Tale backdoor, di difficile rilevazione, permette agli attacker di manipolare il Server e le pagine da esso servite eseguendo redirect verso siti malevoli o injection di codice malevolo nelle pagine servite.

La backdoor è stata definita una delle più sofisticate mai individuate in quanto sostituisce interamente il binario di Apache (httpd) modificandolo in modo tale che non lasci traccia di tutte le operazioni malevole effettuate.

Già alcuni mesi fa era stata individuata una versione meno evoluta di backdoor per Apache sempre mirata a modificare l’output delle pagine con l’aggiunta di codice malevolo. Ne abbiamo parlato a questo articolo.

Linux/Cdorked.A risulta essere molto più evoluto ed è configurato per accettare in input 23 diversi comandi sia per autoaggiornarsi, sia per cambiare la tipologia di codice da iniettare.

I ricercatori di Securi in collaborazione con lo staff di ESET hanno analizzato a fondo il comportamento di questa backdoor individuando le seguenti caratteristiche:

• esegue tutto nella memoria condivisa senza intaccare il file system così da rendere altamente difficile individuare la presenza della backdoor
• i comandi inviati al server dagli attacker sono offuscati così da non essere loggati
• sul server infetto viene installata una reverse backdoor attivabile tramite appositi comandi inviati via GET

Al fine di rilevare la presenza o meno della backdoor sul proprio server è stato realizzato uno script in Python che provvede ad analizzare la presenza di Linux/Cdorked.A nella memoria condivisa. Potete scaricare lo script dal link sottostante:

Download script per analisi infezione Linux/Cdorked.A

Questo quanto dichiarato da Securi:

“As previously mentioned, the permissions on the shared memory allocation are loose. This allows other process to access to memory. We have made a free tool (dump_cdorked_config.py) to allow systems administrators to verify the presence of the shared memory region and dump its content into a file. We also recommend using debsums for Debian or Ubuntu systems and `rpm–verify` for RPM based systems, to verify the integrity of your Apache web server package installation. (However, remember to temper this advice with the reality that the package manifest could have been altered by an attacker.) Checking for the presence of the shared memory is the recommended way to make sure you are not infected. We would be interested in receiving any memory dumps for further analysis.”

 L’analisi di questi casi è ancora in corso e non appena ci saranno novità provvederemo ad aggiornarvi.

FONTI: SecurityAffairs

Sophos Mobile Security

Come funzionano il filtro antispam SMS e per le chiamate? Quando riceveremo un sms o una chiamata per prima cosa verrà eseguito lo Spam Protection e a seguire verranno applicate le regole di filtro. Dopo essere stato verificato da Sophos Mobile Security alla ricerca di codici o link a siti malevoli noti verrà recapitato oppure spostato nella cartella “quarantena” dalla quale potrà essere ripristinato manualmente.

Lo stesso vale per le chiamate per le quali si potrà settare il filtro affinché ignori le chiamate provenienti da determinati numeri inseriti in blacklist o da numeri nascosti. 

Il fenomeno dell’SMS phishing ribattezzato SMiShing è in forte crescita e si stima che nello scorso anno il 60% degli utenti mobile ha ricevuto almeno un SMS di spam o malevolo.

Come abbiamo visto nel precedente articolo quasi 2 milioni di dispositivi Android sono stati recentemente infettati da applicazioni malevole. Google si sta confermando leader del mercato mobile con oltre il 50% di dispositivi mobile che utilizzano Android e, di conseguenza, sta diventando il bersaglio preferito della cybercriminalità che rilascia e tenta costantemente di violare la privacy degli utenti per rivendere informazioni o ottenere click su banner remunerati.

Alla luce di questi numeri e della sempre più diffusione di dispositivi Android, dallo smartphone al tablet arrivando ai futuri smartwatch e ai Google Glass, resta prioritario pensare alla sicurezza dei  nostri dati e dei nostri dispostivi.

Sophos Mobile Security ci viene in aiuto gratuitamente implementando tutte le misure di sicurezza necessarie per un dispositivo mobile: antivirus e antimalware, privacy advisor, protezione Web ed ora anche Spam filter per chiamate e SMS.

Potete scaricarlo gratuitamente dal Google Play Store.

Le app coinvolte erano quasi tutte in lingua russa e venivano pubblicate tramite 4 diversi account di sviluppatori. Il malware non era presente direttamente nel codice dell’app ma veniva veicolato tramite il circuito di banner presenti in essa che redirettavano verso siti che permettevano il download di Bad News bypassando sia la scansione di Bouncer (l’antivirus del Google Play Store) sia dell’antivirus del dispositivo.

Una volta infetti il malware permetteva di raccogliere dati sensibili del dispositivo come codice IMEI, numero di telefono ma anche di mandare SMS senza che l’utente se ne accorgesse. Inoltre al fine di diffondere nuovi malware generava messaggi di notifica fake che portavano a cliccare banner o, appunto, scaricare nuove app malevole.

Dall’analisi effettuata da Lookout i dispositivi potenzialmente infetti si aggirano sull’ordine dei 2 milioni. Per chi ne fosse affetto o per chi volesse solo fare un controllo l’app Lookout permette di individuare ed eliminare Bad News.

Questa la lista delle app rimosse:

La possibilità di leggere i nostri dati è data dalle concessioni di privilegi a cui acconsentiamo nel momento in cui installiamo le app. Basterebbe soffermarsi qualche secondo in più nella configurazione dei permessi per evitare spiacevoli conseguenze ma, come sempre, la “voglia” di utilizzare l’app vince sulla privacy e acconsentiamo ancor prima di leggere quali informazioni vogliono da noi.

E voi come vi comportate solitamente? Utilizzate app per la gestione dei privilegi? Li leggete e decidete volta per volta oppure acconsentite senza pensarci?

Da quando è nata sono state scoperte varie vulnerabilità di varia gravità, come è normale che sia, e queste ultime ore hanno visto venire alla luce una nuova falla. Come sappiamo per usare WhatsApp è necessario legarlo ad un numero telefonico cosicché l’applicazione possa scaricare i dati dalla SIM e leggere i contatti della propria rubrica oltre ad altre informazioni. 

