I migliori Antivirus per Android 2016

La diffusione degli smartphone e tablet è in continuo aumento ed a farla da padrona sono soprattutto i dispositivi funzionanti con sistema operativo Android.

Ciò è dovuto soprattutto alla notevole quantità di App disponibili per Android, molte delle quali disponibili gratuitamente, ed anche al fatto che si tratta di un sistema operativo open source e quindi a disposizione di tutti.

Il rovescio della medaglia è che questa sua diffusione ha portato anche allo sviluppo e al diffondersi di malware, spyware o trojan soprattutto per il fatto che molte persone utilizzano “canali non sicuri” per scaricare App Android.

Perciò è diventato quasi d’obbligo avere un’App Antivirus Android che serva come protezione contro eventuali minacce presenti sul proprio dispositivo o sulle App che si installano.

 Le offerte sono molte, in questo articolo vediamo la lista comparativa delle App Antivirus Android più diffuse, circa una ventina di Antivirus Android, testati e comparati da AV-TEST – The Independent IT-Security Institute, in modo da avere l’idea su quale sia la migliore App Antivirus per Android che offra una protezione più solida.

Le valutazione delle App Antivirus Android seguono i criteri seguenti:

• Certificazione
  Per ricevere la certificazione AV-TEST, occorre che l’App raggiunga un punteggio pari ad almeno 8.0 punti come media tra i punteggi ottenuti. La media è calcolata tra il punteggio ottenuto nella sezione “Protezione”, che include i risultati riguardanti il rilevamento di malware (combinati tra quelli on-demand e on-access) e tra il punteggio ottenuto nella sezione “Usabilità”, che include i risultati ottenuti sulle prestazione ed i falsi positivi, un punto extra viene aggiunto in caso siano presenti funzionalità aggiuntive.
• Punteggio Protezione
  Riguarda il punteggio assegnato in base al rilevamento di malware.
  Il punteggio assegnabile più elevato è di 6.0 punti. Il valore associato ad un rilevamento medio è di 3.5 punti. Il valore più basso è di 0.0 punti.
• Punteggio Usabilità
  Il punteggio riguardante l’usabilità dell’App Antivirus Android è composto dai punteggi delle prestazioni e quello dei falsi positivi.
  Le prestazioni vengono calcolate partendo da 6.0 e togliendo 2 punti per ogni impatto che arreca l’App Antivirus Android sulle prestazioni del dispositivo. Sono prese in considerazione come motivazioni che arrecano impatto negativo per le prestazioni le seguenti: “impatto sulla durata dela batteria”, “utilizzo di traffico dati elevato” e “rallentamento”.
  Il punteggio per i falsi positivi parte sempre da 6.0 punti togliendo 1 punto per ciascun falso positivo rilevato.
  Il punteggio sull’usabilità è quindi la somma dei punteggi sulle prestazioni e falsi positivi diviso due.
• Punto extra per Funzionalità Aggiuntive
  Se l’App Antivirus Android offre almeno due funzionalità di sicurezza aggiuntive oltre a quella per la protezione contro i malware, viene attribuito un punto aggiuntivo.
  Le funzionalità aggiuntive possono includere per esempio: Anti-Theft (protezione contro il furto), Safe Browsing (protezione durante la navigazione su internet), Call Blocker(per bloccare alcune chiamate), Message Filtering (filtrare i messaggi), Parental Control (per evitare che il dispositivo venga usato impropriamente dai bambini), Backup (salvataggio dei dati) e Data Encryption (Criptaggio dei dati).

Tutte le App Antivirus Android testate sono state approvate per la certificazione AV-TEST ad eccezione di White Gate Antivirus 1.0.

I migliori Antivirus Android

1. Dal test si sono posizionati al primo posto a parimerito ben tredici delle App Antivirus Android testate:
   360 Mobile Security 1.0, AhnLab v3 Mobile 2.1, Antiy AVL 2.3, Avast Mobile Security 3.0, Avira Free Android Security 3.5, Bitdefender Mobile Security 2.19,Cheetahmobile Clean Master 5.6, Cheetahmobile CM Security 1.5,Cheetahmobile Kingsoft Mobile Security 3.3, Eset Mobile Security & Antivirus 3.0, G-Data Internet Security 25.3, Intel Security Mobile Security 4.1, Quick Heal Total Security 2.00, che ottengono il punteggio massimo di 6 su 6 sia per quanto riguarda la protezione che per l’usabilità.
2. In seconda posizione troviamo a parimerito F-Secure Mobile Security 9.2 e Trend Micro Mobile Security 5.0 che hanno ottenuto come punteggio di protezione 6 su 6 e come punteggio di usabilità 5.5 su 6.
3. In terza posizione c’è Kaspersky Internet Security 11.4 che ottiene 6 per protezione e 5 per usabilità.
4. AVG Antivirus Free 4.1 e Norton Mobile Security 3.8 ottengono 6 per protezione e 4 per usabilità.
5. Le App Antivirus Android restanti ottengono un punteggio protezione uguale o inferiore a 6 in protezione.
6. Non passa il test White Gate Antivirus 1.0 che ha ottenuto il punteggio di protezione 0.

Se intendete approfondire i valori dei vari test potete trovare ulteriori dettagli sulla pagina ufficiale dei test di AV-Test.

Fonte: Giardiniblog

Sicurezza d’autunno, 10 brividi

Abbiamo raccolto 10 tra minacce, vulnerabilità, segnalazioni (con qualche consiglio) cui prestare attenzione, selezionate dal nostro team di esperti in relazione alla loro diffusione negli ultimi giorni. In alcuni casi, si tratta semplicemente di curiosità raccolte nel cyberspazio, in grado di far riflettere su come il problema del crimine informatico non riguardi oramai solo privati  e aziende, ma sia un sistema utilizzato dai governi per mettere in difficoltà i Paesi nemici, oppure ancora, come basti poco per “suggestionare” la società e sfruttare le sue debolezze. Tra l’altro, quando alle vulnerabilità si rimedia con patch non del tutto adeguate, il cybercrime è talmente evoluto da essere in grado di sfruttare ulteriormente queste lacune per sferrare altri attacchi. Pensate poi nell’era di Internet of Things  e delle tecnologie M2M come potrebbero risultare esposti anche gli oggetti che utilizziamo tutti i giorni. Avete già i brividi? Ecco quindi le novità più importanti selezionate per voi.

1. Il virus Ebola riesce a far vittime non solo reali, ma anche nel mondo dei cibernauti. Dovevamo aspettarcelo. Più fonti sul Web segnalano l’ondata di spam (per ora non endemica) con finti suggerimenti per la sicurezza sanitaria che sarebbero  inviati dall’OMS (e ovviamente non lo sono). Le email contengono il trojan DarkComet Rat (questo sì per nulla nuovo). Una volta installato, il vostro computer diventa vulnerabile esponendo i dati in transito per esempio attraverso webcam e microfoni. Il buon senso vi sia sempre di aiuto, l’OMS non invia i consigli sanitari via email!

2. Solo questo martedì, il patch day di Microsoft prevedeva per i suoi sistemi la patch MS114-060, che riguardava il sistema a oggetti OLE. Questa patch non si è rivelata abbastanza robusta tanto che a distanza di poche ore la vulnerabilità è stata sfruttata ancora e sono stati segnalati attacchi contro Taiwan da parte di hacker cinesi. Ancora prima una vulnerabilità simile era già stata sfruttata dalla criminalità informatica russa –  che fa riferimento al Sandworm Team – per attaccare, tra gli altri, anche alcuni organismi della UE.

3. Android con la sua diffusione ha meritato tutta l’attenzione possibile e immaginabile degli hacker. Pochi giorni fa è emersa una vulnerabilità che permette di inserire malware nelle immagini. La vulnerabilità riguarda Android 4.4.2. L’attacco dimostrativo, AngeCryption, ha evidenziato come sia possibile nascondere un APK (Android Package) infetto dietro un’immagine sfruttando la crittografia AES, procedura per cui identificare l’immagine infetta diventa decisamente laborioso. Il consiglio di Google, è sempre il medesimo: utilizzare esclusivamente app da Play store. Non è detto tra l’altro che la patch, quando sarà individuata quella definitiva, sia disponibile anche per tutte le versioni precedenti di Android.

