Archives For Sicurezza

Capita sporadicamente che Sophos non vada particolarmente d’accordo con il remover realizzato dalla stessa casa madre. Questo porta ad un messaggio generico che recita:

Impossibile installare Sophos Anti-Virus perché non è stato possibile disinstallare il software antivirus di terzi.

Risolvere questo piccolo inconveniente è questione di pochi minuti. L’unica rogna sta proprio nel fatto che non si riesce a godere (in questi sporadici casi) della comodità offerta dal remover automatico.

Eseguire -quindi- in successione:

  • disinstallazione completa dell’antivirus presente nella macchina (fino ad ora mi è capitato con qualche Trend Micro che non voleva saperne di abbandonare la macchina);
  • riavvio della macchina per applicare le modifiche fatte;
  • accesso al server dell’antivirus (\\sophos in uno dei miei casi), cartella InterChk, sotto-cartella che ci interessa (in base al sistema operativo utilizzato dal client);
  • rinominare la cartella Remover in Remover.old;
  • lanciare Setup.exe, fornire le credenziali di amministratore locale della macchina o di dominio e procedere con l’installazione;
  • a fine installazione accedere alla Console Enterprise, individuare il computer appena preparato (generalmente in “Nessun gruppo”) e spostarlo nella cartella con le policy che ci interessa applicare sulla macchina!
  • ricordarsi di rinominare nuovamente Remover.old in Remover.

Così facendo il Sophos si installerà senza creare ulteriori problemi. Se pensate che il vecchio antivirus possa aver lasciato delle tracce nel registro di sistema nonostante il riavvio della macchina, la regia consiglia “un’ottima passata di straccio” con un apposito programma (CCleaner uno tra tanti).

Buon lavoro :)

Arrivata su tutte le mie mailbox (ma proprio tutte, un assedio!) e con link che riporta ad un sito truffa (prontamente oscurato dal reale proprietario del dominio). E’ la nuova truffa telematica ai danni di UBI Banca (www.ubibanca.it). Il contenuto della mail è il seguente:

Cari Ubi Internet Banking clienti

A causa del numero di tentativi di accesso errati, il Ubi Internet Banking account e stato bloccato per la vostra sicurezza su 02/01/2008. E necessario reimpostare la tua Password prima di poter entrare Online Banking. E possibile reimpostare la tua Password semplicemente con un clic sul link qui sotto.

https://www.quiubi.it/hb/loginAction.do/schiudere.jsp

Ubi Internet Banking a cura di noi la vostra sicurezza, per la vostra protezione stiamo attivamente notifica di questa attivita.

Desidera confermare questa email e da Ubi Internet Banking? Accedi al Online Banking, selezionare Gestione avvisi Avvisi e Storia per vedere tutti gli avvisi inviati da Ubi Internet Banking. Avvisi vostra storia e aggiornata ogni 2 ore.

Ci scusiamo per gli eventuali disagi.

Cordiali saluti, Assistenza clienti Ubi

La truffa è servita, ancora più facile da capire rispetto al solito, l’italiano non è certo di casa. L’indirizzo riporta in realtà a:

ubi.caligas.com.mx/entra.html

che attualmente risulta essere non raggiungibile (fortunatamente). Contrariamente alle altre volte la mail è partita da un dominio completamente sconosciuto a UBI Banca e bisognerebbe già insospettirsi per questo, ma tant’è!

From - Thu Jan 31 17:15:41 2008
X-Account-Key: account4
X-UIDL: UID3983-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <root@master.sivit.org>
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in05.email.it [127.0.0.1])
by smtp-in05.email.it (Postfix) with ESMTP id 0677C44037
for <ilgiova@email.it>; Thu, 31 Jan 2008 17:12:16 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
Received: from smtp-in05.email.it ([127.0.0.1])
by localhost (smtp-in05.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id eUoZlsegK3m9 for <ilgiova@email.it>;
Thu, 31 Jan 2008 17:12:15 +0100 (CET)
Received: from vds325.sivit.org (vds325.sivit.org [80.248.218.23])
by smtp-in05.email.it (Postfix) with ESMTP id CB4AB44032
for <ilgiova@email.it>; Thu, 31 Jan 2008 17:12:15 +0100 (CET)
Received: by vds325.sivit.org (Postfix, from userid 0)
id CF7B514C623; Thu, 31 Jan 2008 17:09:36 +0100 (CET)
To: ilgiova@email.it
Subject: Ubi Internet Banking Avviso: codice bloccato online
From: ubi@codice.it
Content-Type: text/html
Message-Id: <20080131160936.CF7B514C623@vds325.sivit.org>
Date: Thu, 31 Jan 2008 17:09:36 +0100 (CET)
X-Antivirus: avast! (VPS 080131-1, 31/01/2008), Inbound message
X-Antivirus-Status: Clean

Il dominio scelto (codice.it) è assolutamente fuori da qualsivoglia schema di attacco phishing utilizzato fino ad ora. La mail è partita -in realtà- da tale simpatico indirizzo:

  • Return-Path: <root@master.sivit.org>
  • Received: from vds325.sivit.org (vds325.sivit.org [80.248.218.23])
  • Received: by vds325.sivit.org (Postfix, from userid 0)

Il server sivit.org ha IP 194.146.224.129 (qua tutte le informazioni) e monta Apache/1.3.33 (Debian GNU/Linux) PHP/4.3.10-19 mod_ssl/2.8.22 OpenSSL/0.9.7e, a questo punto non capisco se sia stato bucato o sia colpa di qualche buontempone che ha regolare accesso alla macchina :)

Questo è quanto anche per stavolta, state attenti ;)

Il bello di Sophos è che ha a disposizione migliaia di errori da tirar fuori nei momenti meno opportuni, non ci sarebbe gusto se la cosa fosse troppo semplice!

Nel corso di un’installazione client su Windows XP Pro SP2 spunta fuori il seguente errore:

Errore 00000030: L’installazione comporta la creazione di un’operazione pianificata nel computer. E’ necessario che il servizio Utilità di pianificazione sia in esecuzione.

Inizialmente può passare per la testa che si tratti di un servizio strettamente legato alla console enterprise, un modulo mancato o simile. L’Utilità di pianificazione in realtà è uno dei tanti servizi che generalmente Windows avvia in fase di boot.

Su alcune macchine viene disattivato dall’utente (per sbaglio, per volere…) o da programmi di terze parti. A quel punto basta andare in Pannello di Controllo / Strumenti di amministrazione / Servizi e avviarlo (lasciando il tipo di avvio in automatico per la prossima volta):

Si potrà quindi procedere all’installazione del client, Sophos non dovrebbe più dare errore.

Secunia lo conosciamo un pò tutti (almeno nel settore informatico): si tratta di uno dei maggiori (se non il più grande) portali sulla sicurezza di software stand alone / piattaforme web / diffusione virus.

Ne faccio volentieri un uso sproporzionato prima di scegliere un software da consigliare al cliente o all’amico, prima di montare una piattaforma web sul mio server o per conoscere le ultime novità attraverso il loro blog (nato relativamente da poco).

Il 18 dicembre scorso Secunia ha compiuto un ennesimo passo in avanti realizzando un piccolo tool che permette di fare uno scan completo della macchina da noi utilizzata affinché si possano individuare vecchie versioni di software bacate da sostituire con le ultime uscite. Si chiama Secunia Personal Software Inspector, PSIper gli amici” ;)

Fatta l’installazione sul mio Windows Vista ho immediatamente lanciato una scansione per stilare un breve test su strada. Qualche veloce informazione prima di cominciare:

  • il programma è completamente gratuito
  • è stata rilasciata (18.12.07) la versione RC1. Le versioni Release Candidate (così come per Mozilla Firefox) sono le ultime pacchettizzazioni di test rilasciate prima della pubblicazione di una “stable” scaricabile da utenza non necessariamente esperta o in grado di scovare eventuali lacune nel software. Se l’ultima versione RC soddisfa tutti i parametri di partenza automaticamente (90% dei casi) viene trasformata in stable per il rilascio di massa
  • unica localizzazione presente: inglese, con la speranza di poter vedere il programma in italiano prossimamente
  • occupa 1.03 MB su disco e circa 30 MB in memoria RAM, abbastanza leggero
  • necessita di diritti amministrativi per l’esecuzione, vade retro nel caso in cui siate utenti normali sprovvisti di password con privilegi maggiori

Installazione e primo avvio

Semplice e veloce. Si scarica il client dal sito web psi.secunia.com e lo si installa. A fine processo si può avviare il programma direttamente. Gli utenti XP/2000/inferiori potranno procedere lasciando l’opzione spuntata, per gli utenti Vista consiglio di dare una occhiata al consiglio qui di seguito.

