venerdì 25 agosto 2006

www.google.com e Spaghetti threat

C'è un malware che gira da alcuni mesi che sta dando molto filo da torcere alle poche case di AntiVirus che si sono decise ad affrontarlo, ma che nelle ultime ore pare stia diffondendosi in maniera allarmante. Infatti stanno comparendo molte analisi fatte da vari esperti di virus non tanto per la pericolosità, della quale ancora non sono riuscito a capirne molto, quanto alle interessanti tecniche di cui fa uso.

Symantec ed altri lo hanno soprannominato Spaghetti Threat sia perché i suoi meccanismi d'infezione sono cosí intricati da ricordare una matassa di spaghetti, sia perché la sua diffusione massiccia pare stia partendo proprio da siti italiani.

Oltretutto, aggiungo io, una delle migliori analisi tecniche reperibili è stata fatta da Marco Giuliani e sta rimbalzando in giro per il mondo e può essere scaricata dal suo sito.

Non ho ancora capito qual'è la vera portata del problema, ma è senza dubbio interessante. Soprattutto l'analisi di Marco Giuliani è molto istruttiva.

Ah, dimenticavo... Che c'entra Google? Il downloader "droppato" nel computer che scatena la matassa di infezioni si chiama www.google.com. Sembra l'URL più famosa del mondo e invece è un ingegnoso file eseguibile (ricordate che .com è una delle estensioni eseguibili in DOS e Windows, come .exe?)

lunedì 7 agosto 2006

E tu che lingua parli?

I ricercatori della O'Reilly Research, la divisione di ricerca della più importante casa editrice di libri d'informatica, hanno recentemente reso noti i risultati di un'indagine basata sui dati di vendita dei libri tecnici di programmazione, attraverso la quale si può avere un'idea delle tendenze nel mondo della programmazione.

Ebbene, attualmente la classifica dei linguaggi di programmazione più usati sarebbe questa:

  1. Java
  2. C#
  3. C/C++
  4. VisualBasic
  5. Javascript
  6. PHP
  7. Ruby
  8. Perl
  9. Python
Guardando però il grafico delle rilevazioni dal 2003 ad oggi, non si può non notare come Java abbia ormai iniziato il suo lento ed inarrestabile declino, nonostante i titanici sforzi della Sun. Infatti il divario tra Java e C# non è più molto ampio e considerando la maturità del primo e la giovane età del secondo, c'è da immaginarsi un sorpasso a breve. D'altra parte sposare la titanica IBM, il cui presindente disse negli anni settanta che pensare che ci sarebbe stato un pc su ogni scrivania era pura follia, certo non porta bene.

L'altra cosa che colpisce è il sorpasso di Ruby ai danni del Perl, altro caposaldo della programmaizione Web e non solo. Soprattutto sembrerebbe che la comparsa del framework Rails (e la conseguente nascita di Ruby on Rails) sia il motore propulsore capace di rivoluzionare il mondo dello sviluppo Web all'infuori del mondo Java e .NET. Riuscirà anche a scalzare PHP?

L'ultima nota è riservata al quinto posto di Javascript. Sebbene non si possa considerare un vero e proprio linguaggio di programmazione, la sua rinascita nelle vendite testimonia in realtà l'avvento e il grande successo di AJAX.

domenica 6 agosto 2006

Fastidioso Adware per Firefox

Oggi ho sperimentato la presenza di un fastidioso adware che mi apriva circa ogni dieci minuti una finestra di popup contenente pubblicità. Poiché la pubblicità era contestualizzata alla lingua con cui è configurato Firefox, questo adware aveva anche le caratteristiche di spyware.
La bestia si chiama NSIS Media Extension. Le finestre contenenti la pubblicità appaiono dopo un tempo variabile dall’avvio di Firefox, ma altri riportano anche che si “attacca” a Thunderbird ed a Windows Explorer (...e probabilmente Internet Explorer) ed hanno un titolo che contiene anche uno strafalcione in inglese: "Advertisment - NSIS Media Extension".