4. Ottobre è stato il mese europeo della sicurezza informatica (ECSM). In Italia se ne sono occupati Clusit, Enisa (Agenzia europea per la sicurezza delle reti e dell’informazione), ma anche il nostro Ministero dello sviluppo economico. Perché questa attenzione? Perché la sicurezza informatica non è un problema solo dei privati cittadini, e delle grandi aziende ma è un problema per tutto il tessuto economico nazionale. Sotto attacco oggi ci sono anche le PMI italiane. Si stima che il costo medio di un singolo attacco a una nostra azienda sia passato dai 50mila agli 80mila euro. Nel 2014 sono aumentati i cyberattacchi contro le istituzioni governativi, i politici e i servizi aziendali. Ma sono aumentati anche gli attacchi contro cloud, social network e servizi in mobilità. Clusit denuncia che il 60% degli attacchi in Rete concerne il cybercrime a differenza del 60% degli attacchi in Rete concerne il cybercrime a differenza del 36% preso in esame nel 2011

  

5. Virtualizzare che passione. Malware, virus, attacchi informatici, con la virtualizzazione generalmente hanno vita più difficile, perché questo? Perché lavorare su un desktop virtualizzato significa spesso avere maggiori possibilità di isolare sia in entrata che in uscita malware e infezioni. Il problema però è spesso dati dai dispositivi mobile. In questo ambito la cultura della virtualizzazione è solo agli inizi, sono pochissime le nostre PMI aziende che dispongono di sistemi di sicurezza ad hoc per i dispositivi mobile. Gli attacchi più pericolosi arrivano, e arriveranno presto ancora di più da questo fronte.

6. Ricorderemo questi giorni perché con l’arrivo dei nuovi smartphone di Apple mezzo mondo ha preso coscienza dei passi in avanti nei sistemi di pagamento mobile. Non li ha inventati Apple i sistemi di pagamento mobile, ma come spesso accade Cupertino, con il suo Apple Pay ha contribuito a rendere popolare le nuove possibilità di pagamento ed è servito ad affinare e a rendere semplice un concetto importante. Le transazioni monetarie effettuate contactless tramite smartphone (qualsiasi OS) saranno sempre più al centro dell’attenzione degli hacker, vedremo cosa succederà, intanto tutti si muovono sull’argomento con i piedi di piombo.

7. Sportelli bancomat svuotati anche senza la scheda. Intanto, per rimanere con i piedi per terra, in questi giorni, ricordiamo che chi con il malware ci sa davvero fare è riuscito a svuotare sportelli bancomat, anche senza la scheda. In questo caso è stato sfruttato un trojan Tyupkin, il trojan è da innestare nel computer che gestisce lo sportello bancomat ed è questa la parte più complessa del piano criminale. Al primo riavvio, l’attaccante ne ha potuto prendere il pieno controllo e praticamente far fare allo sportello quello che voleva, senza che il sistema bancario registrasse alcunché. Ovviamente roba per esperti, che si esercitavano – guarda un po’ – proprio nel week end. Se ne è occupata l’Interpol.

8. Per un Android che certo in termini di sicurezza lascia a desiderare, con le buone trimestrali, anche Apple colleziona però un’attenzione maggiore da parte degli hacker. E’ un dato di fatto che alcune botnet estremamente attive possano contare tra i computer ‘zoombie’ anche MacOs. In america ne hanno individuati 17mila con Mac.BackDoor.iWorm a bordo. Sembra che il sistema di controllo sfrutti Reddit come applicazione dove postare le istruzioni. E per non farsi mancare nulla ecco anche gli attacchi ad iCloud, l’ultimo è di pochissimi giorni fa. Ne parliamo su ITespresso.it.

9. Poodle. Non ci sono bastati Heartbleed e ShellShock, anzi, non li avevamo ancora digeriti ed ecco il nuovo terribile bug. In italiano il nome suona quasi amichevole, perché significa barboncino. Purtroppo si tratta di un brutto affare e il nome è un acronimo: Padding Oracle On Downgraded Legaxy Encryption, il baco riguarda la versione 3 del protocollo SSL, ancora implementato da praticamente tutti i browser, come sistema ‘di scorta’. Poodle consente un attacco di tipo man in the middle, per cui si riescono a decifrare i cookie e magari ottenere informazioni sensibili dell’utente. L’attaccante deve essere nella stessa rete dell’attaccato perché tutto sia più semplice. WiFi pubblico? Ve la siete cercata.

10. Brividi di sicurezza? Fate bene! Il primo passo per non rimanere vittime è la consapevolezza. Quindi come primo punto usare il buonsenso, password complesse, e non fare mai clic in modo affrettato. Con questi consigli già sareste a metà dell’opera. Poi, certo, la protezione di un buon antivirus, e ancora meglio,iniziate a informarvi sull’autenticazione a due fattori che, almeno per gli ambiti più delicati nel financial e sulle comunicazioni personali è già disponibile e può tutelare buona parte delle vostre operazioni. Quando navigate però occhi sempre ben aperti. E non credete mai a chi vi dice con un banner che il vostro computer è infetto. Lasciatelo stabilire al vostro antivirus.

Fonte: Techweekeurope - Autore: Mario De Ascentiis

Ogni volta che leggi una notizia che tratta dell’arresto di un cyber-criminale, puoi stare certo che la maggior parte del lavoro di investigazione si può attribuire ai ricercatori anti-malware sparpagliati in giro per il mondo.

Sia che si tratti dello smantellamento di una botnet spam, dell’esplosione di una gang Koobface o dell’arresto dei cyber-criminali responsabilli del trojan  bancario Zeus, le forze dell’ordine di tutto il mondo chiedono aiuto ai migliori ricercatori in materia di sicurezza IT (in particolare agli esperti specializzati in malware). La loro collaborazione è preziosa per la buona riuscita delle indagini e per tintracciare le prove che possono eventualmente portare ad un arresto.

Jeff Williams sa quanto è difficile riconoscere un attacco informatico e realizzare un indagine. Dopo aver lavorato come program manager presso il Microsoft Protection Center (MMPC) e essere passato alla Dell SecureWorks, Williams ha partecipato allo smantellamento di varie reti botnet, incluso la virulenta Waledac e le operazioni Zeus e Kelihos.

In un’intervista, Williamas ha spiegato che le indagini iniziano quasi sempre in un laboratorio anti-malware. “A volte sono le forze dell’ordine ad aprire le indagini. Altre volte l’indagine nasce nei laboratori, nel momento in cui stiamo lavorando su di un nuovo malware. Anche quando si tratta di un’indagine, le forze dell’ordine ci contattano per avere informazioni approfondite sul malware. In Microsoft, la priorità era proteggere i clienti; il nostro lavoro era capire le proporzioni del problema, l’impatto sugli utenti di Windows e offrire una maggiore protezione”, spiega Williams.

E’ un lavoro multi-sfaccettato. “I ragazzi del laboratorio fanno il lavoro sporco. Verificano che il malware esista, raccolgono i campioni (questa è la parte più consistente del lavoro) e poi procedono con il processo di ingegneria inversa” afferma Williams. Questo lavoro include algoritmi complessi di ingegneria inversa capaci di rompere il protocollo di comunicazione che il malware utilizza per comunicare con l’hacker. “Vogliamo sapere come si controllano i binari attraverso l’infrastruttura di controllo e comando creata dall’hacker; dove sono i nodi e che comandi usano. Tutto questo lavoro è condotto in un laboratorio anti-malware. E’ un lavoro molto importante.” Solo dopo che il laboratorio ha raggiunto una comprensione completa della struttura interna del malware e delle contromisure tecniche da adottare (sia attraverso un aggiornamento delle definizioni virus, che con il miglioramento delle tecnologie di difesa), le forze dell’ordine aprono l’azione legale. “Qualche volta, dobbiamo presentarci in tribunale e lavorare a stretto contatto con le forze dell’ordine”, spiega Williams.

