martedì 29 gennaio 2013

Messaggi da falso Facebook Security minacciano la disattivazione account


Un nuovo tentativo di phishing sta facendo il giro di Facebook. In queste ore alcuni utenti hanno segnalato la ricezione di messaggi che sembrerebbero inviati dal team di sicurezza del social network e nei quali viene minacciata la disattivazione del loro account per una presunta violazione dei termini di servizio di Facebook. Come in altre truffe descritte recentemente, l'utente potrebbe ricevere un messaggio sul social network proveniente da un falso profilo che recita testualmente:

"FINAL WARNING !! Important Safety of Facebook ..!!
Your account is reported to have violated the poliƈiës that are considëred annoying or insulting Facebook usërs. Until our seƈurity system will disable your aƈcount within 24 hours if you do not do the reƈonfirmation.
If you still want to use your account, please confirm your faƈebook acƈount below:
► http://security-pa**.my1.ru/confirmed/your-identity/facebook/index.html
attention: All accounts that are not verified within 24 hours will be removëd from our database and the user will not be able to use it again.
Thanks
Facebook Security Team™
Faƈëbооk © 2013 Cоpyrіght Nëtwоrk Inс."


Che tradotto:

"Ultimo avvertimento! Importante per la sicurezza di Facebook ..!
Il tuo account è stato segnalato per aver violato le policy che sono considerate fastidiose o hai insultato gli utenti di Facebook. Il nostro sistema di sicurezza disattiverà il tuo account entro 24 ore se non lo riconfermerai.
Se vuoi continuare a utilizzare il tuo account, si prega di confermare il tuo account facebook qui sotto:
► http://security-pa ** .my1.ru/confirmed/your-identity/facebook/index.html
attenzione: tutti gli account  che non vengono verificati entro 24 ore saranno rimossi dal nostro database e l'utente non sarà in grado di utilizzarli di nuovo.
Grazie
Facebook Security Team ™
Faƈëbооk © 2013 Nëtwоrk Cоpyrіght Inс. "

Come possiamo notare vengono usati dei caratteri speciali per le parole "chiave" del messaggio, come avviene per i cosiddetti attacchi di tipo omografico. Questo al fine di bypassare il sistema di sicurezza di Facebook che potrebbe bloccare un messaggio con caratteristiche di phishing. Se clicchiamo sul link veniamo rimandati ad una pagina esterna a Facebook che ripropone il classico layout della pagina di Facebook disabled:


Se introduciamo le nostre credenziali di accesso (attenzione che il browser compila automaticamente le caselle della e-mail e password perchè li riconosce come legittime), veniamo rimdandati ad una pagina dove vengono richiesti alcuni dati sensibili per poter confermare il nostro account. In particolare si legge sulla pagina:

"Assicurarsi di aver fornito un indirizzo email di contatto che appartiene a te o che siete collegati ad un account che appartiene a te. Per motivi di sicurezza, non siamo in grado di fornire informazioni sull'acount segnalato se introduci e-mail da un indirizzo associato all'account di un altro utente.

Si prega di riempire le tue informazioni corrette di seguito per verificare l'account.
Tutte le tue informazioni devono corrispondere alle informazioni sul vostro account.
Indirizzo e-mail:
Email che hai utilizzato per l'accesso
Password:
Seleziona la tua webmail:
Data di nascita:
Scegli una domanda di sicurezza a cui solo tu puoi rispondere.
Paese:


Dopo aver completato i campi ed aver confermato l'introduzione dei nostri dati, si aprirà una nuova pagina dove si chiede l'introduzione dei primi 6 numeri della nostra carta di credito, questo al fine di "proteggere i pagamenti del nostro account". In particolare si legge testualmente sulla pagina:

"Nota bene: sarà solo chiesto di completare una verifica di pagamento di verifica quando si tenta di fare un acquisto con i crediti Facebook. Non  saremo mai in grado di chiedere il vostro numero completo della carta di credito, ma si potranno chiedere per le prime sei cifre. 

1. Per proteggere le informazioni finanziarie, si può occasionalmente chiedere di autorizzare una transazione fornendo informazioni aggiuntive. 
2. È possibile che venga richiesto di completare una verifica di pagamento per l'acquisto di crediti Facebook da una pagina di applicazione o la scheda Pagamenti sotto le impostazioni di bilanciamento dei Credits. 
3. Per motivi di sicurezza, ti chiediamo di completare questa verifica, al fine di completare la sicurezza dell'account


Dopo aver introdotto i numeri della nostra carta di credito si aprirà una pagina dove si chiederà di proteggere in nostri pagamenti attraverso l'introduzione dei seguenti dati sensibili. Leggiamo testualmente sulla pagina:

"Verrà chiesto di completare una verifica di pagamento quando si tenta di fare un acquisto di crediti Facebook. Tutte le tue informazioni devono corrispondere alle informazioni sul vostro account.
Nome:
Cognome:
Numero Carta di Credito:
Tipo:
Data di scadenza:
Codice di sicurezza (CSC):
Indirizzo di fatturazione:
Fatturazione Indirizzo 2:
Città / Paese:
Stato / Provincia / Regione:
Zip / Codice Postale:
Paese:"


A questo punto saremo rimandati alla pagina ufficiale di Facebook Security. In realtà avremo consegnato tutti i nostri dati sensibili, i dati di login a Facebook e alla mail associata all'account, nonchè quelli della carta di credito al phisher di turno. Ricordiamo che Facebook comunica con gli utenti solo al momento del login al social network, o con avvisi  visualizzati nella parte alta della homepage se già loggati a Facebook. Come leggiamo sulla pagina di sicurezza di Google Chrome l'indirizzo è associato ad un sito noto per distribuire malware. Il dominio con estensione .RU è assegnato alla Russia. Verificate sempre l'indirizzo sul vostro browser che sia www.facebook.com.


Se avete introdotto per errore i vostri dati su pagine simili bloccate immediatamente la vostra carta di credito. Se il vostro account sta inviando spam (ad esempio pubblicità o link sospetti) o un'altra persona se n'è impossessata, potete recuperare il controllo cliccando su http://www.facebook.com/hacked.  Come spiega Facebook sul suo Help Center, se ci sono spese sul vostro account che non riconoscete, consultate la cronologia dei vostri acquisti per confermare che la responsabilità delle spese non è vostra o di qualcuno che conoscete. Se, dopo aver consultato la cronologia, non riconoscete ancora le spese, segnalatelo nel Centro assistenza per i crediti Facebook. all'indirizzo http://on.fb.me/11JHEUG. Per ulteriori informazioni: http://on.fb.me/RJh3AG

domenica 27 gennaio 2013

Scam su Facebook si diffonde attraverso tag e installa estensione rogue


Un nuovo scam ancora attivo è approdato da qualche ora su Facebook. Sono in tanti e in varie parti del mondo a segnalare attraverso post e status la presenza d'uno strano link che si diffonde attraverso tag. Un nostro amico che è caduto nella trappola può taggarci in un post dove si legge testualmente: "Terör Örgütüyle Yapılan Catışmada 300 Ölü Terörist Ele Gecirildi 50 Şehitimiz Var Videoyu İzlemek İcin : [WWW.EMREBEZEK.***] Bu Videoyu İzlemeyen bizden Değildir", che tradotto significa più o meno: "I terroristi dell'Organizzazione del Terrore hanno sequestrato 300 persone Ci sono 50 martiri uccisi Per vedere il video: [LINK] Questo video non si può guardare".


Come avviene in questi casi, l'utente che viene taggato nel post clicca sul link spinto dalla curiosità. Il link rimanda ad una pagina esterna a Facebook con estensione del nome a dominio .COM (e dunque apparenetemente lecito), che a sua volta effettua un redirect automatico ad un dominio con estensione .TK. Ricordiamo che il dominio gartuito .TK è stato utilizzato spesso in passato per truffe e scam perchè è sufficiente un tot numero di viste mensili per restare attivo.





