Leonardo Musumeci

Il post seguente è stato tradotto, previa autorizzazione, da DFI News

Alcuni reati come lo stupro e la tortura di neonati e bambini, sono talmente detestabili che la reazione della maggior parte delle persone è di allontanarsi nella speranza che il problema svanisca.
Gli analisti della forensics, tuttavia, devon far fronte a questa oscura realtà nell’ottica dei procedimenti giudiziari. La portata del problema è immensa.

Internet consente l’accesso immediato alla pornografia infantile. Il National Center for Missing and Exploited Children (NCMEC) riporta di aver visionato 23 milioni d’immagini e video di pornografia infantile. 8,6 milioni soltanto nel 2008.

Con il diffondersi del problema, le vittime sembrano esser sempre più giovani. Secondo la relazione annuale dell’Internet Watch Foundation (IWF), il 69% delle vittime sono inferiori ai dieci anni e il 24% ai sei anni, o ancora più giovani. Alcuni sono bimbi molto piccoli.
Sia l’IWF che l’NCMEC sono entrambi attivi per aiutare gli analisti della forensics ad aprire nuovi casi nei confronti di coloro che producono, distribuiscono e consumano la pornografia infantile. Due nuovi strumenti software, uno sviluppato all’ Oak Ridge National Laboratory e l’altro in Svezia, sono stati distribuiti questa estate per aiutare loro ed altri soggetti coinvolti in questa attività.
Entrambi gli applicativi sono stati progettati per automatizzare alcuni dei task più grevi della forensics nella lotta contro la pornografia infantile.

Il sistema svedese, chiamato NetClean Analyze, è uno strumento di indagine per le forze dell’ordine che lavorano con immagini e video di abusi sessuali su minori.

Sviluppato per la Swedish National Police, NetClean Analyze, utilizza tecniche di riconoscimento univoco per accelerare il processo di analisi e classificazione delle immagini e dei video. Il sistema, attualmente in uso alle forze dell’ordine europee, è in grado di catalogare rapidamente centinaia di migliaia di immagini e video, che si trovano solitamente nel corso di un’indagine sui computer confiscati a sospetti trafficanti di pornografia infantile.

Prima dell’avvento di NetClean Analyze, gli analisti della forensics avrebbero dovuto visualizzare e catalogare manualmente ogni immagine o video, cosa che avrebbe rallentato notevolmente il processo d’analisi.

NetClean Analyze si concentra su tre questioni fondamentali.
Riduce il tempo che gli investigatori impiegano ad esaminare vecchie immagini o video duplicati, facilita la collaborazione tra le unità di polizia e consente un sistema di reporting più efficace, grazie ad un motore che permette la creazione di semplici report personalizzati o standardizzati.

A parte la categorizzazione automatica, NetClean isola i file duplicati, ciò consente di risparmiare tempo.

Christian Sjöberg, CEO della NetClean Technologies, di Göteborg, Svezia ha detto che “non è insolito che i duplicati riducano il numero di immagini in un caso, a volte da 350.000 a 80.000, risparmiando un’enorme quantità di tempo necessario all’analisi”

Il sistema può anche trovare immagini simili ad una determinata immagine.

Sjöberg ha detto anche “dal momento che le immagini di abusi su minori sono generalmente in serie, se si seleziona un’immagine e si chiede al sistema di mostrare immagini simili, si troverà tutta la serie relativa alla prima immagine in un clic”. “Questo è utile agli investigatori quando sono incerti in merito ad un’immagine. Possono richiedere al sistema di trovare foto simili ed alcune possono essere chiaramente abusi su minori “.
Dopo aver analizzato e catalogato tutti i file, l’investigatore potrà creare un report dettagliato a fini processuali, con allegate immagini di esempio.
Global Technology Solutions (Hollywood, Florida) detiene i diritti per il nord America per NetClean e ha messo a disposizione il sistema per le forze dell’ordine senza alcun costo, in accordo con lo sviluppatore svedese.

La prima installazione di NetClean negli Stati Uniti, è stata in settembre, in Florida, presso l’Ufficio della Broward County Sheriff’s; dove è attualmente in corso il fine tuning, grazie al lavoro sul campo.

“Successivamente lo metteremo a disposizione di altre forze dell’ordine,” ha dichiarato Chris Cavallo, presidente della Global Technology Solutions.