Costin Raiu, responsabile del team Global Research & Analysis presso Kaspersky Lab, è d’accordo sul fatto che le indagini sul cybercrimine possono essere molto ‘complicate’. Il team di Raiu ha lavorato fianco a fianco con Microsoft, CrowdStrike, OpenDNS e altre entità rappresentative dell’industria della sicurezza IT per gestire lo smantellamento di un’operazione di  botnet. Secondo il ricercatore si tratta di un lavoro molto complesso “un lavoro multi-sfaccettato e intenso”. “Direi che la competenza dei ricercatori è fondamentale e può fare la differenza nelle indagini; può condurre a un arresto o a un criminale in fuga”, afferma Raiu. Oltre all’ingegneria inversa e allo scambio di informazioni con le forze dell’ordine, i ricercatori di sicurezza lavorano spesso a stretto contatto con il CERT (Computer Emergency Response Team) nel momento del sequestro o dello smantellamento dei server hackerati o dell’analisi del server alla ricerca di prove e informazioni utili per il processo. “Il crimine cibernetico è un campo incredibile e complicato, multi-sfaccettato. Ecco perché ai ricercatori viene spesso chiesto di offrire il loro aiuto in qualità di esperti durante i processi” spiega Raiu. I laboratori malware esperti in cyber-sicurezza ricorrono spesso all’utilizzo di Open Source INTelligence o OSINT. Questa parte dell’indagine è esaustiva e molto spesso comporta il rastrellamento della rete alla ricerca di qualsiasi indizio che possa portare al criminale o all’operazione malware. “Nel corso di una indagine, sono molti gli indizi che possono portarci sulle tracce dell’identità di un cyber-criminale. Alcuni campioni di codici possono includere un nickname o un certo stile di programmazione. Questo genere di informazioni possono essere usate  come punto di partenza nel processo che porta all’arresto di un criminale” spiega Williams di Dell SecureWorks.

I ricercatori usano un nickname o un indizio estrapolato da un pezzo di codice o un indirizzo e-mail da un nome di dominio registrato per setacciare le community on-line, come Facebook, Twitter, YouTube, Wikis, blog o qualsiasi altro tipo di contenuto generato dall’utente in cui il criminale possa aver utilizzaro quel nickname o indirizzo e-mail. Nel caso di Koobface, il team di sicurezza di Facebook ha condotto una operazione di open source intelligence in collaborazione con la community dei ricercatori di sicurezza IT; insieme hanno reso pubblici i nomi, le foto e le identità delle persone che ritengono responsabili dell’attacco diffusosi in questo network. Questa informazione ha raggiunto i mezzi di comunicazione come parte di una operazione di denuncia. “La maggior parte del lavoro è tecnico e riguarda la protezione dei clienti, ma le informazioni vengono poi condivise con le forze dell’ordine e sono molto rilevanti per le indagini. Quando si giunge a un arresto o si va in tribunale, la maggior parte del lavoro (potete starne certi)  è stato svolto nei laboratori di ricerca” aggiunge Williams. “L’attribuzione del reato e dell’arresto non è sempre parte delle operazioni iniaziali. Tuttavia quando un laboratorio malware scopre qualcosa di importante, i risultati della ricerca vengono passati alle forze dell’ordine e ciò può condurre ad un arresto o a una azione legale” aggiunge Williams. Williams ripete più volte che il lavoro della community di ricerca deve essere di qualità perché le informazioni devono essere eventualmente presentate in tribunale.

I ricercatori che si occupano di cyber-sicurezza si lamentano spesso della lentezza dei tempi legali, sopratutto quando si tratta di attacchi virulenti come il trojan bancario o le reti botnet che portano a frodi banacarie. La lentezza del sistema giudiziario ha spinto Facebook a  pubblicare i dettagli dell’indagine Koobface prima della fine del processo. Willliams sottolinea però che le cose stanno migliorando.

“E’ assolutamente necessario migliore il sistema penale. I criminali sanno che leggi non sono severe e cosa devono fare per evitare di essere beccati. Comunque sia, io credo che le forze dell’ordine ogni giorno imparano a gestire meglio questi casi. Siamo testimoni di casi dove sono state applicate leggi che non hanno nulla a che vedere con il cyber-crimine”, aggiunge l’esperto riferendosi al caso Zotob, processo in cui alcuni criminali informatici sono stati perseguiti per riciclaggio di denaro, evasione fiscale e frode finanziaria in base alle leggi vigenti in queste materie.

“Si tratta di una evoluzione naturale; le tecniche di difesa e di demolizione della rete del crimine informatico non possono che migliorare. Se la rete del cyber-crimine non verrà smantellata, i delinquenti continueranno a rubare soldi e questi soldi verrano reinvestiti in altri attacchi. Tuttavia, io credo che siamo giunti a un punto in cui le competenze tecnologiche e la cooperazione con le forze dell’ordine possono fare la diffenza nella battaglia contro il cyber-crimine”, conclude Williams.

Fonte: Karspersky Lab

 

Il virus c’è, ma non è nel Qr code

Su Twitter qualche settimana fa è iniziato a girare l’allarme: in giro ci sarebbe un Qr code infetto. In Rete ne hanno parlato TechCrunch, eConsultancy, Mashable, SuperMoneyNews, ma anche quotidiani come Repubblica. Cosa c’è di vero?
Vediamo le premesse: qualche tempo fa Karpersky Lab (produttore di software antivirus) ha riportato l’attacco di un trojan in un’applicazione che sfruttava una falla di Android. Il Trojan inviava SMS ad un numero premium Russo a colpi di alcuni dollari per messaggio. Il link per scaricare la app era “nascosto” in un Qr code. Scrivo “nascosto” perché come uomini non riusciamo a leggere il contenuto del codice se non tramite uno smartphone. Prontamente Google ha rimosso app dallo store. Il trojan poteva funzionare solo in Russia, in Italia ad esempio gli operatori hanno un controllo pressoché totale di queste numerazioni, non permettendo a chiunque di poterle utilizzare per truffe simili. Ma i dubbi sono rimasti. Per questo un po’ di chiarezza è doverosa.

C’è un virus nei Qr code?
I Qr code non possono contenere alcun virus. Un virus è un pezzo di codice nascosto che gira sullo smartphone (ad esempio in una app). Lo sottolineo: il Qr code in sé non può contenere alcun virus e, anche se fosse possibile, sarebbe di dimensioni spropositate tali da impedirne la lettura. In Qr code potrebbe al limite contenere un collegamento esterno, in maniera non tanto diversa da quello che si potrebbe trovare in comune messaggio di posta elettronica o su una pagina web. Nella peggiore delle ipotesi il Qr code una volta letto potrebbe portare a suggerire il download di un’applicazione che potrebbe essere appunto un Malware e pertanto la scelta di scaricare lo stesso ricade sul senso critico dell’utente nel compiere quella determinata azione valutando l’origine del Qr code, in maniera analoga a quanto farebbe leggendo una email o visitando un sito web. Il problema è nello scaricare l’applicazione, non nel Qr code stesso.

Quali sono i rischi possono insorgere dall’uso dei Qr code?
I rischi sono gli stessi che navigare su internet e installare applicazioni senza verificarne la provenienza. Viene sempre chiesta una vostra autorizzazione, siete voi ad avere il controllo. Basta prestare un poco di attenzione a quello che si fa, e nel dubbio documentarsi sulla provenienza dell’applicazione.

Nella percentuale di vulnerabilità, c’è differenza tra mondo Android e mondo iOs?
Il virus non esiste su iPhone: Apple verifica una per una le applicazioni del suo store con un occhio particolare alla sicurezza. Non è quindi possibile scaricare una app contenente un virus che ad esempio invia SMS senza il nostro consenso. In questo senso l’imbattersi in tali problematiche disponendo di un iPhone è quasi impossibile, proprio in virtù del fatto che vi è un controllo “umano” a monte di tutto il processo di rilascio delle app.
Per Android il discorso è differente: Google non controlla tutte le apps prima di pubblicarle sullo store. Ma quando si installa una app l’utente viene sempre avvisato da una serie di “permission warnings” che permettono di capire che tipo di attività vogliamo autorizzare (uso del telefono, SMS, Reboot e via dicendo) scaricando le responsabilità sull’utente finale.

Quindi il virus non è nel Qr code, ma al massimo nella app. Come difendersi?
Possiamo difenderci molto bene semplicemente prestando attenzione a non accettare download e installer dagli sconosciuti: se sto leggendo un qr code che dovrebbe portarmi ad una videoricetta, e mi compare la richiesta di installare un applicazione che chiede il controllo degli SMS o delle chiamate, mi devo insospettire e fermare. Esistono comunque in circolazione antivirus per dispositivi Android per proteggere anche gli utenti più ignari. Detto questo, leggere i Qr code è assolutamente sicuro.

