sabato 30 aprile 2011

Nuova versione di ransomware, trojan blocca PC ed estorce denaro


Il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture critiche del Servizio Polizia Postale e delle Comunicazioni (CNAIPIC) ha scoperto l'esistenza di una nuova versione del trojan ransomware, purtroppo noto a molti utenti della rete per averli colpiti gia' dal 2006 con le precedenti versioni. "Dammi tutti i tuoi soldi o il tuo computer diventa mio", è la proposizione di base. La tecnica è stata battezzata ransomware molti anni fa da ricercatori di virus informatici, e non è nuova.

Questo tipo di malware - riferisce la Polizia in una nota - quando colpisce le vittime ne impedisce l'utilizzo del PC per poi richiedere un codice di sblocco, ottenibile collegandosi a siti che richiedono l'acquisto di beni o servizi a pagamento, realizzando una vera e propria estorsione. In alcune delle precedenti versioni, infatti, la vittima veniva costretta ad acquistare farmaci o altri prodotti su siti russi e solo successivamente veniva fornito il codice di sblocco.

Il nuovo ransomware è simile, ma molto più aggressivo. Una volta che un computer è stato infettato, il programma non si limita a raccomandare semplicemente l'acquisto di un software, bensì non permetterà agli utenti di continuare a utilizzare il proprio PC fino a quando non si paga. Nella versione attuale, il Pc infetto mostra all'avvio il seguente messaggio:
"Attention! Windows activation period is exceeded. This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code. This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 021 233. Registration code must be entered not later then three days, if it entered later the unlocking is not possible.
"Attenzione! Il periodo di attivazione di Windows è superato. Questa copia di Windows è illegale e non è registrata correttamente. Non è più possibile lavorare. Per attivare questa copia di Windows è necessario inserire il codice di registrazione. Questo codice si può trovare nel vostro pacchetto di distribuzione di Windows. Se non lo trovate si può ricevere dal telefono cellulare: 899 021 233. Il codice di registrazione non deve essere inserito dopo tre giorni, subito dopo non sarà possibile lo sblocco."
Di fatto il PC non subira' alcun danno significativo - informa la Polizia Postale - ma se la vittima dovesse telefonare al numero visualizzato nel messaggio spenderebbe 1,75 euro al minuto e non riceverebbe alcun codice, ma verrebbe semplicemente reindirizzato ad un altro servizio telefonico a pagamento.

Gli utenti italiani non sono i soli destinatari della truffa, perche' il malware e' programmato per riconoscere la provenienza geografica e la lingua del target, pertanto sono previste numerazioni anche per utenti di Austria, Belgio e Svizzera, per i quali la Polizia di Stato, attraverso il CNAIPIC, ha gia' inoltrato la segnalazione alle competenti Autorita'. Inoltre, oltre alle attivita' di indagine volte ad identificare l'autore della truffa - conclude la nota - e' stata avviata la procedura per l'inibizione dell'utenza 899 021 233, affinche' non vi possano essere ulteriori danni per gli utenti della rete.

L'aumento dei ransomware è davvero significativo. Per un utente medio, la maggior parte dei rogueware sono indistinguibili da altri prodotti antivirus standard. Sembrano software perfettamente funzionante, mostrando schermate di Windows, come per le impostazioni del firewall, scansione dei file, e ogni altra scheda che vi aspettereste da prodotti antivirus standard.

venerdì 29 aprile 2011

Linux, Ubuntu ha rilasciato la nuova versione 11.04 Natty Narwhal


Canonical ha annunciato il rilascio della nuova release della distribuzione Linux: Ubuntu 11.04, nome in codice Natty Narwhal, per il download pubblico e noi non potevamo esimerci da comunicarlo ai nostri iscritti. Ubuntu 11,04 introduce l'Unity, nuova interfaccia di Ubuntu, che è più semplice, più facile da usare e più bella rispetto alle edizioni precedenti di Ubuntu. Questo è il culmine di due anni di progettazione e' lo sforzo degli ingegneri di Canonical e dalla comunità Ubuntu. Ubuntu 11,04 si distingue dai suoi concorrenti come una vera alternativa gratuita a Windows, consentendo agli utenti di personalizzare il proprio PC con applicazioni gratuite e a pagamento in un modo che si è dimostrato molto popolare nel mercato degli smartphone e tablet. "Questa versione apre nuove strade per Ubuntu offrendo agli utenti un'esperienza di PC che è elegante ed efficiente", ha detto Jane Silber, CEO di Canonical. "Con questa release di Ubuntu assumerà un'ondata completamente nuova di utenti verso il software libero. Ubuntu 11,04 è il limite massimo per ciò che è stato realizzato con tecnologie open-source per l'utente del computer tutti i giorni". Ubuntu 11,04 si avvale della grafica moderna per fornire un'interfaccia visivamente ricca per il PC che si ispira a smartphone e il design dei tablet. Per vecchi PC, Ubuntu determina automaticamente se la propria scheda grafica supporta l'Unity e fornisce una esperienza "classica". Gli utenti possono anche scegliere la classica esperienza desktop per familiarità o coerenza o dove ci sono distribuzioni desktop di grandi dimensioni e non tutti possono passare a Unity immediatamente. Gli utenti che installano Ubuntu 11,04 troveranno uno spazio di lavoro pulito, con un launcher sul lato sinistro dello schermo. L'interfaccia viene utilizzato lo stesso se su un notebook netbook o PC desktop. Il launcher è configurabile, e permette all'utente di scegliere quali applicazioni si desiderano con un solo clic, mentre l'aggiunta e rimozione di applicazioni è un gioco da ragazzi. Ubuntu 11,04 si allontana dalle interfacce tradizionali, veloce e potente motore di ricerca che abbraccia sia il modo migliore per trovare applicazioni che i file. Questa è una tendenza che arriva a Ubuntu dal Web, dove gli utenti preferiscono la ricerca come punto di partenza per la maggior parte delle navigazioni. La ricerca è ospitata nel cruscotto. Il cruscotto porta file, applicazioni, musica e video insieme in un unico luogo.


E' tutto consultabile attraverso la barra stessa. Ci sono numerosi altri miglioramenti di cui gli utenti potranno godere. Un "menù globale" per la maggior parte delle applicazioni pre-installate: il menù per tutte le applicazioni sarà nello stesso posto nella parte superiore dello schermo. Il touch screen è completamente supportato in Ubuntu 11.04. Attraverso gesti è possibile attivare azioni come lo scorrimento, workspace-switching e espansione e contrazione degli schermi. Canonical e la comunità di Ubuntu continuano ad aggiungere il supporto touch e gesti per applicazioni comuni. L'Ubuntu Software Center è stato integrato con il cruscotto e permette agli utenti di aggiungere applicazioni al loro sistema in pochi clic. Commenti e valutazioni delle domande sono stati aggiunti in modo che gli utenti possono partecipare a un livello completamente nuovo, condividendo le loro esperienze delle applicazioni e aiutare gli altri a trovare le migliori applicazioni. Giochi da editori come Introversion sono stati aggiunti e continueranno ad apparire per ampliare la gamma di software a disposizione degli utenti. Ubuntu One è un servizio cloud per i singoli utenti. Offre gratuitamente la sincronizzazione online e soluzioni di condivisione dei contatti e dei file, in combinazione con un servizio di streaming musicale attualmente disponibili su entrambe le piattaforme iPhone e Android in tutto il mondo. La versione ufficiale del client Windows è in arrivo, con un importante aggiornamento per la beta pubblica disponibile per i test. Oltre a fornire maggiore velocità e prestazioni per la sincronizzazione di file, gli utenti che adottano Ubuntu One possono ora accedere ai propri file su Android, importare contatti da Facebook ed esperienza completa sincronizzazione con i contatti Gmail. Aggiornamenti dei servizi per la musica in streaming includere ulteriori formati di file supportati e la gestione delle playlist. Ubuntu One estende il valore di Ubuntu al di là del computer su cui viene eseguito. I nuovi servizi sono frequentemente aggiunti a Ubuntu One, per cui vi è sempre qualcosa di nuovo per gli utenti da scoprire e godere. Per la prima volta in assoluto, sarà possibile testare Ubuntu-drive online utilizzando solo il browser. I visitatori di Ubuntu.com saranno in grado di accedere a una versione completa del prodotto più recenti, senza dover scaricare nulla. Tutto ciò che è necessario è una connessione a Internet e una mente aperta. Il download è disponibile sul sito ufficiale. Per chi volesse provare ad installare Ubuntu su Windows è disponibile una guida ufficiale a questo indirizzo.

