Check Point, virus Gooligan: oltre 1 mln device Android in pericolo

I laboratori di Check Point fanno luce su una grave falla di sicurezza di Google, dovuta a una nuova variante di malware per Android che ogni giorno infetta più di 13.000 dispositivi. Il virus effettua il root dei dispositivi, acquisendo indirizzi email, dati di identificazione, ecc. Check Point® Software Technologies Ltd. (NASDAQ: CHKP) annuncia che i ricercatori dell’azienda hanno scoperto una nuova variante di malware Android, che minaccia la sicurezza di più di un milione di account Google. La nuova minaccia di questo malware, chiamata Gooligan, effettua il rooting dei dispositivi Android e ruba indirizzi di posta elettronica e i token di autenticazione in essi custoditi.

Adobe rilascia due bollettini di sicurezza per Acrobat, Reader e Flash

Microsoft in occasione del patch day di maggio ha rilasciato 13 di correzioni per Windows, Internet Explorer, .NET Framework, Microsoft Office, Microsoft Lync e Microsoft Silverlight. La più grave delle vulnerabilità affrontate potrebbe consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web dannosa. Nel contempo, Adobe Systems ha rilasciato il suo pacchetto di correzioni pianificato. Si tratta di due aggiornamenti critici di sicurezza per Adobe Reader, Acrobat e Flash Player. A entrambi sono stati dati un punteggio di 2 da Adobe. I difetti riguardano versioni del software su Mac, PC e LInux, sostiene Adobe nei security advisory.

Android 4.3, Ibm Security scopre pericolosa vulnerabilità in KeyStore

I ricercatori di IBM Security hanno scoperto una grave vulnerabilità che interessa l'importante servizio KeyStore Android, che viene utilizzato per la memorizzazione di chiavi crittografiche e altre credenziali sensibili. La scoperta del bug risale a 9 mesi fa, ma è stata divulgata solo in questi giorni e coinvolge la versione Android 4.3 del sistema operativo mobile. Sebbene tale difetto sia stato risolto nell'ultima versione Android Kitkat 4.4, il problema è che la stragrande maggioranza degli utenti del sistema operativo di Google non hanno l'ultima versione.

Adobe: update di sicurezza risolve vulnerabilità critica Rosetta Flash

Adobe ha rilasciato una nuova versione di Flash Player, ed è importante che venga applica l'aggiornamento al più presto possibile. Gli utenti di Google Chrome e Microsoft Internet Explorer 10 (IE10) e IE11 possono stare tranquilli dato che i loro browser si aggiorneranno automaticamente alla versione più recente di Adobe Flash, che blocca un attacco di tipo credential-stealing. Adobe Flash Player 14.0.0.145 aiuta a mitigare una minaccia alla sicurezza evidenziata da Michele Spagnuolo, un ingegnere della sicurezza di Google.

Heartbleed Scanner, tool gratuito per controllo Android app a rischio

Heartbleed bug esiste in OpenSSL, un'implementazione comune del protocollo SSL utilizzato per proteggere le comunicazioni su Internet. Non importa quale browser o dispositivo si sta utilizzando, se ci si connette, o interagendo con siti e servizi che utilizzano una versione vulnerabile di OpenSSL, eventuali dati trasmessi sono  a rischio di compromissione. La scoperta della falla ha reso urgente un cambio di password che però potrebbe non essere sufficiente.

La maggior parte dei siti Web sono stati rapidi nel rispondere a questa notizia, ma dato che l'exploit è esistito per oltre 2 anni, non è chiaro se tutti gli utenti malintenzionati lo abbiano scoperto autonomamente e siano rimasti in silenzio per rubare i dati degli utenti. Questo è grave, sebbene la patch per Heartbleed è stata resa disponibile fin da quando la vulnerabilità è stata divulgata pubblicamente, e la maggior parte dei siti hanno già adottato le opportune misure correttive. 

