Un gruppo di hacker che si fa chiamare Yama Tough ha annunciato via Twitter l’intenzione di rilasciare nella giornata di oggi il codice sorgente di Norton Antivirus, il celebre software prodotto dalla Symantec. Dall’account di Twitter del gruppo non sono emersi altri particolari, ma in un post su Pastebin, ormai rimosso, gli hacker sostenevano di essere in possesso dei sorgenti di decine di compagnie, ottenuti dopo esser riusciti ad entrare nei server dell’intelligence indiana che, a seguito di un controllo sulla sicurezza dei sorgenti stessi, aveva dimenticato di cancellarli.

Ci eravamo già occupati di quel furto ed anche la Symantec era intervenuta sulla questione tranquillizzando gli utenti e dichiarando che uno dei sorgenti rubati era relativo alla versione 10.2 di Norton Antivirus - l’altro è di Endpoint Protection 11.0 - risalente a cinque anni fa: “La versione attuale di Norton Utilities è stata completamente ricostruita e non ha nessun codice in comune con Norton Utilities 2006 e la pubblicazione del codice relativo alla versione del 2006 non costituisce alcuna minaccia per gli utilizzatori della versione corrente“.

L’azienda ha escluso, quindi, che un’eventuale manipolazione di quel codice possa portare ad un attacco diretto ai prodotti Norton attuali. O meglio, ha usato il termine “unlikely“, improbabile. Se non c’è pericolo per gli utenti, però, lo stesso non si può dire per la Symantec: col rilascio del codice la comunità degli antivirus potrà scoprire come funzionano i software dell’azienda e permettere a terzi di migliorare i loro prodotti. Si attendono ulteriori sviluppi: l’account Twitter da tenere d’occhio è questo.

UPDATE: Yama Tough, sempre tramite Twitter, ha fatto dietro front sostenendo di voler attendere ancora prima del rilascio del codice. La minaccia, per il momento, è andata a vuoto.

Via | ZDNet

Hacker minacciano di rilasciare il sorgente di Norton Antivirus é stato pubblicato su Downloadblog.it alle 09:00 di martedì 17 gennaio 2012.

Symantec ha subito il furto dei sorgenti di Endpoint Protection 11.0 e Antivirus 10.2, due programmi che risalgono rispettivamente a quattro e cinque anni fa. Il secondo prodotto non è più in vendita, ma è tuttora supportato dalla società — e riceve costanti aggiornamenti. È un duro colpo per chi distribuisce software di sicurezza.

Soprattutto perché il furto, diversamente da quanto si potrebbe immaginare, non è avvenuto da competitori che vogliano carpire dei segreti industriali. Al contrario, gli hacker volevano dimostrare – pubblicando parte dei sorgenti sul web – che i prodotti di Symantec non contengono affatto del codice. Insomma, sarebbero una “truffa”.

A prescindere dalle considerazioni sull’efficienza dei programmi di Symantec, il software potrebbe subire delle manipolazioni su quelle parti che – da cinque anni a questa parte – non si sono evolute. Esponendo comunque gli utenti degli antivirus della società a delle “falle” di sicurezza. Symantec è immediatamente corsa ai ripari.

Via | The New York Times

Symantec subisce il furto dei sorgenti di alcuni programmi antivirus é stato pubblicato su Downloadblog.it alle 11:00 di sabato 07 gennaio 2012.

Windows Defender è uno strumento, realizzato da Microsoft nel 2006, per rimuovere i malware dal sistema operativo: era noto inizialmente come AntiSpyware ed è stato sostituito da Security Essentials. Finché non è uscita una nuova versione sperimentale di Defender che permette il ripristino del computer prima dell’avvio del sistema.

Windows Defender Offline è un aggiornamento del programma di rimozione dei malware di Microsoft, adatto a essere copiato sui supporti rimovibili per ripristinare un computer infetto. Quando il sistema operativo non è ancora stato avviato. Mentre Security Essentials è un antivirus, Defender Offline cancella le minacce all’accensione.

