Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Social Engineering

Email hoax su Conficker con malware in allegato

Microsoft Italy PCfSV2 Team — Wed, 21 Oct 2009 08:28:00 GMT

Vi segnalo che da un paio di giorni sono iniziate a circolare email di questo tipo con un allegato Install.Zip che contiene un eseguibile (Install.exe). Da: Microsoft Windows Agent [mailto: INDIRIZZO DEL DESTINATARIO] Inviato: xxx A: INDIRIZZO DEL DESTINATARIO...(read more)

Nuova falsa email che propone un aggiornamento di sicurezza Microsoft

Feliciano Intini — Mon, 26 Jan 2009 14:39:33 GMT

Considerando tutto il clamore che sta guadagnando la diffusione di Conficker , quale miglior momento per i criminali informatici di inviare FALSE email in cui si invitano i clienti ad eseguire l'allegato spacciandolo per un legittimo aggiornamento di...(read more)

Attenti allo Scareware in aumento (a rischio anche gli utenti Mac)

Feliciano Intini — Mon, 20 Oct 2008 13:28:16 GMT

Da un po' di giorni mi passano sott'occhio una serie di articoli che hanno in comune il tema Scareware : ho pensato fosse utile riepilogarli in un post per aumentare la consapevolezza di questo fenomeno in costante aumento. Per chi ancora non lo sapesse,...(read more)

Falsa email Microsoft che propone malware mascherato da un finto aggiornamento di sicurezza

Feliciano Intini — Thu, 16 Oct 2008 11:59:32 GMT

Abbiamo evidenza che anche alcuni clienti italiani stanno ricevendo la finta email Microsoft segnalata prima dal SANS e poi documentata dal Microsoft Security Response Center (MSRC) e dal Microsoft Malware Protection Center (MMPC) . Si tratta di una email...(read more)

Sono ancora valide le 10 Immutable Laws of Security?

Feliciano Intini — Tue, 23 Sep 2008 13:26:46 GMT

Vi propongo la lettura di un interessante articolo (il primo di una serie di tre pezzi) di Jesper Johansson , ex dipendente Microsoft e validissimo esperto di sicurezza, nel quale si prova a rivisitare le famose " 10 Immutable Laws of Security "...(read more)

Alert: nuova diffusione di IM scam tramite Windows Live Messenger

Feliciano Intini — Mon, 07 Jul 2008 15:10:53 GMT

Abbiamo evidenza di una nuova diffusione di Instant Messaging scam tra gli utenti italiani di Windows Live Messenger : gli utenti potrebbero ricevere un messaggio dai propri contatti che riporta un link verso il sito imageswitch.info in questa forma "...(read more)

Nuova falsa email mascherata da "Critical Microsoft Update"

Feliciano Intini — Thu, 03 Jul 2008 15:39:37 GMT

Quando si dice la combinazione: subito dopo aver finito il mio post sulle email "bufala"/hoax , abbiamo ricevuto la notizia di una nuova falsa email che appare come l'invito da parte di Microsoft ad operare un aggiornamento di sicurezza, di...(read more)

Le email "bufala"/hoax che coinvolgono Microsoft

Feliciano Intini — Wed, 02 Jul 2008 13:23:00 GMT

Ad intervalli regolari capita al nostro team di sicurezza di essere interpellati sulla verifica di autenticità di email sospette che sembrano provenire da Microsoft o hanno Microsoft (o uno dei suoi prodotti/soluzioni/tecnologie) come soggetto tirato...(read more)

Al via la Settimana Nazionale della Sicurezza in Rete!

Feliciano Intini — Sat, 07 Jun 2008 20:13:18 GMT

Come ha appena annunciato Francesca Di Massimo , Security Lead di Microsoft Italia (che voi ormai dovreste ben conoscere ...), a partire da oggi inizia una iniziativa davvero molto importante, pensata per diffondere nel nostro paese una maggiore consapevolezza...(read more)

Repetita juvant: come reagire al furto della password Windows Live

Feliciano Intini — Tue, 06 May 2008 20:15:06 GMT

Sento nuovamente la necessità di tornare su questo aspetto importante, innanzitutto per scusarmi con i lettori a cui non sempre riesco a rispondere. Sono diversi coloro che, tipicamente tramite i motori di ricerca, scovano i miei post sull'argomento "furto della password" (per Windows Live, Messenger, Hotmail, MSN) e mi contattano, nella speranza che io possa aiutarli velocemente ad arginare il problema, chiedendomi di bloccare il loro account o la loro casella di posta, o di recuperare la loro password perduta, sottratta o addirittura utilizzata in parallelo senza modificarla.

