Nuovo Virus " Chuck Norris "

Chuck Norris potrebbe fare breccia nel vostro router. Ricercatori della Repubblica Ceca hanno scoperto l'espansione di una botnet, denominata come il famoso attore statunitense, che si sta diffondendo sfruttando le password troppo semplici di parecchi router e modem DSL.

L'attacco sembrerebbe avere un tocco italiano, infatti nel codice del malware si può leggere un chiaro e inequivocabile "in nome di Chuck Norris", ormai una divinità  tra il popolo dei netizen tricolore.

Secondo gli esperti "Chuck Norris è insolito perché infetta modem DSL e router anziché PC", riporta ComputerWorld. I ricercatori, inoltre, sottolineano che è in grado di sfruttare anche una vulnerabilità nota dei prodotti D-Link.

Al momento non si conosce la grandezza della botnet, che ha già colpito in Europa, Sud America e Asia.

Una volta raggiunti dal malware, Chuck Norris non solo blocca le porte di comunicazione remote e tenta di propagarsi, ma può anche cambiare le impostazioni DNS (Domain Name System) del router, dirottando le ignare vittime su pagine web piene zeppe di virus.

Per ogni male, però, c'è un rimedio - ed è anche abbastanza semplice: impostate una password del router più complicata, oppure non dovete far altro che spegnere e riaccendere il router. Chuck Norris, infatti, vive nella RAM del dispositivo, una memoria di tipo volatile che senza costante alimentazione perde i dati immagazzinati.

Fonte : http://www.tomshw.it

Trojan.Hydraq Exposed

The post describes functionality (static analysis) of the trojan that was reported in the recent targeted attacks against some large companies.

Trojan.Hydraq trojan is a DLL that runs as a service within the context of the system process svchost.exe.

In order to be executed within the process svchost.exe at the system startup, the trojan employs no injection techniques - this is achieved with the steps described below.

Firstly, the trojan registers itself as a system service RaS[4 random characters] by creating registry entries under the newly created key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]

The "ImagePath" value of its service registry key is set to start svchost.exe, as shown below:

"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]

This will force the system process svchost.exe to look up its multi-string value "netsvcs", load all services specified in it into its address space, and then call their ServiceMain() exports.

To make svchost.exe aware of its existence and be loaded too, the trojan adds its service name into the list of strings (service names) stored in the value "netsvcs" of the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

To make sure its service name is added to the list of services only once, the trojan queries the contents of the value "netsvcs" to make sure that the multiple strings stored in that value do not contain any string that starts from "RaS" (case-sensitive).

Other parameters of the newly installed service are specified in the values:

ObjectName = LocalSystem
Type = dword:0x20 (a win32 service that can share a process with other win32 services)
Start = 2 (to be loaded automatically for all startups)

of the registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]

Finally, to let svchost.exe process know where to load the DLL from, the image path of the trojan's service DLL is saved by setting the value:

ServiceDll = [path to trojan DLL]

of the registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]\Parameters

The file name of the trojan DLL is retrieved by calling GetModuleFileNameA() API, as the trojan knows its name may vary.

For instance, the trojan can create a copy of itself under a random filename in the %TEMP% directory; if it locates a file %TEMP%\c_1758.nls, it may rename that file under a different file name.

NOTE: %TEMP% is a variable that refers to the temporary folder in the short path form. By default, this is C:\Documents and Settings\[UserName]\Local Settings\Temp\ (Windows NT/2000/XP), or C:\User\[UserName]\AppData\Local\Temp (Windows Vista, Windows 7).

