sabato 31 dicembre 2011

Commtouch, report e infografica degli attacchi su Facebook nel 2011


Commtouch ha appena pubblicato una approfondita analisi degli attacchi nel 2011 all'interno di Facebook nel suo Internet Threats Trend Report, una sinossi a fine anno delle minacce provenienti da Internet. La relazione e l'infografica presenta un'analisi globale di decine di attività malevole su Facebook durante l'anno trascorso, come identificate dai laboratori Commtouch. Siti di marketing di affiliazione sono la destinazione finale in tre quarti di tutti gli inganni di Facebook, secondo il rapporto. 

I visitatori di questi siti sono indotti a compilare sondaggi che generano i pagamenti di affiliazione per i truffatori, vittimizzazione di imprese legittime che pagano le tasse di affiliazione. Gli utenti sono indotti a cliccare sulle truffe attraverso tattiche di social engineering quali offerte di merce gratis, celebrity news, nuove (false) applicazioni su Facebook, o semplicemente l'invio di un messaggio di un amico fidato che indica: "Bisogna vedere questo".

Facebook ha continuato a crescere nel 2011, aggiungendo oltre 200 milioni di utenti, per raggiungere oltre 800 milioni. La crescita e l'enorme base di utenti continua a rendere Facebook un bersaglio attraente per gli attacchi da parte di distributori di malware, truffatori e semplici burloni, cercando di diffondere messaggi a catena. Gli attacchi su Facebook possono essere generalmente suddivisi in tre parti:

1) L'ingegneria sociale - queste sono le false informazioni fornite nel messaggio o l'invito che ispira l'azione di un utente di Facebook. Potrebbe essere una libera offerta della carta regalo o la promessa del video di una ragazza in bikini. Gli utenti devono seguire un link, o fare clic su "Like" per vedere un video scioccante / stupefacente o foto o video, o inoltrare un messaggio a catena per farlo conoscere agli altri utenti. Una truffa spagnola si traduce ad esempio in "Guardate cosa succede".

2) L'ulteriore diffusione - una volta che l'utente iniziale è stato agganciato, l'attacco ha bisogno di diffondersi. Questo è di solito realizzato con i post bacheca che si vedono dagli amici della vittima. Questi amici poi seguono i link, perpetuando ulteriormente l'attacco. Una parte importante dell'ecosistema di Facebook (e spesso utilizzato per diffondere gli attacchi) è il pulsante "Like". Quando un utente piace un link o un post, tutti i suoi amici vedono il like sui propri feed di notizie. Il gradimento di una pagina (società, cantante, cybercriminale) dà a questa pagina anche il diritto di pubblicare aggiornamenti visibili sulla bacheca dell'utente.

3) L'obiettivo dell'attacco - Chi ha avviato l'attacco ha uno scopo finale - potrebbe semplicemente essere quello di deturpare i profili utente con il maggior numero possibile di immagini pornografiche e violente. Spesso l'obiettivo è quello di portare gli utenti a pagine di marketing di affiliazione, che guadagnano le entrate attaccanti. Dagli attacchi segnalati nel 2011, 70 sono stati analizzati per determinare la distribuzione all'interno delle tre parti di cui sopra.

Jan 2012 Threats Trend Report

View more presentations from Commtouch

Dopo che i primi utenti hanno fatto clic sulle truffe, malware o script dannosi, avviene l'ulteriore diffusione e poco più della metà delle truffe analizzate rientrano in tre categorie principali:. likejacking, applicazioni rogue, e malware o "auto-XSS", ognuna delle quali è descritta nella relazione. Nel 48% dei casi, gli utenti inconsapevoli sono essi stessi responsabili della distribuzione dei contenuti indesiderati cliccando su "Like" o pulsanti "Share". 

"I truffatori su Facebook sono fuori per fare soldi, e il marketing di affiliazione è una ricca fonte", ha detto Amir Lev, Chief Technology Officer di Commtouch. "Le stesse tecniche di ingegneria sociale che i distributori di malware e gli spammer hanno usato per anni per indurre le persone ad aprire la posta indesiderata o cliccare su link pericolosi vengono sfruttate all'interno di Facebook e altre reti sociali popolari per guadagni illeciti".

Oltre alle minacce su Facebook, la relazione esamina le minacce Web, phishing, malware e spam per tutto l'anno. Il contenuto del rapporto si basa su dati provenienti da Commtouch’s GlobalView Network, che tiene traccia e analizza miliardi di transazioni Internet tutti i giorni. Il rapporto descrive la tendenza dell'esplosione della posta elettronica-malware nel terzo trimestre del 2011 ai più alti livelli osservati in più di due anni, seguito dalla sua successiva discesa a precedenti livelli bassi durante il quarto trimestre. 

Mentre le email con malware allegato sono un ruscello, i messaggi e-mail con i link di malware ospitati su siti web compromessi aumentato in modo significativo, con temi come le notifiche di consegna pizza e itinerari della compagnia aerea per ingannare i destinatari a fare clic sui link maligni. Maggiori dettagli, compresi i campioni, le statistiche e una breve presentazione che riassume il trend report sono disponibili qui. L'infografica è disponibile qui. Il download del rapporto in formato PDF è disponibile qui.


Informazioni su Commtouch
Commtouch è una società di sicurezza leader a livello mondiale e fornitrice di servizi cloud-based di sicurezza. Commtouch ® fornisce comprovata tecnologia di sicurezza Internet per oltre 150 società di sicurezza e fornitori di servizi di cui 1 & 1, Check Point, F-Secure, Google, Microsoft, Panda Security, Rackspace, US Internet, WatchGuard e Webroot, per l'integrazione nelle loro soluzioni. GlobalView ™ di Commtouch e il brevetto di tecnologia Recurrent Pattern Detection ™ (RPD ™) si fondano su un approccio unico cloud-based, per proteggere in modo efficace in tutte le lingue e formati. Command Antivirus di Commtouch utilizza un approccio multi-level per fornire il rilevamento del malware e prestazioni leader del settore.

venerdì 30 dicembre 2011

Hackerville: la capitale mondiale delle truffe sul Web si trova in Romania


Città piena di verde ai piedi dei Carpazi, nel centro della Romania, Ramnicu Valcea è lontano dall'essere il luogo di pace che immaginiamo con i suoi grandi viali verdi. La capitale del crimine informatico, si chiama "Hackerville". "Non c'è nulla da essere orgogliosi", dice Stelian Petrescu, un professore di geografia. "Ramnicu Valcea è probabilmente la città rumena più famosa negli Stati Uniti".

"Gli americani non avevano idea del mio paese a parte la regione della Transilvania e la leggenda di Dracula. Ma ora è la mia città che è diventata la stella a causa di questi giovani che rubano su Internet. Qui non è più Ramnicu Valcea ma Hackerville ", racconta la quotidiano Le Monde. Le frodi in Rete sono diventati lo sport locale in questa città che la stampa americana definisce come la "Silicon Valley del furto su Internet".

Secondo la polizia rumena, l'80% delle frodi fatte in Romania hanno come target gli americani. Ecco perché, Mercoledì 7 dicembre, il direttore dell'FBI Robert Mueller, ha visitato Bucarest. Dopo un breve passaggio al palazzo presidenziale e poche parole con il presidente Traian Basescu, il signor Mueller ha visitato la polizia, il procuratore generale ed i servizi di intelligence.