Purtroppo non dispongo di un percorso privilegiato per aiutarvi singolarmente: l'unico modo adeguato per ottenere supporto è quello previsto direttamente da Windows Live che vi ho già indicato nei vari post che ho raccolto nella pagina dedicata alle emergenze di sicurezza

Tanti di coloro che mi scrivono non sembrano aver letto le indicazioni di quei post, (che di fatto sono esaustive per ritrovare i link utili ad ottenere supporto) o probabilmente a questo punto le informazioni che vi ho fornito non sono facilmente leggibili.

Stavo già pensando di riscrivere una pagina web ad hoc con tutte le indicazioni messe in ordine, quando ho ritrovato la segnalazione che mi aveva fatto il collega che qui in Microsoft è il Product Manager di Windows Live Messenger: sono due paginette web sul sito www.messenger.it, forse poco note, ma che hanno davvero l'insieme dei consigli utili per far fronte a queste problematiche e per migliorare la comprensione di queste minacce

IL TUO ACCOUNT, LE TUE CHIAVI DI CASA:
- Ricezione di e-mail modifica password non richiesta
- Smarrimento o furto della password
PAGINA SULLA SICUREZZA SU WWW.MESSENGER.IT
- Solo con chi vuoi tu
- Diffida dalle imitazioni e proteggi i tuoi dati
- Aggiungi sicurezza al tuo PC
- Bufale
- Link Sospetti
- la guida di Vincenzo Di Russo "Spyware e Malware: chi ci spia?"

Un ultimo consiglio, che finora non avevo dato esplicitamente ed è incluso nel primo link che vi ho fornito, è quello di non escludere la possibilità di sporgere denuncia alla Polizia Postale per segnalare queste violazioni.

Share this post :

Video della Polizia Postale sul Grooming: da vedere e soprattutto da diffondere

Feliciano Intini — Tue, 11 Mar 2008 14:33:36 GMT

Sarà perché sono un papà, sarà perché mi occupo di sicurezza e comprendo che queste situazioni purtroppo non sono fiction ma reali, ma questo video mi ha dato un vero e proprio pugno allo stomaco: senza voler demonizzare Internet e la tendenza al social networking, che personalmente ritengo una fondamentale conquista dell'umanità perché ridanno centralità alle persone, è bene che tutti abbiano ben chiari i rischi che si nascondono dietro l'interazione personale ma non fisica e per di più anonima che è propria di questi strumenti, soprattutto nei confronti dei minori che sono meno attrezzati con una esperienza critica. Quindi, come ho avuto modo di dire rispondendo ad una domanda recente, dobbiamo porre maggiore cura nell'apprendere le caratteristiche di queste minacce che sono solo nuove espressioni di minacce purtroppo già presenti nella nostra vita di relazione reale. Questo video è efficacissimo per far capire come si sviluppano queste tecniche di adescamento in cui c'è un lento accerchiamento psicologico del minore (grooming) per guadagnare la sua fiducia: per fortuna che alla fine c'è un grandioso Giancarlo Giannini (che ovviamente ha prestato gratuitamente la sua interpretazione) che ci solleva e ci fa tornare la speranza di incastrare chi opera questi crimini. Un plauso alla Polizia Postale e al suo lavoro in questa opera di tutela.

Da diffondere in modo virale.