Abbonamento truffa su Facebook attraverso falso evento ed applicazione


Continua un nuovo sistema per diffondere pericoloso spam su Facebook attraverso gli eventi. L'ultimo in ordine di tempo individuato da Protezione Account promette di vedere, attraverso una fantomatica procedura, il video su un presunto disastro avvenuto sulle montagne russe. In effetti un incidente è accaduto lunedi scorso ad Eurodisney, dove cinque persone sono rimaste ferite, di cui una in modo grave, nel parco di attrazioni alle porte di Parigi. Ma come in ogni truffa che si rispetti su Facebook, non verrà mostrato alcun video sconcertante bensì, in questo caso particolare, oltre a spammare sulle bacheche degli amici, si corre il rischio di sottoscrivere un abbonamento a suonerie per cellulari. Ma vediamo in che modo si sviluppa la truffa.


Per prima cosa ricevere da un nostro amico l'invito all'evento attraverso una notifica, dove ci verrà comunicato l'evento è un post in bacheca nel quale siamo taggati. Se clicchiamo sulla notifica o sul link in bacheca verremo rimandati alla pagina dell'evento su Facebook.


Se clicchiamo sul link che troviamo sulla pagina dell'evento verremo rimandati alla pagina della falsa applicazione, dove ci verrà chiesto di effettuare una procedura digitando una combinazione da tastiera. Questo sistema farà in modo che chiunque possa effettuare delle operazioni che altrimenti, per i meno avvezzi, potrebbero risultare complicate.




In questo modo, senza saperlo, l'utente impartirà dei comandi attraverso l'ultima frontiere delle truffe su Facebook e cioè l'ormai famoso Javascript: Delle stringhe di codice verranno a seuquenza inconsapevolmente copi/incollate sulla barra degli indirizzi del browser, effettuando le seguenti operazioni:
  1. Creazione dell'evento a nome proprio
  2. Invito all'evento a tutti i propri contatti
  3. Post sulla propria bacheca e quella degli amici
  4. Tag degli amici nei post
In questo modo, oltre ad assicurarsi che tutti gli amici riceveranno il link, coloro che cadranno nella trappola creeranno a catena altri eventi il cui numero di invitati dipenderà da quanti contatti si hanno nel proprio profilo. Fatto ciò si aprirà una nuova pagina esterna a Facebook, ma che ripropone la grafica del sito.


In questa pagina, che consiste nella vera e propria truffa, ci verrà chiesto il nostro numero di cellulare per verificare il nostro account e per scoprire chi visita il nostro account. In realtà non verificheremo nulla, ne scopriremo chi visita il nostro profilo, ma avremo sottoscritto in compenso un abbonamento a suonerie settimanale sul nostro cellulare. Invitiamo tutti a cliccare su questo link per bloccare l'applicazione collegata alla truffa. Per coloro che son caduti nella trappola, rimuovete il post generato sulla vostra bacheca e annullate l'evento creato a vostro nome. Per far ciò collegatevi alla pagina degli eventi e cercate quello in questione, procedendo alla cancellazione come da figura sotto:


L'evento sarà riconoscibile dal [nome evento+ numero dell'evento]. In questo modo, oltre ad evitare che anche i vostri amici cadano nella trappola, potrete inserire un messaggio per chiarire il disguido. C'è anche il rischio tangibile di essere segnalati come spam. Per coloro che hanno sottoscritto l'abbonamento, dovrebbero trovare il modo di annullare l'abbonamento, attraverso il messaggio che riceveranno sul proprio telefonino. Nel caso non sia presente o non riuscite a trovare il sistema per annullare la sottoscrizione è possibile provare a chiamare il proprio operatore telefonico e rivolgersi, nel caso che tali procedure abbiano comportato per voi dei danni economici, ad una delle varie associazioni di consumatori per sapere come bloccare il servizio e ottenere un eventuale risarcimento, anche tramite possibili azioni legali, come per esempio l'Adoc, l'Adiconsum, l'Adusbef, ecc. Avvertite i vostri amici perchè ci aspettiamo un'escalation di questo metodo truffaldino per diffondere scam su Facebook.

giovedì 28 aprile 2011

Google Chrome 11 disponibile per il download, corrette 27 vulnerabilità


Google ha rilasciato la versione 11.0.696.57 del suo browser Chrome, che risolve un gran numero di vulnerabilità e stabilisce un nuovo record per la quantità di denaro pagata per i ricercatori di sicurezza come ricompensa in un singolo aggiornamento. Un numero totale di 27 vulnerabilità sono stati corretti in questa release, di cui 18 sono valutate con severità alta, 6 con media e 3 con bassa. Nessuna delle vulnerabilità è stata classificata "critica", la categoria riservata ai bug che potrebbe consentire a un utente malintenzionato di sfuggire dalla sandbox

Chrome 11 pone l'accento sopratutto sulla sicurezza e in quest'ultima versione sono state corrette numerose falle per Windows e Linux. Inoltre troviamo un miglioramento della nuova tecnologia WebGL. Si tratta di nuove librerie grafiche che permetteranno di sfruttare l'hardware del proprio PC per riprodurre contenuti 3D. Nelle impostazioni è stata anche introdotta una comoda features che consente di importare le password salvate dagli altri browser. Come al solito troviamo la barra dei motori di ricerca sostituita dall'Omnibox. Un elenco completo delle vulnerabilità affrontate e classificate in ordine di gravità è così formulato:

· Bassa CVE-2011-1304: Pop-up block bypass tramite plug-in.
· Bassa CVE-2011-1450: Puntatori Dangling nelle finestre di dialogo file.
· Bassa CVE-2011-1436: Crash del browser a causa di possibili interazioni negative con X.
· Media CVE-2011-1305: Linked-list race nella gestione del database.
· Media CVE-2011-1434: Mancanza di sicurezza dei thread in MIME handling
· Media CVE-2011-1435: Bad extension con le schede 'permesso' in grado di catturare i file locali
· Media CVE-2011-1445: Out-of-bounds letto in SVG.
· Media CVE-2011-1452: URL bar spoof con redirect e ricarica manuale.
· Media CVE-2011-1455: Out-of-bounds letto con multipart e codificati in formato PDF
· Alta CVE-2011-1303: Puntatore Stale nel trattamento dell'oggetto mobile
· Alta CVE-2011-1437: Integer overflow in float rendering.
· Alta CVE-2011-1438: Stessa origine con violazione delle norme BLOB
· Alta CVE-2011-1439: Prevenzione delle interferenze tra i processi di rendering
· Alta CVE-2011-1440: Use-after-free con [ruby] tag e CSS.
· Alta CVE-2011-1441: Bad cast con elenchi di selezione floating
· Alta CVE-2011-1442: Corruzione degli alberi nodo con mutazione eventi
· Alta CVE-2011-1443: Puntatori Stale in codice layering.
· Alta CVE-2011-1444: Race condition nel programma di avvio sandbox.
· Alta CVE-2011-1446: Possibili URL bar spoof con errori di navigazione e caricamenti interrotti
· Alta CVE-2011-1447: Puntatore Stale in in drop-down list handling
· Alta CVE-2011-1448: Puntatore Stale nei calcoli altezza.
· Alta CVE-2011-1449: Use-after-free in WebSockets.
· Alta CVE-2011-1451: Puntatori Dangling in DOM id map
· Alta CVE-2011-1454: Use-after-free in DOM id map
· Alta CVE-2011-1456: Puntatori Stale con moduli PDF.

