Archive for the ‘Sicurezza’ Category

Spybot 1.5: spettacolo!

martedì, 4 settembre, 2007

spybot.jpg

Devo ammetterlo, Spybot è sempre stato il mio software anti-spyware preferito. Leggerezza e nessuna invasività sono state le caratteristiche che mi hanno sempre spinto ad usarlo (oltre la sua indiscutibile efficacia nel proteggere e rimuovere schifezzuole dai PC).

Per chi non lo sapesse, ieri è uscita la nuova versione 1.5 che comprende una piena compatibilità con Windows Vista (ma già prima funzionava benissimo!) e diverse nuove funzioni che mi hanno convinto ancora di più a ritenerlo il numero uno, infatti, adesso oltre alla protezione preventiva di Internet Explorer, è possibile abilitare quella per Firefox ed udite udite, quella per il file hosts!

Insomma, se non l’avete ancora scaricato ed usato, fatelo subito!

Annunci

Focus Sicurezza:Hacker e ricercatori a confronto

sabato, 18 agosto, 2007

focsic.jpg

Salve a tutti carissimi lettori, sono orgoglioso di presentarvi oggi il primo appuntamento con acuni interessantissimi articoli riguardo la sicurezza informatica: in quello di oggi, leggeremo un’intervista fatta dall’amica di “PianetaPC.it“, Alexsandra (con la partecipazione dell’amico Alessandro Recchia, “boss” del medesimo sito) in cui si parlerà di hacker, quello che fanno, come proteggersi dal intrusioni, spam, phishing e tanto altro… buona lettura a tutti!

____________________________________

Premessa

In questi ultimi anni c’è stata “un’esplosione” di Internet e istituzioni e mass media hanno mostrato sempre più frequentemente storie di “fuorilegge” dell’Informatica, riportando notizie di minacce alla sicurezza e inviolabilità della rete eseguite da persone che si sono infiltrate nelle banche dati di governi, banche o altre istituzioni.
In questi articoli gli autori fanno trasparire lo sgomento e la paura davanti a queste “incursioni” evidenziando prevalentemente che rappresentano un pericolo per la società che poggia saldamente le sue istituzioni sui computer, e definendo questa pirateria informatica opera di Hacker

E’ indubbio che Internet sta cambiando e sta affiorando una nuova realtà:
chi è in grado di capire la tecnologia che muove tutto questo o che ha una profonda conoscenza in questo campo e sa come sfruttarla, detiene il controllo, oggi avere accesso alle informazioni significa avere accesso al potere.

E’ questa la preoccupazione più grande per le varie istituzioni, l’impossibilità di controllare queste persone e di regolarne il traffico, di conseguenza c’è tutto l’interesse a mantenere un’opinione pubblica anti-Hacker, per giustificare leggi severe di controllo di Internet, il mezzo che minaccia di togliere l’attuale sicurezza.

Mass media e istituzioni hanno quindi “etichettato” gli Hackers e il mondo dell’underground definendoli pericolosi perchè trascendono le regole e i valori che loro hanno imposto, di conseguenza hanno presentato un’immagine pubblica negativa di questa categoria definendoli dei “criminali”.

In poco tempo questo “marchio” è diventato uno status, quando si parla di Hacker si parla di danno, di intrusione e di pirateria, di furto delle informazioni e di identità, però se qualcuno, con tecniche più o meno raffinate o per bravura scopre un difetto in un sistema e lo sfrutta a suo vantaggio o per arrecare danno ad altri, ebbene questa persona NON è un Hacker.

C’è però da tener presente una cosa:
anche in Internet, come nel mondo esterno, ci sono i buoni e i cattivi, i ladri e i poliziotti, i burloni e i cretini, ci sono i saggi, i rivoluzionari , le persone gentili e quelle maleducate, ne consegue che ci sono anche quelli che approfittano della grande quantità di persone che vi accedono ogni giorno per compiere in modo nascosto atti di vandalismo o veri e propri crimini, e vengono definiti Hackers, nossignori, queste persone sono Cracker cosa ben diversa dell’essere Hacker

La parola Hacker porta alla mente, nell’immaginario collettivo, concetti negativi che non sono propri della sua figura reale, un Hacker NON produce virus, NON entra nelle banche dati per motivi illegali, NON ruba il numero della vostra carta di credito, anzi di solito lavora perché queste cose NON accadano.

Quando un Hacker fa un’incursione in un sistema protetto segue un’etica, la ricerca e la divulgazione della conoscenza, dell’informazione, e come abbiamo accennato poco sopra,forse è per questa ragione che tendono ad accomunarli con i criminali, per sviare l’opinione pubblica dal loro vero scopo.
Si parla di pharming e di phishing e quelli che lo fanno sono Hacker; ti fregano la banda larga e sono Hacker, vendono informazioni segrete e si tratta sempre degli Hacker.

In pratica si parla di Hacker e si indica una categoria che in realtà conviene mantenere immersa nel mistero perchè l’Hacker fa comodo al sistema delle vendite. Vediamo di fare luce su questa categoria.

Chi è un Hacker e cosa fa

Un Hacker è una persona al top nel suo campo, conosce i linguaggi di programmazione, esplora un sistema in ogni minimo particolare sempre alla ricerca di bugs, ossia errori nel sistema, che spesso fanno si che possa avere accesso al sistema..
Sono Hacker quelli che hanno scritto il sistema operativo Gnu/Linux, gratuito e libero, sono Hacker coloro che hanno sviluppato la vecchia Arpanet in quella che oggi tutti chiamiamo Internet.

Ricordiamoci, però che non si e’ Hacker solo nel campo informatico, l’hacking deve infatti essere inteso come stile di vita, un modo di essere, non solo come qualcosa di strettamente tecnico. Si può essere Hacker in qualsiasi campo della scienza o dell’arte.

