arkangelboss
Nuovo Utente
- Registrato
- 19/5/11
- Messaggi
- 83
- Punti reazioni
- 25
Salve,
in alcune recenti discussioni, e in particolare nella discussione - Conti online minacciati da un "trojan" la GdF lancia l'allarme - (LINK) è iniziato l'interesse per i timidi "allarmi" che iniziano ad arrivare sempre più numerosi dagli istituti bancari e postali italiani.
In questi "allarmi" (sono a conoscenza di messaggi da ING Direct, CheBanca, Poste Italiane) però, manca un vero messaggio: sono allerta generici che invitano alla prudenza.
Spero, quindi, di rendere un servizio a tutta la nostra comunità descrivendo almeno a grandi linee la minaccia di cui si parla tanto sottovoce.
È con molta preoccupazione che vi introduco il malware noto come ZeuS/Spyeye alle maggiori organizzazioni di sicurezza informatica.
La storia di questo malware per sistemi Windows è molto lunga e di grande "successo" (prego tutti di leggere la pagina di wikipedia a questo LINK, per avere un'idea di quanto filo da torcere stia dando guardate le fonti in fondo alla pagina: sembra un'antologia).
Questo malware è completamente configurabile e può diffondersi nei modi più disparati (esistono varianti tipo worm) e molto spesso senza l'intervento diretto dell'utente (rimando ancora alle citazioni in wikipedia per i dettagli).
ZeuS si infiltra nel sistema operativo e occupa le posizioni di controllo delle connessioni di rete. La sua funzionalità principale è molto semplice: quando rileva una connessione in corso verso un istituto bancario per cui è stato configurato (ZeuS ha un archivio di "maschere" che usa per sovrapporsi ai siti), si frappone tra l'utente e il browser, intercettando, copiando e, nelle varianti più virulente, modificando i dati inseriti. Tutto pulito e senza creare irregolarità nel canale SSL con la banca, che non si accorgerà di nulla se il malware usa il canale correttamente e non viola nessuna procedura di autenticazione (NON è un attacco man-in-the-middle, quindi SSL, certificati e quant'altro serva a confermare che gli ordini partono dal vostro PC non servono a nulla: per loro è tutto OK).
Alcune varianti, infatti, innescano operazioni approfittando di ordini legittimi dell'utente. Ecco un'idea di quanto sia facile:
Al di là di allarmi più o meno sotto voce, queste sono minacce serie, che non vanno sottovalutate e vanno affrontate con mezzi adeguati.
Un esempio di cosa penso sarebbe adeguato per un "normale" utente Windows:
Queste sono indicazioni di base, me ne rendo conto, ma sono un punto di partenza e sono una copertura verso il 90% dei problemi. Non esiste un modo di arrivare al 100%, inutile chiedere, e lo sforzo (leggi costo) per aumentare la protezione cresce esponenzialmente andando verso il 99% o oltre, senza contare lo sforzo di mantenere tale protezione: solitamente serve almeno un Professionista (no, non intento l'amico "esperto", ho detto "P"rofessionista) e soldi per pagarlo.
Un approccio un po' più "avventuroso" che abbiamo esplorato con altri utenti (vedi discussioni -LINK1- -LINK2- per i dettagli) sarebbe di spostarsi, almeno per l'home banking, verso sistemi operativi Linux-based, che ad oggi sono immuni da questa e altre minacce. (NOTA: in teoria un qualunque sistema diverso da Windows, che è il target immediato del malware, offre migliori chance di sopravvivenza, ma non mi voglio allargare troppo)
In questa discussione in particolare -LINK- ho cercato di dare opzioni su come procedere.