Fonte:  Thebitzloft.com - Autore: Pierluigi Cremonesi

Un virus per pc inchioda Bisignani lo Stato diventa hacker a fin di bene

L'inchiesta della procura di Napoli sulla P4 ha utilizzato un software per trasformare il pc di Bisignani in una microspia. In grado di intercettare anche le telefonate su Skype. Così le tecniche dei pirati informatici, spesso usate per spionaggio e guerre cibernetiche, in Italia diventano uno strumento in mano agli inquirenti

La chiave dell'inchiesta sulla P4 sta anche in qualche byte di codice, in un programma per computer - un virus si potrebbe dire - che i pm Henry John Woodcock e Francesco Curcio sono riusciti a installare nel portatile di Luigi Bisignani, trasformandolo di fatto in una cimice. Un esempio di una tecnologia 'da hacker' utilizzata per fini nobili: come un Robin Hood che intercetta gli indagati per aiutare la giustizia. Il faccendiere teneva le fila del suo governo-ombra ¹ in un piccolo bunker. Impossibile entrare. Inoltre sapeva di essere intercettato: infatti cambiava spesso schede telefoniche, per rendere la vita difficile agli investigatori. E telefonava attraverso il web, utilizzando software come Skype nella convinzione - più che diffusa - che queste chiamate fossero sicure. Errore: perché se è vero che la tecnologia aiuta tutti, anche le forze dell'ordine possono utilizzarla a proprio vantaggio. Tecnicamente si chiamano trojan, e prendono il nome dal famoso cavallo omerico: sono dei programmi che si installano all'insaputa del proprietario del computer e agiscono in silenzio, senza farsi notare, ma con risultati spesso distruttivi. I trojan classici sono utilizzati dagli hacker per rubare dati personali agli utenti (come i numeri delle carte di credito) o per inviare e-mail di spam, o ancora per guidare da lontano un computer infetto. La differenza è che 'Querela' - questo il nome del file installato sul pc di Bisignani - è un programma sviluppato interamente dalle forze dell'ordine italiane e la sua funzione è quella di trasformare un pc in una cimice: prendendo il controllo della scheda audio, può catturare attraverso il microfono tutto quello che succede nella stanza e inviarlo agli investigatori. Non solo: registrando direttamente dalla scheda audio, può aggirare le difficoltà di intercettazione dei software per le chiamate Voip (voice over internet protocol, come Skype). C'è quindi anche uno spirito piratesco - ma legalizzato - in 'Querela', un software che si sta rivelando fondamentale nelle inchieste contro la criminalità organizzata. A infettare il computer di Bisignani è stata, come succede a tutti prima o poi, una semplice mail: all'apparenza un messaggio in arrivo da un social network (come Facebook o Linkedin) che però porta l'utente su un sito creato ad hoc che installa il software-spia. 'Querela' è quindi un esempio positivo di quello che uno Stato può fare con la tecnologia. Ma è un caso limite. Se, grazie allo sviluppo di internet, la vita è migliorata (o semplicemente cambiata, per chi preferisce evitare giudizi di valore) si sono anche moltiplicate le occasioni per hacker e cybercriminali di danneggiare gli utenti e trarne vantaggio. E sempre più la tecnologia è diventata anche strumento di competizione internazionale e di guerra 'fredda'. È ormai finito il tempo delle spie classiche, quelle stile James Bond o quelle in impermeabile che si incontrano in vicoli bui: la spia del nuovo millennio è un geniale ventenne seduto dietro uno schermo, dall'altra parte del mondo, che cerca di entrare nelle reti protette di governi e grandi aziende. Il caso Aurora, l'attacco da parte di hacker cinesi ai server di Google nel 2009, o casi più recenti (sempre Cina contro Google ²) hanno fatto raffreddare i rapporti tra Washington e Pechino, per i sospetti sull'origine governativa di queste aggressioni. Solo una settimana fa, l'ex consigliere per la sicurezza nazionale Usa Richard Clarke ha lanciato un ulteriore allarme: "In privato, i funzionari statunitensi ammettono che il governo non ha alcuna strategia per fermare l'assalto cibernetico della Cina". E ha aggiunto che "Pechino sta rubando grandi quantità di informazioni dagli Stati Uniti". Non solo Cina, in ogni caso: è emblematica la storia di Stuxnet, il primo worm creato per infettare sistemi industriali. Gli esperti lo definiscono come "il virus più potente mai visto" e finora è stata, per scelta dei suoi creatori, un'arma senza scopo: ha infettato milioni di computer senza fare danni, una semplice dimostrazione di forza. È l'equivalente di avere una pistola puntata alla testa: fa paura anche se nessuno ha premuto il grilletto. E fino a quando non succederà, non si potrà conoscere l'effettiva potenza distruttiva di questo virus. Chi l'abbia creato è un mistero, ma qualche indizio c'è: la maggior parte dei computer infettati è in Iran ³, per questo si è ipotizzato che potesse essere un'arma per fermare il programma atomico di Teheran. Quando uno Stato si fa hacker, il confine tra legittima difesa, spionaggio, guerra informatica o criminalità è molto labile. Fatto è che non tutti possono contare su queste tecnologie: "Sono in pochi i Paesi con ingegneri di livello tale da sfruttare questi sistemi", ha spiegato Eugene Kaspersky ⁴, esperto di sicurezza e creatore dell'omonimo antivirus, parlando dei rischi del cyberterrorismo: "Ci sono gli Stati Uniti, i Paesi europei, Israele, la Russia, la Cina e l'India. Ma sono anche conoscenze che si possono acquistare da veri hacker, interessati solo al guadagno". Non serve più la fedeltà delle vecchie spie: per mettere in ginocchio un avversario basta pagare. Al di fuori di questa zona grigia ricade 'Querela', lo strumento giudiziario più avanzato - e assolutamente legale - per il contrasto alla criminalità. Un semplice software, una lunga sequenza di 0 e 1, che oggi segna un punto a suo favore grazie ai risultati nell'inchiesta su Luigi Bisignani e Alfonso Papa.

Fonte: Repubblica - Autore: Alessio Sgherza

Bin Laden, per i cyber-criminali è un'esca sul web immagini false per rubare dati

Dietro presunte immagini di Osama, siti malevoli pronti a infettare i computer degli utenti. Ma anche pagine Facebook con video inesistenti di torture al leader di Al Quaeda, realizzate per trafugare dati. Sono solo le ultime trovate di criminali informatici, capaci di sfruttare ogni tema di cronaca per ottenere informazioni e accessi

Bin Laden non è più una minaccia, ma la sua immagine sì, almeno su internet. Sul web sono attivi siti malevoli che sostengono di possedere la ricercatissima ultima foto dello sceicco del terrore: in realtà si tratta di esche, realizzate per attirare utenti, rubare i loro dati personali e ottenere accesso ai pc. Secondo Fabio Assolini, esperto di sicurezza IT di Kaspersky, sono già presenti sul web delle immagini, reperibili con una semplice ricerca con Google, che una volta cliccate rimandono a domini maligni. I browser di ultima generazione sono in grado di avvertire l'utente dell'inaffidabilità di queste pagine, ma i cybercriminali sono sempre un passo avanti. Per l'utente l'unico modo di proteggersi adeguatamente resta informarsi. Attenzione quindi ai siti non noti e a quelli dal comportamento sospetto.

Attenzione anche ai social network. E' sempre Kaspersky a lanciare l'allarame Bin Laden anche sull reti sociali, in particolare Facebook: sarebbe presente sul network un'inserzione sponsorizzata, che rimanda a un presunto "video delle torture". Cliccando sul link truffaldino ci si ritrova però su una pagina in cui si è invitati a lasciare un messaggio per avere maggiori informazioni. Da lì in poi, i dati di accesso dell'utente sono in pericolo. E' opportuno evitare di cliccare sul link a priori, anche perché al momento, non esiste nessun "video delle torture".

Senza scrupoli. Anche la recente scomparsa di Liz Taylor e la tragedia dello tsunami in Giappone sono state utilizzate da malintenzionati come "cavalli di Troia" per accedere a dati e computer. Una serie di link collegati a presunte "ultime notizie dal Giappone" in realtà nascondeva attacchi ai pc degli utenti. Da non considerare attendibili neanche siti web o "spam nigeriano" che richiedevano l'invio di soldi per far fronte alla distruzione del paese nipponico.

