Archive for the ‘Mondo Sicurezza’ Category

Craccare la tecnologia Trusted…si può!

Venerdì, Febbraio 12th, 2010

Periodicamente ad Arlington, nello stato della Virginia, si celebra una conferenza intitolata Black Hat a cui partecipano i migliori cracker di tutto il mondo. In occasione del Black Hat 2010, svoltasi dal 31 gennaio al 3 febbraio scorsi, è stato illustrato il metodo per scardinare i meccanismi di sicurezza della piattaforma Trusted Platform Module (TPM).

L’Autore di questo scardinamento è Christopher Tarnovsky, un ingegnere elettronico conosciuto in tutto il mondo per aver infranto le barriere di altri soluzioni di sicurezza hardware-based, nonchè  fondatore e Ceo di Flylogic, già noto per aver crackato alcuni sistemi di codifica delle televisioni satellitari e smartcard.

Abbiamo in un articolo precedente parlato di Trusted Computing (TC) e il TPM è la stessa tecnologia applicata alle piattaforme mobili come iPhone, iPad, ecc.

La strategia seguita da Taronvsky è di fatto basata sulla possibilità di avere accesso fisico al sistema provvisto di modulo TPM e, al contempo, sulla capacità e la competenza per praticare un vero “hacking fisico” a livello di chip.

Tarnovsky ha impiegato circa sei mesi per riuscire a forzare i meccanismi di sicurezza del chip. Il processo seguito prevede anzitutto l’impiego di un bagno d’acido per dissolvere la copertura plastica del chip e, in un secondo momento, la rimozione della schiuma di protezione delle radiofrequenze per poter accedere ai collegamenti fisici e al cuore del chip.

Una volta esposte le “viscere digitali” del chip, mediante un’apposita strumentazione, Tarnovsky è stato capace di immettersi sul canale di comunicazione tra chip e sistema e di tenere traccia delle istruzioni di crittografia e di operare pertanto un reverse engineering volto a bypassare completamente le misure di sicurezza che il chip TPM è destinato a fornire.

Insomma una procedura alla portata di tutti! :)))

E’ chiaro che questa è una procedura non replicabile in un comune ambiente domestico, e il Trusted Computer Group è consapevole dei limiti di manomissione. L’importante è stato dimostrare ancora una volta la vulnerabilità della tecnologia!

E se il Trusted non ci darà tregua, oggi abbiamo la tecnologia software alla portata di tutti…domani chissà…quella Hardware!

Password dei conti bancari online: dimenticare è meglio di riciclare!

Sabato, Febbraio 6th, 2010

Secondo statistiche più del 50% degli utenti che possiedono Conti bancari online, utilizzano la stessa password di altri siti e servizi compromettendo la loro stessa sicurezza!

Si parla molto di Phishing e del tentativo da parte di Cracker di rubare le credenziali di accesso ai siti di Banking come Poste Italiane e Banche online. Ma a cosa serve incrementare le misure di sicurezza se siamo proprio noi utenti che con la nostra pigrizia rendiamo facile il lavoro ai criminali?

Utilizzare la stessa password di un Social Network non è una idea brillante e un vero esperto comprende il meccanismo esponenziale che stà alla base di un singolo furto di identità. Uno pescato, 1000 rubati.

Allora è facile comprendere come sia meglio dimenticare una password che non quello di correre rischi inutili. Ricordatevi anche che le Banche non chiedono mai tramite e-mail di aggiornare o modificare password e nominativo utente. Riceverete sempre una comunicazione a casa. Quindi si tratterà sempre, senza ombra di dubbi, di una frode.

Uomo avvisato, mezzo…

Sicurezza contro Spyware e Maleware: HijackThis e Malwarebytes

Sabato, Febbraio 6th, 2010

In questa sezione vi mostrerò due strumenti davvero utili in caso di situazioni critiche su piattaforma Windows.

Ieri mi chiama un amico disperato e in preda al panico e mi dice:

“E’ successo un casino al computer! Avviando Windows mi esce una schermata che mi avvisa di avere il computer infettato dal Virus Netsky  e praticamente ho lo sfondo cambiato, non mi fa partire le pagine internet, non mi fa premere CTRL+ALT+CANC, non mi fa entrare in Task Manager, mi mostra un avviso sulla barra delle applicazione e mi ha rallentato tutto il sistema! Ho fatto la scansione con NOD32…non risolve niente…ho provato con AVG…niente. Ho riavviato in modalità provvisoria e il problema si ripresenta nuovamente. Aiutami cosa devo fare?”

Molte volte i codici dannosi intelligenti bloccano le procedure che permettono di sospendere i processi maligni generati e impediscono l’accesso alle chiavi del  registro di Windows (REGEDIT) che contengono le stringhe necessarie al codice per partire ad ogni avvio del sistema.  Come fare allora per aggirare l’ostacolo che ci impedisce l’accesso a Regedit?