“Il mio unico crimine è la curiosità.” : The Mentor (The Hacker’s Manifest, 1986)

Io non ho particolari talenti. Sono solo appassionatamente curioso.” Albert Einstein, scienziato”

Queste alcune citazioni, una di un “informatico” e l’altra di uno scienziato, ma avrete notato un denominatore comune in queste loro frasi celebri : La curiosità.

Ciò che contraddistingue un Hacker, è il fine per cui compie determinate azioni, la curiosità e la smania di conoscenza ne sono la vera essenza e tutto questo avviene in assoluto silenzio per una propria soddisfazione personale.

Però conoscere equivale a cambiare. Il mondo ha bisogno di gente che vada controcorrente, che apra nuove strade, che ci regali nuove possibilità, l’Hacker intravede percorsi che altri non hanno provato a cercare, purtroppo questo e’ un lavoro che si paga sulla propria pelle, che costa fatica e soprattutto che avviene nell’ombra

Quando usiamo un Pc non pensiamo agli Hacker, ma non dobbiamo dimenticare che dietro ad ogni messaggio di posta elettronica che inviamo, dietro ad ogni connessione alla rete c’è il lavoro di un pugno di persone anonime che hanno voluto sperimentare, se quello che abbiamo ora è abbastanza evoluto lo dobbiamo al loro lavoro sia che abbiano voluto cimentarsi con tecniche legali o illegali, a seconda del periodo storico, ma a loro dobbiamo gratitudine.

Se oggi possiamo vivere la Rete e incontrare al suo interno persone “particolari” , non lo dobbiamo certamente a Microsoft, o a qualche grande Software House, ma agli Hacker

E’ forse plausibile la ghettizzazione del loro appellativo a “Pirata Informatico” per il solo fatto di aver passato tante notti insonni, tante ore di esperimenti, che hanno contribuito a costruire la Rete, ci hanno messo qualcosa di loro, della propria vita e del proprio tempo.
Ma una domando ora sorge spontanea : Cosa rimane dopo il passaggio di un Hacker ?

La risposta è molto semplice, vengono evidenziati i bugs che affliggono i sistemi visitati, alcuni amministratori di sistema fanno più esperienza e imparano certi concetti di sicurezza finora ignoti e anche i grandi produttori di software per la difesa del sistema guadagnano, così come i vari consulenti in materia di sicurezza informatica.
In sostanza si aprono nuove porte, nuovi mercati e si cercano nuove soluzioni a problemi tecnici e spesso si inventano strumenti che dopo poco tempo diventano indispensabili per tutti.
E questi sarebbero i “Pirati Informatici” che tanto temiamo?

Ci siamo già dimenticati del caso Sony e del rootkit che allegava nei sui DRM? Però l’Hacker è un criminale, sembra strano che ingegneri informatici e tecnici superpagati dalle varie case costruttrici non si siano accorti di niente.

“…..Una casuale scoperta ha portato alla luce tutti i dettagli di quello che può essere considerato un vero e proprio rootkit, ovvero un gruppo di tool che agisce, all’oscuro dell’utente, nei meandri del sistema operativo…”

Così esordisce Marco Giuliani in un suo articolo su Hardware Upgrade quando ha reso pubblica la scoperta fatta da Mark Russinovich però per l’opinione pubblica il vero pericolo sono gli Hacker.

Ma quando si spengono i modem i veri protagonisti rimangono nell’ombra, gli artigiani dell’informatica perdono di interesse, fino a quando …… una come me non prova a far parlare uno di loro, a dargli lo spazio di raccontare la sua storia, quello che ha fatto e come lo ha fatto.

Ha accettato di partecipare a questo articolo King-Lion Admin di Eurohackers Team con lui affronteremo altre tematiche, conosceremo da vicino un Hacker, come agisce, che tecniche usa e in “contrapposizione” sentiremo anche Alessandro Recchia (aka Erreale) admin di Pianeta Pc e betatester della Agnitum.esperto di sicurezza informatica . Insomma ci aspetta un bel dialogo

La programmazione strumento di attacco e di difesa

Finora abbiamo visto la filosofia dell’essere Hacker, l’atteggiamento e l’attitudine, ma le capacità sono fondamentali , il pensiero non sostituisce la competenza, e c’è un insieme di capacità basilari che bisogna avere prima di poter pensare di essere Hacker.
Naturalmente conoscere vari linguaggi di programmazione è la capacità fondamentale per un Hacker, ma a questo punto lascio la parola a King-Lion

Alex: King puoi illustrarci che valore ha la programmazione e quali linguaggi è meglio conoscere?
King-Lion : Per poter trovare dei bugs in un programma o scrivere un exploit per sfruttare qualche falla bisogna studiarne il codice sorgente di conseguenza conoscere vari linguaggi di programmazione è essenziale.

Alex : Quali linguaggi è meglio conoscere
King-Lion : Io ritengo che per iniziarsi all’hacking al giorno d’oggi sono due i linguaggi di programmazione fondamentali da apprendere, il Php e Sql.

Alex : Perché proprio quelli?
King-Lion: Ormai tutto il web è dinamico, difficilmente incontreremo dei siti web statici, come hai accennato un hacker svolge gran parte del suo lavoro come bug hunter, cioè va alla ricerca di bugs all’interno di strutture web.
Possiamo dunque dire che il 65% delle strutture sono in php, 15% html e 20% in altri linguaggi come asp, di conseguenza conoscere il Php è fondamentale per iniziare e la combinazione tra Php e Sql a mio parere è un’ottima “arma” nelle mani di aspiranti hacker.
Naturalmente ci sono altri linguaggi di programmazione da conoscere come il Perl e il C/C++ indispensabili per la creazione della maggior parte degli exploit.

Alex : Ho capito come sia importante conoscere il php… ma l’Sql? Perche e importante conoscerlo?
King-Lion : Il php essendo un linguaggio dinamico, cosi come l’asp si “appoggia” su un database (Sql).

Alex: Si ma …..come funziona la combinazione tra php ed sql?
King-Lion : Se abbiamo un sito in php che poggia su un database Sql (85% dei casi), nel database è racchiusa una query del tipo:

INSERT INTO `tabella_database` VALUES (1, ‘admin’, ‘password’, ‘admin@sito.it’, ‘altre info);

Richiamando dunque la pagina che si poggia su quella tabella del database ad esempio:

sito.it/pagina.php?id=1

otterremo come risultato che il database ci risponde con le informazioni pre-impostate dalla pagina php

( $query = “SELECT * FROM utenti WHERE id = “.$_GET[’id’].””; )
SELECT * FROM utenti WHERE id = 1
Username: admin
Info: amministratore del sito.

Dunque un hacker, o anche un programmatore che conosce bene il linguaggio mysql potrebbe richiedere al sito di darci invece che le informazioni pre-impostate dalla pagina php, altre informazioni, come la password e la email, che sono sempre presenti nel database, con un semplice comando.

-1 UNION SELECT 0,pass,0,0,email FROM utenti WHERE id=1

Ossia in pratica abbiamo chiesto al dabase mediante URL di fornirci soltanto la password e l’email dell’utente con id 1 (solitamente l’admin), gli 0 invece stanno ad indicare che quei capi non ci interessano e che si possono escludere.
Dunque da ciò si ottiene che una buona conoscenza di linguaggi di programmazione come Sql e Php risultano indispensabili agli aspiranti hackers!

Da quanto appena citato da King-Lion si evidenzia come sia indispensabile proteggersi, ultimamente leggo in vari forum come sia indispensabile dotare il sistema di software anti-intrusione come i Firewall, gli Hips o gli IDS, su questo argomento sentiamo il parere di Alessandro Recchia

Alex : Alessandro ci esponi il tuo punto di vista in merito?
Erreale : L’installazione, la configurazione e l’uso di un firewall è senza dubbio fondamentale per proteggere un sistema informatico, indipendentemente dal fatto che ci si trovi di fronte ad un’unica postazione o ad una grossa rete costituita da svariate postazioni.

Oggi ci sono firewall software, molti dei quali anche gratuiti, che hanno raggiunto un livello di qualità e controllo del sistema davvero molto buono. Alcuni integrano anche soluzioni Hips e/o motori anti-virus e anti-spyware

Alex : Ma allora se questi ottimi prodotti “all in one” sono così validi, perché su tantissimi forum si trovano svariati post di utenti alle prese con intrusioni informatiche o malware?
Erreale : A mio avviso la situazione è allarmante. Ormai gli utenti medi si sono talmente adagiati sul fatto di avere installato sulla propria macchina l’ultima suite “anti-tutto” che hanno dimenticato, o ancor peggio non hanno mai considerato un aspetto fondamentale: la prevenzione.

Windows, come qualsiasi altro sistema operativo, è molto complesso e delicato. Senza le opportune configurazioni o personalizzazioni non possiamo affermare di avere un totale controllo della nostra macchina. Pensare di essere al sicuro solo perché si è installato l’ultimo ritrovato nel campo degli Hips o dei firewall è come pensare di essere al sicuro nella nostra abitazione solo perché abbiamo installato l’ultimo tipo di porta blindata in commercio, senza aver irrobustito anche le finestre o le pareti di cartapesta che ci circondano.

Se fossi un ladro perché dovrei faticare a scardinare una porta di duecento chili, quando con una spallata potrei tranquillamente sfondare il muro esterno nel retro dell’abitazione? E che succederebbe se la nostra amatissima porta blindata avesse un difetto di progettazione? O se venisse scoperto che grazie ad un bug la si può aprire con un cotton fioc?

La sicurezza è forte quanto l’anello più debole della catena che la costituisce e poco può un firewall, per quanto configurato, se una macchina è un colabrodo di suo.

Alex : Cosa dobbiamo fare per avere un minimo di sicurezza?
Erreale : Come prima cosa iniziamo a non usare l’account amministratore per accedere alla macchina e tanto meno ad internet. Creiamo quindi un utente con poteri limitati (user). L’uso di un’utente di questo tipo elimina un buon 50% dei fastidi provocati da virus, spyware e exploit in rete. L’uso di questa politica è alla base della tanto acclamata sicurezza dei sistemi Linux, ad esempio.

E poi aggiornare, aggiornare e ancora aggiornare, il sistema
L’aggiornamento del sistema con le ultime patch e fix rilasciate da Microsoft è essenziale.

Il secondo martedì del mese, Microsoft rilascia i suoi bollettini di sicurezza e le relative patch che vanno a correggere le relative falle. Troppo spesso ho visto persone dormire sonni tranquilli solo per la presenza del firewall e dei suoi continui popup che avvertivano dell’intrusione bloccata senza che queste persone capissero l’importanza di un sistema aggiornato.
Le intrusioni avvengono negli ultimi tempi soprattutto con lo sfruttamento di falle non aggiornate dagli utenti, ed in questo caso il firewall non può fare nulla. Gromozon ci dovrebbe aver insegnato qualcosa!! L’infezione da Gromozon si è diffusa tanto velocemente anche perché venivano sfruttate 5/6 falle nei sistemi Windows, falle per le quali erano già state rilasciate le patch mesi prima. Evidentemente gli utenti infetti avevano ritenuto di essere al sicuro dietro al loro “fiammante” firewall da 70$ di licenza. Nulla di più sbagliato.