Se per qualche motivo cambiamo operatore o SIM ovviamente collegheremo il nuovo numero/SIM a WhatsApp! Fin qui non fa una piega. Ma cosa succede se il nostro vecchio numero viene assegnato ad un nuovo cliente che installa WhatsApp?

Come starete già capendo, WhatsApp, basandosi sulla sola associazione con il numero di telefono collegherà il vostro account alla SIM che è diventata di una nuova persona mostrando i vostri contatti e messaggi facendosi beffe della privacy. 

Ovviamente la falla è stata segnalata a Whatsapp che sta ponendo rimedio al problema. Nell’attesa di una conferma ufficiale del fix, se state variando numero di telefono provvedete ad effettuare la rimozione dell’account prima del cambio così da  non lasciare che i vostri dati possano finire in mano d’altri.

Twitter

Gli hacker del gruppo Syrian Electronic Army, loro hanno rivendicato l’attacco, dopo aver ottenuto la password dell’account, hanno deciso di farsi beffe dei lettori di AP pubblicando un tweet falso segnalando che la Casa Bianca era stata attaccata e Obama ne usciva ferito.

Essendo una delle testate più seguite (come si vede dall’immagine hanno 1.9 milioni di followes solo su twitter) e autorevoli in poco tempo la notizia ha fatto il giro del mondo scatenando il panico a Wall Street dove in poco tempo il Dow Jones ha perso 130 punti e il dollaro è crollato.

E’ servito un tweet del portavoce della Casa Bianca e uno della stessa Associated Press per far capire che la notizia era un fake.

Dopo questo episodio in casa Twitter han deciso di adoperarsi per evitare che situazioni del genere possano ripresentarsi e stanno prendendo spunto dal sistema di login di Google+ che prevede la verifica in due step.

Nella pratica i sistema richiederà la password di accesso qualora si stia effettuando il login da un Ip diverso da quello abituale. Oltre ciò, per maggiore sicurezza, provvederà ad inviare via SMS o tramite app un ulteriore codice generato sul momento ad uno dei  nostri dispositivi registrati. In questo modo caleranno drasticamente i casi di hacking di account in quanto non basterà più “rubare” user e password dell’account Twitter per potervi entrare.

1) Gli attacchi DDOS sono triplicati (Akamai)

2) La quasi totalità (96%) di tutti gli attacchi osservati nel campione provengono dalla Cina (Verizon)

Dal Report “State of Internet” di Akamai, infatti, viene evidenziato come lo scorso anno nelle loro reti sono stati effettuati 768 attacchi DDOS che corrispondono a più del triplo di quelli ricevuti nel precedente 2011. Di questi un 30% mira a compromettere siti e server del settore Commercio mentre un altro 20%, invece, è rivolto verso Clienti Enterprise.

Questo genere di attacchi sono diventanti quelli prediletti sia dagli hacktivisti come gli Anonymous (documentario completo The Story Of Hacktivists), sia dai cybercriminali sia, anche, dalle Nazioni stesse nel cyberspionaggio e nelle cyberwar che sono ormai diventate una realtà a tutti gli effetti. Basti pensare che qualche mese fa Obama ha sottoscritto un progetto per investire e migliorare gli USA sulla sicurezza informatica.

Sebbene un’analisi più approfondita sull’aumento degli attacchi provenienti dalla Cina sia stata fatta da Verizon e la vedremo tra poco, anche Akamai ha confermato lo stesso trend in crescita dimostrando come dall’inizio alla fine del 2012 gli attacchi cinesi siano arrivati a ricoprire il 41% della totalità di quelli effettuati ai danni della vasta rete di Akamai.

Attacchi provenienti dalla Cina (Credits: Akamai)

Akamai non ha investigato ulteriormente sul motivo di questa forte crescita degli attacchi cinesi ma, visto il generale aumento dei DDOS ha iniziato a filtrare i casi da usare a campione per le statistiche e quelli, invece, da ignorare. Se gli attacchi erano di piccola portata e necessitavano di nessuno o un minimo intervento da parte dei tecnici non venivano considerati nei report, quelli invece di entità maggiore e di difficile attenuazione sono stati considerati per determinare le percentuali.

Veniamo ora a Verizon, altra grande azienda di comunicazione che ha rilasciato da pochi giorni il “Data Breach Investigations Report 2013“. Il campione di dati è basato sui dati accorpati provenienti da 19 partner per un totale di 47000 casi di attacco analizzati. Verizon conferma quanto già detto ossia che il trend di attacchi è in crescita e che, questo il dato che fa riflettere, il 96% degli attacchi anche in questo caso proviene dalla Cina e il 4%, invece, non è stato possibile individuarlo. Ciò significa che un 4% di cybercriminali utilizzano tecniche evolute per non farsi tracciare.

Di tutti i casi analizzati la maggior parte sono attribuibili al cyber spionaggio in quanto i dati presi di mira dai criminali sono informazioni militari di altre nazioni, progetti economici, informazioni politiche o comunque informazioni riservate, informazioni sulle materie prime.  

Forme di attacco 2012 (Credits: Verizon)

Guardando invece la tipologia di vulnerabilità sfruttate (immagine a lato) le statistiche mettono in luce come il 76% degli attacchi avvenga sfruttando vulnerabilità note.

Questa non è una novità ma sicuramente nel 2012 e in questo 2013 gli hackers che utilizzano tale metodo sono stati molto “agevolati” visto che il diffusissimo Java ha avuto una serie di gravi falle 0-day che sono state ampiamente sfruttate a più ondate per effettuare furti di dati sensibili. Recentissima la notizia di ieri della scoperta di una nuova grave falla di Java.

Alla luce di questi dati non c’è da star tranquilli quando si è al Pc. Certo gli attacchi sono mirati prevalentemente alle grandi istituzioni o aziende per via dei dati in esse contenuti ma i fenomeni di furto d’identità o phishing sono in rapida ascesa come in generale la cyber criminalità. Questo 2013 come è stato confermato da più fronti vedrà inoltre la crescita dei fenomeni di cyber crime rivolto al mondo mobile. 

Già da qualche tempo Android, il sistema operativo più diffuso tra i dispositivi mobile, ha avuto lo spiacevole primato di aver generato la prima botnet Android: SpamSoldier.

