martedì 5 febbraio 2008

«Exploit», il Lupin dei virus informatici

oltre 70 milioni di pc sono gia' stati colpiti e sono stati rubati decine di milioni di euro

Visitando dei siti infetti si rischia di scaricare un componente che s'impossesserà dei nostri dati personali

MILANO - Perché da un po' di tempo non assistiamo a un attacco di un virus informatico su vasta scala? La risposta è semplice. L'attacco è già in corso anche se noi non ce ne rendiamo conto. La minaccia si chiama «exploit» un termine usato in informatica per identificare un metodo che, sfruttando un bug o una vulnerabilità, porta all'acquisizione di privilegi o al denial of service di un computer. Il fenomeno «exploit» ha già infettato oltre 70 milioni di pc nel mondo, centinaia di migliaia solo in Italia (riferisce Grisoft, società di sicurezza informatica), ma fino ad ora l'allarme si è diffuso solo su siti e riviste specializzate.

NUOVA GENERAZIONE - Come mai? Perchè l'attuale forma assunta dall'«exploit» appartiene a una nuova generazione di attacchi informatici che non opera secondo le modalità "terroristiche" dei virus attivi fino a 4-5 anni fa, che distruggevano il contenuto degli hard disk o della posta elettronica o che bloccavano o cancellavano le pagine web di siti celebri. Ma agisce piuttosto come una sorta di Arsenio Lupin informatico, aspettando silente per mesi, e venendo il più delle volte riconosciuto quando ormai è troppo tardi.
«La minaccia di tipo "exploit", che in Italia ha già mietuto centinaia di migliaia di vittime - spiega Larry Bridwell, guru della sicurezza informatica e Global security strategist di Grisoft, produttore di AVG, uno dei più noti antivirus del mondo arrivato alla "beta" della versione 8 - è molto pericolosa perchè a seguito della semplice visita ad un sito infetto installa sul nostro Pc un componente (mascherato per esempio da programma di riproduzione di file video) in grado di mettere ko il computer o peggio di tracciare il nostro numero di carta di credito piuttosto che i codici d'accesso della propria banca online, ma anche i contatti della propria rubrica e i propri file».

CAMBIAMENTO - Il fenomeno «exploit» è frutto di un cambiamento nel settore della criminalità informatica che ormai non puntano più alla notorietà o al beau geste, ma semplicemente al fare soldi. Tanto che 4 criminali informatici russi nei giorni scorsi si sono impossessati di 4 milioni di dollari presi dai conti di ignari navigatori in soli 42 giorni di attività. Il funzionamento di un virus di tipo exploit è del resto difficile da percepire per il normale navigatore. Il più delle volte infatti , se all'interno della memeoria del Pc non c'è alcun dato utile a ricavare un guadagno, riesce corrompere le tradizionali ricerche effettuate sui più noti motori di ricerca, per portare il navigatore in siti già infettati o in siti copia di siti esistenti, dove l'utente ignaro consegna i dati della propria carta di credito convinto magari di fare acquisti in un sito affidabile. Proprio per questo la nuova frontiera degli antivirus tende a mettere in evidenza quali sono i siti sicuri e con le funzioni «safe search» e «safe surf » avvisa per tempo se le nostre ricerche sono state corrotte.

Marco Letizia
04 febbraio 2008(ultima modifica: 05 febbraio 2008)

fonte: http://www.corriere.it/scienze_e_tecnologie/08_febbraio_04/exploit_virus_informatico_3d840416-d336-11dc-8916-0003ba99c667.shtml

...

Sono ancora qui imperterrito nel tentativo di analizzare i diversi casi di phishing che si presentano ogni giorno nella mia mailbox (avere un filtro antispam a questo punto non so se sia cosa buona o cattiva). In effetti avere una casella mail "bombardata" da mail fasulle può essere un modo per spronare di riflesso gli utenti che su Exploit mi seguono. Entriamo in azione e vediamo di cosa si tratta.

Questa volta mi giunge un email da parte di una presunta "Poste Italiane" che si presenta in oggetto con il messaggio "Promozione di Natale conto BancoPosta". "Beh siamo vicino Natale...è giusto che Poste mi faccia un bel regalo...ma aspetta, io non sono cliente di Poste Italiane"!!

Il server violato è posizionato in Germania ma fortunatamente il buon Firefox con il plugin antiphishing mi segnala che il sito di Poste Italiane è in realtà una trappola; ne ero già al corrente ma fortunatamente qualcun'altro lo ha segnalato.

