne0h) avevamo trovato con pochi mesi fa [sic.]", scrive l'hacker. 

Come prova della sua affermazione egli ha postato un link ad un thread precedentemente privato del Team Insecurity Romania (ISR), forum in cui la vulnerabilità è stata discussa dal 3 gennaio 2011. La divulgazione TinKode comprende anche ulteriori informazioni come il cracking delle password per gli account di alcuni database e blog, compreso quello di Robin Schumacher, direttore della gestione del prodotto MySQL. La password del blog di Mr. Schumacher è composta da solo quattro cifre, motivo per cui il cracking dell'hash della password è stato banale.


E' stata divulgata anche la password di Kaj Arno, l'ex vice presidente della Comunità di MySQL nel Gruppo Database di Sun Microsystems. A permettere l’attacco non è stata però la semplicità delle password degli utenti, quanto bensì un problema relativo al sito web. Nessun bug in MySQL è stato sfruttato per eseguire l’SQL Injection, motivo per cui non è stato diramato alcun allarme di sicurezza per tutelare gli utenti. Il punto debole della catena è stato rilevato invece nell’implementazione del portale ufficiale del progetto. 

TinKode ha precedentemente esposto vulnerabilità analoghe a siti appartenenti alla Royal Navy britannica, la NASA e la US Army . È stato anche responsabile della divulgazione della vulnerabilità XSS nei commenti di YouTube che è stata sfruttata una anno fà dagli utenti di 4chan per indirizzare i fan di Justin Bieber. L'episodio dimostra quanto sia comune questa vulnerabilità. Se i creatori di MySQL, il motore di database più diffuso al mondo, non può assicurare il proprio sito web dagli attacchi SQL injection, quale ragionevole aspettativa di sicurezza si può avere da siti web che non sono gestiti da esperti? 

Vale la pena sottolineare che SQL injection è un vettore di attacco molto pericoloso. A differenza del cross-site scripting, che può essere usato per iniettare codice nelle pagine canaglia, la vulnerabilità SQLI può essere sfruttata per estrarre dati sensibili come informazioni su clienti da banche dati private. Il sito web di MySQL offre software per database, servizi e supporto per le aziende, compreso il server Enterprise, il monitoraggio della rete e servizi di consulenza e il sostegno alla produzione. 

La vasta gamma di prodotti comprendono: cluster di Mysql, database incorporato, driver per JDBC, ODBC e Net, Visual Database Tools (Query Browser, toolkit di migrazione) e, ultimo ma non ultimo il MaxDB, il database open source certificato per SAP R / 3. Il colosso informatico sta investigando sulle cause di tale problema, e cercherà di porre rimedio al più presto per evitare nuove fughe di dati sensibili.

martedì 29 marzo 2011

Clickjacking: La bella Marika Fruscio mostra il seno della tv italiana!


Potreste considerarlo gossip, ma una breve introduzione risulta necessaria. La rottura tra Pippo Inzaghi e Alessia Ventura ha riportato alla ribalta Marika Fruscio, la prosperosa ex concorrente di Uomini e Donne che aveva in passato rivelato una relazione con il bomber del Milan. La bella showgirl, che recentemente ha fatto anche un calendario, ha fatto agitare i telecronisti di Diretta Stadio su 7Gold e non solo. 

Mentre si parlava di calcio la temperatura è salita vertiginosamente perchè la signorina si è fatta "sfuggire" un seno dal vestito dopo essersi mossa troppo. E gli spammer non hanno perso l'occasione per sfruttare questo episodio per diffondere una nuova truffa su Facebook. Infatti da qualche giorno molti utenti del social network hanno iniziato a condividere un link dalla dicitura “The beautiful Marika Fruscio show her breasts on Italian TV!” [SHORT LINK] che letteralmente significa “La bellissima Marika Fruscio mostra i suoi seni sulla televisione italiana!”.


Migliaia di utenti maschi che popolano il social network, attratti dalla possibilità di vedere a nudo la giunonica showgirl, hanno ovviamente cliccato sul link ma tutto ciò che appare è una pagina “hostata” su diversi siti, sia italiani che esteri, dove non apparre assolutamente alcun video. Il link verrà condiviso in automatico sulla bacheca di chi si è lasciato ingannare, favorendo la diffusione di questo falso video. Oltre all’imbarazzo nei confronti dei vostri amici ed amiche riguardo al fatto che non avete resistito alla tentazione di vedere le forme di Marika Fruscio, si tratta di likejacking e clickjacking, tra le più classiche truffe su Facebook (evoluzioni dello spam).


Tra questi siti troviamo cocacolafacebook.altervista.org (come riportato qui) e Buzz4U.fr, che sfruttano lo stesso sistema. Il fatto è che la maggior parte degli utenti di Facebook, spinti dalla curiosità, commettono l’errore di cliccare su qualsiasi link presente sulla piattaforma e trascurano i pericoli che vi si possono nascondere. Se avete commesso l'errore di cliccare sul messaggio truffa sarà necessario verificare il vostro feed di notizie e assicurarsi che il messaggio non sia stato spammato ai vostri amici. Se si, è necessario rimuovere l'elemento dalla bacheca facendo clic sulla piccola "x" in alto a destra del post. Vi è la possibilità di "cancellarlo e rimuovere il like".


A dimostrazione della notevole diffusione della truffa, come leggiamo collegandoci ad uno dei siti in questione: "attualmente il traffico verso questo sito web è stato temporaneamente bloccato perchè è stata superata la quota mensile assegnata all'account cocacolafacebook pari a 14 GBytes, il sito sarà nuovamente accessibile a partire dal primo giorno del prossimo mese". Ricordatevi di diffidare di qualsiasi link che simile a questo. 

Se davvero si vuole guardare un video molto probabilmente sarà disponibile gratuitamente - senza che bisogna condividerlo su Facebook - su siti legittimi video come YouTube. Facebook può fare ben poco per evitare truffe simili che attaccano il suo servizio e gli iscritti al social network. Gli utenti devono essere intelligenti e imparare a fiutare un imbroglio ed evitarlo. Con oltre 500 milioni di utenti, però, Facebook continuerà ad essere un obiettivo importante per i fornitori di truffe in cerca di vittime curiose o troppo superficiali nelle loro azioni, che effettuano azioni ritrovandosi iscritti a pagine senza conoscerne nemmeno il motivo.

domenica 27 marzo 2011

Facebook spam: evoluzione dell'attacco chat con messaggi in posta


C'era d'aspettarselo, ma speravamo non accadesse. Protezione Account ha individuato un nuovo attacco spam agli utenti di Facebook che sfrutta, oltre la chat della piattaforma (sistema descritto precedentemente in questo post), anche la posta di Facebook. L'attacco compie dunque un notevole salto di "qualità". Lo stile è nel più classico degli attacchi spam su Facebook (ricordate Koobface?). Infatti potreste ricevere da un vostro amico che ha installato l'applicazione, un messaggio in posta che vi invita a cliccare su uno short URL (link accorciato), che camuffa l'indirizzo Web dell'applicazione spam. Il messaggio che potreste ricevere è un semplice: "Mira esto! [LINK] ("Guarda! [LINK]"). Se clicchiamo sul link ricevuto in posta verremo rimandati alla pagina di autorizzazione dell'applicazione, che chiederà il consenso per accedere alle nostre informazioni di base, che includono Id utente, lista degli amici e qualsiasi altra informazione per la quale la privacy è impostata su "Tutti". Inoltre l'applicazione potrà accedere, come di consueto per queste applicazioni, alla chat di Facebook.


