Archives For Sicurezza

Secunia lo conosciamo un pò tutti (almeno nel settore informatico): si tratta di uno dei maggiori (se non il più grande) portali sulla sicurezza di software stand alone / piattaforme web / diffusione virus.

Ne faccio volentieri un uso sproporzionato prima di scegliere un software da consigliare al cliente o all’amico, prima di montare una piattaforma web sul mio server o per conoscere le ultime novità attraverso il loro blog (nato relativamente da poco).

Il 18 dicembre scorso Secunia ha compiuto un ennesimo passo in avanti realizzando un piccolo tool che permette di fare uno scan completo della macchina da noi utilizzata affinché si possano individuare vecchie versioni di software bacate da sostituire con le ultime uscite. Si chiama Secunia Personal Software Inspector, PSIper gli amici” ;)

Fatta l’installazione sul mio Windows Vista ho immediatamente lanciato una scansione per stilare un breve test su strada. Qualche veloce informazione prima di cominciare:

  • il programma è completamente gratuito
  • è stata rilasciata (18.12.07) la versione RC1. Le versioni Release Candidate (così come per Mozilla Firefox) sono le ultime pacchettizzazioni di test rilasciate prima della pubblicazione di una “stable” scaricabile da utenza non necessariamente esperta o in grado di scovare eventuali lacune nel software. Se l’ultima versione RC soddisfa tutti i parametri di partenza automaticamente (90% dei casi) viene trasformata in stable per il rilascio di massa
  • unica localizzazione presente: inglese, con la speranza di poter vedere il programma in italiano prossimamente
  • occupa 1.03 MB su disco e circa 30 MB in memoria RAM, abbastanza leggero
  • necessita di diritti amministrativi per l’esecuzione, vade retro nel caso in cui siate utenti normali sprovvisti di password con privilegi maggiori

Installazione e primo avvio

Semplice e veloce. Si scarica il client dal sito web psi.secunia.com e lo si installa. A fine processo si può avviare il programma direttamente. Gli utenti XP/2000/inferiori potranno procedere lasciando l’opzione spuntata, per gli utenti Vista consiglio di dare una occhiata al consiglio qui di seguito.

Sono un utente vista Vista: clic destro sull’eseguibile (C:\program files\secunia\PSI (RC1)\psi.exe), selezionare scheda Compatibilità, spuntare l’opzione “Esegui questo programma come amministratore” e confermare con OK.

Sono un utente Windows generico: PSI necessita di una connessione a internet. Esso scarica le definizioni delle falle ed altre informazioni dal sito principale (Secunia – https://psi.secunia.com:443) e dal sito della Microsoft (Windows Update).

Al primo avvio PSI farà tutto da solo lanciando una prima scansione:

Al termine verrà stilato un breve rapporto delle applicazioni non sicure installate sulla macchina:

Con possibilità di leggere dettagli, scaricare la soluzione, farsi guidare nella riparazione della falla, rimuovere il programma e tante altre informazioni, solo in lingua inglese per il momento.

La soluzione

Il tasto “Download Solution” non farà altro che lanciare il download dell’ultima versione disponibile dell’applicativo, generalmente si tratta di quella con falle nulle o non ancora trovate (dico ovvietà ;) ). Il vantaggio sta nel fatto che a noi non toccherà saltellare di pagina web in pagina web per trovare il giusto eseguibile da installare:

Una volta scaricati due o tre pacchetti ho fatto l’aggiornamento e atteso una reazione da parte del programma che non ha tardato a mostrarsi:

PSI ha infatti un motore sempre attivo che controlla costantemente l’attività della macchina. La piccola icona raffigurante il logo di Secunia si trova nella tray di Windows, proprio vicino l’orologio :)

Ignorare le falle di una vecchia versione

Se invece non vogliamo aggiornare un programma (una versione alla quale siamo affezionati o un download oneroso che non possiamo avviare con una connessione troppo lenta o con tariffazione a MB / ore di collegamento) si seleziona “Ignore application” confermando l’azione. Il consiglio è quello di utilizzare il meno possibile tale feature, siete scoperti contro possibili attacchi dall’esterno:

Il programma penserà che quest’ultima sia stata rimossa dal sistema. In un secondo momento potremo eliminare l’applicazione dalla sua blacklist (affinché venga nuovamente rilevata).

