Leonardo Musumeci

Questo articolo è stato tradotto, previa autorizzazione, di Darknet (http://www.darknet.org.uk)

L’obiettivo di Xplico è estrarre dalla cattura del traffico internet, i dati delle applicazioni. Ad esempio, da un file pcap, Xplico estrae ogni mail
( protocolli POP, IMAP ed SMTP ), tutti i contenuti HTTP, ogni chiamata VoIP (SIP), FTP, TFTP e così via. Xplico non è un analizzatore di protocollo di rete. Xplico è un Network Forensic Analysis Tool (NFAT) open source, rilasciato sotto la GNU General Public License (si veda la licenza per ulteriori dettagli).

Caratteristiche di Xplico

• Protocolli supportati: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, …
• Port Independent Protocol Identification (PIPI) per ogni protocollo dell’applicazione
• Multithreading
• Dati di output ed informazioni in un database e/o file SQLite o MySQL
• I dati riassemblati da Xplico sono associati ad un file XML che identifica in modo univoco il flusso ed il pcap contenente i dati riassemblati
• Elaborazione in tempo reale (dipende dal numero di flussi, i tipi di protocolli e le prestazioni del computer – RAM, CPU, tempo di accesso dell’hard disk, … -)
• ricostruzione TCP con ACK di verifica per ogni pacchetto ACK, o verifica soft ACK
• Reverse DNS lookup da pacchetti DNS contenuti nel file di input (pcap), ma non da server DNS esterno
• Nessun limite di dimensione per i dati in ingresso, o il numero di file in entrata (l’unico limite è la dimensione del disco)
• IPv4 e IPv6 sostegno
• Modularità. Ogni componente di Xplico è modulare. L’interfaccia di input, il protocollo di decodifica (Dissector) e l’interfaccia di uscita (dispatcer) sono tutti moduli
• Capacità di creare facilmente qualsiasi tipo di dispatcher con cui organizzare i dati estratti, secondo le modalità più opportune ed utili

È possibile scaricare Xplico 0.5.2 qui:

xplico-0.5.2.tgz

Oppure per saperne di più qui .

Fonte: Darknet

Questo articolo è stato tradotto, previa autorizzazione, di Darknet (http://www.darknet.org.uk)

Un altro primato e ancora una volta la Cina è in prima linea! Recentemente abbiamo segnalato una società cinese che ha condiviso il suo enorme database di malware ed ora un gruppo di imprese cinesi è riuscito a sviluppare il primo worm SMS !

É un concetto veramente interessante, abusare della procedura di Symbian Express Signing . Mi ricorda i bei tempi dei worm via email, che si auto-propagavano, quando i server aziendali erano inondati di email, perché in azienda tutti inviavano lo stesso allegato a tutti i contatti della rubrica.

Ora, con l’integrazione delle applicazioni sui cellulari, è possibile farlo anche con questi dispositivi.

F-Secure Security Labs, recentemente ha dichiarato che tre aziende cinesi – Xiamen Jinlonghuatian Technology, ShenZhen ChenGuangWuXian Technology, e XinZhongLi Tianjin – hanno creato il worm ‘Sexy Space’ o YXE Worm (Worm: SymbOS / Yxe.D) e l’hanno inviato ai telefoni con sistema operativo Symbian, tramite la procedura di express signing.

“Questo è il primo worm della storia che sfrutta i messaggi di testo”, ha detto Chia Wing Fei, security response senior manager di F-Secure.
“Per il momento, i nostri laboratori hanno confermato soli pochi report dalla Cina e dal Medio Oriente.”

La prima fase del processo di autenticazione di Symbian è effettuata automaticamente utilizzando un motore antivirus, ha detto Chia; ha aggiunto inoltre che, una volta che l’applicazione è stata inviata e controllata, vengono selezionati alcuni campioni casuali per l’audit umano.

Quindi cosa succederà? Servirà un antivirus per il cellulare? Beh… quello già esiste (ad esempio Kaspersky Mobile Security ).

Sono sicuro che gli sviluppatori Symbian rafforzeranno il sistema operativo ed anche la procedura di autenticazione. Si tratta di un settore che sicuramente attrarrà l’attenzione del pubblico, che usa il cellulare sempre più ( PayPal, ad esempio, ha appena sviluppato un’applicazione per iPhone ) ed il mobile banking sta guadagnando sempre maggiore popolarità.

Tuttavia, ha osservato, la maggior parte delle applicazioni non possono essere controllate dagli esseri umani attraverso la procedura di autenticazione.

Chia ha detto che un utente malintenzionato può quindi inserire un link che punta al sito web del worm in un messaggio di testo ed invitare l’utente a scaricare il worm facendo clic sul link. Una volta attivato, ha aggiunto, il worm si installa sul dispositivo ed invia messaggi di testo a tutti i contatti della rubrica.

“Questi messaggi sono inviati a vostro nome e dal vostro telefono cellulare. Ciò significa che si pagherà per ogni SMS inviato dal worm.
Il costo tipico per un messaggio di testo potrebbe essere di 5 centesimi. Se si dispone di 500 contatti nel telefono, l’infezione costerebbe 500 volte 5 centesimi “, ha osservato Chia.

Potrebbe costare un po’ di soldi essere infettati e certamente causare grattacapi a voi ed ai vostri amici.

Nessuno ama lo spam giusto? Soprattutto quando è al servizio di alcuni malware auto-replicanti .

Fonte: Network World

Questo articolo è stato tradotto, previa autorizzazione, di Darknet (http://www.darknet.org.uk)

Per le persone della mia età e della mia generazione ed immagino per la maggior parte dei lettori di Darknet, Michael Jackson ha influenzato notevolmente le nostre vite.
La notizia più eclatante della settimana scorsa, è stata sicuramente la sua morte; come al solito i “cattivi” sono stati estremamente veloci a capitalizzare tutto questo e ad inviare spam a poche ore dalla notizia.