The Hydraq trojan installs a backdoor trojan that listens for incoming commands. The commands allow the trojan to perform multiple actions - the trojan organizes them into groups - these commands are enlisted below with the [group number].[internal command number] prefixes:



* [0.0] adjust token privileges

* [0.1] terminate processes


* [1.0] enumerate name and status for all system services

* [1.1] control arbitrary services

* [1.2] query status for arbitrary services


* [2.0] receive remote file and save it as %TEMP%\mdm.exe, then launch it by using command control program %SYSTEM%\cmd.exe


* [3.0] enumerate registry keys under the specified key

* [3.1] enumerate registry values for the specified key

* [3.3] query registry values

* [3.4] set registry values conditionally

* [3.5] set registry values unconditionally

* [3.6] delete registry keys

* [3.7] create registry keys conditionally

* [3.8] create registry keys unconditionally


* [4.0] retrieve the list of logical drives on a system

* [4.1] read files from the local file system

* [4.2] execute arbitrary files

* [4.3] copy files in the local file system

* [4.4] delete arbitrary directories

* [4.5] rename files

* [4.6] change file attributes


* [5.1] power off computer

* [5.2] reboot Windows

* [5.3] uninstall itself by deleting the registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]

* [5.5] clear all system event logs (application, security, and system pools)


* [6.0] enumerate files in the specified path


* [7.11] check if %SYSTEM%\acelpvc.dll is present - if it is present, load it and call its EntryMain() export; check the presence of the DLL %SYSTEM%\VedioDriver.dll


* [9.1] open the file %SYSTEM%\drivers\etc\networks.ics and read 616 bytes from it

* [9.2] delete the file %SYSTEM%\drivers\etc\networks.ics


In addition to the commands enlisted above, the trojan retrieves CPU speed by querying the "~MHz" value from the registry key:

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0

The stolen details are then delivered to the remote site.

Hydraq trojan is capable to keep inter-process communications with other components via a named pipe - a separate thread is spawned for that purpose.

Internal data or configuration is stored by the trojan in the values "IsoTp" and "AppleTlk" in the dedicated registry key:
HKEY_LOCAL_MACHINE\Software\Sun\1.1.2

Fonte : http://blog.threatexpert.com

Threat Resource Center

Tenix Data Diode: La sicurezza certificata EAL7

La certificazione EAL è probabilmente tra quelle più stringenti attualmente utilizzate in ambito security. Prossimamente scriverò un analisi approfondita dei Common Criteria e delle certificazioni EAL. Fino ad oggi un unico prodotto di sicurezza è riuscito a conseguire la certificazione EAL7 ovvero la più alta ottenibile: Stiamo parlando dell’Interactive Link Data Diode della Tenix.
Questo particolare Device promette di dividere fisicamente due segmenti di rete, garantendo un sicurezza completa in quanto il link avviene a livello hardware senza essere elaborato da firmware o componenti software poste sul device.

Tramite questo aggeggio avremo quindi la possibilità di reperire un contenuto remoto posto su una rete con un grado di sicurezza più basso senza che sia possibile inviare informazioni all’esterno. Le informazioni viaggieranno attraverso il diodo in un solo ed unico senso tramite la fibra ottica in ingresso ed uscita.

Questo prodotto, oltre a garantire un isolamento completo tra due reti con tipologie diverse di dati offre una buona protezione da tentativi di intercettazione basati su tecnologie TEMPEST dovuta all’assenza di firmware ed al passaggio unicamente ottico.

Sicuramente è un prodotto unico nel suo genere e offre funzionalità che difficilmente trovano esempi nella vita di tutti i giorni, ma si tratta dell’ennersimo prodotto che offre standard di sicurezza a livello militare.
Nell’esempio qui riportato, tratto questo paper dell’Università dell’Iowa, vediamo uno dei campi di applicazione del data diode. in questo specifico campo di applicazione riguardante un sistema di votazioni politiche elettroniche abbiamo due reti locali distinte nel seguente modo:

* La rete del seggio: Viene raccolto un dato dai terminali di voto, niente devo poter entrare ma il dato deve poter uscire per arrivare allo scrutinio.

* La rete dello scrutinio: Viene elaborato il dato, niente deve poter uscire ma il dato deve poter entrare per essere elaborato.

In questo caso l’Interactive Link Data Diode garantisce l’isolamento tra le due reti e permette il funzionamento del sistema di voto riducendo notevolmente il rischio di attacchi o di manomissioni. Nessun firewall può competere con le leggi fisiche che regolano il funzionamento di un diodo e che garantiscono un alto margine di riduzione del rischio delle reti critiche.
Fonte :  http://www.neverwhere.it

Niente sesso sull’iPhone: utenti in rivolta

La ‘polizia’ Apple pattuglia gli iPhone e rimuove dai suoi ‘negozi’ migliaia di applicazioni ’sexy’. Sarebbero circa 5.000 i programmi che la casa di Cupertino ha tolto dai suoi scaffali virtuali a causa di ”un aperto contenuto sessuale”. Lo riportano vari siti americani tra cui Tech Crunch. ”A questo punto l’esatta natura del bando non e’ chiara”, scrive Tech Crunch osservando che la decisione, quale che sia la sua portata, ha messo in allarme molti programmatori, non solo quelli che producono applicazioni con contenuti sexy.

Secondo Tech Crunch, al momento di scrivere, su iTunes erano ancora disponibili numerose ‘apps’ con nomi tipo Magic Boobs (tette magiche), ma un controllo successivo ha rivelato che di ‘tette’, magiche o no, e’ sparita ogni traccia. Secondo Jon Atherton, un programmatore responsabile per l’app Wooble (fa ballonzolare parti anatomiche), il bando sarebbe arrivato a riguardare addirittura immagini di donne in bikini o parole allusive a contenuti sessuali.
”Ogni volta che riceviamo proteste da parte del pubblico sui contenuti di un app le esaminamo con attenzione e, se del caso, la rimuoviamo dal negozio”, ha detto a Tech Crunch un portavoce della Apple. Ma intanto c’e’ chi protesta che il controllo esercitato dalla casa madre sarebbe eccessivo e reclama la creazione di un ”quartiere a luci rosse’ nei negozi Apple.
http://techblog.tgcom.it


 

Cina-Usa: migliaia di imprese spiate da hackers

Gli hacker cinesi non minacciano solo il server di Google, ma stanno spiando alcune migliaia di aziende e istituzioni americane.
Gli hacker cinesi non minacciano solo il server di Google, ma stanno spiando alcune migliaia di aziende e istituzioni americane. Tra queste ci sarebbero anche organizzazioni che si occupano di sicurezza nazionale.
Lo denuncia l’ultimo rapporto di Mandiant, una grande impresa statunitense, che ha sede in Virginia e si occupa di sicurezza informatica.
Secondo questo studio, diffuso dalla rivista Wired, gli attacchi informatici non puntano più a carpire all’improvviso i segreti delle aziende, ma ormai sorvegliano costantemente nel tempo, a volte anche per anni in modo consecutivo, ogni attività delle loro vittime.
Per spiegare questa minaccia sofisticata e permanente è stato inventato un neologismo con tanto di sigla, Atp, che sta per Advanced Persistent Threats.
Secondo Mandiant nessuno è immune da questi attacchi difficili da intercettare, che appaiono sempre più ben congeniati e sempre più raffinati. L’anno scorso, ad esempio, un contractor della Difesa americana ha scoperto ben cento sistemi di comunicazione nella sua rete ormai compromessi da alcuni intrusi che lo stavano spiando almeno dal 2007.
Fonte : http://www.blitzquotidiano.it


 

Massiccio attacco hacker mondiale, colpiti 196 paesi

L'attacco hacker più sofisticato ed esteso di sempre. È questa l'informazione divulgata dal prestigioso Washington Post. L'iniziativa criminale è stata scoperta da un'azienda americana di cybersicurezza, la Netwitness, che ha subito dato l'allarme. Anche se era ormai troppo tardi.
L'attacco era cominciato nel 2008 e, nel lasso di tempo in cui è stato attivo, è riuscito a raccogliere informazioni di vitale importanza riguardo a moltissime aziende e persino enti governativi: carte di credito, dati di accesso, caselle email aziendali, niente è rimasto al sicuro. Le aziende colpite sono le più importanti del mondo e attive in diversi settori, dalla sanità alla tecnologia: hanno confermato l'attacco i colossi farmaceutici Merck & Co. e Cardinal Health. Sembra che nel mirino dei criminali ci sia stata anche la Paramount Pictures, ma non ci sono conferme.
La rete di hacker sarebbe stata basata in est-Europa, con un centro di controllo in Germania. Le nazioni più colpite dalla massiccia iniziativa sono Usa, Messico, Egitto, Arabia Saudita e Turchia. I Paesi interessati dall'offensiva informatica sono ben 196, per un totale di circa 75mila macchine violate, tra Pc e server.
La scoperta dell'attacco si deve ad Alex Cox, ingegnere della Netwittnes, che il 26 gennaio scorso ha individuato il sistema utilizzato dagli hacker per carpire i dati segreti: un bot, denominato Kneper. Il sistema è semplice ma efficace e, come sempre, fa leva sulla superficialità degli utenti: agli hacker è bastato indurre gli ignari dipendenti a scaricare del software infetto, software che, dopo essere stato installato, ha aperto le porte dei Pc e server aziendali ai criminali. Per l'occasione è stato anche utilizzato un pericoloso spyware noto come ZeuS.
Secondo altre fonti, l'attacco ha interessato anche enti governativi americani: è documentato da Netwitness un caso di furto di dati ai danni di un soldato Usa. Dal Pentagono è arrivato un secco "no comment".
Fonte : www.bitcity.it


