Antivirus Gratuiti (Free) e Norton 360

ottobre 6, 2008

Premetto questo non esiste un sistema inviolabile la sicurezza non è garantita da un prodotto software, ma essa è un processo, un insieme di fattori.

La sicurezza (dal latino “sine cura”: senza preoccupazione) può essere definita come la “conoscenza che l’evoluzione di un sistema non produrrà stati indesiderati”. In termini più semplici è: sapere che quello che faremo non provocherà dei danni. Il presupposto della conoscenza è fondamentale da un punto di vista epistemologico poiché un sistema può evolversi senza dar luogo a stati indesiderati, ma non per questo esso può essere ritenuto sicuro. Solo una conoscenza di tipo scientifico, basata quindi su osservazioni ripetibili, può garantire una valutazione sensata della sicurezza.

(Da wikipedia)

Molti utenti si affidano ha prodotti gratuiti per quanto riguarda le soluzione antivirus. Un prodotto software specialmente antivirus va scelto non per il suo prezzo, anche se è importante, ma per la sua velocita di scansione capacita di individuare virus recenti e nuovi, la capacità euristica, ma anche per la sua leggerezza e la sua architettura.

Dai test av-comparatives (agosto208) si individua che i maggiori produttori di AV sono tutti alianeati. Una cosa molto strana che ho notato nei test: i prodotti “certificati” Advanced+ hanno individiato molti falsi positivi, es: AVG recentemente con aaaamon.dll e poi con User32.dll, questo significa che il loro engine, secondo il mio personale pensiero,  è esposto a falsi positivi anche nell’individuazionie di codice malware. Più un prodotto è basso in falsi positivi più risulta effettivo e non si incorre in malfunzionamenti del S.O. per dll cancellate o programmi non funzionanti.

Un altro fattore da prendere in considerazione e la qualità della architettura del prodotto e la sua rimozione, facilità d’uso per l’utente conume. Molti prodotti free non hanno supporto, oppure sono di discussa rimozone quando si stenta di rimuvere il prodotto. un esempio per tutti è AVG 7.1 e 7.5 il prodotto aveva dei problemi per la navigazione in internet e in alcune macchine arriavano BSOD, o la macchina si rallentava e non caicava il S.O.  Navingando in rete e facendo ricerche ho notato che molti utenti che si sono affidati a prodotti come questi hano avuto seri problemi di funzionamento del S.O. e del browser.

Per mia personale  esperinza sul campo, nella realtà, e quindi non dovuta a test in laboratorio ho notato che nei PC in cui miei clienti, amici e conoscenti cui avvevano  instalato  AVIR, AVG, AVAST ho riscontrato una maggiore infezione delle macchine di virus troian, e backdoor. rispetto ha soluzioni concorrenti.

Ci sono numerose soluzioni antivirus di vari vendor se volete un consiglio, da un trova-virus, due vendor di prodotti che meritano una sengalazione per i seguenti motivi:

  1. Scansione veloce  
  2. Euristica avanzata
  3. Achitettura snella e leggera
  4. Implementazione a Servizi
  5. Facilita di configurazioen per un utente anche con basso profilo tecnico.
  6. costo di un caffè al giorno.

Questi prodotti sono:

  • ESET NOD32 Antivirus 2.7 e 3.0 (ENG) (Antivirus, Anti spyware e rootkit)
  • ESET Smart Security  3.0 (Antivirus + Filrevall+ Antispam) non venduta ancora in Italia
  • Mcafee Plus (Antivirus + Filrevall+ Antispam)

Ha tutti sconsglio di usare il NORTON 360: è un prodotto pesante, i backup non sono fatti in maniera corretta, perchè in caso di perdita di dati, o di inaccessibilità al S.O. non posso ripristinare dal supporto di bakup, non memorizza i dati di bakup sul supporto, un errore gravissimo, credo che alla Symantec abbiano licenziato tutti i dipendenti dela Veritas  (SoftwareHouse specializata in Backup) dopo l’acquisizione alcuni anni fa.


Google – The Spy Company

settembre 18, 2008

Una delle funzionalità incluse nel nuovo web browser di Google Chrome è la possibilità di visualizzare dei suggerimenti per gli errori di navigazione. Questa funzionalità è destinata a sostituire alcuni messaggi di errore 404 tipici  dei server web, con un opzione supplementare di far cercare al motore di ricerca Google frasi diverse dall’indirizzo web immesso correttamente, che ha restituito il messaggio 404 tipico per errore interno del server o altro.