Sulla pagina esterna ci viene richiesto un aggiornamento del lettore multimediale Flash Player. Se clicchiamo su qualsiasi parte della pagina si aprirà una finestra pop-up di dialogo dove verrà richiesto di installare un componente aggiuntivo per il browser, in particolare per il popolare browser Chrome di Google (non è infatti funzionante su altri browser come ad esempio Internet Explorer, Firefox o Opera. Se decidiamo di installare il plug-in aggiuntivo, questo potrà accedere a diverse informazioni memorizzate sul nostro browser.


Ad esempio, questa estensione può accedere a tutti i dati dell'utente  su tutti i siti web; leggere e modificare la cronologia di navigazione; accedere alle schede e all'attività di navigazione; gestire applicazioni, estensioni e temi; accedere ai dati copiati e incollati; accedere a tutto il testo pronunciato utilizzando la sintesi vocale di Chrome; modificare delle impostazioni che controllano l'accesso dei siti web a cookie, JavaScript e plug-in. Dunque molte informazioni importanti e non solo, come spiega Google.


Infatti effettuerà proprio attraverso Javascript delle azioni a nome e per conto dell'utente di Facebook che ha installato il plug-in malware. Tra l'altro l'estensione è ancora presente sul Play Store di Google. Come abbiamo sempre consigliato, per mitigare proprio queste tipologie di attacchi malware, attivate il controllo approvazione tag del profilo. Per rimuovere l'estensione rogue digitate sulla omnibox del brwoser il seguente comando: "chrome://extensions/" oppure cliccate sul pulsante in alto a destra di Chrome e al menu che si apre cliccate su "Impostazioni" e poi su "Estensioni".



Qui cercate il plug-in da rimuovere e dopo riavviate il browser. Naturalmente, non dimenticate di rimuovere il post dal vostro profilo. Ricordate sempre di aggiornare qualsiasi programma dal sito ufficiale quando possibile (ad esempio Adobe Flash Player dal sito http://get.adobe.com/flashplayer/). In ogni caso, per visualizzare un presunto video (che in realtà non esiste) non è necessario alcun aggiornamento, ed in particolare per Chrome l'evetuale update avviene in modo silente. Tra l'altro la versione attuale non è quella indicata nella truffa bensì la 11.5.502.146 che è stata recentemente rilasciata da Adobe per patchare numerose vulnerabilità.

giovedì 24 gennaio 2013

Nuovo Facebook Graph Search potrebbe compromettere sicurezza utenti


Facebook nei giorni scorsi ha presentato il suo strumento di ricerca grafico, che trasforma i dati personali che i miliardi di utenti hanno condiviso sul social network in un potente database ricercabile. Mentre è solo a rotazione su una base limitata negli Stati Uniti in questo momento, in ultima analisi, permetterà a tutti di cercare facilmente attraverso la rete le informazioni dei loro amici.

Graph Search permette ad un utente di Facebook di utilizzare la ricerca semantica per trovare e aggregare informazioni sulle persone sul social network. Facebook ha dichiarato che la sua nuova funzione rispetta le impostazioni sulla privacy. Ma, poiché  Graph Search può fornire gruppi di persone con interessi simili in modo organizzato, potrebbe diventare il migliore amico di un phisher, secondo Anup Ghosh, CEO di Invincea.

"Si rende il lavoro di ricerca degli obiettivi più facile perché i phisher non devono dipendere dai risultati di ricerca rumorsi di Google", ha detto a TechNewsWorld. "Non è un game-changer, ma rende più semplice la ricognizione". Graph Search può essere usato per offensive contro le organizzazioni di Big data, consentendo il data mining di persone, luoghi, foto e interessi, ha detto Angelo Grant, senior manager per le soluzioni di autenticazione di RSA.

"E semplicemente contribuire ad accelerare e semplificare la creazione di un mirato attacco di ingegneria sociale", ha aggiunto. "Anche se Graph Search è stato progettato con in mente la privacy, permettendo di vedere solo ciò che si potrebbe già vedere su Facebook - pensate a quante cose dei vostri amici voi non sapete adesso". Il developer Tom Scott, che già dispone di Graph Search, ha aperto un blog su Tumblr per questo e sta postando copie dell'uso di Graph Search.


Su Hacher News l'utente GuiA scrive: "Da un grande potere derivano grandi responsabilità. Aziende come Facebook e simili senza dubbio traggono grande potere dal loro 'social graph', tuttavia, le interazioni umane sono sottili, complesse, sfaccettate e spesso contraddittorie. Nulla di buono può venire fuori dall'applicare algoritmi stupidi (vale a dire, qualsiasi algoritmo), portando sempre a situazioni, nella migliore delle ipotesi, imbarazzanti, e nel peggiore dei casi, pericolose, per chi è nel sistema". 

"Io non credo - aggiunge GuiA - che sia una questione di fare le cose nel modo giusto o di fissarle cercando di mettere relazioni umane in un sistema informatico che non potrà mai riprodurre l'esperienza umana (tuttavia, si può fare molto felicemente del marketing). Il meglio che si può fare è completare alcuni dei sottoinsiemi molto concentrati di questo in un modo interessante. La vista di Zuckerberg in materia di privacy e l'Open Search sono risibili...".

In realtà, Facebook ha creato un video e la pagina per spiegare alle persone come funziona la privacy con  il nuovo Graph Search. "Con la ricerca grafica, è possibile cercare qualsiasi cosa in comune con te su Facebook, e gli altri possono trovare cose che hai condiviso con loro, compreso i contenuti pubblici. Ciò significa che persone diverse ottenere risultati diversi", dice Facebook sulla pagina .

Più di 1 miliardo di persone usano Facebook ogni mese, hanno condiviso più di 240 miliardi di foto sul sito, e formato più di 1 miliardo di connessioni. Ogni giorno, le persone condividono miliardi di pezzi di nuovi contenuti, e Search Graph ha bisogno di indicizzarli a pochi secondi dallo loro creazione. Quando si condivide qualcosa su Facebook, si arriva a decidere esattamente chi può vedere che il contenuto.


Mentre il nuovo strumento di ricerca Facebook rispetta le impostazioni, potrebbe voler dire che le vostre informazioni verranno maggiormente a galla. I vostri amici, compagni di scuola, datori di lavoro e altri potrebbero più facilmente scoprire cose che si pensava fossero private. È per questo che è il momento buono per rivedere le impostazioni sulla privacy e passare in rassegna i vostri dati su Facebook per assicurarsi che non state condividendo pubblicamente ciò che non si desidera.

Impostate le preferenze predefinite per condividere solo con gli amici. Sotto ogni aggiornamento di stato o una foto che condividete vi è un interruttore di piccole dimensioni che consente di selezionare con chi vi piacerebbe condividere quel pezzo di contenuto. Impostate su "Amici" e si aggiornerà automaticamente per tale impostazione su qualsiasi cosa che si condivide. In questo modo saprete che tutto ciò che si condivide andrà solo ai vostri amici. 

Si può sempre espandere su "Pubblico" o "Amici di amici", ma è meglio andare sul sicuro con l'impostazione predefinita. Con Search Graph è anche possibile cercare le foto. Ora è il momento di passare attraverso le foto in cui siete taggati e rimuovere il tag a quelle che non vi piacciono o potrebbero non essere appropriate. I nuovi strumenti per la privacy di Facebook hanno reso questo più semplice da fare. Passate attraverso i vostri amici e create le liste. Questa è l'unica opzione che può prendere la maggior parte del tempo. 

Facebook spiega che gli altri potranno vedere tutte le foto che sono autorizzate a vedere su Facebook, comprese quelle nascoste sulla vostra Timeline. È possibile creare diverse liste di persone che hanno accesso a diverse informazioni. Ad esempio, si potrebbe non volere che i vostri colleghi possano vedere o cercare le vostre foto. Al momento, Graph Search di Facebook è disponibile per un numero limitato di persone che usano il social network in inglese americano.

martedì 22 gennaio 2013

Symantec Intelligence Report, sesso domina il traffico mondiale di spam


Nel rapporto Symantec Intelligence Report di dicembre gli esperti di sicurezza hanno dato uno sguardo più da vicino al panorama delle minacce sulla base delle loro statistiche in tutto il mondo. Per il mese di dicembre, gli Stati Uniti ha sostenuto il dubbio onore di essere la principale fonte di spam a 12,7%, attacchi di phishing al 24,2%, e gli allegati dei virus al 40,9% a livello globale. Non è insolito per gli Stati Uniti essere alti in uno o due di queste tre categorie, ma rivendicando la tripla corona di distribuzione di risk-based è un pò meno comune. 