Se diamo il consenso saremo rimandati su un sito o blog dove, ci verrà proposto del software malevolo o di giocare online attraverso Javascript. Inoltre saremo invitati a cliccare "Mi piace" su altre pagini riconducibili allo spammer di turno. Un sito web malevolo potrebbe cercare di installare dei software in grado di sottrarre le informazioni personali degli utenti, sfruttare il computer per attaccare altre macchine o semplicemente danneggiare il sistema. Alcuni di questi siti distribuiscono intenzionalmente software dannoso, ma alcuni dei siti possono essere compromessi senza che il proprietario ne sia a conoscenza o ne sia responsabile.


Nel frattempo và in onda la "consueta" sceneggiatura, cioè dalla vostra chat partiranno i messaggi automaticamente verso tutti i vostri amici, anche se off-line, contenenti gli URL fraudolenti. Non è la prima volta che Facebook si trova ad affrontare questo problema (come potete leggere in questo post). Seppur relativamente recenti, i siti di short URL sono tra i più apprezzati del web, complici anche le limitazioni al numero di caratteri imposte da social network come Twitter (140 caratteri per messaggio) che rendono indispensabile risparmiare quanto più possibile sulla lunghezza delle stringhe.


Il rischio, successivamente, è quello di spedire in maniera del tutto inconsapevole e casuale ai vsotri amici, dei messaggi di posta contenenti il medesimo short URL (rischiate dunque di essere segnalati per spam o bloccati dallo stesso sistema automatico di sicurezza di Facebook). La scelta non è casuale, infatti, ancor meglio della condivisione, attraverso la chat e adesso anche i messaggi di posta, è possibile raggiungere il maggior numero di utenti. Inoltre, dato che il "contagio" avviene attraverso messaggi di amici, la truffa sarà più credibile perchè fornirà un certo senso di sicurezza da parte dell'utente destinatario.


Spesso lo short URL è solo un pretesto per stimolare la vostra curiosità ed invitarvi ad accedere a pagine di cattivo gusto o peggio a trappole preparate da cybercriminali, che potrebbero infettare il vostro sistema con virus o trojan. I siti che offrono il servizio di short URL (google, tinyurl, bitly, ecc.) stanno attivamente collaborando con Facebook per la rimozione delle pagine contraffatte o pericolose per la presenza di malware o virus. Prestate dunque attenzione a tutti i messaggi che vi arrivano da amici e che contengono URL accorciati.


Si tratta di messaggi inviati all'insaputa dell'utente che ha installato l'applicazione sul proprio profilo e che ha visitato successivamente il sito malevolo. Facebook continua a disattivare le applicazioni rogue, ma di nuove sono pronte a nascere, perchè si tratta di un attacco in grande scala con pacchetti di applicazioni pre-confezionati disponibili in Rete. Prestate dunque attenzione e nel caso un vostro amico ne sia rimasto vittima, avvertitelo invitandolo a rimuovere immediatamente l'applicazione dal proprio profilo e a fare una scansione antivirus. Per conoscere cosa si nasconde dietro un servizio di short URL vi sono a disposizione vari servizi online, noi abbiamo scelto il servizio gratuito disponibile all'indirizzo www.unshorten.com, col quale è possibile sapere in anticipo (senza cioè visitare la pagina proposta dal link) a cosa si sta andando incontro. Questa pagina risulta particolarmente utile a chi vuole, specialmente nel social network, tutelarsi da false pagine che, contraffatte nell'aspetto ripropongono, per esempio, il sito di Facebook.


Una di queste applicazioni (che conta oramai milioni di utilizzatori, purtroppo) potete bloccarla cliccando direttamente su questo link. Ovviamente vi invitiamo a condividere il nostro post e per restare informati su ulteriori sviluppi visitate il nostro blog o iscrivetevi al nostro Feed.

Rubati certificati SSL Comodo: a rischio e-mail, social network e Skype


L’authority Comodo è stata derubata dei certificati SSL. I browser Firefox, Chrome e Internet Explorer hanno già rilasciato le patch per gestire in sicurezza i certificati SSL. Il furto ha avuto origine il 15 marzo con un cyber-attacco ai danni di un partner di Comodo. Quindi sono stati richiesti nove fake di certificati SSL fasulli a siti come Google, Microsoft, Skype e Yahoo, prima che l’attacco venisse scoperto. La denuncia è stata fatta dal Progetto Tor. L’attacco sarebbe “iraniano“.

E’ stato bloccato e “non è ripetibile” il cyber-attacco con il quale degli hacker hanno violato il sito della Comodo, una delle cinque Certification Authority al mondo che rilasciano le chiavi crittografiche che garantiscono l’attendibilità dei certificati digitali SSL. Lo ha detto all’ANSA il vicepresidente della Comodo per Europa, Medio Oriente e Africa, Massimo Penco. 

L’attacco risale al 15 marzo scorso, quando una delle authority che a livello locale esegue i controlli che permettono di assegnare un certificato (Registration Authority) ha ricevuto una e-mail dalla Comodo che avvertiva che si stava per mettere un certificato per Google.com. L’attacco, a quanto si apprende, sarebbe passato per l’Italia e sono stati rubati certificati 9 digitali per 6 domini: mail.google.com, google.com, login.yahoo.com (3 certificati), login.skype.com, addons.mozilla.org e login.live.com. “Un hacker era penetrato nel sistema della Comodo ed era riuscito a far emettere i certificati”, ha spiegato Penco. 

“Ci siamo accorti dell’intrusione e l’abbiamo bloccata nell’arco di 15 minuti, entro un’ora abbiamo revocato i certificati”. Le prime indagini hanno permesso di risalire a un indirizzo Ip dell’Iran, una provenienza che, secondo Penco, “al momento attuale risulta assolutamente plausibile”. Inoltre “in questo momento abbiamo alert in continuo”, ha aggiunto citando l’intrusione subita sempre a metà marzo alla Certification Authority americana Rsa, recenti minacce a siti web italiani e il ruolo che Internet ha giocato nelle rivolte nel Nord Africa.