Trovate il completo change log a questa pagina. Il render-engine dell'HTML si basa sul noto WebKit, sviluppato per Safari da Apple ed usato anche per Android di Google. Ma la novità più rilevante di questa versione è l'introduzione del voice support per il riconoscimento vocale attraverso HTML5, in questo modo tramite Google Translate sarà possibile tradurre dall'inglese qualsiasi frase pronunciata tramite un microfono. Per provare, basta recarsi sulla pagina Google Traduttore. Unica accortezza è impostare la lingua da tradurre su inglese e la lingua in cui tradurre su qualsiasi lingua. Cliccando sul microfonino in basso a destra sul box, si verrà avvisati di iniziare a parlare. 

Parlando con un inglese lineare e semplice il sistema comprenderà perfettamente e scriverà la corrispondente frase. Sulla destra, subito dopo, verrà visualizzata la traduzione nella lingua prescelta che, come già era possibile fare in precedenza, si può ascoltare pronunciata dal sintetizzatore vocale di Google.  La procedura di aggiornamento avviene in background e non richiede alcun intervento da parte dell'utente. Google Chrome 11 può essere comunque scaricato per Windows, Mac OS X e Linux manualmente dal sito ufficiale di Google.

Bufala: il virus di Bush dal contatto peteivan che brucia l'hard disk


Continua puntualmente, a distanza di anni, l'ennesima riproposizione d'una vecchia bufala nata nel lontano 1994 e che su Facebook, grazie ai tanti utenti che hanno poco dimestichezza con questo genere di hoax, riprende vigore e diffusione. Stiamo parlando della favola del virus che distrugge il PC e diffuso attraverso un presunto contatto e-mail. Il testo del messaggio è più o meno il seguente, con aggiunta o meno di qualche condimento:
"VIRUS IN AGGUATO NELLA POSTA !!!!! FATE ATTENZIONE.******* Dite a tutti i Vuoi contatti , di NON accettare nè il contatto "" peteivan@hotmail.com """nè un video di Bush. iN REALTà SI TRATTA DI un hacker, formatta il computer, ti cancella i contatti e ti toglie la password alla posta elettronica. ATTENZIONE, se i tuoi contatti lo accettano, pure tu lo prenderai, così invia il messaggio urgentemente a tutti, questo è di molta importanza, semplicemente FAI "copia e incolla". URGENTISSIMO! PER FAVORE, INVIA QUESTO AVVISO A TUTTI I TUOI CONTATTI!!! Nei prossimi giorni devi stare attent@: Non aprire nessun messaggio con un allegato chiamato: Invito, indipendentemente da chi te lo invia. E' un virus che BRUCIA tutto l'hard disk del computer. Questo virus verrà da una persona conosciuta che ti aveva nei contatti. E' per questo che devi inviare questo messaggio ai tuoi contatti.. E' preferibile ricevere questo messaggio 25 volte che ricevere il virus e aprirlo. Se ricevi il messaggio chiamato: Invito, anche se è inviato da un amico, non aprirlo e spegni subito il computer. E' il peggior virus annunciato dalla CNN. 'Un nuovo virus è stato scoperto recentemente ed è stato classificato da Microsoft come il virus più distruttivo che sia MAI esistito. Questo virus è stato scoperto ieri pomeriggio dalla Mc Afee e non c'è rimedio contro questa classe di virus. Questo virus distrugge semplicemente il Settore Zero dell'Hard Disk, dove le informazioni vitali della sua funzione vengono conservate. INVIA QUESTA E-MAIL A CHI CONOSCI. COPIA QUESTO TESTO E INVIALO A TUTTI I TUOI AMICI. RICORDA: SE LO INVII A LORO, CI BENEFICI A TUTTI. URGENTISSIMO !!!"

Come scrive il giornalista antibufala Paolo Attivissimo sul suo blog, si tratta di catene che girano attraverso e-mail ed ora anche nella posta di Facebook. Prima di far girare le e-mail che ricevete controllate sempre. Sono anni che ogni tanto storie di questo tipo fanno capolino. Il metodo è sempre lo stesso: si tratta di messaggi che annunciano l'arrivo di un pericolosissimo virus riconoscibile dal titolo del messaggio o dal suo mittente. A volte vengono citati nomi di aziende (Microsoft, IBM, CNN, AOL) per conferire apparente autorevolezza all'appello, e cambia il titolo che l'e-mail pericolosissima dovrebbe avere, ma il principio è sempre uguale, pertanto ignorateli e avvisate chi ve li manda che si tratta di bufale. Non è dal titolo o dal mittente che si capisce se una e-mail è pericolosa o meno. Un e-mail infetta può avere qualunque titolo e qualunque mittente. Quindi appelli come questi sono del tutto inutili e fuorvianti, perché fanno pensare che soltanto e-mail con quel titolo o quel mittente siano pericolosi, creando una falsa sensazione di sicurezza. In realtà tutti i messaggi che ricevete vanno considerati a rischio, a prescindere dal titolo e dal mittente, e anche se provengono (apparentemente) da persone che conoscete. Gli avvertimenti veri a proposito di virus includono sempre un riferimento a una pagina di documentazione di un sito di produttori di antivirus e offrono dettagli precisi sul funzionamento del virus (ad esempio quali sistemi operativi ne sono colpiti, come agisce). Gli avvertimenti veri non contengono frasi ad effetto ma prive di qualsiasi significato tecnico come "virus di nuovissima generazione". Gli avvertimenti falsi, invece, non riportano mai una data, in modo da non scadere mai. I tempi di reazione delle società produttrici di antivirus sono ristretti: quando inizia a girare un nuovo virus, l'aggiornamento dell'antivirus e le firme del virus sono disponibili sui loro siti nel giro di poche ore. Basta fare una ricerca su Internet per scoprire che si tratta di un'hoax. Potete trovare gruppi su Facebook che riportano le stesse informazioni fasulle.

Nuova tecnica exploit PDF sfugge al rilevamento dei motori antivirus


Un nuovo metodo per produrre file PDF "maligno" è stato scoperto dai ricercatori del vendor di sicurezza  AVAST. Il nuovo metodo è più di una specifica vulnerabilità patchable, è un trucco che permette ai creatori di file PDF "maligno" di farlo scivolare innosservato da quasi tutti gli scanner Antivirus. Nel complesso, le specifiche PDF permettono molti diversi filtri (come ASCII85Decode, RunLengthDecode, ASCIIHexDecode, FlateDecode, ...) per essere utilizzati su dati grezzi. Inoltre, non vi è limite al numero dei filtri utilizzati per l'immissione di dati unici. Chiunque può creare un valido file PDF in cui i dati verranno usati, per esempio, cinque diversi filtri o cinque strati del filtro stesso. Tutte queste caratteristiche sono basati sulle specifiche estremamente libere, un fatto che permette di essere utilizzati dai cattivi file "maligni" in un modo che non consente l'accesso agli scanner antivirus per il reale payload. Il nuovo trucco si basa solo su un filtro per crittografare i dati di testo ed è pensato per essere usato solo per le immagini in bianco e nero. E a parte Avast! antivirus, probabilmente nessun altro scanner AV è attualmente in grado di decodificare il carico utile, perché nessun altro AV è in grado di rilevare il file PDF. AVAST ha avuto il primo incontro con questa tecnica in un file PDF un mese fa e da allora ha visto un utilizzo limitato, ma anche attacchi mirati. "Il suo indirizzo URL originario era piuttosto sospettoso e ben presto abbiamo confermato lo sfruttamento dell'infezione del sistema causata solo dall'apertura di questo documento. Ma il nostro parser non era in grado di ottenere qualsiasi contenuto idoneo che potremmo definire come "maligno". Non c'era alcun flusso di javascript, solo la singola matrice XFA [...]", scrive sul blog della società Jiri Sejtko, senior analist di Avast.