Fonte: Repubblica.it

Il cyber-criminale è un animale sociale

L’Istr (Internet Security Threat Report) è uno di quei documenti che attendiamo ogni anno con interesse ma anche un pizzico di inquietudine. Il report redatto ogni anno da Symantec è infatti una sorta di grande censimento sul cyber-crimine che fotografia il livello di rischio a cui tutti noi – utenti più o meno smaliziati - siamo esposti. Ebbene, dal bollettino rilasciato quest’anno non ci arrivano purtroppo buone notizie. Gli esperti della società americana, infatti, ci fanno sapere che lo scorso anno sono state registrate 286 milioni nuove minacce e che il numero di attacchi web è cresciuto del 93%. All’Italia due primati poco invidiabili: il nostro Paese è al terzo posto in Europa (dietro Regno Unito e Germania) nella classifica delle attività “malevole” e al secondo per numero di bot, ovvero di PC infetti sfruttati dagli hacker come ponte per inviare spam o propagare altri attacchi informatici. Numeri allarmanti che nascondono un mondo sommerso ma comunque guidato da alcune macrotendenze. Fra queste spicca senza dubbio il fenomeno degli attacchi mirati, che sta portando i pirati informatici a sfruttare le vulnerabilità zero-day (vedi Hydraq e Stuxnet) per introdursi nei sistemi informatici di società quotate, multinazionali, agenzie governative ma anche aziende di piccole emedie dimensioni. L’obiettivo, nella stragrande maggioranza dei casi è quello di sottrarre la proprietà intellettuale o provocare danni materiali. In crescita anche l’utilizzo dei cosiddetti toolkit, programmi software che possono essere utilizzati sia da principianti che da esperti per semplificare la distribuzione di attacchi di vaste proporzioni. Lo scorso anno, ci fa sapere Symantec, i due terzi di tutte le minacce web-based registrate sono arrivati proprio da attacchi lanciati con kit di questo tipo soprattutto verso i sistemi Java, responsabili del 17% di tutte le vulnerabilità dei browser plug-in. Un altro grande filone su cui vale la pena riflettere è quello che riguarda il mondo dei social network. Le problematiche in questo caso non si riferiscono al numero di malware, tutto sommato ancora piuttosto modesto, quanto piuttosto alle caratteristiche virali del mezzo, che di fatto vanno ad amplificare gli effetti delle minacce. Nell’era di Facebook, lo sappiamo bene, basta un link per fare danni. E non è un caso che lo scorso anno i criminali informatici abbiano postato milioni di collegamenti farlocchi per propagare malware e tentativi di phishing. Molti di questi attacchi sfruttano i news feed per aumentare la scala del contagio: i social network, in pratica, distribuiscono in automatico il link ai news feed degli amici delle vittime, inoltrandolo a centinaia o migliaia di utenti in pochi minuti. Circa il 65% dei link dannosi, spiega Symantec, provengono da Url abbreviate. Di questi, il 73% ha ricevuto 11 o più click e il 33% tra gli 11 e i 50. Non si può trascurare, infine, tutto ciò che sta accadendo sul versante mobile, ovvero su quei dispositivi – vedi smartphone e tablet – che hanno ormai affiancato i PC nelle nostre attività digitali. Sui device di questo tipo, ci dice l’ultimo Istr, si registra un aumento delle minacce del 43% con 163 nuove vulnerabilità. La maggior parte di queste sfrutta applicazioni all’apparenza legittime come veri e propri cavalli di Troia (Trojan Horse) per propagare codice malevolo. Un fenomeno che sta allarmando soprattutto le aziende: quasi la metà di esse, sostiene uno studio Mocana, non si reputa infatti attrezzata per gestire i rischi di questo tipo.

Fonte: Blog.panorama.it

Rapporto IBM X-Force: attacchi alla sicurezza più mirati e sofisticati

IBM ha pubblicato i risultati del suo rapporto annuale X-Force 2010 Trend and Risk Report, in cui si evidenzia come, nello scorso anno, le organizzazioni pubbliche e private di tutto il mondo abbiano affrontato minacce sempre più sofisticate e personalizzate. Sulla base delle informazioni raccolte attraverso la ricerca di divulgazioni pubbliche e il monitoraggio e l’analisi giornalieri di più di 150.000 eventi di sicurezza al secondo, queste sono state le osservazioni chiave del team X-Force Research:

• Più di 8.000 nuove vulnerabilità, un aumento del 27 percento rispetto al 2009. Anche le comunicazioni pubbliche di exploit sono salite del 21 percento dal 2009 al 2010. Questi dati indicano un panorama delle minacce in espansione, nel quale attacchi sofisticati vengono lanciati verso ambienti di calcolo sempre più complessi.

• La crescita storicamente elevata del volume di spam si è stabilizzata con la fine dell’anno, a indicazione del fatto che gli spammer vedono meno valore nell’aumento del volume di spam, e si focalizzano invece sul bypass dei filtri.

• Anche se nel complesso il numero di attacchi di phishing è stato significativamente minore rispetto agli anni precedenti, lo “spear phishing”, una tecnica di attacco più mirata, ha acquistato maggiore importanza nel 2010. Ciò ad indicare che i cyber-criminali si sono concentrati maggiormente sulla qualità degli attacchi, piuttosto che sulla quantità.

• Man mano che aumenta l’adozione di smart phone e altri dispositivi mobili da parte degli utenti finali, i reparti di sicurezza IT hanno difficoltà a stabilire le giuste modalita’ di inserimento in sicurezza di questi dispositivi nelle reti aziendali. Sebbene gli attacchi contro l’ultima generazione di dispositivi mobili non siano risultati ancora predominanti nel 2010, i dati X-Force mostrano un aumento nelle divulgazioni delle vulnerabilità e degli exploit che prendono di mira tali dispositivi.

"Da Stuxnet alle botnet Zeus fino agli exploit mobili, si espande ogni giorno la varietà di metodologie di attacco”, ha spiegato Tom Cross, threat intelligence manager, IBM X-Force. “L’aumento degli attacchi mirati nel 2010 ha fatto luce su un gruppo totalmente nuovo di cyber-criminali altamente sofisticati, che potrebbero essere ben finanziati e operare con una conoscenza delle vulnerabilità della sicurezza che nessun altro ha. Restare un passo avanti a queste crescenti minacce e progettare software e servizi che siano sicuri sin dall’inizio non è mai stato così critico”.Insieme al rapporto di quest’anno, IBM annuncia anche in Europa l’Institute for Advanced Security volto a combattere le crescenti minacce alla sicurezza presenti nel nostro continente. Secondo il rapporto, nel 2010, quasi un quarto - il 22 % - di tutte le e-mail di phishing finanziario ha preso di mira le banche situate in Europa. Il rapporto ha inoltre identificato Regno Unito, Germania, Ucraina e Romania tra i primi 10 paesi “fonti” di spam nel 2010. L’Institute for Advanced Security in Europa rappresenta l’espansione di quello fondato a Washington, D.C., lo scorso anno e incentrato sui clienti statunitensi. Una nuova sezione dell’X-Force Trend & Risk Report è dedicata ai trend della sicurezza e alle best practices per le tecnologie emergenti, quali i dispositivi mobili e il cloud computing. Dal punto di vista della sicurezza, il 2010 sarà ricordato principalmente come un anno contrassegnato da alcuni degli attacchi mirati di più alto profilo mai osservati nel settore. Ad esempio, il worm Stuxnet ha dimostrato che il rischio di attacchi contro sistemi di controllo industriali altamente specializzati non è solo teorico. Questo tipo di attacchi è indicativo dell’elevato livello di organizzazione e finanziamento che sta dietro lo spionaggio e il sabotaggio informatico, che continuano a minacciare una sempre più ampia varietà di reti pubbliche e private.Nel 2010 il volume di spam è aumentato vertiginosamente, toccando il massimo storico. Tuttavia, la crescita del volume si è stabilizzata prima della fine dell’anno. In effetti, verso la fine del 2010, sembrava che gli spammer fossero andati in vacanza, con un calo del 70 percento del volume di traffico registrato subito prima di Natale e con l’inizio del nuovo anno. Il mercato dello spam è ormai saturo? È possibile che vi sia una diminuzione dei ritorni associati all’aumento del volume totale dello spam, e stiamo iniziando a vedere che gli spammer si concentrano maggiormente sull’aggirare i filtri antispam. Le vulnerabilità delle applicazioni web continuano a rappresentare la più grande categoria di divulgazioni della sicurezza, con il 49 % delle vulnerabilità divulgate nel 2010 riguardanti le applicazioni web. La maggior parte è stata costituita da problemi di cross-site scripting e iniezione di codice SQL, come indicato dai dati mostrati da IBM X-Force. Secondo i risultati X-Force, ogni estate degli ultimi tre anni si è registrato un attacco con iniezione di codice SQL su scala globale tra i mesi di maggio e agosto. L’anatomia di questi attacchi è stata simile a livello generale, mirata alle pagine .asp che sono vulnerabili all’iniezione di codice SQL. IBM ha riscontrato una tendenza all’aumento dell’attività delle Trojan botnet durante il 2010. Questa crescita è significativa perché, nonostante l’aumento degli sforzi coordinati per chiudere l’attività delle botnet, questa minaccia sembra acquistare slancio. Tuttavia, i dati di IBM illustrano il netto impatto del successo, nei primi mesi del 2010, nel chiudere la botnet Waledac, che ha provocato un calo istantaneo del traffico di comando e controllo (command and control) osservato. D’altro canto, la botnet Zeus continua a evolversi e ha costituito una parte significativa dell’attività delle botnet rilevata da IBM nel 2010. A causa delle sua estrema popolarità presso gli hacker, ci sono centinaia, se non migliaia, di botnet Zeus attive in ogni dato momento. Il malware delle botnet Zeus è comunemente utilizzato dagli hacker per sottrarre informazioni bancarie dai computer infettati.