E voi cosa ne pensate? Chi di voi gestisce servizi di rete o aziende che misure adotta per evitare furti di dati sensibili?

• l’apk dell’applicazione AircrackGUI - la trovate in allegato a questo link  
• l’immagine debian presente nel file “sdcard.rar” scaricabile qui
• il firmware del chipset Wifi del vostro smartphone: BCM4239 o BCM4330. Li trovate a questo blog che viene aggiornato costantemente.

Premetto che per poter utilizzare AircrackGUI è necessario disporre di un dispositivo Android rootato.

Ora vediamo come eseguire l’installazione:

1. Per installare AircrackGUI dovete per prima cosa scompattare il file “sdcard.rar” nella root della memoria del vostro dispositivo. Se tutto è andato per il meglio avrete la cartella “aircrackgui” nella memoria SD.
2. Ora scaricate il firmware del chipset Wifi ed estraete i file all’interno della cartella:

   /sdcard/aircrackgui/module

3. A questo punto scaricate l’APK di AircrackGUI e provvedete all’installazione.

Al primo avvio verrà richiesta l’autorizzazione ad utilizzare i privilegi di root. Una volta concessi apparirà una schermata che permetterà di abilitare il “Monitor Mode” della scheda Wifi così da iniziare a verificare quante e quali tipi di Wifi sono nel nostro raggio d’azione.

Una volta decisa la rete da verificare si potranno portare a termine tutti i vari tipi di attacco che la suite Aircrack-ng mette a disposizione.

Se la protezione di rete è una WPA o WPA2 verrà effettuato un attacco Deauth che farà disconnettere e riconnettere un client valido della rete vittima. In questo modo potremo sniffare la successiva riautenticazione ottenendo l’handshake e potendo poi effettuare un attacco dizionario. Una wordlist è già prevista nell’app. Se si tratta di una WEP, invece, si potrà effettuare un attacco ARP il tutto utilizzando una comoda e pratica interfaccia.

Un periodo florido per il mondo della sicurezza informatica italiana. Dopo il tool per l’analisi delle reti realizzato da evilsocket, dSploit, e il lancio 2 giorni fa di PenMode, utility all-in-one per effettuare pentest ecco quest’oggi AircrackGUI, interfaccia mobile per Aircrack.ng.

Per chi non vuole spendere 795 dollari per un Nexus 7 Pwn Pad l’accoppiata dSploit e AircrackGUI è ottima se volete avere sul vostro smartphome/tablet Android un set di tool di sicurezza totalmente gratuiti.

@Pinperepette, @Hackerredenti, @B4d_Tr1p, @Th3Zer0 e @Stabro, questi i componenti del team PH#0S, già da qualche tempo stavano lavorando a questo progetto che è giunto al rilascio della prima versione ieri sera. Il tool PenMode è rivolto sia ai professionisti della sicurezza informatica sia a coloro che vogliono muovere i primi passi in questo mondo senza dover installare e studiare numerosi tool ognuno con i suoi numerosi comandi, la sua sintassi e le sue particolarità.

Utilizzando questo tool si avranno a disposizione una serie di programmi già “preconfigurati” per eseguire varie azioni di analisi di sicurezza sia a livello server (analisi delle porte, information gathering..) sia a livello più applicativo come l’analisi di un sito web, la ricerca di sql injection o di vulnerabilità note.

I tool presenti sono numerosi: si va da nmap configurato per effettuare l’analisi delle porte in modalità silenziosa così da non lasciare tracce a nikto, uno dei migliori scanner web che analizza numerose vulnerabilità note alla ricerca di possibili falle. Poi ci sono vari tool per l’individuazione del tipo di cms o l’exploit degli stessi (WPScan, Joomla Scan) e per l’individuazione di falle sql injection con l’ottimo Sqlmap. Infine non mancano software per eseguire attacchi DDOS.

L’elenco di tutti i tool implementati con relativi video tutorial lo potete trovare alla pagina Documentazione del sito ufficiale. 

Il tool è disponibile gratuitamente dalla pagina download ed è rilasciato in formato “.deb” per essere installato si BackBox, un’idea italiana di sistema operativo sviluppato per i pentester.

Complimenti al team PH#0S per PenMode, un’ottima idea che concentra in un’unica soluzione tutto ciò che serve per un pentest completo. I professionisti risparmieranno tempo mentre chi è alle prime armi potrà “passare alla  pratica” con molto più facilità.

Questo il video dell’anteprima:

mentre questo quello dell’Hangouts di ieri sera per il lancio dell’evento:

Visto l’aumento generale degli italiani seduti al tavolo verde virtuale viene da porsi una domanda? E’ sicuro giocare al poker online? Qualche ora fa abbiamo appreso la notizia che un nuovo malware ha colpito molti account Skype italiani, le insidie nel web sono sempre dietro l’angolo, possiamo fidarci di mettere i nostri dati e i nostri soldi in una delle numerose sale da gioco che ci offre la Rete?

Da un punto di vista tecnico va detto che le maggiori Poker Room si avvalgono dei sistemi di sicurezza più avanzati e (non è un assoluto) avendo grossi guadagni possono tranquillamente permetterselo. Inoltre se vogliono esercitare su territorio (web) italiano devono ottenere la licenza dall’AAMS (Amministrazione Autonoma dei Monopoli di Stato), l’ente autorizzato a monitorare su tutte le sessioni di gioco e che richiede la soddisfazione di numerosi requisiti di sicurezza per concedere la licenza di gioco. Come per i veri e propri casinò c’è un velo di mistero per conoscere i dettagli hardware e software dei loro sistemi di sicurezza ma la base di partenza è abbastanza solida basata su comunicazioni sempre criptate, impossibilità per eventuali cracker di vedere le hole cards degli altri giocatori, filtri per ip e tutte le cose che vi possono venire in mente. In fin dei conti sono delle banche e tutti noi abbiamo i nostri risparmi in conto online no?

Detto questo non voglio affermare che tutte le Poker Room sono sicure o che non sia possibile alterare dei risultati. Se avete visto 21 Black Jack, il film sui cervelloni del MIT che tra statistica, calcoli e “alleati” al tavolo riuscivano a farla franca al Black Jack saprete che ai giochi di carte “qualche vantaggio lo si può avere”.

Proprio da questo spunto colgo l’occasione per segnalare come, proprio in termini di sicurezza dei poker online, PokerStars abbia recentemente dimostrato come il loro Team di Sicurezza funzioni a dovere riuscendo ad “incastrare” alcuni imbroglioni che sfruttavano tecniche di “Collusion” o “Multi accounting” per avvantaggiarsi ai tavoli da gioco.

Quindi, ricapitolando, se proprio volete tentare la fortuna online verificate almeno che sia esposto il logo dell’AAMS che ne certifica la sicurezza e che la Poker Room a cui vi iscrivete dimostri di tenere al gioco pulito e abbia una buona reputazione!

Password più sicure con la “lettura del pensiero”

Il primo problema che si ha nella creazione di un account è la scelta della password e la sua sicurezza! Sistemi di criptazione multi-bit e scansione di retina e impronte digitali sono alcuni dei metodi ormai utilizzati ogni giorno per rendere sicuri i nostri dati in sostituzione della classica password alfanumerica, mentre aziende come Google o organizzazioni governative come DARPA sono alla ricerca di sistemi sempre più complessi per salvaguardare la sicurezza dei dati.

Una svolta in questo campo sembra arrivare dall’Università di Berkeley (California) dove alcuni studenti e ricercatori hanno messo a punto un sistema di rilevazione EEG, con cui effettuare l’elettroencefalogramma di un utente ed utilizzare il tracciato cerebrale come dato di accesso per un account verificando l’identità in maniera univoca.

Il progetto era nell’aria da tempo, ma il costo elevato dell’attrezzatura e la bassa qualità dei singoli sensori EEG portatili avevano sempre bloccato l’evoluzione dell’idea. La questione ha avuto una svolta con l’utilizzo del Mindset NeuroSky, una cuffia Bluetooth del costo di 199 Dollari collegata ad una singola sonda EEG, con cui il team di lavoro dell’Università americana è riuscito ad effettuare test con tasso di errore inferiori all’uno per cento, ovviamente dopo aver effettuato un’attenta calibrazione dell’attività cerebrale di ogni utente coinvolto. La calibrazione è avvenuta facendo eseguire determinate operazioni in maniera ciclica agli utenti, operazioni semplici e ripetitive in cui non si sviluppassero situazioni di stress, come cantare una canzone o contare degli oggetti di uno stesso colore.

Di certo l’implementazione di questo metodo di autenticazione non sarà disponibile nel breve periodo per la nostra casella mail, ma l’abbassamento dei costi di produzione dei sensori EEG come il Mindset NeuroSky permetterà in futuro un’evoluzione sempre maggiore dei sistemi di sicurezza informatici e probabilmente fra qualche anno potremmo entrare in casa senza dover utilizzare le chiavi, ma semplicemente pensando “Apriti Sesamo” come degli Alì Babà hi-tech.

Fonte: The Verge

POS: un sistema di pagamento sicuro?

È uno degli strumenti di pagamento più diffusi, eppure può rappresentare una minaccia per la nostra sicurezza. Stiamo parlando dei sistemi POS (point of sale) e della ricerca “A Risky Business” (Reputazioni dei commercianti: pericoli in agguato) di McAfee rilasciata in merito. Le falle riguarderebbero sia il fronte della sicurezza che quello della privacy, con particolare riferimento agli esercenti che si affidano a terzi per la fornitura del servizio e il supporto.

“L’industria è molto frammentata, con un’ampia base di piccoli commercianti che utilizzano il mercato secondario o i sistemi POS. I commercianti che non hanno un’attenzione lungimirante per la protezione della privacy e la sicurezza, stanno rendendo vulnerabili i propri sistemi e processi. Maggiore sicurezza, conformità e rispetto della privacy più trasparenti per i consumatori, possono connotarsi come elementi di differenziazione competitiva e non più come obblighi da adempiere”.

Una delle principali lacune dei POS sarebbe l’aggiornamento, troppo poco frequente, che lascia quindi tempo ai criminale di far leva sulle vulnerabilità presenti. 

Malware Skype per la creazione di BitCoin

È l’Italia il bersaglio principale del malware Skype. A rischio migliaia di utenti. Essere infettato è molto semplice, basta un click sul link comparso sui messaggi di Skype. Secondo gli esperti di Kaspersky, sarebbero proprio gli utenti italiani i più sprovveduti. Qual è lo scopo del malware Skype? Le risorse hardware colpite dall’attacco saranno deputate all’attività di “mining” delle monete BitCoin. Già nel precedente articolo della scorsa settimana relativo alla rilevazione di malware Skype da parte di Kaspersky era stata segnalata la presenza di riferimenti a Bitcoin nei codici di tale malware..

Uno strano intreccio tra Skype e BitCoin. Il link malevolo porta l’utilizzo della macchina al 100%, praticamente ne inibisce qualunque altro impiego. Il “mining”, infatti, richiede un’elevata capacità computazionale. L’obiettivo di fondo degli sviluppatori è costituito dall’allestimento di un network di sistemi capace di condurre un’attività di mining a livello planetario. Il tutto, ovviamente, all’insaputa, anzi a danno, dell’utente colpito.

Per quanti non lo sapessero i BitCoin sono una nota forma di moneta virtuale che viene coniata in modo completamente anonimo da parte di chiunque. Il sistema BitCoin, concepito nel 2008 da Satoshi Nakamoto, è basato su un software opensource e su una rete peer-to-peer. A dispetto di tanti altri progetti, non abbiamo un database centralizzato, ma un archivio distribuito tra i diversi nodi della rete su cui sono registrate, in modo dinamico, tutte le transazioni eseguite.

Altro punto di forza di BitCoin è l’assenza di inflazione e tasse, applicate invece dai comuni istituti bancari. È stata spesso oggetto di critiche per l’uso che ne viene fatto, con particolare riferimento al cosiddetto “Deep Web”. Per maggiori informazioni vi invitiamo a leggere un nostro precedente approfondimento.