"Le minacce più gravi che abbiamo di fronte sono transnazionali", ha detto. Nessun paese e nessuna agenzia può combattere da soli contro queste minacce, sia il reato terrorismo, traffico di droga e computer". Il quartiere Ostroveni, roccaforte di hacker si trova a sud della città, la notizia della visita non ha provocato alcuna reazione. Le incursioni della polizia, arresti e le visite dei giornalisti da tutto il mondo sono comuni in questo quartiere dove la gente ancora preferisce mantenere l'anonimato.

Ramnicu Valcea
"Ma cosa possiamo fare!", esclama George, che ha appena ottenuto la laurea in management. Non c'è lavoro qui. Il governo parla solo di crisi, tagli salariali e stringere la cinghia. Io ho 24 anni e per tutti gli anni al college ho stretto la cinghia. Ho degli amici nel quartiere che incassano decine di migliaia di dollari. D'accordo, rubano in Rete, ma almeno riescono a caversela. E io devo lavorare tutta la mia vita per niente".

"Cosa faresti al mio posto?". Nonostante i numerosi arresti fatti dalla polizia negli ultimi anni, Ramnicu Valcea è un fulcro di reati informatici i cui tentacoli si sviluppano in diversi continenti. Nei primi anni 2000, i giovani "Hackerville" erano talmente ingenui da comunicare i numeri dei conti delle loro vittime in Romania, permettendo alla polizia di individuarli rapidamente. Oggi le cose sono cambiate.

La discrezione è d'obbligo e la cancellazione delle tracce è diventata un'arte. Gli hacker hanno costruito reti transnazionali molto ben organizzate e spesso usano quelle che chiamano "frecce". Una "freccia" è un intermediario la cui missione è quella di aprire un conto nel paese in cui si trova. Riceve denaro nel suo conto che le vittime pagano in Rete per l'acquisto di un prodotto o un servizio che non esiste, perché mantiene una percentuale e gira tutto il resto per conto di un'altra "freccia" in un altro paese.

E così via fino all'ultimo "boom" che trasmette la somma finale al cervello dell'operazione. Nel centro di Ramnicu Valcea, possiamo vedere più di venti uffici della società Western Union, specialista in trasferimento di denaro. Una ondata di prosperità ha soffiato in città. Club e bar dove gli hacker passano le notti sono sorti come funghi.

Romanian Police

Nel 2010, a Budesti, un piccolo villaggio alle porte della città, Mercedes-Benz ha aperto un salone dell'arte auto di 2700 mq. Gli hacker sono pazzi per Audi e BMW. A quanto pare, le regolari incursioni della Brigata Speciale "Vlad l'Impalatore" della polizia rumena non hanno alcun effetto. L'ultima, che ha avuto luogo il 22 novembre, ha coinvolto diverse città, tra cui Ramnicu Valcea.

"Venticinque persone, tra i 18 e i 35 anni, sono stati arrestati per aver causato danni a 120.000 utenti negli Stati Uniti, Svizzera, Francia, Austria e Germania", ha detto il procuratore Danusia Boicean. Essi mirano a creare falsi siti di aste eBay per vendere prodotti elettronici, auto e persino i trattori". Nel mese di luglio, gli ufficiali della polizia rumena e l'FBI sono intervenuti e hanno arrestato 23 pirati informatici che sono riusciti a truffare migliaia di americani per la somma di 20 milioni di dollari (15,3 milioni di Euro).

"Infine, in questi tempi di crisi, questi ragazzi riescono a guadagnare in Romania. Ho ancora da ammettere che c'è qualcosa di positivo nel loro approccio", osserva Giorgio. Un po' e' come passare per gli hacker patriottici. George non si è ancora infilato nel loro accampamento, ma sembra molto attratto. Il successo dimostrato, attrae i giovani come una calamita diventare gli hacker Ramnicu Valcea.

 La loro influenza si fa sentire fino Dragasani, una cittadina a un centinaio di miglia a sud. Qui, come in "Hackerville" le macchine avanzate hanno aumentato, indicando che le persone sempre più giovani si "convertono". Ma l'FBI ha già formato più di 600 poliziotti rumeni per frenare questa piaga. George sorride e indica una citazione di Seneca sopra il suo computer: "Questo  non è perchè le cose sono difficili che non osiamo, è perchè non osiamo che sono difficili", parola di hacker del futuro.

giovedì 29 dicembre 2011

Vulnerabilità in ASP.NET può consentire attacco DDos, patch a breve


Il 29 dicembre 2011, alle 10:00 ora del Pacifico Microsoft rilascerà un aggiornamento out-of-band di protezione per risolvere una falla critica di sicurezza (CVE-2011-3414) che si trova in ASP.NET, che colpisce tutte le versioni supportate di .NET Framework, che potrebbe consentire un attacco denial-of-service (DDoS) su server che servono pagine ASP.NET. Questi attacchi che sfruttano le tabelle hash, conosciuti come hash collision attacks, non sono specifici di tecnologie Microsoft, ma altri fornitori software di web service potrebbero risentirne. In un advisory pubblicato Mercoledì , il produttore di software ha detto che era consapevole del fatto che informazioni dettagliate erano state pubblicate per descrire gli attacchi di collisione hash.

Ed ha osservato: "[La vulnerabilità] interessa tutte le versioni di Microsoft NET framework e può condurre ad un attacco tipo denial-of-service non autenticato sui ​​server che servono le pagine ASP.NET. La vulnerabilità è dovuta al modo in cui ASP.NET processa i valori in un modulo post ASP.NET causando una collisione hash. E' possibile che un utente malintenzionato invii un piccolo numero di messaggi appositamente predisposto a un server ASP.NET, causando la degradazione in modo significativa delle prestazioni sufficienti a causare una condizione di negazione del servizio [DDos]". Anche se le informazioni sono già all'esterno e gli hacker potrebbero approfittarne, Microsoft è a conoscenza di attacchi attivi che si basano su questo difetto.



Fino a quando l'aggiornamento non verrà rilasciato, gli utenti dovrebbero sapere che per default IIS non è abilitato per le versioni attualmente supportate dal sistema operativo e i siti che non consentono application / x-www-form-urlencoded o multipart / form-data di contenuto types HTTP non sono suscettibili di un attacco. Fondamentalmente, i siti che servono solo contenuto statico o quelli che respingeono i tipi di contenuti dinamici di cui sopra non sono vulnerabili. Per aggirare il problema, Microsoft ha suggerito agli operatori Web configurare il limite della dimensione massima richiesta che ASP.NET accetta da un cliente, pena la diminuzione della suscettibilità di tali attacchi. Microsoft ha lavorato con i partner nel suo Active Protections Program (MAPP).

L'aggiornamento verrà reso disponibile per tutte le versioni di Windows, incluso Windows XP Service Pack 3, Windows Server 2008 e Windows 7 per sistemi a 64 bit. A tutti gli utenti del sistema operativo Windows si consiglia di installare l'aggiornamento al più presto appena verrà rilasciato per evitare spiacevoli incidenti. Per ora non ci sono ulteriori dettagli sul problema che riguarda Windows 7 64-bit, ma a giudicare da quello che Microsoft ha rivelato sul suo blog tedesco la scorsa settimana, è improbabile che qualcosa verrà rilasciata molto presto. Michael Kranawetter non ha fornito altri dettagli ed ha detto che "le indagini sono ancora in corso, perchè i passi necessari da intraprendere non sono ancora stati definiti". Il gigante del software pubblicherà una patch, una volta completa la sua indagine.


Informazioni su ASP.NET
ASP.NET è una tecnologia Microsoft che lavora con file compilato interpretato dal server e restituito come HTML. ASP.NET è molto produttivo per quanto riguarda lo sviluppo di Web applicazioni. La migliore programmazione enviroment per la maggior parte delle applicazioni web è ASP.NET. Per applicazioni Web, ASP.NET consente l'utilizzo di Visual Studio, che offre molti vantaggi e aiuta il programmatore a creare applicazioni in modo rapido. Lo sviluppo di applicazioni Web, ad esempio con Java, richiede più tempo per la sua maggiore difficoltà, e questo si traduce in minor produttività. Inoltre, le innumerevoli componenti ASP.NET sono già disponibili per l'uso, e questa disponibiltà diminuisce anche il tempo necessario per lo sviluppo di una nuova applicazione.

Malware PDF protetti con crittografia AES-256, consigli protezione


Adobe Systems ha rilasciato un aggiornamento di sicurezza per Adobe Reader e Acrobat 9.x per Windows il 16 dicembre 2011, al fine di fissare un vulnerabilità zero-day. Come Vikram Thakur ha riportato recentemente, ci sono stati attacchi zero-day cha hanno sfruttato la vulnerabilità PDF, attraverso il cavallo di troia Backdoor.Sykipot scaricato sul computer compromesso. Gli esperti di Symantec hanno trovato un'altra variante del malware nel PDF cattivo che utilizza la stessa vulnerabilità. Questa versione di malware in formato PDF utilizza un metodo di crittografia che si trova nativamente nelle specifiche PDF. Come ha scritto Kazumasa Itabashi nel suo PDF Malware Whitepaper, il metodo di crittografia utilizzato dai malware in formato PDF è cambiato da RC4 ad AES.

La chiave di crittografia AES specifica è a 128 bit di lunghezza. Tuttavia, questa variante adotta AES-256 come metodo di crittografia, con una lunghezza della chiave di 256 bit. La specifica per il metodo di crittografia AES-256 utilizzata in un PDF è descritta come una estensione della versione PDF specifica di ISO32000. E' possibile scaricare il file PDF del documento esteso dal sito Web di Adobe. L'algoritmo utilizzato per creare una chiave di cifratura in un documento PDF è stato alterato da quelli di RC4 e AES. Inoltre, sono disponibili nuove parole chiave attraverso l'estensione. L'immagine sottostante mostra l'oggetto che ha memorizzato i parametri per decifrare il documento. "/ AESV3" specifica che il contenuto delle stringhe e le stringhe sono cifrate con l'algoritmo AES-256 nel documento PDF.


Questo malware ha utilizzato la vulnerabilità in Adobe Acrobat e Reader di corruzione della memoria U3D (BID 50922). Questa vulnerabilità riguarda dati tipo U3D e il flusso dati dei documenti in formato PDF, come mostrato nell'immagine seguente.


Questo oggetto U3D è un'altra opzione: "/ Filter / FlateDecode", che specifica che il flusso di dati che vengono compressi utilizzano il formato di dati compresso Deflate. Quindi bisogna decifrare i dati AES-256 criptati, e poi decomprimerli, al fine di indagare i dati U3D. I prodotti Symantec rilevano questi campioni come Bloodhound.Exploit.439. I PDF malware che sfruttano le vecchie vulnerabilità, ma con crittografia AES-256, vengono rilevati. Symantec raccomanda di restare al sicuro mantenendo le definizioni dei virus aggiornate. Gli utenti di Adobe Reader e Acrobat versione 9.x per Windows dovrebbero anche aggiornare alla nuova versione il più presto possibile.

Inoltre, Adobe Reader X in modalità protetta e Adobe Acrobat X visualizzazione protetta impediscono un exploit del tipo che ha attualmente come target l'esecuzione di questa vulnerabilità.  Adobe consiglia agli utenti di Adobe Reader 9.4.6 e versioni precedenti 9.x per Windows l'aggiornamento ad Adobe Reader 9.4.7. Adobe consiglia agli utenti di Adobe Acrobat 9.4.6 e versioni precedenti 9.x per Windows l'aggiornamento ad Adobe Acrobat 9.4.7. E' possibile utilizzare il meccanismo di aggiornamento del prodotto. Gli utenti possono anche trovare l'aggiornamento appropriato qui. Il Symantec Security Response incoraggia tutti gli utenti di osservare le seguenti norme fondamentali di sicurezza (buone pratiche):
  1. Utilizzare un firewall per bloccare tutte le connessioni in ingresso da Internet ai servizi che non dovrebbero essere disponibili al pubblico. Per impostazione predefinita, si dovrebbe negare tutte le connessioni in entrata e permetterle solo servizi che esplicitamente si vogliono offrire al mondo esterno.
  2. Applicare una politica di password. Le password complesse rendono più difficoltoso l'accesso a file protetti su computer compromessi. Questo aiuta a prevenire o limitare i danni quando un computer è compromesso.
  3. Assicurarsi che i programmi e gli utenti del computer utilizzano il più basso livello di privilegi necessari per completare un compito. Quando viene richiesta una password di root o UAC, assicurarsi che il programma che chiede l'amministrazione a livello di accesso sia un'applicazione legittima.
  4. Disabilitare l'AutoPlay per evitare il lancio automatico dei file eseguibili in rete e le unità rimovibili, e scollegare le unità quando non è necessario. Se l'accesso in scrittura non è necessario, attivare la modalità di sola lettura se l'opzione è disponibile.
  5. Disattivare la condivisione di file, se non necessaria. Se la condivisione file è necessaria, utilizzare le ACL e la protezione tramite password per limitare l'accesso. Disabilitare l'accesso anonimo alle cartelle condivise. Concedere l'accesso solo agli account utente con password di cartelle che devono essere condivise.
  6. Spegnere e rimuovere i servizi non necessari. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono critici. Questi servizi sono viali dell'attacco. Se vengono rimossi, le minacce hanno meno viali dell'attacco.
  7. Se una minaccia sfrutta uno o più servizi di rete, disattivare o bloccare l'accesso a tali servizi, fino a quando viene applicata una patch.
  8. Tenere sempre i livelli di patch up-to-date, in particolare sui computer che ospitano servizi pubblici e sono accessibili attraverso il firewall, come HTTP, FTP, posta elettronica e servizi DNS.
  9. Configurare il server di posta elettronica per bloccare o rimuovere e-mail che contengono i file allegati che vengono comunemente utilizzati per diffondere minacce come .Vbs, .Bat, .Exe, .Pif e .Scr.
  10. Non aprire gli allegati sconosciuti a meno che non si stiano aspettando e non eseguire software scaricati da Internet se non sono stati sottoposti a scansione antivirus. Inoltre, non accettare le applicazioni che non sono firmate o inviate da fonti sconosciute.

martedì 27 dicembre 2011

Non piace Timeline? Come visualizzare il vecchio profilo Facebook


Facebook sta proseguendo nella distribuzione del profilo Timeline agli utenti di Facebook. Sono però in molti a non trovarsi a proprio agio col nuovo Diario. Alcuni lo trovano confusionario, ad altri non piace. Come riporta Helsingin Sanomat, molti finlandesi hanno addirittura disattivato il loro account temendo che si trattasse d'una violazione di sicurezza. Inoltre molti non accettano il sistema opt-out adottato da Facebook.

Anche per questo, se effettuiamo una ricerca su Internet, troviamo molti articoli su come disabilitare la Timeline di Facebook, ma gran parte di questi si riferiscono alla Timeline Beta, cioè quando era nella versione per solo sviluppatori. Infatti era sufficiente andare alla pagina developers.facebook.com/apps, cliccare su Edit App e rimuovere l'applicazione. Alcuni, tra i metodi proposti, hanno indicato come via possibile la disattivazione del proprio account Facebook, ma anche questo non funziona.

Anche se sono in tanti ad apprezzare il nuovo Diario, ci aspettiamo che gli scammer sfrutteranno l'esigenza di coloro che al contrario non sono soddisfatti. Questo per diffondere le loro truffe attraverso presunti metodi o fantomatiche procedure (come per la vecchia chat Facebook) appena il social network completerà l'aggiornamento per tutti i profili. Abbiamo deciso dunque di indicare le uniche vie attualmente possibili per coloro che volessero ritornare al vecchio profilo.

A quanto pare Facebook Timeline ha problemi di compatibilità con vecchi Web browser, più specificatamente con Internet Explorer 7, che fornisce la possibilità di tornare al vecchio classico profilo di Facebook a cui siamo tutti abituati. Quindi ciò significa che se possiamo trovare un modo per dire a Facebook che stiamo usando IE7, in modo automatico senza modificare nulla nel nostro profilo, potremo accedere di nuovo al nostro profilo classico.

Ma come si può fare? Nessuno vuole utilizzare un software obsoleto con falle di sicurezza, per cui ci rivolgiamo a qualcosa che si chiama User Agent Switcher. Questa è una estensione plugin che ci viene in aiuto o anche come "impostazione software", a seconda del Web browser che si utilizza, attraverso le quali è possibile configurare il browser per far finta (simulare) che si tratta di qualche altro software browser, in questo caso Internet Explorer 7.

Prima di continuare, specifichiamo che questa è solo una soluzione e non sappiamo per quanto tempo continuerà a funzionare. In realtà non si và a disattivare la Timeline, ma stiamo solo "dicendo" a Facebook che il nostro browser è una versione precedente e dunque non supporta la funzione Timeline, e così Facebook risponde con una versione compatibile del sito. Il vecchio profilo sarà inoltre visualizzabile solo a coloro che avranno effettuato la procedura.

PureInfotech ha trovato tre modi per far ciò, quindi ha scelto i più facili. La nostra raccomandazione è quella di utilizzare Safari, perché è facilissimo, ma è possibile ottenere lo stesso risultato con Firefox e Chrome, anche se in questo caso ci vorranno un maggior numero di passaggi.

Come disattivare Facebook Timeline su Firefox

1. Scaricate l'estensione User Agent Switcher che permette di cambiare in tempo reale l'identificatore del browser
2. Installatela e quindi riavviate Firefox per completare l'installazione.
3. Se non vedete l'icona del plugin nella barra di navigazione, fate clic col pulsante destro del mouse sulla barra di navigazione e selezionate Personalizza... (in alternativa pulsante Firefox arancione, Opzioni, Personalizza barra degli strumenti)
4. Cercare il pulsante plugin e drag & drop lo trascinate sulla barra di navigazione.
5. Ora, è sufficiente fare clic sul pulsante User Agent Switcher e navigare tramite Internet Explorer, selezionare Internet Explorer 7.

6. Infine andare a Facebook.com e log-in al profilo e dovreste vedere il vostro vecchio profilo.

Se si hanno ancora problemi qui di seguito un video per la guida all'installazione del plug-in:



Importante: Non dimenticare di tornare alle vecchie impostazioni una volta che si è fatto uso di Facebook con un clic sul pulsante User Agent Switcher e scegliete User Agent di default per evitare che altri siti Web vengano visualizzati in modo errato.

Come disattivare Facebook Timeline su Safari

1. Se non avete Safari installato nel vostro sistema andate a questa pagina - apple.com/safari/download , scaricare l'ultima versione del browser Web Safari e installatelo.
2. Lanciate Safari, cliccate il tasto Alt per visualizzare tutti i menu.
3. Andate su Sviluppo (se non lo visualizzate aggiungetelo nel menù da Impostazioni, Preferenze, Avanzate), cliccate su User Agent e selezionate Internet Explorer 7.0.


4. Visitate il vostro profilo di Facebook e il profilo classico dovrebbe ora essere lì.

Importante: Per tornare alle impostazioni di default, è sufficiente riavviare il browser Web.

Come disattivare Facebook Timeline su Chrome

L'utilizzo di Google Chrome può essere un pò difficile per alcuni utenti, ma non è impossibile. Se non siete disposti ad andare manualmente avanti e indietro con questo metodo, vi consigliamo prima di creare un profilo Google Chrome manualmente e utilizzarlo solo per accedere a Facebook.

1. Andate su Start, fate una ricerca per Chrome e dai risultati cliccate col tasto destro del mouse su Google Chrome e selezionate Proprietà.
2. Nel campo Destinazione, aggiungere il seguente alla fine del percorso che è già presente (aggiungere uno spazio tra chrome.exe e la riga seguente):

Windows Vista e Windows 7

--user-agent="Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"

Utenti di Windows XP

--user-agent="Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"

Dopo aver aggiunto la linea al di sopra del campo Destinazione dovrebbe essere simile a questa:

C:\Users\your-username\AppData\Local\Google\Chrome\Application\chrome.exe --user-agent="Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"


3. Al termine, fare clic su Applica e poi OK.
4. Riavviare Google Chrome e fate log-in al vostro account Facebook e il vecchio profilo dovrebbe essere lì.

Se si hanno problemi, un video su come aggiungere una riga di comando a Google Chrome:



Come disattivare Facebook Timeline su Internet Explorer 7

Ovviamente nessun trucco qui, se si sta ancora utilizzando il Web browser IE7, fare log-in al proprio account Facebook e il vostro classico profilo dovrebbe essere lì.

Attenzione: C'è la possibilità che il vostro profilo di Facebook potrebbe non essere visualizzato correttamente al 100%, ma funziona ancora e per chi è interessato vale la pena di provare.

domenica 25 dicembre 2011

Pluginjacking, non installate addon sconosciuti diffusi su Facebook


Ultimamente, abbiamo notato una nuova tendenza riguardo il metodo di diffusione delle truffe su Facebook. Se prima i truffatori sfruttavano come metodi di attacco likejacking, clickjacking, tagjacking, applicazioni rogue, l'abuso dei messaggi e chat di Facebook, le ultime che sono state individuate utilizzano le estensioni canaglia del browser (spesso chiamate addon o plug-in) per propagarsi su Facebook. Ciò si verifica in genere quando il truffatore induce gli utenti a scaricare ed installare quello che sembra essere una applicazione tema o il plugin necessario per guardare un video imperdibile. E dopo la truffa che darebbe la possibilità di cambiare l'aspetto del profilo Facebook, una nuova truffa ancora tema "natalizio" sta facendo il giro tra gli utenti del social network.


La truffa dal titolo "Free Christmas Theme for Facebook” ("Libero Tema Natale per Facebook") ha un messaggio che dice – “Get Christmas Theme for FB on [link] <<—Free Christmas Theme for all FB users”. La truffa si sta diffondendo in diverse versioni. Un'altra versione simile della truffa ha il seguente titolo - "Prendi tutti i nuovi temi di Santa Claus per Natale", seguita dalla descrizione stessa.


Il link porterà ad una pagina fan facebook dove verrà mostrato un URL abbreviato (bit.ly) e immediatamente si verrà reindirizzati ad una pagina esterna su blogspot con il titolo "Free Tema Natale". Allora verrà chiesto di installare un plugin per caricare il tema. La trappola del plugin del browser serve per diffondere i messaggi di spam e messaggi simili ai nostri amici.


Il pugin può anche monitorare la nostra attività su Internet e raccogliere tutte le nostre username e password e di inviarle all'autore del plugin. Come possiamo leggere nel centro assistenza di Facebook, sono in molti a lamentare il problema.


Come abbiamo detto più volte, installare solo applicazioni di Facebook da fonti attendibili e ben note. Lo stesso vale per le estensioni del browser. Prestare dunque particolare attenzione alle valutazioni degli utenti e le recensioni, il numero di download e fate una piccola ricerca prima di installare l'addon, che potrebbe risparmiare molti problemi. Nella maggior parte dei casi, la riuscita di questo nuovo attacco (che abbiamo chiamato "pluginjacking"), dipende dall'utente che dovrà dare il consenso all'installazione del plug-in malware. In buona misura, sarebbe opportuno cambiare la password di Facebook ed eseguire, possibilmente, una scansione completa del sistema con un software antivirus. Per la rimozione dell'estensione potete seguire le indicazioni illustrate in questo precedente post.

Facebook sta testando messaggi privati ​​tra utenti e pagine aziendali


Facebook starebbe testando una nuova funzione sul proprio sito, che porterà la messaggistica privata per le sue pagine una volta lanciata. La notizia arriva direttamente da WeAreSocial.sg - Una agenzia di comunicazione, che ha parlato di un test per la messaggistica privata di alcune pagine di Facebook in Asia. Il social network ha poi confermato al sito Inside Facebook. Un’opzione simile a quanto è già possibile fare su Twitter. Sul sito di microblogging, infatti, le aziende possono semplicemente comunicare con i propri follower attraverso i messaggi privati  (precedentementi noti come DM o Messaggio Diretti).

A prima vista la nuova funzionalità appare come un ripristino di qualcosa di simile non più disponibile, cioè la possibilità di scambiare messaggi privati ​​con i membri della rete sociale attraverso l'invio degli aggiornamenti dalle pagine. Attualmente per poter contattare l'amministratore di una fanpage Faebook, l'unico modo per farlo è quello di inviare il proprio messaggio sulla bacheca della pagina. La messaggistica privata è assente quando si tratta di fanpage, quindi per trasmettere la propria domanda bisogna renderla pubblica o cercare altri modi per contattare l'amministratore della pagina.


Anche se questo può apparire una piccola aggiunta, le implicazioni sono in effetti molto significative: queste dei  messaggi privati renderà molto più facile per i marchi di interagire con i fan e - criticamente - denunciare, in maniera più diretta e individuale. Quando un visitatore clicca sul pulsante Messaggio in una pagina, si aprirà una semplice finestra di dialogo che permetterà loro di inserire un messaggio:


Si tratta di un aggiornamento relativamente semplice, ma molto potente. In primo luogo, dà al marketing un modo per collegarsi con i clienti e viceversa. Tuttavia, va notato che gli amministratori delle pagine non potranno utilizzare questa funzione per avviare il contatto. Come tale, i marchi non potranno usare la loro fanpage per inviare messaggi di spam.


Vale la pena sottolineare qui che il visitatore non ha bisogno di fare 'Like' sulla pagina per mandare un messaggio privato; la funzionalità sembra essere aperta a tutti. Una volta che un visitatore ha inviato un messaggio alla pagina, viene aggiunto all'area Messaggi del visitatore, proprio come un messaggio che si è inviato al profilo personale di un amico



Cliccando sulla freccia Messaggi, gli amministratori della pagina potranno vedere una breve panoramica dei messaggi che hanno ricevuto prima di decidere se rispondere subito o meno.


Inoltre, se si sta utilizzando Facebook come una pagina, si riceveranno le notifiche nella barra delle notifiche globale anche per i messaggi.


Facendo clic su un messaggio di un visitatore da una pagina Admin sarà possibile rispondere nuovamente. L'interfaccia di risposta della pagina è pressoché identica a quello cui si è abituati con i messaggi privati ​​tra utenti.


Una volta che la pagina ha risposto, il visitatore originale riceva la notifica di messaggio della pagina esattamente nello stesso modo in cui si è ricevuto un messaggio dal profilo personale di un amico.


Come spiega Facecrooks, "la vera forza della funzione sta nella sua capacità di dare agli utenti di Facebook la possibilità di porre domande privatamente e non pubblicamente come accadeva in precedenza. Per esempio, se si sta andando in vacanza e si vuole chiedere alla propria agenzia di viaggi alcune domande attraverso la loro fanpage". Attualmente, l'unico modo per farlo è quello di inviare il messaggio sulla bacheca della pagina. Questo problema è particolarmente aggravato dal fatto che il motore di ricerca Google esegue la scansione dei contenuti da commenti come quelli sulle fanpage.

In primo luogo, col nuovo sistema di messaggistica è più sicuro. E' inutile e porbabilmente dannoso, per perfetti sconosciuti di sapere che si sta progettando un viaggio e la pubblicazione sulle bacheche delle fanpage fà esattamente questo.  L'unico aspetto negativo è che gli amministratori delle pagine potrebbero dover affrontare un bel po' di problemi riguardanti alcuni utenti indisciplinati. Eppure, i vantaggi di avere una bella funzionalità superano di gran lunga gli svantaggi. L'unica cosa che davvero sorprende è quanto tempo Facebook si sia preso per applicare concretamente questa funzione.

Crediti immagini: We Are Social Singapore

Scam: "cambia il tema del profilo Facebook con quello di Natale"


Con la distribuzione del nuovo profilo Timeline, i truffatori non hanno perso tempo ed una nuova truffa individuata da Protezione Account sta facendo il giro tra gli utenti di Facebook. La truffa dal titolo: "Change Your Fb Theme To Christmas Theme" ("Cambia il tema Fb con il Tema di Natale") , fornirebbe la possibilità di installare e cambiare il tema di fondo del proprio profilo con uno sfondo a "tema natalizio". I post che vengono condivisi sulla bacheca riportano lo stesso titolo della pagina:


Se clicchiamo sul link veniamo rimandati alla tab della pagina dove ci viene chiesto per prima cosa di cliccare "Mi piace" per poter installare il tema. Dopo verremo invitati esprimere il nostro "Like" su altre 40 pagine.


Il successivo passo sarà quello di condividere ed invitare i propri amici online


Dunque scegliere il nostro colore e cliccare sul pulsante gigante di color rosso


Se clicchiamo verremo rimandati ad una pagina esterna a Facebook, dove ci verrà presentato uno dei "soliti" sondaggi truffa


Per continuare dovremo verificare che siamo "umani" e non dei bot. Se procediamo verremo rimandati ad una pagina di abbonamento a suonerie per cellulari, dove ci verrà chiesto di completare un quiz per partecipare all'estrazione del "nuovissimo" ??!! iPhone 3GS


In realtà non installeremo nessun tema natalizio ma avremo contribuito a diffondere la truffa, espresso il nostro "like" a pagine sconosciute e sottoscritto un abbonamento di 5 euro a settimana sul nostro telefonino. Per coloro che sono caduti nella truffa, andate sul post in bacheca e, dopo aver cliccato sul link, rimuovete il vostro "Mi piace" cliccando sulla "x" per ciascuno dei 40 pulsanti (se necessario aggiornate la pagina premendo F5)


Ritornate sulla vostra bacheca ed eliminate il post cliccando sulla matita in alto a destra del post (per i nuovi profili)


Se avete sottoscritto l'abbonamento potete inviare un SMS con scritto [NOME SERVIZIO] + [STOP] al numero indicato sulla pagina del Quiz o contattare il vostro operatore telefonico per chiedere la sospensione del servizio. Ovviamente non è possibile cambiare il tema al proprio profilo Facebook. In passato vi erano dei plug-in per browser, ma alcuni sono stati eliminati ed altri non sono compatibili col nuovo Diaro. Per tenervi aggiornati sulle truffe potete seguite Protezione Account su Facebook.

sabato 24 dicembre 2011

Kaspersky Lab presenta la situazione malware al mese novembre 2011


Kasperky Lab ha pubblicato il rapporto mensile dei malware in circolazione e attacchi in rete a novembre 2011. Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:
  • sono stati respinti 204.595.286 attacchi della rete;
  • sono stati bloccati 89.001.505 tentativi di infezione via Internet;
  • sono stati individuati e neutralizzati 238.045.358 programmi malware (tentativi di infezione locale);
  • sono state registrate 98.047.245 attivazioni di analisi euristiche.
Per quanto riguarda le minacce più classiche, novembre si è rivelato un mese relativamente tranquillo. Gli autori di programmi dannosi hanno continuato a sviluppare le tecnologie esistenti, mentre i programmatori di virus non hanno fatto registrare invenzioni di rilievo.

TOP 10 dei malware in Internet

L'argomento del mese: DUQU, indagini in corso

A novembre il trojan Duqu, individuato in settembre e reso noto al pubblico in ottobre, è restato saldamente al centro dell'attenzione degli esperti e dei mass media. La principale ragione di tanto interesse è stata l'individuazione del metodo di intrusione di questo programma dannoso nei sistemi attaccati. L'attacco veniva condotto attraverso la posta elettronica per mezzo di un documento MS Word contenente l'exploit per una vulnerabilità in precedenza sconosciuta del sistema operativo Windows. L'errore nel componente di sistema win32k.sys consentiva di eseguire il codice dannoso dal file con i privilegi di amministratore.

Questa scoperta costituisce l'ennesimo parallelo tra Duqu e Stuxnet poiché anche quest’ultimo sfruttava vulnerabilità sino ad allora sconosciute. Già in ottobre abbiamo ipotizzato che l'individuazione del dropper Duqu potesse costituire la chiave principale per svelare il mistero dell'origine del trojan e che il dropper potesse contenere exploit per vulnerabilità simili. Gli esperti di Kaspersky Lab sono riusciti a individuare l'e-mail originaria con il dropper e l'exploit, inviata ad una vittima in Sudan. L'analisi dettagliata è stata pubblicata nel blogpost. Kaspersky Lab ha aggiunto tempestivamente ai suoi prodotti l'aggiornamento per individuare l'exploit.

È da notare che all'inizio di dicembre la Microsoft non aveva ancora rilasciato la patch per chiudere la vulnerabilità in questione e che quindi il rischio di subire attacchi che la sfruttassero è stato piuttosto elevato. Oltre alle indagini sulla vulnerabilità Kasperky Lab ha condotto alcune operazioni legate alla captazione di una serie di server di controllo di Duqu, situati in diversi Paesi del mondo. Purtroppo gli autori di Duqu hanno reagito tempestivamente alla notizia della scoperta della loro attività e il 20 ottobre hanno condotto un'azione globale di "cancellazione delle tracce" su tutti i server. Kasperky Lab tuttavia sono riusciti a ottenere dei dati e quindi le loro indagini proseguono nella direzione intrapresa.

Nuovi programmi e tecnologie dei cybercriminali
Negli ultimi tempi nei programmi dannosi va aumentando il numero di casi di utilizzo di metodi di steganografia. In settembre era stato individuato l'utilizzo di file grafici contenenti dei comandi nascosti per controllare la botnet SST. Ricordiamo che il bot SST è una variante del noto e diffuso bot TDSS/TDL. In novembre Kaspersky ha riscontrato una tecnica analoga nella famiglia dei programmi trojan che minacciano gli utenti delle banche brasiliane. Si tratta del primo caso di utilizzo della steganografia nelle immagini dei trojan latino-americani. I file, contenenti codici dannosi criptati e delle informazioni aggiuntive, presentavano l'estensione .jpeg, ma per la loro struttura erano in realtà dei file bmp.

Per crearli i cybercriminali hanno utilizzato il metodo della cifratura a blocchi. Utilizzando questa tecnica, i programmatori di virus ottengono in un solo colpo molteplici effetti. In primo luogo, essa consente di compromettere il corretto funzionamento dei sistemi automatici di analisi dell'antivirus: è possibile così che il file venga scaricato, controllato con i programmi antivirus e identificato come "pulito" e con l'andar del tempo il rinvio viene completamente escluso dal controllo. In secondo luogo, gli amministratori dei siti che ospitano questi file dannosi criptati non riescono a riconoscerli come dannosi e, di conseguenza, non intraprendono alcuna contromisura. In terzo e ultimo luogo, alcuni esperti antivirus non hanno il tempo o l'esperienza necessaria per trattare questi file, il tutto a vantaggio ovviamente del cybercriminale.

Minacce per i dispositivi mobili: i trojan SMS si diffondono in tutto il mondo

A metà luglio Kasperky si era dedicato all'argomento dei "mittenti di SMS pornografici" che sfruttavano costosi messaggi SMS per abbonare gli utenti ai più svariati servizi. Queste applicazioni erano rivolte agli utenti di USA, Malesia, Paesi Bassi, Gran Bretagna, Kenia e Sudafrica. In novembre Kaspersky ha individuato dei trojan SMS che prendevano di mira gli utenti di alcuni Paesi europei e del Canada. I programmi dannosi inviano dal dispositivo infettato quattro SMS a un numero breve a pagamento. Questa famiglia di trojan viene individuata da Kaspersky come Trojan-SMS.AndroidOS.Foncy.

Finestra principale di app hot

Secondo i messaggi che Kaspersky ha reperito nei forum, i primi casi di infezione si sono verificati all'inizio di settembre. Pare che qualcuno abbia scaricato un'applicazione per monitorare i propri messaggi SMS/MMS, le telefonate e il traffico delle chiamate. Dopo averlo lanciato, il programma visualizzava sullo schermo del dispositivo un messaggio che informava dell'incompatibilità con la versione del sistema operativo Android utilizzato dall'utente. Dopodiché il credito dell'utente veniva depauperato. Ricordiamo che prima che apparissero i malware della famiglia Trojan-SMS.AndroidOS.Foncy, i trojan SMS avevano attaccato principalmente gli utenti russi e cinesi. Oggi i trojan SMS rappresentano una delle fonti di guadagno più facili per i cybercriminali.

Minacce MacOS

Al giorno d'oggi è difficile sorprendere gli utenti di Windows mettendo trojan e worm nei siti che diffondono versioni pirata di popolari programmi, mentre al contrario per gli utenti di MacOS un attacco del genere è ancora una novità. Così alla fine di ottobre sui torrent tracker che diffondono versioni pirata di programmi per il Мас, è stato individuato un nuovo programma, battezzato Backdoor.OSX.Miner, che possiede contemporaneamente diverse funzioni dannose:
  1. apertura di un accesso remoto al computer infetto;
  2. raccolta di informazioni sulla cronologia dei siti visitati utilizzando il browser Safari;
  3. creazione di screenshot delle schermate;
  4. sottrazione del file wallet.dat dai clienti BitCoin;
  5. lancio non autorizzato del miner BitCoin.
Questo malware si sta diffondendo in parallelo mediante diversi torrent tracker, quali publicbt.com, openbittorrent.com e thepiratebay.org. Secondo le stime di Kaspersky alla fine di novembre il malware Backdoor.OSX.Miner ha infettato decine di sistemi Mac.

Esempio di torrent tracker che diffonde il Backdoor.OSX.Miner

Manomissione della banca dati Steam

La storia degli attacchi e delle violazioni dei servizi di Sony Playstation Network all'inizio dell'anno è tornata a fare notizia dopo che in novembre è stato individuato un caso simile con un'altra azienda produttrice di videogiochi: il servizio Steam della Valve. Agendo nell'anonimato, gli hacker sono riusciti a crackare il forum del servizio e a inviare una gran quantità di messaggi contenenti link di collegamento a filmati che illustravano come crackare i videogiochi. La Valve ha disattivato il server per risolvere il problema e nel corso delle indagini è stata appurata la manomissione del database Steam. La direzione di Valve si è raccomandata di controllare le transazioni effettuate con le carte di credito e di leggere con attenzione gli estratti conti delle carte.

La banca dati compromessa conteneva informazioni quali i nomi degli utenti, le password hashed e salted, i dati relativi all'acquisto di giochi, gli indirizzi di posta elettronica degli utenti, gli indirizzi di fatturazione e i dati crittati delle carte di credito. L'incidente ha costretto la direzione di Valve a rivolgersi con una lettera a tutti gli utenti del servizio, informandoli del problema individuato. Nella lettera è stato comunicato che l'azienda non ha scoperto prove che dimostrino che gli hacker siano riusciti a mettere le mani su numeri criptati delle carte di credito e dati personali degli utenti, ma "le indagini proseguono". Fino ad ora non ci sono state comunicazioni relative all'utilizzo da parte dei cybercriminali delle carte di credito degli utenti del servizio Steam.

TOP 10 degli hosting dannosi

Ancora problemi con i certificati

Questo è stato un anno ricco di incidenti per i centri di certificazione, a cominciare da quello accaduto alla Comodo per proseguire poi con quanto è successo di recente alla olandese DigiNotar. Certificati trafugati sono stati inoltre individuati in programmi dannosi, tra cui anche il trojan Duqu. Il problema della perdita di credibilità dei certificati digitali in circolazione è attualmente un problema gravissimo per il quale non sono ancora stati trovate soluzioni. In novembre è stata la volta di un altro centro di certificazione olandese, la KPN, che, dopo aver comunicato di esser rimasta vittima di un attacco da parte degli hacker, ha interrotto l'emissione di certificati. La violazione è imputabile a una breccia individuata nel server web della KPN, che serve l'infrastruttura a chiave pubblica (PKI). L'attacco è stato condotto non meno di 4 anni fa.

Un incidente ancora più grave ha interessato il centro malese di certificazione Digicert (CA Digicert Malaysia). Il centro è stato infatti cancellato da tutti i produttori di browser e dalla Microsoft dall'elenco dei centri convenzionati. Questa misura, che colpisce per la sua severità, si è resa necessaria dopo la scoperta dell'emissione da parte della Digicert di 22 certificati con chiavi deboli a 512 bit e di certificati privi delle necessarie estensioni che definiscono le restrizioni per l'utilizzo dei certificati e delle informazioni sulla scadenza della validità. Jerry Bryant, rappresentante della Microsoft, ha fatto sapere che sebbene non si abbiano indizi che confermino che i cybercriminali siano riusciti a rubare anche solo uno di questi certificati, le chiavi deboli hanno permesso di crackarne alcuni. Rapporto completo di Kaspersky: http://newsroom.kaspersky.eu/fileadmin/user_upload/en/Downloads/PDFs/Kaspersky_Lab_press_release_Malware_November.pdf Fonte: Kaspersky Lab Via: Securlist


venerdì 23 dicembre 2011

Le previsioni per il 2012 sulla sicurezza informatica secondo Stonesoft


In chiusura d’anno, Joona Airamo, Chief Information Security Officer di Stonesoft, azienda di soluzioni per la sicurezza di rete, delinea alcune delle probabili tendenze che il 2012 ha in serbo sul fronte della sicurezza informatica e delle minacce che le aziende si devono aspettare.

Nel 2011 si sono verificati incidenti particolarmente allarmanti per la sicurezza?
Dal punto di vista tecnico, nessuno degli episodi verificatisi nell'arco dall’anno è stato particolarmente degno di nota. Ciò nonostante l'aspetto sorprendente risiede nel fatto che le aziende abbiano iniziato ad ammettere l'effettiva esistenza di problemi e falle. Personalmente ritengo che si tratti solo della punta di un iceberg in termini di numero di effrazioni verificatesi, e che quindi siamo stati messi a conoscenza solamente di una minima frazione degli eventi realmente accaduti.

Quali novità ci attendono per il 2012?
Nel 2012 si sentirà parlare molto di più di Advanced Persistent Threat (APT) e di malware avanzato. Da solo, il termine “APT” non fornisce molti dettagli circa il reale problema; ritengo che di conseguenza verranno fornite maggiori informazioni riguardanti questa specifica tipologie di attacchi. Sia i media che i vendor inizieranno a comunicare più dettagli circa le tipologie dei metodi di hacking usati, come ad esempio le Advanced Evasion Technique (AET), un sistema di cui sono certo che sentiremo molto parlare nel 2012. Analogamente ritengo che anche gli attacchi DDoS (Distributed Denial of Service) continueranno a rappresentare un problema di grande rilievo, così come gli episodi di hacking “state on state”.



Gli hacker si apprestano a diventare sempre più sofisticati
È indubbio che i cybercriminali diventeranno sempre più elusivi e adotteranno tecniche sempre più sofisticate, facendosi ancora più difficili da identificare e bloccare. Ciò che davvero mi preoccupa non è quello che sentiamo a riguardo, quanto piuttosto quello che non sentiamo; mi riferisco in particolare alla proprietà intellettuale e alle informazioni di natura governativa che potrebbero finire in mano a nazioni e organizzazioni malintenzionate senza che se ne sappia alcunché.

Le forze di polizia contrasteranno il cybercrimine
Il cybercrimine, e in particolare il fenomeno dell'hacking, viene affrontato con maggiore serietà e professionalità da parte delle forze di polizia. Per questo mi auguro che nel 2012 aumenteranno i procedimenti giudiziari a carico di questa categoria di criminali. Tuttavia queste iniziative non saranno risolutive fintanto che non vi sarà piena collaborazione da parte di quegli Stati che forniscono copertura ai principali gruppi di hacker.