Sono un utente vista Vista: clic destro sull’eseguibile (C:\program files\secunia\PSI (RC1)\psi.exe), selezionare scheda Compatibilità, spuntare l’opzione “Esegui questo programma come amministratore” e confermare con OK.

Sono un utente Windows generico: PSI necessita di una connessione a internet. Esso scarica le definizioni delle falle ed altre informazioni dal sito principale (Secunia – https://psi.secunia.com:443) e dal sito della Microsoft (Windows Update).

Al primo avvio PSI farà tutto da solo lanciando una prima scansione:

Al termine verrà stilato un breve rapporto delle applicazioni non sicure installate sulla macchina:

Con possibilità di leggere dettagli, scaricare la soluzione, farsi guidare nella riparazione della falla, rimuovere il programma e tante altre informazioni, solo in lingua inglese per il momento.

La soluzione

Il tasto “Download Solution” non farà altro che lanciare il download dell’ultima versione disponibile dell’applicativo, generalmente si tratta di quella con falle nulle o non ancora trovate (dico ovvietà ;) ). Il vantaggio sta nel fatto che a noi non toccherà saltellare di pagina web in pagina web per trovare il giusto eseguibile da installare:

Una volta scaricati due o tre pacchetti ho fatto l’aggiornamento e atteso una reazione da parte del programma che non ha tardato a mostrarsi:

PSI ha infatti un motore sempre attivo che controlla costantemente l’attività della macchina. La piccola icona raffigurante il logo di Secunia si trova nella tray di Windows, proprio vicino l’orologio :)

Ignorare le falle di una vecchia versione

Se invece non vogliamo aggiornare un programma (una versione alla quale siamo affezionati o un download oneroso che non possiamo avviare con una connessione troppo lenta o con tariffazione a MB / ore di collegamento) si seleziona “Ignore application” confermando l’azione. Il consiglio è quello di utilizzare il meno possibile tale feature, siete scoperti contro possibili attacchi dall’esterno:

Il programma penserà che quest’ultima sia stata rimossa dal sistema. In un secondo momento potremo eliminare l’applicazione dalla sua blacklist (affinché venga nuovamente rilevata).

Statistiche, grazie!

La scheda Overview permette di farsi un’idea veloce sul livello di sicurezza attuale della macchina utilizzata. Verranno stilati grafici che mostreranno la percentuale di applicazioni correttamente aggiornate, potenzialmente pericolose, insicure, non più supportate dai produttori.

Come non ti aggiorno l’applicazione

Voi, inguaribili romanticoni particolarmente legati ad applicazioni dell’anteguerra non più supportate dal realizzatore siete “a rischio“. Probabilmente nessun virus o exploit via web andrà mai ad attaccare un programma del 97 (o giù di li) ma PSI ci tiene ugualmente a farvi sapere che tali applicazioni sono insicure e non più aggiornate / aggiornabili. La scheda End-of-Life serve proprio a quello!

In conclusione

PSI è un software giovane da tenere certamente sotto osservazione. L’azienda è seria e ha già ampiamente dimostrato di conoscere bene l’argomento trattato. Nonostante si tratti di una versione RC consiglio l’installazione anche all’utenza che utilizza il computer per navigare e vuole mantenere aggiornati i propri applicativi.

Buon update ;)

Nuova truffa, stesso obiettivo: clienti di Poste Italiane e utenti inesperti in generale. A distanza di pochissimo tempo dall’ultimo caso di phishing ecco arrivare la nuova mail contenente grossolani errori di forma ed un indirizzo di partenza alquanto ridicolo: polizia@postale.it (notare che il sito postale.it non c’entra assolutamente nulla con la vera Polizia).

Il testo della mail recita:

Gentile Cliente,
Nell'ambito delle misure di sicurezza da noi adottate, controlliamo costantemente le attività del sistema. Durante una recente verifica, abbiamo rilevato un problema riguardante il tuo conto.
Attività insolite del conto hanno reso necessaria una limitazione dell'accesso al conto fino a quando non verranno raccolte ulteriori informazioni di verifica.
Abbiamo deciso di limitare l'accesso al tuo conto fino a quando non verrà completata l'implementazione di misure di sicurezza aggiuntive.
Per controllare il tuo conto e le informazioni che Poste italiane ha utilizzato per decretare di limitare l'accesso al conto, visita il link qui sotto:
https://www.poste.it/online/personale/login-home.fcc?VERIFICA

Se, dopo aver controllato le informazioni sul conto, desideri ulteriori chiarimenti riguardo all'accesso al conto, contatta in nostro sito utilizzando il modulo Contattaci nell'Aiuto.

Nel ringraziarti per la collaborazione, ti ricordiamo che questa è una misura di sicurezza il cui scopo è quello di garantire la tutela degli utenti e dei conti.
Ci scusiamo per gli eventuali disagi.
Cordiali saluti,
Assistenza clienti Poste italiane
----------------------------------------------------------------
© Poste italiane 2007. Tutti i diritti riservati.

Ho volutamente disattivato il link contenuto nel testo in quanto questo puntava a bancopostaonline.mify.net/entra.php, pagina appositamente realizzata per raccogliere le credenziali delle vittime cadute nella trappola.

Gli errori da notare:

  • l’oggetto della mail è privo di senso: “Nell’ambito delle misure di sicurezza da noi adottate“.
  • un problema riguardante il tuo conto“: le comunicazioni ufficiali di Poste Italiane riportano sempre e comunque la terza persona. Al cliente viene dato del “lei“.
  • ripetizione di conto / limitazione / nuove misure di sicurezza: basterebbe un’unica frase ben impostata ma viene ripetuta per ben 3 volte la stessa cosa utilizzando parole identiche poste in differenti modi.
  • contatta in nostro sito“: tipica traduzione da Google Translate o simili. Se provate a leggere bene la frase noterete che è priva di senso logico.

Ancora una volta l’errore più grosso è sempre lo stesso: Poste Italiane (così come qualsiasi altro istituto bancario italiano) non richiederà mai la conferma delle proprie credenziali con una mail. Se necessario (mai fino ad ora) invierà comunicazione scritta a mezzo posta ordinaria.

Qui di seguito il reale header della mail con tanto di indirizzo e server di partenza:

From - Thu Dec 20 16:45:31 2007
X-Account-Key: account4
X-UIDL: UID3854-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in06.email.it [127.0.0.1])
by smtp-in06.email.it (Postfix) with ESMTP id EE6A444018
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
X-Spam-Score: 4.519
X-Spam-Level: ****
X-Spam-Status: No, score=4.519 tagged_above=3 required=7 tests=[AWL=-0.773,
DATE_IN_PAST_03_06=0.478, HTML_10_20=1.351, HTML_MESSAGE=0.001,
MIME_HEADER_CTYPE_ONLY=0, MIME_HTML_ONLY=0.001, NO_REAL_NAME=0.961,
RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E4_51_100=1.5,
RAZOR2_CHECK=0.5]
Received: from smtp-in06.email.it ([127.0.0.1])
by localhost (smtp-in06.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id l6ms6TFDq-qO for ;
Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: from mail2.kitz.net (217-14-229-34.users.kitz.net [217.14.229.34])
by smtp-in06.email.it (Postfix) with SMTP id A3A9044015
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: (qmail 25588 invoked by uid 0); 20 Dec 2007 02:24:12 -0000
Date: 20 Dec 2007 02:24:12 -0000
Message-ID:
To: ilgiova@email.it
Subject: Nell'ambito delle misure di sicurezza da noi adottate.
From: polizia@postale.it
Content-Type: text/html
X-Antivirus: avast! (VPS 071219-0, 19/12/2007), Inbound message
X-Antivirus-Status: Clean

Riepilogo:

  • la mailbox di partenza è un fake, non è stato coinvolto in nessun caso postale.it
  • server di partenza: mail2.kitz.net (217-14-229-34.users.kitz.net)
  • ip: 217.14.229.34
  • whois del dominio: disponibile cliccando qui

Il sito al quale si viene rediretti in caso di click sul link è ora irraggiungibile. Se usate Firefox noterete l’avviso di sicurezza che vi invita ad abbandonare il sito contraffatto. Qui di seguito voglio comunque proporvi le solite informazioni riguardanti la registrazione del dominio:

Registrant:
none
Crone Ave
Anaheim, California 92800
United States
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: MIFY.NET
Created on: 21-Apr-03
Expires on: 21-Apr-13
Last Updated on: 01-Nov-05
Administrative Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Technical Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Domain servers in listed order:
NS1.MIFY.NET
NS2.MIFY.NET

La home page contiene solo due link che puntano a siti in giapponese (credo), funzionanti e che hanno ben poco a che fare con le truffe online.

La raccomandazione è sempre la stessa: STATE ATTENTI.