Ogni dipartimento di polizia interessato ad ottenere una copia del software, può contattare GTS con sede ad Hollywood, in Florida, al 954-981-2600, o attraverso il sito web della società, www.gtsna.com .

Uno dei punti di forza di NetClean, è il massiccio database centrale di materiale pedopornografico già noto, che permette in maniera molto semplice di confrontare il materiale sequestrato di recente con il database, per individuare nuove immagini o video.

Cavallo ha detto che “più agenzie utilizzeranno il sistema, più completo sarà il nostro database di immagini e ciò renderà la cattura dei pedofili e la loro incriminazione più facile”.

Oak Ridge System

L’Oak Ridge System utilizza anche un software per effettuare rapidamente e accuratamente la scansione degli hard disk dei computer sequestrati, riducendo drasticamente la quantità di tempo necessario per eseguire la scansione di un computer ed i ritardi dei backlog dell’analisi relativa alla forensics.

“Stiamo combinando i messaggi di rete con gli strumenti di analisi delle immagini, per trovare rapidamente il peggiore tra i peggiori colpevoli di pornografia infantile”, ha detto Tom Potok, dell’ ORNL Computational Science and Engineering Division.

Il peggio del peggio, in questo caso, sono i predatori deviati che stuprano, abusano sessualmente e torturano i bambini; molti dei quali sono neonati, o bimbi molto piccoli.

Potok sostiene che con il suo sistema, ancora senza nome, c’è una buona probabilità che il numero dei procedimenti giudiziari di questi delinquenti possa raddoppiare.

L’Oak Ridge System, che ha vinto l’R&D 100 award nel 2007, si differenzia da NetClean, in quanto il suo sistema funziona analizzando immagini, video e testo; mentre NetClean analizza soltanto le immagini ed i video.

“Il nostro lavoro è applicabile anche alle reti di file sharing peer-to-peer, non solamente agli hard drive”, ha sostenuto.

L’idea è che trovando testo e immagini di pornografia infantile in uno stesso computer, vi sia una maggiore probabilità di trovare qualcuno che stia abusando di bambini e che condivida immagini o video; piuttosto che, probabilmente, soltanto un consumatore dell’ignobile prodotto.

Un prototipo dell’Oak Ridge System è stato distribuito nel mese di settembre per il live beta testing alla Knoxville Internet Crimes Against Children Task Force. Un secondo prototipo è stato inoltre distribuito presso la stessa organizzazione. Il secondo, consente di identificare i bambini scomparsi confrontando le facce presenti nelle immagini di pornografia infantile, con le banche dati dei bambini scomparsi.

Google
Quando si tratta di cercare testo o immagini, nessuno è più esperto di Google, che lo scorso anno ha annunciato una partnership con NCMEC, per fornire un software progettato per automatizzare l’assistenza tecnica che NCMEC fornisce alla polizia, in merito alle indagini sulla pornografia infantile.

È l’ultima iterazione dell’offensiva del NCMEC, quella di combattere il fuoco con il fuoco.

“I criminali utilizzano una tecnologia all’avanguardia per commettere i loro crimini di sfruttamento sessuale dei bambini. Nella lotta per risolvere quei crimini e mantenere la sicurezza dei minori, dobbiamo fare la stessa cosa”, ha detto Ernie Allen, presidente e CEO di NCMEC.

Gli analisti ed il NCMEC’s Child Victim Identification Program, hanno esaminato più di 15 milioni di immagini e video di pornografia infantile, nel tentativo di individuare e salvare i bambini. Gli analisti NCMEC tipicamente analizzano qualcosa come 200.000 immagini in una settimana.
Ora, con il sistema automatico di Google, familiarmente chiamato Bedspread Detector, gli analisti NCMEC potranno con maggiore rapidità e facilità interrogare i sistemi di ricerca NCMEC, per ordinare ed identificare i file che contengono immagini di vittime della pornografia infantile.
Il sistema si chiama ‘Bedspread Detector’, perché un analista NCMEC ha notato che lo stesso copriletto era presente in numerose immagini diverse e con diverse vittime.

Allen ha detto che “è stato in grado di collegare l’abuso di due bambine, una bionda ed una bruna, perché l’autore stava abusando di loro sullo stesso particolare copriletto” .

Il sistema di Google ‘Bedspread Detector’, ora consente agli analisti di individuare caratteristiche uniche: ad esempio un copriletto particolare, una foto di sfondo, un tatuaggio, o una pianta in un vaso e successivamente cercare all’interno di un vasto database altre immagini che contengano quella particolare caratteristica.

Allen ha detto che “questo ci aiuterà a identificare sempre più vittime e a collegarle a particolari autori, perché la maggior parte di essi molestano diversi bambini”

Google incoraggia i suoi dipendenti a dedicare il 20% delle loro ore lavorative a progetti sociali. In questo caso, quattro ingegneri del software di Google, hanno trascorso un anno per sviluppare questo nuovo strumento.

I dettagli di come funzioni esattamente il sistema non sono stati divulgati, né in che modo aiuti a salvare i bambini. Ciò che NCMEC dice è che Google non soltanto favorisce l’incriminazione ma contribuisce ad identificare e salvare i bambini.
Allen ha detto che “anche se non ci saranno cambiamenti miracolosi durante la notte, la linea di fondo è che grazie a questi strumenti, stiamo facendo progressi”.

Altri Strumenti

Allen ha altre tattiche che stanno dando risultati nella campagna anti-pornografia infantile. Nel 2006, NCMEC è stata determinante nella formazione della Financial Coalition Against Child Pornography (FCACP), un’ alleanza tra l’industria del settore privato e pubblico nella battaglia alla pornografia infantile.

I consumatori di pornografia infantile una volta erano in grado di utilizzare strumenti di pagamento tradizionali, come le carte di credito, così come i nuovi sistemi di pagamento alternativi come PayPal, per l’acquisto di pornografia infantile su Internet.

La missione del FCACP è quello di seguire il flusso di fondi e chiudere i conti utilizzati da queste imprese illecite.

L’alleanza è composta da grandi banche, società di carte di credito, le reti di pagamento elettronico, le imprese di pagamento di terze parti e fornitori di servizi Internet, che rappresentano quasi il 90% dell’industria di pagamento domestico.

“Lo stiamo facendo da tre anni e abbiamo praticamente eliminato l’uso della carta di credito per acquistare l’accesso a siti di pornografia infantile”, ha detto Allen.

I gestori di questi siti sono costretti a sviluppare altri metodi di pagamento. Allen ha detto che alcuni hanno creato sistemi di pagamento propri o di terze parti. La maggior parte non accetta più carte di credito emesse dagli Stati Uniti o dal Regno Unito.

Un altro segno di progresso è rappresentato dal prezzo di questi contenuti perversi, che è drasticamente aumentato. In alcuni casi, ciò che una volta costava 29,95 $ al mese per l’accesso a un sito di pornografia infantile, ora costa da 800 a 1.000 $, secondo Allen.

Le forze dell’ordine riportano che il numero di gestori di questi siti illegali è diminuito in modo sostanziale, riducendosi a non più di una manciata; la maggior parte dei quali si ritiene siano gestiti da organizzazioni criminali dell’Est europeo.

“Abbiamo reso più costoso il business di queste persone”, ha detto Allen.
“Abbiamo aumentato il rischio. Abbiamo limitato i metodi di pagamento e praticamente interrotto l’uso di carte di credito tradizionali.”

Ma è realistico. Sa che le persone che fanno soldi dallo sfruttamento sessuale dei bambini si adatteranno.

“Troveranno altri modi di fare soldi e faremo in modo di seguire il denaro”, ha detto. “Quando svilupperanno nuovi meccanismi, cercheremo di attaccarli”.

Douglas Page, scrive di forensic science e medicina, a Pine Mountain, California. Può essere raggiunto all’indirizzo douglaspage@earthlink.net .

Fonte: To Catch a Child Predator

Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Liviu Iftode e Vinod Ganapathy, due ricercatori della Rutgers University, hanno rivelato alcuni esperimenti che stavano effettuando per dimostrare come i rootkit possano essere utilizzati per controllare uno smartphone.

Gli scienziati hanno dimostrato che un malintenzionato potrebbe far si che uno smartphone possa “intercettare una riunione, tenere traccia degli spostamenti del proprietario, o far scaricare rapidamente la batteria per rendere il telefono inutilizzabile”.

Guardate il video seguente su YouTube per maggiori informazioni:

È un video carino ma, in realtà, quanto è realistica questa minaccia ?

Non credo che il tipo di attacco descritto da Iftode e Ganapathy sia un grosso problema in questo momento.

