In particolare, secondo il giornale è sufficiente rivolgersi alle agenzie che via Internet danno accesso a informazioni e documenti pubblici per recuperare le identità, compresi i lavori di “copertura”, di più di 2.600 impiegati CIA, una “lista” che potrebbe mettere in serio pericolo le persone coinvolte.

Sebbene non tutti coloro che possono essere individuati facciano parte del personale che agisce sotto copertura, hanno spiegato i reporter del quotidiano dell’Illinois, il livello di allerta è ora massimo. Stando al “Tribune”, la stessa CIA ha confermato ai reporter che molti dei nomi presenti nella lista vanno considerati riservati ed è ovviamente questo il motivo per il quale la lista non è stata pubblicata dal giornale. Il direttore della CIA, Porter Goss, si è detto “atterrito” per la scoperta. E una portavoce ha spiegato che “l copertura è una questione complessa divenuta più complessa nell’era di Internet. Ci sono cose che funzionavano prima e che ora non funzionano più”.

Ciò che inquieta e che sta innestando nuove polemiche sull’intelligence statunitense, già nel mirino di roventi polemiche per le attività di intercettazione globale delle telecomunicazioni che svolge, è che per individuare quelle persone sia stato sufficiente ricorrere a elenchi telefonici, dati del catasto e delle transazioni di immobili, presenza in liste elettorali e via dicendo: tutte informazioni, dunque, facilmente reperibili online a chi fosse determinato a stilare una lista di “obiettivi”.

A tutto questo si aggiunge che, nella sua inchiesta, il Chicago Tribune ha individuato persino numeri telefonici interni del Pentagono e della CIA, oltre ad aver scoperto l’ubicazione di una serie di sedi della CIA sparse nel paese, alcune delle quali corrispondenti ad abitazioni in apparenza del tutto “normali”. “Quando il Tribune - scrive il giornale - ha ricercato i dati sui servizi commerciali online, il risultato è stata una directory virtuale di più di 2.600 dipendenti CIA, 50 numeri interni dell’agenzia e la locazione di una ventina di strutture CIA sul territorio americano”.

Un ufficiale anziano dell’intelligence americana interpellato dal Tribune ha spiegato che “non c’è una vera spiegazione per tutto questo, francamente”. A suo dire, però, la CIA ha sempre istruito a dovere i suoi uomini: “Sono loro i primi responsabili della propria copertura. Se non possono mantenerla loro, allora è difficile per chiunque altro farlo”.

Va detto che negli ultimi mesi negli USA ci si è quasi “abituati” alla diffusione inattesa di dati personali, anche finanziari, con casi clamorosi che hanno avuto l’onore delle cronache e che riguardano perlopiù privati cittadini che sono stati messi a rischio dalla mancata messa in sicurezza di importanti database. Ma in quei casi si trattava di “fughe di dati” mentre è la prima volta che le potenzialità stesse della rete mettono in grave crisi alcuni dei segreti di Stato più importanti, come l’identità di personale la cui copertura rappresenta talvolta l’unica garanzia di sicurezza personale.

La sua “Mitnick Security” è una società che offre consulenze e workshop sulla sicurezza informatica. Il principio che Mitnick, che da ragazzino riuscì a entrare nei sistemi di alcune tra le più importanti compagnie telefoniche e in quello del Pentagono, inculca a chi chiede i suoi consigli è semplice: “Il pericolo maggiore è sentirsi invulnerabili”.

Per Mitnick nessun sistema informatico è tale: per dimostrarlo, durante una lezione è riuscito a trovare in rete il codice sanitario di George Bush e il nome della collaboratrice domestica della mamma di Leonardo Di Caprio, tutto in meno di 15 secondi. Giochetti per uno che ha scritto “The art of intrusion” (”L’arte della violazione”), soprattutto per uno che non perde mai di vista l’elemento umano dietro alla tecnologia.

