Il taccuino di Armando Leotta Rotating Header Image

Incidente

Hack attempts & good news #security

Un alert insolito.

Fare un po’ di manutenzione e ritrovare tracce di 6 attacchi di crew diverse: priceless.

Codice base64 come se piovesse.
Decodificando mi ritrovo un PHP con POST con tanto di echo “indonesian people is here“.

Se non bastasse, ritrovo altri due php contenenti, secondo sophos per mac, il trojan PhpShel-G e altri dei tentativi di injection test.

Dimenticavo una jpg pronta all’uso: potevano mancare i Martiri di Gaza?

Tentativo di defacement

Cortese visita

I presidi funzionano così come gli alert.

Grazie Bluehost: well done!

 

Tiscali e il servizio assistenza clienti (questo sconosciuto)

Oggi come per magia la mia linea dati era indisponibile. Verificato che non si trattava di un problema risolvibile con riavvi di modem e/o del router cosa si fa?

Si chiama il gestore. Nel mio caso, Tiscali.

Peccato che il telefono era isolato.

Provo a chiamarlo da un altro numero e mi risponde la voce registrata che mi conferma l’irraggiungibilità del numero.

Provo a contattare il 130.

Dopo svariati tentativi di instradamento, riesco a comporre il numero della linea che presenta il guasto.

Altra vocina registrata: “assemblea sindacale”. Bene, armiamoci di pazienza e attendiamoci un servizio degradato.

Dopo qualche minuto mi viene suggerito di usare le risorse online per chiedere aiuto e di lasciare un numero di cellulare per essere aggiornato sulla natura del guasto. Poco male, è fatta.  Comunico il numero, attendo conferma e anzichè la solita vocina sento il segnale della caduta della comunicazione.

Twitter, perchè no!?

Assistenza Tiscali su Twitter

Assistenza Tiscali su twitter

12 ore senza un cenno di risposta, di presa in carico: onestamente non conosco gli SLA contrattualizzati ma siamo decisamente sotto una dignitosa offerta best effort e sopra la soglia del cattivo gusto.

Proviamo con facebook, è pubblicizzato anche sul loro sito!

Vado, sarò più fortunato?

Direi di no, visto che è stato cancellato il primo post..

Assistenza clienti Tiscali su Facebook

Assistenza clienti Tiscali su Facebook (prima della censura e della cancellazione della richiesta d’assistenza)

e per par condicio anche il secondo.

assistenza Tiscali su Facebook

Rischiesta d’assistenza sulla pagina Facebook di Tiscali (prima dell’ennesima cancellazione del post relativo alla richiesta d’assistenza)

A giudicare dall’assenza di post su quella pagina mi sembra solo un tentativo di multicanalità finito prematuramente.

Nel frattempo il problema è rientrato ma la sensazione di totale abbandono da parte del servizio assistenza è forte.

130 no.

Aggiornamento tramite sms come indicato dal 130: nulla da fare.

Twitter? Sto ancora aspettando.

Facebook? Mi hanno cancellato due richieste di assistenza.

Insomma, un bel grosso #fail da parte di Tiscali e del suo customer care evidentemente non all’altezza.

E’ uno dei tanti casi in cui la multicanalità diventa solo un modo per apparire ed una moda da scimmiottare ma di certo non un servizio ai clienti.

Peccato.

TISCALI #FAIL

 

P.S. Tiscali, cancella anche questo post adesso.

Iseclab security tool: anubis, wepawet & andrubis

Per gli addetti ai lavori sono tool noti.

In ogni caso segnalo dei tool della International Secure System Lab

Anubis: Analyzing Unknown BinariesParticolarmente attivi ed interessanti Anubis e Wepawet.

Anubis (ANalyze Unknown BInarieS)

Inizialmente era nato come servizio di analisi malware e permetteva di sottomettere esclusivamente eseguibili windows sospetti.

Di recente è stato integrato Andrubis che integra la scansione di APK Android.

E’ possibile anche sottomettere un URL per verificare il comportamento del browser alla ricerca di un drive-by-download attack o similari.

Ottima la reportistica e la profondità di dettagli.

Wepawet

Se invece avete a che fare con un pdf, un javascript o un file flash sospetto potete usare il servizio wepawet.

I sistemi utilizzano un’opportuna sandbox nella quale lanciano il contenuto inviato  che viene tracciato ed analizzato.

Nota: date un’occhiata anche al servizio Exposure.

E’ un servizio web che rileva i domini coinvolti in attività legate a diffusione di codice malevolo: è ancora in beta ma promette decisamente bene.

Akamai report: the state of internet, 2nd quarter 2012

E’ stato pubblicato il report Akamai sullo Stato di Internet, relativo al secondo quarter 2012.
Particolarmente interessanti gli aspetti legati alla sicurezza (traffico, fonti e vettori d’attacco).
Utile anche il punto di osservazione privilegiato di Akamai in termini di connessioni https/ssl e i loro relativi algoritmi di cifratura utilizzati. (SSLv3 e TLSv1).
State of Internet, report akamai

Fonte Akamai

Da notare come la 445 si confermi la porta più “ambita” e che è più che triplicato rispetto al I Quarter il numero dei tentativi di connessione alla 8080 (mi viene da pensare a proxy check e a targeted attack, ndr).

Fonte Akamai

La sezione 1 del report è interamente dedicata agli aspetti di sicurezza mentre le restanti fotografano lo stato di penetrazione e diffusione di Internet nei vari continenti e con le rispettive disponibilità di broadband.

NOTA: Rispetto al I Quarter abbiamo scalzato la Germania dalla TOP 10 … ma si tratta della classifica delle 10 nazioni da cui ha origine il traffico relativo ad attacchi informatici.

Son soddisfazioni

 P.S.: il report è liberamente scaricabile previa registrazione

DNS Changer: non cedere all’allarmismo dei titolisti della carta stampata #dnschanger

DIffusione di DNS Changer in Italia

DIffusione di DNS Changer in Italia (foto via webnews)

In questi giorni si leggono titoli da apocalisse: lunedì si spegnerà Internet oppure non si potrà collegare più il tuo pc alla Rete. Se non capita a te potrebbe capitare al tuo collega d’ufficio!

Insomma, a giudicare dai titoli dei giornali “anche per colpa dell’FBI” il tuo pc sarà isolato dalla rete…

Se siete curiosi ad esempio di rivedere l’armageddon previsto e poi ridimensionato dai titolisti di Repubblica fatevi un giro qui.

In sintesi quello che succederà è che la struttura temporanea messa in linea per ovviare alla maliziosa traduzione dei nomi sarà disattivata.

Quindi, se eravate interessati dal malware e se nel frattempo non avete rimediato tramite bonifica della vostra postazione allora lunedì sarete molto probabilmente isolati dalla Rete.

Tenete conto che in Italia il fenomeno ha riguardato circa 26.000 postazioni (windows o mac), nel mondo circa 300.000.

Come vedete i numeri sono particolarmente esigui.

In ogni caso, controllare non costa nulla. Potte visitare il sito del vostro antivirus di fiducia che da tempo ha identificato e fornito istruzioni per l’eventuale rimozione e bonifica.

Se preferite o non avete antivirus (…) potete fare un salto sul servizio appositamente disposto da Telecom, DNS OK.

Adesso che avete soddisfatto la vostra ipocondria digitale e verificato che siete “puliti” come credo, archiviate con un sorriso l’ennesima esagerazione dei titolisti della carta stampata.

_______
Info utili: DNS Changer Working Group (fonte della stima sulle postazioni infette)