mercoledì 26 maggio 2010

Phishing: l'Italia nel mirino

Come tutti sanno, il phishing è un'attività illegale che, sfruttando tecniche di social engineering, è utilizzata da criminali per ottenere l'accesso a informazioni personali o riservate con la finalità del furto d'identità. Questa attività criminale, per gli ovvi impatti sugli utenti, è strettamente monitorata da molti enti, sia pubblici che privati. RSA pubblica mensilmente un interessante report che, oltre a focalizzarsi su alcuni temi specifici, contiene delle statistiche sui trend, a livello mondiale, del phishing.

Il report di maggio 2010 mostra un interessante situazione per quanto riguarda l'Italia.

Come si può vedere dalla figura sottostante, l'Italia non compare nella lista delle nazioni che originano gli attacchi di phishing.












La situazione invece cambia se ci si sofferma sulla lista delle nazioni che invece sono bersaglio degli attacchi di phishing. In questa classifica compare l'Italia al quinto posto.












Infine, lo scenario diventa veramente preoccupante se si analizza la lista delle nazioni che ospitano i brand maggiormente bersagliati dagli attacchi di phishing. In questa classica l'Italia compare al ben poco invidiabile terzo posto.












Risulta quindi evidente, dall'analisi comparata dei tre grafici, che, anche se in Italia non ci sono molti terminali per la diffusione degli attacchi di phishing, il nostro paese sia nel mirino dei phisher che ci vedono come "terreno di caccia" assai proficuo.

Sarà forse perché siamo più creduloni degli altri?

martedì 25 maggio 2010

MUMBLE - Password e altri disastri

Nel tempo, si sono accumulate alcune notizie che mi hanno colpito in modo particolare riguardo al tema delle password e alla loro prepotente presenza nella nostra vita quotidiana.

Notizia 1 Riportata dal DailyMail nella quale si mettono in guardia gli utenti di iTunes sull'uso della 'Domanda Segreta' scelta dall'elenco di opzioni all'atto della creazione del proprio account. Queste domande sono piuttosto semplici e includono ad esempio 'Qual'è il nome da nubile di tua madre?' e 'Dove hai trascorso il tuo viaggio di nozze?'. Dato che, in alcuni casi, è estremamente semplice trovare questo tipo di informazioni sui siti di social networking come Facebook o Twitter, queste utenze possono diventare preda di criminali informatici che si fingono utenti che hanno dimenticato la propria password e, per tornare in grado di gestire l'account, rispondono alla fatidica 'Domanda (non tanto) Segreta'.

Notizia 2 Zeus News riporta che è allo studio l'inserimento di una password per l'accesso wireless ai pacemaker nel caso di modifiche ai parametri di funzionamento. L'obiettivo è evitare che possa essere sfruttato l'accesso wireless a questi dispositivi per comandarli o spegnerli indebitamente. Evidentemente, però, si deve anche evitare che, in un caso di reale necessità, un medico non sia in grado di intervenire a causa della mancanza della password. A tal proposito, Stuart Schechter, ricercatore di Microsoft, suggerisce di tatuare la preziosa password direttamente sul corpo del paziente, nelle vicinanze dell'apparecchio impiantato, utilizzando un inchiostro ultravioletto, normalmente invisibile. Per maggiore sicurezza Schechter consiglia di replicare i dati anche in un'altra parte del corpo. (Grazie all'amico Alessandro Brunacci per la segnalazione)

Notizia 3 Molte fonti hanno riportato che la Corte Federale di Karlsruhe in Germania ha stabilito l'obbligo di proteggere l'accesso alle reti wireless domestiche con una password. Il rischio che si corre altrimenti, dice la Corte, è quello di essere corresponsabili di un eventuale infrazione di copyright a opera di terzi che sfruttano l'accesso alle rete senza protezione. In caso di download illegale, l'utente della rete che ha consentito l'accesso senza password rischia di essere multato per un massimo di 100 euro.

Queste notizie, se ce ne fosse ancora bisogno, sottolineano quanto ormai sia cruciale, nella normale vita di ognuno di noi, la corretta gestione delle password. Se ci fermiamo un secondo a riflettere ci rendiamo conto che, in molti casi, a queste informazioni è demandata la sicurezza degli aspetti più critici delle nostra vita.

Però, non sempre dedichiamo la giusta attenzione alla scelta e alla corretta gestione di questi fondamentali strumenti di riconoscimento. 

Quanti di noi pensano che potrebbe essere una buona idea aprire tutte le porte (di casa, del portone, del bagno, dell'auto, della cassaforte, della casa in montagna, del garage, della cantina, della cassetta della posta, ecc.) con un'unica chiave? Nessuno

Quanti usano la stessa password per tante utenze diverse, anche a criticità molto diversa? Quasi tutti.