Ma i restanti siti e dispositivi consumer orientati Internet-of-things che si basano sul protocollo OpenSSL e non hanno ancora provveduto alla correzione dell'Heartbleed bug sono a maggior rischio,  dato che la falla è pubblica e gli aggressori generalmente si concentrano su obiettivi facili ad alto valore, come le applicazioni mobili. Al CM Security Research Lab, sono state identificate oltre 1.700 applicazioni che sono vulnerabili a questo difetto a partire dal 19 aprile 2014. 

Le app sono a rischio, dato che molte di esse comunicano con i server Web per convalidare le informazioni degli account e trasferire i dati. Nei giorni scorsi, la stessa Google Security ha comunicato che i device con installata la versione Android 4.1.1 sono potenzialmente vulnerabili ad un attacco hacker, che potrebbe causare la perdita di password, messaggi ed altre informazioni degli utenti. Google sta inviando le patch per questo problema ai suoi partner Android.

Anche se Heartbleed è principalmente una vulnerabilità Web, alcune delle app comunicano con i server via HTTP/HTTPS utilizzando OpenSSL, e quindi possono essere colpite dal bug. La società di sicurezza CloudFlare ha dimostrato che sfruttando la falla è possibile rubare i certificati di sicurezza che stabiliscono l'autenticità di un sito. Intanto, è stato arrestato il primo hacker che avrebbe approfittato del bug per rubare dati all'agenzia delle entrate canadese.

Per questo KS Mobile, una sussidiaria di Kingsoft Internet Security Software e nota per la produzione di Cleanmaster, tool gratuito per l'ottimizzazione dei dispositivi Android, nonché di Battery Doctor, offre a tutti gli utenti Heartbleed Scanner, disponibile gratuitamente nel Google Play store. Heartbleed Scanner, che ha ricevuto oltre 1 milione di download in una settimana, dirà se le app installate sono affette dalla vulnerabilità con possibile rischio per la sicurezza.

Via: KS Mobile

Google lancia una guida online per proteggere i siti da attacchi hacker

Google ha deciso di scendere in campo per aiutare i webmasters che sono stati vittima di attacchi da parte di hacker sui propri siti, correndo in aiuto di queste vittime ignare e proponendo una vera e propria guida online composta da 8 steps. "Ogni giorno, i criminali informatici compromettono migliaia di siti web. Gli hacks sono spesso invisibili agli utenti, pur rimanendo dannose per chiunque effettui la visualizzazione della pagina - tra cui il proprietario del sito", scrive Google.

"Ad esempio, all'insaputa del proprietario del sito, l'hacker potrebbe aver infettato il sito con il codice dannoso che a sua volta è in grado di registrare sequenze di tasti sui computer dei visitatori, rubare le credenziali di accesso per l'online banking o transazioni finanziarie". Come si legge sulla pagina della guida  "Webmasters help for hacked sites", navigando in Internet può capitare di trovarsi di fronte a frasi del tipo “Il sito potrebbe essere compromesso” oppure “La pagina che stai visitando è stata bloccata”. 

Messaggi che indicano che il sito che si vorrebbe visitare è stato oggetto di manipolazioni di codice o infezioni da parte di hacker e che scoraggiano, il più delle volte, l’utente a visitarlo. Ed è proprio per venire in soccorso di quanti hanno un sito Internet bloccato da questi attacchi che Google ha scelto di preparare questa utilissima guida, composta da molti articoli e video ricchi di consigli per evitare che un hacker possa attaccare il proprio sito e per riconquistare la piena padronanza della situazione nel caso in cui il sito sia stato già violato. 

Gli argomenti individuati nelle schede sono molteplici: si va dalle ragioni che spingono i cyber criminali a tentare di intrufolarsi nei codici di programmazione del sito alle cure virtuali che si possono seguire per ripulire il sito web e proteggerlo da eventuali malintenzionati, fino al recupero del sito attraverso l’utilizzo di un host web. Informazioni che possono essere utili anche agli utenti comuni, perché gli hacker hanno spesso l’obiettivo di intrufolarsi nelle righe dei codici dei siti per rubare dati sensibili, soprattutto in merito a transizioni finanziarie e operazioni bancarie. 