Alex : Che altro possiamo fare per aumentare il livello di sicurezza?
Erreale : Eliminiamo i servizi superflui. Windows carica un’enorme mole di servizi. E’ normale che sia così. Windows, essendo “dedicato” ad un pubblico eterogeneo di utilizzatori, ha previsto l’avvio automatico di svariati servizi per andare in contro ai più svariati usi. Tali servizi sono nella maggior parte dei casi inutili per un utilizzo casalingo. Nel mio pc con XP SP2 connesso 24 ore su 24 alla rete con router ho ridotto il numero di servizi in avvio automatico a 9, compreso quello del firewall e dell’antivirus, in confronto alla trentina che di default invece si avviano. Meno servizi, meno porte aperte verso l’esterno. Minor numero di porte aperte, minor possibilità di offrire il fianco a possibili attacchi. Senza considerare che eliminando servizi superflui il vostro sistema ne gioverà anche in termini di prestazioni.

Alex : Qualcosa di più tecnico ?
Erreale : Utilizzare le aree di sicurezza di Internet Explorer per negare l’uso di ActiveX e Javascript ai siti non fidati. Negli ultimi tempi la maggior parte dei malware e degli exploit hanno utilizzato i controlli ActiveX e Javascript per diffondersi. Browser alternativi come Firefox e Opera sono più sicuri anche perché impossibilitati ad eseguire codice ActiveX.

Usare le GPO. Le Group Policy, conosciute anche come Criteri di Gruppo, sono uno strumento molto potente per la configurazione e gestione del sistema. E’ possibile configurare ogni aspetto del funzionamento dei computer connessi alla rete.

Alex : Quello che hai proposto è un hardening del sistema, perché tutto questo?
Erreale : Perché la sicurezza va ricercata per gradi e deve comprendere vari aspetti del sistema. Un sistema configurato correttamente e dotato di un buon firewall diventa estremamente difficile da perforare. Configurare il sistema agendo come detto su più fronti consente di ridurre enormemente la superficie di attacco di una possibile intrusione. Se poi a questo aggiungiamo un buon Hips, beh…si può tranquillamente affermare di avere un sistema ben protetto.

Alex : Molti consigliano di usare il firewall di Windows, tu che ne pensi?
Erreale : Indubbiamente ha dei limiti. Limiti che sono stati migliorati nel firewall implementato in Vista. Il fatto di aver inserito un firewall, seppur semplice, nelle versioni da XP in poi è comunque un punto a favore di Microsoft. Meglio un firewall semplice che non averlo.

Alex : Quale abbinata di software di difesa consigli?
Erreale : Non esiste il software perfetto per tutti. Ogni persona è diversa. C’è chi preferisce avere un prodotto semplice, magari dotato di auto-configurazione e che non assilli ogni 2 secondi con allarmi e popup, C’è chi invece, come il sottoscritto, avere un prodotto robusto, altamente configurabile e che arrivi al controllo del più piccolo dettaglio.
E’ vero, questo ultimo tipo di prodotti richiedono uno sforzo iniziale di configurazione ed apprendimento, ma una volta conclusa la fase di learning un prodotto come questo ripaga degli sforzi profusi, con un livello di sicurezza di primo livello. In linea di massima diciamo che comunque non dovrebbero mancare un antivirus, un firewall ed un Hips, e senza voler essere ripetitivo anche un buon sistema hardenizzato.

Alex : Ho letto che una macchina hardenizzata è destinata ad utente esperto, tu che ne pensi?
Erreale : Come ogni discorso credo non possa essere preso così com’è in maniera assoluta…
Mi spiego meglio. Forse è il concetto stesso di hardenizzazione che andrebbe chiarito. Ovvio che un utente alle prime armi troverà il percorso che porta all’irrobustimento dell’intero sistema un po’ più ostico rispetto ad un utente che lavora sul pc da tempo. Ritengo però che sia fondamentale far capire a chiunque l’importanza che riveste un sistema personalizzato in questo modo. Ogni sistema degno di tale nome e che voglia assicurare una certa affidabilità/sicurezza deve essere gestito in sicurezza, quindi essere hardenizzato….

Alex : Ma cosa intendi per hardening?
Erreale : E’ un processo preposto alla riduzione della possibile superficie di attacco. Durante le operazione di irrobustimento si crea un utente con privilegi ridotti, si disabilitano servizi superflui, si disabilitano alcuni ActiveX che potrebbero essere utilizzati per exploit e infezioni. Si configurano le zone di sicurezza, compresa una quinta zona invisibile denominata Local Machine Zone (My Computer). Si possono disabilitare estensioni di scripting che potrebbero essere potenzialmente pericolose, come: WFS, VBE, JSE, VBS. Si possono rendere invisibili le Administrative shares, ovvero le condivisioni destinate all’amministrazione del sistema.

In ultimo si può agire sulle GPO e sul registro di sistema per hardenizzare lo stack TCP. Lo stack TCP/IP è il responsabile del trasporto di pacchetti di dati da una sorgente (identificata da un indirizzo IP) ad una destinazione (identificata da un altro indirizzo IP).
Se necessario, questo livello del protocollo si occupa di spezzettare i pacchetti troppo grandi in pacchetti di dimensione adatta alla rete da utilizzare.
Sostanzialmente tutte le applicazioni che fanno uso di Internet e tutte le applicazioni tradizionali che si riferiscono a LAN utilizzano IP, benché teoricamente siano possibili altre soluzioni.
Il protocollo IP è per impostazione predefinita privo di protezione, ma con l’uso e la configurazione di vari parametri nel registro di Windows è possibile portare benefici alla protezione della rete da attacchi di tipo Denial of Service, inclusi attacchi SYS, ICMP e SNMP. Le chiavi del Registro di sistema possono essere configurate per:

-Attivare la protezione dagli attacchi di tipo SYN quando viene rilevato un attacco
-Impostare valori limite utilizzati per determinare ciò che costituisce un attacco.

Riassumendo, l’hardening di una macchina di un utente esperto sarà un processo molto restrittivo, mentre quello di una macchina applicativa in una zona “sicura” sarà evidentemente meno restrittivo sulla libertà di movimento dell’applicativo specifico

Alex : Meno restrittivo equivale a meno sicuro?
Erreale : Dipende dal contesto. Meno restrittivo significa concedere al sistema e alle applicazioni installate, firewall compreso, maggiore spazio di lavoro. Anche un firewall, infatti, può essere configurato in maniera più o meno restrittiva. Generalmente i firewall moderni sono in grado di auto configurarsi. L’auto configurazione proposta dal firewall è meno restrittiva di quella che potrebbe creare un utente, proprio perché il firewall “non sa” a quale tipo di utenza è rivolta la configurazione e di conseguenza deve aprire un maggior numero di porte. Facciamo qualche esempio….in fase di auto configurazione aprirà per il browser le porte 80, 443, 20, 21, 8080, 8088 e 3128, mentre il setup che può fare un utente dipenderà dall’uso che questo farà del browser. Generalmente è necessario aprire le sole porte 80 e 443.

Per rispondere alla tua domanda.. un Sistema ben hardenizzato è quello in cui l’utente può fare solo quello che deve fare .. e può farlo senza rendersi conto di tale restrizione (se non nel caso in cui tenti di violarla, ovviamente)

Altro aspetto importante relativo alla sicurezza sono i nostri indirizzi di posta, negli ultimi tempi c’è un’invasione di spam e phishing che possono eludere le nostre protezioni con varie tecniche e entrare o addirittura rubarci l’account di posta. Come possiamo proteggersi di fronte a queste insidie?

Alex : Come possiamo proteggerci dallo spam?
King-Lion : Per mettere al riparo gli indirizzi di posta dallo spam basta seguire alcune semplici e piccole regole.
mai fornire pubblicamente la propria email, su forum o blog, esistono dei bot che scandagliano le pagine web mondiali alla ricerca di indirizzi mail, che salvano e rinchiudono in un proprio database.

Se proprio non possiamo fare a meno di fornire la nostra email, possiamo usare il supporto delle immagini inserendo ad esempio una gif jpg png o altro con la nostra email, (come quella che ho visto nel tuo blog Alex), in questo modo non sarà tracciabile dal bot.
Inoltre è meglio usare dei client di posta che hanno il filtraggio delle email, cioè che in automatico riconoscono se non tutte, gran parte delle mail spazzatura.

Alex : Tu Alessandro come la pensi?
Erreale : La protezione degli account di posta e del relativo client è importante tanto quella della protezione e dell’irrobustimento del browser e delle sue impostazioni. I malware (worm, trojan o virus) hanno da sempre utilizzato la posta elettronica per diffondersi.
In effetti è un sistema veloce e sicuro per infettare quanti più sistemi possibili. Le raccomandazioni per la difesa degli account di posta vanno dalle più semplici, e forse perché scontate, non messe in atto, a quelle più tecniche.

A parte i vari malware che possono arrivare attraverso la posta elettronica esiste un fenomeno sempre più in voga e che spesso si associa, lavorando in sinergia, con i malware o il phishing: lo spam!

Secondo alcune stime ufficiali si è raggiunta la percentuale record di spam circolante pari al 92%. Ovvero 9 mail su 10 sono spam! C’è da dire che molto spesso una buona percentuale di queste mail viene già filtrata dai server dell’ISP, con la conseguenza che gli utenti percepiscono una minore percentuale di spam rispetto a quello effettivamente circolante nella rete.

Abbiamo detto che una buona percentuale è filtrata a monte. E quella non filtrata? Beh…quella…la ritrovate puntualmente, tutti i giorni nelle vostre caselle di posta.

Alex : Ma allora che facciamo?
Erreale : Per combattere, o ancor meglio prevenire il fenomeno spam ci sono molte cose che un utente può fare.
-Evitare di diffondere ai 4 venti il proprio indirizzo di posta.
Molti siti richiedono in fase di registrazione l’inserimento della casella di posta. Se pensiamo di registrarci ad un sito sicuro e nel quale pensiamo di accedervi spesso anche in futuro possiamo tranquillamente inserire i nostri dati.
Se invece ci stiamo registrando ad un servizio del quale non si hanno informazioni sulla “rispettabilità” o magari ci interessa iscriversi su un sito temporaneamente, beh…in quel caso sarebbe opportuno usare i vari servizi di email usa e getta che si possono trovare in rete. Alcuni di questi servizi possono creare email che si “autodistruggono” con tempi variabili da pochi minuti a qualche ora.

Alex : Puoi fare un esempio con qualche client di posta?
Erreale : Per esempio Outlook Express consente di scegliere in quale area collocare la posta in arrivo: nell’area Internet o nell’area siti con restrizioni. La scelta dell’area dipende dalla pericolosità attribuita al contenuto attivo, come ad esempio controlli e script ActiveX e applicazioni Java, rispetto alla possibilità di visualizzare il contenuto nel proprio computer. Per ogni area, inoltre, è possibile impostare un livello di protezione Alto, Medio, Basso o Personalizzato.

clip_image002.jpg

Per modificare le impostazioni delle aree di protezione di Outlook Express, selezionare il menu Strumenti selezionare Opzioni e quindi la scheda Protezione (Nota: se si modificano le impostazioni per l’area Internet o l’area Siti con restrizioni, saranno modificate anche le impostazioni per Internet Explorer e vice versa.)

Impostare il client di posta in questo modo corrisponde a navigare con il browser con l’area siti con restrizioni al massimo della sicurezza. Una mail con il client così impostato non sarà in grado di eseguire contenuti attivi: javascript, applet java, activex ecc ecc

Ultima raccomandazione: non leggere le email in formato html, ma solo in formato testo

Alex : Abbiamo accennato al Phishing, come possiamo difenderci?
King-Lion : Il Phishing è la tecnica più usata nel web, ma anche la più vecchia. Tale tecnica può essere sfruttata in molteplici modi, anche Online, telefonicamente dal vivo.

I consigli per difendersi dal phishing online sono tre:
1) disabilitare i javascript dal proprio browser di navigazione
2) controllare sempre gli url su cui facciamo i login
3) ricordarsi che nessun provider chiederà mai i vostri dati di autentificazione, in quanto possono reperirli dal loro database.

Difendersi dal phing telefonicamente e molto più semplice, basta ricordare che nessun provider, potrà mai agire in modo ufficioso, ma solo ufficiale.
Quindi se venite contattati da qualcuno spacciandosi ad esempio per la polizia postale, dategli poco conto, perchè non possono fare nulla per telefono, ma dovete attendere al vostro domicilio un documento ufficiale, come una convocazione o una querela/denuncia.

Molto più rari sono infine i casi di phishing in cui un individuo si presenta faccia a faccia con voi.
In tal caso parliamo più che altro di ingegneria sociale, e l’unico consiglio che posso darvi e quello di chiedere sempre i documenti, ed accertarvi sempre che quel determinato funzionario lavori realmente dove egli ha specificato, magari con una telefonata al suo ufficio

Alex : Quale software aggiuntivo possiamo installare per aumentare il livello di sicurezza?
Erreale : Un HIPS ovvero Host Intrusion Prevention System sono programmi completamente dedicati al controllo delle attività, dei processi e delle applicazioni che si attivano via via in un pc.

Alex : Che funzioni ha un HIPS e come si comporta?
Erreale : Un HIPS mantiene costantemente un controllo pressoché completo su tutte le funzioni e i processi di un sistema, sia nel complesso che nella loro particolarità: consente il controllo di ogni singola applicazione e la possibilità di definire divieti, autorizzazioni, funzioni di protezione e controllo individuali e particolari in rapporto all’accesso alla memoria fisica, al livello profondo del sistema, al livello basso della tastiera, alle DLL.

Controlla e nello stesso tempo permette di creare regole sia per ogni singola applicazione che per l’interazione che questa può avere o deve avere o non avere con altri servizi, processi e funzioni del sistema. In questa maniera assicura una doppia protezione particolareggiata, passiva rispetto a intrusioni esterne e anche attiva con la possibilità di creare regole ancora più ristrette per specie di applicazioni e per singole applicazioni.

Alex : Da come lo descrivi sembra destinato a utenti avanzati, com’è la sua configurazione?
Erreale : Come nel caso dei firewall, anche nell’ambiente degli HIPS si possono trovare prodotti più o meno ostici da configurare. Esistono Hips con funzioni di analisi comportamentale preimpostate e che non richiedono complicate azioni di setup.
Ci sono Hips che invece non hanno regole preimpostate e che demandano completamente all’utente finale le decisioni da prendere in caso di allert. Indipendentemente dal tipo di Hips, questi prodotti si sono rilevati fondamentali in un’ottica di difesa stratificata. Test indipendenti hanno dimostrato come questi programmi, opportunamente istruiti dall’utente, siano stati in grado di respingere attacchi di nuovi virus, trojan o rootkit, ancor prima che le software house produttrici i software antivirus avessero rilasciato firme virali adeguate.”

Conclusioni

Abbiamo iniziato con la chiarificazione del termine Hacker, dal punto di vista storico – filosofico e penso sia stata chiarita anche la loro posizione rispetto ad un uso improprio di tale termine che è sempre stato usato, abbiamo inoltre sentito un loro esponente King-Lion e ci ha mostrato come sia abbastanza vulnerabile il nostro sistema per un esperto di programmazione.

Al tempo stesso ho percepito anche una grande “speranza” che ci ha trasmesso Erreale nel proteggere il nostro sistema, è vero che la vulnerabilità esiste, ma è anche vero che esistono i rimedi, di questo dobbiamo esserne consapevoli, ma soprattutto quello che di fondo ho visto crescere in questo dibattito è che la più grande difesa che possiamo adottare è la Cultura Informatica.

Io credo che sentendo le opposte fazioni la prima e più grande arma che possiamo adottare sia proprio quella, non dobbiamo fermarci al solito detto “a chi vuoi che interessi il mio Pc” o nasconderci dietro una finta sicurezza perché abbiamo installato l’ultima Suite “Anti – Tutto”. La sicurezza và costruita un po’ alla volta, dotando il nostro sistema dei software adeguati che abbiamo discusso in questo articolo, aggiornando il sistema e usando prudenza, il termine giusto sarebbe “stratificata”, cioè agendo per strati dal livello applicativo più alto fino a quello più basso, con le giuste configurazioni e usando un po’ di curiosità in quello che non si conosce.

E’ certamente con la passione e la curiosità che si può accrescere la cultura informatica, essere sempre informati delle patch emesse e seguire tutti i consigli che vi abbiamo esposto.

Ringrazio King-Lion e Alessandro Recchia per essere intervenuti in questo articolo e anche Marco Giuliani, che per impellenti motivi di lavoro non ha potuto partecipare a questo dibattito, ma che sicuramente parteciperà nel prossimo articolo in cui tratteremo nello specifico le configurazioni da adottare e come effettuarle .

 

Gmail: falla PDF protetti turata

venerdì, 6 luglio, 2007

Per chi non lo sapesse, Gmail soffriva di una falla (o malfunzionamento, chiamatelo come più vi aggrada) che permetteva l’apertutra in formato HTML di file PDF protetti, bypassando di conseguenza quelle che erano le restrizioni imposte dall’autore.

Adesso è stato tutto corretto. Bravi quelli di BigG!

Fonte: Gianni Amato

Hai vinto un iPhone? No, è un virus!

martedì, 3 luglio, 2007

Secure Computing avvisa di un ennesimo espediente psicologico escogitato dai malviventi della Rete: un e-mail di spam che si presenta come un annuncio di vincita di un iPhone. L’e-mail truffaldina invita il destinatario a visitare un sito che invece di ospitare dettagli sulla vincita, contiene codice ostile in grado di infettare l’utente Windows.

Il sito in questione, infatti, sfrutta oltre dieci vulnerabilità presenti in ActiveX (tecnologia disponibile soltanto sotto Windows). Per nascondere le proprie tracce, il sito redirige i visitatori di ritorno a un’altra pagina priva di codice infettante, così chi ritorna a visitare il sito per esaminarne il contenuto alla ricerca di tracce di malefatte non trova nulla.

Il codice ostile iniettato dal sito è un rootkit che trasforma il computer Windows della vittima in uno zombi, ossia in un computer che risponde di nascosto agli ordini del malfattore e dissemina spam. Essendo un rootkit, per il suo padrone è facile aggiornarlo e arricchirlo di funzioni ancora più intrusive, per esempio registrando tutto quello che viene digitato dall’utente.

Fonte: Il blog di Paolo Attivissimo

McAfee: Consigli Contro lo Spam

martedì, 26 giugno, 2007

ImageMcAfee ha reso disponibile un nuovo whitepaper intitolato “Dire ‘No, grazie’ alla posta indesiderata” (di Nick Kelly, Maggio 2007), in cui offre una serie di suggerimenti per la gestione e la riduzione della posta cosiddetta “spazzatura”. Il whitepaper segue un paio di interventi sull’argomento pubblicati da McAfee sul blog Avert Labs e sul Security Insight Blog. Ricordiamo inoltre che a fine Maggio l’azienda di sicurezza aveva reso disponibile un altro whitepaper intitolato “Image spam: il nuovo flagello che colpisce via e-mail”, in cui descriveva la particolare forma di spam che sfrutta le immagini per eludere i filtri di posta.

Dal nuovo whitepaper: Lo spam è una parte inevitabile della nostra vita online, ed è spesso difficile capire esattamente come gestirlo. I filtri per la posta elettronica sono migliorati e ora possono catturare una percentuale molto più elevata di posta spazzatura di quanto sia mai stato possibile. Sebbene ciò possa essere un dato confortante, la minaccia dello spam non sparisce mai del tutto.

Molte e-mail, sia richieste che non desiderate, contengono link di “annullamento dell’abbonamento / sottoscrizione” (unsubscribe), che dichiarano di offrire un modo ai destinatari per non ricevere più e-mail in futuro. Nei messaggi legittimi, i link consentono ai riceventi dello spam di bloccare le e-mail che arrivano da quel mittente. Però, in alcuni casi, anche gli spammer includono link “unsubscribe” nei loro messaggi. Questi link servivano agli spammer perché confermavano diverse cose: l’indirizzo e-mail era valido, l’e-mail non veniva bloccata da un filtro spam, il destinatario dello spam aveva letto l’e-mail, il destinatario aveva risposto allo spam.

Gli indirizzi e-mail possono essere raccolti facilmente anche utilizzando software di web-scraping (motore di ricerca che può analizzare un numero elevato di siti web alla ricerca di indirizzi e-mail o altre parole chiave o frasi). Questi software funzionano 24 ore su 24 per raccogliere indirizzi e-mail dai siti web.

Oggi, è comune per le aziende legittime vendere indirizzi e-mail a terze parti e inondare le caselle di posta con offerte indesiderate e pubblicità mirate. Scaricare un salvaschermo gratuito o fornire il vostro indirizzo e-mail per registrarvi a una fiera può avere come conseguenza la ricezione di centinaia o anche migliaia di messaggi indesiderati nella vostra casella di posta entro una settimana. Il gruppo McAfee SiteAdvisor ha recentemente condotto uno studio sui messaggi indesiderati e ha rilevato che la registrazione di un indirizzo e-mail su soli tre siti web ha portato alla ricezione di oltre 2.000 messaggi spazzatura ogni settimana. La registrazione a un solo sito ha portato oltre 1.000 e-mail in una sola settimana! (L’analisi completa è consultabile sul blog di SiteAdvisor: blog.siteadvisor.com; il quiz sullo Spam: siteadvisor.com/quizzes/spam_0806.)

Alcuni consigli su come evitare lo Spam: 

1. Se non vi siete originariamente iscritti per ricevere l’e-mail, o se non riconoscete il mittente o l’azienda che vi invia l’e-mail, allora non effettuate l’annullamento. Cercare di effettuare l’annullamento dell’abbonamento da un’e-mail può dare il via a una marea di e-mail provenienti da altre fonti. Quando lo effettuate, controllate sempre che i link nell’e-mail rimandino al sito reale dell’azienda e non ad un sito di phishing. 

2. Non pubblicate il vostro indirizzo e-mail lavorativo su alcun sito web o forum di discussione. Se dovete inserire il vostro indirizzo e-mail, nascondetelo (per esempio, scrivetelo come “il mio nome presso la mia azienda punto com” piuttosto che ” \n mionome@miazienda.it Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo “), o inseritelo in un file d’immagine. 

