:: NORMAN :: Antivirus | Firewall

Home

Notizie

Prodotti e servizi

Partner

Selezionare il paese

Selezionare il prodotto

Virus e sicurezza » Informazioni sulla sicurezza » 2006 » Panoramica sugli eventi della sicurezza 2006 (III)

Panoramica sugli eventi della sicurezza 2006 (III)

Aggiungere ai preferiti di Norman

Informazioni sulla sicurezza, settimana 42, 2006

Woman shade

Luglio

3 luglio: Windows Genuine Advantage

Un’iniziativa di Microsoft nella lotta contro la pirateria è il programma Windows Genuine Advantage (WGA). Gli autori di malware hanno scritto un bot che si propaga tramite messaggi istantanei mascherandosi da WGA nel momento in cui si rende conto che il programma WGA sta per comunicare a Microsoft gli identificatori software e hardware del sistema su cui è installato Windows. Il bot si registrerà come un nuovo servizio driver del sistema denominato "WGAVN" e verrà visualizzato come "Windows Genuine Advantage Validation Notification". Successivamente, verrà eseguito a ogni avvio di Windows. Gli utenti che hanno cercato di rimuovere il bot hanno riferito che questa operazione ha avuto come conseguenza l’instabilità del sistema. Ciò è falso. Una volta installato, il bot disattiva, tra gli altri, anche il firewall di Windows e apre una backdoor consentendo un controllo completo del sistema.

6 luglio: IDA Pro come vettore di diffusione

È stato rilasciato un virus proof-of-concept denominato "Gattman" che ha come bersaglio il tool più utilizzato di reverse engineering: Interactive Disassembler Pro (IDA Pro) prodotto da Data Rescue. Il virus utilizza lo stesso linguaggio di script di IDA Pro. Una volta caricato, cercherà i file IDC per generare un file EXE infetto. Gli script talvolta vengono condivisi tra i ricercatori per illustrare alcuni aspetti interessanti del nuovo malware. Di conseguenza, la diffusione di questo virus sarà molto probabilmente limitata ai soli ricercatori e per questo motivo viene definito proof-of-concept.

7 luglio: Trojan Pharming

È stato scoperto un nuovo trojan, DNSChanger, in grado di "cambiare" il numero IP. In effetti, non viene realmente cambiato il numero IP del sistema dell’utente, piuttosto le connessioni a determinati siti vengono intercettate e cambiate o re-indirizzate a siti fraudolenti dall’aspetto simile a quelli originali. Questo tipo di tecnologia è utilizzata sempre più dai phisher. L’utente è convinto di essere giunto al sito desiderato avendo verificato l’esattezza dell’URL immesso, pertanto non ha dubbi nel confermare ancora una volta il proprio nome e la propria password di accesso.

11 luglio: Cinque nuove vulnerabilità critiche

Nel bollettino riepilogativo sulla sicurezza del mese di luglio 2006 Microsoft segnala un totale di cinque nuove vulnerabilità critiche all’interno dei propri sistemi operativi e delle proprie applicazioni, oltre a due vulnerabilità importanti. Fondamentale è una maggiore valutazione della vulnerabilità di Microsoft.

Una breve nota a descrizione delle vulnerabilità è disponibile nel riepilogo del bollettino Microsoft sulla sicurezza del mese di luglio 2006. La pagina contiene inoltre collegamenti alle informazioni dettagliate presenti nei Bollettini Microsoft di sicurezza MS06-035 - MS06-039 (critico) e MS06-033 - MS06-034 (importante).

11 luglio: La fine del supporto per Windows 98 e Windows Me

Come già pianificato nel gennaio 2004, in questo giorno Microsoft ha ufficialmente terminato il supporto per i sistemi operativi Windows 98 e Windows Me. In realtà, ciò significa che gli utenti di questi sistemi operativi non riceveranno più da Microsoft gli aggiornamenti alla protezione. Senza aggiornamenti frequenti, gli utenti saranno vulnerabili ai possibili attacchi sferrati contro le falle senza patch del sistema di sicurezza, attualmente il bersaglio più colpito su Internet.

