domenica 30 settembre 2012

IBM X-Force 2012, minacce emergenti riguardano browser e social network


IBM ha pubblicato i risultati del suo “X-Force 2012 Mid-Year Trend and Risk Report”, che mostra un netto aumento degli exploit legati ai browser, rinnovati timori per la sicurezza delle password di accesso ai social media e rischi persistenti nei dispositivi mobili e nei programmi aziendali BYOD (“Bring Your Own Device”). Per proteggere ulteriormente le aziende dalle minacce emergenti IBM annuncia l’apertura di un Security Operations Center (SOC) a Breslavia, in Polonia.

Nuovi sviluppi su indagine su tre nuovi malware legati a Flame: uno è sconosciuto


Kaspersky Lab ha annunciato i risultati di una nuova ricerca relativa alla scoperta della sofisticata campagna di spionaggio informatico sponsorizzata dagli stati-nazioni. Durante la ricerca, condotta da Kaspersky Lab in collaborazione con la divisione che si occupa di cyber sicurezza IMPACT dell’International Telecommunication Union, CERT-Bund/BSI e Symantec, un numero di server Command & Control (C&C) utilizzati dai creatori di Flame sono stati analizzati nel dettaglio.

L’analisi ha rivelato nuovi dettagli importanti legati a Flame. In particolare, sono state rilevate tracce di programmi nocivi non ancora scoperti ed è emerso che lo sviluppo della piattaforma Flame risale al 2006. Risultati principali:

  • Lo sviluppo della piattaforma C&C di Flame è iniziato prima del dicembre 2006 
  • I server C&C sono stati camuffati, per sembrare un sistema comune di gestione dei contenuti, in modo da nascondere la vera natura del progetto.
  • I server erano in grado di ricevere i dati dalle macchine infette, utilizzando quattro differenti protocolli; solo uno di questi serviva per attaccare i computer con Flame.
  •  L’esistenza di tre protocolli aggiuntivi non utilizzati da Flame è la dimostrazione che ci sono almeno altri tre programmi nocivi legati a Flame, di cui ancora non si conosce la natura.
  • Uno di questi programmi sconosciuti legati a Flame è attualmente in circolazione.
  • Ci sono stati alcuni segnali che dimostrano che la piattaforma C&C è ancora in via di sviluppo; uno schema di comunicazione denominato “Red Protocol” è stato menzionato ma non ancora implementato.
  • Non ci sono segnali che dimostrino che il server C&C di Flame sia stato impiegato per controllare altri malware come Stuxnet o Gauss

La campagna di spionaggio informatico è stata scoperta inizialmente nel maggio 2012 da Kaspersky Lab durante un’indagine condotta con la International Communication Union. A seguito della scoperta, ITU-IMPACT ha rilasciato un alert a 144 nazioni che fanno parte dell’organizzazione accompagnato da istruzioni su come ripristinare il sistema.

La complessità del codice e i legami confermati con gli sviluppatori di Stuxnet, riportano al fatto che Flame è un chiaro esempio di operazione informatica sponsorizzata dagli stati-nazioni. Inizialmente si era affermato che Flame avesse iniziato le sue operazioni nel 2010, ma la prima analisi dell’infrastruttura C&C (che comprendeva almeno 80 domini conosciuti) sposta questa data indietro di due anni.


I risultati emersi da questa particolare indagine sono basati sull’analisi del contenuto recuperato dai server C&C utilizzati da Flame. Queste informazioni sono state recuperate, nonostante l’intervento di Kaspersky Lab, che subito dopo aver rivelato l’esistenza del malware ha messo offine le infrastrutture di controllo. Tutti i server si basavano sulla versione a 64-bit del sistema operativo Debian, virtualizzato grazie ai contenitori OpenVZ.

Molti dei codici dei server erano scritti con il linguaggio di programmazione PHP. I creatori di Flame hanno adottato alcune particolari misure per rendere l'aspetto del server C&C come un normale sistema di gestione dei contenuti, per non attirare l'attenzione degli hosting provider. Sono stati utilizzati sofisticati metodi di crittografia in modo che nessuno, tranne gli hacker, potesse entrare in possesso dei dati archiviati sulle macchine infette.

L'analisi degli script utilizzati per gestire le trasmissioni di dati sottratti alle vittime, ha rivelato quattro protocolli di comunicazione e solo uno di essi era compatibile con Flame. Ciò significa che almeno altri tre tipi di malware hanno utilizzato questi server di comando e controllo. Ci sono prove sufficienti per dimostrare che almeno uno dei malware legati a Flame è attualmente in circolazione. Questi programmi nocivi sono ancora da scoprire.

Un altro importante risultato dell’analisi riguarda lo sviluppo della piattaforma C&C di Flame, che è iniziata già nel dicembre 2006. Ci sono segnali che dimostrano che la piattaforma è ancora in via di sviluppo, dal momento che un nuovo protocollo non ancora implementato, denominato “Red Protocol”, è stato individuato sui server. L’ultima modifica del codice del server da parte di uno dei programmatori risale al 18 maggio 2012.

“È stato difficile per noi stimare la quantità di dati rubati da Flame, anche dopo l’analisi dei suoi server C&C. I creatori di Flame sono molto bravi a nascondere le proprie tracce. Ma un errore dei criminali informatici ci ha aiutato a scoprire quali sono i dati che un server ha il compito di conservare. Sulla base di questo, possiamo vedere che più di cinque gigabyte di dati sono stati caricati ogni settimana su questo particolare server, da più di 5000 macchine infette. Questo è certamente un esempio di un’operazione di spionaggio informatico condotto su larga scala”, ha dichiarato Alexander Gostev, Chief Security Expert di Kaspersky Lab.

L’analisi dettagliata del contenuto dei server C&C di Flame è disponibile su Securelist.com. Per ulteriori informazioni su Flame: https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

sabato 29 settembre 2012

Usa, aumenta l'attività di snooping su e-mail e social network senza mandato


Per lottare contro la criminalità le autorità degli Stati Uniti in grado di spiare le attività e-mail, l'instant messaging, e le attività su Facebook, Twitter, Google Plus e gli altri social network in tempo reale, non solo senza il permesso dell'utente, ma senza nemmeno la richiesta di un mandato. E, secondo l'American Civil Liberties Union (ACLU), questo accesso in tempo reale dagli investigatori federali delle attività online è in aumento.

giovedì 27 settembre 2012

Vulnerabilità che interessa Java 5, 6 e 7 mette a rischio 1 miliardo di utenti


Ricercatori di sicurezza hanno scoperto una falla critica nel software Java di Oracle che permetterebbe agli hacker aggirare le misure di sicurezza in tutte le versioni più recenti del software. Il difetto è stato annunciato da Security Exploration, lo stesso team che ha recentemente trovato un buco di sicurezza in Java SE 7 che lascia agli agli attaccanti la possibilità di assumere il controllo completo del PC.

Ma questo ultimo exploit riguarda Java SE 5, 6, 7 distribuite nel corso degli ultimi otto anni. I ricercatori di Security Exploration, con sede in Polonia, hanno scoperto il difetto in Oracle Java Standard Edition (SE) e hanno sviluppato un proof of concept per questo difetto che consente di "bypassare completamente la sandbox Java di sicurezza", secondo l'amministratore delegato della società, Adam Gowdiak, aggiungendo che sono "un miliardo gli utenti a rischio".

Gowdiak scritto che Security Exploration ha tirato fuori con successo l'exploit su computer Windows 7 32-bit con tutte le patch in Firefox, Chrome, Internet Explorer, Opera e Safari. Anche se le prove sono state limitate a Windows 7 32-bit, Gowdiak detto a Computerworld che la falla sarebbe è sfruttabile su qualsiasi macchina con Java 5, 6, o 7 abilitata (sia che si tratta di Windows 7 64-bit, Mac OS X, Linux o Solaris).

Il bug consente agli aggressori di violare il sistema di sicurezza "type safety" nella Java Virtual Machine. "Una applet Java maligna o applicazione che sfrutta questo nuovo bug può essere eseguita senza limitazioni nel contesto di un processo di destinazione Java come ad esempio un browser Web", ha detto Gowdiak. "Un utente malintenzionato potrebbe quindi installare programmi, visualizzare, modificare o eliminare dati con i privilegi di un utente connesso."


Un utente malintenzionato a conoscenza della falla di sicurezza e di come sfruttarla potrebbe ospitare un attacco su un sito web appositamente predisposto o banner pubblicitario, utilizzando un'applicazione Java dannosa per attivare il buco e ottenere il controllo del sistema vulnerabile, convincedo l'utente a visitare un sito Web, in genere inducendolo a fare clic su un link in una email o in un messaggio di Instant Messenger.

Gowdiak ha detto che la vulnerabilità è stata valutata "critica" dal suo team. Gowdiak e il suo team hanno trovato un totale di 50 difetti Java. Mentre questo attacco più recente a quanto pare non è ancora sfruttato in natura, una vulnerabilità zero-day individuata il mese scorso è stata patchata da Oracle. Gowdiak ha rifiutato di discutere i dettagli tecnici per la preoccupazione che possa rendere più facile per i criminali sfruttare la falla negli attacchi basati su e-mail o Web.

Gli utenti Mac a rischio sono in particolare quelli con OS X 10.6.x Snow Leopard e versioni precedenti (da OS X 10.7.x in poi, Apple non installa per default Java). Oracle ha assicurato che sarà diffusa una patch con il prossimo aggiornamento sicurezza previsto per il 16 ottobre. Secondo Gowdiak però questo tempo è troppo lungo e gli utenti dovrebbero essere a conoscenza del rischio che corrono.

I consigli per proteggersi dagli attacchi sono sempre i medesimi: se non si utilizza è bene disinstallare Java; si consiglia di disabilitare o disinstallare il suo plugin dai browser in uso se il pacchetto Java è impiegato unicamente per eseguire applicazioni in ambito locale; ridurre al minimo il numero di versioni di Java installate sul compute e mantenendo in uso solo quelle strettamente necessarie.

E' anche interessante notare che sembra ci sia un pò di esibizionismo nella mailing list Full Disclosure del ricercatore Adam Gowdiak, che dice di aver scoperto il problema "esclusivamente" per l'imminente conferenza JavaOne 2012 di Oracle, che inizia il 30 settembre. Egli prende in giro anche Larry Ellison, co-Fondatore e Ceo della Oracle Corporation, scrivendo che la notizia della nuova falla spera non rovinerà il suo caffè mattutino.


lunedì 24 settembre 2012

Privacy, Facebook sospende il riconoscimento automatico del volto in Europa


Facebook ha sospeso lo strumento di riconoscimento facciale che suggerisce quando gli utenti registrati potrebbero essere taggati nelle fotografie caricate nel suo sito web. La mossa segue una revisione degli sforzi di Facebook per attuare modifiche raccomandate l'anno scorso dal commissario per la protezione dei dati Irlandese. Billy Hawkes, che non ha chiesto la rimozione totale dello strumento, si è detto incoraggiato dalla decisione di spegnerlo per gli utenti in Europa entro il 15 ottobre.

Hawkes ha detto che l'onorevole Facebook "sta inviando un chiaro segnale della sua volontà di dimostrare il proprio impegno alle migliori pratiche nel rispetto della protezione dei dati". Richard Allan, direttore della politica di Facebook per l'Europa, Medio Oriente e Africa, ha dichiarato: "L'Unione europea ha esaminato la questione per assicurare il consenso per questo tipo di tecnologia e ha emesso nuove linee guida. "La nostra intenzione è quella di ripristinare la funzione il tag-suggestion, ma coerente con le nuove linee guida. Il servizio  avrà bisogno di una diversa forma di comunicazione e di consenso".

Lo strumento di riconoscimento facciale non faceva parte delle attività commerciali della società e non ha generato le lamentele di molti utenti, ha aggiunto. Nel mese di dicembre 2011 il Data Protection Commissioner (DPC) ha dato sei mesi di tempo a Facebook conformarsi alle sue raccomandazioni. Tra questi una maggiore trasparenza su come i dati vengono utilizzati e in che modo gli individui sono bersaglio di inserzionisti e di controllo utente più rispetto alle impostazioni di privacy.

Venerdì scorso, il signor Allan ha detto: "Quando si pensa all'inchiesta assai vasta effettuata dal DPC in Facebook, si è guardato ogni aspetto del nostro servizio e la nostra scheda di valutazione complessiva è molto buona. Nella maggior parte delle aree esaminate, il DPC ha rilevato che ci stiamo comportando in un modo che non solo è conforme, ma un modello ragionevole per le buone pratiche".


Inoltre, il DPC ha detto che ci sono ancora alcune aree in cui è stato richiesto più lavoro, e ha chiesto un altro aggiornamento da Facebook in queste aree tra quattro settimane. Il Vice commissario Gary Davis ha detto alla BBC che il DPC è rimasto preoccupato del fatto che le foto contrassegnate per l'eliminazione non sono state effettivamente cancellate entro 40 giorni come previsto dalla legge irlandese per la protezione dei dati.

"Vogliamo anche un pò di chiarezza sugli account inattivi e disattivati - pensiamo che Facebook dovrebbe contattare direttamente gli utenti dopo un periodo di tempo e vedere se vogliono tornare",  ha detto. Molta gente ha fatto ritorno sul sito dopo un lungo periodo di distanza, David ha detto, ma gli utenti con account inattivi dovrebbero essere contattati entro due anni dal loro ultimo log-in. Terry Davis ha anche detto che gli piacerebbe che Facebook faccia di più per educare gli utenti esistenti circa le sue politiche sulla privacy.

"Vorremmo anche ulteriori informazioni in materia di pubblicità - non vi è la possibilità per l'uso di termini che potrebbero essere sensibili - quali etnia, l'appartenenza sindacale, affiliazione politica - per essere utilizzati da inserzionisti di indirizzare gli altri sulla base di queste parole", ha detto. Ma il signor Davis ha aggiunto: "Le discussioni e le negoziazioni che hanno avuto luogo, mentre spesso robuste su entrambi i lati, sono state sempre costruttive con l'obiettivo collettivo di rispetto dei requisiti di protezione dei dati".

La sospensione della funzionalità per il riconoscimento facciale avrà valore entro il 15 ottobre prossimo per tutti gli utenti nei paesi comunitari. Nel frattempo sussiste ancora il problema in Germania, dove l'unione dei consumatori tedeschi (VZBV) ha minacciato di citare Facebook in giudizio qualora non dovesse richiedere esplicitamente ai propri utenti di accettare che i loro dati vengano condivisi quando scaricano le applicazioni. Facebook infatti non indica tutte le informazioni che verranno condivise con i produttori delle app prima che l'utente clicchi su Installa o Gioca.

Phishing: falsi messaggi in posta Facebook avvisano disattivazione account


Nuovo attacco phishing ai danni degli utenti di Facebook. In queste ore, infatti, molti iscritti al social network stanno ricevendo dei falsi messaggi in posta dove si avvisa che il loro account è stato segnalato per violazione delle Termini e Condizioni d'uso di Facebook. Nel messaggio è incluso un link che rimanda ad un sito esterno che ripropone l'avviso di Facebook nei casi di account disabilitati. Dopo che l'utente fa clic sul link, vengono raccolte informazioni per l'hijack del profilo Facebook, e-mail e carte di credito.

In particolare nelle mail che si possono ricevere in posta Facebook si legge: "WARNING: Your account is reported to have violated the policies that are considered annoying or insulting Facebook users. System will disable your account within 24 hours if you do not do the reconfirmation. Please confirm your facebook account below: (http://help-confirm-**-****.tk/) Thanks. Facebook."

Che tradotto:

"ATTENZIONE: Il tuo account è segnalato per aver violato le politiche che sono considerate fastidiose o per aver insultato utenti Facebook. Il sistema disattiverà il tuo account entro 24 ore se non fai la riconferma. Si prega di confermare il tuo account Facebook qui sotto: (http://help-confirm-**-****.tk/) Grazie. Facebook." Se clicchiamo sul link incluso veniamo rimandati ad un sito che ripropone la grafica della pagina di dialogo degli account Facebook disabilitati.


Qui leggiamo:  "Account Disabled Your account has been disabled. If you have any questions or concerns, you can visit our FAQ page here & Please try again." Tradotto: "Account disattivato Il tuo account è stato disattivato. Se avete domande o dubbi, potete visitare la nostra pagina FAQ qui & Riprova."  Se clicchiamo sul collegamento ipertestuale delle FAQ veniamo rimandati ad un altro sito uguale al precedente.


Se introduciamo la nostra e-mail di login a Facebook e relativa password si aprirà un nuova pagina dove leggiamo: "Update Your Security Information If there is ever a problem with your account, this information will make it easier for you to log back in and connect with your friends. Security Question Choose and answer the security questions that had been set in your facebook account."

Tradotto: "Aggiornare le informazioni di protezione Se vi sarà mai un problema con il tuo account, con queste informazioni sarà più facile per voi eseguire nuovamente l'accesso e connettersi con gli amici. Domanda di sicurezza Scegli e rispondi alle domande di sicurezza che erano state fissati nel tuo account Facebook."


Se introduciamo la risposta alla domanda di sicurezza scelta per il nostro account si aprirà una nuova pagina dove leggiamo: "Confirm To Your Webmail Please select the webmail that you use and fill in the details that we need for Secure and Reactivate your Facebook account. 1. To help keep your Facebook account secure in the future, please confirm your email to us. 2. We need to verify it when someone tries to access your account from a location we're not familiar with. 3. We will send a notification when your account will be hacked to your email inbox."

Tradotto: Conferma la tua Webmail Si prega di selezionare la webmail che si utilizza e compilare i dati di cui abbiamo bisogno per Sicurezza e Riattivare il tuo account Facebook. 1. Per aiutare a mantenere il tuo account Facebook sicuro in futuro, si prega di confermare a noi la tua email. 2. Abbiamo bisogno di verificare quando qualcuno cerca di accedere al tuo account da una posizione di cui non siamo a conoscenza. 3. Invieremo una notifica alla tua casella di posta quando qualcuno cerca di accedere al tuo account.


Dopo aver confermato la nostra e-mail e relativa password si aprirà un'altra pagina dove leggiamo: "Please note: You will only be asked to complete a Payment Verification when you attempt to make a purchase for Facebook Credits. We will never ask you for your full credit card number, but we may ask for the first six digits. 1. To protect your financial information, we may occasionally ask you to authorize a transaction by providing additional information.

2. You may be asked to complete a Payment Verification when purchasing Facebook Credits from an application page or the Payments tab under your Credits Balance settings. 3. For security reasons, we ask that you complete this verification in order to complete your account security"

Tradotto: "Nota bene: sarà chiesto solo di completare un pagamento di verifica quando si tenta di fare un acquisto dei crediti Facebook. Non chiederemo mai il vostro numero completo della carta di credito, ma si possono chiedere per le prime sei cifre. 1. Per proteggere le informazioni finanziarie, si può occasionalmente chiedere di autorizzare una transazione fornendo informazioni aggiuntive.

2. È possibile che venga richiesto di completare una verifica di pagamento per l'acquisto di crediti Facebook da una pagina di applicazione o la scheda Pagamenti sotto le impostazioni di bilanciamento dei Crediti. 3. Per motivi di sicurezza, ti chiediamo di completare questa verifica, al fine di completare la sicurezza dell'account"


Dopo aver inserito i primi 6 numeri della nostra carta di credito, nella pagina seguente il sistema di sicurezza di Google ci avvisa che il sito è stato segnalato come phishing (ma è tardi dato che abbiamo già introdotto dati sensibili). In ogni caso ignoriamo l'avviso e decidiamo di proseguire consapevoli del rischio che corriamo.


Qui ci vengono richiesti ulteriori dati personali: "Secure Your Payment. You will only be asked to complete a Payment Verification when you attempt to make a purchase for Facebook Credits. All of your information should match the information on your account.First Name, Last Name, Credit Card Number, Type, Expiration Date, Security Code (CSC), Billing Address, Billing Address 2, City/Town, State/Province/Region, zip/Postal Code, Country."

Tradotto: "Garantisci il tuo pagamento. Ti verrà chiesto di completare un pagamento di verifica quando si tenta di fare un acquisto con i crediti Facebook. Tutte le tue informazioni deve corrispondere alle informazioni sul vostro account. Nome, cognome, numero di carta di credito, tipo, data di scadenza, codice di sicurezza (CSC), indirizzo di fatturazione, indirizzo di fatturazione 2, Città / Città, Stato / Provincia / Regione, zip / codice postale, paese."


In questo modo avremo consegnato i nostri dati sensibili e della carta di credito al phisher di turno. Come in casi simili analizzati in precedenza, Facebook non chiederà mai i vostri dati di accesso. Le regole di sicurezza sono sempre le stesse: non cliccate direttamente sui link che ricevete per posta sia da amici che da sconosciuti). Controllate sempre che l'indirizzo in alto sul vostro browser sia facebook.com e non introducete le vostre credenziali di accesso mentre siete già collegati su Facebook.

Nel caso aveste per errore introdotto i vostri dati in una di queste pagine truffa, bloccate immediatamente la vostra carta di credito e segnalate al vostro servizio di posta elettronica l'avvenuto phishing della vostra casella e-mail. Inoltre, potete tentare di riprendere il controllo del vostro account Facebook cliccando su questo link http://www.facebook.com/hacked. Il social network ha attivato di recente un servizio e-mail per la segnalazione di URL fraudolenti, che si integra con i sistemi interni di sicurezza di Facebook.

sabato 22 settembre 2012

Bufala: ciò che pubblicate su Facebook può essere ceduto a scopi pubblicitari


Da qualche ora sta facendo il giro su Facebook un post alquanto curioso, sorto probabilmente come conseguenza alla bufala sulla privacy di Facebook, diffusasi nei giorni scorsi tra gli utenti del social network e scritto dai soliti "incompetenti informatici". Dopo un'excursus introduttivo, nel lungo testo del post si spiega che il contenuto condiviso dall'utente su Facebook diviene proprietà del social network, che "può cederlo a terzi o semplicemente usarlo per scopi pubblicitari". In particolare si legge:


«(...) Inoltre vi ricordo che tutto ciò che pubblicate su Facebook, "non é più di vostra proprietà", ma può essere condiviso e diffuso da tutti, senza bisogno di alcuna autorizzazione. Il regolamento dice: l’utente fornisce a Facebook una licenza non esclusiva, trasferibile, che può essere concessa come sotto-licenza, libera da royalty e valida in tutto il mondo,

che consente l’utilizzo di qualsiasi Contenuto pubblicato su Facebook o in connessione con Facebook (“Licenza IP”). In parole povere quando voi decidete di caricare Foto-Video-Status il proprietario di tale oggetto non siete voi, ma Facebook, che può cederlo a terzi o semplicemente usarlo per scopi pubblicitari. Fate attenzione a cosa condividete in rete, perché può essere usato impropriamente, e la legge poco o nulla può fare (...)»


Come leggiamo al paragrafo 2 della Dichiarazione dei diritti e delle responsabilità di Facebook:

"L'utente è il proprietario di tutti i contenuti e le informazioni pubblicate su Facebook e può controllare in che modo possono essere condivise mediante le impostazioni sulla privacy e le impostazioni delle applicazioni. Inoltre: Per quanto riguarda i contenuti coperti da diritti di proprietà, ad esempio foto e video ("Contenuti IP"),

l'utente concede a Facebook le seguenti autorizzazioni, soggette alle impostazioni sulla privacy e alle impostazioni delle applicazioni: l'utente concede a Facebook una licenza non esclusiva, trasferibile, che può essere concessa come sottolicenza, libera da royalty e valida in tutto il mondo, per l'utilizzo di qualsiasi Contenuto IP pubblicato su Facebook o in connessione con Facebook ("Licenza IP").


La Licenza IP termina nel momento in cui l'utente elimina il suo account o i Contenuti IP presenti sul suo account, a meno che tali contenuti non siano stati condivisi con terzi e che questi non li abbiano eliminati. Quando l'utente pubblica contenuti o informazioni usando l'impostazione "Pubblica", concede a tutti, anche alle persone che non sono iscritte a Facebook, di accedere e usare tali informazioni e di associarle al suo profilo (ovvero al suo nome e alla sua immagine).


In realtà, come leggiamo su Wikipedia: "Royalty free non significa che l'utente (in questo caso Facebook ndr) sia libero di utilizzare la risorsa (fotografia, audio o video che sia) indiscriminatamente; il termine stabilisce solamente uno specifico contratto tra le due entità. Il licenziatario, di solito il creatore del contenuto (l'utente ndr), rimane comunque sempre proprietario di tutti i diritti legati all'opera prodotta, compreso il diritto di distribuirla o di permetterne la distribuzione".

In ogni caso il proprietario di ciò che viene postato è l’utente e che, come si legge nei Termini d'uso "ne concede a Facebook una licenza non esclusiva". Dunque a Facebook non è concesso di usare "indiscriminatamente" il contenuto postato dall'utente sul social network e, in ogni caso, l'uso da parte di terzi (ad esempio di altri utenti) dipende esclusivamente dalle Impostazioni sulla Privacy scelte dall'utente che ha condiviso il contenuto sul social network.

Nella sezione Impostazioni Account dedicata agli Ads su Facebook, il social network chiarisce:

"Facebook non consente alle applicazioni di terzi e alle reti pubblicitarie di usare il tuo nome o la tua immagine nelle inserzioni. Se lo dovessimo consentire in futuro, sarai tu a indicare quali delle tue informazioni potranno essere usate scegliendo un'impostazione specifica.

È possibile che tu veda il contesto sociale sui siti Web di terze parti (anche nelle inserzioni in essi presenti) tramite i plug-in sociali di Facebook. Nonostante i plug-in sociali consentano di vivere un'esperienza personalizzata sui siti esterni, Facebook non condivide le tue informazioni con i siti che li contengono."


Già a inizio 2011 era stata diffusa la bufala delle cosiddette inserzioni sociali, nella quale si avvisava l'utente che Facebook avrebbe iniziato a utilizzare le nostre foto personali che sarebbero potute comparire in pubblicità sulle pagine dei nostri contatti. Anche allora si spiegava che tale pratica fosse "legale e menzionata" nelle Policy del social network. Il post è stato messo su da "qualcuno" che probabilmente non conosce le Condizioni d'uso di Facebook o che ha deciso di creare falsi allarmismi.

D'altronde è semplicemente ASSURDO affermare che Foto, Video, Status e qualsiasi altro contenuto postato sulla piattaforma, possa essere ceduto a terzi o usato per scopi di marketing. Ovviamente raccomandiamo le best practice della privacy su Facebook. Prima di condividere qualsiasi contenuto sul social network privo di documentazione valida che possa avvalorare quanto viene asserito nei post, fate una ricerca Web ed in questo caso è sufficiente su Facebook.

giovedì 20 settembre 2012

Microsoft interrompe botnet Nitol, disponibile strumento controllo computer


All'inizio della scorsa settimana, la Corte Distrettuale degli Stati Uniti per il Distretto Orientale della Virginia ha dato il permesso a Microsoft Digital Crimes Unit di distruggere più di 500 diversi ceppi di malware che potenzialmente erano in grado di colpire milioni di utenti. Nome in codice "Operazione b70", questa azione legale e la rottura tecnica è spiegata chiaramente in uno studio [Microsoft-Study-into-b70.pdf] del centro sicurezza di Microsoft.

mercoledì 19 settembre 2012

Attenti alle e-mail provenienti da falso mittente Microsoft con virus incluso


Se avete ricevuto una e-mail, apparentemente proveniente da Microsoft, che afferma di spiegare "importanti modifiche al Contratto di servizi Microsoft", prestate attenzione. In effetti, il contratto che regola molti servizi online, inclusi l'account Microsoft e molti prodotti, è stato recentemente aggiornato e Microsoft sta inviando delle e-mail informative a tutti i suoi clienti. Ma gli esperti di Sophos hanno individuato delle e-mail fraudolente apparentemente identiche a quelle spedite dall'azienda di Redmond. Nel testo della mail si legge:

"We've updated the Microsoft Services Agreement , which governs many of our online services - including your Microsoft account and many of our online products and services for consumers, such as Hotmail, SkyDrive, Bing, MSN, Office.com, Windows Live Messenger, Windows Photo Gallery, Windows Movie Maker, Windows Mail Desktop and Windows Writer. Please read over the new Microsoft Services Agreement in the attached file to familiarise yourself with the changes we've made.

The updated agreement will take effect on 19 October, 2012. If you continue to use our services after 19th October, you agree to the terms of the new agreement or, of course you can cancel your service at any time.

We have modified the agreement to make it easier to read and understand, including using a question and answer format that we believe makes the terms much clearer. We also clarified how Microsoft uses your content to better protect consumers and improve our products, including aligning our usage to the way we're designing our cloud services to be highly integrated across many Microsoft products. We realise you may have personal conversations and store personal files using our products, and we want you to know that we prioritise your privacy."

Mail fraudolenta

Corpo del messaggio tradotto:

"Abbiamo aggiornato l'accordo di Microsoft Services, che disciplina molti dei nostri servizi online - compreso il tuo account di Microsoft e molti dei nostri prodotti e servizi online per i consumatori, come ad esempio Hotmail, SkyDrive, Bing, MSN, Office.com, Windows Live Messenger, Raccolta foto di Windows, Windows Movie Maker, Windows Mail Desktop e Writer Windows. Si prega di leggere il nuovo accordo i servizi Microsoft nel file allegato per familiarizzare con le modifiche che abbiamo fatto.

L'accordo aggiornato entrerà in vigore il 19 ottobre 2012. Se si continua a utilizzare i nostri servizi dopo il 19 ottobre, si accettano i termini del nuovo accordo o, naturalmente, si può annullare il servizio in qualsiasi momento.

Abbiamo modificato l'accordo per rendere più facile da leggere e capire, anche utilizzando un formato di domanda e risposta che riteniamo rende i termini molto più chiara. Abbiamo anche chiarito come Microsoft usa i tuoi contenuti per tutelare meglio i consumatori e migliorare i nostri prodotti, tra cui l'allineamento nostro uso al modo in cui stiamo progettando i nostri servizi cloud per essere altamente integrato in molti prodotti Microsoft. Ci rendiamo conto è possibile avere conversazioni personali e memorizzare i file personali che utilizzano i nostri prodotti, e vogliamo farvi sapere che abbiamo come priorità la vostra privacy."


Mail ufficiale di Microsoft

Per rendere la mail più credibile viene utilizzato il nuovo logo che Microsoft ha recentemente aggiornato dopo 25 anni. Il testo della mail è apparentemente genuino, ma l'indizio che dovrebbe far suonare il campanello d'allarme in merito a questa ultima e-mail, viene nel file allegato: Microsoft-Services-Agreement.pdf.exe. Per chi manca di cautela (o addirittura, gli utenti Windows che non hanno impostato la visualizzazione dei nomi dei file per intero) il file allegato potrebbe apparire come un documento Adobe PDF, piuttosto che un file eseguibile.

"Ma di sicuro, si tratta di un file exe. Ed esso si avvia come un cavallo di Troia backdoor nel Registro di sistema per l'esecuzione automatica all'avvio", spiega Graham Cluley, senior technology consultant di Sophos. Naturalmente, i messaggi non sono stati inviati affatto da Microsoft. I criminali informatici hanno forgiato l'intestazione del messaggio per ingannare ignari utenti a credere che la comunicazione è legittima, e fare clic sul file allegato.

I prodotti Sophos rilevano il malware utilizzato in questo attacco come Troj / Backdr-HG. Il trojan si replica in C:\Documents and Settings\All Users\svchost.exe e crea la chiave di registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Quindi, non fatevi ingannare da caratteri di fantasia, nomi affidabili e blande e-mail in stile aziendale come sopra. Il consiglio è quello di tenere aggiornato il proprio software antivirus e, ovviamente, di prestare attenzione alle e-mail che ricevete anche se apparentemente provenienti da note società. Non cliccate alla cieca su link o file allegati alle e-mail che potrebbero essere file eseguibili camuffati.

martedì 18 settembre 2012

Pericolosa falla 0-day in Internet Explorer colpisce tutti i sistemi Windows


Microsoft ha notificato attraverso un advisory di sicurezza l'esistenza di una falla zero-day in Internet Explorer. I tecnici di Redmond stanno lavorando a una patch correttiva, ma in attesa del rilascio è possibile ricorrere ad un workaround. La società ha invitato gli utenti di Internet Explorer 9 e precedenti versioni di adottare misure per proteggere i computer dagli attacchi pubblici sul buco di sicurezza recentemente scoperto da da Eric Romang, IT Security Advisor presso e-Business & Resilience Centre e Co-fondatore CTO di ZATAZ.com.

sabato 15 settembre 2012

Informativa bufala sulla privacy degli utenti FB si diffonde viralmente


Il testo dello status bufala su Facebook viene aggiornato almeno una volta all'anno. Da qualche giorno sta girando nuovamente su Facebook un post virale attraverso aggiornamento di status e/o commento, nel quale si accusa Facebook di essere ostile nei confronti della privacy, adesso che è diventata una società quotata in borsa. Ovviamente è del tutto falsa tale affermazione. Il contenuto del messaggio può variare leggermente, ma in sostanza afferma che tale pubblicazione è necessaria per proteggere la propria privacy sul social network. Il post bufala si basa sull'idea che Facebook con la recente quotazione in borsa influenzerà negativamente la privacy degli utenti. Nel messaggio si legge:

venerdì 14 settembre 2012

McAfee: Emma Watson la celebrità più pericolosa nelle ricerche Web 2012


Emma Watson ha sostituito Heidi Klum nel ruolo di celebrità più pericolosa da ricercare online nel 2012 secondo McAfee. Per il sesto anno consecutivo, McAfee ha analizzato i risultati delle ricerche effettuate sul Web sui personaggi più famosi della cultura popolare alla ricerca dei più pericolosi, tra attori di Hollywood, politici, atleti, musicisti, comici e personaggi pubblici.

Lo studio McAfee Most Dangerous Celebrities™ ha scoperto che le donne sono più pericolose rispetto agli uomini con Jessica Biel al secondo posto e Eva Mendes al terzo. Le donne Latine, poi, hanno infuocato la classifica, occupando saldamente cinque dei primi dieci posti. Dopo la Mendes, Selena Gomez, Shakira e Salma Hayek occupano rispettivamente il quarto, settimo e nono posto, mentre Sofia Vergara conclude la top 10. Il comico Jimmy Kimmel è l'unico maschio all’interno della top 20 di quest'anno.

Spesso i criminali informatici sfruttano le tendenze più in voga e i nomi delle celebrità più popolari per attirare le persone verso siti che in realtà nascondono software dannoso e che sono stati progettati per rubare password e informazioni personali. Chiunque cerchi i video o le immagini più recenti, potrebbe ritrovarsi con un computer carico di malware invece che di foto o altri contenuti. I risultati più pericolosi di quest’anno erano associati alla ricerca del nome delle celebrità con "download gratuiti" e "foto nuda".

"Oggi le celebrità sembrano a portata di mano, le persone si aspettano di poter trovare su internet le ultime foto, i video, i tweets, e le informazioni dell’ultima ora dei loro beniamini. Il materiale è disponibile e facilmente accessibile e l'interazione sempre più elevata, per questo sempre più spesso le persone fanno click su un link senza pensare ai rischi", ha dichiarato Paula Greve, direttore della ricerca sulla sicurezza Web di McAfee.

"Parallelamente all’aumento delle aspettative di chi effettua le ricerche, è cresciuto anche il livello e la sofisticatezza degli autori malware nel creare malvertising, minacce in grado di sfruttare il browser all’insaputa degli utenti, o mascherare URL dannosi all’interno degli URL abbreviati."

Quasi una ricerca su otto su Emma Watson può condurre a un sito dannoso

I fan alla ricerca di "Emma Watson e free downloads", "Emma Watson e foto nuda", "Emma Watson e falsi" o "Emma Watson e sballato" rischiano di incorrere in minacce online progettate per carpire le informazioni personali. Cliccando su questi siti pericolosi e scaricando foto e video i navigatori sono esposti al rischio di scaricare virus e malware.

I ricercatori di McAfee hanno scoperto che volendo ricercare le più recenti immagini di Emma Watson c’è una probabilità del 12,6% di arrivare su un sito web positivo alle minacce online, come spyware, adware, spam, phishing, virus e altro malware. Lo studio utilizza le valutazioni dei siti di McAfee® SiteAdvisor® che indicano quali siti sono rischiosi per la ricerca dei nomi delle celebrità sul web e calcola una percentuale di rischio complessivo. Le prime 10 celebrità dello studio di quest'anno che hanno avuto la più alta percentuale di rischio sono state:


Posizione   Celebrità

1. Emma Watson – Meglio conosciuta per il suo ruolo di Hermione Granger in "Harry Potter", l'attrice britannica in cima alla lista come celebrità più pericolosa del 2012. La Watson è inoltre protagonista di altri film, tra cui "My Week with Marilyn" (Marilyn) e "The Perks of Being a Wallflower" (Noi siamo infinito) ed è testimonial di Lancôme.

2. Jessica Biel – Già celebrità più pericolosa nel 2009 aveva perso qualche posizione per riconquistarne due quest'anno salendo dal 4 posto del 2011 al 2 di quest’anno. La Biel continua ad essere sotto i riflettori per il suo fidanzamento con Justin Timberlake e il suo ruolo in "Total Recall" del 2012.

3. Eva Mendes – Una new entry nella nostra classifica, la Mendes ha recitato in film come "2 Fast 2 Furious" e '"Hitch" attualmente nella cronaca rosa per la sua storia con Ryan Gosling.

4. Selena Gomez – La musicista e attrice è meglio conosciuta per il ruolo di Alex Russo nella serie Disney "Wizards of Waverly Place" (i Maghi di Waverly) e per la relazione con l’idolo delle teenager Justin Bieber. È stata scelta per il film di prossima uscita “Parental Guidance Suggested” ed è stata recentemente nominata una delle Top 10 Social Media Superstar da Forbes.

5. Halle Berry – L’attrice premio Oscar attrice è famosa per i ruoli in film d’azione e horror tra cui "Catwoman" e "Gothika". La Berry è oggi sotto i riflettori anche per la battaglia per la custodia di suo figlio con il padre Gabriel Aubry.

6. Megan Fox – L'attrice sexy è salita di 9 posizioni rispetto alla quindicesima che occupava lo scorso anno. Sulla cresta dell’onda per la notizia della sua gravidanza con il marito Brian Austin Green e per il suo ruolo nel film di prossima uscita “This is 40” (sequel di “Molto incinta”).

7. Shakira – La danzatrice del ventre cantante/compositrice nota per le sue canzoni “Hips Don’t Lie” e “Whenever, Wherever” si posiziona al numero 7. Recentemente è stata nominata una delle donne più potenti del mondo da Forbes ed è al 6 posto nella classifica dei Top 10 Social Media Superstar compilata da Forbes.

8. Cameron Diaz – Celebrità più pericolosa nel 2010, è scesa all'ottavo posto, con un numero leggermente inferiore di siti a rischio nelle ricerche effettuate quest'anno. E 'stata recentemente sotto i riflettori per la presunta relazione con Alex Rodriguez. Si dice anche che sarà la protagonista di "Expendables 3."