Font TTF nascosta sotto il flusso JBIG2

La matrice XFA di solito contiene una immagine TIFF maligna che sfrutta la nota vulnerabilità CVE-2010-0188, scoperta nel 2010. Uno degli unici due oggetti a cui fa riferimento una matrice XFA è stato decodificato, analizzato e rapidamente eliminate. I ricercatori hanno poi osservato che il restante ha richiesto due filtri, FlateDecode e JBIG2Decode. FlateDecode è comune, ma JBIG2Decode viene normalmente utilizzato per decodificare i dati delle immagini in bianco e nero, e questo perchè gli hacker hanno scelto di memorizzare il codice JavaScript. Come si è visto, JBIG2Decode può essere utilizzato su qualsiasi oggetto Stream, un comportamento insolito secondo gli sviluppatori AVAST, e probabilmente di altri fornitori, come pure, il fatto di non riuscire ad ottenere la codifica parser PDF. I criminali hanno costruito un file TIFF appositamente predisposto che ha sfrutta la vecchia falla in Adobe Reader. La vulnerabilità è stata patchata nelle versioni attuali, solo le vecchie versioni sono interessate. AVAST ha rilasciato la rilevazione PDF:Contex [Susp] subito dopo questa scoperta. AVAST ha tenuto sotto controllo questo nuovo trucco ormai da oltre un mese e ora ha aggiunto questo algoritmo di decodifica al suo motore PDF. Sulla base delle informazioni da Avast! Virus Lab logs, questo nuovo trucco è attualmente utilizzato solo in un numero molto limitato di attacchi (in confronto ad altri attacchi) ed è probabilmente la ragione per la quale nessun altro AV è in grado di rilevarlo. Tuttavia, Avast ha visto che questo sistema può anche essere utilizzato in un attacco mirato. Ecco i link di VirusTotal che mostrano il punteggio di rilevazione:
Inoltre, Avast ha trovato altri 10 file PDF "maligni" in base al trucco JBIG2Decode. Tutti questi sono stati effettivamente rilevati utilizzando il loro rilevamento euristico JS: Pdfka-gen, anche se in realtà non decodifica il flusso JBIG2. In questi casi, diversi oggetti (gli oggetti senza filtro JBIG2Decode) sono stati contrassegnati come parti dannose. In sintesi, possiamo dire che i criminali stanno usando questo trucco per nascondere ogni possibile oggetto che vogliono nascondere (forme XFA, JS, TTF). Poiché il parser PDF è stato aggiornato per decodificare gli oggetti JBIG2-encoded, il venditore AV ha individuato la tecnica in altri file PDF.

mercoledì 27 aprile 2011

Nei gruppi Facebook non si potranno aggiungere iscritti automaticamente


Con l'introduzione dei nuovi gruppi Facebook è facile trovarsi improvvisamente iscritti ad un gruppo sul social network. Con la nuova gestione dei gruppi, infatti, è possibile ad un amministratore invitare un qualsiasi contatto ad un gruppo: quest’ultimo si ritrova immediatamente iscritto a tale gruppo, senza dover prima confermare la richiesta. Semplice dunque coinvolgere altre persone in attività con le quali, in realtà, queste non hanno nulla a che fare. Nel Centro assistenza per i gruppi di Facebook è confermato che non c'è alcun modo per impedire alle persone di essere aggiunte ai gruppi. Questo ha scatenato le più dure reazioni da parte degli attivisti della privacy. I critici dicono che invece di essere aggiunti automaticamente, dovrebbe essere data la scelta di optare per ciascun gruppo al quale iscriversi. Se fino adesso la possibilità di taggare chiunque in foto, video o note, senza alcun consenso dell’interessato non ha provocato alcun problema evidente di privacy, l’apertura di tale funzionalità per i gruppi ha invece subito messo in evidenza la necessità di maggiori misure di sicurezza. Da Facebook si consigliava semplicemente che se si aveva un amico che aggiungeva a gruppi contro la propria volontà, si poteva chiedergli di smetterla, bloccarlo o rimuoverlo dagli amici. Una scelta a dir poco discutibile, in considerazione del fatto che aggiungere una funzionalità di controllo non sarebbe stato poi così complicato in termini di programmazione.


E finalmente Facebook si è deciso ad aggiungere tale caratteristica. Per i proprietari di gruppo, Facebook infatti ha annunciato di aver aggiunto un controllo sulla privacy che consente l'approvazione delle persone prima di essere aggiunte al gruppo. Dopo sei mesi dal lancio, gli utenti hanno creato oltre 50 milioni di gruppi su Facebook. La crescita è avvenuta in fretta grazie al suo design sociale. Facebook ha ricevuto molti feedback su come le persone utilizzano i gruppi e quali nuove caratteristiche vorrebbero vedere. Facebook inoltre ha annunciato alcuni nuovi miglioramenti, tra cui l'integrazione attraverso domande, la possibilità di caricare album fotografici, e verificare l'appartenenza. Dove prima era possibile solo caricare le foto singole, ora si ha la possibilità di caricare interi album direttamente sul vostro gruppo, rendendo ancora più semplice la condivisione di foto con le persone che hanno più voglia di vederle. Per gli utenti che stavano usando la versione precedente dei gruppi, è stato creato uno strumento che rende semplice l'aggiornamento al nuovo formato Gruppi. I proprietari e i membri dei vecchi gruppi riceveranno informazioni su come eseguire l'aggiornamento nelle prossime settimane. L’appartenenza ad un gruppo è sempre stata conseguenza della decisione dell’utente: leggere di un proprio amico iscritto ad un gruppo non condivisibile può lasciare trasparire una volontà dell’interessato, che in realtà è ignaro della cosa.

Attacco hacker a Playstation Network, rubati i dati di 77 milioni d'utenti


L'attacco hacker a Playstation Network era solo l'avvisaglia di un problema più grande. Sony ha rivelato che gli hacker hanno rubato i dati personali di 77 milioni di abbonati al network. Inizialmente si era pensato a un attacco in grado di mettere offline i server e rendere irraggiungibili i servizi ma, secondo quanto precisato dalla stessa Sony con un comunicato sul blog ufficiale i server sono stati volutamente disattivati per evitare danni all’infrastruttura. Solo il 23 aprile il problema è emerso in termini di attacco e non di semplice problema ai server, anche se non era stata fornita una spiegazione ufficiale. 

Mentre prosegue l'indagine, ora Sony ha rivelato i dettagli di questo incidente, ritenendo che un soggetto non autorizzato ha ottenuto le seguenti informazioni fornite al newtork: nome, indirizzo (città, stato/provincia, codice postale), nazione, indirizzo email, data di nascita, password, login e online ID di PSN/portatile. Inoltre è possibile che i dati del profilo siano stati rilevati, inclusi la cronologia degli acquisti, l'indirizzo di addebito (città, stato/provincia, codice postale) cosi' come la domanda di sicurezza PlayStation network\Qriocity. 

Da qui la scelta dello spegnimento la scorsa settimana di ogni attività. Se avete autorizzato un sub-account per un vostro familiare, Sony informa che gli stessi dati relativi possono essere stati rilevati. Nonostante non ci sia prova che i dati delle carte di credito siano stati presi in questa circostanza, Sony non può escludere tale possibilita'. Se avete fornito i dati della vostra carta di credito tramite PlayStation Network o Qriocity, per sicurezza Sony informa che il numero della carta (escluso il codice di sicurezza) e la data di scadenza possono essere stati rilevati. 

Per la propria sicurezza, Sony invita gli utenti a essere particolarmente vigili nei confronti di truffe via email, telefono, e posta cartacea che chiedano informazioni personali o dati sensibili. Sony non vi contatterà in nessun modo, incluso via email, chiedendovi il numero di carta di credito, numero di previdenza sociale, o altri simili dati o informazioni che siano personalmente identificabili con voi. Se vi vengono richieste tali informazioni, potete avere la certezza che non si tratta di Sony. 

Inoltre, se usate gli stessi nome utente e password per il vostro account dei servizi PlayStation Network o Qriocity e per altri servizi o account a essi non collegati, Sony vi invita a modificarli immediatamente. Cambiate naturalmente la password di accesso allo stesso Playstation Network. Per proteggervi contro possibili furti di dati personali o danni finanziari, vi incoraggiamo a rimanere vigili per controllare lo stato dei vostri account e monitorare i movimenti del vostro credito. 