Fonte: Protezione Account

I Toolkit rendono vita facile ai cybercriminali e dominano la scena

Aspiranti cybercriminali sono stati in grado di perpetrare attacchi impunemente e con relativa semplicità grazie alla disponibilità di appositi toolkit, ovvero programmi software già predisposti per sottrarre informazioni. Secondo il report delle minacce che hanno contraddistinto il 2010 stilato dai ricercatori Trend Micro, l’anno scorso può essere definito "l'Anno del Toolkit". La proliferazione di questi strumenti ha prevalentemente interessato i siti di social media lungo tutto l'arco dell'anno. Sebbene i toolkit siano sempre stati uno strumento utilizzato dal cybercrimine, nell’ultimo anno hanno registrato un momento di grande sviluppo diventando un elemento ancora più influente nello scenario delle minacce: con i toolkit gli attacchi possono essere sferrati con meno sforzo e in minor tempo, con effetti evidenti nel boom di minacce che ha caratterizzato il 2010. Molti di questi toolkit sono progettati per distribuire Trojan per la sottrazione di informazioni personali (dati sensibili o credenziali di accesso), come ad esempio ZeuS o SpyEye. Questo tipo di toolkit, tra l’altro, non è molto economico: il prezzo per un toolkit Zeus “base”, infatti, è di 8.000 dollari (ma il prezzo può anche raddoppiare se il toolkit dispone di ulteriori funzionalità), mentre un toolkit SpyEye ha un costo più “modesto” di 3.000 dollari. Nonostante ciò e qualunque sia il loro prezzo, questi strumenti sono molto utilizzati dai cybercriminali perché sono in grado di compiere furti su vasta scala.

Spam: impennate e cali improvvisi, Stati Uniti e India in testa tra le vittime.

Le azioni repressive intraprese nel mese di ottobre 2010 contro le attività di Spamit, l’azienda che produceva miliardi di email spazzatura, hanno portato a una riduzione sostanziale della minaccia tra novembre e dicembre, periodo festivo in cui normalmente aumenta. Dal picco del mese di ottobre in cui si sono superati i 3 miliardi e mezzo di messaggi indesiderati, si è passati ai 2 miliardi di dicembre.Mentre il volume globale dello spam ha registrato un calo nel 2010, gli Stati Uniti (con quasi 4 miliardi di messaggi spam) e l'India (con oltre 2 miliardi di messaggi) sono stati i Paesi più colpiti per via del crescente utilizzo di Internet e per l'uso dell'inglese come lingua più diffusa nelle comunicazioni formali. Ultimi in classifica, Argentina e Israele sono stati i Paesi meno colpiti dal fenomeno, i quali non sono andati oltre il mezzo miliardo di messaggi. L’Italia si è invece piazzata a circa metà della classifica, arrivando a raggiungere quasi un miliardo di messaggi. Il picco più elevato è toccato all'Europa, dove lo spam si è presentato spesso in lingua spagnola promuovendo in particolare il gioco d'azzardo e i casinò online per via delle normative relativamente più favorevoli a queste attività nella regione iberica. Durante il quarto trimestre del 2010 è stata la Russia a registrare la maggiore produzione di spam, in quanto Paese che non riconosce la natura illegale di questo tipo di pratica.

Settore farmaceutico e sanitario i più coinvolti.

Chi è in possesso di un account di posta elettronica avrà molto probabilmente ricevuto moltissimi messaggi spam relativi a prodotti farmaceutici o sanitari che hanno costituito la gran parte dello spam rilevato lungo tutto il 2010. Questo tipo di spam non è finalizzato solo alla vendita di prodotti farmaceutici, ma viene utilizzato dagli spammer per mascherare i loro attacchi di phishing e malware. Gli spammer si sono inoltre serviti della posta elettronica per sferrare attacchi di phishing e malware e colpire alcuni dei più noti siti di social networking, contesti particolarmente amati dal cybercrimine considerate le folte comunità di utenti che li popolano.URL pericolosi: Stati Uniti e Cina i Paesi più bersagliati dalle infezioni malware.Oltre l'80% del malware, causa della maggior parte delle infezioni avvenute nel 2010, proveniva dal Web. Trend Micro tiene monitorata la crescita degli URL pericolosi e nel 2010 la loro quantità ha continuato a crescere fino a superare i 3 milioni tra i mesi di novembre e dicembre. La maggioranza di URL pericolosi e, di conseguenza, le vittime di infezioni da malware è stata rilevata negli Stati Uniti e in Cina. Anche la Russia, inoltre, è risultata essere una fonte importante di spam contenente URL pericolosi.Le minacce mobili puntano a diverse piattaforme, di ieri e di oggi.Sul fronte delle minacce mobili, nell'estate del 2010 i ricercatori Trend Micro hanno evidenziato episodi di malware diretti contro la nuova piattaforma Android OS e le relative applicazioni. Nel mese di agosto è apparso DroidSMS, un messaggio SMS pericoloso che inviava un'applicazione travestita da Windows Media Player. A distanza di una settimana è comparsa anche un'altra applicazione progettata per inviare la posizione GPS di un utente tramite HTTP POST.Trend Micro ha scoperto anche altri tipi di malware rivolti ai sistemi operativi degli smartphone di vecchia generazione, come Symbian ad esempio. I cybercriminali sono sempre alla ricerca di qualsiasi forma di monocultura al fine di colpire il più elevato numero di obiettivi. Ad esempio, nel caso di Android OS, la sua grande popolarità in ambito smartphone, oltre al codice open source del sistema operativo e alle applicazioni particolarmente vulnerabili, ha pesato non poco sull'aumento dei tentativi di colpire questa piattaforma.La protezione cloud-based Trend Micro.Trend Micro Smart Protection Network è l'infrastruttura sulla quale si basano molti dei prodotti Trend Micro, garantendo protezione avanzata a livello di cloud e bloccando le minacce in tempo reale prima che queste possano raggiungere l'utente. Alla fine del 2010 Smart Protection Network contava 45 miliardi di query ogni 24 ore, bloccando 5 miliardi di minacce ed elaborando 3,2 terabyte di dati al giorno. In media, si connettevano alla rete 102 milioni di utenti ogni giorno.Smart Protection Network sfrutta la tecnologia brevettata basata sulla “correlazione in-the-cloud” con analisi comportamentali per mettere in collegamento le attività delle minacce che possono propagarsi via Web, email e file per determinarne la pericolosità. Il confronto tra le diverse componenti di una minaccia e l'aggiornamento continuo dei database permettono a Trend Micro di reagire in tempo reale fornendo una protezione automatica e immediata da minacce diffuse attraverso posta elettronica, file e Web.Il report completo è consultabile all'indirizzo: http://us.trendmicro.com/us/trendwatch/research-and-analysis/threat-reports/index.html

Fonte: Protezione Account

Nuovo cavallo di troia per Mac OS X

Sophos, società di sicurezza informatica, mette in allarme gli utenti Apple affermando che un nuovo trojan, chiamato BlackHole RAT, si sta diffondendo ed è in grado di colpire i sistemi operativi Mac OS X.

