SIAMO GEEK

Categoria: Sicurezza

Sicurezza informatica

  • Generatore di false ricevute di Amazon

    Il blog di GFI ha un articolo interessante sui software che generano delle false ricevute di Amazon.

    I software prendono come input i dati da inserire nella ricevuta e creano una mail con una replica molto credibile di una ricevuta di Amazon.

    È interessante notare che esiste un software che genera una ricevuta che Amazon trasmetterebbe al venditore, non all’acquirente. Quindi un finto acquirente potrebbe incastrare un venditore con un software del genere, che si aspetta di ricevere da Amazon una comunicazione in merito ad una transazione appena conclusa.

    Non è sano cercare sui motori di ricerca frasi tipo Amazon receipt generators download perché, adesso che la notizia è stata pubblicata, quello che si scarica potrebbe essere un bel malware ben confezionato. (via Mikko Hypponen)

  • Rapporto ENISA sulla sicurezza degli smartphone

    L’ENISA ha pubblicato un rapporto (PDF in inglese) sulla sicurezza degli smartphone.

    Lo scopo del rapporto, che si rivolge ad ogni tipo di utente, è di evidenziare e classificare i problemi di sicurezza affinché tutti gli utenti prendano le misure necessarie per ridurre o evitare problemi di sicurezza. Il tutto senza rinunciare alle funzionalità avanzate di questi apparecchi.

    La lettura è molto interessante, sia per il singolo utente, sia per i responsabili IT e della sicurezza.

    (altro…)

  • Sophos anti-virus, visione da non tecnica

    Allora partiamo con le cose belle:
    Sophos antivirus è questo programma qua nato per Mac OSX il primo novembre di quest’anno che si scarica facilmente ed è installabile con altrettanta facilità.
    Il suo emblema è uno scudo azzurro diviso in sezioni sulla parte sinistra e ha la simpatica caratteristica, per chi non lo volesse mettere nel doc (cosa che personalmente preferisco perché mi piace avere le cose utili a portata di mano), di produrre un fratellino più piccolo di questo scudo di colore nero che si trova nella toolbar in alto vicino al simbolo della connessione, lingua, orologio, eccetera. Questo stemmino rimane là tranquillo tranne all’attivazione quando le sue sezioni a sinistra somigliano ai tasti di un pianoforte per controllare la situazione, assume una croce bianca per avvertire che non c’è rete e se cambia colore sono cavoli (almeno così mi dicono… il mio è sempre rimasto color fuliggine, il colore più scuro del nero [cit.] e ne sono molto contenta!)
    Quando si sceglie di attivare la versione grande per fare le scansioni le opzioni sono due: la prima è usufruire del tasto > che si trova nella finestrella di dialogo che si attiva quando si clicca sullo stemma o l’alternativa è l’opzione sulla stessa finestra in cui si da la possibilità di fare scansioni localizzate. Il succo è sempre quello perchè la scansione viene fatta ma la prima, come è facilmente intuibile, è generalizzata mentre la seconda da la possibilità di fare scansioni su singoli file.
    Nell’eventualità in cui si stana qualcosa, lo stemma inizia a saltellare con un bel segnale di pericolo corredato e si apre il quarantine manager. Ti dice che bestiaccia hai preso (mi è capitato con un malware che rompe i cocomeri a windows ma non fa nulla al mac) e nelle preferenze di sistema si possono settare le opzioni per gestire la fine delle immode bestiacce. Le opzioni sono 3: elimina, metti in quarantena e segnala.
    Ed è qui che viene la cosa negativa: quando gli ho detto di gestire la bestiaccia spazzandola via mi ha detto che non ci riusciva e che dovevo procedere manualmente. Vado sulle opzioni e non c’è una spiegazione che fosse una su come fare. Seguo il link al sito ufficiale e dice queste illuminanti parole: per procedere all’eliminazione manuale procedere all’eliminazione manuale. Mi veniva da dirgli: “Maddai??” seguito presto da un “Ma come?” Alla fine ho selezionato l’opzione elimina bestiacce che ha eliminato anche i file infetti e ho proceduto a rifare la scansione sia generica che localizzata. Il processo per immettere i file localizzati è un pelo macchinosa: c’è un’opzione sulla finestra di dialogo per farlo ma quando apre la seconda finestra di dialogo ho dovuto procedere come per l’immissione di allegati in una mail. Alla fine zero bestiacce!
    Morale della favola: il prodotto è buono e lavora bene, sicuramente meglio di ClamXav che da un po’ tende ad andare in tilt quando procede all’aggiornamento giornaliero e NON aveva stanato la bestiaccia Windosiana. E ciò è male. Il sito è informativo e direi ben gestito. Spero solo che la parte sull’eliminazione manuale dei virus sia stata modificata per renderla più chiara. Sottolineo che da allora non ho + stanato bestiacce quindi non so se si stato aggiornato e che le esperienze narrate sono le mie.

  • Server mail con Exim sotto attacco

    Sergey Kononenko ha segnalato su una delle mailing list di Exim di essere stato vittima di attacchi che sfruttano due vulnerabilità del MTA.

    Le due vulnerabilità sono molto serie perché permettono uno di eseguire da remoto dei programmi con i privilegi dell’utente di Exim e un altro di escalare i privilegi e diventare root.

    (altro…)

  • Guadagno di privilegi per Linux

    Sulla mailing list full disclosure è stato pubblicato il sorgente di un programma di Dan Rosenberg che permette il guadagno di privilegi per un utente locale di Linux fino alla versione 2.6.37 inclusa.

    Il programma sfrutta tre diverse vulnerabilità note del kernel, che vengono utilizzate per guadagnare i privilegi di root.

    Benché sia una vulnerabilità sfruttabile solo localmente, un programma del genere potrebbe essere caricato su un server di cui si è guadagnato il controllo attraverso un sito con bachi o vulnerabilità.

    Aggiornamento del 8/12/2010 17:25: Marcus Meissner sulla lista bugtraq propone un sistema temporaneo per evitare il guadagno di privilegi. Dando il comando

    echo 1 > /proc/sys/kernel/panic_on_oops

    si forza il kernel ad andare in panico se qualcuno tenta di sfruttare la vulnerabilità.

  • Attenzione ai falsi WikiLeaks

    Ci sono notizie di falsi mirror di WikiLeaks e di file torrent con falsi contenuti del sito.

    Vista la copertura mediatica e la curiosità un po’ morbosa che possono suscitare i contenuti del sito, i male intenzionati iniziano a sfruttare WikiLeaks per installare malware sui computer degli utenti.

    È quindi necessario prestare particolare attenzione anche ad eventuali mail o messaggi sui social network, specialmente se chiedono di scaricare o eseguire qualcosa sul proprio computer.

  • Siti abbandonati

    Molte organizzazioni ritengono che la consegna del sito web terminato da parte del fornitore sia la fine di un processo.

    Nulla di più sbagliato: quando un sito va online deve essere manutenuto e aggiornato in maniera costante, sia nei contenuti sia nel software applicativo e di sistema.

    Un sito abbandonato e non aggiornato finisce, presto o tardi, vittima di hackeraggi o utilizzi fraudolenti. I primi sono evidenti, in quanto ci si trova con pagine modificate o spiacevoli defacement. Gli altri sono molto subdoli e possono rimanere nascosti per mesi o anni senza che nessuno se ne accorga.

    Vediamo un esempio concreto.

    (altro…)

  • AVG potrebbe bloccare Windows 7 64bit

    Uno degli ultimi aggiornamenti di AVG potrebbe rendere inutilizzabile Windows 7 a 64 bit.

    Chi si trova in questa situazione può partire con il CD di ripristino di AVG o con un CD live di Linux e rinominare tutti i file che iniziano con AVG contenuti nella directory windows/system32/drivers.

    Questa è la procedura da seguire utilizzando il disco di ripristino di AVG. Con un CD di Linux la procedura è abbastanza simile. (via SANS)

  • Sorgenti di ProFTPD 1.3.3c compromessi

    Secondo un annuncio di TJ Saunders, lo scorso 28 novembre i sorgenti di ProFTPD sono stati modificati per includere una backdoor.

    Chiunque abbia scaricato e installato la versione 1.3.3c dal 28 novembre al 2 dicembre potrebbe avere un problema di sicurezza.

  • Furto di un iPad: meglio prevenire

    Premessa: quanto segue si basa su fatti successi qualche giorno fa ad un cliente, non su chiacchiere, belle teorie, propaganda, “se” e “ma”.

    Se avete un iPad dovete contemplare una possibilità: ve lo possono rubare. Lapalissiano.