Nelle notizie altro paese, la Norvegia è saltato fino a diventare il paese più mirato per gli attacchi di phishing, come hanno stabilito gli esperti di Symantec rilevando che 1 su 81,4 email nel paese sono stati tentativi di phishing nel mese di dicembre. Anche la Norvegia è arrivata seconda come il più grande paese di origine, nella distribuzione del 20,2% di tutti gli attacchi di phishing in tutto il mondo. Le ragioni per cui un paese dovrebbe saltare in questo modo sono spesso molteplici, ma probabilmente a causa di una campagna di phishing concertata dagli aggressori. 

Gli esperti stanno tenendo d'occhio questo salto, e se da questo rilevamento diventerà una tendenza, ci riferiranno nei prossimi mesi. In altre notizie, la categoria Sesso/Incontri ha dominato il traffico mondiale di spam, che costituisce un enorme 82,6 per cento di tutto il traffico di spam. Questa categoria prende spesso il primo posto, battendo lo spam farmaceutico, ma il margine è raramente così rilevante. Il settore bancario è stato ancora una volta l'industria più mirata per il phishing, raccogliendo il 65 per cento di tutti gli attacchi del mese. 

Infine, oltre l'80% di tutti gli adware di questo mese sono stati segnalati da rilevamenti generici. Questo può non sembrare del tutto così eccitante, e  molti esperti pongono tali programmi indesiderati come sotto rilevamenti generici, ma è rara una percentuale così alta. Questo indica generalmente che i creatori di adware non stanno tentando qualcosa di nuovo o unico, magari dopo aver preso una pausa durante la stagione di vacanza.

Il rapporto mette in luce 
• Spam - 70,6 per cento (con un incremento di 1,8 punti percentuali rispetto a novembre)
• Phishing - Una mail su 377,4 sono state identificate come phishing (un aumento di 0,225 punti percentuali rispetto a novembre)
• Malware - Una mail su 277,8 conteneva malware (una diminuzione di 0,03 punti percentuali rispetto a novembre)
• Siti Web dannosi - 762 siti web bloccati al giorno (con un decremento del 58,7 per cento da novembre)

Analisi di Spam
Nel mese di dicembre, la percentuale globale di spam nel traffico di posta elettronica è aumentata di 1,8 punti percentuali da novembre, al 70,6 per cento (1 e-mail su 1,42). Questo segue la continua tendenza dei livelli di spam globali diminuendo gradualmente a partire dalla seconda metà del 2011.


Analisi di siti web di phishing
Il phishing complessivo è diminuito di circa il 34 per cento in questo mese. I domini unici sono diminuiti di circa il 14 per cento rispetto al mese precedente. I siti web di phishing che hanno utilizzato toolkit automatici sono diminuiti del 50 per cento. I siti web di phishing con domini IP (ad esempio, per i domini come http://255.255.255.255) sono diminuiti di circa il 14 per cento. I servizi di web hosting servizi comprendono il 4 per cento di tutto il phishing, con un decremento del 25 per cento rispetto al mese precedente. Il numero di siti di phishing non in lingua inglese è aumentato del 7 per cento. Tra i siti di phishing in lingua francese, italiano, portoghese, e cinesi sono stati i più alti nel mese di dicembre.

Minacce malware Web-based
Nel mese di dicembre, Symantec Intelligence ha identificato una media di 762 siti web ogni giorno ospitanti malware e altri programmi potenzialmente indesiderati come spyware e adware; una diminuzione del 58,7 per cento rispetto al mese di novembre. Questo riflette la velocità con cui i siti sono stati compromessi o creati allo scopo di diffondere contenuti dannosi. Spesso questo numero è più alto quando il malware web-based è in circolazione per un periodo di tempo più lungo per ampliare il suo potenziale di diffusione e aumentare la sua longevità.

Trend globali e di analisi del contenuto
Symantec ha stabilito alcune delle fonti più complete di dati sulle minacce di Internet in tutto il mondo attraverso la Symantec ™ Global Intelligence Network, che si compone di più di 64,6 milioni di sensori di attacco e le registrazioni di migliaia di eventi al secondo. Questa rete controlla l'attività di attacco in più di 200 paesi e territori attraverso una combinazione di prodotti e servizi Symantec, quali Symantec DeepSight ™ Threat Management System, Symantec ™ Managed Security Services e Norton ™, prodotti di consumo e altre fonti di dati terze parti. 

Inoltre, Symantec gestisce uno dei database di vulnerabilità più completi al mondo, è attualmente composto da più di 47.662 vulnerabilità registrate (estese per più di due decenni) di oltre 15.967 fornitori che rappresentano oltre 40.006 prodotti. Spam, phishing e dati di malware vengono catturate attraverso una varietà di fonti, tra cui la Symantec Probe Network, un sistema di più di 5 milioni di account da richiamo, Symantec.cloud e una serie di altre tecnologie di sicurezza Symantec. Skeptic ™, la tecnologia euristica proprietaria di Symantec.cloud è in grado di rilevare nuove e sofisticate minacce mirate prima di raggiungere le reti dei clienti. 

Oltre 8 miliardi di messaggi e-mail e oltre 1,4 miliardi di richieste Web vengono elaborate ogni giorno in 15 data center. Symantec raccoglie inoltre informazioni di phishing attraverso un vasta comunità antifrode delle aziende, fornitori di sicurezza, e più di 50 milioni di consumatori. Queste risorse danno agli analisti di Symantec fonti di dati senza precedenti con cui identificare, analizzare e fornire informazioni sulle tendenze emergenti negli attacchi, attività di codice maligno, phishing e spam. Il risultato è l'annuale Symantec Internet Threat Report sulla sicurezza, che offre alle aziende e ai consumatori le informazioni necessarie per proteggere i propri sistemi in modo efficace oggi e nel futuro. Il Report completo è disponibile a questo link.

Via: Symantec Blog
Foto credit: Symantec

giovedì 17 gennaio 2013

Internet/ contenuti inappropriati, privacy e ludopatia: allarme tra i bambini


Il lato oscuro della Rete
Un numero elevato di bambini è esposto a contenuti potenzialmente in grado di turbarli e certamente non adatti alla loro età. E' quanto emerge dall'Indagine conoscitiva sulla condizione dell'Infanzia e dell'Adolescenza in Italia 2012, presentata da Telefono Azzurro ed Eurispes. Più di un bambino su 4 (25,9%) ammette di essersi imbattuto in pagine Internet contenenti immagini di violenza, il 16% dei bambini ha trovato in Rete immagini di nudo, il 13% siti che esaltano la magrezza, il 12,2% siti con contenuti razzisti.

Per chiunque navighi, la violenza e i contenuti inappropriati sono comunque l’insidia nella quale è più facile imbattersi. I siti di informazione, così come quelli esplicitamente ludici, contengono spesso, senza filtri né particolari avvertenze, foto, immagini e addirittura video violenti, che risultano facilmente accessibili, anche solo per caso, a tutti i bambini che navigano abitualmente senza la supervisione degli adulti.

Sono i maschi, più delle femmine, ad incontrare, durante la navigazione, immagini decisamente violente: il 32,7% contro un più contenuto 19% delle bambine. Ciò dipende probabilmente dal fatto che i maschi sono i maggiori fruitori di quei videogiochi che tanto spesso si basano proprio sulla violenza stessa e che sono i più venduti, i cosiddetti “sparatutto”. Sono invece più numerose le bambine che si sono imbattute in siti con contenuti razzisti (14,5% contro il 10%) o che hanno visitato siti che esaltano la magrezza (14% contro 11,9%).

Internet e privacy.
Più di un bambino su 10 riferisce di aver trovato online sue foto private (12,4%) o sue foto che lo mettevano in imbarazzo(10,8%); l’8,3% ha visto pubblicati in Rete video privati, il 7,1% rivelazioni su propri fatti personali, il 6,7% video in cui egli stesso era presente che lo hanno imbarazzato. I dati confermano che la diffusione di materiale privato costituisce ormai un rischio diffuso persino tra i bambini, che per la loro giovane età dovrebbero avere meno dimestichezza con la pubblicazione di foto e video in Rete e l’utilizzo dei Social Network.