Mitnick nelle sue lezioni alle aziende sottolinea infatti che è possibile proteggere i propri sistemi dai virus, ma non è possibile proteggerli dalla corruttibilità delle persone che li usano. “Gli hackers trovano la falla nei firewall umani”, loi dice a ragion veduta, perché quando si introdusse nei più sofisticati sistemi informatici del mondo Mitnick lo fece persuadendo impiegati poco accorti a fornigli informazioni.

Tutto a fin di bene, sostiene. Sul sito della sua azienda, dove si può prenotare una consulenza e acquistare i suoi libri, Mitnick spiega che la maggior parte della gente sa poco o niente di lui, nonostante i tanti articoli che gli hanno dedicato i giornali più importanti e le apparizioni nei più seguiti show televisivi. “I media hanno creato un mito, una storia fantastica in cui mi vengono attribuite azioni fatte da altri hacker - dice Mitnick - perché dare la colpa a un solo personaggio era molto più interessante”.

La sua versione dei fatti è di non essere mai stato un “hacker cattivo”, ma un ragazzo “affascinato dalla tecnologia fin dall’infanzia” e “con il desiderio di conoscere tutto il possibile sulle modalità di funzionamento dei sistemi di comunicazione”. “Non ho mai agito con lo scopo di guadagni personali o per danneggiare i sistemi nei quali penetravo” è la difesa di Mitnick “le mie azioni sono state motivate sempre e solo dalla curiosità intellettuale”.

Una curiosità che ora gli frutta parecchio, basta guardare la sua agenda (la si trova sul sito, non è necessario violare alcun sistema informatico). Dopo un tour di conferenze in Sudafrica Mitnick approderà in Europa, a Praga. E parliamo solo di marzo.

“Le autorità svizzere - comunica MPA in una nota - hanno arrestato il gestore del server a casa sua in Svizzera e hanno perquisito la sua abitazione. Allo stesso tempo, come richiesto da un magistrato locale, la polizia belga ha sequestrato i server localizzati presso un provider a Zaventem nei pressi di Bruxelles”.

Nella nota distribuita alla stampa, MPA sostiene che i gestori di Razorback agivano per lucro: “Oltre a ricevere donazioni dagli utenti, profitti erano generati con la vendita di pubblicità sul sito, generalmente di natura pornografica”. A detta degli studios, inoltre, “gli operatori di questo sito eDonkey (così nel testo, ndr.) hanno scelto di non controllare i file scambiati dagli utenti che includono anche pornografia infantile, istruzioni per la costruzione di bombe e video di addestramento per terroristi”. Affermazioni pesanti che riguardano argomenti al di fuori del tradizionale raggio d’azione di MPA e che secondo qualcuno sono frutto della difficoltà di “mettere all’angolo” un’attività, quella di Razorback, che in più occasioni aveva cercato contatti con le major per escogitare soluzioni contro la pirateria sulla propria rete.

“Razorback - ha dichiarato uno dei dirigenti di MPA - non era soltanto un enorme indice per utenti Internet impegnati nello scambio illegale di file, era una minaccia per la società. Applaudiamo le autorità svizzere e belghe per le loro azioni, che aiutano a colpire la pirateria Internet nel Mondo”.

MPA sostiene anche che questa operazione assesta un duro colpo alla rete di scambio file. “Questa - ha infatti dichiarato il chairman MPA Dan Glickman - è una vittoria fondamentale nella battaglia per contenere la diffusione di materiali illegali su Internet attraverso le reti P2P. Eliminando il traffico illegale di opere protette facilitato da Razorback, stiamo togliendo ad altri network illegali la possibilità di fornire ai pirati Internet opere protette, il che rappresenta un passo positivo nella battaglia internazionale contro la pirateria”.

Molti osservatori si sono chiesti però perché MPA attribuisca questa importanza decisiva al server appena sequestrato: come osserva Slyck.com, “Razorback era davvero un nodo importante della rete eDonkey2000, ma la sua importanza è decisamente contenuta se raffrontata alla vastità della comunità eMule e dalla rete Kad”. Secondo più fonti oggi su eMule gira un numero di utenti persino superiore a quello che vi girava prima della chiusura del server.