Ryan Ackroyd: l’hacker si dichiara colpevole

Arriva l’ammissione di colpevolezza. Il pirata informatico inglese Ryan Ackroyd si è fatto carico delle accuse che lo vedono coinvolto in una campagna di incursioni sul web. Gli attacchi hanno colpito Sony, Nintendo, News International e l’Arizona State Police.

Ackroyd ha sostenuto inoltre di aver fatto parte del gruppo di hacker LuzSec. La sentenza arriverà il prossimo mese.

Nel corso dei suoi interventi, l’hacker usava il nome Kayla. Lo scopo degli attacchi era l’acquisizione dei dati riservati, nonché l’indirizzamento degli utenti verso altri siti sviluppati dagli stessi pirati. LulzSec, per chi non lo sapesse, è un gruppo che nasce dal più noto Anonymous, che si è proposto di evidenziare le falle nella sicurezza su Internet mediate una campagna di assalti. 

Sicurezza smartphone: i rischi nell’e-banking

Sicurezza smartphone, una questione delicata, di sempre più stretta attualità data la diffusione dei pagamenti via app. L’allarme proviene dalla Svizzera, che di transazioni bancarie se ne intende. In base agli studi condotti dai ricercatori dell’Istituto per la sicurezza nella società d’informazione (RISIS) di Berna, manipolare delle app è molto facile: “I browser modificati possono installare in modo autonomo e invisibile programmi nefasti”, ha sostenuto Reto Koenig, docente in questo centro di ricerca.

La ricerca mette in luce l’importanza di un token per la sicurezza, ovvero un dispositivo fisico indispensabile per l’autenticazione, senza il quale il servizio di e-banking non è da considerarsi completamente affidabile.

E voi cosa ne pensate? Ritenete affidabile il vostro servizio di e-banking via smartphone? Dite la vostra. 

Kaspersky Malware Wallpaper

Arrivano così i Malware Calendar, una raccolta di wallpaper di diverse dimensioni, con cui potrete abbellire i vostri desktop e tenere sempre sottocchio le date importanti selezionate per noi da Kaspersky. L’idea è molto semplice e può essere riutilizzata per ogni nostra necessità.

E voi che tipo di informazioni inserireste nel vostro wallpaper per averla sempre a portata di mano? 

Skype vittima di un nuovo malware

I ricercatori del Kaspersky Lab segnalano con un post sul loro blog ufficiale la rilevazione di un nuovo malware in azione nei nostri PC, veicolato principalmente tramite un short url inviato su Skype.

Se i vostri contatti vi dovessero inviare messaggi del tipo “Non ho più dormito da quando ho visto questa immagine” seguito da un link simile a questo:

http://www.goo.gl/XXXXX?image=IMG0540250-JPG

state molto attenti!!!

Il malware ha già infettato il PC del vostro conoscente e dal  1 Marzo 2013, data di creazione dello short url, Google segnala oltre 170 mila click concentrati principalmente in Russia e Ucraina, ma che vedono coinvolti anche utenti in Cina, Italia, Bulgaria e Taiwan.

La diffusione del malware sta vedendo una crescita esponenziale nelle ultime ore grazie anche a frasi che invogliano l’utente poco accorto a cliccare sul link. L’elenco delle frasi utilizzate è abbastanza corposo:

Il malware viene attualmente identificato da Kaspersky come UDS:DangerousObject.Multi.Generic, ma su Virus Total altri antivirus lo identificano diversamente. Può diffondersi tramite supporto USB anche se il canale preferito è il protocollo IRC, con cui si è riscontrata la creazione di una BotNet e nel codice VB che lo compone  è stata riscontrato un interessante riferimento a BitCoin, vittima negli ultimi giorni di attacchi DDoS su alcuni circuiti di credito.

Fonte: Kasperky Lab

Smart card anti hacker: ecco il software Tookan

Si chiama Tookan ed è il software elaborato dai ricercatori dell’Università Ca’Foscari Venezia per assicurare maggiore protezione alle smart card. Il programma provvederebbe a individuare e prevenire gli attacchi degli hacker della Rete rivolti a dispositivi usb, smart card e a hardware crittografici di massima sicurezza adottati da grandi gruppi imprenditoriali.

Il progetto nasce dagli sforzi di un team di lavoro guidato dal professore Riccardo Focardi, docente di informatica al dipartimento di Scienze Ambientali, Informatica e Statistica dell’Università Ca’Foscari. Il tookan sarebbe capace di rilevare e segnalare le tracce di attacchi ai dispositivi informatici. Non solo. Sarà definita la natura dell’attacco hacker e le modalità per arrestarlo. La strategia messa a punto per prevenire l’aggressione è basata su dei modelli di analisi che rappresentano una sintesi di tutte le ricerche elaborate fino a ogni in questo settore di sviluppo.

I primi test sono già stati eseguiti su dispositivi realmente esistenti ed hanno messo in luce attacchi concreti. Minacce delle quali sono stati messi in guardia i produttori, che hanno provveduto a porre un rimedio. Anche il mondo dell’accademia sembra apprezzare la bontà di Tookan. Il professor Focardi e il suo team di lavoro sono infatti arrivati quinti alla competizione internazionale di sicurezza informatica organizzata dalla UCSB (Università California Santa Barbara).

Per una volta è l’Università italiana a dimostrare il grande potenziale della ricerca pubblica. Speriamo che presto le intuizioni dei ricercatori dell’Università Ca’Foscari sapranno tradursi in un concreto beneficio per gli utenti finali. 

L’hacking in Piazza della Repubblica a Belgrado

Come in Italia, anche in Serbia il problema della sicurezza informatica è molto trascurato. Per sensibilizzare l’opinione pubblica e per allertare una società pubblicitaria della falla che li affliggeva, Ivan Petrovic e Filip Stanisavljevic, due ventenni serbi con la passione dell’hacking, hanno deciso di trasformare un cartellone pubblicitario di Piazza della Repubblica a Belgrado nel loro schermo personale, in cui visualizzare le partite dei videogiochi pilotati dai loro smartphone e postare il logo di Pirate Bay per oltre 20 minuti, con una citazione di Gandhi:

Prima ti ignorano, poi  ti deridono, poi ti combattono, poi vinci!