Questo trojan permetterebbe il controllo del sistema a distanza, almeno in parte e nonostante la cura per questa minaccia sia già pronta, il cracker creatore del nuovo trojan afferma che la versione definitiva della sua opera sarà molto più insidiosa.
Le funzioni del trojan
Il nome contiene l’acronimo RAT (Remote Administration Tool) proprio ad indicare la sua funzione di controllo a distanza. Un malintenzionato potrebbe usare tale invenzione per disparati motivi. Sarebbe in grado di riavviare e spegnere un computer a distanza, aprire finestre di log in che richiedono dati come password e username, oppure disturbare l’utente con scritte e impartire comandi nella shell.

Come prevenire il trojan BlackHole RAT
Come tutti i trojan, anche BlackHole (in italiano letteralmente significa “buco nero”) per poter funzionare deve prima arrivare alla macchina dell’utente da infettare. E’ quindi molto importante proteggere il proprio computer a dovere, installando il miglior antivirus tra quelli esistenti, aggiornare il sistema operativo e non esser avventati nel cliccare link anomali o visitando siti di dubbia affidabilità.
Importante non aprire allegati sospetti, cliccare su link presenti in mail con frasi che incitano a cliccarvi, non scaricare file eseguibili e prima di avviarne uno di dubbia autenticità effettuare sempre una scansione antivirus dello stesso.
Origini di BlackHole RAT
Questo trojan sembra esser nato partendo dal codice di DarkComet, un malware della stessa famiglia ideato però per sistemi operativi Microsoft. Si dice che neppure il nuovo e prossimo Mac OS X Lion potrà ritenersi al sicuro da una minaccia simile.

Fonte: La Gazzetta Informatica

Android Market: rimosse più di 50 applicazioni pericolose

Una vera e propria pulizia in grande stile l’operazione portata avanti da Google su Android Market, il negozio virtuale che raccoglie tutte le applicazioni realizzate per il sistema operativo open source del gruppo americano. La rimozione da Android Market ha riguardato oltre 50 applicazioni a causa della loro pericolosità, in quanto capaci di infettare i terminali degli utenti. Secondo quanto spiegato, il malware incriminato – DroidDream - sarebbe capace infatti di prendere il controllo degli smartphone e inviare a un server esterno le informazioni più importanti che riguardano il device, tanto da riuscire persino a scaricare ulteriore codice infetto capace e, con ogni probabilità, di sottrarre dati sensibili come user e password utilizzati per accedere a diversi servizi online. Tra le applicazioni contraffatte: Falling Down, Dice Roller, Falling Ball Dodge, Super Guitar Hero, Super History Eraser, Photo Editor, Super Ringtone Maker, Chess, Scientific Calculator, Advanced Currency Converter, APP Uninstaller, Funny Paint e Spider Man. La vicenda risale a qualche giorno fa, quando una segnalazione aveva individuato ben 21 applicazioni apparentemente sicure grazie ai nomi simili a software conosciuti, ma in cui dei criminali avevano inserito codice pericoloso. Dalle iniziali 21 si è però passato presto ad una cinquantina di applicazioni, che in pochissimi giorni sono state scaricate da un numero di utenti stimato tra 50.000 e 200.000, raggiungendo così un buon livello di diffusione e un conseguente rischio non proprio irrisorio per l’utenza Android. Non appena verificata la pericolosità delle app, Google si è adoperata per la loro eliminazione dal catalogo. Per gli utenti che hanno già scaricato e installato una app pericolosa, la soluzione dovrebbe essere rappresentata dall’assistenza, anche se il colosso dei motori di ricerca ha promesso il rilascio in tempi brevi di un tool per ripulire gli apparecchi infettati.

Fonte: Oneitsecurity.it - Autore: Giuseppe Cutrone

Kasperky Lab pubblica la condizione del malware a gennaio 2011

La maggior parte dei programmi malware, particolarmente complessi, nasconde la propria presenza nel sistema e operano a insaputa dell'utente. Tuttavia per attuare i suoi schemi fraudolenti, la cybercriminalità ha bisogno della partecipazione attiva dell'utente. Per poter sfuggire alle trappole dei cybercriminali è pertanto di estrema importanza che l'utente conosca quali sono gli approcci utilizzati.

I cybercriminali sfruttano spesso la diffusione di certi servizi Internet o di determinati prodotti. Anche la popolarità di cui godono i prodotti «Kaspersky Lab» non è sfuggita all'attenzione dei cybercriminali e in gennaio se ne avuta una chiara conferma. Come anche in passato si continua a registrare un'attiva diffusione di programmi adware. Senza richiedere il consenso dell'utente, l'AdWare.Win32.WhiteSmoke.a, che si è aggiudicato il 12° posto nella classifica dei programmi malware riscontrati in Internet, aggiunge sulla scrivania del PC lo shortcut «Improve your PC». Dopodiché, quando l'utente vi clicca sopra, si apre una pagina con l'invito ad «eliminare dal computer eventuali errori» che compromettono le prestazioni del PC. Se l'utente accetta l'invito, sul suo computer si installa un programma denominato RegistryBooster 2011 che effettua una scansione del computer e si offre di eliminare a pagamento i problemi individuati. Il componente del diffuso adware FunWeb Hoax.Win32.ScreenSaver.b, sebbene alla sua prima apparizione nella TOP 20 dei malware bloccati nei computer degli utenti, si è piazzato subito al 4° posto. Ricordiamo che FunWeb fa parte di una famiglia di adware, i rappresentanti della quale figurano ininterrottamente da un anno nelle classifiche dei malware più diffusi. Questi adware predominano nei Paesi anglofoni, quali gli Stati Uniti, il Canada, la Gran Bretagna e anche l'India. Per l'ennesima volta invitiamo gli utenti a non ignorare gli aggiornamenti critici. Nella TOP 20 di gennaio delle minacce più diffuse bloccate nei computer degli utenti si è piazzato l'Exploit.JS.Agent.bbk (al 20° posto) che sfrutta la vulnerabilità CVE-2010-0806. Sebbene questa vulnerabilità sia già stata riparata alla fine del marzo 2010 (la patch è disponibile a questo indirizzo, oltre che dall'Agent.bbk viene anche sfruttata da altri malware presenti nella TOP 20 (al 6° e al 1° posto). Ciò significa che la breccia nel software non è ancora stata chiusa in molti computer e continua quindi ad essere efficacemente sfruttata dai cybercriminali. l download di file per mezzo di malware Java con il metodo OpenConnection, che ha cominciato ad essere utilizzato dai cybercriminali nell'ottobre dell'anno scorso, risulta attualmente essere uno dei metodi di download maggiormente diffusi. Nel corso del mese di gennaio nei computer degli utenti dei prodotti «Kaspersky Lab»:

• sono stati respinti 213.915.256 attacchi della rete;
• sono stati bloccati 68.956.183 tentativi di infezione via Internet;
• sono stati individuati e neutralizzati 187.234.527 programmi malware (tentativi di infezione locale);
• sono state registrate 70.179.070 attivazioni di analisi euristiche.

In gennaio, nella TOP 20 dei malware più diffusi in Internet, si piazzano (rispettivamente al 9° e al 20° posto) due nuovi rappresentanti della famiglia Trojan-Downloader.Java.OpenConnection. Se si utilizzano le ultime versioni di JRE (ambiente operativo Java), all'avvio del pericoloso applet Java l'utente riceve un relativo avviso. Per evitare eventuali infezioni del computer, è sufficiente quindi annullarne l'avvio. In gennaio ha fatto la sua comparsa un nuovo e-mail worm, l'Email-Worm.Win32.Hlux, che si diffonde tramite la notifica della ricezione di una cartolina elettronica d’auguri. Nella notifica è contenuto il link alla pagina dove viene suggerito di scaricare Flash Player per una corretta visione della e-card. nuovo Trojan-SMS.J2ME.Smmer.f si diffonde secondo la modalità ormai consueta dei malware Java per piattaforme mobili ossia per mezzo di spam SMS contenenti un link di rinvio a una «cartolina virtuale». Dopo esser stato installato sul telefono, il trojan invia gratuitamente un SMS a due diversi numeri. Come viene conseguito quindi il guadagno illecito? I due numeri vengono utilizzati da un operatore di telefonia cellulare per trasferire soldi da un conto all'altro. Nel primo messaggio inviato dal trojan, vengono indicati la somma che verrà prelevata dal conto del possessore del telefono infetto (200 rubli, circa 5 euro) e il numero utilizzato dai cybercriminali per ricevere i soldi, mentre il secondo SMS viene inviato per confermare il trasferimento del denaro. Ci siamo già imbattuti in un simile tipo di frode due anni or sono: allora la truffa interessava gli utenti indonesiani, oggi i cybercriminali hanno preso di mira la Russia. Maggiori informazioni su http://www.kaspersky.com/.
Fonte: Protezione Account