In passato un problema come questo fu portato alla luce quando una tecnologia simile fu introdotta prima con la browser Google ToolBar. (per questo e per altri motivi  che vi posterò non la uso più da anni e invito tutti a rimuoverla dai propri pc).   

Spesso viene utilizzato il metodo HTTP GET per passare dati dal modulo da una pagina al successivo per un’ulteriore elaborazione. Quando utilizziamo il metodo GET, questi dati vengono aggiunti all’URL delimitati precedentemente da un carattere punto interrogativo.

Es: http://%5Bsomewebsite%5D/accountinfo.php?user=Jdoe&session=12345678

Nell’esempio sopra riportato accountinfo.php verrebbe passato il parametro USER contenente un valore di JDOE nonché un parametro SESSION contenente un valore di 12345678.

Per spiegare alcune delle preoccupazioni sulla privacy che possono essere associate ad un errore 404 dirottato, esaminiamo il seguente esempio: teniamo uno scenario in cui un server web sta vivendo la manutenzione e un URL che normalmente visualizzerebbe un documento valido web ha restituito un errore 404.
In questo caso un utente è connesso [somewebsite] come utente jdoe con un ID sessione di 12345678. Dopo la registrazione dell’utente seleziona l’opzione “Informazioni account” su [somewebsite] ed è diretta a http:// [somewebsite]/accountinfo.php?user=Jdoe&session=12345678.

Error 404

Error 404

In questo esempio [somewebsite] è sotto manutenzione e il server che ospita il documento accountinfo.php sta generando un messaggio 404.

Il browser Chrome invece di visualizzare il messaggio 404 generato da [somewebsite] visualizzerà un errore personalizzato che contengono collegamenti ai collegamenti di ricerca che reindirizzano a una pagina web di ricerca di Google.

Un effetto di dirottare l’errore 404 originale mantenendo l’URL,  è che alcuni eventuali di questi collegamenti quando si fa clic o quando viene premuto il pulsante di ricerca, il browser Chome invierà i dati sopra menzionati (USER contenente un valore di JDOE nonché un parametro SESSION contenente un valore di 12345678) a Google.com come parte del campo referrer delle intestazioni di HTTP della query creata.

In questo caso gli utenti non sono destinati ad essere pienamente consapevoli che i valori di utente e la sessione sono trasmessi ai server di Google, con ripercussioni sulla sicurezza e privacy delle persone.

Ci è stato segnalato  anche da uno dei nostri ricercatori McAfee che quando la pagina 404 di Google Chrome viene inizialmente visualizzata, un file di immagine è richiesto a Google (percorso esatto può variare a seconda della versione localizzata del prodotto). Questa richiesta http contiene anche il valore di referrer a cui fa riferimento il post iniziale.
Il risultato di questa scoperta è che non è effettivamente necessaria alcuna azione dell’utente finale per le informazioni da inviare al Google. Al momento che viene visualizzata la pagina 404 Goggle le informazioni sono già state trasferite a Google.

Pensate in caso di transazioni bancarie e/o acquisti on line. Anche se la transazione è criptata con SSL a 128bit o TSL queste infomazioni viaggiano in chiaro verso i server di google e non gli arriveranno criptate.

 Fonte (Mcafee Research


Si diffonde malware localizzato

maggio 6, 2008

Secondo l’ultimo rapporto di McAfee Avert Labs pubblicato nel mese di novembre 2007, i cybercriminali stanno creando attacchi sempre più sofisticati anche in lingue diverse dall’inglese allo scopo di sfruttare applicazioni diffuse a livello locale e incrementare i loro profitti. In base ai dati di Avert Labs, il tasso di crescita di malware e vulnerabilità è raddoppiato nel 2007 rispetto al 2006. In un solo giorno del mese di novembre 2007, McAfee Avert Labs ha raccolto campioni di malware di sei diversi paesi del mondo.

In ambito malware, il social engineering si può suddividere in due categorie: paura e solleticamento. Vi sono numerosissimi argomenti di portata universale in entrambe le categorie, la cui efficacia è limitata   esclusivamente dalla comprensione della lingua in cui il messaggio viene inviato. Argomenti quali sesso, curiosità o imbarazzo (ad esempio, immagini di nudo, di se stessi o di altri) trascendono le barriere culturali. La principale considerazione da fare è se l’oggetto è sufficientemente interessante per la vittima del social engineering. Il fascino della cultura pop Americana oltrepassa i confini nazionali. Anche se i nomi delle star di Bollywood, europee o cinesi non sono affermati in tutti i paesi del mondo, chi non conosce celebrità quali Britney Spears o Angelina Jolie? Le probabilità che un utente venga adescato da social engineering incentrato su tali soggetti sono più legate alla sua capacità di comprendere la lingua dell’e-mail o del messaggio di MI.