13 luglio: Insieme per comunicare in tutto il mondo: Microsoft e Yahoo, accordo sulla messaggistica

Microsoft e Yahoo hanno annunciato un accordo per rendere interoperabili i rispettivi sistemi di instant messaging (IM), Windows Live Messenger (in precedenza MSN) e Yahoo Messenger. Questo accordo porterà senz’altro a una maggiore possibilità di comunicazione tra gli utenti, anche se su reti IM diverse, ma anche a una più rapida diffusione di malware sui sistemi IM. Il software beta per l’interoperabilità è già disponibile. Microsoft anticipa che in futuro verranno create anche altre collaborazioni simili a questa.

17 luglio: HP annuncia un chip wireless minuscolo

Un chip dallo spessore compreso tra 2 mm e 4 mm, con una capacità di memorizzazione da 256 KB a 4 MB di memoria e dotato di un’antenna. I lettori incorporati nei dispositivi possono ricevere e inviare dati a circa 10 Mbps. Secondo HP, il chip potrebbe essere "incorporato in quasi tutti gli oggetti". A differenza del chip RFID che ha una memoria limitata, questa tecnologia sviluppata da HP consente di trasmettere dati trasparenti su dispositivi facilmente trasportabili. I vantaggi di questo chip sono particolarmente evidenti in alcuni settori: ad esempio, potrebbe essere utilizzato per immagazzinare tutte le informazioni della cartella clinica di un paziente oppure per tenere traccia degli spostamenti di una persona.

19 luglio: Microsoft acquisisce Winternals

Lo scorso anno, Mark Russinovich, il co-fondatore di Winternals, aveva scoperto che erano in vendita milioni di CD Sony in cui erano stati inseriti dei rootkits. Winternals è proprietario del noto sito Web SysInternals in cui sono disponibili gratuitamente alcuni tool tecnici. Oggi Microsoft ha annunciato che ha acquistato Winternals. Mark Russinovich ha un proprio blog ospitato in questo sito che per il momento continuerà ad aggiornare.

25 luglio: Microsoft censura le chat di MSN Messenger

Microsoft sta eseguendo una censura automatica in tempo reale delle comunicazioni MSN Messenger sui server MSN. Secondo Microsoft, lo scopo è quello di fornire una protezione contro la propagazione di malware, exploit e worm tramite MSN Messenger. Se il nome file o l’URL contiene determinate espressioni, il messaggio verrà bloccato.

Ciò comporta però dei problemi. Se, ad esempio, si indica a un amico l’indirizzo da cui scaricare la versione più recente di un’utility, quale http://www.utilities.com/download.php , il messaggio verrà bloccato dal momento che l’URL contiene la parola "download.php". Tuttavia, se si sostituisce "download.php" con "%64ownloa%64.php", il messaggio verrà sbloccato (%64 = d). Generalmente gli utenti mascherano gli URL o reindirizzano URL molto piccoli da dove può essere scaricato il contenuto pericoloso. Se la parola "download.php" è contenuta nel testo del messaggio, questo verrà bloccato di nuovo.

Agosto

3 agosto: L’hacking sulla rete VoIP presentato al Black Hat

Esperti della sicurezza di SecureLogix e Tipping Point di 3Com hanno spiegato e dimostrato una serie di potenziali attacchi e falle sulle reti VoIP. Mentre cresce la popolarità di VoIP, soprattutto grazie ai costi contenuti e alla facilità di utilizzo in tutto il mondo, cresce anche la possibilità di attacchi sulle sue reti. Insieme alla presentazione, sono stati rilasciati anche 13 tool per dimostrare le vulnerabilità di VoIP. Tutti i tool sono indirizzati a sistemi che utilizzano il protocollo SIP (Session Initiation Protocol). Quasi tutti i sistemi dei principali fornitori quali Cisco e Nortel stanno migrando dai protocolli proprietari verso SIP, esponendosi a un maggior numero di potenziali attacchi.

8 agosto: Nove nuove vulnerabilità critiche

Nel bollettino riepilogativo sulla sicurezza del mese di agosto 2006 Microsoft segnala un totale di nove nuove vulnerabilità critiche all’interno dei propri sistemi operativi e delle proprie applicazioni, oltre a tre vulnerabilità importanti. Fondamentale è una maggiore valutazione della vulnerabilità di Microsoft.