Da parte di Google, si tratta certamente di una utile operazione di immagine, volta a stringere ancora di più i legami con i webmaster di tutto il mondo. Non bisogna dimenticare, infatti, che i gestori di siti internet possono essere potenziali inserzionisti nel programma ad di Google, e costituiscono quindi una risorsa importante da coccolare e salvaguardare il più possibile. Ma bisogna anche considerare che Google è, ormai da tempo, il motore di ricerca più utilizzato sul web ed è nel suo interesse cercare di mantenere questa posizione di predominio, liberando il campo da possibili pericolose intromissioni. 

Già nel 2010, il colosso web aveva lanciato un programma di rafforzamento delle difese da attacchi di hacking, con il quale venivano ricompensati tutti coloro che riuscivano a trovare delle falle o dei bug che potevano costituire delle potenziali minacce per l’intromissione di hacker e malintenzionati. Nel sito "Guida per i siti hacked", Google ha inserito il tutorial video, spiegando come identificare le vulnerabilità che hanno portato l’hacker a intrufolarsi nel sistema e come ripulire il sito dal codice da esso inserito al suo interno.

Via: Assodigitale

Google sperimenta token autenticazione fisici al posto delle password

In un documento di ricerca, due esperti di sicurezza di Google hanno delineato un futuro in cui la via principale per garantire chi diciamo di essere on-line sarà il possesso di un token fisico, forse integrato in smartphone o anche gioielli. Gli esperti di sicurezza del più grande colosso Web hanno aggiunto ciò alle rivendicazioni crescenti sulle password che sono sia intrinsecamente insicure e sempre più impraticabili.

Google lancia Chrome 24 ancora più veloce e Chrome Beta per Android

A pochi giorni dal rilascio di Mozilla Firefox 18 anche Google ha aggiornato il suo browser Chrome che arriva alla versione 24, promettendo una maggiore velocità, stabilità e sicurezza, tra cui inclusa la nuova versione di Adobe Flash Player. L'ultima release di Chrome è il 26 per cento più veloce di Chrome 15, che venne distribuito ad ottobre del  2011. Chrome 24 è inoltre più sicuro, con 24 falle di sicurezza in meno. La major release Chrome 24.0.1312.52 introduce la possibilità di cercare i preferiti in base al titolo direttamente nell'omnibox.

Microsoft dirama un pacchetto Fix It per correggere vulnerabilità 0-day

Mentre Microsoft ha corretto diverse vulnerabilità nel suo Patch day di Martedì, Google ha sottolineato che rimane un difetto fondamentale che viene sfruttato in natura. Il bollettino di sicurezza MS12-037 ha patchato 13 vulnerabilità che interessano le versioni di Internet Explorer da 6 a 9, che potrebbero consentire a un estraneo di prendere il controllo remoto di un computer.

Tuttavia, anche in un advisory separato (2719615) pubblicato Martedì, Microsoft dice che vi è una vulnerabilità senza patch in Microsoft XML Core Services che consente l'esecuzione di codice in modalità remota se utenti visualizzano delle pagine appositamente predisposte in Internet Explorer.  L'Advisory di Microsoft indica che la società è "a conoscenza di attacchi attivi", e la squadra di sicurezza di Google, che ha collaborato con Microsoft sulla questione, afferma che gli hacker hanno fatto uso di vulnerabilità nelle ultime due settimane.

Sul Google blog security, l'ingegnere di sciurezza Andrew Lyons ha scritto: "Abbiamo scoperto questa vulnerabilità - sfruttata tramite una variabile non inizializzata - che viene attivamente usata in natura per attacchi mirati, e lo abbiamo riportato a Microsoft il 30 maggio. Questi attacchi sono in corso di distribuzione, sia attraverso pagine web malevoli destinati agli utenti di Internet Explorer e attraverso i documenti di Office".