Sono almeno tre le possibili ipotesi, secondo l’esperto. La prima prevede che chi si impossessa di un certificato internet può utilizzarlo per impossessarsi di dati sensibili, come numeri di carte di credito: si apre, per esempio, un sito “credibile” nel quale si vendono prodotti online, segnalando gli estremi della carta di credito. Una seconda possibilità è che si agisca a scopo politico, ad esempio attaccando i browser che hanno permesso la circolazione delle e-mail durante la rivolta in Nord-Africa. 

Legata a questa è la terza ipotesi, secondo la quale il furto dei certificati potrebbe essere stato un tentativo di dirottare e-mail e conversazioni telefoniche su un computer sotto il controllo dell’hacker. "Abbiamo di fronte uno scenario da incubo - afferma Mikko Hypponen, che lavora presso la F-Secure, una società di Helsinki che si occupa di sicurezza informatica - è essenziale potersi fidare delle compagnie che vendono i certificati di autenticità, altrimenti si diventa del tutto vulnerabili sulla rete. 

Qui non si tratta di qualche hacker, dietro c’è una pianificazione precisa di uno Stato. È una minaccia reale per il futuro di internet". Nel mondo esistono tre certification authority, ossia le organizzazioni che si impegnano a generare, consegnare ed eventualmente revocare i certificati destinati al dialogo cifrato tra un browser e il rispettivo sito visitato: sono VeriSign, GoDaddy e Comodo. I certificati ottenuti sono già stati revocati e le principali aziende, a partire da Microsoft che ha rilasciato in fretta e furia l’aggiornamento per i certificati principali, rilasceranno a brevissimo tutti gli aggiornamenti a tutela.

Ue: attacco hacker a sistema informatico Commissione, indagini in corso


I sistemi informatici della Commissione europea e del Servizio diplomatico esterno dell'Alto rappresentante per la politica estera della Ue, Catherine Ashton, hanno subito Martedì scorso, un attacco cibernetico da parte di ignoti hacker, che sono riusciti a introdurre un virus ('malware') nella struttura di comunicazione interna (intranet), non si sa con quali danni ed eventuali furti di dati o documenti.

Alla vigilia di un vertice europeo organizzato per discutere l'azione militare in corso in Libia, il programma nucleare europeo e la crisi del debito, i sistemi chiave dell’Unione Europea sono stati disattivati in seguito a quello che un portavoce ha chiamato "un attacco informatico serio". Al personale è stato chiesto di modificare le proprie password, l'accesso esterno alla posta elettronica e alla rete intranet della Commissione, che è stata temporaneamente sospesa, al fine di impedire la divulgazione di informazioni non autorizzate. 


Il portavoce dell'Unione europea Antonio Gravili ha attribuito la responsabilità dell'attacco semplicemente a un malware, "piuttosto che a un tentativo di portare alla luce i documenti segreti relativi alle questioni del vertice". Secondo Rik Ferguson, Director Security Research & Communication Emea di Trend Micro, "data la natura degli attacchi contemporanei a istituzioni commerciali e governative devo dire che è molto difficile tracciare la linea che separa le due eventualità. 

Il malware è semplicemente uno degli strumenti nella ‘cassetta degli attrezzi’ dello spionaggio criminale e internazionale e fare una così netta distinzione prima di aver effettuato un’ indagine approfondita potrebbe essere controproducente". Secondo altre fonti l'attacco ha riguardato anche i servizi della rappresentante per la politica estera della Ue, Catherine Ashton.

L’attacco ha bloccato le discussioni in atto sull’intervento contro Gheddafi e sul nucleare civile europeo. I dettagli sul “misfatto” sono davvero scarsi. Non è dato sapere se si tratti di una mossa di Anonymous, di attività hacking a sfondo politico o, piuttosto, di vero spionaggio e sabotaggio diplomatico. "I casi dei malware Aurora, Night Dragon, Stuxnet e i più recenti attacchi contro il G20 e i vertici dell'Unione europea illustrano "graficamente" la nuova realtà.


Il cyberspionaggio, proprio come la criminalità informatica, è più semplice da perpetrare, più difficile da individuare e comporta dei rischi minori rispetto ai metodi più tradizionali. Questa è la nuova frontiera", conclude Ferguson. Secondo il portavoce, "non è la prima volta" che si registra un attacco cibernetico alla Commissione europea, ma quest'episodio è "preso molto sul serio" per il fatto che le intrusioni sono "molto mirate". Il portavoce ha detto di "non avere ancora informazioni" e "non poter speculare" sulle ipotesi di un collegamento possibile fra l'attacco cibernetico e le discussioni in seno all'Ue sulla crisi in Libia e la sicurezza nucleare.  

Il sito AnonNews non segnala, ad ogni modo, nessun attacco recente alla Commissione Europea - mentre promette battaglia contro l’Italia e le sue nuove leggi sul copyright. Antony Gravili, portavoce dell'amministrazione della Commissione, ha comunque ricordato che non è il momento di speculare sugli attacchi. L'unica certezza è che si sono concentrati su alcune specifiche aree: su tutte l'External Action Service, ovvero gli Affari Esteri della UE.

Foto 1: Fondazione Impresa

venerdì 25 marzo 2011

False notifiche Facebook via email scaricano virus Zbot e Blackhole exploit


Websense ® Security Labs ™ Threatseeker ® ​​Network ha rilevato una nuova campagna e-mail dannosa mascherata come proveniente da Facebook. La campagna sembra essere effettivamente proveniente dalla spam bot Cutwail Pushdo. Pushdo è una delle più grandi botnet spamming su Internet. Questa è rimasta sotto controllo dal 2007, anche se è stata segnalata essere responsabile di una percentuale enorme di spam a livello mondiale. 

E' persino riuscita ad entrare nella Top 5 delle botnet più grandi senza mai raggiungere la prima posizione. Ci sono rapporti di 7,7 miliardi di email spam al giorno, provenienti da questa botnet, che la pone nella Top 2 delle spam botnet più grandi del mondo. "Povero Pushdo, sempre la damigella d'onore, mai la sposa!", commenatno gli esperti dei laboratori di  Trend Micro ®. 

In realtà la botnet Pushdo è una grande e fantasiosa "piattaforma di distribuzione" di software maligni. Una volta che la vittima è infetta, di norma visitando un sito Web dannoso, Pushdo scarica malware eseguibili, molti dei quali sono prodotti da terzi parti. Questo è l'unico tipo di comunicazione con il server di comando e controllo. A settembre 2010, per esempio, circa 5.000 messaggi di spam sono stati inviati agli utenti di Facebook da zombie Cutwail per circa 30 minuti. Ma questa volta, i criminali informatici utilizzano due vettori di attacco: ingegneria sociale e di un exploit kit.