Una breve nota a descrizione delle vulnerabilità è disponibile nel riepilogo del bollettino Microsoft sulla sicurezza dell’agosto 2006. La pagina contiene inoltre collegamenti alle informazioni dettagliate presenti nei Bollettini Microsoft di sicurezza MS06-040 - MS06-044, MS06-046 - MS06-048 e MS06-051(critico) e MS06-045, MS06-049 e MS06-050 (importante). La vulnerabilità potenzialmente più seria è quella discussa in MS06-040, perché può essere sfruttata in Internet e senza interferenza da parte dell’utente.

11 agosto: Furto di un laptop: 133.000 cittadini della Florida a rischio

È accaduto di nuovo. È stato rubato un computer laptop in cui erano memorizzati i dati personali non codificati di 133.000 cittadini della Florida. Nel corso di quest’anno i cittadini statunitensi avevano già dovuto affrontare una situazione analoga. Alle autorità occorrono due settimane per informare del furto tramite una lettera tutte le persone interessate. Chi si è impossessato di questi dati ne avrà fatto uso immediatamente e nell’arco di due settimane il danno finanziario sarà notevole. La ricompensa di circa 10.000 dollari offerta per la restituzione del laptop naturalmente non servirà a restituire la riservatezza dei dati personali ivi memorizzati, dei quali sarà possibile semplicemente fare una copia. È necessario pertanto adottare altre misure precauzionali.

15 agosto: Problemi in Internet Explorer con la patch di Microsoft

Con l’aggiornamento alla sicurezza Patch-Tuesday di Microsoft del mese di agosto, alcuni utenti hanno iniziato a riscontrare dei problemi durante l’utilizzo di Internet Explorer. La trappola è nell’aggiornamento critico MS06-042, che provoca l’arresto anomale di Internet Explorer quando l’utente accede a determinati a siti Web. Considerata la gravità del problema, Microsoft ha pianificato un aggiornamento supplementare per il 22 di agosto.

22 agosto: La patch non è stata rilasciata

Il "patching" non è un’operazione affatto facile, come ben sa Microsoft. Qualche ora prima del rilascio del secondo aggiornamento MS06-42, Microsoft ha scoperto che la nuova patch da un parte avrebbe risolto il problema recente dell’arresto anomalo di Internet Explorer ma dall’altra avrebbe introdotto una nuova grave vulnerabilità in alcuni sistemi Windows. Utenti malintenzionati potrebbero riuscire ad assumere il controllo di un sistema su cui è in esecuzione Internet Explorer 6 con Service Pack 1 e il nuovo aggiornamento MS06-042.

29 agosto: Il grande fratello è sulle tue tracce!

L’ex CEO e fondatore di Comverse, Kobi Alexander, è stato rintracciato nella capitale dello Sri Lanka Negombo dopo avere effettuato una telefonata di appena un minuto utilizzando Skype. Kobi Alexander era fuggito dagli Stati Uniti dopo essere stato accusato di una truffa per diversi milioni di dollari, ottenuti falsificando le date di assegnazione dei diritti di opzione alle spese degli azionisti di Comverse.

L’idea che le telefonate VoIP fossero sicure e non rintracciabili si è dimostrata amaramente infondata per Kobi Alexander. Anche il ricorso ad accorgimenti e mezzi di ogni genere per mantenere l’anonimato e non farsi localizzare si è dimostrato vano. Quell’unica telefonata effettuata utilizzando il servizio Skype ha consentito agli agenti dell’intelligence di individuare la sua presenza in Sri Lanka e, quindi, di rintracciarlo tramite un investigatore privato.

Questi fatti dimostrano chiaramente come, qualsiasi attività si svolga su Internet, l’anonimato rimanga una condizione illusoria.

Settembre

4 settembre: 419-scam entra nella Marina degli Stati Uniti

Alla costante ricerca di nuovi scenari in cui interpretare la loro truffa, gli scammer stanno al momento sfruttando la missione americana in Iraq. Sostengono infatti di essere ufficiali della marina americana e che, dopo un raid in cui hanno perso la vita alcuni criminali iracheni, hanno scoperto dei container con una gran quantità di denaro. Naturalmente, la loro intenzione è quella di far uscire il denaro dal paese e a tale scopo richiedono aiuto. Non lasciatevi imbrogliare!