Potete contattare Sony presso it.playstation.com/psnoutage per ulteriori domande. La rete PlayStation Network connette 77 milioni di utenti, i quali grazie a internet possono giocare assieme, ma anche affittare film in tv o chattare tra di loro. PlayStation Network è un ambiente interattivo in cui è possibile provare giochi online, comunicare con amici e familiari in tutto il mondo ed esplorare il Web, il tutto a titolo assolutamente gratuito. 

Una apposita FAQ è stata pubblicata per fornire ulteriori dettagli, il consiglio è comunque quello di prestare attenzione ai propri account ed a eventuali messaggi che si ricevono in posta elettronica. Sony ha fornito comunicazioni ai consumatori a indirizzi email associati al loro account PlayStation Network / Qriocity.

martedì 26 aprile 2011

Messaggi di phishing da falso profilo Zynga e Facebook Security


Nuovo attacco di phishing agli utenti di Facebook attraverso messaggi nella casella di posta del social network. Ci e' stato segnalato infatti un nuovo tentativo di furto dei dati login a Facebook. Gli utenti potrebbero ricevere un messaggio da un falso profilo Facebook Security o da falso profilo Zynga, con oggetto Facebook Security Team e dove viene richiesta la conferma dell'account, pena la disattivazione a causa delle ripetute segnalazioni da parte di altri utenti per presunto comportamento scorretto e conseguente violazione dei termini di servizio di Facebook. Se si osserva attentamente il mittente che crediamo essere Facebook Security è, in realtà, scritto in maniera leggermente differente come "Facebook Securitγ". Questo modo di scrivere elaborato e che, a prima vista, rischia di passare inosservato, consente al messaggio di essere comunque inviato, nonostante il fatto che l’originale Facebook Security sia una funzione riservata allo stesso Facebook. Chi riceve questo messaggio viene inviato a cliccare su un link per poi inserire il proprio nome, indirizzo e-mail, password e data di nascita al fine di evitare l’apparente disattivazione del proprio account. Ecco un esempio di messaggio intercettato:

VIOLAZIONE ATTENZIONE!


Facebook Securitγ ™
To:


ATTENZIONE
Il tuo account viene disattivato immediatamente. Perché qualcuno ha segnalato le vostre azioni. Forse hai scritto il contenuto offensivo o caricare una immagine che può essere offensivo o dannoso per gli altri utenti.


Facebook non permette di effettuare azioni di disturbo o considerato offensivo da altri utenti.


È necessario confermare l'account, per fermare l'avvertimento disattivato l'account. Per la cancellazione, si prega di confermare il tuo account Facebook qui sotto:


◊▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬◊
http://apps.facebook.com/act****-accounts/
◊▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬◊


Si prega di confermare entro 24 ore se si ritiene che non hanno alcuna errori. Se non confermare il tuo account, il sistema automaticamente chiudere il tuo account di Facebook in modo permanente con la presunzione che tale indicazione è corretta.


™ team di Facebook Security ™
http://www.facebook.com/security
© 2011 Cоpyгighт Facеbооk петwогk Iпc.
█║▌│█│║▌║││█║▌│║▌║
█║▌│█│║▌║││█║▌│║▌║
650.543.4800 (telefono)
650.543.4801 (fax)
Facebook Security
Per fornire all'utente le informazioni necessarie per proteggere le informazioni dentro e fuori Facebook.




Si tratta infatti d'un particolare attacco chiamato "omografico". Il nome contiene dei caratteri particolari che il sistema automatico di Facebook non riesce a rilevare e dunque a bloccare. Per omografo, come abbiamo ripetuto in altre occasioni, si intende una parola caratterizzata da un'ortografia identica a quella di un'altra parola ma con un significato diverso. Se clicchiamo sul link verremo riportati alla pagina d'una falsa applicazione su Facebook, dove leggiamo:

Facebook Security
to cancel the disabled, please confirm your account that you use, after you confirm your account, we will reactivate your account.




Dopo aver introdotto i nostri dati di login ci verrà presentata una pagina dove leggiamo:

Confirm to your webmail
Please select the webmail that you use and fill in the details that we need for reactivate your facebook account.


ATTENTION !
As security measures associated with your account. this notice was sent to e-mail address.


Appena avremo completato la procedura, verremo rassicurati che il nostro account è stato recuperato. In realtà avremo consegnato i dati di login del nostro account Facebook e quelli della casella di posta elettronica ad esso associato. A conferma ci viene presentato un messaggio:


In realtà la pagina risiede su uno spazio Hosting esterno al social network e dove verranno memorizzate username e pasword rubate dal phisher, come possiamo vedere dal codice sorgente della pagina:


In ambito informatico, per attacco omografo si intende l'utilizzo di un indirizzo Web simile a uno noto ma che è stato in realtà alterato. In questo modo i criminali online si guadagnano surrettiziamente la fiducia degli utenti mascherandosi dietro una parvenza di ufficialità. Oltre a ciò risulta estremamente difficile per l’utente notare che si tratta solo di un’imitazione realizzata con la semplice ma subdola modifica di qualche lettera nel nome del mittente. Se siete caduti nella trappola, cambiate immediatamente la password dell'account Facebook e in questo caso anche della casella postale elettronica ad esso associata. Evitate di cliccare su link proposti per accedere al social network da sedicenti team di sicurezza. Nel caso siate stati vittime di attacchi di questo tipo e avete perso il controllo del profilo, seguite queste istruzioni per tentare di recuperare il vostro account Facebook e queste istruzioni per recuperare l'accesso alla vostra casella email. Potete inoltre segnalare la pagina di phishing a Google utilizzando l'apposito form disponibile a questo indirizzo. Per ulteriori informazioni su come mantenere al sicuro l'account potete consultare la pagina ufficiale di Zynga tradotta sulla sicurezza.

Facebook introduce il pulsante Invia: una nuova minaccia per gli utenti?


Poco più di un anno fa, Facebook ha introdotto il pulsante Like per aiutare a condividere le cose che valgono per le persone con tutti i loro amici. Si trattava delle più importanti novità presentate da Facebook agli sviluppatori durante la conferenza F8. E proprio qualche giorno fà Facebook ha celebrato il primo anniversario del Like Button.  Per gli utenti registrati su Facebook, il pulsante serve ad evidenziare agli amici il gradimento che hanno avuto per una pagina o contenuto. Il “Like button” fa parte di una serie di “social plugin” e widget che Facebook ha rilasciato per rendere il Web più sociale mediante l’Open Graph Protocol.

Ed i truffatori non hanno perso tempo a sfruttare questa funzionalità per i loro nefandi scopi. Infatti, l'anno scorso è stato scoperto un analogo utilizzo fraudolento dei click sulla funzionalità mi piace di Facebook, battezzato dall'inglese likejacking. Questa tecnica fraudolenta deriva dal clickjacking, una tecnica utilizzata da alcuni anni dai cybercriminali per intercettare il click di un utente e per dirottarlo su siti di malware o per eseguire azioni che l’utente non aveva intenzione di fare.

Ad un anno di distanza dalla scoperta, però, Facebook non ha ancora trovato una soluzione definitiva al problema. Probabilmente una possibile soluzione potrebbe essere quella di richiedere un’autorizzazione all’utente tramite un messaggio pop-up del tipo: “vuoi confermare questo link come Mi Piace?”. Questo aggiungerebbe quantomeno un ulteriore grado di sicurezza che renderebbe più difficile la diffusione di worm e truffe attraverso il likejacking.

Succesivamente, in tempi recenti, il pulsante Like ha implementato una nuova funzione che permette di condividere l’oggetto (pagina, mood, foto, ecc.) apprezzato sulla propria bacheca, proprio come si può fare con il pulsante “condividi”. Una nuova funzionalità che ha visto crescere lo spam su Facebook, perchè l'utente cliccando "Mi Piace" su un oggetto o pagina, dove è previsto condivide il contenuto sulla propria bacheca, rendedolo di fatto visibile a tutti i propri amici. E' evidente che un sistema simile ha fatto gola a molti spammer.


