Aprile 2006 

4 aprile: Microsoft afferma l’impossibilità del ripristino da software nocivo 

"Quando si ha a che fare con Rootkit e con alcuni programmi spyware avanzati, l’unica soluzione è ripartire da zero. In alcuni casi è davvero impossibile ripristinare un sistema senza effettuare la formattazione", ha affermato Mike Danseglio, manager dei programmi presso il Security Solutions Group di Microsoft in occasione della InfoSec World Conference. La scelta migliore che le aziende possono compiere per ripristinare i sistemi danneggiati dal software nocivo è di investire nei processi automatizzati.

5 aprile: software beta disponibile al pubblico consente ai computer Mac basati su Intel di eseguire Windows XP 

Apple ha rilasciato una versione beta denominata Boot Camp che permette l’installazione di Windows XP su computer Macintosh basati su Intel. Dopo aver effettuato l’installazione e il riavvio, l’utente può scegliere di eseguire Mac OSX oppure Windows XP. Boot Camp fa parte di Leopard, il nome in codice utilizzato per la versione futura di Mac OSX di Apple, la cui anteprima avverrà nell’agosto 2006.

5 aprile: Cisco rilascia informazioni sulle vulnerabilità della sicurezza 

Sono state riscontrate vulnerabilità per diversi dispositivi Cisco, primo fra tutti Cisco 11500 Content Services Switch, esposto a vulnerabilità per le richieste HTTP. Se la configurazione di questi switch comporta l’esecuzione di compressione HTTP, potrebbe verificarsi un rifiuto del servizio (Denial of Service, DoS) durante l’elaborazione di richieste HTTP appositamente concepite.

Sono state riscontrate diverse vulnerabilità per Cisco Optical Networking Systems (ONS) che incidono sulle Multi-Service Provisioning Platform relativamente a ONS 15310, ONS 15327, ONS 15600 e sulle Multi-Service Transport Platform relativamente a ONS15454 dove i nodi ottici dotati di Common Control Card collegate a una rete per le comunicazioni di dati sono interessati se utilizzati per IP4. Quando questa vulnerabilità può verificarsi un attacco DoS sulle Common Control Card.

È stata riscontrata una vulnerabilità nell’utilità di avvio dell’applet Cisco Transport Controller che può causare l’esecuzione non autorizzata di codice sulla stazione di lavoro.

Cisco ha messo a disposizione software in grado di risolvere le vulnerabilità per entrambi i dispositivi. 

6 aprile: Oracle pubblica accidentalmente informazioni su una falla nei propri sistemi

Oracle ha accidentalmente pubblicato sul proprio sito Web MetaLink informazioni relative a una falla senza patch, fornendone una descrizione completa, incluso il codice dell’exploit. La falla interessava tutte le versioni di Oracle Database dalla 9.2.2.0 alla 10.2.0.3. Dopo essersi resa conto dell’errore, Oracle ha rimosso tali informazioni dal sito. La falla riguarda il modo in cui Oracle Database gestisce alcune visualizzazioni appositamente create da utenti non autorizzati, i quali potrebbero ottenere privilegi di SELEZIONE e di aggiornamento, eliminazione o inserimento di dati nei database.

È interessante osservare che Oracle in genere critica il comportamento di altre aziende che rendono pubbliche le informazioni sulle vulnerabilità. In questo caso è la stessa Oracle ad averlo fatto, seppure per sbaglio. 

7 aprile: "proof of concept" dell’infector Linux/Win32 

Fino a questo momento il 2006 si è rivelato l’anno delle "proof of concept", con un’ulteriore sfida da affrontare: un virus che infetta sia i file di Windows (formato PE) sia quelli di Linux (formato ELF). Il virus utilizza due diverse tecniche per infettare i file di entrambe le piattaforme, ovvero la funzione Kernel32.dll che agisce sui file di Windows e la funzione di chiamata di sistema a Int 80 che agisce sui file di Linux. Oltre a infettare entrambi i formati, il virus non provoca altre conseguenze nocive

10 aprile: SecureBlue, in arrivo da BigBlue 

IBM ha creato un dispositivo per la crittografia dei dati basato su hardware che applica il tipo di sicurezza mainframe a prodotti consumer, dispositivi medici, sistemi di difesa e supporti digitali. Questa tecnologia, denominata SecureBlue, può essere applicata a numerose attrezzature che contengono importanti informazioni riservate o private, ad esempio telefoni cellulari, PDA, PC, portatili e così via. 

