Roma – Alcune ricerche nel campo della sicurezza hanno evidenziato la presenza di nuovo malware, difficile da rilevare e da rimuovere, che potrebbe infilarsi nei meandri meno accessibili e meno maneggevoli del disco fisso del computer. Si tratta di un rootkit basato sul Trojan.Mebroot, un software che impiega una tecnica vecchia di dieci anni – ma ancora efficace – per occultarsi alla "vista" degli antivirus. E che viene sparato da siti infetti.

Sarebbero circa 30 mila gli spazi web, la maggior parte dei quali in Europa, che attentano alla sicurezza dei computer non aggiornati con le più recenti patch. Secondo quanto emerge dagli studi del team iDefense di Verisign, dalla metà di dicembre scorso il "nuovo" vermicello è stato in grado di infettare ben 5000 macchine in due tranche separate, precisamente il 12 e il 19 dicembre. I cracker che lo hanno sguinzagliato sarebbero gli stessi che hanno immesso in rete il Torpig Trojan, analogo malware che è riuscito a conquistarsi la CPU di oltre 250 mila PC.

Il metodo di contagio impiegato è quello di attrarre la vittima su un sito opportunamente configurato. Una volta collegato, il sito tenta in tutti i modi possibili di iniettare il codice malevolo sul PC. Qualunque computer, con qualsiasi sistema operativo, visto che un rootkit viene lanciato dal Master Boot Record prima del sistema operativo stesso.

"In sostanza, se si può prendere il controllo del Master Boot Record, si prende il controllo del sistema operativo e, di conseguenza, del computer su cui risiede", ha scritto Elia Florio, ricercatore di Symantec, nel blog dell'azienda.

Il direttore di nCircle Network Security, Andrew Storms, è preoccupato per la grande scaltrezza dei cracker che hanno avviato questa nuova ondata di infezioni: "Al momento la rilevazione è ancora incerta, ma già dai giorni scorsi molti produttori ne hanno confermato l'individuazione. Quanto alla diffusione, al momento non molti sembrano averla evidenziata".

Marc Maiffret, security researcher indipendente, è convinto che "far funzionare bene questo tipo di malware sia sempre stata una grande sfida per i cracker. Per prendere il controllo dei PC già da qualche anno si preferiscono metodi diversi". E, pur ritenendo che presto si aggiungeranno altre varianti al medesimo tipo di infezione, rassicura: "Non ci vorrà molto per le aziende produttrici di antivirus a reagire".

Marco Valerio Principato

Fonte: Punto Informatico

Roma – Un bel codice scritto ad arte e inserito in un banner tira fuori un pop-up che avverte della presenza di un problema di sicurezza sul PC. In cambio di un importo in denaro e delle informazioni sulla carta di credito, il pop-up offre subito la soluzione. Basta cadere in questa semplice trappola e il malcapitato utente si ritrova, nel migliore dei casi, una magnifica backdoor sul PC, senza aver risolto il suo problema di sicurezza che, beninteso, non esiste. E con i dati della carta di credito compromessi.

Perché accade? Il grande nome del sito, la grande fama, la provata e rinomata notorietà, unite alla frequente negligenza nel mantenere aggiornate le difese o, addirittura, nell'esserne del tutto sprovvisti: queste sono le ragioni che, in coppia con l'ingenuità e le alzate di spalle di tante persone, lasciano via libera al malware pubblicitario, quello che viene diffuso da banner infetti.
Ciò accade con allarmante regolarità a molti internauti, spesso inconsapevoli utenti di siti di grande richiamo. "Si tratta di siti rispettabili, con alti valori di traffico", dice Don Jackson, un ricercatore di SecureWorks, azienda che si occupa di sicurezza informatica e segue questi fenomeni. "L'obiettivo (degli estensori della malapubblicità, ndR) è compromettere i computer degli utenti e, fondamentalmente, poterne disporre a volontà". Finalità che, come ben sanno i lettori di PI, significa creare elementi attivi per le Botnet.

Secondo il ricercatore, il fenomeno è molto esteso e riguarda potenzialmente migliaia di siti, la maggior parte dei quali legati all'entertainment e alla televisione. Jackson sostiene anche di aver tentato di intervenire cercando di far chiudere quei siti che SecureWorks ha individuato come colpevoli, ma, ammette, per ogni due siti chiusi, almeno altrettanti sono ancora operativi.

Il fenomeno nel suo complesso, certamente preoccupante, non è che la punta di un iceberg: nessuno dei grandi nomi si occupa direttamente dei rapporti pubblicitari, bensì si serve di altrettanto grandi agenzie pubblicitarie, che acquistano lo spazio necessario per collocare il proprio prodotto. Che a sua volta è il collage dei lavori di agenzie più piccole: la storia, dunque, si ripete. E, assieme alla storia, si ripete il muro di gomma: quando la filiera è lunga, diventa difficile – se non impossibile – risalire al primo responsabile.

Sul piano tecnico, spiega Channel Register, il metodo rivelatosi tra i più efficaci per limitare i danni è quello di utilizzare, nel caso del browser Firefox, l'estensione noscript, che impedisce l'esecuzione di script attivi in una pagina web, se i relativi siti non vengono specificamente autorizzati dall'utente. In Internet Explorer è possibile fare altrettanto intervenendo sulle opzioni Internet. Di certo vi è che gran parte degli utenti impiega i browser in modalità as is (così com'è), lasciando alle circostanze molte strade sgombre.

Peraltro non è la prima volta che si fanno i conti su vicende del genere e il proliferare di questo fenomeno non fa che peggiorare una situazione già evidenziata come pericolosa in circostanze analoghe. Ancora una volta, dunque, occorre ridurre al minimo l'ingenuità, essere sempre aggiornati con le protezioni e, per default, non avere fiducia in nessun sito, anche se arcinoto. Soprattutto, non utilizzare i browser in modalità OOBE (Out Of Box Experience, esperienza appena fuori dell'imballo) ma alzarne subito le protezioni seguendo il criterio universalmente riconosciuto come il più sicuro, quello dei firewall: tutto ciò che non è espressamente consentito è vietato. Se, nel navigare, si scopre che un determinato sito riesce del tutto illeggibile, con cautela si ridurranno i divieti uno per volta e ad personam situm.

Marco Valerio Principato

Fonte: Punto Informatico 

Mountain View (USA) – È con malcelato imbarazzo che, negli scorsi giorni, Mozilla Foundation ha preannunciato il rilascio di un nuovo aggiornamento a Firefox che dovrebbe sistemare diversi problemi introdotti dalla recentissima release 2.0.0.8. Problemi che, almeno in un caso, sono stati segnalati anche sui forum di Punto Informatico.

"La versione 2.0.0.8 ha corretto circa 200 problemi, ma disgraziatamente ha introdotto alcune regressioni", si legge in questo comunicato di Mozilla. "Molti utenti non vedranno alcuna differenza o non sperimenteranno alcun problema, e i 200 fix rendono l'udpate 2.0.0.8 di grande valore, ma non dovreste mai dover scegliere tra funzionalità e sicurezza. Così stiamo lavorando in fretta per capire e correggere questi problemi".

La "patch della patch", come si potrebbe definire l'imminente update di Mozilla, verrà introdotta con Firefox 2.0.0.9. Tra i problemi corretti da questa release ve ne sono alcuni legati al crash del browser in fase di esecuzione, alla non corretta gestione dell'attributo CSS "clear", al mancato funzionamento delle applet Java sotto Windows Vista, alla disattivazione di alcuni add-on, e alla gestione delle image map (se si rimuove un solo elemento, scompare l'intera mappa).

Gli sviluppatori forniscono dei workaround che permettono agli utenti di sistemare fin d'ora la maggior parte dei problemi, senza dunque dover necessariamente attendere il rilascio di Firefox 2.0.0.9. Gli unici bug che al momento non possono essere corretti manualmente sono quelli relativi ai crash allo startup e alla gestione delle image map.

Mozilla conta di rendere disponibile Firefox 2.0.0.9 entro la fine della prossima settimana.

Fonte: Punto Informatico

Roma – Con un comunicato diramato ieri sera la celeberrima Associazione per la libertà nella comunicazione elettronica interattiva, ALCEI, ha mosso un attacco ad alzo zero contro la decisione del Commissario europeo Franco Frattini di lavorare su un progetto di censura selettiva online in chiave anti-terrorismo.

"Apprendiamo con sgomento, ma purtroppo senza stupore – scrive ALCEI – della proposta avanzata dal commissario europeo Franco Frattini di imporre una censura selettiva sulle parole utilizzate in rete. I do intend – dichiara Frattini all'agenzia Reuters il 10 settembre 2007 – to carry out a clear exploring exercise with the private sector… on how it is possible to use technology to prevent people from using or searching dangerous words like bomb, kill, genocide or terrorism".

Secondo ALCEI "la posizione espressa dal commissario Frattini è inaccettabile, gravissima e realmente liberticida. Pretesti come sull'internet si impara come fare le bombe sono bufale che risalgono agli albori della diffusione della rete e che insieme alle "violazioni" di copyright e alla strumentalizzazione della tutela dei minori hanno costituito – come ALCEI denuncia continuamente da oltre dieci anni – la storica scusa per invocare censura e repressione".