Statistiche, grazie!

La scheda Overview permette di farsi un’idea veloce sul livello di sicurezza attuale della macchina utilizzata. Verranno stilati grafici che mostreranno la percentuale di applicazioni correttamente aggiornate, potenzialmente pericolose, insicure, non più supportate dai produttori.

Come non ti aggiorno l’applicazione

Voi, inguaribili romanticoni particolarmente legati ad applicazioni dell’anteguerra non più supportate dal realizzatore siete “a rischio“. Probabilmente nessun virus o exploit via web andrà mai ad attaccare un programma del 97 (o giù di li) ma PSI ci tiene ugualmente a farvi sapere che tali applicazioni sono insicure e non più aggiornate / aggiornabili. La scheda End-of-Life serve proprio a quello!

In conclusione

PSI è un software giovane da tenere certamente sotto osservazione. L’azienda è seria e ha già ampiamente dimostrato di conoscere bene l’argomento trattato. Nonostante si tratti di una versione RC consiglio l’installazione anche all’utenza che utilizza il computer per navigare e vuole mantenere aggiornati i propri applicativi.

Buon update ;)

Nuova truffa, stesso obiettivo: clienti di Poste Italiane e utenti inesperti in generale. A distanza di pochissimo tempo dall’ultimo caso di phishing ecco arrivare la nuova mail contenente grossolani errori di forma ed un indirizzo di partenza alquanto ridicolo: polizia@postale.it (notare che il sito postale.it non c’entra assolutamente nulla con la vera Polizia).

Il testo della mail recita:

Gentile Cliente,
Nell'ambito delle misure di sicurezza da noi adottate, controlliamo costantemente le attività del sistema. Durante una recente verifica, abbiamo rilevato un problema riguardante il tuo conto.
Attività insolite del conto hanno reso necessaria una limitazione dell'accesso al conto fino a quando non verranno raccolte ulteriori informazioni di verifica.
Abbiamo deciso di limitare l'accesso al tuo conto fino a quando non verrà completata l'implementazione di misure di sicurezza aggiuntive.
Per controllare il tuo conto e le informazioni che Poste italiane ha utilizzato per decretare di limitare l'accesso al conto, visita il link qui sotto:
https://www.poste.it/online/personale/login-home.fcc?VERIFICA

Se, dopo aver controllato le informazioni sul conto, desideri ulteriori chiarimenti riguardo all'accesso al conto, contatta in nostro sito utilizzando il modulo Contattaci nell'Aiuto.

Nel ringraziarti per la collaborazione, ti ricordiamo che questa è una misura di sicurezza il cui scopo è quello di garantire la tutela degli utenti e dei conti.
Ci scusiamo per gli eventuali disagi.
Cordiali saluti,
Assistenza clienti Poste italiane
----------------------------------------------------------------
© Poste italiane 2007. Tutti i diritti riservati.

Ho volutamente disattivato il link contenuto nel testo in quanto questo puntava a bancopostaonline.mify.net/entra.php, pagina appositamente realizzata per raccogliere le credenziali delle vittime cadute nella trappola.

Gli errori da notare:

  • l’oggetto della mail è privo di senso: “Nell’ambito delle misure di sicurezza da noi adottate“.
  • un problema riguardante il tuo conto“: le comunicazioni ufficiali di Poste Italiane riportano sempre e comunque la terza persona. Al cliente viene dato del “lei“.
  • ripetizione di conto / limitazione / nuove misure di sicurezza: basterebbe un’unica frase ben impostata ma viene ripetuta per ben 3 volte la stessa cosa utilizzando parole identiche poste in differenti modi.
  • contatta in nostro sito“: tipica traduzione da Google Translate o simili. Se provate a leggere bene la frase noterete che è priva di senso logico.

Ancora una volta l’errore più grosso è sempre lo stesso: Poste Italiane (così come qualsiasi altro istituto bancario italiano) non richiederà mai la conferma delle proprie credenziali con una mail. Se necessario (mai fino ad ora) invierà comunicazione scritta a mezzo posta ordinaria.