D’altro canto, a causa delle dimensioni del paese e dell’atteggiamento un po’ isolazionista di molti dei suoi abitanti, gli Stati Uniti hanno sempre dimostrato scarso interesse nella cultura o nella politica internazionale. Tentativi di social engineering incentrati su interessanti eventi socio-politici di altri paesi verrebbero molto probabilmente ignorati negli Stati Uniti, mentre tutto il resto del mondo sarebbe sicuramente interessato
alla notizia della morte di un presidente americano (notizia utilizzata da W32/Nuwar@MM nella sua e-mail iniziale). 

Il fattore paura viene invece scatenato da bounce e altri messaggi di errore. I messaggi di bounce, in  particolare, sono un fenomeno universale; ormai qualsiasi provider Internet notifica gli utenti quando un messaggio non arriva a destinazione. Finché gli utenti crederanno a ciò che sembra un messaggio di bounce a tutti gli effetti, questo tipo di exploit potrà attaccare in qualsiasi paese. Esiste almeno un caso in cui il social engineering deve adottare una strategia basata sul paese di destinazione: quando falsifica
messaggi provenienti da enti governativi. Chiunque negli Stati Uniti sarebbe allarmato nel ricevere un messaggio e-mail che sembra provenire dall’IRS (ufficio delle imposte americano), ma la stessa tattica non funzionerebbe in altri paesi. Questa categoria di social engineering è sicuramente diffusa, ma è
raro che nell’arsenale di un autore di virus si trovi solo questo tipo di trabocchetto. La maggior parte degli attacchi massivi di virus attraverso la posta elettronica contiene una varietà di testi
possibili e quella del corpo del messaggio è solo una delle tante varianti. W32/Sober@MM!M681 ne è un perfetto esempio: questo virus include e-mail apparentemente inviate da CIA e FBI, messaggi su Paris Hilton e Nicole Richie, tre mail in tedesco e altre incentrate su una serie di tattiche diverse.

Fra questi possiamo includere W32/Caffer@MM individuato da Mcafee e da Eset Win32/TrojanDownloader.Agent.LYG individuato il 21 febbraio. E in corso un nuovo virus che si comporta esattamente come il precendente  individuato da me medesimo il 24 aprile 2008, ne Mcafee ne Nod32 hanno hanno individuato subito il virus,  che e si comporta come segue: 

Arriva tramite mail come quella in figura esattamente com in figura indicante infrazione per eccesso di velocità o divieto di sosta:

Il file allegato contiene i seguenti file:

  • Reader-x.exe oppure LettoreImmagini.exe    38.493 byte (eseguibile Troian)
  • Modulo Contestazione.txt               73 byte
  • Sanzione.txt                                    73 byte

I due file txt vi è presente questa dicitura – Impossibile legere il file, ultizzare “Reader-x” contenuto nella cartella – nell’handler del file cosi come scritto con l’errore di ortografia legere invece di leggere cosi da inganare l’utente ad aprile il Troian vero e proprio.

Ad oggi  Eset lo Individua come Win32/TrojanDownloader.Agent.NYF Mcafee non lo ha ancora individuato. ma sicuramente in entro un breve lasso di tempo avrò la risposta da AvertLabs.

19 maggio 2008

Nuova variante e-mail worm, con nuovo testo ed e-mail e nuovo allegato:

Oggetto: Che casino adesso che facciamo???

Testo: Volevo ringraziarti per la bella figura che mi hai fatto fare…
Mi chiedo solo se dovevi arrivare a questo!!!
Quando ci vedremo ne parliamo a 4 occhi…

Per colpa tua mi è arrivato a casa questo.
Vedi foto in allegato

Allegato:

  • foto.zip
  • foto.zip contenente Canon_DSC034.exe (Win32/TrojanDownloader.Agent.NYF )

———————


Sicurezza nei Browser

marzo 14, 2008

Da molte parti e da molti guru informatici ho sempre sentito dire che Mozilla FireFox e molto più sicuro che IE. Sin dalla sua nascita Firefox si e dichiarato più sicuro che il diretto concorrente MS IE. Io ho sempre sostenuto il contrario. E i fatti mi danno ragione.

Nel corso degli ultimi 3 anni, le versioni supportate da Microsoft di Internet Explorer hanno subito un minor numero di vulnerabilità a meno forte di gravità della vulnerabilità di Firefox, un risultato che sta in contrasto con prime affermazioni da Mozilla Firefox: 

“non abbiamo quasi molti dei problemi di sicurezza, come quelli che ha Microsoft Internet Explorer”

Mozilla President Baker in Cnet article ( http://www.news.com/Mozilla%20Were%20more%20secure%20than%20Microsoft/2100-1032_3-5630529.html)  

Mozilla Firefox 1.0 è stato rilasciato nel novembre 2004 e ha successivamente rilasciato Firefox 1.5 e Firefox 2.0. Queste tre versioni sono le versioni supportate di Firefox in tre anni, da novembre 2004 a ottobre 2007.  In quello stesso periodo Microsoft, ha sostenuto Internet Explorer 5,01 SP3 e SP4, Internet Explorer 6,0 Gold, SP1, SP2 e Windows Server 2003 edizione, oltre a Internet Explorer 7.
Dal momento del  rilascio di Firefox 1.0, nel novembre 2004, Mozilla ha corretto 199 vulnerabilità in Firefox, nei prodotti supportati – 75 ALTA gravità, 100 MEDIE gravità e 24 BASSA gravità. Nello stesso tempo, Microsoft ha corretto un totale di 87 vulnerabilità che interessano tutte le versioni di Internet Explorer – 54 ALTA gravità, il 28 MEDIO gravità, e 5 BASSA gravità. 

Vulnerabilità coperte in tutte le versioni supportate.

IE-Firefox Vulnarabilità

Inoltre nel primo anno di vita del prodotto, Mozilla FireFox ha avuto più vulnarabilita rispetto a IE.

INTERNET EXPLORER TRENDS

Microsoft ha rilasciato Internet Explorer 6 Service Pack 2 nell’agosto del 2004 e nei tre anni da allora, ha stabilito un totale di 79 vulnerabilità – 50 Alta / 24 Medium / 5 Bassa – e di una media di circa 2,1 al mese.

Microsoft Internet Explorer 7 e stato rilasciato nel mese di ottobre 2006 per Windows XP SP2 e nel novembre del 2006 come parte di Windows Vista. In quasi un anno dal rilascio, Microsoft ha corretto un totale di 17 vulnerabilità in IE7 – 14 Alta / 3 Medium – o di una media di circa 1,4 al mese. Solo 14 delle vulnerabilità hanno colpito il rilascio Vista, in modo che votare è un po ‘bassa.

Vulnarabilita 1° anno rilascio IE

Ie vulnarabilità 1 anno

FIREFOX TRENDS

Mozilla Firefox 1.0 è stato rilasciato nel novembre 2004 e si è concluso nel mese di aprile 2006 il supporto. In 17 mesi di supporto, Mozilla ha corretto 88 vulnerabilità in Firefox 1,0 – 36 Alta / 33 media / 19 Bassa – o di una media di circa 5,2 vulnerabilità al mese. Mozilla Firefox 1.5 e stato rilasciato nel mese di novembre 2005 e si è conclusa nel maggio 2007 il supporto (un mese più tardi di quanto originariamente previsto). In 18 mesi di supporto, Mozilla ha corretto 107 vulnerabilità in Firefox 1,5 – 46 Alta/ media 53 / 8 Bassa – o di una media di circa sei vulnerabilità al mese.

Mozilla Firefox 2.0 è stato rilasciato nel mese di ottobre 2006, in modo che è stato disponibile per 12 mesi. In 12 mesi di supporto, Mozilla ha fissato 56 vulnerabilità in Firefox 2,0 – 13 Alte / Medie 42 / 1 Bassa – o di una media di circa 3,75 vulnerabilità al mese.

Firefox Trend 1° anno

Firefox Trend 1 anno

VULNERABILITA’ NON CORRETTE

Entrambi i browser hanno vulnarabilita non corrette.

I risultati sono delineati nella Figura 6 per l’attuale serie di Firefox 2 e vulnerabilità di Internet Explorer 7, che sono stati comunicati e sono elencati nella National Vulnerability Database (NVD) (http://nvd.nist.gov), ma ancora in attesa di ricevere una patch da parte del fornitore.

Vulnarabilità scoperte e non corrette IE-FireFox

Ie-firefox unfixed

CONCLUSIONI

I dati mostrano che entrambe in entrambe  le versioni di Internet Explorer e Firefox si ha tendenza che la sicurezza e la qualità è migliorata con la versione più recente, e dimostra anche che, contrariamente alle credenze popolari, Internet Explorer ha subito un minor numero di vulnerabilità ripetto al concorrente Firefox.

Fonte (http://blogs.technet.com/security/archive/2007/11/30/download-internet-explorer-and-firefox-vulnerability-analysis.aspx)

Document Download: (Eng) IE-Firefox Analisi.pdf (445kb)