Un tipo di pop up mostrato da questo adware, in particolare, è piuttosto pericoloso per la maggioranza degli utenti non addetti ai lavori. Appare una piccola finestrella di Firefox (delle dimensioni di un quadratino pochi pixel per pochi pixel), coperta da un dialog box di Windows che ci avverte che è stato trovato un virus. Il messaggio dice poi, che cliccando su Ok si scarica un efficace programma per ripulire il computer da quel virus.

Tipico tentativo di farvi scaricare altro malware.

La cosa strana è che molti Antispyware e Antivirus non lo rilevano affatto, a partire da Windows Defender, Symantec e Avira Antivirus. Oltretutto nessun popup blocker sembra in grado di bloccare le finestrelle.

Ho letto in molti posts che è anche duro a morire, in quanto anche disinstallandolo riappare dopo ogni reboot. A me per ora è andata bene (tocchiamo ferro). Mi è bastato eseguire il programma di disinstallazione che molti riportavano essere un malware esso stesso, che avrebbe scaricato altro malware. Ovviamente ho preso almeno la minima precauzione di monitorare tutto quello che fa utilizzando l'utilissimo Total Uninstall.

A quanto pare il programma di disinstallazione fa esattamente quello che dovrebbe. Tuttavia potrebbero esistere diverse versioni di questo adware e io sono stato fortunato da beccarmi una abbastanza “benigna”. Ma come entra nel sistema? Premesso che ho una macchina abbastanza corazzata, tra firewall, antivirus, antispyware, utenza da non-amministratore, etc... entra nel più semplice dei modi: installato insieme ad altre applicazioni poco attendibili. Nel mio caso si trattava (l’ho scoperto solo dopo varie ricerche) di una variazione sul tema del più famoso programma di file sharing che ha per icona un mulo.

Questa vicenda, che spero sia conclusa, ma non si sa mai..., mi ha ricordato le seguenti lezioni:

  1. Prima di installare un software bisogna sempre dare un’occhiata ai resoconti degli utenti e se non si è sicuri testarlo in un ambiente protetto. In questo caso avrei potuto immaginarlo che trattandosi di una scopiazzatura di un software famoso, che si vantava di essere più veloce dell’originale, ci sarebbe stata qualche sorpresa.
  2. Non basta avere un software Antispyware e un Antivirus per sentirsi sicuri. Quelle sono misure per tenere fuori il “grosso” della robaccia, ma per evitare le minacce più recenti e più pericolose servono buone abitudini, come quella del punto 1 e quella di non usare i diritti di amministratore se non quando è necessario.
  3. Le tecniche di infezione evolvono continuamente. In questo caso, ad esempio, mi sentivo abbastanza sicuro che avrei trovato subito i processi responsabili dei popup usando ProcessExplorer di Sysinternals, ma la tecnica era un po’ meno banale del solito. Il programma maligno non appariva come processo a sé stante, ma come estensione di Firefox, programma del quale ancora siamo poco abituati a vederne le vulnerabilità. Andando a guardare nel file “browser.manifest”, una sorta di file di configurazione di Firefox, si trovava la chiamata per caricare la libreria Java NSIS.jar, che probabilmente conteneva tutto il codice maligno.

Forse la mia fortuna è stata che solo Firefox si è “infettato”, facendo venire a mancare quella sorta di effetto “monitoraggio ad anello” che rende la rimozione di molti spyware difficile.

Per saperne di più:
http://forum.sysinternals.com/forum_posts.asp?TID=7287&PN=1&TPN=1
http://www.wilderssecurity.com/showthread.php?t=138307
http://forum.html.it/forum/showthread.php?s=&threadid=1007306&pagenumber=3

Programmi da NON installare perché installano spyware, tra cui NSIS Media Extension:

eMule++ (http://www.download.com/eMule-/3000-2166_4-10541345.html?tag=lst-0-2)
Foxie (http://www.getfoxie.com/feature/firewall/)

venerdì 27 gennaio 2006

ProjectWork.End()

Finito!

Wired IEEE 802.1X

Implementazione di un meccanismo di controllo degli accessi alla rete a livello di porta basato sullo standard IEEE 802.1X.