Per chi volesse approfondire lo stato attuale di questa minaccia, posso indicarvi:
- una recente analisi di un ricercatore Symantec -LINK- sulla sua evoluzione
- il servizio Zeustracker -LINK- che offre la panoramica della situazione che conosciamo (NOTA: al sito è scaduto il certificato per SSL da 2 settimane: se vi sentite minacciati evitate l'accesso, dovrebbero farselo aggiornare)
Concludo consapevole che questo post contiene solo una frazione infinitesima di quanto sarebbe da discutere, e sono certo che altri approcci esistono e sono applicabili a questo malware e spero che costruiranno questa discussione. Questa è la via che conosco e pratico, guidato dalla necessità di non investire troppe energie per costruire castelli che poi sono senza porte e finestre, cercando sempre di mantenere il controllo sui miei mezzi: il mio parere è che si deve diffidare sempre di soluzioni che promettono di toglierci la responsabilità della nostra sicurezza (chi di voi si affiderebbe senza riserve ad un "personal financial advisor"?, l'antivirus e gli strumenti di sicurezza vanno trattati come tratteremmo quella figura) e che l'utente, nel bene e nel male, deve sentirsi responsabile per se stesso ed essere informato per poter gestire questa responsabilità.
Spero che troverete qualcosa di utile in queste riflessioni personali, un saluto.
in alcune recenti discussioni, e in particolare nella discussione - Conti online minacciati da un "trojan" la GdF lancia l'allarme - (LINK) è iniziato l'interesse per i timidi "allarmi" che iniziano ad arrivare sempre più numerosi dagli istituti bancari e postali italiani.
In questi "allarmi" (sono a conoscenza di messaggi da ING Direct, CheBanca, Poste Italiane) però, manca un vero messaggio: sono allerta generici che invitano alla prudenza.
Spero, quindi, di rendere un servizio a tutta la nostra comunità descrivendo almeno a grandi linee la minaccia di cui si parla tanto sottovoce.
È con molta preoccupazione che vi introduco il malware noto come ZeuS/Spyeye alle maggiori organizzazioni di sicurezza informatica.
La storia di questo malware per sistemi Windows è molto lunga e di grande "successo" (prego tutti di leggere la pagina di wikipedia a questo LINK, per avere un'idea di quanto filo da torcere stia dando guardate le fonti in fondo alla pagina: sembra un'antologia).
Questo malware è completamente configurabile e può diffondersi nei modi più disparati (esistono varianti tipo worm) e molto spesso senza l'intervento diretto dell'utente (rimando ancora alle citazioni in wikipedia per i dettagli).
ZeuS si infiltra nel sistema operativo e occupa le posizioni di controllo delle connessioni di rete. La sua funzionalità principale è molto semplice: quando rileva una connessione in corso verso un istituto bancario per cui è stato configurato (ZeuS ha un archivio di "maschere" che usa per sovrapporsi ai siti), si frappone tra l'utente e il browser, intercettando, copiando e, nelle varianti più virulente, modificando i dati inseriti. Tutto pulito e senza creare irregolarità nel canale SSL con la banca, che non si accorgerà di nulla se il malware usa il canale correttamente e non viola nessuna procedura di autenticazione (NON è un attacco man-in-the-middle, quindi SSL, certificati e quant'altro serva a confermare che gli ordini partono dal vostro PC non servono a nulla: per loro è tutto OK).
Alcune varianti, infatti, innescano operazioni approfittando di ordini legittimi dell'utente. Ecco un'idea di quanto sia facile:
- L'utente si collega con la banca
- ZueS si attiva e monitora la sessione
- Se l'utente cerca di fare un bonifico ZeuS si frappone con una maschera progettata per essere come il sito reale
- L'utente compila la maschera di ZeuS con tutti dati, ZeuS compila l'ordine per la banca come gli pare. L'UTENTE NON VEDE NIENTE DI STRANO, solo la maschera che lui ha compilato
- La banca chiede un codice di autorizzazione? ZeuS anche.
- L'utente fornisce il codice a ZeuS in un altra maschera contraffatta, ZeuS fa il suo bonifico
- Quando la banca conferma, Zeus restituisce all'utente un messaggio di errore FALSO, e chiede di effettuare l'operazione di nuovo, questa volta facendo quello che intende l'utente
- Se le variante è bene carrozzata ZeuS può nascondere completamente il vero sito della banca, COMPRESA LA PAGINA DEGLI ORDINI, guadagnando un'infinità di tempo prima che qualcosa venga notato
Al di là di allarmi più o meno sotto voce, queste sono minacce serie, che non vanno sottovalutate e vanno affrontate con mezzi adeguati.