E allora dov'è il problema, l'errore?

Io credo che sia nello strumento, le password richiedono una gestione troppo complessa per l'utente medio. Sono uno strumento che è stato pensato in un momento in cui l'uso era estremamente di nicchia, ora abbiamo una molteplicità di servizi remoti di qualsiasi tipo e pensare di continuare ad usare sempre lo stesso tipo di strumento per l'identificazione degli utenti è semplicemente miope.

Tra poco, si affacceranno sul mercato nuove modalità di gestione dell'identificazione e dell'autenticazione degli utenti e chi prima capirà quale sarà quello davvero vincente avrà un vantaggio competitivo sugli altri che sarà difficilmente uguagliabile.

Chi avrà l'idea migliore?

sabato 22 maggio 2010

Cyberwar: si dispiegano le forze

The Register riporta la notizia che la US Air Force ha comunicato di aver assegnato non meno di 30.000 soldati, circa un terzo delle truppe dislocate in Afghanistan, sul fronte della Cyberwar. L' Air Force Times, infatti, ha riferito che 27 mila unità sono ora classificate come esperti cyber e circa altre 3.000 risorse sono candidate a diventare altrettanti "Cyber Officer".


Anche se solo una piccola quota di queste persone faranno effettivamente parte della nuova formazione USAF dedicata alla cyberwar, il 24° Air Force, resta il fatto che, questo, sia un segno di grande cambiamento e di grandissima attenzione a questo tema.

Attenzione massima, ribadita anche dalla notizia che anche la Marina degli Stati Uniti sta predisponendo la propria unità d'elite cyber, la 10° [Cyber] Fleet. 

A completare il quadro, la notizia che ieri a Fort Meade, nel corso di una cerimonia per la nomina del Gen. Keith B. Alexander come comandante della nuova formazione "US Cyber Command", il Segretario della Difesa Robert M. Gates, ha reso ufficiale che sarà lo stesso Fort Meade il quartier generale della cyber difesa USA. La collocazione del Cyber Command a Fort Meade è stata discussa nel corso delle audizioni al Senato il mese scorso. E' bene ricordare che anche la NSA ha il propria sede a Fort Meade e che la Marina e il Corpo dei Marines, a gennaio,  hanno annunciato qui ci sarà la sede delle loro operazioni sicurezza informatica. Fort Meade diventerà così il centro nevralgico della Cyber Army americana.

E' sinceramente impressionante notare, negli Stati Uniti e non solo, questo enorme dispiegamento di uomini e mezzi. E' un po' come assistere a quei rapidi mutamenti nel cielo quando si passa velocemente dai toni azzurri del sereno al grigio plumbeo della tempesta in arrivo.

La domanda adesso è, quando arriverà la tempesta?

venerdì 21 maggio 2010

Le applicazioni voleranno tra le nuvole

Sul blog di Trend Micro dedicato alla Cloud Security è stato pubblicato un interessante articolo che mette a fuoco la potenziale portata dell'annuncio di Google che le applicazioni sviluppate tramite il framework App Engine d'ora in poi potranno essere 'ospitate' su infrastrutture di terze parti come VMware vSphere, vCloud, VMforce o Amazon EC2. 

Ecco quali sono, secondo me, i punti salienti dell'analisi di Trend Micro.

Java e altri linguaggi, hanno garantito l'indipendenza dalle piattaforme, infatti, da tempo, gli sviluppatori possono ignorare il sistema operativo sottostante (in gran parte) e concentrarsi sul lavoro di sviluppo dell'applicazione. Recentemente, il paradigma Platform as a Service (Paas), assumendo la gestione del sistema operativo sottostante e delle relative infrastrutture, ha fatto compiere un ulteriore passo avanti.  Ma le attuali offerte PaaS richiedono di spostare l'applicazione e i dati sulle infrastrutture del fornitore di servizi, complicando molto lo scenario. 

Oltre al già citato annuncio di Google il panorama delle PaaS è caratterizzato da altre importanti novità come ad esempio la recente partnership di VMware con Salesforce.com che ha dato vita a VMforce, una cloud che offre un innovativo modo di sviluppare ed eseguire applicazioni  Java per il mondo enterprise. 

In questo mutato scenario, la portabilità delle applicazioni tra diverse infrastrutture può offrire molti spunti per migliorare la sicurezza delle cloud sia pubbliche che private.