 

Facebook users offered free spam 'firewall'

Security vendor Websense if offering Facebook users and businesses a new free 'firewall' service that monitors their pages for malicious posts, links and spam.
Defensio 2.0 checks all posts to Facebook in real time against Websense's ThreatSeeker Network, a database of problem URLs, before deciding whether to categorise a post as malicious or unwanted. This also draws from data gathered by US ISP Radialpoint and URL shortening service bit.ly before performing further heuristic analysis as a final check.
If a bad post is detected, the system logs and informs the user who makes the final decision. As with the original Defensio system - acquired a year ago when Websense bought the company of the same name - it can also monitor web pages for rogue posting, pre-emptively blocking those it deems unwanted.
Fonte : http://www.networkworld.com

Roma Security Summit 9 e 10 GIUGNO 2010

Innovare l’informazione sulla sicurezza informatica
Un programma formativo di notevole spessore, relatori di alto livello, una notevole e qualificata visibilità per le aziende sponsor. Sono questi i tre capisaldi che formano l'ossatura innovativa della seconda edizione di Security Summit, l'evento nel mondo della sicurezza delle informazioni realizzato da Clusit e da Edipi Conference.
Programmato per il 16, 17 e 18 marzo 2010 a Milano e per il 9 e 10 giugno a Roma, Security Summit è stato presentato al mondo della security il 2 ottobre a Milano, in un incontro riservato alle aziende sponsor.
Anche per l’edizione 2010 saranno numerose le occasioni di aggiornamento professionale, dopo che nel 2009 sono stati emessi circa 1.000 certificati, che hanno dato diritto a crediti/ore CPE. A Milano e Roma, infatti, si sono registrate quasi 2.000 presenze di responsabili sicurezza ed esperti del settore. Il mondo degli utenti finali business ha pesato per oltre il 50% delle presenze, percentuale che supera il 70% se si considerano anche i consulenti, braccio destro di molte imprese che delegano alle società esperte la risoluzione di tematiche delicate come queste.

L’edizione 2009 ha visto la partecipazione di 140 tra relatori e docenti, che hanno animato decine di eventi: tra essi personaggi di rilievo internazionale, come Gadi Evron, Steve Santorelli e Piotr Oleszkiewicz, che hanno aperto in seduta plenaria le tre giornate milanesi, oltre naturalmente alle decine di relatori di altissimo profilo attivi nel nostro Paese: impossibile citarli tutti, ma per scorrere la lista basta guardare l’elenco degli speaker sul sito.
Fonte : https://www.securitysummit.it/


 

Firefox distribuisce malware sugli Add-On

La notizia non è delle migliori: Mozilla Foundation ha confermato che due plugin del più noto browser open source, in hosting presso addons.mozilla.org, conterrebbero codice malevolo in grado di rubare informazioni agli utenti che utilizzano Firefox su piattaforma Windows.

I due componenti aggiuntivi riguardano la versione 4.0 di Sothink Web Video Downloader e tutte le versioni del manager di download Master Filer.