11 aprile: MS06-013, esecuzione remota da Internet Explorer

È stata riscontrata una vulnerabilità nell’API di CreateTextRange in grado di effettuare l’esecuzione remota utilizzando il codice di siti Web o messaggi email appositamente creati. Il danno effettivo è stato limitato poiché Microsoft ha lavorato a stretto contatto con partner come Norman, chiudendo i siti Web che presentano codice nocivo e rendendone pubblico l’URL.

17 aprile: un’altra ventina di falle della sicurezza in Firefox

Si è sempre affermato che Firefox di Mozilla è più sicuro di Microsoft Internet Explorer; quest’anno, tuttavia, è già stato sottoposto a un numero di aggiornamenti sulla sicurezza maggiore rispetto a quello che ha interessato Internet Explorer durante tutto lo scorso anno. Oggi Mozilla Foundation ha rilasciato non più di 21 correzioni delle falle presenti nel browser Web Firefox. Queste falle possono essere sfruttate, ad esempio, per effettuare phishing e modificare restrizioni sulla sicurezza o dati sensibili.

18 aprile: Norman sotto attacco DDoS 

Alle 16:30 il noto Sandbox Information Center (http://sandbox.norman.com) di Norman ha subito un attacco DDoS (Distributed Denial of Service). Si è verificata un’intensa attività del server web/sql causata dall’attacco a un botnet. Con l’aiuto dell’ISP è stato possibile bloccare l’attacco DDoS sul backbone Internet norvegese, consentendo la normale prosecuzione delle attività di Norman. Il botnet è stato rimosso.

Da quando Norman ha messo a disposizione il Sandbox Information Center si sono verificati ripetuti attacchi alla Sandbox che hanno causato la creazione di software nocivo dove, a detta degli utenti malevoli, sarebbero presenti interessanti riferimenti che rendono note le preferenze sessuali di Norman. Inutile dire che le preferenze sessuali di Norman sono riservate e pertanto queste insinuazioni lasciano il tempo che trovano. 

19 aprile: una trentina di ulteriori falle in Oracle

Quest’anno sono state rilasciate numerose patch. Nonostante fossero destinate a diversi prodotti Oracle tra cui database e applicazioni server, un utilizzo così ampio di patch nelle grandi aziende risulta particolarmente gravoso. Oltre a rilasciare patch di sicurezza, Oracle ha effettuato modifiche agli strumenti esistenti in grado di cercare login predefinite e password deboli che in genere possono essere indovinate senza difficoltà o utilizzate per attacchi selvaggi, offrendo agli hacker un facile accesso. 

Maggio 2006 

1 maggio: American Express interessata da falsi pop-up 

La nota società di carte di credito American Express è stata interessata da falsi pop-up in cui venivano richieste informazioni personali quali nome, data di nascita, numero di previdenza sociale e cognome da nubile della madre. Il dato importante è che tali pop-up possono apparire anche quando l’utente utilizza il sito Web di American Express. I pop-up sono presumibilmente creati da spyware assegnato ai computer degli utenti che visualizzano tali messaggi. Ogni mese vengono scoperti centinaia di nuovi cavalli di Troia utilizzati nei siti delle banche.

2 maggio: attacco DDoS su sito blog 

Milioni di blog sono stati resi inutilizzabili da un attacco DDoS che ha interessato Six Apart, uno dei più diffusi servizi di blog negli Stati Uniti. Il fenomeno si sta diffondendo con una frequenza sempre maggiore tra i siti DDoS più popolari.

9 maggio: benvenuti a bordo di SpyCar 

Il file di prova EICAR è stato creato per verificare che i prodotti antivirus in uso funzionino correttamente, rilevando i virus e adottando le misure appropriate. Occorre sfatare una credenza diffusa: il rilevamento del file di prova EICAR NON garantisce il rilevamento sistematico di tutti i virus. Alcuni fornitori di antivirus hanno infatti deliberatamente scelto, per motivi propri, di non rilevare il file di prova EICAR. Tutti i prodotti Norman dotati di motore Norman Scanner Engine incorporato rilevano il file di prova EICAR.

Un’altra iniziativa destinata ad aiutare l’utente finale a verificare lo spyware è il progetto SpyCar. Come suggerisce il nome stesso, SpyCar è una suite di strumenti ideata per riprodurre il comportamento degli spyware, ma in forma benigna. SpyCar, realizzato da Intelguardians, consente a chiunque di verificare il sistema di difesa in base al comportamento dello strumento antispyware utilizzato. Le azioni eseguite da SpyCar, tuttavia, sono generiche. La modifica della home page predefinita di Internet Explorer è un’azione che molti utenti eseguono in modo intenzionale e automatico facendo clic su un collegamento nella home page preferita. Lo stesso principio vale per la modifica della pagina di ricerca predefinita. Queste azioni non sono necessariamente imputabili a spyware o adware.

SpyCar presenta l’inconveniente di essere molto efficace su Internet Explorer ma non su altri browser diffusi quali Firefox e Opera. Il file di prova EICAR è indipendente dalla piattaforma antivirus usata. Negli ultimi tempi la richiesta di file di prova per antispyware ha subito un incremento. EICAR modificherà la descrizione del proprio file di prova da antivirus a antimalware. La definizione e il contenuto del file 68 byte resteranno invariati, poiché non è possibile modificarli senza causare problemi su scala globale nel settore degli antivirus. 

11 maggio: sicurezza di Max OSX, 43 falle corrette 

La presunta maggiore sicurezza di Mac OSX non si è rivelata affatto tale. È solo a partire dall’introduzione di BootCamp che i computer Macintosh hanno conosciuto una maggiore diffusione. I nuovi computer Macintosh sono dotati di CPU Intel e di BootCamp che consente l’esecuzione sia di Mac OSX si di Windows. L’incremento del numero di utenti ha improvvisamente suscitato una maggiore attenzione nei confronti di Mac OSX, facendo emergere un numero impressionante di vulnerabilità. Sono state corrette non meno di 31 vulnerabilità di OSX e 12 vulnerabilità di Safari, il browser Internet di Mac OSX.

12 maggio: ContextPlus RootKit morde la polvere 

ContextPlus ha interrotto le sue attività. I programmi più noti dell’azienda sono PeopleOnPage e Apropos. Una volta installati, effettuano il monitoraggio del comportamento di navigazione e inviano le relative informazioni ai server ContextPlus. I programmi, che sono basati sul comportamento di navigazione, visualizzano pop-up invece di eseguire le azioni dell’utente che viene infastidito dall’eccessiva presenza di questi messaggi. L’installazione implementa la tecnologia RootKit modo kernel che rende questi programmi invisibili alle applicazioni antispyware. Come è risaputo, il rilevamento dei programmi nascosti mediante questa tecnologia non è affatto facile. 

25 maggio: la nuova "stagione calda" delle vendite 

Quale che sia l’evento, l’obiettivo è ricavare denaro. Questa volta la vittima è il prossimo Campionato mondiale di calcio in Germania. Il nuovo worm W32/Banwarum invia email in lingua tedesca dove, in alcuni casi, vengono offerti biglietti stampabili per le partite. In realtà il worm invia un archivio protetto da password, contenente una copia del worm stesso, dove la password è all’interno dell’email. Inutile dire che l’archivio non contiene alcun biglietto stampabile. 

Giugno 2006 

6 giugno: numeri all’attacco 

Dal 6 giugno numerose aziende ricevono strane email in cui l’indirizzo del mittente e del destinatario coincidono. La riga dell’oggetto e il corpo del messaggio contengono numeri variabili composti da 3-7 cifre e non sono presenti allegati o script incorporati. Dalle intestazioni è possibile intuire la natura ingannevole del mittente. È stato diffuso codice nocivo che invia queste email di "prova". Si era pensato al tentativo di eliminare da un elenco email originale le voci non valide o di verificare quelle nuove oppure a uno strumento di spamming o phishing. Alla fine si è scoperto che si trattava di messaggi inviati da una nuova variante di Bagle. 