Quando si chiede ai bambini di parlare delle esperienze degli altri, il 7,8% ammette che un proprio amico/a si è trovato in pericolo per aver inviato via Internet le proprie password, il 6,8% per aver inviato il numero del proprio cellulare, il 6,4% il proprio indirizzo di casa, il 5,1% una foto di una persona nuda, il 4,2% il numero di carta di credito, il 2,5% la foto di se stesso nudo.

Adulti e tecnologie.
Mondi distanti? I bambini ritengono che i propri amici, nonostante la giovane età, sappiano utilizzare Internet più dei propri genitori e dei propri insegnanti. Per il 70,4% dei piccoli infatti i propri amici sanno utilizzare Internet (39,9% “bene”, 30,5% “abbastanza” bene), una percentuale che scende al 67,5% quando invece si tratta dei genitori (30,6% “bene”, 30,5% “abbastanza” ) e al 66% per gli insegnanti (35,8% “abbastanza” e 30,2% “molto”).

I nonni invece sono giudicati privi delle competenze indispensabili per utilizzare la Rete: solo il 4,8% ritiene che sappiano navigare molto bene, il 6,1% abbastanza bene, mentre per ben il 61,6% non sono per niente in grado di farlo o lo sanno fare poco (15,5%). Soprattutto i bambini del Sud giudicano inferiori le competenze informatiche dei propri insegnanti e dei propri nonni giudicandoli “per niente” capaci rispettivamente nel 9,1% e nel 72,4% dei casi.

Al contrario, i bambini meridionali - ma anche quelli delle Isole che fanno registrare il giudizio più negativo nei confronti dei propri genitori (12,9%) - attribuiscono più spesso degli altri ottime capacità di navigazione ai propri amici (per il 45,1% di quelli del Sud e per il 46,5% di quelli delle Isole gli amici sanno utilizzare Internet molto bene). L’incrocio dei dati conferma quindi la percezione del persistere di un certo ritardo del Mezzogiorno nella diffusione della Rete e nell’acquisizione delle competenze necessarie ad utilizzarla da parte degli adulti.


Controllo “a singhiozzo”.
La maggioranza dei bambini (63,6%) non possiede un pc proprio ed utilizza quello a cui accedono anche i propri genitori. Solo un terzo dei genitori, però, conosce le password da loro utilizzate in Rete (34,8%); un quarto (24,5%) può accedere alla posta elettronica dei figli. Il 21,9% dei genitori può accedere al profilo Facebook dei bambini. Quanto al cellulare, un genitore su tre conosce il codice pin del cellulare dei propri figli (36,1%), mentre il 15% sa sempre dove sono grazie ad un’applicazione presente nel cellulare.

Sono quindi abbastanza frequenti ma non ancora la maggioranza le famiglie in cui i genitori hanno modo di controllare direttamente il telefonino e l’utilizzo di Internet e pc da parte dei bambini. Nella maggior parte dei casi, infatti, i 7-11enni usano il cellulare, navigano e comunicano online (tramite posta o Social Network) senza che madri o padri possano controllare direttamente. Sono state oggetto d’indagine anche le forme di controllo esercitate da parte dei genitori sulle attività dei figli, in modo più nascosto ma invadente.

Al 22,3% dei bambini è capitato di accorgersi che un genitore si trovava alle sue spalle mentre usava il pc, il 20,4% ha notato che i propri messaggi sul cellulare erano stati letti ed il 20,2% che le proprie telefonate erano state ascoltate. Il 16,8% dei bambini riferisce di essersi accorto che i suoi genitori erano entrati nel suo profilo su un Social Network (Facebook, Twitter), per il 13,6% si trattava invece del controllo delle proprie chat e per il 10,4% della posta elettronica.

Forse troppo liberi di scegliere.
A quasi la metà dei bambini intervistati (49,4%) capita di scegliere cosa vedere in Internet e su che siti navigare parlandone prima con i propri genitori, ma solo nel 14,4% dei casi ciò avviene sempre (9,2% invece spesso); nella maggioranza dei casi la scelta condivisa riguarda episodi sporadici (qualche volta 13,7% e raramente 12,1%). Il 37,7% del campione, al contrario, non parla mai prima con i genitori di cosa vedere navigando in Rete.

Solo un bambino su 10 (11,4%) riferisce che i propri genitori hanno messo dei controlli/blocchi al computer per impedirgli di avere accesso a siti non adatti alla sua età. Se il 45,1% risponde negativamente, occorre però osservare che un consistente 43,5% non è in grado di esprimersi, segno che moltissimi bambini non sono a conoscenza dell’esistenza di questo tipo di blocchi o ignorano se i propri genitori li abbiano adottati.

Gioco d'azzardo.
Se l’82,9% dei bambini cui è stato sottoposto il questionario dichiara di non aver “mai” giocato online a soldi, la percentuale scende al 74,1% per il gioco a soldi non online: un bambino su quattro risulta coinvolto all’interno di un fenomeno (Ludopatia ndr) la cui portata e rilevanza non devono essere assolutamente sottovalutate. Gioca spesso a soldi online l’1,4% dei bambini del campione, lo fa qualche volta il 3% e raramente il 3,6%. I giochi che prevedono denaro non online fanno registrare percentuali maggiori (5,1% spesso, 3,8% qualche volta e 6,4% raramente). 

Riguardo al gioco d’azzardo non online, al Sud (con il 7%) si colloca la più alta percentuale di bambini che dichiara di giocare “spesso” (rispetto al 2,6% di quelli del Centro). Sono, invece, i bambini che risiedono nell’area geografica del Nord-Est quelli che più frequentemente affermano di giocare “qualche volta” non online a soldi (nel 6,1% dei casi). Interessante anche il dato relativo alle due diverse classi di età prese in considerazione (dai 7 ai 9 anni di età e dai 10 agli 11), dove la percentuale di quanti dichiarano di non aver “mai” giocato non online a soldi scende dal 77,5% dei più piccoli al 71% dei più grandi.

Per quanto riguarda invece il gioco d’azzardo online, i bambini che dichiarano di non giocare “mai” a soldi sono più numerosi al Sud (86,1%) che al Nord-Est (79%). Per quanto riguarda invece il luogo in cui si gioca più frequentemente, dopo Internet (41%) prevale nettamente la Sala giochi (13,8%); a questo proposito appare interessante notare come dall’incrocio dei dati in base al genere risulta chiaramente che essa viene frequentata molto di più dai maschi (17,3%) che dalle femmine (9,7%).

mercoledì 16 gennaio 2013

Kaspersky Lab individua Red October, campagna di spionaggio informatico


Kaspersky Lab ha pubblicato un nuovo rapporto di ricerca che ha individuato un inafferrabile campagna di cyber-spionaggio che ha come targeting diplomazia, organizzazioni di ricerca governative e scientifiche in diversi paesi per almeno cinque anni. L'obiettivo principale di questa campagna è rivolta a paesi dell'Europa dell'Est, ex Repubbliche URSS, e paesi in Asia centrale, anche se le vittime possono essere trovate in tutto il mondo, tra cui l'Europa occidentale e il Nord America. 

L'obiettivo principale degli aggressori era quello di raccogliere documenti sensibili da parte delle organizzazioni compromesse, tra cui l'intelligenza geopolitica, le credenziali per accedere ai sistemi informatici classificati, e i dati personali da dispositivi mobili e apparecchiature di rete. 

 A ottobre 2012 il team di esperti di Kaspersky Lab di esperti ha avviato un'inchiesta a seguito di una serie di attacchi contro reti informatiche destinate ad agenzie internazionali di servizio diplomatico.  Una attività in larga scala di cyber-spionaggio di rete è stato rivelato e analizzato nel corso dell'inchiesta. Secondo il rapporto di analisi di Kaspersky Lab, l'Operazione Red October (Ottobre Rosso), chiamata "Rocra" in breve, è ancora attiva a gennaio 2013, ed è una campagna che risale fino al 2007. 