La tecnica usata per attaccare gli utenti è la medesima: un file index.php identico dal punto di vista del layout alla homepage di Poste italiane viene caricato sul sistema mediante una php-shell; nel dettaglio questa shell a differenza dell'altra volta presenta il banner "PHPShell by Macker - Version 2.6.4dev - June 28 2003" anche se offre funzionalità ridotte rispetto alla C99.

Compilati i campi che contengono gli estremi della carta postepay, verranno inviati attraverso una mail al phisher. il cui indirizzo risulta essere meeevsmine2@yahoo.com.
Questa volta però son riuscito ad anticipare il phisher estraendo dal sistema la pagina in questione.

Da come potrete notare, questo file effettua una serie di controlli per verificare che non ci siamo utenti che inseriscano a caso le informazioni nel form; una serie di espressioni regolari vadidano sintatticamente i campi come ( indirizzo di carta di credito,codice utente ecc... ). Quindi occhi sempre aperti e se avete segnalazioni da fare, commenti ed email sono sempre accetti.

Ho deciso inoltre personalmente di "distruggere" completamente php-shell, pagine e quant'altro dal sistema vulnerabile perchè vedere sotto i propri occhi dati "rubati" ad ignari utenti lascia davvero interdetti; parlarne in teoria è una cosa..vederlo in pratica è un'altra!!

Ecco alcuni screenshot:

fonte: http://exploit.blogosfere.it/2007/12/phish-hunter-in-azione.html#more

...

sicurezza in rete ..come difendersi

Posted on Agosto 30, 2007
Filed Under computer

Forse non tutti sanno che un webmaster con pochi scrupoli e con domestichezza sui codici di programmazione è in grado, immettendo sul proprio sito un semplice script, riuscire a leggere i vostri cookies. Direte voi …” e che caspita se ne fa ? ” …vi faccio un esempio quanti di voi usano account on line tipo hotmail, yahoo ed hanno la password già memorizzata sul computer ?? credo tantissimi….bene entrando nel sito del “malintenzionato” gli lasciate in mano il vostro user e pass.

Lo script incriminato è il seguente, il suo nome in codice “cookie grabber“:

$capo = “\n”;
$_GET[’data’] = $data;
$fh = fopen(”cookie.txt”,’a+’);fwrite($fh, “$data”);
fwrite($fh, “$capo”);
fclose($fh);?>

come difendersi?…ci si difende male perchè disabilitando i cookies si finisce per penalizzare la navigazione stessa o renderla addirittura impossibile su alcuni siti come ad esempio i forums, il medesimo discorso vale per i javascript; a proposito di javascript vi metto a disposizione sotto un exploit veramente utile:

l’utilizzate in questo modo, copiate il codice in una pagina di un sito qualsiasi, magari su satelllitemania forum, cancellate nel browser l’indirizzo e mettete lo script in questione.
Quello che vi rimanda indietro non è altro che la richiesta del cookie appropriato (ad esempio il forum vi richiede il cookie utente), non devono esserci altre richieste (esempio indirizzo di posta etc etc) nel qual caso il sito in questione usa qualche “grabber” . Divertitevi comunque a fare esperimenti in giro o magari nei siti …”poco raccomandabili” proprio per verificare quanto detto sopra; tutto questo naturalmente non prima di aver svuotato la cache dei cookie …soprattutto quella dove sono contenute le pass. Altra raccomandazione che non mi stancherò mai di fare..non usate explorer che è un colabrodo totale e non ha a mio parere alcuna ragione di essere usato…scaricatevi firefox (possibilmente con la toolbar di google UTILISSIMA)

Firefox oltre ad essere più sicuro, è gratuito ed ha anche una gestione dei cookie veramente “professionale”….firefox è usata anche dagli hackers per scandagliare la rete in cerca di falle, è possibile scaricarsi plugin utili, nonchè modificare e personalizzare il tema come volete.

fonte: http://www.satellitemania.it/?p=15

...

Il browser di casa Mozilla, già vincitore di numerosi premi, diventa ancora più veloce, sicuro e personalizzabile per adattarsi completamente alle tue esigenze sul Web.

Scarica ora Windows (2.0.0.11, Italiano, 5.5MB)

...

Nessun commento:

Posta un commento

Disclaimer

Questo blog non rappresenta una testata giornalistica:viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L'autrice del blog non è responsabile del contenuto dei commenti ai post, né del contenuto dei siti "linkati".

Alcuni testi o immagini inserite in questo blog sono tratte da internet e, pertanto, considerate di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d'autore, vogliate comunicarlo via E-mail e provvederò alla loro cancellazione.
I got some texts and images via internet: they should be therefore "for free". No copyright abuse is intended by that. In case there is, pls contact me via e-mail and I will act consequently.