7 settembre: Botnets e Wiki

Gli hacker hanno iniziato a sfruttare le vulnerabilità dei wiki per creare una rete di computer vulnerabili, o botnet. I problemi emergono nelle applicazioni Pmwiki e Tikiwiki.

L’exploit di Pmwiki può essere utilizzato solo se l’attributo "Register globals" è attivato. L’exploit di Tikiwiki può invece essere utilizzato in ogni caso.

Attraverso la connessione a diversi canali IRC, gli exploit caricano anche numerosi altri exploit e strumenti di attacco ai computer compromessi (tra cui gli script Perl di tipo flood). Sia Pmwiki che Tikiwiki hanno rilasciato aggiornamenti e patch.

12 settembre: La soluzione in un nuovo disco rigido

Se dobbiamo credere a Jasim Saleh Al-Azzawi, la sua ultima invenzione ci lascerà sul lastrico. Questa "invenzione" pare essere un disco rigido con funzionalità aggiuntive in grado di rendere i virus del passato, del presente e del futuro un semplice ricordo. Questo nuovo tipo di disco rigido dispone di interruttori aggiuntivi in grado di attivare e disattivare le testine. L’idea di base è quella di reindirizzare tutte le operazioni I/O in un’unica posizione protetta in cui conservare i dati più sensibili. Quando il sistema non è connesso a Internet, la posizione protetta viene disattivata e diventa irraggiungibile; per tale motivo i virus che entrano nel sistema durante la connessione non dovrebbero rappresentare alcun problema.

È molto semplice trovare numerose falle in questa nuova "invenzione". Difficile poi, se non impossibile, è riparare queste falle, poiché si verrebbe a creare una situazione totalmente impraticabile, equivalente a non accendere nemmeno il computer. Sicuro, sì, ma inutile!

20 settembre: Exploit VML colpisce Internet Explorer

La Sunbelt ha scoperto un nuovo zero-day exploit per Internet Explorer che rende vulnerabile il motore di rendering VML (Vector Markup Language) di Internet Explorer. Mozilla Firefox e Opera non sono interessati da questo exploit.

In Internet Explorer l’exploit sfrutta un foro in VML per creare un buffer overflow e iniettare lo shellcode. Sembra che l’exploit sia già ampiamente utilizzato nei siti porno. Considerata la gravità di tale vulnerabilità, Microsoft ha risposto in modo adeguato provvedendo al rilascio di una patch "out-of-cycle".

26 settembre: Un altro exploit zero-day, questa volta per Microsoft Office

Le vulnerabilità zero-day sembrano essere oggi all’ordine del giorno. Oggi ne è stata individuata ancora un’altra che riguarda Microsoft PowerPoint. I colleghi di McAfee hanno fatto una scoperta molto interessante:

“Sembra che Microsoft abbia aggiunto nel suo prodotto antivirus il rilevamento dell’exploit tre giorni prima che si venisse a conoscenza di tale exploit. Le uniche informazioni pubbliche su queste minacce sono contenute nelle voci della Malicious Software Encyclopedia (qui la data di scoperta viene fatta erroneamente risalire al 26 settembre, mentre in realtà i file di definizione del virus sono stati scoperti il 23 settembre): Exploit:Win32/Controlppt.W ed Exploit:Win32/Controlppt.X."

Security Information

Panoramiche sugli eventi della sicurezza precedenti

NOTIFICHE DI VIRUS

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Latest virus definition file published

>>	2009-01-07

Informazioni sulla sicurezza

>>	Summing up 2008 and predictions for 2009
>>	Natale: periodo di gioia e terrore

Avviso sulla sicurezza

>>	Unscheduled update for Microsoft Internet Explorer
>>	Sei aggiornamenti critici per i sistemi Microsoft a dicembre 2008

Norman is one of the world’s leading companies within the field of data security. With products for antivirus (virus control), personal firewall, antispam and antiadware, the company plays an important role in the data industry.