L’impresa dei due ha avuto un eco mediatico non indifferente e la DPC, società pubblicitaria vittima della burla, ha deciso di premiare i due giovani hacker con un iPad mini 4G ciascuno. Il premio è stato consegnato ai due direttamente nella sede della società, dove sono stati convocati per tenere una conferenza sulla sicurezza informatica e sulla falla da loro riscontrata.

Slobodan Petrovic, manager della DPC ha commentato: “Un fatto del genere non era mai successo prima, ma apprezziamo che questi ragazzi, in modo splendido, ci abbiano indicato questo enorme problema. Ora più che mai è chiaro che dobbiamo proteggerci meglio“. Secondo il direttore del DPC i due studenti hanno la fortuna di trovarsi in Serbia, dove la legislatura non prevede pene severe per questo genere di reati. ”Nei paesi più sviluppati, queste azioni sono impensabili a causa di pesanti sanzioni”, ha aggiunto.

E se fosse successo in Italia, cosa sarebbe successo a Ivan e Filip? voi cosa ne pensate? Dite la vostra nei commenti.

Fonte: Torrent Freak

Il simpatico gioco svedese, che mette a dura prova le nostre conoscenze linguistiche, è risultato affetto da una vulnerabilità che permetteva l’escalation dei privilegi e di entrare in possesso dell’account di gioco di un utente, chattare con i contatti e fare partite al posto dell’ignaro proprietario, mettendo a repentaglio la nostra privacy e il nostro score.

La segnalazione è arrivata all’inizio di Gennaio 2013 dal team di Hacktive Security, società italiana di sicurezza informatica, che nell’ambito di un progetto di controllo degli applicativi e giochi per smartphone ha riscontrato una vulnerabilità JSON, che permette di sostituire l’ID dell’utente durante l‘autenticazione tra client e server e sostituirsi ad un ignaro giocatore.

I programmatori di Hacktive Security hanno pubblicato il proof of concept sul loro blog, dopo che Mag Interactive ha rilasciato un aggiornamento del software di Ruzzle, chiudendo la falla e rendendola inoperativa. Viste le tempistiche elevate con cui la stessa è stata patchata, si può ipotizzare che la vulnerabilità nella sicurezza di Ruzzle abbia fatto passare parecchie notti insonni agli sviluppatori svedesi, visto il pericolo fondato di violazione della privacy.

Ora è possibile riprendere le nostre partite, senza correre il rischio di perdere il nostro punteggio. Ma voi, vi sentite lo stesso al sicuro?

Fonte: Game Mag

Nuovo trojan attacca i Mac: Trojan.Yontoo.1

Malgrado un maggiore livello di sicurezza, anche la piattaforma Mac è soggetta a delle fragilità, evidenziate dagli attacchi di virus e altri software malevoli. Da pochi giorni una nuova minaccia è giunta dalla Russia, minando la sicurezza dei sistemi operativi Mac OS X, si tratta del Trojan.Yontoo.1, conosciuto anche come “trojan pubblicitario”. Viene installato un plugin nel browser consentendo la visualizzazione di spot pubblicitari non richiesti.

Una scoperta rilevata dalla società di sicurezza russa Doctor Web. Il software viene installato attraverso programmi truffaldini quali sistemi per scaricare filmati da Youtube. Una volta eseguito il download, l’utente concede i permessi per l’esecuzione del processo e inserendo la password si trova il plugin nel browser, sia esso Firefox, Chrome o Safari. La pubblicità è basata sulle abitudini dell’utente. 

Apple attaccata da hacker dell’Europa dell’est

Sfuma la pista cinese. A dispetto degli attacchi ricevuti da altri colossi dell’informatica, come Facebook e Twitter, gli hacker che hanno colpito Apple non hanno base operativa in Cina. Lo rende noto la stessa Cupertino che ha identificato l’origine dell’azione pirata nell’Europa dell’Est.

In base a quanto rivelato da Bloomberg, il gruppo di hacker sarebbe alla ricerca dei segreti aziendali delle compagnie più importanti al mondo. Sarebbe Mosca la base scelta dagli hacker.

L’attacco si è realizzato sfruttando un portale per sviluppatori iPhone fittizio, che andava a infettare i Mac che vi accedevano. Cupertino è già ricorso ai ripari rilasciando un aggiornamento di Java che rimuove ogni rischio.

Una prova ulteriore della permeabilità del sistemi Apple e del rapporto diretto tra informazione e potere. Braccio di ferro che vede schierate le più grandi potenze mondiali, Cina in testa.

Google aiuta gli utenti ai quali è stato hackerato il sito

Il servizio di Google aiuta gli utenti ai quali è stato hackerato il sito per capire quale malware l’ha generato e come fare per avere un sito privo di bug.

Succede spesso di entrare in un sito e di essere avvisati che il sito stesso non è sicuro o che entrarvi è un’azione potenzialmente pericolosa per il  computer con il quale si sta navigando. Per questo motivo Google ha lanciato un’iniziativa dal nome Help for Hacked Sites  . In questa sezione Google spiega come è possibile riconoscere un sito hackerato già dalle serp e suggerisce una serie di strategie da attuare in questo caso. Fornisce una overview nella quela Maile Ohye spiega come e perché un sito viene attaccato, come rimediare e come rimuovere l’avviso ai naviganti che segnala il sito come pericoloso. 

Il servizio mira a supportare gli utenti non solo a riconoscere eventuali malware e a liberarsene ma anche a fare in modo che essi siano in grado di prevenire ulteriori attacchi in futuro. 

La lotta di Google è cominciata da tempo: Big G aveva offerto un premio di 20000 dollari a chiunque fosse stato in grado di attaccarlo retribuendo così coloro che avrebbero suggerito eventuali vulnerabilità di sistema. Lo scopo era soprattutto quello di aggiustare le falle che avrebbero potuto mettere in pericolo la sicurezza dei dati degli utenti: molti prodotti di Google sono suscettibili di attacchi che potrebbero rivelare i dati sensibili degli utenti come le informazioni sulle carte prepagate utilizzate per gli acquisti on line.

I premi più alti sono stati messi in palio per coloro in grado di risolvere i problemi relativi al Google Wallet. Da quanto Google ha lanciato la campagna nel 2010 sono stati rilevati più di 780 report di vulnerabilità. 