    Se ve lo rubano quando ce l’avete da poco tempo è ancora peggio. Fidatevi.

    Siccome c’è una APP per ogni cosa, una delle prime APP da installare è qualcosa che permetta di cancellare da remoto il contenuto del dispositivo. Per molte persone i dati contenuti valgono molto più del device che li contiene. MobileMe di Apple permette, tra le altre cose di cancellare il contenuto di un iPad. Ci sono altre APP che fanno cose simili, sceglietene una, installatela e annotate la procedura per la distruzione remota (no, non annotatela sull’iPad!). Apple non cancella dati da remoto, nemmeno su richiesta.

    Ci sono due cose importanti da annotare prima che vi rubino un iPad: il suo numero di serie e il numero di telefono della SIM (se c’è).

    Il numero di serie è riportato sia sulla fattura di vendita sia sulla scatola, oltre che nella parte inferiore del retro del device.

    Il numero di telefono della SIM vi viene comunicato quando l’acquistate ed è l’unico dato utile per poter bloccare la SIM.

    Ovviamente, bloccate la SIM solamente dopo aver inviato all’iPAD il comando di autodistruzione.

    Una delle prime cose da fare è cambiare tutte le password degli account di mail e dei vari servizi registrati sull’iPad.

    Qual è il posto migliore per annotare i dati? Online. Tenete da qualche parte online (anche in una cartella di qualche servizio mail) i dati, in modo da poterli reperire in caso di necessità.

    La denuncia di furto va fatta quanto prima, indicando il numero di serie dell’iPad e il numero di telefono della SIM, per poter inoltrare copia della denuncia ad Apple e al provider telefonico.

    Il supporto telefonico dedicato all’iPad 199 120 800 vi spiegherà come far arrivare ad Apple la copia della denuncia, ma non è in grado di cancellare i dati e vi spiegherà che lo potete fare tramite MobileMe. Abilitando la funzione prima che vi rubino l’iPad, ovviamente.

  • Verificare la forza delle password con i crack

    Mi capita spesso di vedere utenti che utilizzano password troppo facili per gli accessi ai computer o alle mail dell’organizzazione a cui appartengono.

    Spesso la considerazione di fondo è «Tanto è solo la mail di lavoro, non c’è nulla di importante…» Da far venire i brividi.

    È un fatto che gli utenti vadano opportunamente istruiti (bastano due paginette sulla Intranet, eh!) in merito al valore dei dati che stanno trattando e alle conseguenze in caso di crack della password.

    In quanti tra gli utenti sanno che una password debole sulla mail non consente solamente di leggere i messaggi, ma anche di inviarne con il loro nome con due conseguenze principali: (1) furto di identità e (2) utilizzo dell’account per inviare spam, con conseguente blacklisting del mail server dell’organizzazione?

    Alcune realtà italiane e internazionali prevedono sanzioni (fino alla lettera di richiamo formale) se gli utenti utilizzano per più volte password facili da indovinare. In un’organizzazione che parte da zero su questo fronte la lettera di richiamo sarebbe fuori luogo, ma bisognerebbe iniziare a rendere consapevoli gli utenti (a partire, spesso, dalla cima della catena alimentare) di quanto siano sicure le loro password.

    Il sistema più semplice ed efficace croniste nell’utilizzo dei tool di crack delle password di cui ogni tanto diamo conto anche su queste pagine. SANS ha un articolo interessante in merito, che vale la pena di essere letto. Magari negli obbiettivi IT del prossimo anno si può introdurre qualcosa di simile…

  • Guadagno di privilegi su quasi tutti i sistemi windows

    ATTENZIONE! NON fate test di buffer overflow del kernel su macchina di produzione o similari. I risultati sono IMPREVEDIBILI.

    p0wnbox ha pubblicato un exploit di una vulnerabilità del kernel di Windows (file win32k.sys) colpirebbe tutti i sistemi Windows.

    In questo caso viene sfruttato un problema strutturale della funzione RtlQueryRegistryValues delle API di Windows utilizzata per leggere più voci del registry con una sola chiamata. Le voci da interrogare vengono passate tramite una struttura uno dei cui campi, EntryContext, contiene un puntatore al buffer in cui mettere i risultati della voce relativa (si può specificare un buffer separato per ciascuna voce da interrogare). (altro…)