Spesso i malware inseriscono o alterano delle chiavi del registro di Windows e, anche rimuovendo le modifiche, i problemi ricompaiono al riavvio del sistema. Windows Defender Offline, intervenendo all’accensione, rimuove quei programmi che rigenerano automaticamente le chiavi “incriminate” e cancella una volta per tutte le insidie.

Aggiornamento: Giustamente, mi è stato fatto notare che Windows Defender Offline è praticamente la nuova denominazione di Microsoft Standalone System Sweeper Tool: uno strumento che avevamo già presentato in maggio.

Via | CNET News

Windows Defender ripristina il computer prima dell’avvio del sistema é stato pubblicato su Downloadblog.it alle 20:00 di giovedì 08 dicembre 2011.

Microsoft ha da poco aperto le registrazioni per provare in anteprima la beta della prossima versione del suo antivirus gratuito, Microsoft Security Essentials, che sarà lanciato insieme a Windows 8. La beta sarà rilasciata dall’azienda di Redmon entro la fine dell’anno, ma chi vuol provarla in anteprima e partecipare ai test può proporre la propria candidatura a questo indirizzo.

Nel caso in cui si venga selezionati (gli inviti sono a numero chiuso), si riceverà una mail con il link per il download non appena Microsoft deciderà di far partire la fase di test. Tra le caratteristiche introdotte in questa versione di Microsoft Security Essentials si segnalano:

- Potenziamento della protezione automatica: la Beta rimuoverà automaticamente i virus più dannosi, senza chiedere l’intervento dell’utente.
- Migliori performance: questa versione include miglioramenti delle performance che rendono il software più leggero.
- Interfaccia semplificata: Microsoft Security Essentials sarà più facile da utilizzare grazie ad un’interfaccia utente semplificata.
- Nuovo e più potente motore di protezione: l’individuazione e l’eliminazione di potenziali minacce sono state potenziate.

Per tutte le informazioni sull’attuale versione di Microsoft Security Essentials e sulla sua efficacia vi rimandiamo alle più recenti tabelle comparative di AV Comparatives.

Via | TechNet

Microsoft Security Essentials: aperte le registrazioni per provare la versione beta é stato pubblicato su Downloadblog.it alle 14:00 di sabato 19 novembre 2011.

Microsoft ha aggiornato le definizioni del Malicious Software Removal Tool (MSRT), inserendo la protezione da SpyEye: un trojan per intercettare le credenziali dei conti correnti dell’online banking. L’intero aggiornamento di sicurezza d’ottobre è dedicato alla prevenzione dei malware che affliggono le transazioni di denaro in rete.

Win32/EyeStye o SpyEye non è un singolo trojan. Si tratta d’una “famiglia” di malware che operano in background sui sistemi infetti e registrano le informazioni utili a trovare le password dei conti correnti ad accesso remoto, passandole quindi a un server di proprietà di chi li controlla. È un’infezione particolarmente pericolosa.

Al solito, la responsabilità dell’infezione è dell’utente. SpyEye si può scaricare inconsciamente visitando dei siti di phishing suggeriti nelle e-mail intestate alle poste e/o a enti bancari, che dovessero richiedere pagamenti truffaldini. Microsoft Security Essentials è in grado di riconoscere la minaccia da rimuovere su Windows.

Via | Microsoft Malware Protection Center

Microsoft ha aggiunto SpyEye allo strumento di rimozione dei malware é stato pubblicato su Downloadblog.it alle 11:00 di sabato 15 ottobre 2011.

Il Norton Cybercrime Report 2011, cioè il rapporto annuale di Symantec sulla situazione del crimine informatico, ha rivelato una statistica piuttosto preoccupante: il cyber-crimine ha avvicinato il giro d’affari del traffico di droga, arrivando addirittura a superare la somma dei mercati della marijuana, della cocaina e dell’eroina.

Stiamo parlando, riguardo al narcotraffico, di un valore tra i $288 e i $441 miliardi. Il range del crimine informatico, che s’attesta nel 2011 a $388 miliardi nei 24 Paesi analizzati. Una cifra probabilmente più elevata, se estesa a tutto il mondo, e destinata a crescere nei prossimi anni. Non si tratta dei danni del peer-to-peer.

Le statistiche riguardano le truffe subite e gli investimenti degli utenti per fronteggiare le intrusioni. Per Symantec, soltanto il 10% dei casi di cyber-crimine riguardano i dispositivi mobili: è un altro dato in forte crescita. Il 54% degli adulti ha sostenuto d’essersi imbattuto in virus e malware sul proprio computer nel 2011.

Via | ReadWriteWeb

Il crimine informatico avvicina il volume d'affari del narcotraffico é stato pubblicato su Downloadblog.it alle 11:00 di sabato 10 settembre 2011.

Symantec è convinta che la steganografia avrà un ruolo fondamentale nell’imminente futuro della sicurezza informatica. Tale pratica consiste nell’inserimento di dati criptati nelle immagini: teorizzata da Johann Heidenberg nel 1499, di per sé la steganografia può essere applicata a qualunque forma di comunicazione tra gli individui.

Con la diffusione della fotografia digitale la steganografia è stata applicata alle immagini per celare testi o applicazioni all’interno di un file apparentemente innocuo. Rintracciare le minacce nascoste in questa forma è molto più difficile: la tecnologia utilizzata è obsoleta, tuttavia può rivelarsi più efficace d’altri malware.

Oggetto della steganografia digitale possono essere, oltre alle immagini, filmati, audio. Contenuti di rapida fruizione sul web: un malware inserito in un prodotto “virale” può raccogliere dati sensibili da un enorme numero di utenti in breve tempo e realizzare una campagna di spionaggio del calibro di Shady RAT e Operation Aurora.

Via | Symantec

Symantec stimola la riflessione sulla steganografia per la sicurezza é stato pubblicato su Downloadblog.it alle 13:00 di lunedì 05 settembre 2011.

Era un “mercato” redditizio: ma ora è crollato. I falsi antivirus erano esplosi quest’anno: programmi di sicurezza fasulli - rogueware - come Gagarincash, Gizmo, Nailcash, Best AV, Blacksoftware, Sevantivir.com e anche MacDefender per il mondo Apple avevano raccolto 72 milioni di dollari truffando utenti, e vendendogli il nulla, se non una infezione al computer. Dalla fine del giugno scorso però quel mercato, molto redditizio, è crollato completamente. Perché? Secondo Brian Krebs il crollo dipenderebbe da due fattori. Il primo, una vasta operazione internazionale, con sequestri di server negli Stati Uniti e in altri sette paesi. Il secondo sarebbe l’arresto, avvenuto il 23 maggio scorso di Pavel Vrublevsky, cofondatore del gigante russo dei pagamenti online ChronoPay e ben addentro anche al business dei falsi antivirus.

Scrive Brian Krebs:

Secondo una fonte che ha partecipato all’operazione di polizia, le forze dell’ordine avrebbero trovato montagne di prove che negli uffici di Mosca della ChronoPay si lavorasse al supporto tecnico per molti falsi antivirus, compreso MacDefender (…) Gli investigatori russi avrebbero inoltre scoperto che i computer di ChronoPay ospitano le infrastrutture di Rx-Promotion, una rogue online pharmacy

Ed Bott su ZdNet ha provato a tirare le somme della vicenda con qualche grafico e qualche data chiave. Il 19 maggio c’è stato il picco della ricerca di MacDefender, seguito da un altro picco il 31 maggio, quando Apple rilasciava un security update, infine curva in discesa dal 23 giugno in poi, quando un blitz ha chiuso l’infrastruttura che permetteva i pagamenti dei falsi antivirus sia Windows che Mac. Sempre Ed trae una morale dalla vicenda: se le tecnologie possono dare una mano - come l’update di Apple - niente spazza via dei criminali che un’azione di polizia internazionale ben coordinata. E su questo non ci piove: un po’ di buonsenso in più degli utenti, inoltre, non guasterebbe.

Foto | Flickr

Il mercato crollato dei falsi antivirus e Pavel Vrublevsky é stato pubblicato su Downloadblog.it alle 19:27 di martedì 30 agosto 2011.

MultiMi è una nuova applicazione per gestire disparate identità sui social network più popolari. Disponibile in fase sperimentale soltanto su Windows s’integra con AVG Anti-Virus Free Edition per garantire la sicurezza dei contenuti condivisi. Il programma ambisce a diventare la “spina nel fianco” di TweetDeck, acquisito da Twitter.

Per installare MultiMi è richiesto il .NET Framework 3.5 su Windows: il download è gratuito per tutte le versioni del sistema operativo supportate da Microsoft. MultiMi supporta gli account e-mail, Facebook, Flickr, LinkedIn, Picasa Web Albums, Twitter e YouTube. Non bisogna installare AVG Free separatamente perché è già integrato.

Altre funzioni di MultiMi includono il drag’n'drop dei documenti per la scrittura collaborativa con Google Docs o la semplice condivisione su Box.net. L’applicazione supporta contemporaneamente le sessioni di chat con GTalk e Facebook. MultiMi richiede abbastanza risorse e spesso fallisce l’avvio: è ancora un software sperimentale.

Via | CNET

MultiMi, un'applicazione per gestire i social network (con AVG Free) é stato pubblicato su Downloadblog.it alle 14:00 di mercoledì 20 luglio 2011.

La minaccia del botnet indistruttibile è concreta ed è stata verificata su più di quattro milioni di PC contagiati. I ricercatori in ambito di sicurezza sono allarmati: TDL-4, nome che indica sia il Trojan che infetta le macchine che la somma dei computer compromessi dallo stesso, è una delle minacce più sofisticate presenti al giorno d’oggi, parola di Sergey Golovanov, ricercatore dei Kaspersky Labs. Golovanov ha dichiarato che:

[TDL-4] è praticamente indistruttibile.

Ma Golovanov non è solo:

Non che sia perfettamente imbattibile, ma in generale è praticamente indistruttibile. Fa un ottimo lavoro nel conservarsi.

Questo il parere di Joe Stewart, direttore della ricerca sui malware alla Dell SecureWorks ed esperto a livello internazionale di botnet. Per definire questa minaccia, gli esperti hanno giudicato la varietà di tratti che caratterizzano il botnet, rendendolo difficile da identificare, cancellare, sradicare dai computer infetti. Il TDL-4 infatti infetta il MBR (master boot record) del PC con un rootkit, ovvero un malware che si nasconde nel sistema operativo per sovvertirlo. Il master boot record è il primo settore, ovvero sectore 0, dell’hard drive, dove viene memorizzato il codice per attaccare il sistema operativo dopo che i BIOS del computer hanno avviato i controlli.

TDL-4 installa il rootkit sul MBR, quindi risulta invisibile sia al sistema operativo, sia agli anti-malware. Questa però non è ancora l’arma più potente del botnet: la combinazione di crittografia avanzata e l’utilizzo di un network P2P pubblico per le istruzioni richieste dal malware tramite server command-and-control (C&C) lo rendono indistruttibile. Chi ha generato TDL-4 ha creato un proprio algoritmo di crittografia e il botnet utilizza i nomi a dominio dei server C&C come chiavi di crittografia, oltre ad utilizzare le reti Kad P2P come uno dei due canali per la comunicazione tra PC infetti e server C&C.

Il network pubblico serve per essere sicuri che il botnet non venga abbattuto.

[Via ComputerWorld | Foto Flickr]

TDL-4: il botnet definito indistruttibile dalla veloce diffusione é stato pubblicato su Downloadblog.it alle 19:49 di giovedì 30 giugno 2011.