Sì, è possibile modificare o mettere il software su uno smartphone (ad esempio, tramite l’installazione di un rootkit), in modo che il dispositivo mobile possa avere effetti dannosi. Per esempio, il codice che consenta il controllo remoto, l’esaurimento della batteria, o il furto silente dei dati.
Naturalmente, ciò è possibile se lo smartphone permette di apportare modifiche al suo software low-level.
Gli smartphone, come l’iPhone di Apple, bloccano in larga misura questo tipo d’intromissione.

Quindi, la cosa fondamentale da ricordare è che i bad guy devono essere in grado, in qualche modo, d’inserire il rootkit dannoso sul cellulare.

Come possono farlo?

Tramite l’accesso fisico al vostro smartphone, o tramite una vulnerabilità senza patch di sicurezza, o un attacco di ingegneria sociale per ingannarvi ed installare codice dannoso. Anche nel caso abbiano usato il metodo dell’ “inganno”, dovranno affidarsi al sistema operativo del telefono, per poter installare applicazioni non approvate (gli iPhone, ad esempio, sono strettamente controllati dai loro padroni di Cupertino, in modo da consentire agli utenti di installare solamente codice approvato e controllato dall’AppStore).

Detto così, quello che Iftode e Ganapathy stanno descrivendo non pare molto diverso dai rootkit che infettano i computer desktop tradizionali. La differenza principale è che ci sono probabilmente meno opportunità, essendo più difficile, d’infettare un cellulare che, ad esempio, un computer con Windows.

Inoltre direi che il tipico utente di telefonia mobile, è meno incline ad installare applicazioni rispetto alla sua controparte di Windows e così le possibilità di successo d’ingannare l’utente a installare un’applicazione pericolosa, si può supporre che siano ancora minori.

Iftode e Ganapathy non hanno dimostrato alcun modo nuovo e rivoluzionario per aggirare l’ostacolo più grande che possano incontrare coloro che vogliano spiare uno smartphone: come sarà possibile mettere il malware sul telefono?

Se volessi veramente spiare il telefono di qualcuno, penso che sarebbe probabilmente più facile scambiare il cellulare della vittima (opportunamente modificato) con un dispositivo identico, piuttosto che fare tutto questo sforzo, senza garanzie di successo.

Certo, la minaccia dei malware sui cellulari è in crescita ma è una goccia nell’oceano, rispetto agli attacchi che colpiscono regolarmente i computer Windows. Lentamente sta diventando più grave (la recente scoperta di malware a matrice finanziaria che prende di mira gli iPhone con jailbreak ne è la prova ) e senza dubbio, in futuro, si cominceranno a vedere sempre più utenti che useranno protezioni antivirus sui loro telefoni.

Tuttavia, se fossi responsabile di garantire la sicurezza dei cellulari della mia azienda, sarei molto più preoccupato della vera minaccia alla sicurezza del personale: perdere i cellulari in taxi o in treno, piuttosto che il rischio teorico dei surveillance rootkit.

Iftode e Ganapathy hanno fatto un bel video e una bella presentazione ma non voglio perderci il sonno ancora.

Ulteriori informazioni sul tema dei rootkit per smartphone possono essere trovati nel paper che Iftode e Ganapathy hanno creato:
” Rootkit sugli smartphone: gli attacchi, le implicazioni e le opportunità” [PDF]

Fonte: Surveillance rootkits on smartphones

Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Gli utenti di siti come Twitter e Foursquare saranno abituati a vedere i messaggi degli amici che comunicano la propria posizione e – per induzione – che non sono in casa.

Un nuovo sito web chiamato Please Rob Me, aggrega i contenuti di Foursquare e Twitter, in modo da fornire a potenziali ladri e malintenzionati un modo facile per scoprire dove si sta sorseggiando il cappuccino e quando si può avere lasciato la casa vuota.

Sebbene presentato ironicamente come aiuto per i ladri d’appartamento, il sito Please Rob Me afferma di essere progettato con un semplice scopo in mente, aumentare la consapevolezza dei pericoli della condivisione online di troppe informazioni:

L'obiettivo di questo sito è quello di suscitare un po' di consapevolezza su questo tema e indurre le persone a riflettere come utilizzare servizi tipo Foursquare, Brightkite, Google Buzz, ecc...

L'intero sito altro non è che una pagina di ricerca Twitter camuffata. Tutti possono ottenere questo genere d'informazioni.

Ed hanno ragione: non c’è nulla su Please Rob Me che non si possa ricavare direttamente da questi siti web.