Il grande problema del 2012
Direi che non ci sarà uno specifico grande problema come virus o malware particolari. Ciò nonostante alcune tecniche di delivery, come ad esempio le AET, porranno di fatto una minaccia rilevante. Fino a quando non vengono applicate correttamente le patch e aggiornate regolarmente le tecnologie AV, penso che dovremmo preoccuparci non solo dei nuovi virus zero-day ma anche di quelli già noti, come ad esempio Conficker. È pertanto determinante che le imprese adottino un approccio di difesa totale in campo antivirus optando per una gestione ottimale delle patch e non solo: è auspicabile anche l'implementazione di tecnologie IPS che permettono di difendere quello che sfugge alle patch.


I problemi di fiducia delle Certificate Authority
In seguito al disastro di DigiNotar CA, posso verosimilmente prevedere un incremento delle problematiche riguardanti la fiducia nell'intero settore delle Certificate Authority. Non solo il numero di falle registrerà un aumento con attacchi man-in-the-middle e software pericolosi che useranno le autorizzazioni delle CA reali, ma si assisterà a un animato dibattito circa il futuro dell'utilizzo dei certificati in sé. Il 2012 potrebbe anche riservare un incremento dei fallimenti di Certificate Authority. Inoltre, molti attacchi a certificato perpetrati nell'ultimo decennio ai danni dei browser per PC potrebbero ora essere rivolti contro i browser mobili, a dimostrazione di quanto poco abbiano imparato i vendor dagli errori compiuti in passato.

Incidenti di sicurezza che mettono a rischio la vita umana
Vorrei potermi sbagliare su questa mia ultima previsione: è, infatti, probabile che il 2012 sia l'anno in cui le minacce alla sicurezza producano anche delle vittime. La modalità resta sconosciuta, potrebbe trattarsi di attacchi ai sistemi SCADA piuttosto che minacce rivolte alle vulnerabilità dei distributori automatici di medicinali presso gli ospedali. Per questo sarà necessario dedicare alle soluzioni e alle procedure di sicurezza di questi sistemi molta più attenzione di quanto avvenuto sinora.


Informazioni su Stonesoft
Stonesoft Corporation è un provider innovativo di soluzioni integrate per la sicurezza di rete che permettono di proteggere i flussi informativi aziendali. I clienti Stonesoft comprendono realtà aziendali con necessità di business in evoluzione che richiedono una sicurezza di rete avanzata e connettività business always-on.
La soluzione per la connettività Stonesoft™ Secure Connectivity integra firewall, VPN (Virtual Private Network), IPS (Intrusion Prevention System) e SSL VPN per fondere sicurezza di rete, disponibilità end-to-end e una sofisticata tecnologia di bilanciamento del carico in un unico sistema integrato e gestito centralmente.

I principali vantaggi offerti dalla soluzione Stonesoft sono un basso TCO (Total Cost of Ownership), un eccellente rapporto prestazioni-prezzo e un elevato ROI (Return on Investment). Le soluzioni Stonesoft Virtual Security proteggono le reti e assicurano la business continuity di ambienti sia fisici che virtuali. Stonesoft Management Center implementa un meccanismo di gestione unificata per Stonesoft Firewall con VPN, IPS e SSL VPN. Stonesoft Firewall e IPS operano insieme al fine di fornire una difesa intelligente all'intera rete aziendale, mentre Stonesoft SSL VPN offre una sicurezza superiore anche per l'utilizzo mobile e da remoto.

Fondata nel 1990, Stonesoft Corporation è una azienda globale con sede centrale a Helsinki e sede americana ad Atlanta. Per maggiori informazioni è possibile visitare il sito: www.stonesoft.com, e www.antievasion.com e il blog aziendale http://stoneblog.stonesoft.com.

Testi: Pleon
Fonte: Stonesoft

giovedì 22 dicembre 2011

Nuovo metodo scam Facebook diffuso con plug-in malware browser


In queste ore è attiva su Facebook una truffa relativa alla presunta visualizzazione di un video nel quale si vedrebbe Marika Fruscio con un seno scoperto e che viene poi inviata sulla bakeka a tutti i contatti dell'utente che è caduto nello scam. Qualche utente lamenta il problema nonostante abbia eliminato tutte le applicazioni dal proprio profilo. Fino ad ora gli scammer per questa tipologia di truffe hanno sfruttato il noto metodo del clickjacking, adesso invece hanno sviluppato un nuovo approccio per loro la diffusione su Facebook. Invece di usare, per esempio, gli aggiornamenti di stato come un richiamo, l'ultima generazione di truffa Facebook tenta di ingannare l'utente con l'installazione di estensioni maligne sul browser. I plug-in sono presumibilmente necessari per visualizzare inesistente video clip apparentemente inviato da una vittima in precedenza.


Infatti, Websense ® ThreatSeeker ® Network ha recentemente individuato alcune truffe su Facebook che ora utilizzano la potenza delle estensioni del browser per diffondersi sui profili di altri utenti. Le truffe tipicamente utilizzano pagine di trucchi di social engineering - come la diffusione di video seducenti o le offerte per un buono gratuito. "Ora per di più, abbiamo scoperto che alle vittime viene anche chiesto di installare un plugin per il browser. Il plugin è una parte integrante di come la truffa viene diffusa. Una volta installato, il plugin si collega a uno script che utilizza le API di Facebook e poi i messaggi della truffa alle pagine di amici della vittima", scrive Websense nel suo rapporto

Uno dei vantaggi di usare un plugin è la capacità di persistenza nel browser della vittima e la propagazione ad altri profili - che è simile alle app scam viste in precedenza su Facebook. Gli esperti di Websense hanno rilevato che vengono utilizzati plugin malevoli solo su Chrome e Firefox. Ecco come una pagina esempio di scam appare con Chrome e Firefox, rispettivamente:

Plug-in su Chrome

Plug-in su Firefox
Il codice verifica quale browser è installato e serve il plugin dannoso compatibile. I file del plugin Chrome terminano con un'estensione del file CRX e i plugin per Firefox dei file terminano con l'estensione del file XPI. I file dei plugin di Chrome e di Firefox sono in forma compressa. Guardando all'interno di questi plugin viene rivelato un codice maligno che carica uno script da altri siti. Questo codice è in definitiva caricato dal browser che si connette a Facebook. Il codice dei post a nome della vittima viene diffuso sulle pagine degli amici della vittima, che si traduce in una ulteriormente diffusione della truffa, spam, e possibilmente malware.


Per vedere il codice dietro il plug-in della truffa mostrata sopra, Websense ha diffuso delle immagini dopo aver decompresso il file zip che contiene le estensioni maligne:


Per risolvere il problema bisogna dunque rimuovere i plug-in malevoli installati nel browser. Per far ciò su Chrome andate sulla chiave inglese nell'angolo in alto a destra del browser. Cliccate su Opzioni e in corrispondenza dell'estensione sconosciuta cliccate su Rimuovi.


Se utilizzate Firefox cliccate su Firefox in alto a sinistra del browser e dal menu a discesa che si aprirà scegliete Componenti aggiuntivi e da Estensioni cliccate su Rimuovi per eliminare l'estensione malevola. Completate l'operazione riavviando Firefox.


Prestate sempre la massima attenzione ai post che vi vengono condivisi dagli amici e alle operazioni che vi vengono proposte per la visualizzazione di presunti "filmati imperdibili". Per quanto queste offerte appaiono allettanti se, come in questo caso, vi viene chiesto di installare plug-in al fine di ottenere offerte o guardare un video, ricordare che potrebbe trattarsi di un trucco per diffondere truffe, spam e malware.