"È chiaro e largamente dimostrato dai fatti – continua l'Associazione – che ogni genere di "filtri" o divieti è inutile e inefficace nella repressione di attività criminali, mentre si trasforma inevitabilmente in uno strumento di censura e repressione dell'informazione, del dialogo e della libertà di espressione. Non è impedendo ai cittadini onesti di parlare di argomenti preoccupanti che si impedisce ai violenti, agli assassini e ai terroristi di continuere le loro perverse attività".
Ma secondo ALCEI la posizione di Frattini non è isolata ed anzi "si inserisce in un continuo e progressivo processo di compressione dei diritti individuali in nome di non meglio specificati principi etici".

Tra gli esempi, ALCEI cita la decisione del ministero delle Comunicazioni di censurare il sito del cosiddetto orgoglio pedofilo, una misura ritenuta illegale dai giuristi e che secondo ALCEI rappresenta un "gravissimo caso" in quanto "privo di fondamento legale e di un provvedimento formale". Il sito, continua l'Associazione, presentava "contenuti oggettivamente inaccettabili e culturalmente criminali", contenuti che però "si dovrebbero combattere con le armi della cultura e della critica, invece che con la repressione cieca e fanatica che serve solo a trasformare mostri in vittime".

"Possiamo sperare – conclude ALCEI – che quelle incaute affermazioni trovino nell'Unione Europea, come nelle autorità italiane, qualche ostacolo di buon senso e di consepevolezza civile. Ma il solo fatto che si diffondano proposte di quella specie è un sintomo grave e preoccupante. Ancora una volta si dimostra quanto siano fondati gli avvertimenti che ALCEI diffonde da tredici anni e che si stanno ripetutamente verificando. La situazione che si è creata e aggravata nel corso del tempo – e che ora emerge all'attenzione del "grande pubblico" – dimostra come l'Italia sia in un vero e proprio stato di emergenza per le libertà civili". Fonte: Punto Informatico 

Un uomo di 39 anni e' stato fermato dalla polizia dopo essere stato sorpreso a navigare su internet appollaiato su un muro fuori da una casa a Chiswick, nell'ovest di Londra.

Secondo gli agenti stava illegalmente utilizzando la connessione wireless dell'abitazione per accedere alla rete con il suo computer portatile. L'uomo e' ora in liberta' provvisoria fino ad ottobre.

Il suo fermo e' l'ultimo di una serie crescente di arresti e incriminazioni per "furto di accesso a internet", un crimine secondo le leggi sulla comunicazione introdotte nel 2003.

Ad aprile un uomo aveva ricevuto un ammonimento ufficiale della polizia dopo essere stato sorpreso a navigare su internet dentro un'auto parcheggiata fuori da una casa con una connessione wireless non protetta da una password d'accesso. Nel 2005 un uomo era stato multato per 750 euro per aver utilizzato la connessione del vicino di casa.

Ma secondo Stephen George, un consulente informatico, punire tutti coloro che accedono illegalmente alla rete in questo modo e' impossibile. "Se la polizia lo facesse avremmo piu' gente dentro che fuori di prigione. Se uno vuole evitare che gli altri usino la sua connessione web, la puo' proteggere con una password in pochi minuti. Se non lo fanno e' colpa loro", ha detto.

Fonti:
Rainews24

A battezzare il malware W32/Deletemusic è stata la Symantec
Il programma, però, è ancora poco diffuso ed è facile da eliminare

Chi scarica musica da internet comincia a temere per le proprie collezioni.
Gli mp3 contenuti sui pc sono a rischio, e la minaccia è un nuovo virus, che è appena apparso in rete.
Il suo nome è W32/Deletemusic e il suo fine ultimo è la cancellazione di tutti i file musicali (solo quelli in formato MP3) che si trovano sul computer.
A rischio sono tutti gli utenti con sistema operativo Windows (Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP).

Il virus è del tipo "Worm" che significa letteralmente "verme", ed è una particolare categoria di malware in grado di autoreplicarsi.
A differenza dei "normali virus" non ha bisogno di legarsi ad altri programmi eseguibili per garantirsi una diffusione.
In questo caso la sua duplicazione è portata avanti trasmettendo il file di autorun su drive esterni, il che mette a rischio la gran parte dei player mp3 in commercio.
Il malware, al momento, non ha ampia diffusione, per cui il pericolo è ancora limitato.
Inoltre, si tratta di un worm estremamente semplice da eliminare, e il possesso di un antivirus di qualità e aggiornato è sufficiente a garantire lunga vita ai propri file.

Il danno potenziale non è da sottovalutare.
Nel momento in cui si conserva una copia unica della propria discografia sull'hard disk, l'eliminazione dei file cancella la possibilità di accedere al brano, imponendone – se comprato online – un nuovo acquisto.

Symantec ha messo a disposizione una completa scheda tecnica sul worm, con tanto di dati aggiornati sull'espansione dell'infezione, modalità di attacco e dettagli tecnici per la sua eliminazione: qui (in inglese)

Fonti:
La Repubblica
Symantec