Una delle questioni più spinose inerenti l’impiego degli Android Market da parte degli utenti (sia di terze parti, sia ufficiale di Google), risulta essere il potenziale rischio derivante dall’installazione di malware camuffati da mobile-app legittimi. Per molti mesi, la community di esperti di sicurezza s’è interrogata sulle motivazioni inerenti la mancata applicazione, da parte di Google, di un piano di controllo preventivo delle aggiunte al market online, operazione già introdotta e a pieno regime presso l’AppStore di Apple. Questo genere di controllo infatti, sicuramente provvederebbe nel garantire una maggior limitazione nei confronti della diffusione dei codici maligni, prodotti per Android. Occorre però sottolineare come ultimamente un portavoce della sezione mobile di Google, abbia ufficializzato la presenza di un programma di controllo automatico (codename “Bouncer”), finalizzato nel provvedere alla rimozione di eventuali mobile-app considerati potenzialmente pericolosi per l’utenza. L’azione operata dal sistema di scansione provvede nell’analisi di ogni tipo di applicativo (attraverso la sua installazione ed esecuzione, presso un ambiente opportunamente virtualizzato), fin dalla sua pubblicazione iniziale. Tale controllo risulta essere esteso anche al profilo dello sviluppatore coinvolto con l’app scandita, escludendo, in caso di problemi, sia il malware, sia il suo creatore.
Secondo quanto riscontrato, nel 2011 la presenza dello scanner “Bouncer” avrebbe di fatto ridotto del 40% la presenza di mobile-app malevole, fraudolentemente pubblicate presso il Market principale.
Google ufficializza la presenza di un’azione di controllo anti-malware, nei mobile-app forniti tramite Market ufficiale
4 febbraio 2012
Android & Malware 2012: Nuove scoperte
3 febbraio 2012
Secondo le ricerche effettuate dall’azienda di sicurezza Symantec, in merito all’evoluzione delle minacce malware, dirette nel colpire i sistemi Linux Android, è stata individuata una nuova evoluzione nelle tecniche di aggiramento dei prodotti di scansione antivirali, tutt’ora in commercio per smartphone e tablet.
La strategia impiegata dai vyxer e scoperta dal laboratorio Symantec, di per sè risulta già nota alla community di esperti del settore, in quanto sfruttata precedentemente anche in molteplici malware creati per Windows. La tecnica impiegata, si basa su un particolare tipo di polimorfismo (cioè di modifica dinamica del codice maligno integrato nel malware stesso), applicato sia in forma autonoma (come parte integrante dell’algoritmo stesso), sia a seguito di sollecitazione remota, perpetrata attraverso un’opportuno server istituito a tale scopo. Questo tipo di strategia, largamente impiegata nelle ultime versioni dei Malicious Botnet Kit più conosciuti, permetterebbe la mutazione di parte delle funzionalità interne del software malevolo inoculato, nell’intento di garantire una maggior efficacia nell’opera d’aggiramento delle contromisure antivirali, principalmente basate su sistemi di pattern-matching, di fatto permettendo la facile elusione dei sistemi di difesa installati.
Finora, i mobile-app posti in quarantena risultano essere accomunati dalla nazionalità dei siti web impiegati per la loro diffusione (tutti russi) e dalla licenza d’impiego (gratuiti).
Il team di studiosi ha identificato in tutto 3 metodi di code-scrambling, integrati nell’algoritmo principale dei campioni di malware analizzati:
- Modifica di alcuni comportamenti “finali”, adottati dal codice malevolo stesso (es. tipo di sequenza d’azioni compiute, una volta compromesso il sistema ospite; dati impiegati per l’invio d’informazioni e messaggi alla vittima ecc.);
- Polimorfismo di base, ottenuto attraverso la modifica del posizionamento delle funzioni e di parte delle porzioni di codice integrate nel malware;
- Aggiunta e rimozione di dati raw (contenuti in file fittizi), riempiti d’informazioni casuali ottenute dal sistema ospite, al fine di variare eventuali sequenze di codice contigue, potenzialmente sfruttabili dai produttori di software antivirali, per l’individuazione e creazione di pattern utili all’identificazione delle minacce;
I codici malevoli identificati finora, colpiscono utenze sia asiatiche, sia europee (compreso Israele ed Australia).