Un esempio di cosa penso sarebbe adeguato per un "normale" utente Windows:
- Windows SEMPRE aggiornato e possibilmente in ultima edizione disponibile
- Utenti non amministrativi per l'uso quotidiano (purtroppo bisogna crearlo da soli nel pannello di controllo perché il primo utente che si ottiene con l'installazione è amministrativo)
- UAC (User Account Control -LINK-) attivo al MASSIMO delle impostazioni (lamentarsi di quanto sia fastidioso non procura maggiore sicurezza) e LEGGERE prima di dare "SI"
- Un antivirus (vedere AV-comparatives -LINK- per una scelta informata) SEMPRE aggiornato e con SCANSIONI SETTIMANALI programmate
- Un firewall, se avete servizi raggiungibili dall'esterno (potete scoprirlo con un test da questo servizio -LINK-)
- Un browser recente e aggiornato, (la mia preferenza va a Firefox, ma ce ne sono tanti: Chrome, Opera, Internet Explorer 9, Safari, ecc) l'unico consiglio universale è di evitare Explorer prima della versione 9, la versione 6 in particolare è considerata "incorreggibile" anche da Microsoft.
- Un anti-spyware da aggiungere all'antivirus se la funzione non è fornita (personalmente suggerisco Spybot -LINK-, ma esistono molti altri software noti sul forum)
Queste sono indicazioni di base, me ne rendo conto, ma sono un punto di partenza e sono una copertura verso il 90% dei problemi. Non esiste un modo di arrivare al 100%, inutile chiedere, e lo sforzo (leggi costo) per aumentare la protezione cresce esponenzialmente andando verso il 99% o oltre, senza contare lo sforzo di mantenere tale protezione: solitamente serve almeno un Professionista (no, non intento l'amico "esperto", ho detto "P"rofessionista) e soldi per pagarlo.
Un approccio un po' più "avventuroso" che abbiamo esplorato con altri utenti (vedi discussioni -LINK1- -LINK2- per i dettagli) sarebbe di spostarsi, almeno per l'home banking, verso sistemi operativi Linux-based, che ad oggi sono immuni da questa e altre minacce. (NOTA: in teoria un qualunque sistema diverso da Windows, che è il target immediato del malware, offre migliori chance di sopravvivenza, ma non mi voglio allargare troppo)
In questa discussione in particolare -LINK- ho cercato di dare opzioni su come procedere.
Per chi volesse approfondire lo stato attuale di questa minaccia, posso indicarvi:
- una recente analisi di un ricercatore Symantec -LINK- sulla sua evoluzione
- il servizio Zeustracker -LINK- che offre la panoramica della situazione che conosciamo (NOTA: al sito è scaduto il certificato per SSL da 2 settimane: se vi sentite minacciati evitate l'accesso, dovrebbero farselo aggiornare)
Concludo consapevole che questo post contiene solo una frazione infinitesima di quanto sarebbe da discutere, e sono certo che altri approcci esistono e sono applicabili a questo malware e spero che costruiranno questa discussione. Questa è la via che conosco e pratico, guidato dalla necessità di non investire troppe energie per costruire castelli che poi sono senza porte e finestre, cercando sempre di mantenere il controllo sui miei mezzi: il mio parere è che si deve diffidare sempre di soluzioni che promettono di toglierci la responsabilità della nostra sicurezza (chi di voi si affiderebbe senza riserve ad un "personal financial advisor"?, l'antivirus e gli strumenti di sicurezza vanno trattati come tratteremmo quella figura) e che l'utente, nel bene e nel male, deve sentirsi responsabile per se stesso ed essere informato per poter gestire questa responsabilità.
Spero che troverete qualcosa di utile in queste riflessioni personali, un saluto.
Ultima modifica: