Archives For Sicurezza

Arrivata su tutte le mie mailbox (ma proprio tutte, un assedio!) e con link che riporta ad un sito truffa (prontamente oscurato dal reale proprietario del dominio). E’ la nuova truffa telematica ai danni di UBI Banca (www.ubibanca.it). Il contenuto della mail è il seguente:

Cari Ubi Internet Banking clienti

A causa del numero di tentativi di accesso errati, il Ubi Internet Banking account e stato bloccato per la vostra sicurezza su 02/01/2008. E necessario reimpostare la tua Password prima di poter entrare Online Banking. E possibile reimpostare la tua Password semplicemente con un clic sul link qui sotto.

https://www.quiubi.it/hb/loginAction.do/schiudere.jsp

Ubi Internet Banking a cura di noi la vostra sicurezza, per la vostra protezione stiamo attivamente notifica di questa attivita.

Desidera confermare questa email e da Ubi Internet Banking? Accedi al Online Banking, selezionare Gestione avvisi Avvisi e Storia per vedere tutti gli avvisi inviati da Ubi Internet Banking. Avvisi vostra storia e aggiornata ogni 2 ore.

Ci scusiamo per gli eventuali disagi.

Cordiali saluti, Assistenza clienti Ubi

La truffa è servita, ancora più facile da capire rispetto al solito, l’italiano non è certo di casa. L’indirizzo riporta in realtà a:

ubi.caligas.com.mx/entra.html

che attualmente risulta essere non raggiungibile (fortunatamente). Contrariamente alle altre volte la mail è partita da un dominio completamente sconosciuto a UBI Banca e bisognerebbe già insospettirsi per questo, ma tant’è!

From - Thu Jan 31 17:15:41 2008
X-Account-Key: account4
X-UIDL: UID3983-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <root@master.sivit.org>
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in05.email.it [127.0.0.1])
by smtp-in05.email.it (Postfix) with ESMTP id 0677C44037
for <ilgiova@email.it>; Thu, 31 Jan 2008 17:12:16 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
Received: from smtp-in05.email.it ([127.0.0.1])
by localhost (smtp-in05.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id eUoZlsegK3m9 for <ilgiova@email.it>;
Thu, 31 Jan 2008 17:12:15 +0100 (CET)
Received: from vds325.sivit.org (vds325.sivit.org [80.248.218.23])
by smtp-in05.email.it (Postfix) with ESMTP id CB4AB44032
for <ilgiova@email.it>; Thu, 31 Jan 2008 17:12:15 +0100 (CET)
Received: by vds325.sivit.org (Postfix, from userid 0)
id CF7B514C623; Thu, 31 Jan 2008 17:09:36 +0100 (CET)
To: ilgiova@email.it
Subject: Ubi Internet Banking Avviso: codice bloccato online
From: ubi@codice.it
Content-Type: text/html
Message-Id: <20080131160936.CF7B514C623@vds325.sivit.org>
Date: Thu, 31 Jan 2008 17:09:36 +0100 (CET)
X-Antivirus: avast! (VPS 080131-1, 31/01/2008), Inbound message
X-Antivirus-Status: Clean

Il dominio scelto (codice.it) è assolutamente fuori da qualsivoglia schema di attacco phishing utilizzato fino ad ora. La mail è partita -in realtà- da tale simpatico indirizzo:

  • Return-Path: <root@master.sivit.org>
  • Received: from vds325.sivit.org (vds325.sivit.org [80.248.218.23])
  • Received: by vds325.sivit.org (Postfix, from userid 0)

Il server sivit.org ha IP 194.146.224.129 (qua tutte le informazioni) e monta Apache/1.3.33 (Debian GNU/Linux) PHP/4.3.10-19 mod_ssl/2.8.22 OpenSSL/0.9.7e, a questo punto non capisco se sia stato bucato o sia colpa di qualche buontempone che ha regolare accesso alla macchina :)

Questo è quanto anche per stavolta, state attenti ;)

Condividi l'articolo con i tuoi contatti:

Il bello di Sophos è che ha a disposizione migliaia di errori da tirar fuori nei momenti meno opportuni, non ci sarebbe gusto se la cosa fosse troppo semplice!

Nel corso di un’installazione client su Windows XP Pro SP2 spunta fuori il seguente errore:

Errore 00000030: L’installazione comporta la creazione di un’operazione pianificata nel computer. E’ necessario che il servizio Utilità di pianificazione sia in esecuzione.

Inizialmente può passare per la testa che si tratti di un servizio strettamente legato alla console enterprise, un modulo mancato o simile. L’Utilità di pianificazione in realtà è uno dei tanti servizi che generalmente Windows avvia in fase di boot.

Su alcune macchine viene disattivato dall’utente (per sbaglio, per volere…) o da programmi di terze parti. A quel punto basta andare in Pannello di Controllo / Strumenti di amministrazione / Servizi e avviarlo (lasciando il tipo di avvio in automatico per la prossima volta):

Si potrà quindi procedere all’installazione del client, Sophos non dovrebbe più dare errore.

Condividi l'articolo con i tuoi contatti:

Secunia lo conosciamo un pò tutti (almeno nel settore informatico): si tratta di uno dei maggiori (se non il più grande) portali sulla sicurezza di software stand alone / piattaforme web / diffusione virus.

Ne faccio volentieri un uso sproporzionato prima di scegliere un software da consigliare al cliente o all’amico, prima di montare una piattaforma web sul mio server o per conoscere le ultime novità attraverso il loro blog (nato relativamente da poco).

Il 18 dicembre scorso Secunia ha compiuto un ennesimo passo in avanti realizzando un piccolo tool che permette di fare uno scan completo della macchina da noi utilizzata affinché si possano individuare vecchie versioni di software bacate da sostituire con le ultime uscite. Si chiama Secunia Personal Software Inspector, PSIper gli amici” ;)

Fatta l’installazione sul mio Windows Vista ho immediatamente lanciato una scansione per stilare un breve test su strada. Qualche veloce informazione prima di cominciare:

  • il programma è completamente gratuito
  • è stata rilasciata (18.12.07) la versione RC1. Le versioni Release Candidate (così come per Mozilla Firefox) sono le ultime pacchettizzazioni di test rilasciate prima della pubblicazione di una “stable” scaricabile da utenza non necessariamente esperta o in grado di scovare eventuali lacune nel software. Se l’ultima versione RC soddisfa tutti i parametri di partenza automaticamente (90% dei casi) viene trasformata in stable per il rilascio di massa
  • unica localizzazione presente: inglese, con la speranza di poter vedere il programma in italiano prossimamente
  • occupa 1.03 MB su disco e circa 30 MB in memoria RAM, abbastanza leggero
  • necessita di diritti amministrativi per l’esecuzione, vade retro nel caso in cui siate utenti normali sprovvisti di password con privilegi maggiori

Installazione e primo avvio

Semplice e veloce. Si scarica il client dal sito web psi.secunia.com e lo si installa. A fine processo si può avviare il programma direttamente. Gli utenti XP/2000/inferiori potranno procedere lasciando l’opzione spuntata, per gli utenti Vista consiglio di dare una occhiata al consiglio qui di seguito.

Sono un utente vista Vista: clic destro sull’eseguibile (C:\program files\secunia\PSI (RC1)\psi.exe), selezionare scheda Compatibilità, spuntare l’opzione “Esegui questo programma come amministratore” e confermare con OK.

Sono un utente Windows generico: PSI necessita di una connessione a internet. Esso scarica le definizioni delle falle ed altre informazioni dal sito principale (Secunia – https://psi.secunia.com:443) e dal sito della Microsoft (Windows Update).

Al primo avvio PSI farà tutto da solo lanciando una prima scansione:

Al termine verrà stilato un breve rapporto delle applicazioni non sicure installate sulla macchina:

Con possibilità di leggere dettagli, scaricare la soluzione, farsi guidare nella riparazione della falla, rimuovere il programma e tante altre informazioni, solo in lingua inglese per il momento.

La soluzione

Il tasto “Download Solution” non farà altro che lanciare il download dell’ultima versione disponibile dell’applicativo, generalmente si tratta di quella con falle nulle o non ancora trovate (dico ovvietà ;) ). Il vantaggio sta nel fatto che a noi non toccherà saltellare di pagina web in pagina web per trovare il giusto eseguibile da installare:

Una volta scaricati due o tre pacchetti ho fatto l’aggiornamento e atteso una reazione da parte del programma che non ha tardato a mostrarsi:

PSI ha infatti un motore sempre attivo che controlla costantemente l’attività della macchina. La piccola icona raffigurante il logo di Secunia si trova nella tray di Windows, proprio vicino l’orologio :)

Ignorare le falle di una vecchia versione

Se invece non vogliamo aggiornare un programma (una versione alla quale siamo affezionati o un download oneroso che non possiamo avviare con una connessione troppo lenta o con tariffazione a MB / ore di collegamento) si seleziona “Ignore application” confermando l’azione. Il consiglio è quello di utilizzare il meno possibile tale feature, siete scoperti contro possibili attacchi dall’esterno:

Il programma penserà che quest’ultima sia stata rimossa dal sistema. In un secondo momento potremo eliminare l’applicazione dalla sua blacklist (affinché venga nuovamente rilevata).

Statistiche, grazie!