Apple MacOSX: Security Update 2012-001 (Service Pack 10.7.3)
3 febbraio 2012
Sistemi Operativi Coinvolti: Apple MacOSX 10.7.x e 10.6.8
L’aggiornamento di sicurezza 2012-001, nonché il service pack 10.7.3, introducono le seguenti correzioni nel sistema:
- Risolto un problema correlato all’impiego delle smartcard, come sistema d’accesso all’OS;
- Risolto un problema correlato alla condivisione files, in ambienti ibridi Macintosh e Windows;
- Risolto un problema correlato alla stampa di un certo tipo di file in formato Microsoft Word;
- Risolto un problema di Wake-up (conseguente ad un precedente stato di Stop del sistema), presente in alcune versioni di iMac dotate di schede video ATI;
- Risolto un problema correlato al sistema Wi-Fi, dopo il Wake-up da un precedente Stop del sistema;
- Risolto un problema correlato al funzionamento del browser Safari, non avviabile in certi casi, prima del join di una rete Wi-Fi;
- Risolto un problema correlato al funzionamento del sistema di file sharing Samba;
- Aggiunti nuovi formati RAW impiegati da parte delle fotocamere digitali;
- Risolti molteplici problemi correlati al join e al funzionamento del sistema, in Active Directory;
- Risolti molteplici problemi di sicurezza, potenzialmente causa di DoS ed esecuzione arbitraria di codice, nel sistema affetto;
Note: L’installazione dell’aggiornamento 10.7.3 è consigliato a tutti gli utenti 10.7, a causa della presenza di molteplici correzioni apportate al sistema operativo, sia nell’ambito della funzionalità, sia in quello inerente la stabilità e la sicurezza dell’OS. L’aggiornamento 10.7.3 contiene anche la versione di Safari web browser 5.1.3.
Cronologia Bollettino: 1.0, Creazione Bollettino 03/02/2012
Consigli & Informazioni
- Si consiglia l’aggiornamento tempestivo all’ultima versione del sistema, al fine di mitigare eventuali problemi di sicurezza e migliorare le performance complessive di funzionamento.
Mozilla: Rilasciata la versione 10.0 di Firefox Browser e Thunderbird e-Mail Client
1 febbraio 2012
Sistemi Operativi Coinvolti: Per tutte le piattaforme supportate dai software. Eventuali versioni disponibili per ambienti Unix/Linux, possono subire ritardi
La versione 10 di Mozilla Firefox implementa le seguenti novità:
- Modificate alcune funzioni fornite dall’interfaccia del programma (pulsanti ecc.);
- Migliorata la compatibilità degli addon installabili nel browser;
- Migliorati svariati elementi interni integrati nel browser e facenti parte dell’engine d’interpretazione web integrato (tra cui CSS, HTML5 e WebGL);
- Corretti dei problemi di stabilità, derivanti dall’integrazione con Java, presso sistemi Macintosh;
- Corretto un problema di crash inaspettato dell’applicativo, manifestato durante lo spostamento delle entry riportate nella sezione “Preferiti” (Bookmarks);
La versione 10 di Mozilla Thunderbird implementa le seguenti novità:
- Nuove funzionalità di ricerca integrate;
- Correzioni a problemi di stabilità identificati durante la creazione di messaggi e-Mail;
- Correzione a bug e problemi di stabilità individuati dalla community;
Note: Nessuna nota aggiuntiva disponibile.
Cronologia Bollettino: 1.0, Creazione Bollettino 01/02/2012
Consigli & Informazioni
- Si consiglia l’aggiornamento all’ultima versione “Stable” dei software, al fine di mitigare eventuali problemi di sicurezza e migliorare le performance complessive erogate dagli applicativi.
- Versione software consigliata per ambienti di produzione.
Il caso Megaupload: cosa rischiano utenti ed aziende?
24 gennaio 2012
Articolo originariamente pubblicato da PMI.it – Autore: Tullio Matteo Fanti
“Dopo la chiusura di Megaupload da parte dell’FBI, rimangono in ballo alcune questioni legali di non semplice interpretazione, di interesse per gli utenti che hanno fatto in qualche modo uso del servizio, siano essi semplici privati o aziende.
Quali sono i reati imputabili alle aziende italiane che hanno diffuso tramite Megaupload materiale protetto da copyright? Quale invece il destino del materiale lecito? Alle domande, formulate da Webnews, cerca di rispondere l’avv. Francesco Paolo Micozzi, avvocato del Foro di Cagliari già impegnato in passato nella difesa dei responsabili di The Pirate Bay: un punto di vista importante, insomma, per districare una questione che rischia di calare conseguenze importanti sul file sharing e non solo.