Sono oltre 4.600 gli utenti potenzialmente vittime di questo attacco (Master Filer è stato scaricato oltre 600 volte, contro i 4.000 di Sothink Web Video Downloader). Mozilla, pertanto, raccomanda agli utenti di rimuovere i due add-ons ed eseguire una scansione antivirus (in quanto la semplice rimozione dei due componenti non elimina i Trojans).
Fonte : https://www.ihteam.net/blog/


File sharing: antipirata commette illecito

In quest’ultimo periodo uno dei servizi Internet più discussi in tutto il mondo è quello relativo al file sharing, argomento che ha creato un innumerevole numero di dibattiti, non per ultimo quello tra la Federazione Anti Pirateria Audio Visiva e la Telecom Italia. Il peer to peer, molto spesso considerato come un danno economico inferto all’industria dello spettacolo, molto spesso viene utilizzato come strumento attraverso il quale truffare o estorcere denaro agli utenti più sprovveduti o con scarse conoscenze informatiche.
Gli spammer di tutto il mondo infatti utilizzano tale sistema già da molto tempo, ma questa pessima abitudine ha attualmente contagiato anche gli stessi settori dell’antipirateria. Tale operazione sembrerebbe essere utilizzata anche dalla Fapav per una recente denuncia.
All’interno dell’Università della Georgia, un giovane analista della sicurezza delle reti ha scoperto un illecito download di una studentessa, attraverso BitTorrent. Il lavoro di controllo serviva proprio per evitare che non ci fossero infrazioni di copyright tramite la rete locale universitaria. Il giovane, invece di segnalare l’IP alle autorità, ha pensato bene di contattare la ragazza proponendo un pagamento in cambio del silenzio. La richiesta di denaro è stata però superiore alle disponibilità economiche della ragazza, costretta quindi a denunciarlo.
Per la prima volta è stato quindi il controllore ad essere preso in custodia dalla polizia dopo ovviamente essere stato licenziato. Tuttavia tale episodio non ha fatto cambiare idea ai più duri critici del p2p, tra i quali il più accanito risulta essere Elton John al quale si è recentemente unito Bono Vox.
Fonte :  http://www.bitcity.it


Attivazione di Windows 7 aggirata dagli hacker

Windows 7 richiede l'attivazione obbligatoria di ogni sua copia entro 30 giorni dall'installazione. Questo semplice metodo è uno dei principali stratagemmi antipirateria che Microsoft ha sviluppato per proteggere Windows 7 da copie illegittime.
Tuttavia è recentemente circolata la notizia che alcuni pirati sono riusciti ad aggirare l'attivazione, eliminando anche le notifiche all'interno dell'Os. Il procedimento degli hacker neutralizza le Windows 7 Activation Technologies (Wat) poste a salvaguardia del sistema operativo. Una volta effettuati gli step necessari, l'utente può continuare ad utilizzare Seven ad oltranza, anche senza averlo attivato.
Microsoft ha confermato di essere a conoscenza del fatto e di essere al lavoro su una soluzione. L'azienda ha anche messo in guardia gli utenti: spesso nelle copie pirata sono nascoste minacce per la sicurezza informatica, perciò è consigliabile utilizzare solo software originale.
Tuttavia, vista la diffusione di prodotti Microsoft illegalmente scaricati da internet, sembra che la gente preferisca rischiare.
Fonte : http://www.bitcity.it


Assalto hacker al sito di Brunetta

Durante la presentazione del nuovissimo portale www.riformabrunetta.it, il sito è stato oggetto di massicci attacchi hacker che lo hanno in pratica distrutto.

Al Ministro Renato Brunetta non è rimasto che chiudere l’incontro con i giornalisti.

I tecnici informatici del Ministero stanno ancora lavorando per ripristinare le funzionalità del sito, che fino a questo momento non è stato possibile rendere funzionante.
Fonte : http://www.agoravox.it


Aki minacciato dall'Esercito Informatico Iraniano


Un gruppo denominato ‘Iranian Cyber Army’ ha dichiarato, quest'oggi, attraverso una mail in lingua Farsi, di voler oscurare il sito della Aki-Adnkronos-International. Oltre all'Aki il messaggio vuole estendersi a tutti quei siti d'informazione che operano all'interno del progetto ‘soft’ che, secondo questo gruppo, ha come obiettivo ultimo il rovesciamento del governo Iraniano.
L'Iranian Cyber Army ha fatto notare come questa sua manovra di hackeraggio abbia, il mese scorso, ottenuto l'oscuramento del sito Mowjcamp e come il 10 dicembre scorso sia riuscito, per alcune ore, a bloccare il social network Twitter.