Sarà interessante vedere se Foursquare e Twitter tenteranno di bloccare Please Rob Me, dopo la pubblicità che questo servizio ha ottenuto, per impedirgli d’ottenere automaticamente i dati dai loro siti. Ma la cosa più significativa, è che tutti possiamo imparare da questo sito l’importanza di essere più attenti alle informazioni che condividiamo su Internet.

Fonte: PleaseRobMe site exposes danger of sharing too much information online

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Ross Anderson segnala:

Le transazioni online con carte di credito o carte di debito, vengono validate sempre più dal sistema 3D Secure, contrassegnato come “Verified by Visa” e “MasterCard SecureCode”. Attualmente, è il sistema ad autenticazione unica maggiormente utilizzato, con oltre 200 milioni di titolari registrati. Sta diventando difficile effettuare acquisti online senza essere costretti ad usarlo.

In un paper che presenterò oggi alla Financial Cryptography insieme a Steven Murdoch, analizzeremo 3D Secure. Dal punto di vista ingegneristico, fa quasi tutto sbagliato e sta diventando un grosso bersaglio per il phishing. Allora perché ha avuto un tale successo di mercato?

Molto semplicemente, ci sono forti incentivi per l’adozione. I commercianti che ne fanno uso scaricano la responsabilità per frode alle banche, che a loro volta la scaricano ai titolari della carta. I sistemi ad autenticazione unica adeguatamente progettati, come OpenID e InfoCard, non possono offrire nulla di simile. Quindi questo è l’ennesimo caso in cui l’aspetto economico della sicurezza, trionfa sulla progettazione; ma in maniera talmente aggressiva da lasciare i titolari della carta meno protetti. Concludiamo con un suggerimento in merito a ciò che le autorità di regolamentazione bancaria potrebbero fare per risolvere il problema.

Fonte: Online Credit/Debit Card Security Failures

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Non so se questo sia reale. Ma sembra del tutto ragionevole che tutto quanto sia su Facebook, venga memorizzato in un enorme database e che qualcuno con permessi appropriati possa accedervi e modificarlo. Ha anche senso che gli sviluppatori ed altre persone, abbiano la necessità di assumere l’identità di chiunque.

Rumpus: Hai accennato, prima, ad una password principale, che non è più utilizzata.

Dipendente: Non so esattamente quando il suo uso sia stato disapprovato, ma avevamo una master password; tale da poter digitare l’user ID di qualsiasi utente e successivamente questa password. Non ho intenzione di dare la password esatta. Ma usando lettere maiuscole e minuscole, simboli, numeri e tutto il resto, era ‘Chuck Norris,’ più o meno. Era fantastico.

Rumpus: Era accessibile a tutti i dipendenti Facebook?

Dipendente: Tecnicamente, sì. Ma è stata più o meno limitata ai soli ingegneri originari, in fondo le uniche persone che ne fossero a conoscenza. Non poteva accadere che persone scelte a caso, delle risorse umane ad esempio, avessero potuto utilizzare la password per accedere ai profili. È stata creata e progettata per motivi tecnici. Ma era lì e tutti i dipendenti avrebbero potuto trovarla, se avessero saputo dove cercare.

Devo dire, inoltre, che era utilizzabile solo internamente. Se avessi voluto accedere da un liceo o da una libreria, non avrei potuto usarla. Si doveva essere nell’ufficio Facebook ed utilizzare l’ISP Facebook.

Rumpus: Pensi che i dipendenti Facebook abbiano mai abusato del privilegio di avere un accesso universale?

Dipendente: Per quanto ne so, è successo in passato, visto che almeno due persone sono state licenziate.

[...]

Dipendente: Vedi, il fatto è che – e non so quanto tu ne sappia – è tutto memorizzato in un database sul backend. Letteralmente tutto. I messaggi vengono memorizzati in un database, che siano stati eliminati o meno. Quindi interrogando il database, possiamo consultarlo facilmente senza mai accedere al tuo account. Questo è ciò che molte persone non capiscono.

Rumpus: Quindi la master password è sostanzialmente irrilevante.

Dipendente: Sì.

Rumpus: È solo un vezzo.

Dipendente: Esatto. Ma non è più usata. Come ho già accennato, abbiamo dato un giro di vite ultimamente; ma è stata sostituita da uno strumento veramente fantastico. Se, ad esempio, visito il tuo profilo sulla nostra rete interna trovo un tasto ‘cambia accesso’. Facendo un semplice clic, spiegando perché mi stia autenticando tramite il tuo account e poi confermando con ‘OK’, ecco, sono te. Si può fare finché si fornisce una spiegazione, visto che è sempre meglio esser in grado di motivarla. Ad esempio, se si sta indagando su un account compromesso, è necessario essere effettivamente in grado di accedere a tale account.

Rumpus: l manager ti stanno veramente col fiato sul collo, ogni volta che ti autentichi come qualcun altro?

Dipendente: No, ma se salta fuori, è meglio essere in grado di giustificarlo. O vieni licenziato.

Rumpus: Cos’hanno fatto?

Dipendente: So che uno di loro è entrato ed ha modificato i dati di altre persone, ha cambiato le loro opinioni religiose, o qualcosa di simile. Non ricordo esattamente cosa fosse, ma è stato fatto rapporto, scoperto e licenziato.

Fonte: Privacy Violations by Facebook Employees

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Il video merita di essere guardato, anche se non si parla tedesco. Lo scanner rileva il telefono cellulare del soggetto, un coltellino svizzero e il microfono che indossava; ma non rileva i componenti per costruire una bomba nascosti sul corpo. Certo, il soggetto era soltanto in posizione frontale rispetto allo scanner e non di lato. Ma non ha nascosto nulla nelle cavità corporee, a parte la bocca – non lo avrei mai pensato – non ha usato PETN a bassa densità, o tagliato a fette sottili e non ha nascosto nulla nel bagaglio a mano.

I full-body scanner: non sono solo un’idea stupida, in realtà non funzionano.

Fonte: German TV on the Failure of Full-Body Scanners

Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Due anni fa ho preso una piccola rana di plastica, regalatami da mio nipote, per dimostrare quanto fosse facile ricavare informazioni personali da perfetti sconosciuti, grazie a Facebook.
Ora, l’ufficio australiano di Sophos, ha condotto di nuovo l’esperimento, questa volta trovando una percentuale ancora maggiore di persone disposte a rischiare la loro identità.

Con un’anatra da 2 dollari in gomma, chiamata Daisy Felettin, hanno creato il profilo di una donna di 21 anni, single ed hanno inviato 50 richieste di amicizia a sconosciuti scelti a caso, nello stesso gruppo di età.

Con l’immagine di due gatti su un tappeto, hanno creato una casalinga di nome Dinette Stonily, di circa 50 anni e ancora una volta, hanno inviato 50 richieste di amicizia ad estranei compresi nella “sua” fascia di età.

I risultati sono stati, francamente, inquietanti.

Paul Ducklin (sì, è veramente il suo nome ..), a capo del settore tecnologico per l’area Asia-Pacifico di Sophos che ha curato l’indagine, ha scoperto che il 46% degli utenti era lieto di diventare amico e ha rivelato dati personali a Daisy, l’anatra di gomma, pur non avendo idea di chi fosse.

In effetti, l’89% dei nuovi amici di Daisy, aveva pubblicato la data di nascita completa, il 100% aveva rivelato l’indirizzo e-mail, insieme ad altre informazioni personali; che potrebbero essere una manna per i ladri di identità e gli spammer.

I nuovi amici di Dinette, però, avendo un’età maggiore erano, generalmente, meno disposti a condividere la propria data di nascita completa (anche se in molti casi, si poteva dedurre da altre informazioni); ma un sorprendente 23% era disposto a fornire il numero di telefono. Inoltre, si deve meditare sul motivo per cui questo gruppo di età avanzata abbia dichiarato di avere, mediamente, 932 amici su Facebook (i giovani ne hanno 220). Come è possibile chiamare tutte queste persone “amici”?

Dieci anni fa, ci sarebbero volute parecchie settimane per gli artisti dell’inganno ed i ladri d’identità, per raccogliere questo tipo di informazioni su una singola persona. Le reti sociali hanno reso più facile per i malintenzionati, raccogliere informazioni su innocenti membri del pubblico. Si deve imparare ad essere più cauti a condividere informazioni online, o si rischia di diventare vittime di furti di identità.

Maggiori informazioni sull’indagine di Sophos, come sia facile rubare le identità su Facebook ed i consigli dell’esperto Paul Ducklin, sul suo blog.

Fonte: Could a rubber duck steal your identity on Facebook?

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Riprodurre chiavi da fotografie angolate e scattate a distanza :

Abstract:
Il controllo dell’accesso, fornito da una serratura fisica, si basa sul presupposto che il contenuto informativo della chiave corrispondente sia privato – la duplicazione dovrebbe richiedere o il possesso della chiave, o la conoscenza a priori di come sia stata intagliata. Tuttavia, la sempre maggiore capacità e diffusione delle tecnologie di digital imaging, rappresenta la sfida principale a questo presupposto di privacy. Tramite l’uso di modeste apparecchiature di imaging e di algoritmi di visione computerizzata standard, abbiamo dimostrato l’efficacia della teleduplicazione delle chiavi fisiche: l’estrazione completa e precisa del bitting code di una chiave, effettuato a distanza tramite decodifica ottica e successiva duplicazione tramite una precisa intagliatura. Descriviamo il nostro sistema prototipale, Sneakey, e ne valutiamo l’efficacia, sia in laboratorio che nel mondo reale, utilizzando i tipi di chiavi residenziali maggiormente diffuse negli Stati Uniti

Quelli di voi che portano le chiavi appese ad un anello in un passante della cintura, prendano nota.

Fonte: Reproducing Keys from Photographs

Il post seguente è stato tradotto, previa autorizzazione, dal blog SANS Computer Forensics

Recentemente, i cookie di flash sono stati un argomento di notevole interesse, grazie al rilascio di un ottimo paper dal titolo Cookie di flash e privacy. I cookie di flash, o local shared objects nel linguaggio Macromedia, sono un ottimo esempio di forensic artifact che esiste da molto tempo; in pratica ignorato fino a quando non si è deciso di renderlo noto. Quando vedo una nuova ricerca che riguarda problematici controlli della privacy, immediatamente estraggo il mio palmare, perché so che troverò artifact di grande valore che potranno aiutarmi nel corso delle mie indagini relative alla forensics.

Prima di tutto alcuni principi fondamentali:

• Macromedia Flash è diventato onnipresente sul web, grazie a funzionalità come lo streaming video ed altre peculiarità per il “cliente ricco”. Molti dei siti più popolari sul web sono dipendenti da Flash e quindi un’alta percentuale di utenti Internet ha installato il plug-in per Flash.
• Lo standard Flash incorpora i local shared objects (LSO), che consentono ai dati (come le preferenze) di essere conservati nell’istanza locale di Flash, sulla macchina dell’utente.
• Gli LSO vengono memorizzati come singoli file con estensione .SOL.  Per impostazione predefinita sono meno di 100 KB e non hanno scadenza (a differenza dei tradizionali cookie HTTP).
• Ho trovato i file .SOL in due posizioni, nel sistema locale: %user profile%\Application Data\Macromedia\Flash Player e %user profile%\Application Data\Macromedia\Flash Player\# SharedObjects\profile \ in un sistema XP).Per l’analisi di Vista, sarà necessario cercare nella cartella roaming all’interno di %user profile%\
• Gli LSO non sono browser based, quindi attualmente, non esiste un modo semplice per l’utente medio di rimuoverli (cancellando semplicemente i file si raggiunge lo scopo, ma l’utente deve sapere dove si trovano). Questo rende gli LSO molto difficili da eliminare sul sistema locale.

Analisi

Per i nostri scopi, il termine cookie di flash è adatto per definire gli LSO, perché fornisce informazioni molto simili a quelle che troviamo nei tradizionali cookie HTTP. Chi ha frequentato il corso SANS SEC 408 Computer Forensic Essentials ricorda che i cookie HTTP possono fornire le seguenti informazioni:

I siti web visitati

Macromedia Flash richiede che gli LSO siano conservati gerarchicamente, per dominio. In questo modo è possibile far rispettare la regola che ogni dominio può memorizzare fino a 100K sul sistema locale. Dal nostro punto di vista, questo ci fornisce uno strumento molto utile per esaminare velocemente i siti visitati.

Figura 1: Listato directory che mostra i domini LSO

Anche gli annunci pubblicitari basati su Flash hanno la possibilità di salvare gli LSO. Questo è importante, perché, in alcuni casi, si può necessariamente concludere che l’intento dell’utente fosse quello di accedere al dominio. L’origine degli LSO è spesso evidente (vedi figura 2). Ma ulteriori test o artifact addizionali possono essere necessari per giungere a conclusioni definitive.

Figura 2: Local Shared Object memorizzato da una pubblicità flash

Account utente locale che ha visitato il sito

I file .SOL si trovano all’interno della cartella %user profile% , che indica l’account autenticato nel momento in cui l’LSO è stato salvato.

La prima e l’ultima visita al sito

Dal momento che i file .SOL vengono salvati singolarmente, abbiamo un bel set di timestamp del file system da utilizzare. Su Windows XP (che ha l’Access time stamping abilitato per default), si può utilizzare l’Access Time per sapere quando l’LSO è stato letto l’ultima volta. Questo può dirci, potenzialmente, quando il sito è stato visitato per l’ultima volta; ma si deve prestare attenzione, visto che non sono a conoscenza di alcuna norma che richieda un sito di distribuzione per leggere gli LSO. È certamente nel loro interesse e i miei test sembrano confermarlo, ma se il sito non legge l’LSO per qualche ragione, l’access time non sarà aggiornato.

Il creation time del file .SOL, potenzialmente, può comunicare quando il sito è stato visitato per la prima volta. Ancora una volta, però, non è possibile stabilire con certezza che l’LSO sia stato creato durante la prima visita al sito; quindi è difficile essere definitivi. Per analizzare meglio tutto questo, si dovrebbe considerare “la prima visita nota al sito”. Altri artifact del sistema, possono essere in grado di confermare questa data, o indicare una visita precedente.

Così, osservando di nuovo la figura 1, è possibile vedere che la prima visita nota a mg3.mail.yahoo.com è stata l’ 11/27/2008 all’ 1:38 e l’ultima visita nota l’ 8/17/2009 alle 5:27 (local machine time).

Dati memorizzati dal sito

Flash tenta semplicemente di offuscare i dati all’interno di ogni LSO, controllando il formato e forzando una serializzazione binaria dei dati memorizzati. Detto questo, se trovate un file rilevante, non trascurate questa area di dati. Ho trovato informazioni interessanti, come text-based location information memorizzate da un sito web meteo.

Strumenti

Sebbene non sia raccomandato come forensics tool (in primo luogo, perché richiede l’installazione/esecuzione su un sistema live), l’estensione per Firefox, Better Privacy, è un ottimo strumento per identificare (e rimuovere) gli LSO sul sistema locale. Uno dei modi migliori per conoscere i forensics artifact è l’analisi su un sistema con un comportamento noto (cioè il vostro sistema). Il plug-in Better Privacy vi permette di esaminare (e gestire) gli LSO su un sistema live.

Figura 3: Better Privacy Firefox plug-in Screenshot

Questo è solo un primo rapido esame relativo ai Cookie di Flash, esorto i nostri lettori ad inviare eventuali link o informazioni supplementari nei commenti del blog.

Ciad Tilbury, GCFA, ha trascorso oltre dieci anni nell’ambito investigativo relativamente al crimine informatico: dal computer hacking allo spionaggio, fino a casi di frode per svariati milioni di dollari. Attualmente insegna al SEC408 Computer Forensic Essentials e SEC508 Computer Forensics, Investigations, and Response per il SANS Institute.

Fonte: Flash Cookie Forensics

Uno degli interventi più interessanti ai quali ho assistito finora nel corso della Conferenza Virus Bulletin 2009, quest’anno, è stato quello di Dmitry Samosseiko; in merito alla russa “Partnerka”. Partnerka è la complessa rete di affiliati che trae profitto da spam e malware. Si comporta come un sistema di marketing multi-livello, se avete mai ricevuto un’e-mail che punta ad un sito web di “Canadian Pharmacy”, avete incontrato Partnerka.

Vedremo i risultati delle indagini di Dmitry in maggior dettaglio in altra sede, ma una cosa che ho notato durante il suo discorso, è che esiste una parte di Partnerka (è stato Dmitry a chiamare il codec “partnerka”), dedita alla vendita e promozione di software Mac falso, progettato per compromettere il vostro computer.

Ad esempio, il sito web nella foto sopra (che non è più on-line – almeno non lo è, al momento ) ha offerto, recentemente, 0,43 dollari ai suoi affiliati; ogni volta che fossero riusciti ad installare malware sui computer degli utenti Apple Macintosh. Inoltre per aiutare i loro affiliati, offrivano malware mascherato da falso lettore video.

La dimostrazione crescente di criminali finanziariamente motivati, che controllano sia il mercato Apple Mac che Windows, non è una buona notizia. Tanto più che molti utenti Mac, attualmente non usano una protezione anti-malware.

Fonte: Earn 43 cents every time you infect a Mac