Articoli

Lo scorso 5 Marzo 2012 in un articolo pubblicato dalla LaStampa.it apprendiamo che l’ispettore generale Paul Martin della NASA ha dichiarato che i server della famosa agenzia governativa USA fra il 2010 e il 2011 sono stati visitati da numerosi e misteriosi hacker che hanno provato, con successo variabile, a scavalcarne le difese informatiche. In totale si sono registrati 5408 attacchi dei quali 46 risultano notevolmente sofisticati e probabilmente ad opera di gruppi di Cracker.

Il nostro lettore Ciro Rutigliano nei giorni scorsi ci ha segnalato di aver rilevato all’interno di un sotto dominio del sito nava.gov una falla di tipo SQL Injection, qualsiasi malintenzionato può recuperare i seguenti dati sensibili:

  • eMail;
  • Username;
  • Password in chiaro;
  • Indirizzi IP.

Come è possibile constatare dalla seguente immagine:

Inoltre l’antivirus Nod32 segnala la presenza del virus MS06-006, ovvero un Remote Code Execution, all’interno di una tabella del sito internet:

Per ovvi motivi non pubblichiamo direttamente il sottodominio della NASA, ci auspichiamo che i tecnici provvedano quanto prima a correggere questa falla e che nel futuro vi sia una maggior prevenzione a spiacevoli episodi di SQL Injection.

 

Bochum (Germania) – 09 gennaio 2012. I GData SecurityLabs rendono nota la lista dei dieci malware più attivi nel mese di dicembre  2011.  La percentuale  di diffusione nel mese conclusivo dell’anno appena trascorso  è la più bassa  ad essere stata registrata nella seconda metà dell’anno.  Di contro, però, il numero di attacchi registrati è cresciuto quasi costantemente e lo scenario dei diversi rilevamenti si fa sempre più ampio.

La classifica si rinnova con l’ingresso di due nuovi malware:  Trojan.IFrame.YX, legato alla diffusione degli adware  e Gen: Variant.Kazy.45847 che attacca il gioco per computer Anno 2070.

Riamane nella top 10, guadagnando adesso, il primo posto, l‘ Exploit.CplLnk.Gen già utilizzato da Stuxnet e ancora attivo; mentre sale in seconda posizione rafforzando, quindi,  la sua persistenza il Trojan.Wimad.Gen.1, file audio diffuso principalmente attraverso le reti di file sharing.

Dettaglio Top 10 dei malware – Dicembre 2011.

Exploit.CplLnk.Gen

Questo exploit utilizza una verifica difettosa dei file .lnk e .pif nel trattamento dei collegamenti di Windows ed è nota come CVE-2010-2568 a partire dalla metà del 2011. Non appena una versione manipolata di questi file viene aperta in Windows per visualizzare l’icona inclusa all’interno di Windows Explorer, il codice dannoso viene eseguito all’istante. Questo codice può essere caricato da un file system locale (ad esempio da un dispositivo di archiviazione rimovibile che ospita anche il file .lnk manipolato) o  tramite condivisione WebDAV su Internet.

Trojan.Wimad.Gen.1

Questo Trojan finge di essere un normale file audio .wma anche se uno di quelli che può essere riprodotto solo dopo aver installato un codec/decodificatore speciale sui sistemi Windows. Se un utente esegue il file, l’utente malintenzionato può installare tutti i tipi di codice dannoso sul sistema. I file audio infetti sono principalmente diffusi attraverso le reti di file sharing.

Java.Exploit.CVE-2010-0840.E

Questo programma malware basato su Java è un applet di download che tenta di utilizzare una vulnerabilità (CVE-2010-0840) per aggirare il meccanismo di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l’applet ha ingannato il sandbox, si scarica un file .dll. Questo file non viene eseguito immediatamente ma registrato come un servizio con l’aiuto del Registro di Microsoft Server (regsvr32). Quindi, viene avviato automaticamente all’avvio del sistema.

Win32:DNSChanger-VJ [Trj]

Win32: DNSChanger-VJ [Trj] fa parte di un rootkit che cerca di proteggere altri componenti malware, ad esempio bloccando l’accesso a siti di aggiornamento per gli aggiornamenti di sicurezza e gli aggiornamenti delle firme. Qualsiasi accesso ai siti host sarà risolto a “localhost”, che lo renderà, in realtà, irraggiungibile. Questo è il motivo per cui viene chiamato DNSChanger, perché manipola risoluzioni DNS.

Worm.Autorun.VHG

Questo programma software maligno è un worm che si diffonde utilizzando la funzione autorun .inf nei sistemi operativi Windows. Utilizza supporti rimovibili come le unità flash USB o i dischi rigidi esterni. Si tratta di un worm Internet e di rete che sfrutta la vulnerabilità CVE-2008-4250 di Windows.

Trojan.AutorunINF.Gen

Si tratta di una rilevazione generica che rileva file autorun.inf dannosi, sia noti che sconosciuti. I file autorun.inf sono file di avvio che possono essere utilizzati come un meccanismo di distribuzione per i programmi informatici maligni su dispositivi USB, supporti rimovibili,  CD e DVD.

Trojan.IFrame.YX

Questa rilevazione è collegata alla potenziale diffusione degli adware ed è stata riscontrata principalmente su siti di hosting gratuito. Viene controllato se l’ IP del visitatore ha già avuto accesso al sito negli ultimi 30 minuti e se il controllo ha esito negativo, il frame avvia la “consegna” di pubblicità che può essere potenzialmente infetta.

Application.Keygen.BG

Si tratta di un generatore di chiavi molto popolare nelle reti P2P e siti warez in quanto consente (presumibilmente) l’uso di software altrimenti a pagamento. L’esecuzione di questa applicazione non è solo una questione legale, ma ha molti rischi connessi alla sicurezza.

Java.Trojan.Downloader.OpenConnection.A

Questo Trojan downloader si trova in applet Java manipolate sui siti web. Quando l’applet viene scaricata, viene generata una URL dai parametri dell’applet. Il downloader la utilizza per scaricare un file maligno eseguibile sul computer dell’utente e avviarne l’esecuzione. Questi file possono essere di qualsiasi tipo di software dannoso. Il downloader sfrutta la vulnerabilità CVE-2010-0840 al fine di bypassare la sandbox di Java e quindi scrivere i dati locali.

Gen: Variant.Kazy.45847

Gen: Variant.Kazy.45847 appartiene al gruppo di programmi potenzialmente indesiderati (PUP). Si tratta di un file .dll di nome solidcore32.dll, che viene utilizzato per crepare il gioco per computer Anno 2070. La modifica del file di gioco viene rilevato come dannoso.
Metodologia
La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente.

 

Anche l’Italia potrebbe finire nella lista di obiettivi di Anonymous, il network che ha lanciato attacchi informatici in favore di Wikileaks, poi della rivolta tunisina, e che proprio oggi ha ‘dichiarato guerra‘ all’Algeria, promettendo di “colpire senza tregua” i siti del governo, accusato di “reprimere la protesta“.

Una eventuale “Operazione Italia” spiegano diversi responsabili del gruppo in una lunga conversazione online con l’ANSA, non “dipende da una decisione, ma da quanta gente vorrà impegnarsi per una maggiore libertà di internet in Italia, dove, ad esempio, il sito Pirate Bay è stato oscurato”. Intanto, in una bozza di lavoro sui prossimi impegni del gruppo, l’Italia e’ finita in cima alla lista, per una operazione tesa a “mettere Berlusconi su un aereo come Ben Ali”: “Si’ ma e’ una battuta, una immagine”, precisano.

L’interesse di Anonymous verso il Belpaese e’ cresciuto negli ultimi tempi, anche con la pubblicazione dei cable di Wikileaks, nei quali David Thorne, l’ambasciatore americano a Roma, addita la legge Romani sul web come un “precedente per la Cina” perché orientata alla “censura“. Per il diplomatico poi, il premier Silvio Berlusconi userebbe il suo potere nel governo per mettere le briglie a internet e togliere pubblicità a Sky favorendo la “sua” Mediaset.

Gli Anonimi sono particolarmente preoccupati da eventuali limitazioni alla liberta’ di stampa: “Se venisse approvata la legge-bavaglio sulle intercettazioni”, affermano, con tutta probabilità “anche le infrastrutture telematiche italiane potrebbero subire assalti informatici”, a colpi di DDos attack (negazione del servizio) o defacing (la tecnica di sostituire la home page di un sito, ‘cambiargli la faccia’).

Nel gruppo ci sono molti italiani, rivela all’ANSA un connazionale che ora “vive in Inghilterra dove ha imparato cos’e’ la civilta’”: “Siamo circa una trentina, ma nei giorni degli attacchi a Mastercard ne abbiamo contati piu’ di 200”. E proprio gli italiani hanno contribuito a settembre scorso alla unificazione delle varie reti di incontro degli Anonimi nel mondo, creando un punto di raccordo in www.anonops.ru , canale accessibile a tutti senza limitazioni. “Ci cacciavano dalle varie reti, e ogni volta eravamo costretti ad aggiornare locandine, manifesti, per dare indirizzi dove incontrarsi.

Era ora di trovare un posto ‘fisso'”. E in questo posto fisso si discute di tutto, e possono entrare tutti, ma “non i pedofili, o ci arrabbiamo veramente molto”. Tra i temi ovviamente anche Wikileaks, il sito di Julian Assange che Anonymous ha difeso a spada tratta. “Sarebbe meglio” se tutti i file del Cablegate fossero online, piuttosto che ‘parcellizzati’ quotidianamente da Wikileaks o dai suoi media partner, dicono gli Anonimi, che hanno oscurato Mastercard, Visa, PayPal dopo che avevano bloccato i fondi diretti al sito anti-segreti. “Chiaramente Assange ha le sue ragioni. Però sarebe preferibile avere tutto online, accessibile a tutti”, spiegano. Per alcuni poi, “sarebbe bello riuscire a carpire (hackerare, ndr) i segreti del computer di Assange e mettere tutto online”.

Fonte | Ansa