Entrambi finiscono con l'istallare il trojan Zeus / Zbot sulle macchine bersaglio. A meno che non siete stati fuori da Internet negli ultimi anni, probabilmente avrete sentito parlare dell'enorme problema di sicurezza causato dalle botnet. Queste grandi collezioni di computer infetti comandati da capi criminali possono lanciare attacchi coordinati, dannosi ospitare siti web o inviare spam. I clienti Websense sono protetti da questo tipo di attacco con il loro motore Advanced Classification Engine per l'analisi dei dati e la loro suite di tecnologie interna TRITON. Ecco un esempio di una e-mail dannosa in lingua spagnola:


L'email è un falso maligno che appare come proveniente da Facebook.com e recita: “Hi, someone loves your photo comments, please click on the link to see all comments” (“Ciao, a qualcuno piacciono i tuoi commenti alle foto, clicca sul link per vedere tutti i commenti”). Esso fornisce un URL falso travestito da formale collegamento Facebook. Una volta cliccato, l'utente viene reindirizzato a una pagina di attacco e viene richiesto di scaricare ed eseguire un "aggiornamento" da Facebook. L'aggiornamento "file" è una variante del trojan Zeus / Zbot. Al momento della stesura, il file ha avuto "soltanto" un 7% di rilevazione, ma è in costante aumento. L'attacco non è però ancora finito.


Mentre avviene il finto caricamento della pagina Facebook, la macchina dell'utente viene attaccata silenziosamente in background con diversi exploit. L'exploit sono inviati tramite un iframe contenuto nella finta pagina Facebook attacco. Questo processo avviene in silenzio quando la pagina attacco viene caricata. Gli exploit sono caricati da uno dei prevalenti exploit kit oggi in maggior circolazione - il Blackhole exploit kit. Tutti gli attacchi hanno avuto successo. Vine stato scaricato ed installato silenziosamente il trojan Zeus / Zbot sulla macchina dell'utente. Ecco un iframe esempio dalla pagina di attacco su Facebook che punta a sfruttare il Blackhole kit:


Il Black Hole Exploits Kit , è una applicazione web sviluppata in Russia, che incorpora anche un'interfaccia in lingua inglese, e la prima versione (beta al momento) sta cercando di adattarsi al mercato nero da quando è stata distribuita nei primi di settembre 2010. Il suo costo è determinato sulla base di una serie di caratteristiche che cercano di differenziarsi dal resto. Questo modulo offre una visione rapida delle informazioni più rilevanti per un botmaster: numero di computer che fanno parte della rete e dei loro rispettivi paesi, sfrutta con elevati tassi di successo e l'elaborazione delle informazioni di altri.


A differenza di molti altri crimeware di questo stile, Black Hole Exploits Kit utilizza un sistema di licenze pagate a tempo. Ad esempio, l'acquisto di questo crimeware per 1 anno (attualmente il tempo massimo) costa $ 1500, mentre una semi licenza annuale e trimestrale, costa rispettivamente 1.000 dollari e 700 dollari. 

La tendenza segna un lieve incremento graduale ma nei sistemi operativi impegnati che non appartengono alla famiglia di Microsoft. Questo include crimeware per piattaforme basate come GNU / Linux e Mac OS. Altri, come il Siberia Exploit Pack e Eleonore exploit kit includono piattaforme per dispositivi mobili di fascia alta e console di gioco. Inoltre al costo di 50 dollari si può utilizzare in alternativa il sistema di crittografia. 

Questa funzione è un modello per il "servizio" extra offerto dagli sviluppatori di crimeware, come la possibilità di verificare l'integrità dei malware (AVChecker) che si diffondono attraverso crimeware. Per effettuare questa verifica, è spesso usato VirTest , il servizio privato di origine russa che è diventato uno dei preferiti dai criminali non solo per il controllo della reputazione ma anche per la diffusione di malware sfruttati dai pacchetti. 

Ci sono confezioni crimeware diverse che hanno recentemente aderito modulo VirTest, compresa l'ultima versione di SpyEye . Questi exploit hanno il più elevato tasso di successo nello sfruttamento. Il Black Hole exploit kit include un TDS (Traffic Direzione Script) che consente l'indipendenza da altre applicazioni web, permettendo di manipolare arbitrariamente il traffico web, e probabilmente questa funzione attira l'attenzione dei criminali.

giovedì 24 marzo 2011

Scam su Facebook sopravvive grazie a estensione rogue di Firefox


Una truffa sfrutta Facebook per diffondersi tra gli utenti, ma resta attiva anche se viene bloccata l'applicazione sul social network ad essa collegata, in quanto si tratta d'un falso add-on per Firefox. Il team di sicurezza di Facebook ha bloccato l'applicazione, grazie al suo sistema automatico di rilevamento spam, ma ci si aspetta una nuova ondata di attacchi che sfruttano questo nuovo sistema.

I ricercatori di sicurezza di Symantec hanno  individuato, una nuova truffa che colpisce gli utenti di Facebook che attraverso un trucco procede all'installazione di una estensione di Firefox canaglia al fine di rimanere attiva più a lungo possibile. I truffatori promettono agli utenti la possibilità di vedere gli utenti più attivi sul proprio profilo, una funzionalità che non esiste su Facebook. Nei messaggi di spam si legge: 

"Non riesco a credere che si può vedere chi visualizza il tuo profilo PROFILO! posso vedere la TOP 10 delle persone e sono veramente a bocca aperta che il mio ex mi sta ancora controllando qui ogni ora. Potete vedere chi controlla il : [link] " ("I cant believe that you can see who is viewing your profile! I can see the TOP 10 people and i am really OPENMOUTHED that my EX is still checking me every hour. You can also see WHO CHECKS YOUR PROFILE here: [link]"). Come nella maggior parte delle truffe, il link porta gli utenti ad una applicazione di Facebook canaglia che chiede il permesso per accedere ai propri dati posti sul loro profilo.


Se abilitata, l'applicazione inizia a postare lo spam sui muri delle vittime a loro insaputa. Sono poi reindirizzati a una pagina chiedendo loro di installare una speciale estensione di Firefox chiamata "Facebook Connect". Per farla sembrare più credibile, la pagina usa la grafica rubata dal sito di Mozilla Add-ons e sostiene che l'estensione viene scaricata per 27.000 volte a settimana. E sono in molti, a tal proposito, a criticare il sistema che adotta Mozilla per installare gli add-on.


"Naturalmente questa estensione 'Facebook Connect' di Firefox non si trova sul dominio ufficiale, ma Mozilla la ospita su un sito di terze parti. Non è raro, quindi che la maggior parte degli utenti potrebbe ignorare l'avvertimento generico visualizzato da loro quando si installa l'estensione", dice Candid Wueest ricercatore di Symantec. Esso mostra un sito che pubblicizza la funzione "statistiche profilo", ma chiede agli utenti di partecipare ad un primo sondaggio.