Principali Research Findings
Ottobre Rosso, cyber-spionaggio di rete avanzato: gli aggressori sono attivi almeno dal 2007 e si sono concentrati sulle agenzie diplomatiche e governative di diversi paesi in tutto il mondo, oltre a istituti di ricerca, gruppi di energia e nucleare, obietivi commerciali e aerospaziali. Gli stessi aggressori di Ottobre Rosso hanno progettato il loro malware, identificato come "Rocra", che ha la sua singolare architettura modulare composta di codice dannoso, moduli info-stealing e Trojan backdoor. 

Gli aggressori utilizzano informazioni di frequente exfiltrate dalle reti infette come un modo per entrare nei sistemi aggiuntivi. Ad esempio, le credenziali rubate sono state riportate in un elenco e utilizzato quando gli attaccanti dovevano indovinare le password o frasi di accedere ai sistemi aggiuntivi. Per controllare la rete di computer infetti, gli attaccanti hanno creato più di 60 nomi a dominio e posizionato vari server di hosting in diversi paesi, la maggior parte in Germania e in Russia. 

Le analisi di Kaspersky Lab delle infrastrutture di Command & Control di Rocra (C2) dimostrano che la catena di server ha lavorato in realtà come proxy per nascondere la posizione del server di controllo della "mothership". Le informazioni rubate da sistemi infetti includono i documenti con le estensioni: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, chiave, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. In particolare, l'esetnsione "acid" sembra riferirsi al software classificato "Acid Cryptofiler", che viene utilizzato da diversi enti, dall'Unione Europea alla NATO. 

Vittime dell'infezione
Per infettare i sistemi gli attaccanti hanno inviato una e-mail di spear-phishing mirata a una vittima che ha incluso un Trojan dropper personalizzato. Per installare il malware e infettare il sistema, il messaggio di posta elettronica dannoso include exploit che sono stati costruiti per colpire vulnerabilità di sicurezza all'interno di Microsoft Office e Microsoft Excel [CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) e CVE-2012-0158 (MS Word)].

Gli exploit dei documenti utilizzati nelle e-mail di spear-phishing sono stati creati da altri attaccanti e impiegati durante attacchi informatici diversi, che includono attivisti tibetani e obiettivi militari e del settore energetico in Asia. L'unica cosa che è stata modificata nel documento utilizzato dal Rocra era l'eseguibile incorporato, che gli attaccanti lo hanno sostituito con il proprio codice. In particolare, uno dei comandi del Trojan dropper ha cambiato la tabella codici di sistema predefinita della sessione di prompt dei comandi a 1251, che è necessario per il rendering dei caratteri cirillici



Le vittime e le organizzazioni colpite 
Gli esperti di Kaspersky Lab hanno utilizzato due metodi per analizzare le vittime colpite. In primo luogo, hanno usato le statistiche di rilevamento da Kaspersky Security Network (KSN), il servizio di sicurezza basato su cloud utilizzato dai prodotti Kaspersky Lab per segnalare la telemetria e offrire una protezione avanzata delle minacce sotto forma di blacklist e le regole euristiche

KSN aveva rilevato il codice dell'exploit utilizzato dal malware già nel 2011, che ha consentito agli esperti di Kaspersky Lab di svolgere analoghe rilevazioni inerenti a Rocra. Il secondo metodo utilizzato dal team di ricerca di Kaspersky Lab è stata la creazione di un server sinkhole in modo da poter monitorare i computer infetti che si connettono a server C2 di Rocra. I dati ricevuti durante l'analisi di entrambi i metodi ha fornito due modi indipendenti correlati e confermano le loro scoperte. 

Statistiche KSN: diverse centinaia di sistemi unici infetti sono stati rilevati dai dati di KSN, con gli obiettivi  che erano per lo più ambasciate, reti governative e organizzazioni, istituti di ricerca scientifica e consolati. Secondo i dati KSN, la maggior parte delle infezioni che sono state identificate erano situate essenzialmente in Europa orientale, ma altre infezioni sono state rilevate anche in Nord America e nei paesi dell'Europa occidentale, come la Svizzera e il Lussemburgo.
Statistiche Sinkhole: L'analisi sinkhole di Kaspersky Lab ha avuto luogo dal 2 novembre 2012 al 10 gennaio 2013. Durante questo periodo più di 55.000 connessioni da 250 indirizzi IP infetti sono stati registrati in 39 paesi. La maggior parte delle connessioni IP infette provenivano dalla Svizzera, seguita da Kazakistan e Grecia.

Rocra malware: architettura funzionalità uniche
Gli attaccanti hanno creato una piattaforma di attacco multifunzionale che include diverse estensioni e file maligni progettati per adattarsi rapidamente alle configurazioni di diversi sistemi e dei gruppi di intelligence delle macchine infette. La piattaforma è unica per Rocra e non è stato identificata da Kaspersky Lab in precedenti campagne di cyber-spionaggio. Le notevoli caratteristiche includono:

• Modulo "Resurrezione": un modulo unico che consente ai malintenzionati di "resuscitare" le macchine infette. Il modulo è incorporato come plug-in all'interno di Adobe Reader e le installazioni di Microsoft Office e fornisce agli attaccanti un modo infallibile per riottenere l'accesso a un sistema di destinazione se il corpo del malware principale viene scoperto e rimosso, o se il sistema è patchato. Una volta che i sever C2S sono nuovamente operativi gli attaccanti inviano via e-mail un file specifico (PDF o un documento Office) alle macchine delle vittime, che attiverà il malware nuovamente.

Moduli-spia crittografati avanzati: lo scopo principale dei moduli di spionaggio è quello di rubare informazioni. Ciò include i file da sistemi crittografici differenti, come Acid Cryptofiler , che è noto per essere utilizzato in organizzazioni come la NATO, l'Unione europea, il Parlamento europeo e la Commissione europea a partire dall'estate del 2011 per proteggere le informazioni sensibili.

• Dispositivi mobile: oltre a colpire postazioni di lavoro tradizionali, il malware è in grado di rubare dati da dispositivi mobile, come smartphone (iPhone, Nokia e Windows Mobile). Il malware è anche in grado di rubare le informazioni di configurazione di dispositivi di rete aziendale, quali router e switch, così come i file cancellati da unità disco rimovibili.

 Identificazione Attaccante: sulla base dei dati di registrazione dei server C2 e le tracce lasciate in numerosi eseguibili del malware, vi è una forte evidenza tecnica che indica l'origine degli attaccanti di lingua russa. Inoltre, i file eseguibili utilizzati dagli aggressori erano sconosciuti fino a poco tempo, e non sono stati identificati dagli esperti di Kaspersky Lab durante l'analisi dei precedenti attacchi di cyber-spionaggio.

Kaspersky Lab, in collaborazione con le organizzazioni internazionali, le forze dell'ordine e Computer Emergency Response Team (CERT) continua la sua indagine Rocra offrendo consulenza tecnica e le risorse per le procedure di bonifica e di mitigazione. Kaspersky Lab desidera esprimere il suo ringraziamento a: US-CERT, il  CERT rumeno e il CERT bielorusso per la loro assistenza durante l'inchiesta. Il malware Rocra viene rilevato con successo, bloccato e bonificato dai prodotti Kaspersky Lab, classificato come Backdoor.Win32.Sputnik. Leggete il rapporto completo di ricerca di Rocra dagli esperti di Kaspersky Lab all'indirizzo http://www.securelist.com/en/blog/785/The_Red_October_Campaign_An_Advanced_Cyber_Espionage_Network_Targeting_Diplomatic_and_Government_Agencies

martedì 15 gennaio 2013

Dopo Oracle anche Microsoft rilascia aggiornamento correttivo fuori ciclo



Una vulnerabilità in Java Security Manager consente ad un applet Java di concedere il permesso di eseguire codice arbitrario. Un utente malintenzionato potrebbe utilizzare tecniche di ingegneria sociale per invogliare l'utente a visitare un link ad un sito Web che ospita una applet Java maligna. Un utente malintenzionato potrebbe inoltre compromettere un sito Web legittimo e caricare una applet Java maligna (un attacco "drive-by download").

Qualsiasi browser Web che utilizza il plug-in Java 7 plug-in è interessato. Il Java Deployment Toolkit plug-in e Java Web Start possono anche essere utilizzati come vettori di attacco. I rapporti indicano che questa vulnerabilità viene attivamente sfruttata, e il codice di exploit è disponibile al pubblico, secondo quanto riporta l'US CERT. Per questo motivo Oracle è corsa ai ripari, rilasciando nelle scorse ore una patch d'emergenza per risolvere il problema.

L'aggiornamento Java SE che risolve la vulnerabilità CVE-2013-0422 è cumulativo, includendo  tutte le correzioni precedenti di patch e avvisi di sicurezza critici. Gli sviluppatori possono scaricare l'ultima versione di Java SE JDK e JRE 7 da qui. Gli utenti che eseguono Java SE possono scaricare l'ultima versione di JRE 7 Update 11 dal sito ufficiale. Gli utenti della piattaforma Windows pssono utilizzare anche gli aggiornamenti automatici per ottenere l'ultima JRE 7 rilasciata.


Contestualmente Microsoft ha deviato dal suo consueto ciclo di patch mensile per il rilascio di un aggiornamento di emergenza per riparare un buco di sicurezza critico nel suo browser Internet Explorer che gli aggressori  hanno sfruttato per entrare nei PC Windows. L'aggiornamento out-of-band per la protezione risolve completamente il problema descritto nel Security Advisory 2794220.

Microsoft sostiene di aver visto solo un numero limitato di attacchi contro la falla, ma ha riconosciuto in un post sul blog che "esiste la possibilità che un maggior numero di clienti potrebbero essere interessati". Prima di oggi, Microsoft ha rilasciato un Fix It palliativo per aiutare a proteggersi dagli attacchi che sfruttano la falla di IE. Secondo Microsoft, "se in precedenza è stata applicata la correzione offerta attraverso la consulenza, non è necessario disinstallarla prima di applicare l'aggiornamento per la protezione odierno.

Tuttavia, la correzione non è più necessaria dopo che l'aggiornamento per la protezione è stato installato, quindi raccomandiamo di disinstallarla dopo aver applicato l'aggiornamento al sistema". Gli utenti che hanno applicato la soluzione Fix It possono disinstallarla facendo clic sull'icona Fix It sotto la dicitura "Disattiva soluzione shim MSHTML" in questa pagina. Questo aggiornamento per la protezione risolve una vulnerabilità divulgata pubblicamente in Internet Explorer versioni 6, 7, e 8.

La vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Un utente malintenzionato che riesca a sfruttare questa vulnerabilità, può ottenere gli stessi diritti utente dell'utente corrente. Gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione.


Questo aggiornamento per la protezione è considerato di livello critico per Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 su client Windows e di livello moderato per Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 su server Windows. Internet Explorer 9 e Internet Explorer 10 non sono colpiti. Per ulteriori informazioni, vedere il bollettino 2799329. Microsoft ringrazia Exodus Intelligence per aver collaborato con noi per risolvere la vulnerabilità.

Non si tratta di un aggiornamento cumulativo e non richiede il riavvio del sistema. La maggior parte dei clienti che hanno l'aggiornamento automatico abilitato, non devono intraprendere alcuna azione, poiché questo aggiornamento per la protezione viene scaricato e installato automaticamente. I clienti che non hanno attivato la funzionalità "Aggiornamenti automatici" devono verificare la disponibilità di aggiornamenti e installare questo aggiornamento manualmente.

Per informazioni sulle opzioni di configurazione specifiche relative agli aggiornamenti automatici, vedere l'articolo della Microsoft Knowledge Base 294871. Per l'installazione da parte delle organizzazioni o gli utenti finali che desiderano installare manualmente questo aggiornamento per la protezione, Microsoft consiglia di applicare immediatamente l'aggiornamento utilizzando il software di gestione degli aggiornamenti o verificando la disponibilità degli aggiornamenti tramite il servizio Microsoft Update.

sabato 12 gennaio 2013

GFI Labs: utenti LinkedIn, PayPal e Amazon colpiti da spam il mese scorso


GFI Software ™ ha pubblicato il suo VIPRE ® report di dicembre 2012, una raccolta dei 10 più diffusi rilevamenti delle minacce incontrate il mese scorso. Nel mese di dicembre, i ricercatori delle minacce GFI hanno trovato una manciata di false app Google Play ™ nei mercati di hosting Trojan mobile, nonché un certo numero di campagne e-mail di spam che propongono messaggi da Amazon ®, PayPal ™ e LinkedIn ®.

"I cybercriminali spesso fanno lo sforzo di creare siti web fasulli ed e-mail di spam che appaiono autentici, al fine di aumentare le possibilità di catturare utenti di sorpresa e infettare i loro PC", ha dichiarato Christopher Boyd, senior threat researcher di GFI Software. "Nel corso dell'ultimo anno, abbiamo visto i criminali informatici migliorare la loro capacità di fabbricare siti ancora più convincenti che predano gli utenti che si precipitano a fornire informazioni personali o installare applicazioni senza completamente indagare la legittimità della fonte. Gli utenti dovrebbero essere molto attenti in ogni situazione, prendendo il tempo di guardare gli URL e manualmente la navigazione verso i siti che si desidera visitare".


Gli utenti Android ™ alla ricerca di driver di Windows per i loro smartphone su Yahoo! hanno incontrato vari tipi di infezioni dllo stesso URL maligno lo scorso mese, a seconda del tipo di dispositivo che viene utilizzato per condurre la loro ricerca. Gli utenti che navigavano da un PC hanno avviato un download automatico di un cavallo di Troia, quando hanno cliccato sul link maligno, mentre gli utenti alla ricerca di un dispositivo Android sono stati reindirizzati a un certo numero di siti web infetti pieni di falsi risultati di ricerca.

Questi risultati portano ai mercati di false Google Play app che ospitano due tipi di Trojan Android, simili a quelli del Boxer Trojan, che hanno dirottato il telefono della vittima e inviato messaggi SMS a numeri premium. Gli utenti di LinkedIn sono stati vittime di una campagna di e-mail spam che ha inviato messaggi che indicano che un altro membro ha chiesto di collegarsi sul popolare sito di social networking. Gli utenti che hanno fatto clic sul link per accettare l'invito sono stati inviati a uno dei tanti siti web compromessi contenenti codice Blackhole Exploit Kit che li ha reindirizzati a un sito che ospita il Trojan Cridex.


I clienti di Amazon sono stati anche vittime di una campagna simile che ha inviato e-mail travestite da conferme d'ordine, ricevute, o conferme di ordine Kindle ™ e-book. Il mese scorso, lo stesso Trojan ha contagiato anche i sistemi di vittime di spam che hanno ricevuto e-mail di PayPal fraudolente in modo falso, sostenendo che il loro pagamento di considerevoli dimensioni era stato elaborato per un aggiornamento del sistema operativo  Windows ® 8.

I link contenuti nella e-mail hanno portato a siti con exploit Blackhole che servono Cridex. Tutte le truffe di cui sopra predano gli utenti sulla convinzione che stavano visitando siti autentici e necessaria l'attiva partecipazione da parte delle vittime che avevano bisogno di cliccare su link pericolosi all'interno delle email di spam. Ognuno avrebbe potuto evitata semplicemente verificando che gli indirizzi email utilizzati dai mittenti e gli URL a cui ogni link indirizzava sono stati associati con i siti web di fiducia e organizzazioni.


Top 10 delle minacce di dicembre 
Individuazioni GFI delle minacce top 10 del rilevamento che è stato compilato a partire dai dati di scansione raccolti da decine di migliaia di clienti VIPRE Antivirus che fanno parte di GFI ThreatNet ™ sistema automatico di rilevamento delle minacce. ThreatNet statistiche hanno rivelato che adware hanno dominato il mese, prendendo quattro dei primi 10 posti.


Informazioni su GFI Labs
GFI Labs è specializzata nella scoperta e analisi delle vulnerabilità e malware pericolosi. Il team di specialisti di sicurezza dedicati studia attivamente nuove epidemie di malware, la creazione di nuove definizioni delle minacce su una base costante per prodotti VIPRE antivirus home e business.


Informazioni su GFI
GFI Software fornisce la sicurezza web e mail, archiviazione e software fax, networking e la sicurezza e ha ospitato soluzioni IT per aziende e piccole medie imprese (PMI) con una vasta comunità di partner globali. I prodotti GFI sono disponibili sia come soluzioni on-premise, nel cloud o come un ibrido di entrambi i modelli di delivery. Con premiata tecnologia, una strategia di prezzi competitivi, e una forte attenzione alle esigenze specifiche delle piccole e medie aziende, GFI soddisfa le esigenze IT delle organizzazioni su scala globale.

La società ha uffici negli Stati Uniti, Regno Unito, Austria, Australia, Malta, Hong Kong, Filippine e Romania, che insieme supportare centinaia di migliaia di installazioni in tutto il mondo. GFI è orientata alla collaborazione con migliaia di partner in tutto il mondo ed è anche un Microsoft Gold Partner ISV

Disclaimer: Tutti i nomi di prodotti e  aziende qui menzionati possono essere marchi commerciali dei rispettivi possessori. Per quanto ci è dato conoscere, al momento della pubblicazione di questo documento tutti i dettagli sono corretti; le presenti informazioni sono tuttavia soggette a modifica senza preavviso.

Fonte: GFI Software

giovedì 10 gennaio 2013

Adobe Day: update per risolvere problemi in Flash Player, AIR e Acrobat


Nello stesso giorno del rilascio dei sette aggiornamenti da parte di Microsoft, arriva un importante update di sicurezza da Adobe, con due bollettini contenenti patch per Flash, Acrobat e Reader. Da tempo l'azienda di San Jose  ha scelto di pubblicare i suoi bollettini di sicurezza il secondo martedì del mese, come ha sempre fatto la casa di Redmond. Il primo bollettino di sicurezza di Adobe (APSB13-01) riguarda Flash Player.

Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player 11.5.502.135 e versioni precedenti per Windows, Adobe Flash Player 11.5.502.136 e versioni precedenti per Macintosh, Adobe Flash Player 11.2.202.258 e versioni precedenti per Linux, Adobe Flash Player 11.1.115.34 e versioni precedenti versioni per Android 4.x, e Adobe Flash Player 11.1.111.29 e versioni precedenti per Android 3.xe 2.x. 

Gli aggiornamenti risolvono una vulnerabilità che potrebbe causare un crash e potenzialmente consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Gli aggiornamenti risolvono una vulnerabilità di buffer overflow che potrebbe provocare l'esecuzione di codice (CVE-2013-0630). Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni: Gli utenti di Adobe Flash Player 11.5.502.135 e versioni precedenti per Windows dovrebbe aggiornare ad Adobe Flash Player 11.5.502.146.

Gli utenti di Adobe Flash Player 11.5.502.136 e versioni precedenti per Macintosh devono eseguire l'aggiornamento ad Adobe Flash Player 11.5.502.146. Gli utenti di Adobe Flash Player 11.2.202.258 e versioni precedenti per Linux devono eseguire l'aggiornamento ad Adobe Flash Player 11.2.202.261. Flash Player con Google Chrome verrà automaticamente aggiornato alla versione più recente di Google Chrome, che include Adobe Flash Player 11.5.31.137 per Windows, Macintosh e Linux.

Flash Player installato con Internet Explorer 10 per Windows 8 verrà automaticamente aggiornato alla versione più recente di Internet Explorer 10, che comprende Adobe Flash Player 11.3.378.5 per Windows. Gli utenti di Adobe Flash Player 11.1.115.34 e versioni precedenti sui dispositivi Android 4.x devono eseguire l'aggiornamento ad Adobe Flash Player 11.1.115.36. Gli utenti di Adobe Flash Player 11.1.111.29 e versioni precedenti per Android 3.x e versioni precedenti devono eseguire l'aggiornamento Flash Player alla versione 11.1.111.31.

Gli utenti di Adobe AIR 3.5.0.880 e versioni precedenti per Windows devono eseguire l'aggiornamento ad Adobe AIR 3.5.0.1060. Gli utenti di Adobe AIR 3.5.0.890 e versioni precedenti per Macintosh dovrebbe aggiornamento ad Adobe AIR 3.5.0.1060. Gli utenti di Adobe AIR SDK (include AIR per iOS) devono eseguire l'aggiornamento ad Adobe AIR 3.5.0.1060 SDK.  Per verificare la versione di Adobe Flash Player installato sul vostro sistema, accedere alla pagina Informazioni su Flash Player, oppure fare clic destro sul contenuto in esecuzione in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. 

Se si utilizzano più browser e non avete selezionato l'opzione "Consenti Adobe di installare gli aggiornamenti" (solo Windows e Macintosh), eseguire la verifica per ogni browser installato sul vostro sistema. Per verificare la versione di Adobe Flash Player per Android, vai in Impostazioni> Applicazioni> Gestisci applicazioni> Adobe Flash Player xx Per verificare la versione di Adobe AIR installata sul sistema, seguire le istruzioni riportate nella nota tecnica di Adobe AIR .

Adobe ringrazie le seguenti persone e l'organizzazione per aver segnalato il problema in questione e per lavorare con Adobe per proteggere i suoi clienti: Mateusz Jurczyk, Gynvael Coldwind, e Fermin Serna del Google Security Team. Il secondo bollettino Adobe (APSB13-02) è invece per Acrobat e Reader (Windows, Mac, Linux). Adobe ha rilasciato gli aggiornamenti di sicurezza per Reader e Acrobat XI (11.0.0) e versioni precedenti per Windows e Macintosh, e Adobe Reader 9.5.1 e versioni precedenti 9.x per Linux.. Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni.

Gli utenti di Adobe Reader XI (11.0.0) per Windows e Macintosh devono eseguire l'aggiornamento ad Adobe Reader XI (11.0.1). Per gli utenti di Adobe Reader X (10.1.4) e versioni precedenti per Windows e Macintosh, che non possono aggiornare ad Adobe Reader XI (11.0.1), Adobe ha reso disponibile l'aggiornamento di Adobe Reader X (10.1.5). Per gli utenti di Adobe Reader 9.5.2 e versioni precedenti per Windows e Macintosh, che non possono aggiornare ad Adobe Reader XI (11.0.1), Adobe ha reso disponibile l'aggiornamento per Adobe Reader 9.5.3. 

Gli utenti delle versioni di Adobe Reader 9.5.1 e versioni precedenti per Linux devono eseguire l'aggiornamento ad Adobe Reader 9.5.3. Gli utenti di Adobe Acrobat XI (11.0.0) per Windows e Macintosh dovrebbe aggiornare ad Adobe Acrobat XI (11.0.1). Gli utenti di Adobe Acrobat X (10.1.4) e versioni precedenti per Windows e Macintosh devono eseguire l'aggiornamento ad Adobe Acrobat X (10.1.5). Gli utenti di Adobe Acrobat 9.5.2 e versioni precedenti per Windows e Macintosh devono eseguire l'aggiornamento ad Adobe Acrobat 9.5.3.

Gli aggiornamenti risolvono vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2012-1530, CVE-2013-0601, CVE-2013-0605, CVE-2013-0616, CVE-2013-0619, CVE-2013-0620, CVE-2013-0623). Gli aggiornamenti risolvono una vulnearbilità use-after-free che potrebbe provocare l'esecuzione di codice (CVE-2013-0602). Questi aggiornamenti risolvono vulnerabilità di heap overflow che potrebbe provocare l'esecuzione di codice (CVE-2013-0603, CVE-2013-0604). 

Gli aggiornamenti risolvono vulnerabilità di stack overflow che potrebbero provocare l'esecuzione di codice (CVE-2013-0610, CVE-2013-0626). Gli aggiornamenti risolvono vulnerabilità buffer overflow che potrebbero provocare l'esecuzione di codice (CVE-2013-0606, CVE-2013-0612, CVE-2013-0615, CVE-2013-0617, CVE-2013-0621). Gli aggiornamenti risolvono vulnerabilità di integer overflow che potrebbero provocare l'esecuzione di codice (CVE-2013-0609, CVE-2013-0613). 

Gli aggiornamenti risolvono una vulnerabilità privilege escalation da locale (CVE-2013-0627). Gli aggiornamenti risolvono vulnerabilità di logic error che potrebbero provocare l'esecuzione di codice (CVE-2013-0607, CVE-2013-0608, CVE-2013-0611, CVE-2013-0614, CVE-2013-0618). Questi aggiornamenti risolvono vulnerabilità di security bypass (CVE-2013-0622, CVE-2013-0624). Adobe consiglia agli utenti di aggiornare le installazioni del software seguendo le istruzioni riportate di seguito.

Adobe Reader - Gli utenti di Windows e Macintosh possono utilizzare il meccanismo di update del prodotto. La configurazione di default è impostata per l'esecuzione automatica degli aggiornamenti a intervalli regolari. Update check può essere attivata manualmente scegliendo Aiuto> Ricerca aggiornamenti. Gli utenti di Adobe Reader per Windows possono inoltre trovare l'aggiornamento appropriato qui.  Gli utenti di Adobe Reader per Macintosh possono inoltre trovare l'aggiornamento appropriato qui. Gli utenti di Adobe Reader per Linux possono trovare l'aggiornamento appropriato qui

• Adobe Acrobat - Gli utenti possono utilizzare il meccanismo di update del prodotto. La configurazione di default è impostata per l'esecuzione automatica degli aggiornamenti a intervalli regolari. Update checks può essere attivata manualmente scegliendo Aiuto> Ricerca aggiornamenti. Acrobat Standard e Pro per gli utenti Windows possono inoltre trovare l'aggiornamento appropriato qui. Utenti di Acrobat Pro Extended per Windows possono inoltre trovare l'aggiornamento appropriato qui. Gli utenti di Acrobat Pro per Macintosh possono inoltre trovare l'aggiornamento appropriato qui.

Consigliamo le seguenti azioni da intraprendere: installare gli aggiornamenti forniti da Adobe; considerare l'installazione e l'esecuzione di Adobe Reader in modalità protetta; portare tutti i software come utente non privilegiato (senza privilegi amministrativi) per diminuire gli effetti di un attacco di successo; ricordiamo agli utenti di non visitare siti Web non attendibili oppure seguire i link forniti da fonti sconosciute o non attendibili; non aprire allegati di posta elettronica provenienti da fonti sconosciute o non attendibili.

Adobe ringrazia i singoli e le organizzazioni seguenti per aver segnalato i problemi specifici e per lavorare con Adobe per proteggere i suoi clienti: Nicolas Grégoire e Alexander attraverso Programma iDefense Vulnerability Contributor; Tom Gallagher di Microsoft e Microsoft Vulnerability Research (MSVR); Joel Geraci di Pratical:PDF; David D. rude II di iDefense Labs, Billy Rios, Federico Lanusse,  Mauro Gentile, Myke Hamada, Joost Bakker, Anand Bhat e Timothy McKenzie.

RIFERIMENTI 

mercoledì 9 gennaio 2013

Nasce EC3, il nuovo Centro Europeo contro la criminalità informatica


A partire dall’11 gennaio il nuovo Centro europeo per la lotta alla criminalità informatica (EC3) sarà pienamente operativo allo scopo di contribuire a proteggere i cittadini e le imprese europei dalla criminalità informatica. Cecilia Malmström, Commissaria UE per gli Affari interni, parteciperà all’inaugurazione ufficiale del Centro, situato presso l’Ufficio europeo di polizia (Europol) all’Aia (Paesi Bassi). 

“Il Centro per la lotta alla criminalità informatica darà un forte impulso alla capacità dell’UE di combattere la criminalità informatica e proteggere una rete internet libera, aperta e sicura. I criminali informatici sono intelligenti e veloci nell’utilizzare le nuove tecnologie per scopi criminali; il Centro EC3 ci aiuterà a diventare ancora più intelligenti e veloci al fine di contribuire a prevenire e combattere i reati informatici”, ha dichiarato la Commissaria Malmström. 

“Nella lotta alla criminalità informatica, priva di confini per natura e caratterizzata da una grande abilità dei criminali a nascondersi, è necessaria una risposta flessibile e adeguata. Il Centro europeo per la lotta alla criminalità informatica è stato istituito per fornire queste competenze in qualità di centro di fusione e di centro di sostegno operativo, investigativo e forense, ma anche grazie alla propria capacità di mobilitare tutte le risorse degli Stati membri dell’UE necessarie a mitigare e ridurre le minacce provenienti dai criminali informatici, ovunque essi operino”, ha dichiarato Troels Oerting, Capo del Centro europeo per la lotta alla criminalità informatica. 

Le indagini condotte in materia di frodi online, abusi su minori online e altri reati informatici coinvolgono regolarmente centinaia di vittime e di sospetti in diverse parti del mondo. Le operazioni di questa portata non possono essere portate a termine con successo esclusivamente dalle forze di polizia nazionali. L’apertura del Centro europeo per la lotta alla criminalità informatica (EC3) segna un notevole cambiamento rispetto al modo in cui l’UE ha affrontato la criminalità informatica fino ad oggi. 

Innanzitutto, l’approccio dell’EC3 sarà più lungimirante e inclusivo. Verranno riunite competenze ed informazioni, verrà fornito sostegno alle indagini penali e verranno promosse soluzioni a livello dell’UE. L’EC3 si concentrerà sulle attività illegali online compiute dalla criminalità organizzata, in particolare gli attacchi diretti contro l’e-banking e altre attività finanziarie online, lo sfruttamento sessuale dei minori online e i reati che colpiscono i sistemi di informazione e delle infrastrutture critiche dell’UE. 

Il Centro, inoltre, contribuirà a promuovere la ricerca e lo sviluppo, ad assicurare lo sviluppo di capacità da parte delle autorità incaricate dell’applicazione della legge, dei giudici e dei pubblici ministeri e a effettuare valutazioni delle minacce, compresi analisi delle tendenze, previsioni e allarmi rapidi. Per smantellare un numero maggiore di reti criminali informatiche e perseguire più indiziati, l’EC3 dovrà raccogliere e trattare dati relativi alla criminalità informatica e fungere da help desk per le unità di contrasto dei paesi dell’UE. 

Il Centro offrirà sostegno operativo ai paesi dell’UE (ad esempio contro le intrusioni, la frode, l’abuso sessuale di minori online, ecc.) e fornirà competenze tecniche, analitiche e forensi di alto livello nelle indagini congiunte dell’UE. Secondo un recente sondaggio dell’Eurobarometro la sicurezza informatica desta ancora molta preoccupazione tra i cittadini europei. L’89% degli utenti di internet non rivela informazioni personali online e il 12% è stato vittima di frode online. Circa un milione di persone nel mondo è vittima ogni giorno di varie forme di criminalità informatica. 

Secondo le stime le vittime perdono circa 290 miliardi di EUR ogni anno nel mondo a causa di attività criminali informatiche (Norton, 2011). All’interno de "La strategia di sicurezza interna dell’UE in azione" (IP/10/1535 e MEMO/10/598), adottata il 22 novembre 2010, la Commissione ha annunciato l’intenzione di istituire un Centro europeo per la lotta alla criminalità informatica (EC3). La creazione del Centro europeo per la lotta alla criminalità informatica (EC3) (IP/12/317 e MEMO/12/221) fa parte di una serie di misure intese a proteggere i cittadini dai reati informatici. 

Essa integra le proposte legislative quali la direttiva relativa agli attacchi contro i sistemi di informazione (IP/10/1239 e MEMO/10/463) e la direttiva relativa alla lotta contro lo sfruttamento sessuale dei minori e la pornografia minorile online adottata nel 2011 (IP/11/1255). La cerimonia d’inaugurazione ufficiale dell’EC3 si terrà l’11 gennaio presso la sede dell’Europol all’Aia, nei Paesi Bassi. Per ulteriori informazioni sul programma, si veda il sito web dell’Europol https://www.europol.europa.eu/content/news/ec3-opening-european-cybercrime-centre-1933