Qui di seguito il reale header della mail con tanto di indirizzo e server di partenza:

From - Thu Dec 20 16:45:31 2007
X-Account-Key: account4
X-UIDL: UID3854-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in06.email.it [127.0.0.1])
by smtp-in06.email.it (Postfix) with ESMTP id EE6A444018
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
X-Spam-Score: 4.519
X-Spam-Level: ****
X-Spam-Status: No, score=4.519 tagged_above=3 required=7 tests=[AWL=-0.773,
DATE_IN_PAST_03_06=0.478, HTML_10_20=1.351, HTML_MESSAGE=0.001,
MIME_HEADER_CTYPE_ONLY=0, MIME_HTML_ONLY=0.001, NO_REAL_NAME=0.961,
RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E4_51_100=1.5,
RAZOR2_CHECK=0.5]
Received: from smtp-in06.email.it ([127.0.0.1])
by localhost (smtp-in06.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id l6ms6TFDq-qO for ;
Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: from mail2.kitz.net (217-14-229-34.users.kitz.net [217.14.229.34])
by smtp-in06.email.it (Postfix) with SMTP id A3A9044015
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: (qmail 25588 invoked by uid 0); 20 Dec 2007 02:24:12 -0000
Date: 20 Dec 2007 02:24:12 -0000
Message-ID:
To: ilgiova@email.it
Subject: Nell'ambito delle misure di sicurezza da noi adottate.
From: polizia@postale.it
Content-Type: text/html
X-Antivirus: avast! (VPS 071219-0, 19/12/2007), Inbound message
X-Antivirus-Status: Clean

Riepilogo:

  • la mailbox di partenza è un fake, non è stato coinvolto in nessun caso postale.it
  • server di partenza: mail2.kitz.net (217-14-229-34.users.kitz.net)
  • ip: 217.14.229.34
  • whois del dominio: disponibile cliccando qui

Il sito al quale si viene rediretti in caso di click sul link è ora irraggiungibile. Se usate Firefox noterete l’avviso di sicurezza che vi invita ad abbandonare il sito contraffatto. Qui di seguito voglio comunque proporvi le solite informazioni riguardanti la registrazione del dominio:

Registrant:
none
Crone Ave
Anaheim, California 92800
United States
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: MIFY.NET
Created on: 21-Apr-03
Expires on: 21-Apr-13
Last Updated on: 01-Nov-05
Administrative Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Technical Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Domain servers in listed order:
NS1.MIFY.NET
NS2.MIFY.NET

La home page contiene solo due link che puntano a siti in giapponese (credo), funzionanti e che hanno ben poco a che fare con le truffe online.

La raccomandazione è sempre la stessa: STATE ATTENTI.

Per la felicità di una persona a caso (e per tutti gli altri interessati) spiego velocissimamente come creare delle “Update Policy” via Sophos Enterprise Console affinché l’utente non debba toccare nulla dell’agent installato sulla propria macchina.

Si parte da una breve introduzione all’inserimento del client nelle cartelle / categorie di classificazione per finire poi alle policy impartite dall’amministratore di sistema, non modificabili da un utente normale.

Do per scontato che il PC sia in dominio, quindi riconosciuto dalla console enterprise (dovrebbe funzionare anche se il PC è fuori dominio ma non garantisco :P ). Occorre trascinare la sua icona dal Global Group (dove si trovano tutti i PC rilevati) in Unassigned per prepararlo all’installazione.

Fatto ciò si può tranquillamente spostare nella cartella interessata e fargli avviare l’installazione dell’antivirus.

Ciascuna cartella lavora secondo le policy impostate dall’amministratore. Sophos prevede 4 tipi di policy predefinite:

  • Updating
  • Anti-virus and HIPS
  • Application Control
  • Firewall

Se si fa clic destro su una delle voci si può selezionare “Create Policy” e procedere alla definizione dei permessi da concedere / negare al gruppo che erediterà tale policy.

Indicare un server interno (o esposto su internet nel caso in cui si parli di portatili che vengono utilizzati anche da casa senza vpn aziendale) nel primo campo (Address) e specificare le credenziali di amministratore di rete (Username / Password / Confirm password).

Solo ed esclusivamente se si possiede una seconda macchina specificarlo nella scheda “Secondary Server“, altrimenti proseguire.

Occorrerà effettuare la stessa operazione per tutti i sistemi operativi supportati da Sophos (l’immagine sopra mostra la configurazione delle policy per sistemi Windows 2000 e superiori).