Sebbene gli exploit vengano generalmente scritti dagli esperti di sicurezza solo a scopo dimostrativo, il loro codice è spesso utilizzato dai cracker per creare malware di vari tipi (worm, trojan, spyware ecc.). È per tale ragione che, secondo gli esperti, WMP è al momento il componente che espone gli utenti di Windows, specie quelli consumer, ai maggiori rischi per la sicurezza.

Le vulnerabilità prese di mira dagli exploit, tre dei quali pubblicati da FrSIRT, sono quelle descritte nei bollettini MS06-005 e MS06-006 di Microsoft. Entrambe le vulnerabilità possono essere sfruttate da un aggressore per eseguire del codice dannoso su di un sistema remoto: tale codice può essere contenuto, a seconda del bug sfruttato, in un file “.bmp” o in un plug-in.

Il problema di sicurezza più grave è quello trattato nel bollettino MS06-005, classificato come “critical”: un cracker potrebbe infatti far leva su tale debolezza per prendere il pieno controllo di un PC remoto.

Allertati dunque tutti coloro che usano un sistema operativo Mac Os X. Per evitare il contagio basta una sola accortezza: evitare di aprire il file e di scaricarlo sull’hard disk.

La società produttrice di antivirus “Sophos” sottolinea che il worm si diffonde principalmente attraverso il programma di istant messaging “iChat”, ma può estendere facilmente il contagio anche tramite l’altro sistema “Aim” (America Online). La Symantec, altra nota casa di produzione di antivirus, ha classificato il worm con un livello di pericolosità 1 su una scala con il punteggio massimo di 5. “OSX/Leap-A” non appare quindi come un grande pericolo, ma la sua scoperta ha comunque un enorme effetto. “E’ una prova della diffusione dei virus - sottolinea infatti il direttore della Symantec Vincent Weafer - in sistemi operativi diversi da Windows”.

Tra gli utenti Apple invece c’è molto scetticismo e poco allarmismo per la scoperta di questo nuovo worm. Il virus infatti è poco prolifico e, soprattutto, ha bisogno di un’attivazione manuale per poter fare danni sul computer. Secondo molti “OSX/Leap-A” non avrebbe nemmeno diritto alla qualifica di virus, e dovrebbe semplicemente essere cvlassificato come “programma utente dannoso”.

La maggior parte delle infezioni viene progettata esclusivamente per colpire Windows, che rimane il sistema operativo più diffuso tra tutti colori che posseggono un computer. In circolo però ci sono anche virus progettati per danneggiare i sistemi operativi usati su smartphone e palmari, come per esempio “Windows mobile” e “Symbian”.

Soluzione:
Nessuna patch disponibile al momento;
Disabilitare il supporto Active Scripting tranne che per i siti fidati;
Impostare il kill bit sul controllo Shell Explorer;

La decisione arriva in seguito ad un caso in cui una società aveva impugnato i dati di navigazione del dipendente per una contestazione disciplinare culminata poi nel licenziamento. Aveva cioè esaminato quali siti avesse visitato quella persona dopo aver avuto accesso ad Internet, attività per la quale non era autorizzato.

Anziché limitarsi a prendere nota dell’avvenuta connessione e dei tempi di accesso - che in sé sarebbero stati considerati misure “adeguate” per contestare l’utilizzo non autorizzato di una risorsa informatica della ditta e avrebbero concesso a questa di agire contro il dipendente - il datore di lavoro aveva dunque fatto ricorso a cookie e cache di sistema per dimostrare nel proprio procedimento le “malefatte” del dipendente. A suo dire, infatti, questi si era recato su siti a contenuto politico e pornografico violando la policy aziendale.

Tutto ciò però non è permesso. Come specifica il Garante nel suo provvedimento, infatti, non solo il dipendente non era stato informato del monitoraggio dell’uso della rete ma la società in cui lavorava “ha invece operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici contenuti degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando -in modo peraltro non trasparente- un trattamento di dati eccedente rispetto alle finalità perseguite”.