Nuovo Trojan sul popolare software di controllo remoto TeamViewer

Ricercatori di sicurezza hanno identificato un nuovo trojan che colpisce il popolare software di controllo a distanza TeamViewer e permetterebbe a truffatori di effettuare operazioni bancarie online non autorizzate dai computer infetti. Il pezzo di malware è stato scoperto dagli esperti del Gruppo-IB durante l'esecuzione di indagini forensi sui sistemi di una società russa defraudata. E'stato successivamente analizzato dai ricercatori di sicurezza di ESET fornitore di software antivirus che lo hanno chiamato Win32/Sheldor.NAD. Circa la metà dei motori antivirus su Virus Total al momento rilevano la minaccia. Il malware è una componente backdoor nella directory di Windows. La caratteristica interessante di questo esempio è che utilizza un componente stand-alone di TeamViewer 5.0 per effettuare il controllo remoto della macchina infetta. TeamViewer (TV) è un programma gratuito comunemente utilizzato per l'assistenza remota e per il controllo remoto dei computer su Internet. L'inclusione di un server TV ha uno scopo ben preciso: scavalcare gli extra meccanismi di autenticazione messi in atto da alcune banche. Molti sistemi di online banking istituiscono firme computer, soprattutto per i clienti business, e consentire da sè l'autenticazione. In queste circostanze, anche se le credenziali di accesso non sono rubate, i ladri sono in grado di abusare di loro. Per contrastare questo fenomeno, i truffatori hanno implementato funzioni di controllo remoto nel loro malware. Ad esempio, il famigerato trojan bancario ZeuS integra il modulo VNC (Virtual Network Computing). " Uno dei componenti di TeamViewer è modificato al fine di iniettare codice in tv.dll, comunicando attraverso il pannello di controllo amministrativo ", spiega David Harley, un senior research di ESET. Sheldor consente agli aggressori remoti di avviare una shell a linea di comando sui computer infetti, attivare il monitoraggio on e off, disconnettere l'utente di Windows. "E 'inquietante ma non sorprendente vedere strumenti di accesso remoto largamente usati ed utilizzati a fini criminali", dice Harley.
Fonte: Future Web

Scansionare eseguibili e URL con dei servizi Web

Il costante trend che vede le applicazioni spostarsi sempre più verso il Web ha aperto interessanti orizzonti che fino a poco tempo addietro sarebbero risultati stridenti. Un esempio su tutti risulta la possibilità di controllare la presenza di virus su determinati file direttamente online, senza la presenza di software antivirus installati sulla macchina locale. L'uso di tale tipo di servizi online risulta di utilità sia per chi non utilizza normalmente software antivirus sia (e lo vedremo) per chi possieda, al contrario, un computer "protetto" da antivirus. Molti, specie (o esclusivamente?) in ambienti Microsoft Windows, utilizzano software antivirus sul proprio computer e lo aggiornano spesso, reputandosi quindi immunizzati da ogni malware. Tuttavia, l'antivirus in questione non riesce generalmente a rilevare i virus che non conosce ed è quindi possibile che si venga infettati da malware appena usciti "in the wild" pur credendosi assolutamente al sicuro. Oltre il danno la beffa, in quanto i computer con software antivirus attivi risultano avere prestazioni sicuramente peggiori (a volte al limite del ridicolo) rispetto a quelli che ne siano sprovvisti, e questa è la motivazione che spinge molti (che abbiano però dimestichezza con l'Informatica) a non usare antivirus ma a seguire invece precise e rigorose pratiche di sicurezza, quali: aggiornare sempre sistema operativo e programmi, girare con privilegi limitati in una rete sicura, evitare di installare software non considerato affidabile, usare browser con sandbox, usare Linux (notoriamente, per diverse ragioni, meno minato da malware), e via discorrendo. Anche questa categoria di persone, tuttavia, una volta o l'altra si troverà tentata di installare un software scaricato da Internet da fonti non di comprovata affidabilità o passato da una persona della quale sia noto il computer perennemente infetto... in tale caso una scansione online non potrà che essere di assoluta utilità. Se è chiara ed immediata la motivazione che spinge chi non installa antivirus all'utilizzo di tali servizi online, perchè questi servizi possono rivelarsi utili anche per chi l'antivirus lo usa? Prendiamo come esempio VirusTotal, una tra le prime applicazioni web a fornire scansioni antivirus online e tutt'ora una tra le più famose se non la più celebre in assoluto. VirusTotal è un servizio che analizza file ed URL identificando malware (virus, worm, trojan, eccetera) attraverso l'ausilio di più engine antivirus (contrariamente a quanto avviene su un computer dotato di antivirus, dove appunto l'engine è unico). Le sue principali caratteristiche, come leggiamo dal website del progetto, sono le seguenti:

• free;
• utilizza più engine antivirus;
• update realtime delle signature degli antivirus;
• statistiche;
• fornisce API ai programmatori per l'utilizzo del web service

L'uso di più engine antivirus permette, ricollegandoci alla domanda lasciata precedentemente in sospeso, di ottenere, per determinati file di cui si diffidi, una sicurezza maggiore che quella data dal solo antivirus installato sull'host locale: come è facile verificare nella pratica, accade che un file infetto venga riconosciuto come tale da VirusTotal solamente su "suggerimento" di alcuni engine antivirus, mentre altri non lo riconoscano affatto come minaccia. Con più "occhi" puntati, tuttavia, se è vero che è più difficile che un file infetto sfugga al controllo, è altresì più facile ottenere come risultato falsi positivi, ovvero file "innocenti" riconosciuti come "colpevoli": occorre quindi un po' di attenzione in merito. L'utilizzo di VirusTotal non ha bisogno di spiegazioni: caricando il file sospetto, questo viene scansionato da un buon numero di motori; le immagini seguenti raffigurano, quale esempio, la scansione del vetusto trojan Back Orifice 2000 (BO2K); al suo upload, VirusTotal ci informa che esso è già stato processato nel passato (figura 1) e ci propone di visionarne i risultati (figura 2) per un responso immediato, oppure di optare per una nuova scansione, che appunto darà quanto ci attendiamo. Nonostante siano passate ere informatiche dalla sua creazione, Back Orifice 2000 non viene riconosciuto da ben 3 engine su 42; inoltre, per esperienza, la scansione di un trojan recentemente trovato su un sistema Windows XP (completamente aggiornato) ed iniettato attraverso un exploit 0day su di un browser (anch'esso completamente aggiornato!) non è stato riconosciuto che da un quarto scarso degli engine, alla data dell'infezione. Ciò dovrebbe far meditare sia sull'effettiva efficacia dei software antivirus presi singolarmente che sull'asserzione che crede "gli antivirus tutti uguali". VirusTotal non è l'unico servizio per la scansione di file online: nella Rete si annoverano decine di web service similari, tra i quali possiamo menzionare Avast Online Scan, che, come intuibile, utilizza il motore Avast per la scansione, così come ad unico engine troviamo Dr. Web. Molto più simili dei precedenti a VirusTotal risultano essere Filterbit che, come il suo concorrente, offre scansioni validate da più engine, nella fattispecie 12 e non 42, anche se l'accuratezza non è messa in discussione, dati i nomi in gioco (AVG scan engine , McAfee VirusScan Enterprise , Symantec Scan Engine); VirusChief e Jotti's Malware Scan, ancor più ricco e validissima alternativa a VirusTotal.

Rilevazione minacce presenti sui siti web
Sempre più sovente i malware vengono iniettati via browser piuttosto che mediante scambio di file o p2p: risulta quindi possibile spostare l'attenzione a monte anzichè a valle, verificando direttamente un sito web, online, a partire dal suo URL.
URLVoid risulta essere il miglior servizio online di scansione di website alla ricerca di malware; utilizza un buon numero di engine e/o "blacklist":

• AmaDa
• BrowserDefender
• DNS-BH
• Google Diagnostic
• hpHosts
• joewein.de LLC
• Malware Domain List
• Malware Patrol
• MyWOT
• Norton SafeWeb
• ParetoLogic URL Clearing House
• PhishTank
• SURBL
• Threat Log
• TrendMicro Web Reputation
• URIBL
• Web Security Guard
• ZeuS Tracker

In chiusura, altro servizio similare è LinkScanner Online

Fonte: Html.it - Autore: Marco Buratto