Secondo Micozzi, il servizio non poteva essere considerato illecito a priori e un apposito “Abuse Tool” avrebbe dovuto dare ulteriori garanzie sulla relativa bontà del materiale condiviso su Megaupload; tuttavia, «sono state intercettate le email dei soggetti ritenuti responsabili, dalle quali si evince la volontà di incoraggiare l’upload di materiale protetto (ad esempio con il programma “Uploader Rewards”) e la consapevolezza che singoli file fossero stati inseriti in violazione del copyright». Il che ha consegnato alle autorità la possibilità di intervenire con una irruzione e con il sequestro dei server.
Ora log, IP e dati personali archiviati sui server Megaupload sono in mano all’FBI; è possibile quindi che «l’Autorità giudiziaria statunitense trasmetta l’elenco degli utenti italiani di Megaupload che abbiano diffuso materiale protetto da copyright all’Autorità giudiziaria italiana la quale ultima potrebbe decidere di agire direttamente nei confronti dei soggetti che si trovino sul territorio italiano».
Il reato può cosi essere ricondotto all’art. 171, lett. a-bis) L. 633/41 se non vi è stato uno scopo di lucro, «mentre se l’utente ha diffuso il materiale protetto a fini di lucro (ad esempio sfruttando l’“Uploader Rewards” di Megaupload) potrebbe configurarsi la più grave figura delittuosa prevista dall’art. 171-ter della stessa legge».
Nel caso di file diffusi in modo assolutamente lecito, esiste infine la possibilità, secondo Micozzi, che questi vengano sequestrati assieme al server, con un danno diretto alle aziende che si appoggiavano a Megaupload in qualità di servizio di storage remoto.
In ultima analisi, è bene quindi adottare policy aziendali precise e ben progettate, che non proiettano ombre sul web, e fare attenzione alla “nuvola”all’interno della quale si intende memorizzare i proprio dati. Il rischio è di perdere il proprio materiale: anche se lecito, anche se di proprietà.”
Google Chrome: Aggiornamento alla versione Stable 16.0.912.77
24 gennaio 2012
Nuova Versione Disponibile: 16.0.912.77 (per Windows, Linux, MacOSX e Chrome Frame)
Descrizione: L’aggiornamento principalmente risolve molteplici problemi di sicurezza individuati nel Browser, a seguito di test specifici.
Note: Risolti un totale di 5 vulnerabilità, di cui: 1 “Critical”, 4 “High”. A causa della gravità dei problemi individuati, è consigliato l’aggiornamento tempestivo del software.
Cronologia Bollettino: 1.0, Creazione Bollettino 24/01/2012
Consigli & Informazioni
- Si consiglia l’aggiornamento all’ultima versione “Stable” del browser, al fine di mitigare eventuali problemi di sicurezza e migliorare le performance complessive dell’applicativo.
- Versione software consigliata per ambienti di produzione.
Soluzione di sicurezza in Cloud Computing di McAfee, impiegata come rampa di lancio per l’invio di Spam
19 gennaio 2012Articolo originariamente pubblicato da ITC Business.it
“McAfee ha ammesso la presenza di due falle nella sicurezza del suo programma SaaS (software as a service) Total Protection. Stando alle informazioni ufficiali divulgate dall’azienda, il primo bug potrebbe essere utile ai cyber aggressori per eseguire codice attraverso un comando ActiveX.
La seconda falla riguarda il servizio di inoltro delle mail e dovrebbe consentire agli spammer di trasformare i computer in un “open relay” tramite cui diffondere messaggi di spam. Questa seconda opzione è decisamente poco piacevole, ma per lo meno sembra che non sia possibile accedere ai dati dell’utente.
La minaccia costituita da queste due falle non è solo teorica: almeno un utente ha riferito di essere caduto vittima di attacchi che hanno sfruttato la seconda breccia nella sicurezza, e che se n’è reso conto solo dopo avere appreso che il suo indirizzo IP era stato inserito nelle blacklist dei provider di posta elettronica.
McAfee ha ammesso l’esistenza del problema e ha pubblicato un comunicato sul suo sito in cui David Marcus, direttore delle ricerche per la sicurezza, assicura che entrambe le falle sono state risolte con la patch automatica distribuita questa mattina.
Gli utenti aziendali che non avessero attivato l’aggiornamento automatico del programma faranno quindi bene a controllare e scaricare manualmente gli upgrade. Lascia perplessi il fatto che il problema non era stato rilevato dai ricercatori per la sicurezza, ma dai clienti che avevano tempestato blog e siti forum con le segnalazioni. In ogni caso il problema è alle spalle, accertatevi semplicemente che l’aggiornamento sia stato scaricato e installato correttamente.”
Aziende & Attacchi DoS: I motivi
17 gennaio 2012
Il mondo dell’informatica, com’è ormai noto alla maggior parte degli utilizzatori di tali tecnologie, è affetto da molteplici problematiche correlate alla sicurezza. Queste tendono a differenziarsi in tipologia e metodo di svolgimento, a seconda del concetto su cui si fondano, fattore che ne determina le modalità di decorso e la capacità totale di danno arrecato. Uno degli attacchi più comuni tutt’oggi, è quello votato alla Negazione di Servizio (o Denial of Service (DoS)), cioè finalizzato nell’ostacolare l’erogazione (da parte di chi lo produce e lo pubblica) e/o la fruizione, di un determinato “contenuto informatico”, da parte dell’utenza destinata alla sua ricezione. Questo tipo d’attività di disturbo, può costituire un serio problema, soprattutto per coloro che sfruttano Internet come metodo di promozione dei propri prodotti/servizi, o provvede nel mantenere un rapporto con la clientela, attraverso vari canali e metodologie. Gli attacchi di questo tipo sono virtualmente impossibili da prevenire, oltre a comportare dei gravi problemi collaterali agli obbiettivi colpiti (soprattutto se l’azione lesiva risulta essere prolungata nel tempo), principalmente in termini economici (es. costo di banda occupato inutilmente, difficoltà dell’HSP, il quale potrebbe reagire dismettendo prematuramente i contratti di servizio con il cliente, la mancata raggiungibilità del medesimo da parte dei potenziali acquirenti, il danno pubblicitario ecc.).
Le ragioni della manifestazione di un attacco DoS
Al fine di valutare eventuali contromisure da intraprendere, votate nel mitigare gli effetti degli attacchi DoS, qualora questi dovessero manifestarsi, è buona norma comprendere le potenziali ragioni alla base di tali attività. Le principali in genere, risultano essere:
- Attacco DoS a scopo d’Estorsione: l’attacker provvede nell’ottenere un ingiusto profitto, colpendo un obbiettivo preciso, come parte di un operazione votata nella richiesta di somme di denaro periodiche alle vittime, in funzione di “riscatto anti-attacco”;
- Dispute tra gruppi di BlackHat: in questo caso, l’obbiettivo solitamente viene selezionato secondo vari criteri, tra cui la complessità di compromissione correlata e la sua reputazione sociale della vittima. Lo scopo dell’atto di compromissione, è completamente incentrato nell’azione dimostrativa stessa, votata nel dimostrare il livello di bravura da parte di uno o più membri del gruppo;
- Guerriglia tra gruppi di BlackHat: spesso generata da azioni di ripicca, scherno del team avversario, provocazione o come contro-reazione ad un torto subito ecc., coinvolgendo tutti i servizi intermedi (Hosting Service Provider ecc.), correlati marginalmente all’obbiettivo finale;
- Pratica commerciale scorretta: al fine di danneggiare il competitor, dal punto di vista della reputazione e della professionalità dimostrata ai clienti, rendendo inefficaci o difficilmente raggiungibili i siti web od eventuali altri servizi Internet, da questo erogati;
- Ritorsione a seguito del manifestarsi di circostanze indesiderate o successivamente ad azioni causa di fastidio da parte del perpetratore degli attacchi: l’attacco DoS può risultare in caso di risposta negativa ad una tentata estorsione, reazione irriverente da parte della vittima, o qualora il perpetratore non riesca ad ottenere da questa, un “guadagno” considerato di livello “adeguato”;
- Espressione di rabbia, critica o invidia: gli attacchi DoS possono risultare in risposta a circostanze che destino invidia, rabbia nel perpetratore o come forma di critica nei confronti di un determinato fatto o circostanza;
- Come test di prova: certi attacchi DoS vengono in certi casi operati, al fine di testare le capacità di efficacia e danno provocate dai dispositivi impiegati nel compimento delle operazioni;
- Come risultato imprevedibile, non direttamente desiderato: certi attacchi DoS possono risultare, in forma involontaria, a seguito dell’applicazione di configurazioni presso applicativi non del tutto privi di errori di programmazione;
- Senza alcun motivo apparente: Sebbene contenuto, comunque anche questa categoria detiene un certo numero di vittime. In tal caso, le motivazioni rimangono per lo più ignote;