In sostanza raccogliere queste informazioni si è tradotto in un trattamento di dati sensibili, informazioni idonee - spiega l’Autorità - “a rivelare convinzioni religiose, opinioni sindacali, nonché gusti attinenti alla vita sessuale”.

Secondo il Garante, infatti, dalla documentazione presentata dall’azienda “emergevano anche diverse informazioni particolarmente delicate che la società non avrebbe potuto raccogliere senza aver prima informato il lavoratore. Sebbene infatti i dati personali siano stati raccolti nel corso di controlli informatici volti a verificare l’esistenza di un comportamento illecito, le informazioni di natura sensibile, in grado di rivelare ad esempio convinzioni religiose e opinioni sindacali o politiche, potevano essere trattate dal datore di lavoro senza consenso solo se indispensabili per far valere o difendere un diritto in sede giudiziaria. Indispensabilità che non è emersa dagli elementi acquisti nel procedimento”.

“Non è ammesso spiare l’uso dei computer e la navigazione in rete da parte dei lavoratori - ha sottolineato Mauro Paissan, componente del Garante e relatore del provvedimento - Sono in gioco la libertà e la segretezza delle comunicazioni e le garanzie previste dallo Statuto dei lavoratori. Occorre inoltre tener presente che il semplice rilevamento dei siti visitati può rendere noti dati delicatissimi della persona: convinzioni religiose, opinioni politiche, appartenenza a partiti, sindacati o associazioni, stato di salute, indicazioni sulla vita sessuale”.

Microsoft ha spiegato che la nuova beta di Windows Defender introduce quattro novità sostanziali:

- un’interfaccia utente ridisegnata, che promette di semplificare i task più comuni e migliorare la visibilità degli avvisi in base alla loro importanza;
- un nuovo motore di scansione capace di rilevare e rimuovere un maggior numero di malware, e una migliorata protezione real-time in grado di tenere sotto controllo le aree più critiche del sistema operativo:
- l’accessibilità delle protezioni fornite dal software a tutti gli utenti del sistema, inclusi quelli senza privilegi di amministrazione;
- il supporto alle piattaforme x64.

Da notare come Windows Defender ora sfrutti, per la ricezione degli aggiornamenti, la funzione Aggiornamenti automatici di Windows.

Scaricabile da in lingua inglese, Windows Defender Beta 2 può avere una dimensione compresa fra i 6,4 e 14,3 MB a seconda dei componenti selezionati per il download. Il software gira su Windows 2000 SP4, Windows XP SP2 e Windows Server 2003 SP1. Il big di Redmond conta di integrarlo anche all’interno di Windows Vista, ed in questo caso gli utenti potranno accedere ad alcune feature aggiuntive: tra queste, la possibilità di verificare solo i file che sono stati modificati dopo l’ultima scansione.

Nelle FAQ di Windows Defender, Microsoft ha ribadito che il tool rimarrà completamente gratuito anche nella versione finale: per scaricarlo è però necessario superare l’ormai onnipresente test Genuine Advantage per la validazione della propria copia di Windows. Microsoft sostiene che gli utenti del proprio antispyware sono già oltre 25 milioni.

Le restanti vulnerabilità sono state classificate come “important”.

Il bollettino MS06-006 descrive una falla causata dall’errata gestione del Windows Media Player di plug-in non progettati per IE. Un plug-in creato ad hoc da un cracker potrebbe eseguire del codice dannoso.

Il bollettino MS06-007 fornisce la patch per una vulnerabilità causata dalla non corretta elaborazione, da parte dello stack TCP/IP di Windows XP e Server 2003, di certi pacchetti IGMP (Internet Group Management Protocol). Un aggressore potrebbe sfruttarla per lanciare da remoto attacchi di tipo denial of service.

Con il bollettino MS06-008 Microsoft ha invece corretto un bug nel servizio Web Client di Windows XP e Server 2003 che potrebbe consentire ad un utente locale, dotato di un account valido, di acquisire il completo controllo del sistema.

Il bollettino MS06-009 tratta una falla nel Korean Input Method Editor di Windows XP/Server 2003 e Office 2003 che potrebbe consentire ad un utente del sistema di elevare i propri privilegi.

Infine, il bollettino MS06-010 riguarda un problema in PowerPoint 2000 che può consentire ad un abile cracker di accedere a file archiviati nel Temporary Internet Files Folder. Di per sé questa debolezza è quasi innocua, ma potrebbe essere utilizzata in congiunzione con altri exploit.

Secunia ha pubblicato un advisory dove descrive una vulnerabilità di IE ancora non patchata relativa alla funzionalità drag-and-drop del browser: secondo gli esperti, un sito Web potrebbe indurre un utente a trascinare un oggetto da una finestra all’altra del browser e riuscire così ad eseguire del codice nel sistema. Pare tuttavia che sfruttare il bug sia tutt’altro che semplice e immediato.

Ieri sono poi stati pubblicati alcuni dettagli su di un problema di sicurezza di Windows apparentemente molto serio. Ecco di cosa si tratta.

In Windows si cela una vulnerabilità di sicurezza che, secondo le prime analisi degli esperti, potrebbe rivelarsi particolarmente pericolosa. L’allarme è stato lanciato in Italia dalla società di sicurezza Yarix, che nella giornata di ieri ha divulgato alcune informazioni sulla falla.

Il problema, che sembra interessare tutte le versioni di Windows, potrebbe consentire ad un aggressore di compromettere un PC o un’intera rete eludendo tutte le più comuni protezioni, inclusi firewall e sistemi anti-intrusione. Secondo Yarix, che ha compiuto le proprie analisi in collaborazione con la società Webcola, la vulnerabilità risiede nel componente RDS (Remote Data Service) di MDAC (Microsoft Data Access Components), componente che in passato ha già esposto il fianco a diversi tipi di attacco.

“Si è scoperto che una delle possibilità offerte da tale componente software è quella di consentire la scrittura di file e la modifica del registro di sistema all’insaputa dell’utente”, ha spiegato Alessandro Martignago, responsabile della parte di ricerca e sviluppo software di Webcola.

Dal momento che la vulnerabilità è ancora senza patch, le due società hanno preferito divulgare i dettagli della stessa solo all’interno della comunità di esperti del settore. Va però detto che informazioni ed exploit relativi alla debolezza sono già stati pubblicati da alcuni siti dell’underground di Internet.

Il team di esperti di Zone-h.it, interpellato da Punto Informatico, ha evidenziato che la falla risiede nella libreria msadco.dll, e in particolare negli oggetti DataSpace e DataControl di RDS.

“Il problema è molto severo in quanto tale componente è safe for scripting e quindi richiamabile da qualsiasi zona di Internet Explorer”, ha dichiarato un portavoce di Zone-h.it. “Tale vulnerabilità permette di eseguire comandi o di salvare file arbitrari sul computer vittima”.

Un exploit proof of concept provato da Zone-h.it permette, ad esempio, di creare un file “.txt” sull’unità “C:” con contenuto arbitrario.

In attesa di una correzione ufficiale, gli esperti suggeriscono di de-registrare dal sistema la DLL msadco.dll per mezzo del comando regsvr32 -u “percorso della DLL”.

Il presidente di Yarix, Mirko Gatto, ha detto di aver segnalato la vulnerabilità a Microsoft e alla Polizia Postale di Treviso, la quale ha già costituito una task force “per seguire con attenzione l’evolversi della vicenda”.

PI è in attesa di un commento ufficiale da parte di Microsoft Italia. Update (ore 18,24): Microsoft Italia ha riferito a PI quanto segue.

“Il Security Response Center di Microsoft non è al momento a conoscenza di collaborazioni con l’azienda YARIX. (…) Sarà nostra premura informarvi nel caso in cui ci fossero sviluppi della situazione ed evoluzioni rispetto a un contatto con l’azienda”.