Il ragionamento vale in ugual modo per le altre 3 tipologie di policy. Ad esempio quella Anti-virus and HIPS si presenta così:

E anch’essa è organizzata in sottogruppi dai quali far dipendere le macchine protette da console.

Finita la parte più macchinosa si passa all’assegnazione delle policy ai vari gruppi / cartelle contenenti le macchine protette. Cliccare con il tasto destro su una cartella e selezionare la voce “View group policy details…“:

Dando in pasto al gruppo la policy appena creata costringiamo il Sophos a seguire le nostre direttive e non quello che decide l’utente attraverso l’agent presente sulla macchina protetta. Confermando la scelta e attendendo qualche secondo per la propagazione delle regole (a patto che le macchine da proteggere siano accese) il risultato assomiglierà al seguente:

Nulla potrà essere modificato e l’utente potrà solo cliccare due volte sull’icona nella tray per forzare l’aggiornamento. Ergo: nulla di nocivo e tutto controllato da console :)

Farò “mezza felicità” con questa nuova serie di articoli (inaugurata proprio con CRT) per chi –come me– sta affrontando una migrazione antivirus presso la propria azienda o un cliente.

Sophos, allo stato attuale, è un buon software di protezione antivirus che mette a disposizione del sysadmin una discreta console enterprise centralizzata per tenere tutto sotto controllo (client / policy / update / statistiche diffusioni malware).

Da questa si potranno lanciare installazioni del client AV da remoto, sfruttando il dominio e le credenziali di amministratore di rete. Se però il PC ha già un suo antivirus potrebbero nascere dei conflitti che creerebbero solo rogne ed inutili perdite di tempo. Sophos offre quindi una utility per la rimozione automatica e sicura del software altrui:

Sophos Competitor Removal Tool
sophos.com/security/topic/upgrading.html

Esso si basa su una lista di “competitor” in XML. Al suo interno nomi, percorsi e chiavi di registro che saranno eliminate durante il processo automatico. Quanto già fatto insieme ad un collega (grazie Massimo! :P ) è una semplice gabola (suggerita da un ingegnere Sophos) che permette di lanciare il removal nella fase di pre-installazione client.

CRT 1.4.3 è disponibile all’indirizzo:
sophos.com/tools/crt143sfx.exe (qui nel caso in cui Sophos cambi indirizzo all’eseguibile) ed allo stesso indirizzo –sempre su GxWare– le due liste di competitor attualmente compatibili (quindi disinstallabili automaticamente).

Velocemente la procedura da seguire:

  • Scaricare e far scompattare crt143sfx.exe in C:
  • Copiare la cartella C:\crt143\Remover nella cartella di installazione automatica Enterprise, come in figura

Dalla prossima installazione remota verrà lanciato automaticamente Sophos Competitor Removal Tool.

Giovedì si lotta contro Antivir, non ancora previsto dal remover.

Minor update di X-Files rilasciato per includere il blocco di un fastidioso banner flash nell’area “Il mio eBay” che faceva innalzare i consumi CPU al 100% utilizzando Firefox. Sul forum di Mozilla Italia è stato analizzato il problema:

forum.mozillaitalia.org/index.php?topic=30261.0

Dettagli sul rilascio:

  • versione: 071207
  • voci incluse: 830
  • voci nuove: 10 (rispetto alla v.251007)

Aggiornamento automatico:

Se AdBlock Plus è impostato per cercare automaticamente gli aggiornamenti delle sottoscrizioni, l’ultima data di sincronizzazione dovrebbe corrispondere a oggi:

Nel caso in cui questo non sia accaduto o avete deciso di fare tutto “a mano“, proseguite con la lettura del paragrafo successivo.

Aggiornamento manuale

  • Dal pulsante di AdBlock presente nella toolbar di Firefox cliccare sulla freccia opzioni e selezionare “Impostazioni“;
  • Fare clic destro sulla sottoscrizione X-Files e selezionare la voce “Aggiorna la sottoscrizione ora

Per qualsiasi problema l’area commenti è a vostra disposizione. Sul gruppo it-GxWare di Google ho aperto una discussione dove potrete segnalare eventuali altre voci da integrare nella prossima versione X-Files!

Buon update :)