Per ogni utente che fa ciò, i truffatori guadagnano una commissione. Gli attaccanti, sfruttando l'estensione di Firefox aumentano la durata della vita del loro truffe, perché anche se gli utenti rimuovono l'applicazione canaglia Facebook o lo spam postato sulle loro bacheche, l'add-on continuerà a visualizzare i pop-up. Inoltre, il contenuto può essere cambiato in qualcosa di ancora più dannoso se gli scammer lo desiderano, come gli annunci scareware che spingono a falsi prodotti antivirus.


Il team di sicurezza di Facebook ha già reagito e rimosso le applicazioni e i posti corrispondenti nello spazio dell'utente. Ma, come sempre tenere un occhio o due aperti dato che dove c'è una truffa, ce ne sono altre a seguire. Symantec ha anche visto che la stessa estensione viene pubblicizzata in truffe script manuali. Queste sono quelle che si ottengono reindirizzando l'utente a un sito Web che chiede di copiare / incollare un codice javascript offuscato nel browser o, meglio ancora, chiede all'utente di inviare direttamente il messaggio per almeno cinque volte su Facebook. 

Un sistema di protezione semplice e buono contro questa variante è quello di consentire l'accesso SSL su Facebook, in quanto il pop-up viene generato solo quando la versione http è caricata e non sul sito https. Inoltre, questo contribuirà a garantire le vostre sessioni da sniffer come l'estensione fraudolenta Firesheep, un componente aggiuntivo per Firefox che sfrutta una vulnerabilità nelle impostazioni di cifratura dei cookie di molti dei più popolari siti della Rete. Per eludere almeno in parte questi tentativi di furto di password, Facebook offre ai propri utenti la connessione cifrata basata sul protocollo sicuro HTTPS per tutto lo scambio di dati. Prestate inoltre attenzione ai componenti aggiuntivi che andate ad installare sul browser di Mozilla.

mercoledì 23 marzo 2011

Firefox 4: velocità, sicurezza e interfaccia più personalizzabile


Firefox 4.0 è da oggi disponibile in versione finale, anche in italiano. A poche ore dal suo lancio, la nuova "major release" del browser opensource porta con sé numerose novità. La quarta versione di Firefox è, innanzi tutto, più veloce: in un web nel quale i siti si fanno sempre più complessi tanto da diventare vere e proprie applicazioni, la rapidità nel caricamento delle pagine e, soprattutto, nell'esecuzione di codice JavaScript è diventato un aspetto cruciale. Gli sviluppatori di Mozilla, inoltre, assicurano di aver lavorato molto sull'ottimizzazione dell'utilizzo della memoria introducendo anche un ciclo (XPCOM) in grado di liberare frequentemente la RAM che resta inutilizzata: lo scopo è quello di mettersi alle spalle i cosiddetti "memory leaks" che hanno contraddistinto le precedenti release del browser. Il motore di rendering di Firefox 4.0 si arricchisce di un nuovo profilo grafico in grado di rendere più definiti e brillanti i colori delle foto digitali pubblicate online. Diversamente dalla nona release del browser Microsoft, che non è compatibile con Windows XP, Firefox 4.0 supporta - almeno in modo parziale - l'accelerazione hardware anche su tale sistema operativo. Il supporto dell'accelerazione hardware su Windows XP viene reso possibile grazie all'utilizzo delle API Direct3D piuttosto che sulle librerie più recenti integrate soltanto su Windows Vista e Windows 7. Per verificare l'effettiva attivazione dell'accelerazione hardware, è sufficiente digitare about:support nella barra degli indirizzi di Firefox 4, portarsi quasi in calce alla pagina - in corrispondenza della sezione "Grafica" - e verificare quanto riportato accanto alle voci Direct2D attivo, DirectWrite attivo, Rendering WebGL e Finestre con accelerazione GPU. Tra le novità più appariscenti di Firefox 4.0 c'è sicuramente "Panorama": per accedervi, è sufficiente fare riferimento al comando Gruppi di schede (menù a tendina alla destra delle schede aperte) oppure premere la combinazione di tasti CTRL+MAIUSC+E. L'interfaccia proposta da Firefox 4 è stata comunque completamente rivista rispetto al passato: cambiamenti così radicali non si erano mai registrati prima nel browser opensource se non nelle sue primissime versioni.


In Firefox 4, le schede di navigazione sono state spostate nella parte più alta della finestra e ricordano da vicino l'impostazione di Google Chrome. Per ripristinare la vecchia impostazione, è sufficiente cliccare sulla freccia a destra della barra degli URL con il tasto destro del mouse e deselezionare l'opzione Visualizza le schede in alto. Firefox 4 fa definitivamente propria la funzionalità Firefox Sync precedentemente nota con il nome di Weave. Si tratta di un innovativo strumento per la gestione e la sincronizzazione tra più sistemi dell'elenco dei siti web preferiti, delle password, della "cronologia", delle schede aperte ed altro ancora. Firefox Sync è configurabile accedendo alla finestra delle opzioni del programma. Il gestore dei componenti aggiuntivi è stato rinnovato per permettere agli utenti di Firefox 4.0 di cercare e installare componenti addizionali in grado di ampliare le funzionalità del browser direttamente da Firefox. Firefox 4 amplia il supporto per numerose specifiche di Html 5 includendo non solo le principali caratteristiche di base della nuova versione del linguaggio di markup ma anche gli elementi per la creazione di elementi grafici senza l'uso di plugin di terze parti, molte delle specifiche di CSS3, le API audio e video, il formato WebM di Google accanto ad Ogg. L'ultima versione di Firefox migliorare le sue abilità nell'individuazione dei siti web potenzialmente pericolosi o comunque di quelle pagine che mettono in atto attacchi phishing. Il prodotto di Mozilla si interfaccia infatti con il servizio Google Safe Browsing, implementato anche in Google Chrome. Quello che però manca a Firefox 4.0 è l'utilizzo di un meccanismo di sandboxing capace di rilevare operazioni dannose messe in atto dai componenti presenti nelle pagine web nocive. Avviando la procedura d'installazione di Firefox 4, questa è in grado di rilevare la presenza di eventuali precedenti versioni del prodotto che dovessero essere presenti sul sistema in uso. Cliccando sul pulsante "Aggiorna" la precedente installazione di Firefox sarà automaticamente adeguata all'ultima versione importando nuovamente segnalibri, cronologia ed elenchi di password dell'utente. Il download diretto del programma si può effettuare da questa pagina.