12 giugno: attacco al Department of Energy

Alcune informazioni personali, ad esempio i nomi e i numeri di previdenza sociale, sono state copiate da un file presente in un sistema del Department of Energy. Queste informazioni, relative prevalentemente ai collaboratori esterni, possono essere oggetto di numerosi utilizzi impropri. I dati si trovavano in una parte non riservata della rete e non su quella contenente i dati relativi ai sistemi nucleari, che è molto più sicura. Nonostante fosse avvenuto già da alcuni mesi, il furto è stato ammesso solo in occasione di un’udienza pubblica. Fino a quel momento le persone interessate non erano state in alcun modo informate. 

13 giugno: MS06-021, nuove falle in Internet Explorer 

Con questo aggiornamento sono state corrette non meno di 8 vulnerabilità critiche. L’aggressore che utilizza una o più di queste vulnerabilità è in grado di assumere il controllo completo del sistema interessato, per poi installare programmi o modificare dati importanti. Inoltre, può creare nuovi account con diritti utente completi.

13 giugno: MS06-027, vulnerabilità in Microsoft Word  

Una vulnerabilità riscontrata in Microsoft Word, nota anche come CVE2006-2492, rende il programma potenzialmente attaccabile. Utilizzando un documento Word appositamente creato, l’aggressore potrebbe eseguire codice shell allo scopo di assumere il controllo completo del sistema. Sono in circolazione numerose "proof of concept" relative a questa vulnerabilità di cui, fortunatamente, nessuna dal contenuto dannoso.

21 giugno: falla nella sicurezza del WiFi 

I ricercatori statunitensi sono riusciti da assumere il controllo di un portatile modificando il codice relativo al driver di una scheda WiFi del sistema. Utilizzando il programma open-source LORCORN (acronimo di "Lots of Radio Connectivity"), hanno inviato numerosi pacchetti wireless a diverse schede wireless. In questo modo hanno scoperto molte falle nei driver dei dispositivi WiFi di cui una ha consentito a un ricercatore di sfruttare il bug, assumendo il controllo completo del portatile. I ricercatori renderanno pubbliche queste informazioni il 2 agosto in occasione del Black Hat di quest’anno che si svolgerà a Las Vegas.

30 giugno: nuovo attacco a Macintosh 

Il giorno successivo a quello del rilascio da parte di Apple degli aggiornamenti dei propri sistemi operativi, tra cui OSX, è stato rilasciato il codice che consentiva di sfruttare una delle vulnerabilità. Sebbene la vulnerabilità (nel componente del sistema "avviato") sia stata corretta con l’aggiornamento, l’esperienza dimostra che occorre un certo periodo di tempo prima che le patch vengano applicate da tutti gli utenti. Il mondo Mac sembra essere altrettanto insicuro di quello Windows, un inconveniente causato dalla crescente diffusione del Macintosh, soprattutto da quando i nuovi PowerBooks sono dotati di CPU Intel e possono eseguire anche Windows XP. 

30 giugno: nuovo abbandono di WinFS 

Il nuovo file system WinFS di Microsoft, che avrebbe dovuto essere rilasciato in Windows Vista, è stato nuovamente abbandonato. In origine era stato concepito come uno dei componenti principali di Windows Vista, un file system basato sui database, ma nel corso degli anni ha già causato ritardi. Microsoft ha annunciato che Vista verrà rilasciato senza WinFS e che WinFS non sarà disponibile come plug-in per Windows Vista o Windows XP.

Il motivo di questo abbandono non è chiaro e potrebbe essere di natura tecnica o legale. Molte persone, infatti, hanno già sollevato questioni di antitrust, essendo il sistema WinFS basato sui database. 

Panoramiche sugli eventi della sicurezza precedenti

La panoramica sugli eventi della sicurezza per il primo trimestre 2006 è disponibile facendo clic su  questo collegamento.