Scritta da Bruce Schneier
Fondatore e CTO di BT Counterpane

Edizione italiana curata da Communication Valley SpA

CRYPTO-GRAM è una newsletter mensile gratuita che offre riassunti,
analisi, approfondimenti, e commenti sulla sicurezza (informatica e in
generale) e sulla crittografia.

Per consultare i numeri arretrati, o per iscriversi, andare
all'indirizzo:
<http://www.schneier.com/crypto-gram.html>.

Oppure si può leggere il presente numero direttamente sul Web,
all'indirizzo:
<http://www.schneier.com/crypto-gram-0702.html>.

Gli stessi articoli della newsletter sono disponibili sul blog di Bruce
Schneier "Schneier on Security": <http://www.schneier.com/blog>.

Crypto-Gram è anche consultabile in formato RSS.


** *** ***** ******* *********** *************

In questo numero:

Quando la messinscena di sicurezza funziona
Real ID: costi e benefici
Le ristampe di Crypto-Gram
Considerazioni sulla divulgazione totale
Inviare fotografie agli operatori dei servizi di emergenza
Il programma registered traveler "Clear"
News
Il DRM in Windows Vista
Le news di BT Counterpane
La psicologia della sicurezza
Un nuovo standard hash sicuro
Commenti dei lettori

http://www.ackronic.net/ackws/smf/index.php?topic=7181.0

Fonte:punto-informatico

Microsoft è pronta a distribuire il nuovo aggiornamento per il suo controverso strumento antipirateria Windows Genuine Advantage Notifications-Notifica (KB905474) che dovrebbe apparire presto su Windows Update e Aggiornamenti Automatici in tutti i mercati internazionali. La nuova versione del tool, rilasciata a Novembre solo per alcuni sistemi con chiavi compromesse conosciute e già disponibile in inglese al download manuale, integra varie modifiche basate sul customer feedback ricevuto durante gli scorsi mesi. Contestualmente alla nuova release Microsoft ha aggiornato il "look and feel" della pagina dedicata a WGA, ha reso disponibile un nuovo strumento web-based di diagnostica per WGA e OGA ed ha pubblicato numerose informazioni addizionali su WGA Notifications.

links e news "Notifica WGA": Update a Breve  -  WGA: Statistiche e Falsi Positivi  -  Altre

Nel prossimo update, Microsoft ha modificato la procedura di installazione dello strumento per rendere più chiare agli utenti le funzionalità del software, lo aveva affermato già a Novembre David Lazar, director del programma Windows Genuine presso Microsoft. "Abbiamo ricevuto una grande quantità di feedback che ci ha segnalato la volontà degli utenti di avere maggiori informazioni sul pacchetto nel momento della distribuzione via Aggiornamenti Automatici", afferma Lazar. Il tool ora include una schermata iniziale che offre una introduzione a WGA Notifications, in cui vengono spiegati i benefici ed evidenziate le possibili conseguenze dell'uso di una copia contraffatta di Windows XP. In caso di problemi con la licenza di Windows XP, verranno forniti semplici passaggi per risolverli.

Dal nuovo sito WGA:  1. In WGA Notifications viene utilizzata una semplice installazione guidata che consente all'utente di sapere che cosa accade a ogni passaggio del processo. Nella prima schermata dell'installazione guidata viene fornita un'introduzione e vengono spiegati i vantaggi del software Windows originale e le possibili conseguenze dell'esecuzione di una copia di Windows non originale. Se si decide di non installare WGA Notifications, scegliere Annulla. È possibile che all'utente venga proposto un aggiornamento in futuro, ma non c'è alcuna conseguenza se si rifiuta.  2. Nella seconda schermata è possibile leggere il contratto di licenza e l'informativa sulla privacy. Il contratto di licenza spiega nei dettagli tutti i termini e le condizioni di WGA Notifications. L'informativa sulla privacy spiega quali informazioni vengono raccolte, come vengono utilizzate e in quale modo Microsoft protegge la privacy dell'utente.

 3. Se la convalida è riuscita, si riceverà una conferma immediata. Non occorre riavviare il sistema. Si riceverà inoltre una notifica che avverte che sarà necessaria la convalida in futuro, in quanto Microsoft migliora di continuo la tecnologia.  4. A volte non è possibile completare la convalida a causa di un errore del sistema locale o della rete. In tal caso, viene visualizzata un notifica dedicata. Se si è pronti, è possibile scegliere la procedura di risoluzione dei problemi. In caso contrario, basta annullare il messaggio e rispondere in seguito quando si riceve un ulteriore promemoria.  5. Se la convalida del sistema non riesce, viene visualizzato un messaggio che avverte che la copia di Windows installata sul computer non ha superato la convalida e che l'utente potrebbe essere vittima di una contraffazione. È possibile fare clic sul messaggio per saperne di più oppure risolvere il problema, comprese le azioni seguenti: controllare se si ha diritto a ricevere una copia gratuita sostitutiva di Windows (le contraffazioni di alta qualità comportano tale diritto); acquistare online un codice "Product Key" originale Windows per risolvere immediatamente il problema; decidere di scoprire la causa del problema.  6. Quando si fa clic su Ulteriori informazioni, si accede a una pagina Web con numerose opzioni: scoprire che cosa ha causato la mancata convalida del sistema; se necessario, acquistare online un codice Product Key Windows originale; contattare Microsoft per ulteriore assistenza; ulteriori informazioni su come proteggersi dai rischi di eseguire una copia di Windows non originale.

Fonte:tweakness

Domani si festeggia San Valentino, la festa degli innamorati, ed i malware writer si sono già attivati per sfruttare questa nuova occasione, mettendo in atto le sempre più popolari tecniche di attacco di ingegnera sociale. Circolano in rete infatti false e-mail di auguri che integrano un file allegato con estensione .asx o un link. In entrambi i casi lo scopo dei cybercriminali è quello di infettare i destinatari con una variante del famigerato Trojan.Spambot, codice nocivo dedicato al mercato italiano, già tornato in circolazione in messaggi di auguri natalizi.

Marco Giuliani, esperto di sicurezza che collabora con la società di sicurezza informatica Prevx, ha pubblicato numerose informazioni su questa nuova minaccia sul suo blog PC al Sicuro. Esistono varie varianti del messaggio di posta utilizzato in questo tipo di attacco. Esempi dell'oggetto delle e-mail nocive che sfruttano il tema di San Valentino includono "Non ti dimenticherò mai" o "Un bacio". Il corpo dei messaggi fa spesso riferimento ad un "pensierino" per San Valentino ed include un link simile a http://go.xxxxx.com/xxxx.

Giuliani commenta: "L'e-mail può contenere un allegato, un file con estensione .asx (esempio videoamore.asx o sanvalentino.asx), o altrimenti un link a cui collegarsi. Il sito raggiunto dal link reindirizza ad un server tedesco dai molteplici domini (quali per esempio myfilmcodec.com, mymoviecodec.com) ma stesso indirizzo IP che raccomando di bloccare: 89.149.225.25.

Dal server viene scaricato il file .asx che apre Windows Media Player. Dal player viene chiesto il download di un codec mancante, che tuttavia non trattasi di un codec ma di un malware. Analizzato, il malware è esattamente parte della famiglia del vecchio Trojan.Spambot italiano, di cui si era già parlato su queste pagine lo scorso Novembre e Dicembre. Anche il codice, ritoccato per eludere le protezioni dei software antivirus, risulta comunque lo stesso".

Nella nuova variante del malware sono cambiate esclusivamente le chiavi di registro:

-----------------------------------------------------------------------------------------
KEY_CLASSES_ROOT\CLSID\{AD42064f-2C53-CB42-1263-6A7F24C2B819}
HKEY_CLASSES_ROOT\Interface\{BDA8125F-55CA-4168-6D9A-168E76C11ABD}
HKEY_CLASSES_ROOT\TypeLib\{8E28DE0A-6A2E-4CB8-BBF0-BD131DC1A3B4}
HKEY_CLASSES_ROOT\WebDesk.webq
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects\{AD42064F-2C53-CB42-1263-6A7F24C2B819}
-----------------------------------------------------------------------------------------
Finita l'esecuzione, il trojan mostra una avviso che indica l'impossibilità di installare il codec. Per la rimozione è sufficiente chiudere Internet Explorer ed eliminare il file C:\WINDOWS\system32\webdesk.dll ed eliminare le chiavi di registro sopra elencate. Un'analisi più approfondita di Trojan.Spambot era stata pubblicata sempre su PC al Sicuro ad inizio Dicembre.

Giuliani spiega in conclusione: "Posso confermare che il sito è raggiungibile solo da IP italiani, mentre gli IP esteri ricevono una "page not found". Ho fatto questo breve video in cui si vede la prima volta la connessione al sito sotto accusa con un IP italiano, mentre la seconda volta con un IP americano. La seconda volta il sito risulterà irraggiungibile. Come questo team ci ha già insegnato lo scorso Dicembre, nei prossimi giorni probabilmente assisteremo ad un'invasione di massa di questo trojan con nuove varianti giornaliere".

Fonte:tweakness

In anticipo i dettagli sulle vulnerabilità che saranno poi corrette con i rilasci "Patch Day". Tuttavia ricordiamo che il software Microsoft Word è stato preso di mira nelle scorse settimane da almeno quattro diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute nel software (descritte in news precedenti). Recentemente inoltre sono emerse nuove segnalazioni pubbliche relative ad attacchi di tipo "zero-day" che utilizzano una nuova vulnerabilità in Microsoft Office, sfruttata prevalentemente via Excel. Ieri Symantec ha pubblicato sul suo blog Security Response nuovi dettagli su questo problema di sicurezza che comunque è stato portato all'attenzione anche in un Security Advisory di Microsoft (932553). È probabile che il prossimo Patch Day porterà correzioni per alcuni di questi problemi di sicurezza (sono previsti 2 bollettini per Office e uno generale per Windows e Office).
La maggior parte delle nuove patch di protezione sarà comunque relativa a Windows (sono previsti 5 bollettini dedicati al sistema operativo). Il livello aggregato di rischio per questi problemi è critico, e non è da escludere il rilascio di una patch per la prima falla di sicurezza isolata in Windows Vista, che riguarda un errore nel buffer della memoria nella libreria Win32 (un problema che affligge anche le versioni precedenti del sistema).

Tra gli altri bollettini di sicurezza sono attese: 1 patch importante per Windows e Visual Studio, 1 importante per Step-by-Step Interactive Training, 1 patch critica per Data Access Components, e 1 aggiornamento critico per gli strumenti di sicurezza del colosso OneCare, Antigen, Windows Defender, e Forefront.

Ricordiamo che, secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi o attaccare senza richiedere intervento dell'utente. I problemi "importanti" invece si riferiscono alle vulnerabilità che possono essere sfruttate per compromettere la riservatezza, l'integrità e la disponibilità di dati e risorse di processing.

Il prossimo "Patch Day" di Febbraio 2007 includerà:
• 5 Bollettini per Microsoft Windows. Livello aggregato Critico. MBSA.
• 1 Bollettino per Microsoft Windows e Microsoft Office. Importante. MBSA.
• 2 Bollettini per Microsoft Office. Livello aggregato Critico. MBSA.
• 1 Bollettino per Microsoft Windows e Microsoft Visual Studio. Importante. MBSA e EST.
• 1 Bollettino per Step-by-Step Interactive Training. Importante. MBSA e EST.
• 1 Bollettino per Microsoft Data Access Components. Critico. MBSA e EST.
• 1 Bollettino per Windows Live OneCare, Microsoft Antigen, Windows Defender, e Forefront. Critico.
• Aggiornamento per il Malicious Software Removal Tool su WU, Download Center, MU, e WSUS
• 2 Aggiornamenti NON-SECURITY High-Priority per Windows su Windows Update (WU) e SUS
• 8 Aggiornamenti NON-SECURITY High-Priority su Microsoft Update (MU) e WSUS

MBSA = Rilevabile con Microsoft Baseline Security Analyzer
EST = Rilevabile con Enterprise Scan Tool

Fonte:tweakness

 

Fonte:webnews

Per la prima volta in assoluto gli attacchi perpetrati tramite phishing hanno sorpassato il numero di e-mail con trojan e virus. L’analisi è di MessageLabs che sforna dati interessanti: nel gennaio di quest’anno, l’1,07% dei messaggi di posta avevano a che fare con il phishing. Nello stesso periodo lo 0,83% delle e-mail contenevano virus e trojan.

Secondo MessageLabs, l’aumento degli attacchi di phishing è dovuto a diversi fattor: il primo è che i virus stanno diventando sempre più “mirati” su specifici target e non sembrano puntare più alla larga diffusione. Secondo: stanno cambiando i metodi di autenticazione dei siti di e-commerce che stanno portando a un aumento dei cosiddetti attacchi MITM (Man In The Middle attack) nei quali l’attacker è in grado di intercettare e modificare i messaggi fra due utenti a loro insaputa. Terzo: sono sempre più i siti di phishing che stanno usando tecnologia Flash al posto del classico HTML nel tentativo di superare le barriere antiphishing dei browser.

Non conosce sosta il fenomeno dello spamming: negli ultimi mesi del 2006, il 75,8% dei messaggi di posta rientravano nella categoria spam. In Italia si è registrata una crescita dell'1,3% rispetto al mese di dicembre, mentre in Paesi come gli Stati Uniti, la Germania o il Regno Unito i messaggi di spam sono scesi con una percentuale variabile fra lo 0,8 e il 4,4%.

Fonte:pcopen