Fonte: MClips

Share this post :

Ancora Social Engineering: attenti al Lottery Scam

Feliciano Intini — Thu, 20 Dec 2007 19:23:00 GMT

Le feste si avvicinano (per fortuna!!!) e siete sicuramente avvolti come tutti da quella magica atmosfera tipicamente natalizia, di ricerca regali, organizzazione di cene e di momenti di convivialità per stare insieme e giocare. Già, giocare: non so se ci avete mai fatto caso, ma il gioco ha un ruolo centrale in questo periodo. Sarà per l'essere cresciuti in mezzo a mega-tombolate familiari, sarà perché siamo cresciuti sperando nel regalo da parte di Gesù Bambino o Babbo Natale, sarà per le credenze cabalistiche dell'anno che viene e quello che va con alterne fortune (e con la doverosa speranza di un riscatto), ma in questo periodo ci ritroviamo particolarmente predisposti alla scommessa facile, alle lotterie di tutti i tipi (nazionale, aziendale, parrocchiale, equo/socio solidale...) con una irrazionale certezza di avere grandi possibilità di realizzo nonostante la probabilità di vincere sia prossima allo zero in molti di questi casi, giustificandosi con un: " ...qualcuno dovrà vincere... perché non io?". Io stesso non sono da meno, e spendo mediamente di più in questo periodo per una legittima fettina di sogno...

Dove vi voglio condurre con queste considerazioni? A farvi riflettere sul fatto che questo nostro atteggiamento psicologico, anche se legittimo e giustificato, ci rende vulnerabili e questo, tipico caso di attacco Social Engineering, si traduce nella presenza di qualcuno che cerca di sfruttare questa nostra debolezza per truffarci e rubarci dei soldi: è il caso delle cosiddette Lottery Scams, di cui ha trattato ieri anche un articolo su Corriere.it. In che cosa consistono? Le potenziali vittime ricevono delle email truffa che dichiarano (in modo falso) di provenire da ben conosciute e blasonate società di Lotterie in cui si segnala la molto probabile o addirittura certa vincita di un consistente premio in denaro. Alcuni esempi di queste email:

La truffa consiste nel fatto che per poter incassare la vincita vi chiedono di solito un piccolo contributo in denaro, o delle informazioni sensibili (tipo carta di credito/numero di conto corrente per l'accredito): quale tremenda tentazione poter pagare una piccola cifra in cambio di una certa (???) stravincita (a cui stranamente non hai chiesto di partecipare!!!) che ti può cambiare la vita? Come nel caso del phishing, più ampio è il raggio di utenti a cui si invia questa esca, più alta è la probabilità che qualcuno abbocchi, fino al caso riportato dal video del signore inglese che ha testimoniato in anonimato di aver perso circa 60.000 euro con questo tipo di truffa.

Spero vi sia chiaro che non vi sia oggi alcuna tecnologia in grado di proteggere completamente da questo tipo di attacchi: alle necessarie evoluzioni tecnologiche per ridurre il grado di incertezza rispetto al quale si viene a trovare l'utente quando riceve queste email, si deve assolutamente affiancare una costante opera di spiegazione di come evolvano questo tipo di minacce, come giustamente spiegato in modo congiunto nell'articolo del Corriere dal direttore Masciopinto (Polizia Postale) e dal responsabile delle Relazioni Esterne di Microsoft Italia, il caro Carlo Rossanigo.

Ricordate poi che anche voi potete contribuire al miglioramento di questa cosiddetta security awareness: in ogni occasione opportuna, diffondete queste informazioni e segnalate le risorse web (come il mio post, ;-) dove poter acquisire più dettagli (mi raccomando, senza fare spam!).

La fine delle password è vicina? Iniziamo ad usare le Information Card con CardSpace su Windows Live ID

Feliciano Intini — Tue, 18 Dec 2007 14:44:18 GMT

Un paio di articoli recenti ha riproposto la validità ed attualità della domanda nel titolo: la fine delle password è vicina? Il primo segnalava l'annuncio stampa della società russa Elcomsoft che dichiarava di essere riuscita a moltiplicare per circa 25 volte la potenza di brute force cracking delle password (ricordo per i non addetti ai lavori che si tratta dell'attacco diretto a scoprire una password provando tutte le possibili combinazioni) grazie all'uso combinato della CPU del PC e del microprocessore presente sulle comuni schede grafiche, con il risultato di poter scoprire una password di 8 caratteri generati a caso in circa 3-5 giorni di calcolo. Il secondo riportava l'annuncio di un ricercatore che dichiarava di aver utilizzato una PS3 per scalare tale potenza di calcolo fino al punto di poter scoprire una password di 8 caratteri in sole poche ore.

Di fronte a questi dati tecnici, la risposta al quesito iniziale è scontata: è tempo (in realtà è già molto tardi...) di abbandonare l'uso delle password laddove possibile! Non che le password siano un male di per sé, ma utilizzate male (leggi: crearle in modo che non siano adeguatamente lunghe e complesse) e nelle situazioni che le espongono al possibile furto da parte di malintenzionati è ormai un rischio troppo elevato (come le numerose segnalazioni che giungono costantemente a questo mio post sul furto di credenziali Windows Live).

Avendo letto il secondo articolo sul blog di Kim Cameron, ho fatto 2+2 e ho pensato utile segnalarvi un primo modo per intraprendere questo cammino virtuoso lontano dall'uso delle password: l'utilizzo delle Information Card per il logon ai servizi Windows Live.

Chi ha Windows Vista ha già tutto l'occorrente necessario e in un minuto (seguento le indicazioni del link precendente) si ha la possibilità di associare alla propria utenza Windows Live ID una delle Information Card presenti in Windows CardSpace (o se ne crea una al volo, anche vuota) sul vostro PC, per poi operare l'accesso ai servizi Windows Live semplicemente selezionando "Information Card" (dal menù a tendina come vi mostro nella figura) e cliccando il tasto "Sign in" senza digitare nessuna password!!!

Incominciate a gustare la semplicità d'uso e l'immediatezza di questo nuovo meccanismo di autenticazione (anche coloro che non avessero Windows Vista possono utilizzarlo: nello stesso post ci sono indicazioni in merito).

Repetita juvant: nuova diffusione di email "bufala/hoax"

Feliciano Intini — Wed, 05 Dec 2007 20:22:40 GMT

Il gruppo di sicurezza che ho il piacere e l'onore di coordinare, il Premier Center for Security (PCfS), svolge di fatto all'interno della filiale italiana di Microsoft anche un ruolo di "Osservatorio Vulnerabilità & Malware" dal momento che viene interpellato per chiedere chiarimenti su eventuali segnalazioni di malware, vulnerabilità e incidenti di sicurezza ricevuti da clienti, partner, amici e (soprattutto ;-) parenti. In quest'ottica un aumento di richieste su temi ricorrenti è sufficiente per farci capire che ci sono fenomeni di diffusione a livello nazionale di una certa rilevanza e che, quindi, può essere utile condividerle con voi.

La problematica che ricorre in questi giorni è la richiesta di chiarimenti su due email di spamming che tirano in ballo Microsoft: sono due email "bufala" (hoax in inglese), ossia email fasulle, assolutamente prive di fondamento. In entrambi i casi si tratta di email vecchissime, nate diversi anni fa, e che si ripresentano in circolazione con una certa regolarità, proprio come avviene a volte per le infezioni di malattie reali come l'influenza ...

la prima email vi avvisa di una fantomatica email che si presenta come un "invito" la cui apertura scatena una torcia olimpica in grado di "bruciare" l'intero hard-disk ... virus addirittura "annunciato dalla CNN" e "classificato dalla Microsoft come il virus più distruttivo che sia mai esistito fino ad oggi". Trovate la email completa a questo link di Paolo Attivissimo, notissimo "ricercatore di bufale".
La seconda email proclama di farvi guadagnare bei soldi se contribuite alla promozione di Internet Explorer inoltrando la email a quanti più conoscenti possibile, grazie ad una fantomatica capacità di Microsoft di controllare le email spedite, conteggiarle e spedirvi l'assegno relativo !!!! La email completa a questo link.

Il principio di chi lancia queste cosiddette "catene di S.Antonio", anche se vecchie e già viste (e riviste, diverse volte), è proprio lo stesso delle malattie reali: cercare di colpire coloro che non hanno gli "anticorpi" e le vedono per la prima volta. Ecco quindi l'utilità di parlarvi di questo fenomeno delle email "bufala/hoax" anche se per gli addetti ai lavori in area sicurezza è un aspetto arci-noto: riparlarne "vaccina" chi legge, aumenta la sua consapevolezza delle possibili minacce, e lo aiuta a proteggere se stesso e tutti coloro che si è in grado di aiutare con un consiglio. Paolo Attivissimo, che vi ho segnalato poco fa, ha spiegato in modo egregio perché è nella natura umana cascare in queste trappole, e perché si deve spezzare tali catene.

Come agire di fronte alla ricezione di una email dai contenuti dubbi ricevuta (tipicamente) da un amico fidato o persona autorevole? Se proprio volete valutare la sua serietà (e non cestinarla ad occhi chiusi come fanno i più esperti...) non dovete far altro che investire 1 minuto in più rispetto ai 2 minuti che avete già perso nel leggere tale email e cercare su Internet le parole chiave che la identificano (nei due casi precedenti bastava "torcia" e "virus", "Microsoft" e "assegno", magari anche usando "bufala" o "hoax" in aggiunta), per scoprire quanto la bufala sia già nota e diffusa.

Per le email che coinvolgono direttamente Microsoft o dichiarano di provenire da Microsoft, vi ricordo la pagina web con altri spunti utili (come verificare l'autenticità di un messaggio Microsoft sulla protezione) e vi consiglio di visitare la nostra homepage sicurezza di Microsoft Italia che potrà segnalare eventuali avvisi dell'ultim'ora.

Importanti conferme dal report SANS Top-20 2007 sull'evoluzione dei Security Risks

Feliciano Intini — Fri, 30 Nov 2007 19:18:48 GMT

Il report SANS Top-20 è storicamente una delle più importanti risorse nelle mani del professionista di sicurezza per apprendere l'evoluzione delle minacce dirette ai sistemi informatici. Deve il suo nome "Top-20" al fatto che quando è stato stilato nella sua seconda versione (nel 2001) comprendeva la lista delle 20 vulnerabilità considerate più critiche (la prima versione del 2000 aveva una lista di solo 10 vulnerabilità). Negli anni poi il report ha evoluto la sua struttura, con la suddivisione delle vulnerabilità più critiche (che nel tempo sono aumentate) in una serie di categorie: Client-side Vulnerabilities, Server-side Vulnerabilities, Security Policy & Personnel, Application Abuse, Network Devices, Zero Day Attacks.

Nella versione del report appena pubblicato per il 2007, "SANS Top-20 2007 Security Risks", la sintesi dell'analisi è molto chiara e desidero riportarvela nella versione originale (estratta dal relativo Executive Summary):

"The cyber arms race continues. Cyber criminals and cyber spies have shifted their focus again, successfully evading the countermeasures that most companies and government agencies have worked for years to put into place. Facing real improvements in system and network security, the attackers now have two new prime targets that allow them to evade firewalls, antivirus, and even intrusion prevention tools: users who are easily misled and custom-built applications. This is a major shift from prior years when attackers limited most of their targets to flaws in commonly used software"

In questa sintesi e nel report di dettaglio ci sono molte conferme alle diverse considerazioni che ho già avuto modo di condividere, sia quando ho parlato dei principi di Security Governance, che del recente Microsoft Security Intelligence Report v3:

I reali miglioramenti dei sistemi operativi ("Operating systems have fewer vulnerabilities that can lead to massive Internet worms")e della sicurezza di rete, che portano chi attacca a cercare nuovi punti deboli, ora identificati nella:

poca robustezza della sicurezza applicativa del software realizzato in casa, e l'urgenza di un processo come il SDL: "Until colleges that teach programmers and companies that employ programmers ensure that developers learn secure coding, and until those employers ensure that they work in an effective secure development life cycle, we will continue to see major vulnerabilities in nearly half of all Web applications."
Debolezza degli utenti nei confronti degli attacchi di social engineering, anche in virtù dell' aumento di attacchi verso il client: "Today it is equally important, perhaps even more important, to prevent users having their computers compromised via malicious web pages or other client-targeting attacks"

Necessità di continuare a fare attività di hardening: "The default configurations for many operating systems and services continue to be weak and continue to include default passwords"
L'urgente attenzione verso la Data Protection: "it is now critical to check the nature of any data leaving an organization's boundary"

Gli altri spunti del report sono davvero tanti, e possono aiutare concretamente nell'analisi di rischio che ogni azienda dovrebbe realizzare in modo costante, quindi buona lettura!