Adesso Facebook concede un fratello minore al pulsante Like, e cioè il "Send Button" ("Pulsante Invia"). Col nuovo pulsante, integrabile su qualunque sito Web sarà possibile condividere informazioni sotto forma di link  e testo soltanto con alcuni sottoinsiemi della propria rete sociale: un gruppo di Facebook, un singolo amico o una limitata lista di persone (attraverso i messaggi interni del sito) oppure un singolo indirizzo e-mail. Secondo Facebook ci sono molti momenti in cui le persone vogliono condividere qualcosa solo con alcune persone.

Così oggi, Facebook sta introducendo il pulsante Invia, il modo più semplice per condividere le cose privatamente con i gruppi e gli individui. Il pulsante Invia (Send) è un plug-sociale con il quale è possibile condividere con un solo individuo o tutto l'intero gruppo in esecuzione in un solo click un dato oggetto. Il pulsante "Invia" le unità di traffico, consentendo agli utenti di inviare un link e un breve messaggio alle persone che potrebbero essere più interessate.

In questo modo non si ha bisogno di lasciare la pagina web su cui vi trovate o compilare un lungo form. Rispetto alle alternative, il pulsante Invia ha un minor numero di passaggi necessari, e si elimina la necessità di cercare indirizzi e-mail auto-suggerendo ad amici e gruppi. Ed è questo il punto che a noi non ci convince e cioè il fatto che qualcuno possa spedire nella posta dell'utente direttamente un dato contenuto.

Se per ipotesi lo spammer di turno ha creato un gruppo che apparentemente risulta legittimo e raccoglie centinaia di migliaia di utenti, sarà possibile allo stesso inviare contemporaneamente a tutti gli iscritti un link fraudolento, che per esempio rimanda ad un sito malware o scam, o che può scaricare virus sul PC delle vittime designate. Si possono fare molti esempi, ma è evidente che in questo modo non c'è uno sbarramento o un passaggio che filtri questa azione. In attesa che Facebook possa introdurre, a questo punto, un sistema antispam per la posta, vi consigliamo di prestar attenzione ai gruppi ai quale vi iscrivete e alle amicizie che accettate, altrimenti si parlerà di Sendjacking. Coming soon per ulteriori aggiornamenti.

lunedì 25 aprile 2011

Scopri la top class di chi ti segue su FB ma è scam, i codici di blocco


Un'ondata di nuove applicazioni scam hanno preso di mira gli utenti di Facebook, che a loro dire promettono di mostrare i "Top Stalkers" di un profilo, cioè la classifica degli utenti che seguono maggiormente la bacheca di un amico. Il messaggio di spam da parte dei profili vittima che si diffonde recita: "WOW! My FB wall has been viewed 1659 times. Boy views: 780. Girl views: 879. Check yours @: http://apps.facebook.com/[app]/" che tradotto: "WOW! La mia bacheca FB è stata letta 1659 volte. Vista dai ragazzi: 780. Vista dalle ragazze: 879. Controlla la tua @: http://apps.facebook.com/ [app] /".

Scam su Facebook attraverso falsa applicazione per vedersi da vecchi


Gli utenti di Facebook sono nel mirino di una nuova truffa indagine che li attrae con una applicazione che a suo dire è in grado di mostrare come apparirebbero quando diventeranno vecchi. Il messaggio di spam da parte dei profili vittima che si diffonde recita: "hahah mine is hilarious!!! check yours out :) See what you'll look in the future! This cutting-edge technology will show you exactly how your face will look in the future!" che tradotto: "ahah il mio è divertente! provate il vostro :) Guarda cosa ti aspetta in futuro! Questa tecnologia all'avanguardia vi mostrerà esattamente come il vostro viso apparirà in futuro!".


Il collegamento incluso porta gli utenti a una pagina che chiede di fornire l'accesso ad un'applicazione per pubblicare sulle loro bacheche. Una volta installata, questa applicazione invia spam silenzioso a loro nome.


Gli utenti vengono poi reindirizzati ad una pagina contenente un pulsante "Show Me" di dialogo, chiedendo loro di partecipare a un sondaggio come un controllo di sicurezza. Nel frattempo l'applicazione pubblicherà il link sulle bacheche dei vostri amici. Alcune di queste indagini sono ingannevoli e possono indurre gli utenti ad abbonarsi a costosi servizi. Fanno parte solitamente di regimi di marketing di affiliazione che pagano ai truffatori delle commissioni di denaro. In questo caso particolare, i truffatori attirano gli utenti con una funzionalità che effettivamente esiste.


Ci sono infatti alcune applicazioni legittime in grado di simulare l'invecchiamento di una persona sulla base di una foto. Il punto è che noi abbiamo provato con un profilo senza foto e ci è stato fornito ugualmente un risultato casuale. Gli utenti che sono caduti vittima di queste truffe dovrebbero rimuovere le applicazioni rogue dal profilo andando su Applicazioni e siti web. I messaggi spam postati sulle loro bacheche dovrebbero essere soppressi, segnalandoli come spam. Per chi volesse bloccare l'applicazione ad essa collegata possono cliccare su questo link.

domenica 24 aprile 2011

Eventi spam su Facebook, attenzione agli inviti che potreste ricevere


Come avevamo già annunciato in questo post, un nuovo sistema per diffondere pericoloso spam su Facebook, è quello degli eventi. L'ultimo in ordine di tempo individuato da Protezione Account promette di scoprire, attraverso una fantomatica procedura, chi ha visitato il vostro profilo Facebook. Da quando ci siamo occupati di Facebook questa domanda ci viene posta spesso, oltre alla curiosità di base che molti hanno, la domanda deriva anche dal fatto che altri sistemi di social network sono soliti pubblicare questi tipi di informazioni. La risposta è semplice e categorica, la partecipazione ad un evento di Facebook non sarà mai in grado di darvi nessun tipo di informazione su chi visita il vostro profilo. Uno degli eventi s'intitola: "How to see who viewed your profile!!"


In questo caso, dopo aver aderito all'evento, bisogna copiare/incollare un codice javascript nella barra del browser. Come per altri casi visti in precedenza, tramite alcune istruzioni in javascript, residenti su server esterni a Facebook, è possibile automatizzare alcune operazioni come se fossero eseguite direttamente dal vostro profilo. Se clicchiamo sul link mostrato nell'evento, veniamo rimandati infatti ad una pagina esterna al social network.


Il primo passo indicato è quello di copiare il codice javascript presente sulla pagina. Tornare su Facebook.com ed incollare il codice sulla barra degli indirizzi del browser. In questo modo attiveremo una procedura, durante la quale vi sarà un tempo di attesa, come leggiamo sulla pagina stessa: "Siate pazienti. Il codice di profilo può richiedere fino a 1 minuto per il completamento del processo. Sarete indirizzati ad una verifica, una volta completata la scansione".


La caratteristica principale di JavaScript è quella di essere un linguaggio interpretato: il codice non viene compilato, ma interpretato. Alcuni linguaggi di scripting (asp, php, perl) vengono eseguiti dal web server (si chiamano appunto linguaggi server side o lato server). JavaScript, invece, viene eseguito sul nostro PC dal browser. Un linguaggio di scripting sottintende dunque il fatto che sia un linguaggio interpretato: non esiste nessun compilatore, ma è direttamente il browser, tramite un apposito motore di scripting (cioè di visualizzazione), che legge le parti di codice JavaScript.



