Attacco a DreamHost: Cambiate le Password!
Ieri il noto provider DreamHost ha rilevato delle attività anomale all’interno dei propri database, sospettando un possibile attacco l’operatore consiglia di cambiare tutte le password associate al proprio dominio in particolare modo la password FTP, Shell e MySQL.
DremaHost non ha rilevato cosa sia stato realmente sottratto dai server ma molti utenti hanno dichiarato di aver visto il proprio sito internet “azzerarsi”.
Le attività sospette sono iniziate alle 9:45am PST del 20 Gennaio 2012 e DreamHost ha provveduto molto tempestivamente ad informare tutti gli utenti di cambiare password, l’allarmismo ha però creato un ulteriore sovraccarico dei server impedendo a tutti di cambiare correttamente la password. Per rimediare il provider Americano ha proceduto ad un blocco totale agli accessi rendendo pur sempre visibili i siti internet ma nessuno era in grado di collegarsi via FTP o Shell per attuare le modifiche.
Oggi la situazione sempre essersi ripristinata e quindi chi fosse in possesso di un dominio o server con DreamHost è caldamente inviato a sostituire la propria password.
Per chi fosse interessato a seguire tutta la vicenda può accedere al pannello di “Status” del provider: http://www.dreamhoststatus.com/
La Top List dei Malware che chiude il 2011!
Bochum (Germania) – 09 gennaio 2012. I GData SecurityLabs rendono nota la lista dei dieci malware più attivi nel mese di dicembre 2011. La percentuale di diffusione nel mese conclusivo dell’anno appena trascorso è la più bassa ad essere stata registrata nella seconda metà dell’anno. Di contro, però, il numero di attacchi registrati è cresciuto quasi costantemente e lo scenario dei diversi rilevamenti si fa sempre più ampio.
La classifica si rinnova con l’ingresso di due nuovi malware: Trojan.IFrame.YX, legato alla diffusione degli adware e Gen: Variant.Kazy.45847 che attacca il gioco per computer Anno 2070.
Riamane nella top 10, guadagnando adesso, il primo posto, l‘ Exploit.CplLnk.Gen già utilizzato da Stuxnet e ancora attivo; mentre sale in seconda posizione rafforzando, quindi, la sua persistenza il Trojan.Wimad.Gen.1, file audio diffuso principalmente attraverso le reti di file sharing.
Dettaglio Top 10 dei malware – Dicembre 2011.
Exploit.CplLnk.Gen
Questo exploit utilizza una verifica difettosa dei file .lnk e .pif nel trattamento dei collegamenti di Windows ed è nota come CVE-2010-2568 a partire dalla metà del 2011. Non appena una versione manipolata di questi file viene aperta in Windows per visualizzare l’icona inclusa all’interno di Windows Explorer, il codice dannoso viene eseguito all’istante. Questo codice può essere caricato da un file system locale (ad esempio da un dispositivo di archiviazione rimovibile che ospita anche il file .lnk manipolato) o tramite condivisione WebDAV su Internet.
Trojan.Wimad.Gen.1
Questo Trojan finge di essere un normale file audio .wma anche se uno di quelli che può essere riprodotto solo dopo aver installato un codec/decodificatore speciale sui sistemi Windows. Se un utente esegue il file, l’utente malintenzionato può installare tutti i tipi di codice dannoso sul sistema. I file audio infetti sono principalmente diffusi attraverso le reti di file sharing.
Java.Exploit.CVE-2010-0840.E
Questo programma malware basato su Java è un applet di download che tenta di utilizzare una vulnerabilità (CVE-2010-0840) per aggirare il meccanismo di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l’applet ha ingannato il sandbox, si scarica un file .dll. Questo file non viene eseguito immediatamente ma registrato come un servizio con l’aiuto del Registro di Microsoft Server (regsvr32). Quindi, viene avviato automaticamente all’avvio del sistema.
Win32:DNSChanger-VJ [Trj]
Win32: DNSChanger-VJ [Trj] fa parte di un rootkit che cerca di proteggere altri componenti malware, ad esempio bloccando l’accesso a siti di aggiornamento per gli aggiornamenti di sicurezza e gli aggiornamenti delle firme. Qualsiasi accesso ai siti host sarà risolto a “localhost”, che lo renderà, in realtà, irraggiungibile. Questo è il motivo per cui viene chiamato DNSChanger, perché manipola risoluzioni DNS.
Worm.Autorun.VHG
Questo programma software maligno è un worm che si diffonde utilizzando la funzione autorun .inf nei sistemi operativi Windows. Utilizza supporti rimovibili come le unità flash USB o i dischi rigidi esterni. Si tratta di un worm Internet e di rete che sfrutta la vulnerabilità CVE-2008-4250 di Windows.
Trojan.AutorunINF.Gen
Si tratta di una rilevazione generica che rileva file autorun.inf dannosi, sia noti che sconosciuti. I file autorun.inf sono file di avvio che possono essere utilizzati come un meccanismo di distribuzione per i programmi informatici maligni su dispositivi USB, supporti rimovibili, CD e DVD.
Trojan.IFrame.YX
Questa rilevazione è collegata alla potenziale diffusione degli adware ed è stata riscontrata principalmente su siti di hosting gratuito. Viene controllato se l’ IP del visitatore ha già avuto accesso al sito negli ultimi 30 minuti e se il controllo ha esito negativo, il frame avvia la “consegna” di pubblicità che può essere potenzialmente infetta.
Application.Keygen.BG
Si tratta di un generatore di chiavi molto popolare nelle reti P2P e siti warez in quanto consente (presumibilmente) l’uso di software altrimenti a pagamento. L’esecuzione di questa applicazione non è solo una questione legale, ma ha molti rischi connessi alla sicurezza.
Java.Trojan.Downloader.OpenConnection.A
Questo Trojan downloader si trova in applet Java manipolate sui siti web. Quando l’applet viene scaricata, viene generata una URL dai parametri dell’applet. Il downloader la utilizza per scaricare un file maligno eseguibile sul computer dell’utente e avviarne l’esecuzione. Questi file possono essere di qualsiasi tipo di software dannoso. Il downloader sfrutta la vulnerabilità CVE-2010-0840 al fine di bypassare la sandbox di Java e quindi scrivere i dati locali.
Gen: Variant.Kazy.45847
Gen: Variant.Kazy.45847 appartiene al gruppo di programmi potenzialmente indesiderati (PUP). Si tratta di un file .dll di nome solidcore32.dll, che viene utilizzato per crepare il gioco per computer Anno 2070. La modifica del file di gioco viene rilevato come dannoso.
Metodologia
La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente.
WPA Tester per Android si aggiorna alla versione 3.9
WPA Tester per Android è il famoso programma sviluppato da Carlo Marinangeli che permette di recuperare la chiave WPA della propria rete Wireless (Alice, Fastweb, ecc ecc) attraverso una attenta analisi di revers engineering effettuata negli scorsi mesi da diversi gruppi di ricercatori tra i quali la White Hats Crew.,
L’applicazione vede un recente aggiornamento alla versione3.8.9 nella quale viene semplificata la grafica del programma e migliorato l’algoritmo di calcolo delle chiavi Wireless.
È possibile effettuare il download dell’applicazione attraverso il Market ufficiale di Google Android oppure attraverso questo link fornito ufficialmente dallo sviluppatore.
È importante sottolineare che la versione distribuita nel Market ufficiale costa 1euro e non sono presenti pubblicità ma mostra in maniera parziale la chiave WPA recuperata, mentre la seconda versione distribuita direttamente dallo sviluppatore nel classico formato APK è gratuita con l’inserimento della pubblicità e permette di visualizzare completamente la chiave wireless recuperata.
Per chi fosse interessato alla versione gratuita/completa può utilizzare anche il seguente QR Code per il download:
Hacker Highschool – Una guida completa al mondo Hacker
Il progetto Hacker High School ha l’intento di fornire materiali istruttivi sul mondo dell’Hacking partendo dalle basi dell’etica Hacker affrontando i principali argomenti.
L’obbiettivo è quello di formare gli utenti sul mondo della Sicurezza Informatica scoprendo le principali tematiche partendo da una corretta etica Hacker, passando dalle porte e servizi di rete per finire in un capitolo dedicato alla legislatura.
Il progetto vede il patrocinio della ISECOM e anche se è datato (2005) è ancora ad oggi un ottima guida per tutti gli aspiranti Hacker, la versione Italiana è stata realizzata grazie alla partecipazione di:
Raoul Chiesa, ISECOM
Doriano Azzena, centro CSAS del progetto Dschola IPSIA Castigliano – Asti
Sophia Danesino, centro CSAS del progetto Dschola ITIS Peano – Torino
Nadia Carpi, centro CSAS del progetto Dschola ITIS Peano – Torino
Fabrizio Sensibile, OPST&OPSA Trainer, @ Mediaservice.net Srl, Torino – ISECOM Authorized
Training Partner
Claudio Prono, @ Mediaservice.net Srl, Torino – ISECOM Authorized Training Partner
È possibile scaricare i dodici capitoli del manuale attraverso i seguenti link:
| Lezione 01 – Essere un hacker | 26-01-05 |
| Lezione 02 – Windows e Linux | 26-01-05 |
| Lezione 03 – Porte e Protocolli | 26-01-05 |
| Lezione 04 – Servizi e Connessioni | 26-01-05 |
| Lezione 05 – Identicazione del Sistema | 26-01-05 |
| Lezione 06 – Malware (Virus, Trojan, etc.) | 26-01-05 |
| Lezione 07 – Analisi di un attacco | 26-01-05 |
| Lezione 08 – Digital Forensics “casalinga” | 26-01-05 |
| Lezione 09 – Sicurezza nell’E-mail e Privacy | 27-01-05 |
| Lezione 10 – Sicurezza Web e Privacy | 24-07-06 |
| Lezione 11 – Le Password | 27-01-05 |
| Lezione 12 – Internet: Legislazione ed Etica | 31-07-06 |
TeleTu WPA Finder si Aggiorna alla versione 1.3
TeleTu WPA Finder sviluppato da Swsooue si aggiorna alla versione 1.3 introducendo un notevole ampliamento delle reti calcolabili grazie a tantissimi nuovi Magic Numbers e la correzione di qualche bug!
È possibile scaricare la nuova versione direttamente dal forum di WiFi Shark a questo indirizzo.