L'utente malintenzionato deve convincere gli utenti a visitare il sito Web, in genere inducendoli a fare clic su un collegamento in un messaggio di posta elettronica o di Instant Messenger che li indirizzi al sito. La vulnerabilità interessa tutte le versioni supportate di Microsoft Windows e tutte le edizioni supportate di Microsoft Office 2003 e Microsoft Office 2007.

Gerardo di Giacomo, sul blog di Technet chiarisce qualche dettaglio in più sulla vulnerabilità e sul pacchetto Fix It. Dato che la vulnerabilità, per essere sfruttata, richiede Active Scripting, i soliti workaround rimangono efficaci: impostare le aree di sicurezza Internet e Intranet Locale ad "Alto" ed inserire la lista dei siti consentiti nei Siti Attendibili. Per offrire protezione e non limitare gli utenti, Microsoft ha creato un nuovo workaround sottoforma di un pacchetto Fix It. Un altro workaround che è possibile utilizzare è l'utilizzo di EMET. Maggiori dettagli tecnici sono disponibili in questo SRD blog.

Via: ZDNet

Google avvisa i proprietari di computer infetti dal malware DNSChanger

Google ha annunciato nei giorni scorsi un'importante l'iniziativa che intende arginare le conseguenze derivanti dal malware DNS Changer, la botnet ormai nota da novembre 2011 ma che ancora fà sentire i suoi effetti. Nell'ambito della cosiddetta operazione "Ghost Click", nel novembre del scorso l'Fbi ottenne l'ordinanza necessaria a sostituire i server DNS malevoli della botnet con sistemi di redirezione temporanea controllati dalle autorità: in tal modo i computer infetti potevano continuare a usufruire di una internet funzionante.

Ma, come spiega Ars Technica, quell'ordinanza scadrà il prossimo 9 luglio, e i computer ancora infetti dal malware non potranno più accedere alla rete telematica mondiale: l'ultima stima pubblicata parla di 500.000 dispositivi che ancora dipendono dai server temporanei per la corretta fruizione del Web. Gli ISP hanno cercato di avvisare le vittime, ma il loro successo è stato trascurabile, in gran parte (secondo Google), perchè le notifiche di solito sono in inglese, e solo la metà degli utenti interessati parlano l'inglese come lingua principale.

Google dice che cercherà di informare le vittime per una settimana nella loro lingua preferita (o il linguaggio che usano con i prodotti Google) e fornirà alcune raccomandazioni per la pulizia dei dispositivi e il ripristino dei propri server DNS. Google dice che avviserà le vittime utilizzando un metodo, eseguito la scorsa estate per porre rimedio a un attacco separato, che "[invia] traffico a Google attraverso un piccolo numero di server intermedi." Google invia poi un messaggio di avviso agli utenti il cui traffico è venuto attraverso questi proxy.

Google analizza alcuni parametri contenuti nella chiamata effettuata dal browser verso i propri server, e nel caso in cui venga verificata la presenza di DNS Changer sul PC dell'utente appare un evidente alert con le indicazioni utili a risolvere il problema. Nello specifico, visitando una qualsiasi versione di Google, sul PC colpito dal malware apparirà il seguente messaggio: "Il tuo computer sembra essere infetto. Crediamo che il tuo computer sia infetto da un software maligno. Se non prendi alcun provvedimento, potresti non essere più in grado di accedere a Internet in futuro".

Pwn2Own 2012: Chrome bucato in soli cinque minuti con un exploit

E' crollato anche il mito dell'inviolabilità di Chrome. Il browser di Google è stato bucato in soli cinque minuti dallo studente universitario russo Sergey Glazunov, durante il concorso Pwn2Own 2012 rivolto agli hacker. Gli organizzatori hanno confermato su Twitter che Chrome è stato violato durante il contest. 

Proprio di recente Google aveva messo in palio premi per un milione di dollari per chi fosse riuscito a scoprire falle nel sistema di Chrome. E questa volta c'è riuscito Glazunov, leader del Team Vupen, che per questa vera e propria impresa si porta a casa un premio di 60 mila dollari (oltre a 32 punti validi nella gara con gli altri hacker). 