Nel frattempo verranno eseguite le "istruzioni" automatiche a nome vostro, come se foste voi a farle dalla vostra tastiera utilizzando le informazioni presenti nei vostri cookie. I cookie sono usati per eseguire autenticazioni e tracking di sessioni e memorizzare informazioni specifiche riguardanti gli utenti che accedono al server di Facebook. È possibile che i cookie rubati contengano informazioni riservate che consentono di identificare l'utente nel sito, ad esempio l'ID di sessione. In ogni caso, per prima cosa si rischia di essere bloccati da Facebook, se il social network registra un'attività anomala per numero di azioni/pubblicazioni in un periodo di tempo relativamente breve (attività di spam su Facebook). Il consiglio è quello di non utilizzare alcun tipo di codice javascript e di prestare attenzione agli inviti ad eventi che si ricevono dai propri amici.

sabato 23 aprile 2011

Applicazione unfollowed canaglia si diffonde viralmente su Twitter


Non solo Facebook ma anche Twitter comincia ad essere bersagliato da false applicazioni. Ciò proporzionalmente al continuo aumentare degli iscritti e dunque alla sua popolarità. L'ultima applicazione canaglia su Twitter invia spam dagli account della vittima, indirizzano l'utente a continue indagini attraverso la nuova app rogue chiamata "Follow Finder". Secondo i ricercatori di sicurezza di Sophos, l'applicazione sostiene di essere in grado di contare il numero di unfollowed per gli utenti che la installano. I messaggi che si leggono sono: "xx persone mi hanno unfollowed, scopri quanti unfollowed hai: [link] # # duringsexplease youneedanasswhoopin rw2011 # ", dove (xx sta per due cifre).


Gli hashtag sono argomenti trend su Twitter, che permettono quindi ai truffatori di raggiungere altre potenziali vittime. I link pubblicizzati portano gli utenti a una pagina che chiede loro se vogliono dare l'accesso all'applicazione per il proprio account. "Non premere il pulsante 'Consenti', per qualsiasi cosa", avverte Graham Cluley, consulente tecnologico senior di Sophos vendor antivirus. "Se lo fate, poi un terzo sarà in grado di inviare messaggi Twitter a vostro nome a tutti i vostri seguaci di Twitter - diffondendosi viralmente attraverso la truffa Twitter e può portare ad uno dei vostri amici in linea a compromettere il proprio account", spiega.


Lo stesso metodo è a lungo utilizzato su Facebook da applicazioni rogue che affermano di essere in grado di mostrare gli spettatori più attivi sul profilo di un utente o le persone che li hanno bloccati. Tuttavia, a differenza delle applicazioni rogue su Facebook che promettono caratteristiche che sono impossibili sulla piattaforma, in questo caso ci sono davvero alcune applicazioni che possono tenere traccia degli unfollowers. Abusando di una funzione esistente, questa truffa è più credibile e potrebbe essere utilizzata dagli utenti. Tuttavia, questa applicazione particolare non ha alcuna funzionalità legittima.


Gli utenti che la installano l'applicazione vengono reindirizzati ad una pagina dal titolo "Scopri chi ti ha unfollowed!" ricoperti da una finestra di dialogo, chiedendo loro di compilare una "offerta" a fini di verifica. Queste offerte, note anche come sondaggi, fanno parte dei regimi di marketing di affiliazione per far guadagnare commissioni in denaro ai truffatori. Se si è vittima di questo attacco, si deve andare su impostazioni accountconnessioni e revocare l'accesso all'applicazione. Rimuovere anche i tweets spam dal vostro feed. Si noti che i truffatori utilizzano una varietà di applicazioni differenti - così si può visualizzare un nome diverso da quello della foto qui sotto.


"Non rendiamo facile ai truffatori fare soldi in questo modo, e usare sempre attenzione quando si utilizzano applicazioni di terze parti che permettono di collegarsi al vostro account di social networking, sia su Twitter che su Facebook", scrive ancora Graham Cluney. A tal proposito sconsigliamo l'uso di tutte quelle applicazioni che su Facebook promettono di fornire una classifica degli amici più attivi o di coloro che seguono il vostro profilo. L'elaborazione si basa su eventuali like e commenti, ma in realtà lo scopo è quello di accedere ai dati del vostro profilo, dato che si devono fornire numerose autorizzazioni per utilizzare le applicazioni.

Adobe rilascia aggiornamenti critici per i prodotti Reader e Acrobat


Adobe ha rilasciato le nuove versioni di Adobe Reader e Acrobat, al fine di risolvere due falle critiche. Vulnerabilità critiche sono state individuate in Adobe Reader e Acrobat X (10.0.2) e 10.xe 9.x versioni precedenti per i sistemi operativi Windows e Macintosh. Queste vulnerabilità, tra cui il codice CVE-2011-0611, come indicato nel Security Advisory APSA11-02, potrebbero causare un crash e potenzialmente consentire ad un malintenzionato di prendere il controllo del sistema interessato. Ci sono rapporti che una delle vulnerabilità, CVE-2011-0611, viene attivamente sfruttata sia contro Adobe Flash Player e Adobe Reader e Acrobat, così come attraverso un file Flash (.swf) incorporato in Microsoft Word (.doc) o Microsoft Excel (.xls) fornita come allegato e-mail targeting la piattaforma Windows. Adobe Reader X Protected Mode potrebbe impedire l'esecuzione di un exploit di questo tipo.

Adobe consiglia agli utenti di Adobe Reader X (10.0.2) per Macintosh l'aggiornamento ad Adobe Reader X (10.0.3). Per gli utenti di Adobe Reader 9.4.3 per Windows e Macintosh, Adobe ha reso disponibile l'aggiornamento, Adobe Reader 9.4.4. Adobe consiglia agli utenti di Adobe Acrobat X (10.0.2) per Windows e Macintosh aggiornamento ad Adobe Acrobat X (10.0.3). Adobe consiglia agli utenti di Adobe Acrobat 9.4.3 per Windows e Macintosh aggiornamento ad Adobe Acrobat 9.4.4. Perché Adobe Reader X Protected Mode impedirebbe azioni che hanno come target l'esecuzione della CVE-2011-0611, al momento Adobe sta pensando di affrontare questi problemi in Adobe Reader X per Windows con il prossimo aggiornamento trimestrale di sicurezza per Adobe Reader, attualmente previsto per il 14 giugno , 2011. Oggi gli aggiornamenti di sicurezza sono out-of-cycle.

VERSIONI DEL SOFTWARE INTERESSATE

Adobe Reader X (10.0.1) e versioni precedenti per Windows
Adobe Reader X (10.0.2) e versioni precedenti per Macintosh
Adobe Acrobat X (10.0.2) e versioni precedenti per Windows e Macintosh
NOTA: Adobe Reader 9.x per UNIX, Adobe Reader per Android, e Adobe Reader e Acrobat 8.x non sono interessati dalla CVE-2.011-0.611.

SOLUZIONE

Adobe consiglia agli utenti di aggiornare le proprie installazioni software seguendo le istruzioni riportate di seguito:

Adobe Reader

Gli utenti Windows e Macintosh possono utilizzare meccanismo di aggiornamento del prodotto. La configurazione di default è impostata per eseguire controlli di aggiornamento automatico a intervalli regolari. controlli di aggiornamento può essere attivata manualmente scegliendo Aiuto> Controlla aggiornamenti.

Gli utenti di Adobe Reader per Windows 9.x può anche trovare l'aggiornamento appropriato qui:

Gli utenti di Adobe Reader 10.xe 9.x per Macintosh possono anche trovare l'aggiornamento appropriato qui:

Dato che la  Modalità protetta di Adobe Reader X (10.x) potrebbe impedire ad un exploit di questo tipo di essere eseguito, Adobe sta pensando per affrontare questo problema in Adobe Reader X per Windows con il prossimo aggiornamento trimestrale di sicurezza per Adobe Reader, attualmente prevista per il 14 giugno 2011

Adobe Acrobat

Gli utenti possono utilizzare meccanismo di aggiornamento del prodotto. La configurazione di default è impostato per eseguire controlli di aggiornamento automatico a intervalli regolari. controlli di aggiornamento può essere attivata manualmente scegliendo Aiuto> Controlla aggiornamenti.

Acrobat Standard e Pro e 10.x 9.x gli utenti Windows possono anche trovare l'aggiornamento appropriato qui:

Acrobat Pro Extended 9.x gli utenti di Windows possono anche trovare l'aggiornamento appropriato qui:

Gli utenti di Acrobat Pro per Macintosh possono anche trovare l'aggiornamento appropriato qui:

LIVELLO DI GRAVITÀ

Adobe classifica queste come aggiornamenti critici e consiglia agli utenti interessati di aggiornare le proprie installazioni alle nuove versioni.