La scheda Overview permette di farsi un’idea veloce sul livello di sicurezza attuale della macchina utilizzata. Verranno stilati grafici che mostreranno la percentuale di applicazioni correttamente aggiornate, potenzialmente pericolose, insicure, non più supportate dai produttori.

Come non ti aggiorno l’applicazione

Voi, inguaribili romanticoni particolarmente legati ad applicazioni dell’anteguerra non più supportate dal realizzatore siete “a rischio“. Probabilmente nessun virus o exploit via web andrà mai ad attaccare un programma del 97 (o giù di li) ma PSI ci tiene ugualmente a farvi sapere che tali applicazioni sono insicure e non più aggiornate / aggiornabili. La scheda End-of-Life serve proprio a quello!

In conclusione

PSI è un software giovane da tenere certamente sotto osservazione. L’azienda è seria e ha già ampiamente dimostrato di conoscere bene l’argomento trattato. Nonostante si tratti di una versione RC consiglio l’installazione anche all’utenza che utilizza il computer per navigare e vuole mantenere aggiornati i propri applicativi.

Buon update ;)

Condividi l'articolo con i tuoi contatti:

Nuova truffa, stesso obiettivo: clienti di Poste Italiane e utenti inesperti in generale. A distanza di pochissimo tempo dall’ultimo caso di phishing ecco arrivare la nuova mail contenente grossolani errori di forma ed un indirizzo di partenza alquanto ridicolo: polizia@postale.it (notare che il sito postale.it non c’entra assolutamente nulla con la vera Polizia).

Il testo della mail recita:

Gentile Cliente,
Nell'ambito delle misure di sicurezza da noi adottate, controlliamo costantemente le attività del sistema. Durante una recente verifica, abbiamo rilevato un problema riguardante il tuo conto.
Attività insolite del conto hanno reso necessaria una limitazione dell'accesso al conto fino a quando non verranno raccolte ulteriori informazioni di verifica.
Abbiamo deciso di limitare l'accesso al tuo conto fino a quando non verrà completata l'implementazione di misure di sicurezza aggiuntive.
Per controllare il tuo conto e le informazioni che Poste italiane ha utilizzato per decretare di limitare l'accesso al conto, visita il link qui sotto:
https://www.poste.it/online/personale/login-home.fcc?VERIFICA

Se, dopo aver controllato le informazioni sul conto, desideri ulteriori chiarimenti riguardo all'accesso al conto, contatta in nostro sito utilizzando il modulo Contattaci nell'Aiuto.

Nel ringraziarti per la collaborazione, ti ricordiamo che questa è una misura di sicurezza il cui scopo è quello di garantire la tutela degli utenti e dei conti.
Ci scusiamo per gli eventuali disagi.
Cordiali saluti,
Assistenza clienti Poste italiane
----------------------------------------------------------------
© Poste italiane 2007. Tutti i diritti riservati.

Ho volutamente disattivato il link contenuto nel testo in quanto questo puntava a bancopostaonline.mify.net/entra.php, pagina appositamente realizzata per raccogliere le credenziali delle vittime cadute nella trappola.

Gli errori da notare:

  • l’oggetto della mail è privo di senso: “Nell’ambito delle misure di sicurezza da noi adottate“.
  • un problema riguardante il tuo conto“: le comunicazioni ufficiali di Poste Italiane riportano sempre e comunque la terza persona. Al cliente viene dato del “lei“.
  • ripetizione di conto / limitazione / nuove misure di sicurezza: basterebbe un’unica frase ben impostata ma viene ripetuta per ben 3 volte la stessa cosa utilizzando parole identiche poste in differenti modi.
  • contatta in nostro sito“: tipica traduzione da Google Translate o simili. Se provate a leggere bene la frase noterete che è priva di senso logico.

Ancora una volta l’errore più grosso è sempre lo stesso: Poste Italiane (così come qualsiasi altro istituto bancario italiano) non richiederà mai la conferma delle proprie credenziali con una mail. Se necessario (mai fino ad ora) invierà comunicazione scritta a mezzo posta ordinaria.

Qui di seguito il reale header della mail con tanto di indirizzo e server di partenza:

