Si è conclusa l'operazione "Rubbly" che ha permesso di smantellare una delle più grandi "botnet" al mondo, ovvero una rete di computer "zombie" controllata da un amministratore, il "botmaster" e utilizzata dai cyber criminali per effettuare attacchi informatici di varia natura in danno di 3,2 milioni di computer in tutto il mondo. L'operazione internazionale che ha messo takedown i server di comando e controllo della botnet "Ramnit", è il frutto di una stretta collaborazione tra la Polizia di Stato, l'European Cyber Crime Center (EC3) di Europol e le unità specializzate nel cyber crime di Germania, Paesi Bassi e Regno Unito, insieme ai partner dell'industria privata.
Uno strumento di spionaggio avanzato, Regin mostra un grado di competenza tecnica rara ed è stato utilizzato in operazioni di spionaggio contro governi, operatori di infrastrutture, aziende, ricercatori e privati. Lo ha scoperto nei mesi scorsi la società specializzata in sicurezza Symantec. Un pezzo avanzato di malware noto come Regin, è stato utilizzato in campagne sistematiche di spionaggio contro una serie di obiettivi internazionali almeno dal 2008. Una backdoor di tipo Trojan, Regin è un pezzo complesso di malware la cui struttura mostra un grado di competenza tecnica vista raramente.
Non soltanto Stati Uniti: siamo "spiati" anche in Italia. E' questa la conclusione del garante della Privacy, Antonello Soro, che ha presentato alla Camera la Relazione annuale sull'attività 2012. L'Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, ha presentato oggi la Relazione sul sedicesimo anno di attività e sullo stato di attuazione della normativa sulla privacy.
A pochi giorni dalla conferma di un problema che affliggeva l'ultima versione del plug-in Flash, Adobe ha annunciato di aver risolto il fastidioso bug dei crash continui denunciato da molti utilizzatori del browser Firefox di Mozilla su sistema operativo Windows. Le due società hanno lavorato insieme per individuare le fonti di questi problemi e sembra adesso che tutto sia stato risolto. E forse proprio per questo, nonchè per la sua popolarità, Adobe Flash Player è ancora un'applicazione che viene preferita dai criminali informatici per le campagne che coinvolgono i falsi aggiornamenti.
Il nuovo schema di attacco scoperto da esperti di Zscaler inizia con una pagina Web che comunica all'utente che è in esecuzione una versione non aggiornata di Flash e richiede un aggiornamento del plugin per guardare un video. Il falso aggiornamento fFlash è in realtà un eseguibile dannoso. Questo tipo di attacco è ancora in corso.
L'aggiornamento è in realtà una falsa estensione per i browser Web. A seconda del browser in esecuzione sul PC della vittima, viene presentato un file. XPI (Firefox), un file .CRX (Google Chrome), o un file .Exe (Internet Explorer). Una volta installata, queste estensioni permettono all'attaccante di accedere alla macchina infetta.
Tuttavia, questa non è la preoccupazione principale. Il problema è che la maggior parte delle soluzioni antivirus non sono in grado di rilevare le estensioni dannose perché sono essenzialmente file di testo. Mentre l'eseguibile è facilmente identificabile come una minaccia, l'.XPI e il .CRX non sono rilevati come pericolosi da alcuni motori AV secondo VirusTotal.
"Un altro aspetto degno di nota è il fatto che l'add-ons non contengono codice dannoso, piuttosto, quando il browser si avvia, l'add-on preleva il codice JavaScript dannoso da un server esterno e lo esegue", spiega Julien Sobrier, ricercatore di Zscaler. I file correnti non sono molto pericolosi, ma potrebbero cambiare in futuro.
Un iFrame invisibile viene inserito in ogni nuova pagina caricata. L'iFrame contiene pubblicità dal resultsz.com, e contiene un nome utente nell'URL. "Questo mi dice che l'autore adware prende soldi per il traffico inviato a questo sito, anche se l'utente infetto non può effettivamente vedere ciò che viene caricato", aggiunge Sobrier.
"L'autore potrebbe cambiare il file remoto in qualsiasi momento per fare molti più danni, come rubare i cookie per ottenere l'accesso agli account utente su qualsiasi sito, rubando username / credenziali di accesso o password precedentemente salvate, ecc.", conclude l'esperto. Il consiglio è dunque quello di prestare sempre attenzione ai siti che si visitano, ai link su Facebook o altri social network, e di effettuare qualsiasi aggiornamento dal sito ufficiale del produttore, in questo caso Adobe (http://get.adobe.com/it/flashplayer/), ricordando che Chrome include già Adobe Flash Player e che si aggiorna automaticamente quando è disponibile una nuova versione di Flash Player.
Il sito di networking professionale LinkedIn ha delle falle di sicurezza che rende gli account degli utenti vulnerabili agli attacchi di hacker, i quali potrebbero accedervi senza nemmeno aver bisogno di password, secondo un ricercatore di sicurezza che ha identificato il problema. LinkedIn, fondato nel dicembre 2002 e avviato nel maggio 2003, è utilizzato principalmente per networking professionale.
A marzo 2011, LinkedIn relaziona più di 100 milioni di utenti registrati, che coprono più di 200 paesi e territori in tutto il mondo. La notizia della vulnerabilità è emersa durante il fine settimana, solo pochi giorni dopo LinkedIn Corp è andato in offerta pubblica la scorsa settimana con il debutto commerciale che ha visto il valore delle sue azioni più del doppio, che evoca i ricordi del boom di investimenti dot.com della fine degli anni 1990.
Rishi Narang - un ricercatore indipendente di sicurezza Internet con sede vicino a New Delhi, in India, che ha scoperto la falla di sicurezza - ha detto a Reuters Domenica che il problema è legato al modo in cui LinkedIn gestisce un tipo di file dati comunemente usato e conosciuti come cookie, che includono il JSESSIONID e il LEO_AUTH_TOKEN.
Dopo che un utente inserisce il nome utente corretto e la password per accedere a un account, il sistema di LinkedIn crea i cookie sul computer dell'utente che servono come chiave per accedere all'account. Molti siti web utilizzano tale cookie, tra i quali Facebook, ma ciò che rende il cookie LinkedIn insolito è che non scade per un anno intero dalla data della sua creazione, ha detto Narang. Il dettaglio della vulnerabilità è descritto in un post sul suo blog di Sabato.
I cookie token di accesso della maggior parte dei siti web commerciali in genere scadono nel giro di 24 ore, o anche prima se un utente effettua il logout dal sito, ha detto Narang. Ci sono alcune eccezioni: i siti bancari spesso disconnettono gli utenti dopo 5 o 10 minuti di inattività. Google offre ai suoi utenti la possibilità di usare i cookies che li tengono connessi per diverse settimane, ma consente all'utente di deciderlo prima. La lunga durata del cookie LinkedIn significa che chiunque si impossessa del file può caricarlo su un PC e accedere facilmente all'account originale dell'utente per almeno un anno.
La società ha rilasciato una dichiarazione dicendo che essa sta già effettuando la procedura per garantire gli account dei suoi clienti. "LinkedIn prende la privacy e la sicurezza dei nostri iscritti seriamente", dice la nota. "Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere reti WiFi o reti VPN (reti private virtuali) criptate o di fiduicia, quando possibile". La società ha detto che attualmente supporta SSL, o Secure Sockets Layer, tecnologia per la crittografia di alcuni dati "sensibili", tra cui gli accessi agli account. Ma quei token cookie di accesso non sono ancora codificati con SSL.
Ciò rende possibile per gli hacker rubare i cookie utilizzando strumenti ampiamente disponibili per sniffare il traffico Internet, ha continuato Narang. Se si è in una rete di casa o aziendale e qualcuno raccoglie i cookie di traffico o usa Firesheep il gico è fatto. E, anche se si cambia la password e tutte le impostazioni, ancora il vecchio cookie è valido e dunque concede all'attaccante un accesso al vostro account. LinkedIn ha detto nella sua dichiarazione che si sta preparando ad offrire opt-in il supporto SSL per le altre parti del sito, una opzione che avrebbe coperto la crittografia dei cookie.
L'azienda ha detto che si aspetta sarà disponibile "nei prossimi mesi". Ma i funzionari LinkedIn hanno rifiutato di rispondere alla critica di Narang sull'uso della società di un cookie con scadenza di un anno. Narang ha detto che il problema è particolarmente grave perché gli utenti di LinkedIn gli utenti non sono consapevoli del problema e non hanno idea che essi debbano proteggere tali cookie. Il ricercatore aa affermato, inoltre, di aver trovato quattro cookie con token di accesso LinkedIn validi che erano stati caricato su un forum per gli sviluppatori LinkedIn dagli utenti che avevano postato delle domande circa il loro uso. Narang ha scaricato quei cookie e ha potuto accedere agli account dei quattro abbonati LinkedIn.