Adobe desidera ringraziare le seguenti persone e organizzazioni per aver segnalato i problemi specifici, e per lavorare con Adobe per aiutare a proteggere i propri clienti:

Mila Parkour, http://contagiodump.blogspot.com/ (CVE-2011-0611)
CERT Polska, http://www.cert.pl/ (CVE-2011-0610)
Baccas Paolo di Sophos http://www.sophos.it/ (CVE-2011-0610)

venerdì 22 aprile 2011

McAfee mette in guardia gli utenti, auguri di Pasqua con malware


Gli utenti di computer in tutto il mondo hanno ricevuto Lunedì falsi auguri di Pasqua con link a malware, secondo una ricerca di McAfee Labs ™. I cybercriminali spesso sfruttano gli attuali eventi per attirare l'attenzione degli utenti di computer, e questa volta stanno usando la festa cristiana imminente per distribuire messaggi pericolosi con link per rubare le password di programma. Fortunatamente, la minaccia è già stata identificata dal software McAfee che protegge i clienti contro di essa. Una e-mail che sembra essere una tipica e-card con una immagine colorata di un pulcino e uova di coniglio.

Rapporto sicurezza Verizon, attenzione ai keylogger e alle backdoor


Secondo il  rapporto Verizon 2011 Data Breach Investigations Report, nel 2010 e' stato toccato il record di violazioni informatiche. Hacking e malware hanno ripreso l'iniziativa e stanno giocando più sporco che mai. La criminalità informatica sta diventando più sociale e utilizza strumenti come i keylogger. Gli attacchi 'fisici', con manomissione di bancomat sono aumentati, fino a rappresentare quasi un terzo dei casi registrati (29 %). Come sempre, l'obiettivo di Verizon è che i dati e l'analisi presentata in questa relazione risultino utili per la pianificazione di sicurezza.

giovedì 21 aprile 2011

Profilo invita ad introdurre i dati dell'account Facebook su falsa pagina


Un altro tentativo di truffa su Facebook, sempre legato ai dati degli utenti. Si tratta della "tradizionale" truffa, che va sotto il nome di phishing, utilizzata per carpire in maniera truffaldina le informazioni degli internauti. Il metodo è sempre lo stesso, tramite pagine false di Facebook, inducono gli utenti ad inserire i loro dati per accedere al loro account, per poi rubare indirizzi e-mail ed inviare spam. Il funzionamento del phishing è molto semplice, infatti i malintenzionati postano un commento su una pagina che conta centinaia di migliaia d'utenti su Facebook, dove suggeriscono un link da seguire per poi inserire i dati personali, come mail e password di accesso.


Ecco cosa leggiamo su uno dei post in questione: "vai su www.colora******.altervista.org effettua l'accesso normalmente e vedi li puoi contattare lo staff c'è scritto in alto e fatti mettere l'account sotto controllo". Se introduciamo i nostri dati nella pagina farlocca, daremo in mano il nostro account allo spammer di turno, dopo essere rimandati alla home di Facebook (come rassicurazione per l'utente).


Il phishing è un messaggio o un sito web (come in questo caso) che cerca di ingannarvi presentandosi come una fonte legittima, ad esempio Facebook stesso, nell'intento di indurvi a rivelare i vostri dati personali. Per segnalare un sito web contraffatto a Google potete cliccare su questo link. Quando trovate una pagina che ne simula un'altra allo scopo di acquisire informazioni personali degli utenti, compilate il seguente modulo per segnalarla al team per la navigazione sicura di Google. Le informazioni contenute nella segnalazione verranno trattate in conformità alle norme sulla privacy di Google.


Il numero e la sofisticazione delle truffe di phishing inviato ai consumatori continua ad aumentare in modo drammatico. Se vi imbattete in un messaggio o link sospetto, non fornite le informazioni richieste e controllate sempre l'URL sulla barra degli indirizzi.

Facebook presenta nuovi strumenti per la sicurezza dell'account utente


Facebook ha annunciato una serie di modifiche di sicurezza che includono un nuovo sistema di autenticazione a due fattori e miglioramenti al supporto HTTPS. L'annuncio arriva a poche ore dalla pubblicazione di Sophos, leader mondiale nel settore della sicurezza informatica, d'una lettera aperta indirizzata ai vertici di Facebook. Sul blog Naked Security sono così stati indicati tre principi fondamentali, che Facebook dovrebbe intraprendere al più presto per garantire una maggiore sicurezza ai propri utenti.

1) PRIVACY DI DEFAULT
Non più condivisione di informazioni senza il consenso esplicito degli utenti (OPT-IN). Quando si aggiunge una nuova feature per la condivisione di ulteriori informazioni sugli utenti, bisogna richiedere l'esplicito consenso degli utenti ad ogni singola modifica delle opzioni di condivisione o del livello di accesso alle informazioni personali.

2) CONTROLLO PER GLI SVILUPPATORI DI APP
È facile diventare uno sviluppatore di applicazioni per Facebook. Con oltre un milione di sviluppatori di app già registrati sulla piattaforma Facebook, non sorprende che il servizio sia pieno di applicazioni malevole e scam virali. Solo sviluppatori di terze parti certificati ed approvati dovrebbero pubblicare app sulla piattaforma.

3) HTTPS PER TUTTO
Sophos apprezza l'introduzione dell'opzione HTTPS, ma è stata lasciata disattivata per default. Facebook dovrebbe assicurare una connessione sicura tutto il tempo, di default, non lasciando ai suoi iscritti il compito di attivarle. Anche peggio, Facebook si è impegnato a fornire una connessione sicura ogni volta che sarà possibile.


Nel frattanto Facebook rilancia il proprio Family Safety Center, che funziona come pagina centralizzata per le informazioni che riguardano la sicurezza degli account, la privacy, la possibilità di cancellare o bloccare amici su Facebook, di segnalare contenuti inappropriati, incrementando e migliorando tutta quella serie di informazioni che mette a disposizione di genitori ed insegnanti, e che questi ultimi dovrebbero ben conoscere per garantire, soprattutto ai ragazzi, sicurezza e privacy. Nelle prossime settimane sarà anche fornita una guida gratuita, scaricabile, per gli insegnanti, scritta da esperti di sicurezza come Linda Fogg Phillips, B.J. Fogg e Derek Baird, con la speranza che possa essere frutto di discussioni nelle aule scolastiche.


L'impegno di Facebook sul versante dei miglioramenti in termini di sicurezza deriva, in parte, dal coinvolgimento della compagnia con l'Amministrazione Obama nella crociata "anti-bullying" che interessa diversi siti ma anche molte celebrità statunitensi che si sono messe a disposizione nel promuovere la lotta alle sopraffazioni online. Seguendo le orme di Google, Facebook sta per aggiungere una funzione di autenticazione a fasi multiple, simile a quella recentemente introdotta da Google per Gmail. La funzione, che di default resterà comunque disabilitata, chiederà agli utenti di inserire un codice in aggiunta ai soliti username e password ogni volta che desiderano effettuare l'accesso al proprio account da un nuovo dispositivo. 


Se si attiva questa nuova funzione, Facebook vi chiederà di inserire un codice ogni volta che si tenta di accedere a Facebook da un nuovo dispositivo. Sul fronte della navigazione, Facebook ha modificato la propria funzionalità HTTPS in modo che il sito si commuti automaticamente se una applicazione dovesse richiedere la disabilitazione dell'HTTPS. Inoltre, con il nuovo strumento social reporting tools, sarà possibile da tutte le pagine (home page, profilo, gruppi, pagine ecc..) segnalare eventuali contenuti che violano il regolamento di Facebook. Non si tratta esattamente di quanto chiesto da Sophos e da altri operatori della sicurezza, ma Facebook dimostra di essere in grado di fare qualche passo in avanti se vuole.