Attenzione alle false "official fan page" istituzionali che sono su Facebook


Nel tentativo di entrare in contatto con le "celebrities" o le "official Page" che popolano i social network, vi sarà capitato di cercare i loro profili o pagine su Facebook, Twitter e MySpace. E molte volte vi sarete imbattuti in un elenco interminabile di profili o pagine intitolate al personaggio o al sito Web in questione, senza riuscire a capire quale fosse (ammesso che ci fosse) quello autentico. Partito da MySpace con i falsi account delle Popstar, il fenomeno dei «fake» ha contaminato anche Facebook e Twitter. Nella maggior parte dei casi, dietro queste pagine si nasconodono degli "ammiratori" o pseudo tali, in altri casi mitomani e cyberbulli che, grazie alla copertura virtuale, riescono ad agganciare indisturbati le loro vittime.

E su Facebook, in particolare, è diventata moda e pratica consolidata fondare pagine che si spacciano per fan ufficiali di siti istituzionali, organizzazioni umanitarie, associazioni di volontariato, corpi o rami della Polizia, Carabinieri, Finanza e affini. Di solito presentano come nome della pagina la dicitura 'official', ma non solo. Premettendo che nessuna istituzione ha legittimato a tutt'oggi l'apertura di pagine implicitamente o esplicitamente con tale dicitura (salvo chiara ed inequivocabile verifica), prestate attenzione e nel caso rimuovete la vostra iscrizione se rilevate "attività anomale", perché è proprio l'iscrizione che passando da utente ad utente, fornisce implicitamente la parvenza di ufficialità su Facebook: più iscritti = più popolarità = ufficialità.

Se voi vi iscrivete ad una pagina, un vostro amico vedrà lo stream della notizia su Facebook e sarà spinto ad effettuare a sua volta l'iscrizione (nel caso soprattutto di loghi simil-istituzionali). Ricordiamo a tal proposito che l'utilizzo di qualunque stemma, marchio, grafica e nominativo atto a ingannare l'utente (che in questo caso può pensare di avere a che fare con un organo statale) puo' essere considerato un reato e punito penalmente. Lo stesso vale per l'inserimento di informazioni fasulle nella scheda Info predisposta.


Citando direttamente la Faq relativa alle Pagine Facebook (http://www.facebook.com/help/?faq=14261) "Solo il rappresentante ufficiale di una figura pubblica, un marchio o un'organizzazione è autorizzato a creare una Pagina Facebook. Blocchiamo numerosi termini di titoli di Pagine per evitare la creazione di Pagine false, non autorizzate o in altro modo illegittime. Se non sei il rappresentante autorizzato e desideri creare uno spazio in cui i fan di un certo argomento o personaggio possano condividere i propri pensieri e opinioni, ti suggeriamo di creare una Pagina sociale o un Gruppo Facebook".

Le pagine ufficiali hanno (solitamente) un collegamento attraverso un pulsante con il logo del social network o un badge Facebook sul sito ufficiale: per esempio il sito del Governo USA ha la sua Pagina su Facebook con un pulsante). E non importa se viene o meno sottolineato il fatto che si tratti d'una pagina non ufficiale, perché l'errore fondamentale è dato dal fatto che venga usata (abusivamente) la parola 'official'. Cerchiamo d'intenderci, con ciò non vogliamo dire, naturalmente, che tutte le pagine che presentano come titolo il termine 'official' o 'ufficiale' siano false: prendete il caso di siti o blog personali o che fanno riferimento a personaggi famosi. Un classico esempio è la cantante rumena Inna, che possiede due siti Internet e rispettive pagine ufficiali su Facebook: Inna e Inna Official).

La presunzione d'utilizzare un tale termine e' mirata a dare un senso d'ufficialità (che altrimenti non vi sarebbe) e a 'ingannare' gli utenti più sbadati o creduloni, che si iscriveranno pensando di essere all'interno d'un gruppo ufficiale, magari in mancanza della presenza ufficiale su Facebook d'una data società o istituzione. Per esempio Trenitalia non ha una pagina ufficiale su Facebook, mentre la Polizia Postale viene rappresentata in maniera generica dalla Polizia di Stato sul social network, con la Pagina di Agente Lisa su Facebook. Il fine delle pagine "fake" e, dunque, dei rispettivi fondatori e/o amministratori e' quello di acquisire consensi, fiducia e popolarità (nei casi migliori). In quelli peggiori guadagnare denaro attraverso i clic degli utenti o incrementare a dismisura i fan per poi utilizzare la pagina a fini personali.


Un esempio è quello di spingere gli utenti a segnalare altri utenti, gruppi o pagine o ancora spammare i propri prodotti. Il consiglio e' quello di diffidare di queste pagine, verificarne i contenuti postati, informarsi andando sui siti ufficiali che dovrebbero presumibilmente rappresentare e nel caso di attività anomale, segnalarle ai siti Internet a cui fanno riferimento e, ancora, nel caso di pratiche scorrette, anche alle autorità preposte. Come leggiamo sul sito Navigare Sicuri di Telecom Italia: "Nella ricerca di condivisione, di 'amicizie', ci si trova di fronte alla sfida dell'essere autentici, fedeli a se stessi, senza cedere all'illusione di costruire artificialmente il proprio 'profilo' pubblico".

In quanto "il coinvolgimento sempre maggiore nella pubblica arena digitale, quella creata dai cosiddetti social network, conduce a stabilire nuove forme di relazione interpersonale, influisce sulla percezione di sé e pone quindi, inevitabilmente, la questione non solo della correttezza del proprio agire, ma anche dell'autenticità del proprio essere. La presenza in questi spazi virtuali può essere il segno di una ricerca autentica di incontro personale con l'altro se si fa attenzione ad evitarne i pericoli, quali il rifugiarsi in una sorta di mondo parallelo, o l'eccessiva esposizione al mondo virtuale".

Un insegnamento da tenere in massima considerazione, valido per tutti, che spinge a interrogarsi sull’autenticità delle persone con cui si dialoga in Rete. Collegandovi a questa pagina su Facebook potrete segnalare chi viola le condizioni d'uso di Facebook e andando a questa pagina su Facebook trovate il form per le segnalare un link o un sito Web sospetto con attività di spam o phishing (da non confondere con il form per la segnalazione delle inserzioni pubblicitarie). Per le segnalazioni di pagine phishing a Google è possibile collegarsi a questa pagina. Inoltre, a questa pagina trovate l'elenco delle Questure sul Web, dislocate sul territorio nazionale. La lista completa dei Punti di Interesse degli Uffici di Polizia (Questure e Commissariati) la potete scaricare da qui in formato CSV.

Adobe corregge grave vulnerabilità in Flash Player, Reader e Acrobat


Da Adobe arrivano numerosi update per Acrobat Pro (versione 9.x e 10.x), per il Reader (versione 9.x e 10.x) e per il Flash player, necessari per risolvere alcuni problemi di sicurezza e falle riscontrate nelle precedenti versioni. Adobe ha messo a disposizione vari update per Acrobat Pro (versione 9.x e 10.x), per il Reader (versione 9.x e 10.x) e per il Flash player, necessari per risolvere alcuni problemi di sicurezza e falle riscontrate nelle precedenti versioni.

Adobe ha rilasciato un aggiornamento per Flash Player, Adobe Reader e Adobe Acrobat che risolve la vulnerabilità individuata la scorsa settimana. Per la particolare gravità del bug, la patch è stata rilasciata “out-of-cycle”, ovvero prima del consueto aggiornamento trimestrale dei software Adobe. Un vulnerabilità critica è stata identificata nella componente authplay.dll fornita con Adobe Reader e Acrobat X (10.0.1) e 10.xe 9.x versioni precedenti per i sistemi operativi Windows e Macintosh. 

Questa vulnerabilità (CVE-2011-0609), come indicato nel Security Advisory APSA11-01 , potrebbe causare un crash e potenzialmente consentire ad un malintenzionato di prendere il controllo del sistema interessato. Ci sono rapporti che questa vulnerabilità viene sfruttata in attacchi mirati tramite Flash (. Swf) in un file incorporato di Microsoft Excel (. Xls) fornita come allegato e-mail. In questo momento, Adobe non è a conoscenza di attacchi diretti Adobe Reader e Acrobat. 

Adobe Reader X Protected Mode attenuanti potrebbero impedire a un exploit di questo tipo di esecuzione. Adobe consiglia agli utenti di Adobe Reader X (10.0.1) per Macintosh l'aggiornamento ad Adobe Reader X (10.0.2). Per gli utenti di Adobe Reader 9.4.2 per Windows e Macintosh, Adobe ha reso disponibile l'aggiornamento, Adobe Reader 9.4.3. Adobe consiglia agli utenti di Adobe Acrobat X (10.0.1) per Windows e Macintosh aggiornamento ad Adobe Acrobat X (10.0.2). 

Adobe consiglia agli utenti di Adobe Acrobat 9.4.2 per Windows e Macintosh aggiornamento ad Adobe Acrobat 9.4.3. Perché Adobe Reader X Protected Mode potrebbero impedire a un exploit di questo tipo da eseguire, stiamo progettando di affrontare questo problema in Adobe Reader X per Windows con il prossimo aggiornamento trimestrale di sicurezza per Adobe Reader, attualmente prevista per il 14 giugno 2011. 

Come da indicazioni Adobe, Flash Player 10.2.153.1 è scaricabile direttamente dall'Adobe Flash Player Download Center. Le ultime versioni di Adobe Acrobat e Reader sono raggiungibili seguendo le indicazioni presenti all'interno del relativo bollettino di sicurezza. Oltre che attraverso il menu Aiuto -> Ricerca aggiornamenti, gli update possono essere scaricati da questa pagina, dopo aver selezionato il software corretto, oppure cliccando sui link elencati qui di seguito:

- Acrobat Pro 9.4.3 (38.4MB)

Adobe consiglia agli utenti di Adobe Flash Player 10.2.152.33 e versioni precedenti (Adobe Flash Player 10.2.154.18 e versioni precedenti per gli utenti di Chrome) per Windows, Macintosh, Linux e sistemi operativi Solaris l'aggiornamento ad Adobe Flash Player 10.2.153.1. Adobe consiglia agli utenti di Adobe Flash Player 10.1.106.16 versioni precedenti e per l'aggiornamento ad Android di Adobe Flash Player 10.2.156.12. 

Adobe consiglia agli utenti di Adobe AIR 2.5.1 e versioni precedenti per Windows, Macintosh e Linux l'aggiornamento ad Adobe AIR 2.6. Il proprio browser Google Chrome include già Adobe® Flash® Player incorporato. Google Chrome si aggiorna automaticamente quando è disponibile una nuova versione di Flash Player. Per ulteriori informazioni riguardo il supporto avanzato di Flash Player per Chrome, incluse le informazioni per gli sviluppatori, vedere questa nota tecnica.

martedì 22 marzo 2011

Facebook e siti Web a rischio vulnerabilità HTTP Parameter Pollution


I siti Web negli ultimi anni si sono fatti sempre più interattivi, tramutandosi forma, da semplici pagine statiche, in delle applicazioni complesse e dinamiche. Questo ha portato dei grandi vantaggi agli utenti, in termini di piacevolezza e completezza dell’esperienza di navigazione, ma ha anche reso i siti stessi molto più vulnerabili sotto il profilo della sicurezza. Alcune delle principali falle di sicurezza sono ben note e studiate, altre non hanno finora ricevuto la stessa attenzione. Un giovane studioso italiano che lavora in Francia, all’istituto di ricerca Eurecom, Marco Balduzzi, ha presentato settimana scorsa alla conferenza «Black hat» di Barcellona, assieme a tre colleghi un rapporto che analizza appunto una delle vulnerabilità meno considerate, la «Http Parameter Pollution (Hpp)» che, come Balduzzi ha dimostrato analizzando 5.000 domini Internet popolari di Alexa, grazie a un sistema di scanning automatizzato creato ad hoc, è presente nel 30 % dei siti. L'HTTP Parameter Pollution (HPP) rappresenta una nuova classe di problemi per le applicazioni web. Una vulnerabilità  HPP permette ad un aggressore di iniettare un parametro (e il suo valore) all'interno dell'URL generato dall'applicazione. Come qualcuno saprà, il 14 maggio @ OWASP AppSec Polonia 2009, CTO Minded Security* e Stefano di Paola hanno presentato una nuova categoria di attacco chiamata HTTP Parameter Pollution (HPP). Gli attacchi HPP possono essere definiti come la possibilità di modificare o aggiungere parametri HTTP GET / POST iniettando delimitatori di stringa di query. Possono colpire tutte le tecnologie web quindi server-side e client-side. Le conseguenze dell'attacco dipendono dalla logica dell'applicazione, e può variare da un semplice fastidio a una corruzione totale del comportamento dell'applicazione. In altre parole, quasi un sito su tre, tramite dei link creati ad hoc, che vanno a rimpiazzare una delle variabili gestita dalle pagine, può essere indotto a comportarsi in maniera anomala. Le conseguenze possono essere l’invio di un post sulla propria pagina Facebook, cliccando per esempio su un link che in teoria doveva servire ad altro.