Questa minaccia all'Aki giunge a poche ore dall'inizio delle celebrazioni per il 31esimo anniversario della Rivoluzione Islamica in Iran e la decisione, da parte delle forze d'opposizione al governo, di scendere in piazza per manifestare il proprio dissenso, potrebbe provocare nuovi scontri.
Fonte: http://www.voceditalia.it


UE, revisione sistema di sicurezza informatica



Allarme sicurezza per la Commissione Europea. L'organismo ha deciso di revisionare le proprie linee guida sulla sicurezza informatica a seguito di cyber attacchi subiti dall'EU Emissions Trading System (Ets) la scorsa settimana.
Alcune e-mail false chiedevano agli utenti di registrarsi su siti malevoli, carpendo i loro codici di identificazione e le loro password.
A seguito di ciò sono state compiute alcune transazioni fraudolente, ma la Commissione ha tenuto a precisare che la sicurezza del Community Registry e del Community Independent Transaction Log non sono state compromesse.
L'attacco di phishing ha avuto luogo il 28 gennaio scorso. Allertata dall'Olanda e dalla Norvegia, la Commissione ha informato tutti gli stati membri chiedendo ad ognuno di adottare al più presto misure di sicurezza adeguate.
Fonte : http://www.bitcity.it


Un 47° cromosoma per scovare gli hacker


Oggi, ore 8 spaccate al fuso orario EST – nel primo pomeriggio per noi -, in una location di prim’ordine, un lussuoso hotel della Virginia, precisamente nella contea di Arlington, avrà luogo il “Cyber Genome Program Proposers’ Day”.

L’ente organizzatore non ha bisogno di molte presentazioni, si tratta della “Defense Advanced Research Projects Agency”, meglio nota come DARPA, la mamma dell’avo di Internet.

La sfida è quella di riuscire a formalizzare una serie di tecniche e realizzare tecnologie capaci di collezionare informazioni e peculiarità di ogni tipologia dei cosiddetti digital artifacts – in particolare i malware – ed individuare le possibili relazioni intercorrenti con i loro autori/distributori.

La ragione che ha indotto a valutare questa opportunità trova le sue radici nell’annoso e complesso problema di identificare con precisione chirurgica chi si cela dietro i vari sabotaggi che avvengono in Rete in danno dei suoi frequentatori.

Ad esempio, i recenti avvenimenti venuti alle cronache in questi ultimi tempi riguardo gli attacchi sferrati a scapito di Google e di altre aziende hi-tech statunitensi, hanno fatto sì che tutti gli esperti si siano trovati concordi nell’affermare che il punto di compromissione fosse posizionato nel territorio cinese e, data la raffinatezza dell’operazione, è stato anche ipotizzato che l’aggressione possa essere stata predisposta da una struttura militare.

Si tratta, però, solamente di congetture; rimane improponibile pensare di poter attribuire la paternità dell’evento ad una specifica organizzazione.

E’ questo che l’Agenzia governativa americana vorrebbe risolvere; riuscire a raccogliere il maggior numero di dati per poter realizzare un vero e proprio database di digital-DNA degli hacker.

Un archivio, che potrà essere stoccato su normali elaboratori o su un insieme di sistemi di cloud-computer e condiviso nel network che andrà a supportare il complicato lavoro degli investigatori di tutto il pianeta.

Potrebbe accadere in un prossimo futuro che una piccola porzione di codice rinvenuta sulla virtual-scena di un crimine informatico, analizzata dai moderni cyber-CSI e confrontata con le impronte digitali già catalogate, porterà a smascherare il furfante telematico.

Adesso sta alla DARPA ed ai suoi collaboratori tradurre in realtà quello che sembra essere, ad oggi, un progetto utopistico.
Fonte : http://www.datamanager.it