In base a quanto afferma F-Secure , era prevedibile che il malware avrebbe seguito poco dopo e così è stato.

Un’azienda specializzata in sicurezza informatica, a poche ore dalla morte della pop star Michael Jackson, rendeva noto che lo spam relativo alla sua scomparsa aveva già colpito le caselle di posta ed era solo l’inizio.
Solo otto ore dopo la notizia che riguardava Jackson, Sophos con sede nel Regno Unito, ha iniziato a monitorare la prima ondata di spam con oggetto “Confidential – Michael Jackson.”

Lo spam non era orientato a lanciare un prodotto o indirizzare gli utenti verso un sito di phishing o malware ma stava cercando di ingannare gli utenti a rispondere al messaggio, al fine di raccogliere indirizzi e-mail e verificarne la validità.

Sophos, oggi, nel blog della società ha detto che ” il corpo del messaggio di spam non contiene alcun link volto-all’-azione; ad esempio un URL, un’ e-mail o un numero di telefono”
“Ma lo spammer può raccogliere gli indirizzi di chi riceve l’e-mail tramite un indirizzo e-mail live, se si risponde al messaggio di spam ”

Le versioni originali erano semplicemente vecchio e semplice spam per raccogliere indirizzi, ma successivamente seguirono versioni cariche di malware che crearono IRC bot e backdoor, individuati come “Trojan.Win32.Buzus.bjyo”.

È triste vedere accadere cose del genere ma gli attacchi di ingegneria sociale per diffondere malware, sono previsti, in occasione di grandi notizie come questa.

Niente è sacro per il lato oscuro di Internet.

La tempestività di tale campagna non è stata casuale: era successiva all’assoluzione di Jackson da tutte le accuse di abusi sessuali su bambini. “La notizia del suo tentativo di suicidio era plausibile”, ha affermato Cluley, dopo aver osservato che gli hacker ed i truffatori, spesso speculano sulle tragedie per indurre le persone a fare clic sui link. In questo caso, gli utenti sono stati colpiti da un hacker toolkit, che ha tentato diversi exploit contro Internet Explorer.

“Non sarei sorpreso di vedere hacker affermare di possedere filmati top-secret dall’ ospedale, presumibilmente girati da chi era sull’ambulanza; che poi vi chiederanno d’installare un codec video”, ha affermato Cluley, parlando di un comune stratagemma usato dal malware. Gli utenti che faranno clic sul falso link d’aggiornamento del codec, verranno infettati con un attack code, spesso un bot che tenterà di effettuare un hijack del loro computer.

Quindi avvertite tutti, se qualcuno invia e-mail con immagini o video che dichiarano di possedere filmati segreti o esclusivi che riguardino la morte di Michael Jackson, è più probabile che sia un vettore d’infezione.

Il buon senso prevale, ma purtroppo non è buono.

Riposa in pace Michael

Fonte: Network World

Articolo originale:  Michael Jackon Spam/Malware – RIP The King Of Pop

L’articolo seguente è stato tradotto, previa autorizzazione, di Darknet
(http://www.darknet.org.uk)

Kon-Boot è un prototipo di software che permette di modificare il contenuto di un kernel Linux (e ora anche il kernel di Windows!) “al volo” (durante l’avvio).

Nella stato di compilazione attuale, permette di accedere ad un sistema Linux come utente ‘ root ‘ senza digitare la password corretta, o elevare i privilegi di root all’utente corrente. Per quanto riguarda i sistemi Windows, permette di entrare in qualsiasi profilo protetto da password, senza conoscerne alcuna.

È stato creato principalmente per Ubuntu, successivamente l’autore ha creato alcuni add-on per altre distribuzioni Linux.

L’intero Kon-Boot è stato scritto in puro assembler x86, utilizzando il vecchio nonno bislacco di TASM 4.0.

Ultimi Aggiornamenti – Kon-boot per Windows

Kon-Boot è disponibile anche per Windows. Quindi, ora supporta i sistemi Microsoft Windows ed anche Linux elencati di seguito. Kon-Boot per Windows, consente di effettuare il login a qualsiasi profilo protetto da password, senza conoscer nessuna password. Questo strumento cambia il contenuto del kernel di Windows durante l’avvio, tutto viene compiuto virtualmente – senza modifiche fisiche al sistema. Finora i seguenti sistemi sono stati testati per funzionare correttamente con Kon-Boot:

• Windows Server 2008 Standard SP2 (v.275)
• Windows Vista Business SP0
• Windows Vista Ultimate SP1
• Windows Vista Ultimate SP0
• Windows Server 2003 Enterprise
• Windows XP
• Windows XP SP1
• Windows XP SP2
  Windows XP SP3
• Windows 7
  

  Non sono richieste particolari istruzioni d’uso per gli utenti Windows, solo il boot dal CD / floppy di Kon-Boot , selezionare il profilo e inserire la password che desiderata. Hai perso la password? Ora non è più rilevante.

  È stato testato con le seguenti distribuzioni Linux:

  Gentoo
  • 2.6.24-gentoo-r5 GRUB 0,97
    Ubuntu
  • 2.6.24.3-debug di GRUB 0,97
  • Debian 2.6.18-6-6861 GRUB 0,97
    Fedora
  • 2.6.25.9-76.fc9.i6862 GRUB 0,97
    È possibile scaricare Kon-Boot qui:Immagine Floppy – fd0-konboot-v1.1-2in1.zip

    Immagine CD ISO – CD-konboot-v1.1-2in1. zip

    O per saperne di più qui .

    Fonte: Kon-Boot – Reset Windows & Linux Passwords