Http Parameter Pollution, a new category of web attacks

View more presentations from Wisec
Oppure, nei casi più gravi, si può giungere alla modifica fraudolenta della scelta di un utente in un sondaggio online, fino alla completa compromissione delle funzionalità di un sito di e-commerce, cambiando il prezzo di una merce in vendita. «Se controlli i parametri - ha spiegato Balduzzi a Forbes - puoi fare qualsiasi cosa». Sebbene l'HTML Parameter Pollution fu rivelato come una vulnerabilità due anni fa, Balduzzi ha creato uno strumento che individua i bug sul Web con uno scanner che egli chiama Parameter Pollution Analysis System, o PAPAS. Dallo scanning automatizzato messo a punto dai quattro ricercatori, è risultato che anche domini appartenenti a grandi entità del Web come Google, Facebook, Microsoft e Symantec potrebbero soccombere a un attacco di «parameter pollution», il che, a giudizio degli studiosi conferma come il problema sia stato finora sottostimato. «Per ora non si conoscono casi in cui la vulnerabilità Hpp sia stata sfruttata - afferma il giovane scienziato italiano - ma è solo questione di tempo. Gli sviluppatori Web devono diventare consapevoli della sua esistenza e scrivere il codice in maniera sicura. Altrimenti, prima o poi, qualcuno ne approfitterà». Balduzzi, classe 1982, è originario di Seriate e si è laureato all’Università di Bergamo. Dopo esperienze in Norvegia in Germania, e il lavoro come consulente di sicurezza informatica per aziende italiane e straniere, è approdato nel 2008 all’Eurecom, dove sta svolgendo il dottorato di ricerca. A questa pagina potete inviare il vostro sito per essere testato gratuitamente da PAPAS. Il sistema automatico analizzerà la vostra domanda e invierà un rapporto in formato HTML quando la scansione sarà completata.  PAPAS rappresenta il primo e unico sistema per rilevare in tempo reale problemi HPP in siti internet. Il sistema funziona attraverso la scansione dell'applicazione e il controllo di ogni pagina con un meccanismo fuzzing intelligente per scoprire eventuali iniezioni nei collegamenti e forms. Con questa iniziativa ci si augura di sensibilizzare e richiamare l'attenzione sul problema HPP. La documentazione completa in formato .PDF è disponibile a questo indirizzo.

Minded Security è un operatore dell'informazione globale di protezione focalizzato sulla sicurezza delle applicazioni.

Via: La Stampa

Furti d'identità: i più esposti sono i giovani navigatori della Rete


I giovani saranno anche esperti conoscitori della rete, ma sta di fatto che l'identikit dell'italiano più esposto al furto di identità in Rete è proprio quello di giovani, residente nell'Italia nord occidentale, con un'età compresa tra i 25 e i 30 anni. Con l'evoluzione digitale, si sta assistendo ad una crescita del fenomeno del furto d'identità, inteso come appropriazione indebita di informazioni personali di un soggetto con lo scopo di commettere in suo nome atti illeciti a fini di guadagno personale. Secondo una ricerca realizzata da Cpp Italia, divisione della multinazionale inglese specializzata nella tutela delle carte di credito e dei documenti personali, in collaborazione con Unicri, è a rischio la sicurezza dei dati sensibili non solo di quanti vanno su Internet regolarmente (circa 55%) ma anche coloro che non ci vanno mai (34%). Le aree geografiche più esposte sono soprattutto il Nordovest e il Centro e in misura inferiore il Nordest e il Sud con le Isole. Proseguendo la lettura dei risultati della ricerca di Cpp si evince anche che i più attenti navigatori sono i cittadini con un età compresa tra i 31 e i 40 anni, perchè più smaliziati rispetto ai possibili pericoli del Web.

La minore padronanza di Internet, forse perchè acquisita in età adulta, mette a rischio anche la fascia dei 41-50enni. «La nostra ricerca - spiega Walter Bruschi, amministratore delegato di Cpp Italia - ha rilevato una serie di comportamenti potenzialmente pericolosi, che tutti poniamo in essere ogni giorno. L'82,5%, degli intervistati, ad esempio, rilascia online il proprio nome e cognome. Il 59% mette anche la data di nascita, il 48% anche il proprio indirizzo e il 33% anche il proprio numero di cellulare. Anche se pochi rilasciano tranquillamente il numero della propria carta di credito o il codice Pin». «Tutti questi comportamenti - aggiunge Bruschi - non sono pericolosi in assoluto. A fare la differenza sono i siti Internet sui cui vengono rilasciati i dati. Ad esempio, una nostra intervistata ha raccontato di aver acquistato un'auto online per il proprio figlio. Una volta inviata la foto del vaglia postale, i truffatori hanno immediatamente intascato la somma di 2.500 euro e sono entrati in possesso dei dati personali della famiglia riportati nel vaglia stesso».

«Il consiglio - spiega il manager di Cpp - è quindi sempre quello di prestare attenzione all'attendibilità di chi ci richiede le informazioni e soprattutto di non accedere mai a un sito Internet cliccando su un link presente in una e-mail ricevuta, ma digitare sempre personalmente l'indirizzo: quel link, infatti, potrebbe riportare a un sito «falso» ma con tutte le caratteristiche grafiche di quello originale. Immettendoci i nostri dati, li consegneremmo nelle mani dei truffatori». È preferibile dunque, «non inserire troppi dati personali quando ci si iscrive a un social network e soprattutto meglio utilizzare password differenti per i vari accessi a siti o servizi Internet». Un ultimo aspetto che merita di essere esaminato è quello delle difese adottate in Internet.  Il 92% degli intervistati da Cpp Italia utilizza un antivirus, l'84% cancella le e-mail di sconosciuti, mentre solo il 57% utilizza password differenziate. Una quota di intervistati, compresa tra il 50% e il 54%, utilizza firewall e antispyware o cancella la cronologia del browser e i suoi cookies.

Analizzando lo stato psicologico di chi subisce una frode, Cpp ha rilevato che forte è il sentimento di rabbia, frustrazione e impotenza con risvolti di depressione specie nelle donne. Fra quanti non sono stati vittime di furto di identità, molti hanno dichiarato che sarebbero colti dal panico per le tante cose da fare contemporaneamente e perchè non hanno le idee chiare su tutti i passi da seguire per risolvere il problema. «Molti - conclude Bruschi - non sanno con precisione a chi rivolgersi, oltre che alle forze dell'ordine, e tanti auspicano un maggiore livello di informazioni da parte dei media». Obiettivo di Cpp Identity Protection è soprattutto prevenire il furto dell'identità, mettendo a disposizione del cliente un numero verde che lo guiderà nell'affrontare eventuali chiarimenti e/o dubbi. Nel caso in cui comunque il furto d'identità avvenga, il cliente avrà un'assistenza legale specializzata che lo aiuterà a ripristinare la sua identità nel minor tempo possibile. La polizza inoltre coprirà le spese per il rifacimento dei documenti, per eventuali giorni di lavoro persi e le spese legali necessarie per ripristinare la situazione.

Via: La Stampa