9. Salma Hayek – L'attrice, produttrice e regista ha ricevuto un Academy Award per il ruolo di Frida Kahlo in "Frida" e recentemente ha recitato in “Savages.” È attualmente nella cronaca per le controverse osservazioni sulla sua eredità messicana in una recente intervista a Vogue Germania. È sposata con il miliardario François-Henri Pinault.

10. Sofia Vergara – L'attrice e modella colombiana più nota per il suo ruolo comico di Gloria Delgado-Pritchett nella serie "Modern Family" della ABC vincitrice di un Emmy Award conclude la top 10. Ha anche recitato nel film "The Three Stooges" (I tre marmittoni) di quest'anno ed è stata recentemente nominata da Forbes una delle donne più potenti del mondo e l’attrice TV più pagata. Ha recentemente annunciato il suo fidanzamento con l’uomo d'affari Nick Loeb.

È pericoloso cercare le donne latine


Eva Mendes (No. 3), Selena Gomez (No. 4), Shakira (No. 7), Salma Hayek (No. 9), e Sofia Vergara (No. 10) sono 5 delle prime 10 celebrità più pericolose in elenco.


Le donne sono più pericolose degli uomini


Jimmy Kimmel (n ° 13) è l'unico uomo nelle prime 20 posizioni, con Piers Morgan e Brad Pitt che escono dalla lista di dove figuravano rispettivamente al 3° e al ° 10 posto.


Attenti alle Supermodel


Tre top model sono rientrate nella top 20 di quest'anno. Ricercare file da scaricare relativi a Elle Macpherson (n. 16), Bar Refaeli (n. 17), e Kate Upton (n. 20) può condurre a siti pericolosi.


Le musiciste non sono sicure


Le giovani artiste portano quasi certamente a siti web con malware e rischiosi. Selena Gomez (n. 4), Shakira (n. 7), e Taylor Swift (n. 15) tutte classificate tra i primi 20.


I titoli non fanno il malware


Tom Cruise, Katie Holmes, Kristen Stewart e Robert Pattinson hanno tutti disertato la top 50 di quest'anno, nonostante la pubblicità che circonda il divorzio Cruise-Holmes e lo scandalo del tradimento Stewart-Pattinson.


"Film Hot e spettacoli televisivi, premi e riconoscimenti del settore sembrano attirare più delle prime pagine", ha concluso la Greve. "Eppure, la ricerca su qualsiasi celebrità può portare a siti pericolosi, come nel caso di celebrità Tedesche e Italiane che quest’anno hanno dato risultati che non li hanno fatti includere tra i più pericolosi. Il pubblico dovrebbe usare cautela evitando di fare clic sulle pagine che sembrano sospette".

Da un anno all’altro


Heidi Klum, Piers Morgan, Mila Kunis, Katherine Heigl, Anna Paquin, Adriana Lima Scarlett Johansson, Brad Pitt, Emma Stone, e Rachel McAdams quest'anno hanno abbandonato la top 10 (lo scorso anno Pitt, Stone e McAdams si contendevano la 10° posizione).


Suggerimenti per proteggersi:


Prestare attenzione quando viene chiesto di scaricare qualcosa prima di fornire all'utente contenuti. Si consiglia di scegliere di guardare i video in streaming o di scaricare i contenuti da un sito stabilito, come Hulu, Netflix, NBC, o ABCtv.


- I download gratuiti sono significativamente il termine di ricerca a rischio più elevato. Chi cerca video o file da scaricare deve fare attenzione per non avviare del malware sul proprio computer.

- Dal momento che la maggior parte delle persone utilizza una varietà di dispositivi per seguire su Internet i propri beniamini, è bene essere sicuri di avere, una protezione completa e aggiornata per tutti i dispositivi. È importante disporre di una protezione, come ad esempio McAfee® All Access, su tutti i dispositivi di Internet, inclusi PC, Mac, smartphone, tablet e netbook.

Una versione gratuita di SiteAdvisor può essere scaricata sul sito www.siteadvisor.com.

Ulteriori informazioni:

- Ulteriori informazioni sulla ricerca e sui risultati sono disponibili ai seguenti indirizzi:



Informazioni aggiornate sulle ultime minacce rilevate e consigli per navigare in modo sicuro sono disponibili presso McAfee Security Advice Center e sulla pagina Facebook di McAfee www.facebook.com/mcafee.

La tecnologia McAfee® SiteAdvisor®

La tecnologia McAfee SiteAdvisor protegge gli utenti da siti web pericolosi e exploit del browser e informa gli utenti se un sito web è stato analizzato da McAfee. La tecnologia SiteAdvisor testa e classifica ogni sito trafficato su Internet e utilizza icone di coloro rosso, giallo e verde per indicare il livello di pericolosità di un sito web. I punteggi dei siti di SiteAdvisor vengono creati utilizzando una tecnologia avanzata brevettata per condurre test automatici dei siti web.

mercoledì 12 settembre 2012

Bufala su Facebook: a tutti i miei contatti, ora si sentono cose su persone


Da qualche settimana sta girando su Facebook un messaggio allarmante che avviserebbe d'un grosso problema di privacy che colpirebbe tutti i profili del social network, indipendentemente dalle impostazioni sulla privacy scelte da ciascun utente. Nel messaggio diffuso sotto forma di post o commento si legge in particolare:

"A tutti i miei contatti, chiedo per favore: con i cambiamenti FB ora si sentono cose su persone che non hai nei tuoi contatti. Solo perché un contatto dei nostri mette un commento o mette un "mi piace" amici di amici lo vedono. Non voglio che le persone che non sono tra i miei contatti possano leggere e vedere tutti i miei commenti e le cose.

Ma non posso cambiarlo da solo, perché facebook è configurato in questo modo. Così per favore chiedo di mettere il mouse sul mio nome (senza cliccare), dovrebbe apparire una finestra, metti il mouse sopra "Amici" (senza cliccare), poi cliccate su "impostazioni" e appare una lista.

Clicca su "commenti e mi piace" e rimuovere la crocetta, così la mia attività tra i miei amici e la mia famiglia non diventa di pubblico dominio. Molte grazie! Clicca "mi piace" in questo commento, se si vuole fare con il tuo profilo. E incolla questo alla tua parete affinché i contatti facciano lo stesso, se siete interessati nella vostra privacy; Grazie di ♥"



Del presunto problema se ne parla anche nel forum del Centro Assistenza di Facebook, dove vengono posti diversi quesiti e ai quali gli utenti rispondono con diverse soluzioni e addirittura qualcuno fornisce proprio la presunta soluzione indicata nel post precedente.


Il messaggio è una versione rivista e corretta della bufala diffusa l'anno scorso, dove si dice che Facebook è cambiato e tutti i commenti, Like, ecc. sono adesso disponibili su Google. In realtà qualsiasi azione sul social network dipende dalle Impostazioni sulla privacy del proprio profilo, tenendo presente che quella intrapresa sulle Pagine e gruppi pubblici, sono visibili a tutti.

Da quando è stata introdotta la Timeline per i profili, nulla è cambiato rispetto alle vecchie impostazioni.  Quando si scrive un nuovo commento, viene pubblicato un video o una foto, un link, si cambia stato sentimentale, ecc. tutti gli amici vedranno in tempo reale e sul Riquadro aggiornamenti l'azione effettuata su Facebook. E' possibile nascondere le Attività recenti cliccando sulla matita nell'apposito riquadro.


Queste notizie sono visibili solo agli utenti che possono visualizzare i contenuti specifici pubblicati, in base alle impostazioni sulla privacy selezionate da chi pubblica il contenuto. Ad esempio, se si commenta lo stato di un amico, soltanto le persone che sono autorizzate a vedere lo stato del proprio amico possono visualizzare la notizia relativa al vostro commento quando guardano la vostra bacheca.


Se invece seguiamo le istruzioni indicate nel post bufala, cioè passiamo il mouse sul nome del nostro amico senza cliccare (o sul pulsante "Amici" della Timeline) si aprirà un menù a discesa e, togliendo il segno di spunta dalle varie voci, non faremo altro che nascondere le attività dei nostri amici e dunque non vedremo le rispettive azioni quali aggiornamenti di stato, commenti, Mi piace, ecc.


Ma le attività degli amici saranno comunque visibili altrove in base alle loro Impostazioni sulla privacy. Dunque effettuare un'azione del genere non serve a nulla, al contrario nasconderà semplicemente dalla vostra Home e dal News Ticker le attività effettuate dagli amici. Piuttosto bisogna controllare le proprie Impostazioni sulla privacy andando a www.facebook.com/settings/?tab=privacy e scegliere chi può vedere le vostre informazioni di base.


Se non ricordate con chi avete condiviso un contenuto o cambiate idea sulle persone con cui volete condividere un post, potete controllare immediatamente il pubblico selezionato grazie ai controlli visualizzati accanto al post stesso. Controllate l'icona che indica i destinatari che avete scelto:


Lo strumento di selezione del pubblico si trova accanto a ogni post che scrivete e non su una pagina di impostazioni separata. Lo strumento memorizza il pubblico con cui condividete qualcosa e usa lo stesso pubblico quando condividete nuovi elementi finché non modificate l'impostazione.

Non credete a tutte le notizie che vengono trasmesse su Facebook attraverso aggiornamenti di status, post e commenti se non supportati d'una adeguata spiegazione tecnica. Inoltre, è già sufficiente leggere l'invito a copi/incollare per capire che si tratta d'una bufala.

L'utente non ha bisogno degli "aiutini" per condividere una notizia, ma è in grado da solo di decidere se ne vale la pena informare i propri amici. Quando si hanno dei dubbi per certe notizie che girano su Facebook è sufficiente fare una ricerca Web. Per ulteriori informazioni su come configurare adeguatamente la vostra privacy, vi rimandiamo a questo post.

sabato 8 settembre 2012

McAfee, suggerimenti degli esperti e risorse per proteggere i minori online


“Chi ha figli che utilizzano Internet si sente come intrappolato in un paradosso tecnologico.” dichiara Giorgio Bramati, Consumer Partner Manager, McAfee “Da un lato sappiamo bene quanto sia importante per i nostri figli poter familiarizzare con le nuove tecnologie e con i fantastici vantaggi che offrono. Dall'altro non possiamo non essere preoccupati dei pericoli presenti su Internet”.

venerdì 7 settembre 2012

BitTorrent, utenti sotto controllo durante il download e individuati in 3 ore


Gli utenti che scaricano file popolari come contenuti audio e video attraverso BitTorrent, possono avere i loro indirizzi IP registrati dal monitoraggio di alcune società entro tre ore. Questa rivelazione è la conclusione di uno studio presentato questa settimana alla conferenza SecureComm in Italia dal team di ricercatori composto da Tom Chothia , Marco Cova e Chris Novakovic presso l'Università di Birmingham. Per arrivare a questa conclusione, i ricercatori hanno osservato "1033 swarm attraverso 421tracker per 36 giorni nell'arco di 2 anni".

giovedì 6 settembre 2012

Wiper, virus dal comportamento distruttivo analizzato da Kaspersky Lab


Durante lo scorso aprile 2012, sono stati registrati una serie di incidenti riconducibili ad un programma malware, nome in codice Wiper, che attaccava i computer situati in alcuni stabilimenti petroliferi dell’Asia occidentale. Nel maggio 2012, i ricercatori di Kaspersky Lab hanno condotto una ricerca in collaborazione con International Telecommunication Union, per effettuare ulteriori indagini sugli incidenti e stabilire il potenziale di pericolosità del nuovo malware.

Oggi gli esperti di Kaspersky Lab hanno pubblicato una ricerca realizzata sulla base dell’analisi digitale delle immagini degli hard disk estratte dai computer attaccati da Wiper. Questa ricerca fornisce un’analisi dell’efficace metodo distruttivo di Wiper, compreso il singolare modello di cancellazione dei dati e il comportamento distruttivo.

Nonostante con la ricerca di Wiper sia stato involontariamente scoperto Flame, Wiper in sé non è mai stato scoperto durante le ricerche e rimane non identificato. Nel frattempo, il comportamento distruttivo di Wiper può avere incoraggiato gli altri a creare altri malware altamente nocivi quali Shamoon, rilevato nel corso del mese di agosto 2012.

Informazioni file Wiper (Virus Total)
SHA256: 4f02a9fcd2deb3936ede8ff009bd08662bdb1f365c0f4a78b3757a98c2f40400
SHA1: 7c0dc6a8f4d2d762a07a523f19b7acd2258f7ecc
MD5: b14299fd4d1cbfb4cc7486d978398214
File size: 966.0 KB (989184 bytes)
File name: file
File type: Win32 EXE
Tags: peexe
Detection ratio: 38 / 42
Analysis date: 2012-08-28 10:55:08 UTC (1 settimana, 2 giorni fa)

Risultati della ricerca:

  • Kaspersky Lab conferma che Wiper è stato responsabile degli attacchi lanciati contro computer situati nell’Asia occidentale tra il 21 e il 30 aprile 2012.
  • L’analisi delle immagini degli hard disk dei computer che sono stati distrutti da Wiper hanno rivelato una speciale modalità di cancellazione dei dati associata ad una determinata denominazione della componenete malware, che iniziava con ~D. Questi risultati ricordano Duqu e Stuxnet, che utilizzavano appunto nomi di file che iniziavano con ~D e che erano entrambi stati costruiti sulla stessa piattaforma di attacco, conosciuta con il nome di Tilded.
  • Kaspersky Lab ha iniziato la ricerca di altri file che iniziavano con ~D attraverso Kaspersky Security Network (KSN), per cercare di individuare altri file Wiper sfruttando la connessione con la piattaforma Tilded.
  • Durante questo processo, Kaspersky Lab ha identificato un numero considerevole di file nell’Asia occidentale denominati ~DEB93D.tmp. Una ulteriore analisi ha mostrato che questi file erano parte di una diversa tipologia di malware: Flame. Questa è la modalità con cui Kaspersky Lab ha scoperto Flame.
  • Nonostante Flame sia stato scoperto durante la ricerca di Wiper, i ricercatori di Kaspersky Lab sono convinti che Wiper e Flame siano due programmi malware distinti e separati.
  • Nonostante Kaspersky Lab abbia analizzato le tracce dell’infezione Wiper, il malware è ancora sconosciuto perchè non ci sono stati ulteriori incidenti che hanno seguito lo stesso modello e quindi non c’è stata nessuna individuazione del malware da parte della protezione proattiva di Kaspersky Lab.
  • Wiper è stato molto efficace e può avere portato alla creazione di “nuove varianti” come Shamoon.

Analisi dei computer attaccati da Wiper
L’analisi di Kaspersky Lab delle immagini degli hard disk prese dalle macchine distrutte da Wiper ha dimostrato che il programma nocivo cancellava gli hard disk dei computer e distruggeva tutti i dati che potevano essere utilizzati per identificare il malware. Il file system danneggiato da Wiper impediva il rebooting del computer e causava problemi di funzionamento.

Quindi, in ogni singola macchina analizzata, non rimaneva nulla dopo l’attivazione di Wiper e non era quindi possibile ripristinare il sistema o recuperare i dati. I ricercatori di Kaspersky Lab hanno comunque ottenuto alcuni dati interessanti, come la metodologia di cancellazione utilizzata dal malware, la nomenclatura e, in alcuni casi, le chiavi di registro che rivelavano i precedenti nomi dei file che erano stati cancellati dall’hard disk. Queste chiavi di registro mostravano tutte un nome del file che iniziava con ~D.


Metodologia di cancellazione unica
L’analisi della metodologia di cancellazione svelava un metodo utilizzato su ogni computer infettato da Wiper. L’algoritmo di Wiper è stato realizzato per distruggere velocemente quanti più file possibile, fino a molti gigabytes contemporaneamente. Circa tre delle quattro macchine hanno avuto i dati completamente cancellati.

Nel corso dell’operazione veniva cancellata la prima metà dell’hard disk e poi sistematicamente venivano cancellati i rimanenti dati che consentivano all’hard disk di funzionare correttamente, quindi il sistema andava in crash. Inoltre, siamo a conoscenza di attacchi Wiper che avevano come obiettivo file PNF e questo non avrebbe senso se non fosse direttamente correlato con la rimozione di ulteriori componenti malware. Questo è stato un risultato molto interessante, dal momento che Duqu e Stuxnet hanno mantenuto il proprio codice principale criptato nei file PNF.

Come la ricerca di Wiper ha portato alla scoperta di Flame
I file temporanei (TMP) che iniziavano con ~D, erano utilizzati anche da Duqu che era stato costruito sulla stessa piattaforma di attacco di Stuxnet, Tilded. Sulla base di questo indizio, il team di ricercatori ha iniziato a cercare altri potenziali file name sconosciuti collegati a Wiper e basati sulla piattaforma Tilded attraverso KSN, l’infrastruttura cloud utilizzata dai prodotti Kaspersky Lab per riportare dati di telemetria e garantire protezione immediata sotto forma di black list e regole euristiche che intercettano ogni nuova minaccia.

Durante questo procedimento, i ricercatori di Kaspersky Lab hanno individuato molti computer nell’Asia occidentale che contenevano il file name “~DEB93D.tmp”. Questa è la modalità con cui Kaspersky Lab ha scoperto Flame; nonostante ciò, Wiper non è stato individuato utilizzando questa metodologia e rimane tuttora non identificato.

Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha dichiarato: “Sulla base delle nostre analisi sui modelli di Wiper rimasti sulle immagini degli hard disk esaminati, non c’è alcun dubbio che il malware è esistito e che sia stato utilizzato per attaccare i computer nell’Asia occidentale nell’aprile del 2012 e forse anche prima, nel dicembre 2011. Nonostante Flame sia stato scoperto durante la ricerca di Wiper, siamo convinti che Wiper sia un malware diverso da Flame”.

“Il comportamento distruttivo di Wiper combinato con i file name che sono stati lasciati sui sistemi attaccati da Wiper ricordano molto il programma utilizzato dalla piattaforma Tilded. L’architettura modulare di Flame era completamente differente ed è stata realizzata per eseguire una campagna di cyber spionaggio. Non abbiamo inoltre identificato nessun comportamento distruttivo durante l’analisi di Flame”. Per ulteriori informazioni consultare Securelist.com.

mercoledì 5 settembre 2012

Kaspersky Lab, pericoli Internet per i bambini: pornografia e social network


Dal momento che Internet gioca un ruolo sempre più importante nella vita dei bambini, i genitori sono sempre più preoccupati per la facilità con cui è possibile accedere a contenuti indesiderati online. Questo è confermato dal numero crescente di persone che attivano il componente Filtro Genitori nei prodotti Kaspersky Lab. Alla vigilia del nuovo anno scolastico in molti paesi, Kaspersky Lab ha analizzato le statistiche generate dal suo componente Parental Control in tutto il mondo per gli ultimi sei mesi.

Il compito principale del componente Parental Control è quello di aiutare i genitori a proteggere i propri figli dai pericoli nascosti da utilizzo incontrollato di computer e di Internet. Per impostazione predefinita, il componente non è abilitato - che deve essere attivato dagli stessi genitori. I genitori possono scegliere quale delle 14 categorie di siti web che vogliono rendere disponibile per i propri figli.


I dati ricevuti da Kaspersky Security Network (KSN) mostrano che gli avvisi del componente Parental Control sono attivati ​​più di frequente da "pornografia, materiale erotico", "reti sociali" e le categorie di "software illegale". Globalmente, questi tre conducono sulle altre categorie con un ampio margine. Ci sono 60 milioni di tentativi di accesso a siti con contenuto pornografico ogni mese, che è quasi quattro volte maggiore rispetto al secondo posto della categoria. Gli avvisi generati dal componente Parental Control di Kaspersky Lab dimostrano che i bambini deliberatamente o involontariamente visitano siti con contenuti indesiderati.


Le statistiche degli avvisi genitori dei componenti di controllo non sono gli stessi per tutti i paesi. La categoria dei "server proxy anonimi" si è classificata terza sia negli Stati Uniti e nel Regno Unito, che rappresentano circa il 9% di tutti gli avvisi di questi paesi, la media mondiale per questa categoria è solo 2,43%. Anche nel Regno Unito, il quarto posto è stato occupato da "software illegale" (6,3%). Ovviamente, i bambini e gli adolescenti britannici hanno manifestato un vivo interesse nel software e hanno familiarità con i metodi per aggirare i filtri web e l'uso di anonymizer.

Un'altra caratteristica distintiva degli Stati Uniti e nel Regno Unito è stata la percentuale relativamente alta di avvisi attivati ​​dalla categoria "Gioco d'azzardo" - 5,77% e 5,68% rispettivamente. La percentuale della categoria "violenza" è stata anche elevato negli Stati Uniti - che occupa il quarto posto nel rating del paese con il 7,32% delle segnalazioni. Questo è più che in altri paesi analizzati.


Anche se la categoria "Pornografia, materiale erotico" è stata la leader in fuga negli Stati Uniti e nel Regno Unito, gli avvisi di Parental Control per le altre categorie sono stati più uniformemente distribuite rispetto agli altri paesi analizzati. Ciò indica che, in media, i genitori negli Stati Uniti e nel Regno Unito attivare più categorie del componente Parental Control dai genitori in altri paesi.

La Germania era il leader assoluto nella categoria "pornografia, materiale erotico": l'80% di tutti gli avvisi del paese sono stati innescati da questa categoria, che hanno notevolmente superato la media mondiale del 53,6%. Che in numeri assoluti, si traduce a 5,3 milioni di avvisi al mese.

Questo potrebbe essere dovuto al fatto che molti genitori in Germania attivano questa categoria nel componente Parental Control, lasciando libero accesso ai loro figli a siti web in tutte le altre categorie. In Brasile, la leader assoluta è stata la categoria "Social network" con il 57,84% - il doppio rispetto alla categoria "Pornografia, materiale erotico". Questa quota di segnalazioni di Parental Control differiva significativamente da quella della media mondiale.

"Anche se a molti bambini si insegnano gli aspetti della sicurezza in Internet a scuola, l'industria IT, inoltre, può fare la sua parte e contribuire a salvaguardare la linea giovani, aumentando la consapevolezza dei pericoli on-line sia tra i bambini e i loro genitori. Questo può aiutare i genitori a prendere un atteggiamento più proattivo nel mantenere i loro figli online. La consulenza, chiara, evidente e accessibile contenuta nei servizi del settore IT - in particolare al punto di fornitura - può contribuire a garantire che i bambini e i giovani possano tranquillamente ottenere il massimo da tali servizi. Ed è importante avere un approccio coordinato in tutto il settore per assicurare che le informazioni ai genitori vengano distribuito in modo efficace", ha dichiarato Peter Davies, direttore esecutivo del Child Exploitation e Online Protection (CEOP) Centro che opera in tutto il Regno Unito.

"I pericoli di Internet stanno aumentando di giorno in giorno, anche se questo non ha impedito ai bambini di diventare ancora più attivi sui social network nell'ultimo anno. I social network sono un ambiente estremamente pericolosi per i bambini. Essi sono il terreno di caccia privilegiato di criminali informatici che li usano per diffondere link pericolosi e collegamenti a pagine web fraudolente. Sono anche un luogo in cui il bambino può entrare in contatto con persone sgradevoli o addirittura pericolose. Al tempo stesso, non si devono dimenticare i pericoli più tradizionali on-line, come ad esempio la visualizzazione di contenuti che non sono destinati a bambini e truffe di phishing e vari altri tipi di frode", ha detto Konstantin Ignatev, responsabile del Web Content analist di Kaspersky Lab.