Ad esempio, si possono realizzare le condizioni per cui un piano di Disaster Recovery può essere reso molto conveniente potendo, in caso di emergenza, eseguire le applicazioni, senza modifiche, su PaaS pubbliche come Google App Engine, Force.com, Azure di Microsoft o altri. Oppure, le PaaS pubbliche possono essere usate come piattaforme di test durante lo sviluppo  applicazioni che trattano dati critici, (in particolare per i test di scalabilità), prima di costruire le cloud private necessarie per ospitare l'applicazione di produzione. Infine, grazie alla portabilità, si possono immaginare nuove soluzioni per la sicurezza. Dato che è difficile applicare controlli di sicurezza (WAF, DAM, DLP, IDS / IPS) ad una PaaS pubblica , le stesse applicazioni possono essere sorvegliate da apparecchi fisici o virtuali in nuvola privata.

Anche se ci vorrà del tempo prima che lo sviluppo con questi framework si imponga come standard per lo sviluppo di applicazioni enterprise, non c'è dubbio che questo sarà un fattore di evoluzione determinante nel futuro quadro di sviluppo dei data center.

giovedì 20 maggio 2010

Guide di Sicurezza: il file sharing

Lo US-CERT ha redistribuito una indicazione sui rischi del file sharing, così ho pensato di utilizzare parte di quei contenuti per proseguire la serie delle "Guide di Sicurezza" di Punto 1. Per mettere a punto questa guida ho attinto anche a indicazioni presenti sul sito OnGuard Online.

Bene, veniamo alla guida...

Allora, come tutti sanno, il file-sharing è un modo molto utilizzato per scambiarsi, o "condividere" online dei file attraverso una rete informale di computer che eseguono lo stesso software. Le applicazioni Peer-to-peer (P2P), che sono più la forma più comune di tecnologia di file-sharing, possono dare accesso a una notevole ricchezza di informazioni e contenuti, ma espongono gli utenti anche una serie di rischi; tra questi è bene ricordare: l'installazione di malware, l'esposizione di informazioni personali, la vulnerabilità ad attacchi da parte di malintenzionati e lo scaricare materiale coperto da diritto d'autore.

Quindi, quali sono i rischi per chi usa applicazioni P2P?

L'installazione di malware
Quando si utilizzano applicazioni P2P, è difficile, se non impossibile, verificare se la fonte del file è affidabile. I file condivisi sono spesso usati per far circolare codice dannoso come ad esempio spyware, virus, Trojan o worm (per un approfondimento si può consultare la "Guida di sicurezza: il malware").

L'esposizione di informazioni sensibili o personali
Quando si utilizzano applicazioni P2P, si può inconsapevolmente consentire ad altri di copiare file personali o fornire un accesso non voluto a cartelle e sottocartelle che non si desiderava condividere. In questo modo altri utenti potrebbero accedere a informazioni personali e a dati che noi consideriamo critici (informazioni mediche, finanaziarie, ecc.). Queste informazioni, se finiscono in cattive mani, possono consentire di effettuare furti di identità ed altre attività truffaldine.

La vulnerabilità ad attacchi
Alcune applicazioni P2P potrebbero chiedere di aprire delle porte sul firewall per connettersi alla rete e trasmettere i file. Tuttavia, l'apertura di alcune di queste porte può consentire ad eventuali attaccanti di accedere direttamente al computer oppure di sfruttare eventuali bachi che possono esistere nell'applicazione P2P. Ci sono infine alcune applicazioni P2P che modificano le configurazioni di rete, senza che gli utenti ne siano chiaramente consapevoli, per funzionare anche in presenza di firewall.


Scaricare materiale protetto da copyright
Molti dei contenuti che vengono scambiati sulle piattaforme di P2P sono protetti dal diritto d'autore e chi scarica questo materiale può ritrovarsi impantanato in questioni legali.

Allora, quando si vuole utilizzare il P2P minimizzando i rischi, che si deve fare?

Ecco alcuni consigli per cercare di evitare i maggiori rischi:

Installate il software di file-sharing con attenzione, in modo da controllare ciò che si condivide
Controllate le impostazioni di condivisione in modo che gli altri utenti del network di file-sharing non abbiano accesso ai vostri file privati o a cartelle che non volete condividere

Utilizzate sempre programmi di sicurezza aggiornati e distribuiti da sorgenti affidabili

Mantenete sempre aggiornate tutte le componenti software del vostro computer
Devono essere aggiornati con regolarità il sistema operativo, i programmi di sicurezza e tutti i programmi installati

Configurate il P2P in modo che sia connesso alla rete solo quando volete
Alcuni programmi di file-sharing si aprono automaticamente ogni volta che si accende il computer e continuano a funzionare anche quando li si "chiude"

Utilizzate account utente dedicati, senza privilegi di amministratore
La limitazione dei diritti sugli account utente può contribuire a proteggere il computer da software indesiderati e dalla condivisione indesiderata dei vostri dati

Fate spesso il backup dei dati importanti

Utilizzate una password per proteggere i file che contengono informazioni sensibili

Stanchi di leggere??? Ecco un giochino (in inglese) per svagarsi, divertirsi e verificare se siamo in grado di battere il grande e potente "P2P Master"...

P2P Threeplay!

Alla prossima.

martedì 18 maggio 2010

La Svizzera potenzia la sicurezza informatica

Ieri, il Consiglio federale svizzero ha annunciato di essere convinto che nell'era dell'informazione occorra affrontare i potenziali pericoli in maniera interdisciplinare e integrale e che le basi legali e l'organizzazione della sicurezza nella Confederazione debbano tenere conto di questa constatazione. Il Consiglio federale ha pertanto incaricato il DDPS (Dipartimento federale della difesa, della protezione della popolazione e dello sport) di adattare, nell'ambito di un gruppo di lavoro interdipartimentale, le basi legali formali della protezione delle informazioni (peraltro già normate tre anni fa). 

In tale contesto dovrà essere elaborata una procedura unitaria in materia di tutela del segreto per le imprese che trattano informazioni classificate della Confederazione o dell'esercito. In futuro, la Confederazione potrà inoltre rilasciare attestati di sicurezza anche per le ditte che intendono collaborare a progetti classificati non militari di Stati esteri. Il gruppo di lavoro dovrà anche verificare l'efficacia e l'economicità dell'organizzazione della sicurezza informatica (protezione delle informazioni e dei dati, sicurezza informatica) in seno all'Amministrazione federale.

Questa notizia, se posta nel contesto di un generale aumento della sensibilità degli Stati occidentali ai temi della sicurezza informatica, fa risaltare ancora di più l'indifferenza italiana verso questi argomenti. E' bene infatti ricordare che, negli ultimi anni, oltre agli Stati Uniti, anche la Commissione Europea, l'Estonia, la Francia, il Giappone, la Gran Bretagna, Israele, la Svezia e la NATO hanno prodotto studi, documenti e normative nel settore della sicurezza informatica (grazie a Stefano Mele per l'elenco aggiornato)

Ci vorrà un evento eclatante per costringere l'Italia a colmare il gap che stiamo accumulando?

mercoledì 12 maggio 2010

MUMBLE - Il futuro degli Antivirus

Era già un po' di tempo che pensavo di scrivere questo post, poi l'incombere del presente e di altre notizie mi ha fatto rimandare... ora, anche grazie allo stimolo di Paolo Colombo, penso che sia venuto il momento di parlare del... "futuro degli Antivirus".

Ovviamente, non lavorando e non essendo direttamente legato a nessun vendor, non ho accesso a nessuna informazione preferenziale per cui se qualche produttore di antivirus volesse replicare a quanto scriverò sarà certamente il benvenuto.

Bene, tralasciando le "emergenze" di quest'ultimo periodo (DAT bacato di McAfee e KHOBE, il presunto attacco "di fine del mondo"), è evidente che le ultime tendenze evolutive del malware stanno globalmente mettendo a dura prova i produttori di antivirus. 

Quando sono nati, gli antivirus, dovevano rispondere all'esigenza di bloccare virus e worm che si diffondevano sempre più rapidamente nelle reti e dovevano farlo utilizzando le minori risorse elaborative e di memoria possibili.

La risposta migliore a queste esigenze era (ed in parte è ancora) individuare delle "firme" per ogni malware in modo che questi possano essere individuati rapidamente e con il minimo dispendio di preziose risorse. In questo scenario, i produttori di antivirus hanno realizzato dei laboratori che avevano il merito di riuscire a produrre e distribuire velocissimamente gli aggiornamenti dei repository delle "firme" virali per aggiornare i vari client sparsi nelle reti di tutto il mondo.

Questo scenario ha funzionato molto bene fin quando i virus erano pochi, visibili e molto distribuiti... peccato che non sia più così!

Oggi, il malware (anche per cercare di liberarsi dalla morsa degli antivirus) si sta evolvendo in maniera del tutto opposta. Vengono rilasciati codici malevoli praticamente invisibili ai sistemi, in numeri sempre maggiori e con aree di distribuzione sempre più limitate. I "targeted attacks", dove un malware viene scritto appositamente per colpire pochi soggetti all'interno di una specifica organizzazione, sono un esempio estremo di questa tendenza.

Molti vendor, nel tempo, sono così corsi ai ripari e hanno potenziato gli antivirus con componenti aggiuntive quali antispyware, personal firewall e soluzioni di host intrusion prevention. 

Ma tutto ciò non risolve completamente il problema.

Nonostante tutti gli sforzi profusi, l'efficienza con cui gli antivirus individuano il malware, non è entusiasmante (grazie Paolo per la segnalazione).

Io credo che il tempo degli antivirus, come li conosciamo, stia per volgere al termine.

Ci sono approcci alternativi che sono alla porta, come il whitelisting o gli antivirus basati sul paradigma  "SaaS Hybrid", oppure approcci attualmente complementari alle "firme", come l'analisi di tipo behavioural. E' ancora troppo presto per sapere se queste potranno essere delle valide alternative per i nostri attuali antivirus.

Probabilmente dovremo attendere ancora qualche tempo, ma sono convinto che il futuro degli antivirus passerà per una rivoluzione che li cambierà per sempre.

venerdì 7 maggio 2010

Google rilancia sulla sicurezza applicativa

Quando Google, a fine marzo, ha presentato SkipFish uno scanner di sicurezza per le applicazioni web tutti quanti si erano chiesti se fosse un'iniziativa "spot" o se invece fosse l'inizio di un progetto di più ampie dimensioni.

Adesso abbiamo una prima risposta positiva.

Google ha deciso di puntare con determinazione verso la condivisione di informazioni e strumenti a garanzia della sicurezza delle applicazioni. Infatti è stata presentata un'interessantissima iniziativa... un laboratorio per testare i problemi di sicurezza delle applicazioni web.


Jarlsberg, oltre ad essere un test per esperti di pronuncia ;-))), è una applicazione web piena di errori e vulnerabilità che Google ha messo in linea per consentire di studiarne i problemi, le tipologie di attacco possibili e gli impatti che ne derivano. Un vero e proprio lab messo a disposizione degli utenti che vorranno approfittarne. Lo scopo dichiarato è quello di aiutare gli sviluppatori a migliorare la qualità e la sicurezza delle applicazioni Web.

Ma vediamo che dice Google di questa iniziativa...

"Questo codelab è costruito attorno a Jarlsberg, una piccola applicazione web che consente ai propri utenti di pubblicare frammenti di testo e archiviare diversi tipi di file. "Purtroppo", Jarlsberg ha diversi bug di sicurezza tra cui Cross-Site Scripting (XSS), Cross-Site Request Forgery (XSRF), Information Disclosure, Denial of Service e Remote Code Execution. L'obiettivo di questo codelab è quello di guidare l'utente alla scoperta di alcuni di questi bug e dei metodi per la loro risoluzione sia in Jarlsberg e in generale.

Tutti coloro che vorranno approfondire la tematica e, perché no, assaggiare un po'... di formaggio possono visitare le pagine di Google dedicate all'iniziativa

giovedì 6 maggio 2010

Advanced Persistent Threats secondo Tenable Security

GovInfoSecurity ha pubblicato una intervista a Ron Gula* CEO di Tenable Network Security sulle possibili strategie di difesa dalla minaccia rappresentata dalle Advanced Persistent Threats (APT), eccone un estratto...

Le organizzazioni sono sempre state vulnerabili agli attacchi di hacker che sfruttano software e tecnologie per ottenere l'accesso alle informazioni, ai dati e alle risorse di sistema. Ora, con l'ascesa del fenomeno delle botnet, in cui gli hacker possono gestire l'accesso a centinaia se non a migliaia di host contemporaneamente, la novità è che gli hacker vogliono mantenere nel tempo il controllo di queste macchine. Così, in alcuni casi, anche se un sistema è patchato, gli hacker sono ancora in in grado di mantenere l'accesso alle risorse in modo automatico e nascosto all'organizzazione, garantendosi la permanenza su quella rete.

Inoltre ciò che rende "Avanzate" queste minacce è che sono in grado di eludere il rilevamento da parte degli antivirus e dei sistemi di Intrusion Detection e Prevention. Proprio grazie alla sofisticazione di questi attacchi, ben pochi comparti industriali sono preparati per individuarli e fronteggiarli, tra questi, negli Stati Uniti, si distingue il settore finanziario che è certamente più maturo rispetto agli altri. Quindi, al di fuori del settore finanziario, la consapevolezza per questo tipo di minacce non è ancora molto alta.