I dettagli del buco nella sicurezza di Chrome non sono stati ancora resi pubblici, ma a quanto pare il team sarebbe riuscito a trovare una falla zero-day nel modo per uscire dalla sandbox di Google per eseguire codice esterno ed assumere il controllo completo della macchina con un fully patched 64-bit Windows 7 (SP1). 

"È stato un exploit impressionante", ha detto Justin Schuh del team di Chrome Gooogle. "E 'necessaria una profonda comprensione di come funziona Chrome. E' molto difficile ed è per questo che stiamo pagando $ 60.000".

Il co-fondatore di Vupen e responsabile della ricerca Chaouki Bekrar ha dichiarato: "Non è un compito facile creare un exploit completo per bypassare tutte le protezioni della sandbox. Posso dire che Chrome è uno dei browser più sicuri disponibili".  Bekrar ha aggiunto che la sua squadra aveva lavorato per sei settimane prima del Pwn2Own per scoprire le vulnerabilità. 

Avevano anche trovato il modo per incidere Firefox e Internet Explorer, ma hanno voluto dimostrare prima che Chrome non è imbattibile. Vupen ha detto che manterrà segreti i dettagli di come ha aggirato la tecnologia sandbox di Google "per i nostri clienti". 

Google è stato uno dei primi ad attuare la sandboxing. Per poter ritirare la vincita però, lo studente - che già collabora con il team Google di ricerca bug - dovrà rivelare a Google tutti i dettagli della vulnerabilità scoperta. 

L'anno scorso, Vupen ha rilasciato un video per dimostrare una fuga di successo contro la sandbox di Google Chrome, ma è stata contestata la validità di tale hack, sostenendo che è stato sfruttato codice di terze parti, che si ritiene essere il plugin Flash di Adobe.

Via: ZD Net

Violati account Gmail in Iran, Google invita a cambiare password

Google ha inviato un'email di allerta agli utenti iraniani del suo servizio Gmail, su un'azione di pirateria informatica che potrebbe permettere agli hacker l'accesso alla loro corrispondenza. "I sistemi interni di Google non sono compromessi, ma stiamo contattando utenti che potrebbero essere stati colpiti fornendo loro una serie di indicazioni, perche' la nostra' priorita' e' garantire la privacy e la sicurezza dei nostri user", si legge sul blog di Eric Grosse, responsabile della sicurezza di Google. L'azione di hackeraggio potrebbe riguardare circa 300mila utenti iraniani di Gmail, che potrebbero essere indotti a entrare in una falsa pagina di Google e da li' in una versione non protetta della loro casella di posta. Per questo si chiede agli utenti di usare una serie di accortezze, tra cui cambiare la password della loro casella. Non è comunque da escludere la possibilità che siano stati violati account in possesso di persone di altra nazionalità. Autore dell'azione di pirateria informatica sarebbe uno studente 21enne di ingegneria informatica che si fa chiamare sul Web 'Comodohacker' e che si definisce seguace dell'ayatollah Ali Khamenei, Guida Suprema della Repubblica islamica. Afferma di agire in modo indipendente, ma lascia intendere di poter inoltrare le informazioni raccolte al governo. Comodohacker sarebbe il responsabile dell'attacco alla Certificate Authority DigiNotar che ha portato alla compromissione di oltre 500 certificati SSL, di siti come Facebook, Skype, Mozilla, Microsoft, Yahoo, Android e Twitter. Chrome, Firefox, Internet Explorer e Adobe hanno inserito i certificati DigiNotar nella blacklist, tuttavia c'è sempre il rischio che gli account violati in precedenza possano essere stati configurati in modo da favorire altri accessi non autorizzati in futuro. Comodohacker afferma, inoltre, di aver messo mano a tutte le informazioni gestite tramite i server della GlobalSign, che è una delle Certificate Authority più importanti della Rete.

Via: Adnkronos