3. Utilizzate un indirizzo e-mail diverso per iscrivervi a newsletter, posta online e fiere. 

4. Acquistate un software anti-spam per ridurre significativamente l’ammontare di spam che ricevete. 

5. Non annullate l’abbonamento immediatamente. Copiate i messaggi che non volete più ricevere in una cartella separata. Lasciateli lì per qualche settimana, così potete esaminarli e ricercare tratti comuni nei messaggi e determinare quali indirizzi e-mail o frasi nel messaggio non cambiano e possono essere utilizzate per bloccare mail successive. 

6. Non rispondete allo spam. Rispondere allo spam è una perdita di tempo, e non fa altro che aumentare il numero di e-mail indesiderate. 

7. Non comprate nulla dagli spammer. Poiché gli spammer inviano milioni di messaggi al giorno, solitamente utilizzando larghezza di banda rubata, servono solo poche persone che rispondono al loro spam perché possano trarne profitto.

Fonte: tweakness
Fonte

Windows Vista: buco che fa avere privilegi da amministratore

mercoledì, 13 giugno, 2007

Già su Windows XP Microsoft aveva avuto una svista simile, molto criticata dagli esperti di sicurezza, ma pare proprio BigM

non si sia ancora tolta il paraorecchie, ed ecco che così il problema si ripropone anche in Windows Vista. Kimmo Rousku ha infatti scoperto un modo per guadagnare l’accesso da admin ad un pc con sistema operativo Windows Vista, avendo però accesso fisico al sistema. Per far ciò, basta avviare il computer bootando da CD il sistema operativo; in tal modo si viene fatti entrare con privilegi admin, proprio quelli necessari per andare a spulciare nella gestione password degli accounts.

Certo, il bug non è praticabile da remoto, e questo ne mitiga le potenzialità, ma resta comunque utile da sapere, anche non per scopi loschi, ma solamente in caso di dimenticanza.

Microsoft comunque ha avvisato lo scopritore del problema che “si stà lavorando per porvi rimedio

Fonte

Windows Live OneCare vince il VB100 award!

martedì, 5 giugno, 2007

wl1care.jpg

Contrariamente a quanto si potesse pensare, soprattutto dopo le vagonate di maldicenze sfornate da più parti, il Live OneCare di Microsoft ha vinto il prestigioso VB100 award di Virus Bulletin… complimenti! 🙂

Ringrazio WinLove per la segnalazione

Test di sicurezza: Windows XP VS Vista… pareggio!

giovedì, 31 maggio, 2007

E’ stata recentemente eseguita una serie intensiva di test (durati per una settimana) su vari aspetti relativi alla sicurezza dei sistemi operativi M$ Windows Xp e Windows Vista. Il risultato è stato un sostanziale pareggio (qualche vantaggio marginale per Vista).

Per i dettagli tecnici su come sono stati eseguiti i vari test vi invito a leggere l’articolo originale per intero. In questa sede basti dire che il test è attendibile. Di seguito i punti prinicipali che sono emersi dal confronto tra i due sistemi operativi.

1. Test: Virus
Su una ventina di contenuti “a rischio” due hanno fatto breccia: entrambi i sistemi operativi sono stati infettati da due virus.

2. Test: Spyware e Adware
Vista riporta un leggero vantaggio grazie al nuovo “Vista Windows Defender”. Su 11 test è riuscita a passarne quattro in più rispetto ad Xp (comunque un po’ pochino…).

3. Test: Trojan
Vista ha bloccato un trojan; per un altro si è invece limitata a segnalare che il contenuto poteva essere pericoloso ma ha lasciato all’utente la libertà di eseguirlo. Xp si è limitato per entrambi a segnalarne il contenuto pericoloso. La cosa interessante è che il test è stato fatto con trojan NON recenti: quello che persino Vista non è riuscito a bloccare risale addirittura a settembre 2006!

4. Test: Exploit Remoti
Vista, grazie ad Internet Explorer 7, dovrebbe essere in vantaggio (per il test con Xp è stato utilizzato IE6). Effettivamente IE7 è riuscito a bloccare UN exploit anche se non è ben chiaro come ci sia riuscito… Entrambi i sistemi operativi falliscono invece miseramente se l’exploit è sotto forma di codice Java o PHP offuscato (tecnica comunemente utilizzata dagli hacker). Anche in questo caso NON si parla di exploit recenti: i browser internet della Microsoft non sono stati in grado rilevare pericoli risalenti alla fine dello scorso anno.

5. Test: Spoofing & Scripting
Sul web girano molte immagini con all’interno script pericolosi e compagnia simile. Un hacker può persino sfruttare alcune di queste vulnerabilità per eseguire codice da remoto. Su 19 script pericolosi testati (in buona parte provenienti dal sito astalavista.com) entrambi i sistemi operativi ne hanno rilevati la bellezza di… zero.

6. Test: Signatures & Phishing
Il filtro per riconoscere il phishing di IE7 è un’ottima idea sulla carta, un po’ meno in pratica: molte volte fallisce nel connettersi alla Microsoft e non è quindi in grado di pronunciarsi sull’attendibilità del sito web che si sta visitando. Inoltre il malware (che come si è visto ha vita facile nell’infettare il sistema operativo) riesce a ridirigere l’utente su altri siti web (a chi non è mai capitato?) e neppure Vista riesce ad impedirlo.

CONCLUSIONE
Vista è leggermente più sicuro di Windows XP. Se però navigate in rete (e chi non lo fa?!) le cose cambiano dato che entrambi i sistemi operativi si rivelano abbastanza fragili su questo aspetto: si può pertanto concludere che il rischio di vulnerabilità è praticamente identico per i due sistemi M$.
In compenso Vista ha bloccato uno scaricamento innocuo da un sito di filesharing (RapidShare).

Fonte: 2BFree Underground