Dal punto di vista della capacità di rilevazione è importante che le organizzazioni cerchino di attivare delle modalità di rilevamento che non siano sempre e solo reattive perché, altrimenti, non avranno modo di notare tutto ciò che è stato specificamente prodotto per colpirli o sta attivamente eludendo i sistemi di sorveglianza. Ad esempio, se i sistemi prevedono che gli utenti passino attraverso un proxy per accedere a internet,  mettendo in campo le opportune modalità di sorveglianza, ci si potrà accorgere delle macchine che effettuano chiamate in uscita verso Internet senza passare attraverso il proxy e questo sarà un buon campanello d'allarme.

Quindi una volta dotati di tutte le contromisure di base per la sicurezza (Firewall, IDS, IPS, Proxy, antivirus e sistemi per l'aggiornamento del software installato sulle macchine), la cosa migliore che si può fare è mettere in piedi un adeguato processo di auditing. Auditing delle attività degli utenti, delle configurazione dei sistemi, dei processi e del software che sono installati sui sistemi, ecc. E poi, infine, se le organizzazioni riescono a realizzare sistemi di  analisi comportamentale basati su ciò che accade direttamente sulle loro reti saranno in grado di trovare che molti sistemi sono infetti. A questo proposito ci sono anche molti sistemi "free", come ad esempio ShadowServer.org gestito da SANS Internet Storm Center.
Se poi c'è il dubbio di essere vittima di questo tipo di attacchi allora bisogna rivedere tutto ciò che c'è sulla rete. Come è arrivato il malware? Chi gestisce i server? Si connettono a Internet? Sono stati gestiti? Diverse cose del genere.
In organizzazioni non particolarmente strutturate e tecnologicamente evolute, la migliore possibilità di individuare qualcosa è utilizzare mezzi tradizionali: il software antivirus, i sistemi di Intrusion Detection e Prevention, ecc. Mentre, avendo una rete gestita, si possono fare controlli molto evoluti, come ad esempio guardare tutti i file system di tutti i server, facendo una verifica di quali file e quali versioni ci sono, facendo controllare l'integrità dei file su alcuni file system. Si possono così trovare piccole differenze tra i sistemi che potrebbero indicare che c'è qualcosa in esecuzione che sta tentando di nascondersi e che potenzialmente fa "cose cattive".

*Ron Gula ha iniziato la sua carriera presso la National Security Agency, eseguendo penetration test delle reti  governative e effettuando ricerche avanzate sulle vulnerabilità di sistema. In seguito è diventato celebre come creatore del famoso Nessus Vulnerability Scanner e Unified Security Monitoring.

mercoledì 5 maggio 2010

Guide di Sicurezza: il malware

Ho deciso di riprendere il tema delle Security Tip iniziando un vero e proprio ciclo di Guide di Sicurezza. La base da cui attingerò i principali contenuti è il sito OnGuard Online gestito dalla Federal Trade Commission americana.

Questa prima guida è dedicata al malware e alle modalità che ognuno ha per proteggersi da questo tipo di minaccia.

Siete pronti??? Partiamo!!

Malware, è un'abbreviazione di "software" maligno ", e ricomprende virus, worm, trojan e spyware che hanno come obiettivo il furto dati personali, l'invio di spam e le frodi informatiche.

I criminali spesso creano siti web accattivanti, vi tentano con download di materiale desiderabile e storie avvincenti per farvi cliccare su link che poi scaricano malware - in particolare su computer che non utilizzano adeguati software di sicurezza.
E' però possibile ridurre al minimo i danni che il malware può provocare e bonificare per tempo il proprio computer.

Se il vostro PC presenta dei comportamenti strani (è diventato particolarmente lento, ha degli improvvisi malfunzionamenti, visualizza ripetuti messaggi di errore o pop-up pubblicitari fuori contesto, visualizza pagine web o programmi che non avete aperto, non si spegne o viceversa tende frequentemente a riavviasi) e sospettate che il vostro computer sia infetto è raccomandabile:
  • sospendere immediatamente ogni attività che coinvolge scambi di denaro in rete (shopping, transazioni bancarie, ecc.) e altre attività online che coinvolgono l'utilizzo di account (nomi utente, password o altre informazioni sensibili)
  • verificare che i software di protezione (anti-virus e software anti-spyware e personal firewall) siano attivi e aggiornati (se non lo sono provvedere all'aggiornamento)
  • eseguire la scansione del computer alla ricerca di virus e spyware, cancellare i software che questi programmi identificano come problema
  • eseguire una verifica dell'aggiornamento di tutti i programmi caricati sul vostro PC, eventualmente eseguire TUTTI gli aggiornamenti mancanti e verificare che tutte le configurazioni di aggiornamento automatico siano attive.


Dopo aver svolto queste operazioni, se si sospetta che il computer sia ancora infetto, si consiglia di eseguire una scansione completa con un secondo anti-virus o un programma anti-spyware - ed eventualmente richiedere un aiuto professionale. (Aggiornamento del 13 Aprile 2011 - TeamCymru ha proposto una guida di RealSecurity sulla bonifica delle postazioni infette. L'ho verificata ed effettivamente mi è sembrata molto utile e chiara. Chi avesse la necessità può consultarla per bonificare un PC infetto. Aggiornamento 9 ottobre 2011 ecco un'altra guida molto chiara ed esaustiva.)

Una volta che il computer è di nuovo attivo e funzionante, è bene fermarsi a riflettere su come il malware abbia potuto essere scaricato sul computer e su ciò che si può fare per evitare che questa infausta evenienza accada nuovamente.

E' bene notare che, recentemente, si è diffuso il fenomeno del malware camuffato da Antivirus o Anti-spyware, per cui evitate accuratamente di installare software di sicurezza proposto da messaggi pop-up o email, in particolare da quelli che sostengono di aver scansionato il computer e di aver rilevato del malware.

Infine, per minimizzare le possibilità di essere vittime del malware potete seguire queste semplici norme di buon senso:
  • non cliccare su link presenti nelle email o aprire gli allegati di posta se non si è consapevoli dell'intenzione del mittente (che deve essere noto) di suggerirci proprio quell'azione
  • scaricare e installare software solo da siti conosciuti e fidati
  • tenersi aggiornati sui temi di sicurezza informatica
  • verificare gli eventuali comportamenti insoliti del vostro computer e se si sospetta che la macchina sia infetta, intervenire immediatamente.


Senza aver alcuna pretesa di esaustività ecco alcune risorse online che possono risultare utili:
Secunia On-line scanner per verificare gli aggiornamenti dei programmi installati
e, per i più esperti, un sito che contiene molti strumenti utili MySecTools

Infine, se dopo tutto questo parlare di malware, volete vedere se siete diventati dei veri professionisti della sicurezza ecco un simpatico giochino (in inglese) con cui confrontarvi e (spero) divertirvi.


Ci vediamo... alla prossima guida!!

martedì 4 maggio 2010

Attacco al sito del Dipartimento americano del Tesoro

The Register riporta la notizia che alcuni siti web gestiti dal Dipartimento del Tesoro USA sono stati attaccati da ignoti hacker che hanno inserito un reindirizzamento invisibile dei visitatori verso dei siti esterni che tentano di installare malware sui loro PC.

Roger Thompson, Chief Research Officer di AVG Technologies, ha dichiarato che questo attacco infatti ha portato all'inserimento di un iframe invisibile che richiama script dannosi dal dominio grepad.com nei siti:

  • www.bep.treas.gov, 
  • www.moneyfactory.gov
  • www.bep.gov 
appartenti alla "zecca" americana e gestiti dallo US Treasury Department. Al momento in cui scrivo i siti non sono raggiungibili.

Questo attacco è stato scoperto in ritardo, domenica sera, circa 12 ore dopo l'effettiva attivazione del redirect.

Per rendere più difficile il rintracciamento dell'attacco, gli hacker hanno configurato il codice in modo che siano attaccati solo gli indirizzi IP che non hanno già visitato i siti web del Tesoro. Ciò rende più difficile l'effettiva individuazione dell'attacco stesso da parte delle forze dell'ordine e degli addetti alla sicurezza di questi siti governativi. 

L'attacco è molto probabilmente legato alle infezioni di massa che due settimane fa hanno colpito centinaia di siti ospitati da Network Solutions e GoDaddy, ha detto Dean De Beer, fondatore e CTO di Zero(day)Solutions. Per quanto riguarda le modalità di attacco sono ancora sotto analisi in quanto, a differenza di quanto ipotizzato in un primo momento da Thompson, l'attacco non dovrebbe essere il risultato di una vulnerabilità di SQL injection in quanto le pagine del sito sembrano essere basate su HTML statico  non vulnerabile a questo tipo di attacchi.

domenica 2 maggio 2010

RAI, LaStampa e Corriere: tutti defacciati!!

Un gruppo di hacker rumeni che si fa chiamare "Romanian National Security" ha attaccato e defacciato i siti dei maggiori player dello scenario dei media italiani. A cadere sotto gli attacchi di questo gruppo sono stati tra gli altri anche i siti della RAI (Radiotelevisione Italiana), del Corriere della Sera, de La Stampa e de L'Unità.

Tra il 29 aprile e il 1 maggio questo gruppo di hacker ha infatti attaccato i siti di:
http://www.citizenreport.rai.it/
http://citymusiclab.city.corriere.it/eventi/
http://tuttoaffari.lastampa.it
Segnalando poi le vulnerabilità di questi altri siti
http://www.lordine.it
http://www.storialibera.it
http://www.giornaledicalabria.it
http://www.unita.it
http://www.pontediferro.org
http://www.momentosera.it

A quanto si apprende dal messaggio lasciato a seguito del defacement, la campagna di attacchi sarebbe una risposta di condanna contro l'associazione del popolo romeno con il gruppo etnico Romani, comunemente denominati "zingari".
 
Nel giro di qualche settimana questo gruppo ha messo a segno numerosi colpi eclatanti defacciando anche i siti di "Le Monde" e del "Daily Telegraph".
 
A mia memoria questo è certamente il uno dei più grandi attacchi di defacement che è stato portato verso siti italiani, l'unico precedente che può essere paragonato a questo risale a circa otto anni fa, quando un gruppo di hacker brasiliani aveva preso di mira i siti delle Pubbliche Amministrazioni italiane.
 
Speriamo che questa campagna di attacchi, oltre che sensibilizzare sui temi sociali provochi come reazione la consapevolezza di dover porre una maggiore attenzione sui temi della sicurezza dei siti Web.
Perchè, se è stato possibile fare un'operazione del genere, è facile pensare che siano possibili attacchi ben più gravi e coordinati e questo non è tollerabile in un paese che vuole fondare i propri servizi essenziali sull'uso della rete.
 
La cosa più strana è che, al momento, non mi risulta che, sui siti attaccati, ci siano articoli che trattano dell'argomento... forse un po' più di trasparenza da parte dei media italiani non sarebbe stata male.

PS Dopo un controllo più accurato ho verificato che, a differenza da quanto riportato da altre fonti, il defacement del sito del dominio corriere.it non si riferisce al sito del Corriere della Sera ma al sito di un'iniziativa del quotidiano gratuito City del gruppo RCS a cui appartiene anche il Corriere.

sabato 1 maggio 2010

La Cyberwar degli "altri"

Due giorni fa è uscito un interessante post sul blog di McAfee dal titolo "AlQaeda is engaged in military training", che riporta alcune considerazioni su un intervento di Dominque Dudamain (Canadian Crown Prosecutor) alla conferenza Francopol di Montreal. 

Tra le cose più interessanti che vengono raccontate c'è la disamina della natura del Global Islamic Media Front (GIMF), che è uno dei più importanti gruppi  virtuali di matrice jihadista, riconosciuto anche dalla Al-Fajr Media Center. Lo scopo di entrambi i gruppi è di reclutare adepti e diffondere la loro ideologia e, secondo Dudemaine, lo scopo ultimo è riuscire a costituire dei campi di addestramento militare  on-line in grado di sostituirsi a quelli reali. Con questi strumenti i jihadisti possono utilizzare Internet per condurre una guerra psicologica, per comunicare e coordinare, per finalizzare le loro strategie, e per ottenere finanziamenti. infine attraverso Internet tentano di indottrinare e incoraggiare le persone ad impegnarsi in attività violente contro i loro nemici.

Ci sono evidenze che stanno tentando anche la strada dello sviluppo e della distribuzione di propri strumenti per la garanzia di comunicazioni sicure come VPN e software di crittografia. 

A questo proposito ricordo che un paio di anni fa, ci fu un grande timore per un presunto attacco in grande stile su Internet teso a rendere indisponibili siti governativi di molti stati occidentali impegnati nei vari fronti di guerra mediorientali. Questo attacco, che poi non si è verificato, verteva sulla distribuzione di un tool (realmente identificato dalle forze di polizia), scritto appunto da uno di questi gruppi e distribuito attraverso la rete di siti jihadisti. Un episodio che fu a cavallo tra la guerra psicologica e la prova generale di un attacco vero e proprio.

Un altro episodio reale viene ricordato in un post di Mikko Hypponen di F-Secure che descrive come un gruppo di terroristi abbia ditribuito malware per carpire informazioni bancarie e quindi denaro che poi veniva investito comprando materiale bellico da mandare in Iraq. Il gruppo fu arrestato quando ha tentato di fare "il salto" e passare all'azione diretta con un attentato dinamitardo.

Tutto questo ci ricorda che i fenomeni con i quali si evolvono gli scenari "caldi" non sempre sono completamente dominabili e che invece molto spesso lo "spontaneismo" scavalca le organizzazioni ufficiali.

La domanda a questo punto è: "tra quanto tempo scopriremo che esistono delle botnet legate a reti terroristiche in grado di lanciare attacchi verso siti istituzionali?"
E quando avremo la risposta, avremo ancora l'aria di sufficienza con cui guardiamo a questi fenomeni?
http://www.wikio.it