From - Thu Dec 20 16:45:31 2007
X-Account-Key: account4
X-UIDL: UID3854-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in06.email.it [127.0.0.1])
by smtp-in06.email.it (Postfix) with ESMTP id EE6A444018
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
X-Spam-Score: 4.519
X-Spam-Level: ****
X-Spam-Status: No, score=4.519 tagged_above=3 required=7 tests=[AWL=-0.773,
DATE_IN_PAST_03_06=0.478, HTML_10_20=1.351, HTML_MESSAGE=0.001,
MIME_HEADER_CTYPE_ONLY=0, MIME_HTML_ONLY=0.001, NO_REAL_NAME=0.961,
RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E4_51_100=1.5,
RAZOR2_CHECK=0.5]
Received: from smtp-in06.email.it ([127.0.0.1])
by localhost (smtp-in06.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id l6ms6TFDq-qO for ;
Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: from mail2.kitz.net (217-14-229-34.users.kitz.net [217.14.229.34])
by smtp-in06.email.it (Postfix) with SMTP id A3A9044015
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: (qmail 25588 invoked by uid 0); 20 Dec 2007 02:24:12 -0000
Date: 20 Dec 2007 02:24:12 -0000
Message-ID:
To: ilgiova@email.it
Subject: Nell'ambito delle misure di sicurezza da noi adottate.
From: polizia@postale.it
Content-Type: text/html
X-Antivirus: avast! (VPS 071219-0, 19/12/2007), Inbound message
X-Antivirus-Status: Clean

Riepilogo:

  • la mailbox di partenza è un fake, non è stato coinvolto in nessun caso postale.it
  • server di partenza: mail2.kitz.net (217-14-229-34.users.kitz.net)
  • ip: 217.14.229.34
  • whois del dominio: disponibile cliccando qui

Il sito al quale si viene rediretti in caso di click sul link è ora irraggiungibile. Se usate Firefox noterete l’avviso di sicurezza che vi invita ad abbandonare il sito contraffatto. Qui di seguito voglio comunque proporvi le solite informazioni riguardanti la registrazione del dominio:

Registrant:
none
Crone Ave
Anaheim, California 92800
United States
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: MIFY.NET
Created on: 21-Apr-03
Expires on: 21-Apr-13
Last Updated on: 01-Nov-05
Administrative Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Technical Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Domain servers in listed order:
NS1.MIFY.NET
NS2.MIFY.NET

La home page contiene solo due link che puntano a siti in giapponese (credo), funzionanti e che hanno ben poco a che fare con le truffe online.

La raccomandazione è sempre la stessa: STATE ATTENTI.

Condividi l'articolo con i tuoi contatti:

Per la felicità di una persona a caso (e per tutti gli altri interessati) spiego velocissimamente come creare delle “Update Policy” via Sophos Enterprise Console affinché l’utente non debba toccare nulla dell’agent installato sulla propria macchina.

Si parte da una breve introduzione all’inserimento del client nelle cartelle / categorie di classificazione per finire poi alle policy impartite dall’amministratore di sistema, non modificabili da un utente normale.

Do per scontato che il PC sia in dominio, quindi riconosciuto dalla console enterprise (dovrebbe funzionare anche se il PC è fuori dominio ma non garantisco :P ). Occorre trascinare la sua icona dal Global Group (dove si trovano tutti i PC rilevati) in Unassigned per prepararlo all’installazione.

Fatto ciò si può tranquillamente spostare nella cartella interessata e fargli avviare l’installazione dell’antivirus.

Ciascuna cartella lavora secondo le policy impostate dall’amministratore. Sophos prevede 4 tipi di policy predefinite:

  • Updating
  • Anti-virus and HIPS
  • Application Control
  • Firewall

Se si fa clic destro su una delle voci si può selezionare “Create Policy” e procedere alla definizione dei permessi da concedere / negare al gruppo che erediterà tale policy.

Indicare un server interno (o esposto su internet nel caso in cui si parli di portatili che vengono utilizzati anche da casa senza vpn aziendale) nel primo campo (Address) e specificare le credenziali di amministratore di rete (Username / Password / Confirm password).

Solo ed esclusivamente se si possiede una seconda macchina specificarlo nella scheda “Secondary Server“, altrimenti proseguire.

Occorrerà effettuare la stessa operazione per tutti i sistemi operativi supportati da Sophos (l’immagine sopra mostra la configurazione delle policy per sistemi Windows 2000 e superiori).

Il ragionamento vale in ugual modo per le altre 3 tipologie di policy. Ad esempio quella Anti-virus and HIPS si presenta così:

E anch’essa è organizzata in sottogruppi dai quali far dipendere le macchine protette da console.

Finita la parte più macchinosa si passa all’assegnazione delle policy ai vari gruppi / cartelle contenenti le macchine protette. Cliccare con il tasto destro su una cartella e selezionare la voce “View group policy details…“:

Dando in pasto al gruppo la policy appena creata costringiamo il Sophos a seguire le nostre direttive e non quello che decide l’utente attraverso l’agent presente sulla macchina protetta. Confermando la scelta e attendendo qualche secondo per la propagazione delle regole (a patto che le macchine da proteggere siano accese) il risultato assomiglierà al seguente:

Nulla potrà essere modificato e l’utente potrà solo cliccare due volte sull’icona nella tray per forzare l’aggiornamento. Ergo: nulla di nocivo e tutto controllato da console :)

Condividi l'articolo con i tuoi contatti: