Siti di phishing ospitati sui server di Google

Il post seguente è stato tradotto per gentile concessione di F-Secure

Google Documenti permette agli utenti di creare documenti, fogli di calcolo, eccetera su google.com (ospitato nella cloud di Google):

spreadsheets.google.com

I fogli di calcolo possono contenere anche alcune funzionalità, come i form, che possono essere messe a disposizione di chiunque.

Purtroppo ciò significa vedere regolarmente siti di phishing nei fogli di calcolo di Google Documenti, ospitati su spreadsheets.google.com.

Ecco alcuni esempi:

spreadsheets.google.com

spreadsheets.google.com

spreadsheets.google.com

Sono attacchi seri, visto che le pagine di phishing sono ospitate sul reale google.com, con tanto di certificato SSL valido.

spreadsheets.google.com

Durante le nostre ricerche, ci siamo imbattuti in questo form del foglio di calcolo di Google:

spreadsheets.google.com

Nonostante tutti i nostri sforzi, non riusciamo a capire se si tratti di phishing, o di una pagina valida gestita da Google [vedi sotto per la risposta].

Inizialmente la pagina si presenta, ovviamente, come phishing: è ospitata sul server pubblico spreadsheets.google.com, dove chiunque può ospitare form.
E chiede il vostro numero Google Voice, indirizzo e-mail e il codice PIN segreto .

Ma poi, trovate anche fantomatici dipendenti di Google che si linkano al form .

Quindi, non riusciamo a capire. Voi?

Ecco l’URL:

https://spreadsheets.google.com/viewform?formkey=cjlWRDFTWERkZEIxUzVjSmNsN0ExU1E6MA

Se ci capite qualcosa, fatecelo sapere tramite i commenti .

Aggiornamento : secondo l’opinione generale, su Twitter, sembra si tratti di un sito di phishing. Ma la giuria è ancora riunita per deliberare.

spreadssheets

Aggiornamento : siamo stati contattati da un dipendente di Google.

Ci hanno informato che, sorprendentemente, la pagina in questione è proprio il form ufficiale di Google per richiedere il trasferimento dell’account di Google Voice. Ci hanno anche detto di rimuovere tutti i riferimenti al form in questo post del blog. Ma temo non sia possibile farlo.

Fonte: Phishing Sites Hosted on Google’s Servers


Posted in F-Secure and tagged , by with no comments yet.

Record di SQLite

Il post seguente è stato tradotto per gentile concessione di Mobile Device Forensics

Sono affascinato da SQLite. Ma prima che possiate dire “Mike hai proprio bisogno di uscire di più e farti una vita! ” considerate questo: i due sistemi operativi per smartphone più popolari attualmente sono IOS e Android e utilizzano database SQLite per memorizzare informazioni importanti, come contatti, SMS e i record delle chiamate. Si tratta di parecchi utenti: sia vittime che carnefici. Vi siete mai chiesti come SQLite strutturi i suoi record? Comprenderne l’architettura è fondamentale per avvalorare l’output degli strumenti di forensic e sapere dove cercare le prove, incluse quelle preziose informazioni eliminate.

Le immagini del database SQLite iniziano sempre con una ben nota signature a 16 byte che, in ASCII, è rappresentata dal “formato SQLite3″ seguito da un byte null. L’header dell’immagine del database è di 100 byte. Una discussione completa sull’header dell’immagine del database si può trovare sulla pagina ufficiale di SQLite .

Tra le altre cose un’immagine del database, serializzata e ben formata, avrà uno schema di database o un layout di tabella. Conoscere lo schema delle tabelle è la parte chiave della conoscenza, in quanto fornirà la guida verso l’header del record e dei conseguenti contenuti dei record.

Come esempio useremo un record del database degli SMS di un iPhone di prima generazione con iOS versione 3.13. Di seguito è riportato una schermata dello schema della tabella dei messaggi, che usa il mio editor Mac SQLite preferito: Base .

Schema

Schema

Preso atto dello schema della tabella dei messaggi all’interno del database sms, diamo un’occhiata a un record con un editor esadecimale.

SQLite Record

Record SQLite

Il record è strutturato come mostra il grafico sottostante.

Struttura record SQLite

Struttura record SQLite

Inoltre il record utilizza i valori della tabella sottostante per rappresentare i valori dei byte.

Header Values

Valori Header

Prendiamo il nostro esempio e analizziamo l’header del record. Il primo byte, ovviamente, rappresenta la lunghezza del nostro record: in questo caso il record è di 110 byte. Il secondo byte è la nostra chiave.

Record Length and Key

Lunghezza dei record e chiave

Il byte successivo rappresenta la lunghezza dell’header del nostro record includendo questo byte, che è di 19 byte.

Record Header Length

Lunghezza dell’header del record

Il byte successivo è null, il che indica che il valore non è incluso nel record. Questo sarebbe stato rappresentato dal ROWID dello schema. Il byte successivo corrisponde alla riga dell’indirizzo nello schema. Il byte 0×27 è dispari e maggiore di 13. Secondo la nostra tabella questo corrisponde al testo e la lunghezza in byte è calcolata prendendo il valore decimale sottraendo tredici e dividendo per due.

39 -13 = 26 / 2 = 13

Possiamo vedere dal grafico sottostante che l’indirizzo, o il numero di telefono, è in realtà 13 byte di lunghezza.

Lunghezza indirizzo

Lunghezza indirizzo

Il byte successivo, 0×4, corrisponde nello schema alla data dell’SMS. Si tratta di un valore di quattro byte memorizzato in epoch time. Il valore qui è 1296980309 e si traduce in Dom, 06 Feb 2011 09:18:29 GMT+1.

Date and Time Stamp

Data e Time Stamp

Il byte successivo, 0×81 è, come indicato nello schema, il messaggio di testo; ma è l’unico. SQLite utilizza un metodo di compressione basato sulla codifica di Huffman per memorizzare i valori maggiori di 127 bit. In questo caso il byte nell’header del record che indica il messaggio di testo è \X81 o 129 e, di conseguenza, maggiore di 127. Dato che il metodo utilizza 2 byte fino ad un valore decimale di 16383, si può assumere che il byte successivo \x0d stia anche per la lunghezza del messaggio di testo. Il metodo per calcolare la lunghezza del messaggio di testo è il seguente: dove X = il valore del primo byte e Y = il valore del secondo byte.

(X-128) x 128 + Y

Dopo aver eseguito il calcolo ecco il risultato:

(129-128) x 128 + 13
\ X142

Per trovare la lunghezza dell’header ora facciamo riferimento alla tabella e calcoliamo normalmente:

(N-13) / 2
(129) / 2
64

Questa, infatti, è la lunghezza del messaggio di testo. Il messaggio è puro esa in ascii.

Message Length

Lunghezza messaggio

Il byte successivo nell’header è 0×1 e nello schema si riferisce alla riga dei flag. Il valore in questo caso è 0×02, ciò significa che si tratta di un testo in entrata.

Flags

Flags

L’ultimo byte significativo compare nell’offset 17 del record e, come indica la nostra tabella, è un valore maggiore di 13 (0×11 = decimale 17).
Poiché il calcolo è N-13/2 il valore che abbiamo qui è 2 byte e si riferisce, nello schema, al paese. Nel nostro esempio è 0x6A 0x6F, o “Jo”, per la Giordania.

Country

Paese

Spero che troverete utile questo post nelle vostre imprese di forensic. Questo post non sarebbe stato possibile senza il generoso aiuto e il consiglio di DC Shafik Punja di Calgary e Sheran Gunasekera di ZenConsult Pte Ltd.

Le ricerche sulla codifica di Huffman nei record di SQLite è stata condotta utilizzando l’articolo Murilo Tito Pereira “Analisi della forensic della cronologia Internet di Firefox 3 e il recupero dei record eliminati di SQLite” pubblicato da Elselvier.

Fonte: SQLite Records


Posted in Mobile Device Forensics, Traduzioni inglese-italiano and tagged by with no comments yet.

Falla di sicurezza potrebbe interessare il 99% degli smartphone Android

Il post seguente è stato tradotto per gentile concessione di Naked Security

Android smartphone Secondo alcuni ricercatori tedeschi, il 99% dei dispositivi Android potrebbe essere a rischio a causa di una vulnerabilità che potrebbe consentire a soggetti non autorizzati di curiosare sul vostro Google Calendar ed i vostri contatti.

La scoperta dei ricercatori dell’Università di Ulm, porta alla luce un serio problema di privacy e sottolinea la difficoltà che molti possessori di smartphone Android sembrano affrontare nel mantenere i loro sistemi operativi aggiornati.

Secondo il paper di Bastian Konings, Jens Nickels e Florian Schaub, dal titolo “Intercettare AuthTokens in the Wild: l’insicurezza del protocollo ClientLogin di Google”, in Android 2.3.3 e precedenti, le app del ​​calendario e dei contatti trasmettono informazioni “in chiaro” via HTTP e recuperano un authentication token (authToken) da Google.

Ciò significa che c’è la possibilità per i criminali informatici di intercettare il traffico WiFi e rubare l’authToken che lo smartphone ha appena generato.

Sniffing di un authToken di Wireshark

Visto che gli authToken possono essere utilizzati per diversi giorni anche per richieste successive, gli hacker possono sfruttarli per accedere a quelli che dovrebbero essere servizi ​​e dati privati, come il vostro calendario online. Inoltre, gli authToken generati non sono legati a un particolare telefono, di conseguenza possono essere facilmente utilizzati per spacciarsi per un dispositivo diverso.

Bleah!

Lo scenario è un vero problema se si utilizza un hotspot WiFi in chiaro (come quelli comunemente disponibili nelle hall degli alberghi, aeroporti, o coffee shop all’angolo della strada).

Secondo i ricercatori, Google ha risolto il problema con Android 2.3.4. Ma questo è il problema. Quante persone usano ancora le vecchie versioni di Android OS?

Uso della piattaforma Android OS

Circa il 99% degli utenti di Android sono vulnerabili, in quanto non hanno aggiornato almeno alla versione 2.3.4 (nome in codice “Gingerbread”).

Gingerbread Purtroppo non è sempre possibile aggiornare, visto che dipende dal produttore del cellulare e dal carrier che fornisce l’aggiornamento over the air.

C’è una vasta gamma di smartphone Android in circolazione e laddove Apple sia in grado di rilasciare un singolo aggiornamento IOS per iPhone e iPad, le cose non sono così semplici per gli utenti di Google. Questa frammentazione lascia, inevitabilmente, i dispositivi Android vulnerabili a problemi di sicurezza.

Fortunatamente Google sembra essere consapevole di questo problema e dice che lavorerà a più stretto contatto con produttori e carrier per garantire che, in futuro, gli utenti possano ricevere gli ultimi aggiornamenti.

Ma cosa dovresti fare se fossi il proprietario di un sistema con Android?

Il mio consiglio sarebbe quello di effettuare l’aggiornamento all’ultima versione, se possibile.

Inoltre, non utilizzare reti WiFi aperte, visto che le comunicazioni potrebbero non essere adeguatamente protette. Se siete preoccupati di quest’ultimo problema di sicurezza sarebbe saggio connettersi a Internet via 3G dal proprio smartphone, piuttosto che tramite connessioni WiFi pubbliche non cifrate.

Utilizzare 3G potrebbe incidere sul vostro piano tariffario, ma è molto meno probabile che le vostre comunicazioni vengano intercettate.

Fonte: Security hole could affect 99% of Android smartphones


Posted in Naked Security, Traduzioni inglese-italiano and tagged by with no comments yet.

Tag RFID per proteggere gli asciugamani degli hotel

Il post seguente è stato tradotto per gentile concessione di Schneier on Security

Il furto di asciugamani degli hotel non è un grosso problema nel sistema dei problemi mondiali ma può rivelarsi costoso.
Certo, ci sono divieti morali che impediscono alla maggior parte delle persone di rubare. Molti hotel mettono il proprio nome o logo sugli asciugamani. Il che funziona in quanto sistema di sicurezza societario reputazionale: alla maggior parte delle persone non piacerebbe che i loro amici esponessero gli asciugamani degli hotel, ovviamente rubati, nei loro bagni.

A volte, però, si ottiene l’effetto opposto: trasformare gli asciugamani e altri oggetti in souvenir dell’hotel e quindi renderli ancor più appetibili . È contro la legge rubare asciugamani, naturalmente, ma ad eccezione dei furti su larga scala, il reato non sarà perseguito penalmente. (Diversamente accade nei paesi del terzo mondo: nel 2010, qualcuno è stato condannato a tre mesi di carcere per aver rubato due asciugamani da un hotel nigeriano.) Il risultato è che vengono rubati più asciugamani di quanto gli hotel vogliano. E per hotel resort costosi, sono costosi da sostituire.

L’unica cosa che rimane agli hotel è arrangiarsi. Un metodo sempre più comune è quello di far pagare asciugamani e altri oggetti – in particolare gli accappatoi – e scaricarli sull’ospite nel caso dovessero sparire dalle camere. Questo potrebbe funzionare ma è molto più facile per l’hotel perdere traccia del numero esatto di asciugamani che l’ospite ha nella stanza, soprattutto se ce ne sono pile disponibili in piscina.

Un sistema più recente, non ancora così diffuso, è quello di integrare chip RFID lavabili negli asciugamani e tracciarli. L’unico punto dati che abbia è un anonimo hotel nelle Hawaii, che sostiene di aver ridotto il furto di asciugamani da 4.000 a 750 al mese, con un risparmio di $16.000 sui costi di sostituzione mensili.

Considerando che i tag RFID sono relativamente poco costosi e non si consumano troppo velocemente, credo sia un valido compromesso per la sicurezza.

Fonte: RFID Tags Protecting Hotel Towels


Posted in Bruce Schneier, Traduzioni inglese-italiano and tagged by with no comments yet.

Attenzione! Il tasto “Non mi piace” di Facebook si diffonde velocemente ma è un falso

Il post seguente è stato tradotto per gentile concessione di Naked Security

Non siate troppo veloci nel fare clic sui link che affermano di voler “Attivare il tasto “Non mi piace” ” su Facebook, visto che la rapida diffusione di questo scam, questo fine settimana, ha causato problemi agli utenti del social networking.

I messaggi che affermano di offrire il contrario del tasto “Mi piace” sono stati pubblicati su molte bacheche degli utenti di Facebook:

Tasto Non mi piace su Facebook

Facebook ora ha il tasto "Non mi piace"! Fate clic su "Attiva tasto "Non mi piace" " per attivare la nuova funzionalità!

Come nello scam precedente "Previeni lo spam/Verifica il mio account" , gli scammer sono riusciti a superare la sicurezza di Facebook per sostituire l'opzione standard "Condividi" con il link "Abilita il tasto "Non mi piace" ".

Il fatto che il link "Abilita il tasto "Non mi piace" " non appaia nella parte principale del messaggio, ma più in basso accanto a "Mi piace" e "Commenta", rischia di trarre in inganno alcuni utenti e portarli a credere che sia vero.

Fare clic sul link, però, non solo inoltrerà il falso ​​messaggio del cosidetto "Tasto "Non mi piace" di Fakebook " a tutti gli amici online tramite il posting sul tuo profilo; ma eseguirà anche Javascript offuscato sul tuo computer.

Il danno potenziale dovrebbe essere ovvio.

Come abbiamo spiegato in precedenza, non c'è nessun tasto ufficiale di Facebook e probabilmente mai ci sarà. Ma rimane qualcosa che molti utenti di Facebook desiderano e così gli scammer spesso hanno usato l'offerta di un "tasto "non mi piace" " come esca per gli incauti.

Ecco un altro esempio che si sta diffondendo con l'intento di far incollare JavaScript nella barra degli indirizzi del browser, solo per condurre ad uno scam con sondaggio:

L'offerta del tasto Non Mi Piace vi porta a effettuare il posting di script nella barra degli indirizzi del browser

Se usate Facebook e volete saperne di più su spam, malware, scam e altre minacce, dovreste iscrivervi alla pagina Facebook di Sophos , dove c'è una florida comunità di oltre 80.000 persone.

Fonte: Facebook Dislike button spreads fast, but is a fake - watch out!


Posted in Naked Security, Traduzioni inglese-italiano and tagged by with no comments yet.

Memoria contraffatta

Il post seguente è stato tradotto per gentile concessione di Schneier on Security

Uno spaventoso sviluppo dei rootkit:

I rootkit, tipicamente, modificano alcune zone della memoria del sistema operativo (SO) in esecuzione per effettuare l’hijack dell’execution control. Ciò costringe l’SO a presentare risultati non corretti ai software di rilevamento (antivirus, antirootkit).

Ad esempio i rootkit possono nascondere file, registri, processi, ecc, ai software di rilevamento. Quindi i rootkit, generalmente, modificano la memoria. E gli strumenti antirootkit esaminano le zone di memoria per identificare tali modifiche sospette e avvisare gli utenti.

Questo particolare rootkit modifica inoltre una locazione di memoria (installa un hook), per impedire l’accesso corretto al disco da parte del software di rilevamento. Diciamo che la locazione sia X, che sia nota per essere modificata da altre famiglie di rootkit e che non riguardi solo questo particolare rootkit.

Ora, poiché il contenuto della locazione X è noto per essere modificato generalmente dai rootkit, la maggior parte degli strumenti antirootkit verificherà il contenuto della locazione di memoria X per vedere se è stato modificato.

[...]

Nel caso di questo rootkit particolare, il contenuto originale (cosa ci si aspetta) della locazione X è stato spostato dal rootkit in una posizione diversa, Y. Quando uno strumento antirootkit tenta di leggere il contenuto della locazione X, leggerà il contenuto della locazione Y. Quindi, il tool antirootkit penserà che tutto è come dovrebbe essere senza avvisare l’utente della presenza di attività sospette.

Fonte: Forged Memory


Posted in Bruce Schneier, Traduzioni inglese-italiano and tagged by with no comments yet.

Lo scam del video sull’uccisione di Osama si diffonde su Facebook

Il post seguente è stato tradotto per gentile concessione di Naked Security

Gli utenti di Facebook sono stati indotti a fare clic su link che si presume siano un video dell’uccisione di Osama Bin Laden, in realtà è solo l’ultima di una serie di scam che sfruttano le ultime notizie sulla morte del leader di Al Qaeda.

I messaggi che appaiono sono i seguenti:

il video dell'uccisione di Osama

Guarda il video dell'uccisione di Osama
Osama morto - svelato il video censurato
on.fb.me

Osama è morto, guarda il video esclusivo della CNN, censurato dall'amministrazione Obama a causa del livello di violenza; un must, da vedere. Svelato da Wikileaks

Il clic sul link, però, non vi mostrerà filmati sensazionali dei Navy Seal statunitensi che attaccano il compound di Osama Bin Laden in Pakistan.

Al contrario, vi verrà detto di effettuare un sondaggio online.

Scam del video dell'uccisione di Osama

Questo dovrebbe essere sufficiente per far suonare un campanello d’allarme, visto che gli scam tramite sondaggi sono un problema permanente su Facebook, che consente agli scammer di guadagnare ogni volta che un utente viene convinto a completare un sondaggio.

La cosa più interessante di questo scam è indurre a tagliare-e-incollare una riga di codice JavaScript nella barra degli indirizzi del vostro browser web.

Ma, naturalmente, non ve ne renderete conto. Per quanto ne sappiate, state soltanto seguendo una sequenza di istruzioni e premendo alcuni tasti prima di vedere il video.

Scam del video dell'uccisione di Osama

Ma ogni volta che incollate uno script nella barra degli indirizzi del browser, in realtà state eseguendo codice scritto dagli scammer senza nessuna protezione.

Script

Prima di rendervene conto, starete condividendo la notizia del “video dell’uccisione di Osama” con tutti i vostri amici di Facebook e lo scam si diffonderà viralmente.

Penso che non vogliate rendere la vita così facile agli scammer ed eseguire script sul vostro browser. Quindi fate in modo di non cadere in scam simili.

State molto attenti a non farvi ingannare da scam legati alla morte di Osama Bin Laden, non solo su Facebook ma anche altrove su Internet. Una notizia così importante sembra sempre attirare l’interesse di truffatori e autori di malware.

Se volete tenervi aggiornati sugli ultimi scam e siete iscritti a Facebook, non dimenticate di
iscrivervi alla pagina Facebook di Sophos
, per essere sempre informati sulle ultime notizie per quanto riguarda la sicurezza.

Fonte: Osama Shoot down video scam spreads on Facebook


Posted in Naked Security, Traduzioni inglese-italiano and tagged , by with 1 comment.