Ci sono dei software molto utili; uno di questi è HiJackThis.

Si tratta di un programma particolarmente adatto agli utenti più smaliziati che comunque può risultare di grande aiuto anche ai meno esperti. HijackThis, infatti, mette a disposizione un’utile funzione che consente di salvare ed esportare sotto forma di file di log (è un normale file di testo) le informazioni reperite sul vosto sistema. L’importante (come sottolinea anche il messaggio d’allerta visualizzato al primo avvio di HijackThis) è non cancellare per nessun motivo gli elementi dei quali non si conosce l’esatto significato. In caso contrario si rischierebbe di causare danni più o meno gravi al sistema operativo. In caso di dubbi chiedete sempre lumi a chi ne sa più di voi. Potete chiedere aiuto all’interno dei forum elencati nella pagina ufficiale di HijackThis.

HijackThis NON cancella i file maligni dal vostro PC, ma evita che questi vengano lanciati al successivo riavvio!

I pulsanti principali al primo avvio sono due:

Do a system scan and save a logfile: fa una scansione e ne salva il risultato in un file chiamato hijackthis.log che verrà posizionato nella stessa cartella dove abbiamo messo il programma. È utile se vogliamo far vedere l’analisi del software a qualcuno via mail o incollandone il testo in un forum. (Per i non esperti).

Do a system scan only: serve se sappiamo già dove mettere le mani o comunque si sono scoperte le voci da rimuovere. In pratica la lista delle chiavi viene direttamente mostrata su schermo, pronta per essere modificata.

Dopo la pressione del pulsante Scan, HijackThis mostrerà una serie di elementi. Essi mostrano le impostazioni attuali delle chiavi del registro di sistema e dei file appositi che regolano il comportamento di Internet Explorer ed, in generale, del sistema. Una raccomandazione: non premete mai il pulsante Fix checked prima di conoscere esattamente il significato di ogni elemento selezionato dall’elenco.

Nel caso del Virus Netsky, il software mi ha permesso nelle prime operazioni di selezionare tre chiavi del registro sospette:

- System.ini: Shell = Explorer.exe winlogon32.exe

- System.ini: UserInit= C:\Windows\winlogon32.exe

- Chiave: Run: [winupdate32.exe] c:\WINDOWS\System32\winupdate32.exe

Dopo averle selezionate il tasto Fix Checked li ha eliminate.

Ls fase 2, vede come protagonista il secondo software della recensione: Malwarebytes.

Malwarebytes Anti-Malware è un software che consente di proteggere il proprio personal computer dalle minacce in circolazione. Il programma funge da difesa contro virus, worm, trojan, rootkit, dialer, spyware e malware di ogni genere.
La versione gratuita del software permette di rilevare e rimuovere i malware eventuali rilevati sul personal computer ma non consente l’utilizzo della protezione in tempo reale per attivare la quale è necessario l’acquisto di una licenza d’uso. Nella versione freeware, inoltre, gli aggiornamenti debbono essere applicati manualmente prelevandoli dal sito web del produttore.

Le ultime release di Malwarebytes Anti-Malware sono compatibili anche con Windows Vista ed integrano un motore di scansione euristica antirootkit migliorato rispetto al passato. I vantaggi di questo software riguardano la trasparenza di installazione (sfugge anche ai maleware intelligenti) e la sua leggerezza. Una guida dettagliata la trovate anche qui.

La versione free è bastata al nostro scopo per trovare la soluzione.

Dopo 5 minuti di scansione rapida (all’avvio è possibile scieglire tra scansione rapida o completa) sono apparsi sullo schermo i risultati che comprendevano diverse chiavi infette, tra cui: quella che non permetteva il cambio dello sfondo desktop, quella che bloccava il taskmanager, ecc.

E’ stato sufficente riavviare. Abbiamo nuovamente eseguito Malware.. Il computer è tornato come prima.

La fine del Worm Conficker?!

Lunedì, Marzo 16th, 2009

Il Worm Conficker ha fatto parlare di sè, con più di diecimila computer infetti.

Se i dati relativi agli Stati Uniti parlano di un computer infetto ogni 100, in Paesi come Cina, Russia e Brasile il tasso di infezione si aggira intorno al 41%. Secondo gli esperti di sicurezza, a essere maggiormente colpiti sono quei Paesi in cui si trovano molte copie di Windows illegali, sulle quali gli utenti no applicano le patch.

Ma forse ora il vaccino è stato trovato e arriva dalla Romania.

BitDefender ha messo online un tool in grado - secondo le promesse della società - di rimuovere tutte le versioni del worm Conficker/Downadup, del quale spuntano continuamente nuove varianti.

Secondo il produttore rumeno, Conficker non è in grado di opporsi all’azione del tool, disabilitandolo come invece fa con il sistema di aggiornamenti automatici di Windows, il Centro Sicurezza e Windows Defender.

L’utilità di rimozione di Conficker è disponibile gratuitamente online sul sito bdtools.net, un dominio che non viene bloccato dal worm.

Usciremo dalla stato di quarantena?!

Attenzione nuovo link virus su Msn!!

Venerdì, Maggio 9th, 2008

Va in giro un nuovo malware che contagia gli utenti di Live Messegner e Msn Messenger. Esso si diffonde facilmente, tramite lo scambio di un messaggio simpatico e con un link che sembra serio, ma in realtà vi reindirizza allo scaricamento di un file con codice maligno. La cosa strana è che chi se lo becca, momentaneamente, cioè mentre il virus sta agendo, non vi è la possibilità di aprire query con i vostri contatti, e quindi la possibilità di avvisare i vostri amici di quello che sta accadendo.

Vi posto una delle frasi tipiche:

Hey. Ciao. Vedi che bel video che parla di me e di te:

Link maligno:

http://messenger.microsoft.server788.com/?video=biosulfur

No fatevi ingannare dalle parole messenger, microsoft o il vostro nick (pronunciato sulla fase finale del link stesso)… è una trappola!!!! Danger…. 

Service Pack 3 per Windows XP… finalmente on line!!

Venerdì, Maggio 9th, 2008

Grazie Microsoft!! Dopo mesi di attese, finalmente è scaricabile dal sito della casa produttrice il fantastico Service Pack 3, che non è altro che un insieme di tutte le patch rilasciate dall’uscita del service pack 2 fino ad oggi…

La versione in italiano e scaricabile in due modi:

- versione eseguibile

- versione ISO

Rammentiamo alcuni accorgimenti:

Se avete installato Internet Explorer 6.0, e aggiornate a Windows XP SP3, il sistema resterà con Internet Explorer 6.0 installato e non sarà possibile disinstallarlo, ma sarà possibile aggiornarlo ad una versione successiva (7.0 o 8.0);

Se avete installato Internet Explorer 7.0, e aggiornate a Windows XP SP3, il sistema resterà con Internet Explorer 7.0 installato e non sarà possibile disinstallarlo per passare ad esempio ad Internet Explorer 6.0, ma sarà possibile aggiornarlo ad una versione successiva (8.0);

Se avete installato Internet Explorer 8.0 Beta, e aggiornate a Windows XP SP3, il sistema resterà con Internet Explorer 8.0 Beta installato e non sarà possibile disinstallarlo.

Buon Lavoro.

Una nuova minaccia dagli mp3

Venerdì, Maggio 9th, 2008

Una nuova minaccia scorre sul filo delle nostre linee!! Si tratta di un virus che si insidia negli mp3 che si ottengono dall’utilizzo del P2P (ricordo di utlizzare il P2P solo nelle forme conformi alle leggi vigenti!!). Praticamente, dietro l’apparente brano musicale, si nascone un eseguibile, cioè un file .exe, che  una volta lanciato, cliccando sul file mp3, procede all’installazione di un fantomatico media palyer, ma in realtà dietro si celano una serie di file trojan che in pochissimo tempo infestano “tutto il pc”. I file in questione si trovano sulle reti Peer To Peer più comuni e hanno nomi come t-3545425-just got lucky.mp3. Un utente un po’ più esperto è al sicuro da tali minacce poichè il programma chiede più volte l’autorizzazione all’installazione: per procedere bisogna dare l’assenso all’esecuzione di due programmi, Mirar e NetNucleus. Nel blog della McAfee, che è colei che ha segnalato per prima questo evento sgradevole, ci sono tutte le varianti  dei nomi del visrus… buona lettura.

Service Pack 3 for Windows XP.

Giovedì, Aprile 17th, 2008

Salve popolo, come promesso dagli scagnozzi di Zio Bill, il tanto atteso Service Pack 3 for Windows Xp, detto anche l’ammazza Vista, arriverà sui nostri desktop martedì 29 aprile!! Il Serivice Pack 3 sarà disponibile dalla sezione download del sito della Microsoft. Sostanzialmente il SP 3 conterrà tutte le patch di sicurezza uscite dopo la publicazione del SP 2, ed in più, metterà a disposizione un nuovo sistema un client Network Access Protection (NAP), cioè di una piattaforma che permette di gestire a distanza la sicurezza delle macchine connesse in rete, con possibilità di sospendere le attività di quelle che si presentano a rischio di infezione virale o comunque sotto attacco informatico.La tecnologia è stata sviluppata da Microsoft con molti partner di primaria importanza, tra cui Capgemini, TredMicro e Nortel e consiste nell’assegnare un codice (certificato) dopo aver verificato lo stato di sicurezza di ogni computer connesso in rete; e sulla base della certificazione del grado di sicurezza -modulato ad esempio sul regolare aggiornamento degli antivirus o del sistema operativo in sé- lo scambio dei dati provenienti da una data macchina può anche essere completamente bloccato.

Buon Download!!!

Router violabili: colpa dei Browser!!!

Giovedì, Aprile 10th, 2008

Ancora una volta, sono stati messi sotto i riflettori le vulnerabilità dei browser. Da fonte certa (punto-informatico.it), si è appreso che alcuni tipi di router, in particolare quelli domestici, siano esposti al cracking tramite un sito appositamente predisposto. Questo tipo di attacco è chiamato DNS rebinding attack.

Ma come funziona? Praticamente, un applicazione javascript costringe il browser a cambiare le impostazione del router in modo da permettere un controllo remoto da parte del malintenzionato. Il trucco sfruttato, non è segno di vulnerabilità dei router, ma una falla nel browser, meglio spiegata come Core Browser Bug.

Con il diffondersi di router dotati di adattatore telefonico VoIP incorporato occorre, tra l’altro, fare ancora maggiore attenzione, perché il successo di iniziative come quella dimostrata da Kaminsky può abbattersi, oltre che sul dialogo con la rete in generale, sulla propria bolletta telefonica.

Quindi operazioni consigliate sono:

1. Cambiare la password e ID di default del router;

2. Disabilitare la funzione UPnP;

3. Controllare periodicamente le impostazioni del router;

4. Avere tutti gli strumenti di sicurezza aggiornati.

Attenzione frode telematica su PayPal…!!!

Giovedì, Aprile 10th, 2008

Chi di voi non possiede un conto Paypal? Pochissimi… bhe cari utenti, vi è in giro una frode telematica riguardante il famosissimo sito di transazioni monetarie. Una mail arriverà nella vostra casella di posta elettronica con le seguenti caratteristiche:

Oggetto: Attenzione! il vostro conto Paypal è stato limitato.

Mittente: Servizi Paypal

In realtà dietro codesta mail si cela una vera e propria truffa telematica: nella mail vi sarà scritto che una transazione, con relativo numero (chiaramente fasullo!!!) non è andata buon fine e pertanto il conto paypal è stato bloccato e per sbloccarlo cliccare sul tasto “Activer” in fondo alla stessa. In realtà questa operazione vi indirizzerà presso un sito di phishing, dove molto probabilamente vi chiederanno Username e password del vostro conto paypal etc… Una impossessati di tali numeri, il cracker, potrà farne quello che vuole… spendendo i vostri soldini alla faccia vostra!! Pertanto, se vi capita tale mail, non effettuate nessun click, ma segnalatela alla redazione di Paypal, digitando direttamente dalla barra degli indirizzi del vostro Browser l’indirizzo originale www.paypal.it.

Vi riporto il testo integrale della mail:

Informazioni riguardanti il vostro conto:
Caro cliente Paypal:

Attenzione! il vostro conto è stato limitato.

Nel quadro nelle nostre misure di sicurezza, verifichiamo regolarmente l’attività dello schermo paypal. Abbiamo chiesto informazioni a voi per la ragione seguente: Il nostro sistema ha individuato carichi insoliti ad una carta di credito legata al vostro conto PayPal.

Numero di riferimento: PP-259-187-991

Ã� l’ultimo richiamo per collegarli a PayPal, non appena possibile. Una volta che sarete collegare. PayPal vi fornirà misure per ristabilire l’accesso al vostro conto.

una volta collegato, seguite le tappe per attivare il vostro conto. Li ringraziamo della vostra comprensione mentre lavoriamo a garantire la sicurezza conta.

Li ringraziamo della vostra grande attenzione alla questione. S’il.vous.plaît capite che Ú una misura di sicurezza volta a proteggerli e il vostro conto. Ci scusiamo per qualsiasi inconveniente.

Dipartimento di rivista di conti PayPal.

Come si può notare, anche da errori di traduzione e scrittura, la mail è un’autentica frode. Infatti le due immagini, anche essendo originali del sito di Paypal.com, con realtivo URL veritiero, in realtà hanno un collegamento ad un link di un sito paritcolare

[http]:[//][www][dat][bladibladwalo][dat][biz] [/], che apparentemente risulta un sito pornografico, ma in realtà è qualcosa di più terrificante!! Volutamente non ho indicato la url precisa a cui le immagini presente nella mail fanno riferimento, ma solo il dominio principale. Pertanto cari amici, siete pregati di cestinare la mail il quanto prima e di segnalarla alle autorità competenti.