L’app Lookout Security & Antivirus prevede un’apposita funzionalità per Galaxy S3, Galaxy S3 Mini e Galaxy Note2 che rimane in ascolto in background durante l’apertura della schermata di chiamata di emergenza, ponendola sempre in primo piano e disabilitando di fatto l’accesso ad altre funzionalità del dispositivo, bloccando quindi la pressione della combinazione di tasti che sbloccherebbe lo smartphone.

Se volete quindi mettere in sicurezza il vostro Galaxy S3 e gli altri modelli affetti da questo bug, non vi resta che scaricare l’app da Google Play, nell’attesa della patch ufficiale di Samsung.

Per maggiori informazioni fate riferimento al post sul blog ufficiale di LookOut Mobile Security.

1. nella finestra dello screen lock cliccate sulla voce  ”chiamata d’emergenza”;
2. premete “Contatti d’emergenza”;
3. premete il tasto “Home” una volta;
4. premete rapidamente il tasto “Power”.

Se l’operazione ha avuto successo, premendo nuovamente il pulsante di accensione potrete visualizzare la schermata iniziale del Galaxy S3 ed avere libero accesso allo smartphone. Questo bug è stato testato (personalmente) su Galaxy S3 con Android 4.1.2 ed era già stato riscontrato su Samsung Galaxy Note 2.

Oltre a sbloccare la schermata iniziale elimina le personalizzazioni della schermata stessa, come scorciatoie, toolbar e widget, quindi se siete intenzionati a provarlo, ricordatevi quali sono i widget attivi e tenete a mente che potrebbero essere necessari alcuni tentativi prima di ottenere lo sblocco effettivo.

Samsung dal canto suo, informata della vulnerabilità, ha riferito che una soluzione al bug è già in cantiere, almeno secondo quanto riporta TalkAndroid.

Non ci resta che aspettare l’upgrade ufficiale di Samsung e cercare metodi alternativi per la sicurezza del nostro amato Galaxy S3. 

Da qualche ora infine nuovamente Gr33nRage ha pubblicato altre falle trovate in diversi siti di prim’ordine.

Questa volta a cadere vittime della vulnerabilità sql injection sono stati un sottodominio del Corriere della Sera, cinquantamila.corriere.it, gestito dal giornalista Giorgio Dell’Arti e dedicato a ripercorrere tutti i 54mila giorni che han portato all’unità d’Italia.  Come sempre su PasteBin è stato pubblicato il dump del database e uno screenshot rappresentate il listing di una delle tabelle contenenti user, password e ip.

A seguire è stato colpito un altro sottodominio, questa volta del CNR, il Centro Nazionale Ricerche. Il sottodominio, dedicato all’Istituto di Ricerca sulle Acque, analizzando il dump, presenta l’installazione del Cms Piwik ma, soprattutto, si vede che uno dei Db accessibili si chiama “NewIntra” che fa pensare ad una Intranet che potrebbe contenere dati sensibili.

Infine, ciliegina sulla torta, il dump db dei Vigili del Fuoco italiani! Questa volta però non parliamo di sottodomini ma del sito vero e proprio: vigilidelfuoco.it. Il db appare molto vasto e articolato e pensare che una delle istituzioni italiane sia stata violata fa (o almeno dovrebbe) riflettere su come la sicurezza informatica sia trascurata a qualsiasi livello. Sia che si parli di un blog, sia che si parli di siti istituzionali come questo dei Vigili del Fuoco o come i passati Carabinieri o Polizia di Stato.

Analizzando quanto visto lo scorso anno e quanto già è stato rivelato in questi primi giorni di Marzo rimane ancora da capire come mai la sicurezza informatica non venga considerata alla pari della sicurezza di un edificio istituzionale o di una caserma. In Italia abbiamo diversi esperti che hanno dato una grossa mano alla scoperta e alla ricerca nel settore della sicurezza informatica eppure la cultura generale rimane ancora una volta la solita a cui siamo abituati da anni. 

Pagare per proteggersi da qualcosa che non si vede e non si tocca all’italiano non piace. Un sistema di allarmi con sensori per ogni cosa ci piace; lo paghiamo subito, lo vediamo, lo tocchiamo, lo attiviamo, lo disattiviamo. Pagare per un team di sicurezza che esegua un’analisi approfondita della tua azienda e indichi quali informazioni sensibili potrebbero cadere in mani improprie rimane una spesa inutile… Tanto son cose che non succedono!

Mentre in America Obama indica la luna preparandosi alla guerra cibernetica in Italia continuiamo a guardare con orgoglio il dito…

Il gruppo ha twittato la notizia poco più di un’ora fa e ha pubblicato il dump del db su PasteBin dal quale è stato messo in rilievo un estratto che mostra alcuni record di versamenti ricevuti per la campagna elettorale.

Ancora una volta la sicurezza informatica viene messa in secondo piano e gli attacchi Sql Injection si rivelano essere quelli più diffusi che mirano al “cuore” di un sito Web: le informazioni!

WhatsApp sotto il controllo del Garante per la Privacy

Dopo l’esempio del Canada e dell’Olanda, ora anche il Garante per la Privacy italiano ha deciso di porre sotto la sua lente la nota app di istant messaging WhatsApp.

È legittimo l’ulitizzo che viene fatto dei dati degli utenti? L’intento dell’Autorità è comprendere, secondo quanto dichiarato in una recente nota rilasciata alla stampa, «quali tipi di dati personali degli utenti vengono raccolti e usati al momento dell’iscrizione e nel corso dell’erogazione dei servizi di messaggistica e condivisione file; come vengono conservati e protetti questi dati; le misure adottate (es. cifratura, generazione di credenziali etc.) per limitare il rischio di accesso da parte di soggetti diversi dagli interessati e, in particolare, se siano stati previsti sistemi contro gli attacchi tipo “man in the middle”, volti ad acquisire illecitamente il contenuto dei messaggi scambiati mediante l’applicazione».

WhatsApp, come gli utenti si sono resi conto, una volta ultimata l’installazione, analizza la rubrica visionando chi ha utilizzato il servizio. È un comportamento lecito? Spetta al Garante offrire una risposta definitiva. 

E’ di poco più di un’ora fa la notizia che gli sviluppatori di Pwn Express hanno creato un kit per il perfetto hacker su piattaforma Android: un tablet Google Nexus 7 moddato, in grado di gestire l’enorme quantità di pacchetti dati su connessione wifi necessari per verificare la robustezza e la sicurezza di una rete.

Per aggirare i limiti tecnici imposti dal chip integrato, il tablet è dotato di un’antenna wifi esterna e di una suite di programmi costruiti ad hoc per gestire ogni operazione con rapidi tocchi e pochi passaggi.

Il Pwn Pad (questo il nome del tablet) si unisce ad una vasta gamma di prodotti della Pwn Express dedicati alla sicurezza informatica e viene venduto al pubblico per $795.00 USD, una cifra non accessibile a chiunque ma considerando il set di funzioni che mette a disposizione un professionista del settore sicurezza informatica potrebbe farci un pensierino. L’elenco delle App è davvero vasto ed alcune di esse non possono essere utilizzate su altri dispositivi a causa dei limiti hardware:

Se siete interessati alle potenzialità di Pwn Pad e ad effettuare test di sicurezza in maniera rapida e veloce usufruendo di tutte le comodità di un tablet potete effettuare l’acquisto cliccando qui.

Ecco alcuni screenshot:

 Chi non ha 795 dollari da spendere può sempre dilettarsi con l’eccellente dSploit, app android gratuita che permette di effettuare hacking delle reti a cui è connessa mettendo a disposizione un buon numero di tool che vanno dallo sniffing al MITM (Man In The Middle).

Fonte: FabrizioPuce.it

Questa volta ad essere gravemente vulnerabili ad attacchi informatici sono Adobe Reader e Adobe Acrobat Reader Pro. 

Le versioni affette da tale vulnerabilità erano le seguenti:

• Adobe Reader
• Acrobat XI (fino alla 11.0.01)
• X (fino alla 10.1.5)
• Acroba (fino alla 9.5.3)

sia per piattaforma Windows che Mac OS X.

A scoprire la falla sono stati i ricercatori dell’azienda FireEye a cui si sono aggiunti gli esperti di Kaspersky che hanno confermato la gravità della vulnerabilità che consentiva di bypassare completamente la sandbox di sicurezza Adobe ed eseguire comandi sul sistema vittima.

Inserendo il payload all’interno di un documento pdf, una volta che quest’ultimo veniva aperto causava il crash dell’applicazione e l’iniezione di un malware sul Pc vittima che da quel momento in poi permetteva agli hacker di interrogare il pc per acquisire informazioni o fargli compiere determinate azioni.

A questo indirizzo trovate il bulletin di sicurezza rilasciato da Adobe in occasione di questa patch.

Aggiornate i vostri Reader quanto prima e diffidate di eventuali PDF di cui non conoscete la provenienza!

La questione della privacy: da Google a Facebook

Privacy, una tra le materie più controverse e dibattute nelle notizie informatica. Ultimo protagonista  il colosso di Mountain View. Il Cnil dà il suo avvallo ad azioni repressive contro Google.  L’autorità francese ha assunto, dallo scorso marzo, la delega da parte dell’Unione Europea per l’analisi delle nuove politiche di tutela della privacy di BigG.

L’accusa sarebbe di non aver fornito risposte alle richieste di modifica delle regole sulla tutela della privacy. «Al termine del periodo accordato a Google per mettersi in regola con le raccomandazioni – ha sostenuto il Cnil in una nota – dalla società non è giunta alcuna risposta». Da ciò ha origine la proposta UE, ossia «la creazione di un gruppo di lavoro, pilotato dal Cnil, per coordinare l’azione repressiva, che dovrà scattare prima dell’estate».

Una critica, quella mossa dall’UE, respinta la mittente da parte di Google che ribadisce l’impegno a rispettare le norme disposte dall’Europa, nonché una collaborazione attiva: «La nostra politica di riservatezza – ha dichiarato a France Presse un portavoce del gruppo – rispetta la legge europea e ci consente di offrire servizi più semplici e più efficaci. Siamo pienamente impegnati negli scambi con il Cnil e continueremo a collaborare».

Come avevamo accennato, la questione privacy è molto più ampia e potremo dire trasversale ai maggiori colossi della Rete. Sono, infatti, apparse poche settimane fa notizie relative all’altro grande operatore del Web, Facebook, e la recente acquisizione del servizio Instagram.

Ventilate ipotesi di vendita delle fotografie dell’app dedicata ai dispositivi mobili hanno subito messo in subbuglio la comunità con la fuga di tanti utenti preoccupati per la propria privacy. Ma il social network ha subito tranquillizzato gli animi sostenendo che «la nostra politica sulla privacy aggiornata aiuta Instagram a funzionare più facilmente all’interno di Facebook, essendo così in grado di condividere informazioni tra le due realtà. Questo significa che ci permette di fare alcune cose, come combattere lo spam in modo più efficace, rilevare problemi di affidabilità del sistema in modo più rapido e creare funzionalità migliori per gli utenti riuscendo a capire come Instagram viene utilizzato».

La privacy è un argomento molto più delicato di quanto non possa apparire a prima vista, e si sostanzia in un equilibrio fatto di dare e avere. Da una parte abbiamo il vantaggio della semplificazione presentata dai nuovi servizi, che trasportano sui server di grandi operatori internazionali i nostri dati (dalla posta elettronica ai social al cloud sharing). Dall’altra la cessione, più o meno parziale, della nostra libertà individuale (elemento pressoché inevitabile data la natura gratuita degli stessi servizi online). Messa così può sembrare quindi una scelta compiuta discrezionalmente dall’individuo, ma non è completamente vero neppure questo.

Quando un medium acquisisce un elevato grado di diffusione all’interno di una comunità, è quasi impossibile sfuggire ai suoi effetti. Presto o tardi saremo costretti a una mediazione, a un compromesso inevitabile. L’unica arma con cui combattere atti di prepotenza o sopraffazione è la propagazione di una consapevolezza collettiva. Gli utenti del Web ne sono (sarebbero) realmente capaci? O per essere più precisi, quanti dei milioni di user sono disposti a mettersi in discussione?  A voi l’ultima parola.