Alfonso Maruccia

Flame, gli iraniani hanno la cura?

Il team per le emergenze informatiche del paese mediorientale dice di aver sviluppato un tool capace di individuare e rimuovere la nuova cyber-minaccia disvelata da Kaspersky. Verità o propaganda?

Roma - Kaspersky l'ha scoperto, e ora gli esperti iraniani dicono di avere la cura: si parla naturalmente di Flame, l'ultima "cyber-minaccia" diffusa online dagli stessi autori di Stuxnet e Duqu che secondo l'analisi preliminare della succitata security enterprise russa rappresenterebbe il malware più complesso e problematico sin qui mai realizzato.

Flame (anche noto come "Flamer") è un "colosso" da 20 Megabyte (Stuxnet "pesava" appena 500 kilobyte) con caratteristiche da worm, backdoor e trojan horse, un malware dotato di una struttura modulare in cui i componenti si scaricano e/o si attivano a piacimento di chi tiene le redini dei centri di comando&controllo dell'infezione.

Tra i possibili obiettivi del malware spione (che ruba log, tasti premuti, suoni da microfono, video da webcam integrata e screenshot in relazione al tipo di programma usato dall'ignaro utente) c'è ancora una volta l'Iran, e proprio dall'Iran arriva ora la notizia dello sviluppo di uno strumento in grado di dare battaglia a Flame.
Le autorità iraniane sostengono dunque di avere il tool utile a individuare e ripulire il malware, e dicono di volerlo mettere a disposizione di quelle organizzazioni (pubbliche o private che siano) che lo desiderino o ne abbiano necessità.

Senza la possibilità di controllare dall'esterno, il succitato tool iraniano potrebbe anche essere solo un vessillo propagandistico. A tal proposito Teheran non perde l'occasione di formulare l'ennesima accusa nei confronti del "nemico" Israele: secondo gli ufficiali iraniani le "impronte" individuate nel malware sarebbero riconducibili al modus operandi degli ingegneri e agenti informatici (Mossad?) di Gerusalemme.

Alfonso Maruccia
Notizie collegate
12 Commenti alla Notizia Flame, gli iraniani hanno la cura?
Ordina
  • I primi ad aver detto di aver trovato il modo di eliminare quel coso sono stati i russi della Kaspersky (a cui il mondo dovrebbe offire il Nobel per la Pace, se ormai non fosse un premio buffonata) e soprattutto hanno detto che il problema non era quello di eliminarlo ma quello di individuarlo (sapere che esiste) e dopo averlo fatto, il resto dovrebbe essere semplice.
    Gli iraniani, per conto loro, non è che siano proprio i più pirla del pianeta (credo che pure noi abbiamo avanti qualcun'altro nella lista, figuriamoci), quindi è più che possibile che abbiano trovato un metodo loro di eliminazione del virus.
    In fondo molti contestavano pure il fatto che avessero davvero beccato i terroristi che gli uccidevano gli scienziati, eppure dopo aver arrestato un po' di gente (pagata dall'estero), gli attentati sono finiti.
    non+autenticato
  • ...E se fossero dei test, sottoforma di virus, per il controllo sempre più morboso della rete intera?

    ...Del resto se le agenzie di intelligence fanno il filo a skype per avere più controllo...

    Allora, quale modo per by-passare il protocollo di crypt e decrypt se non attraverso qualcosa simile ad un virus che intercetti flussi audio, video e quant'altro a monte?
    Mah...
  • Scusate l'ignoranza, posso fare una domanda?
    Spesso si sente parlare di botnet ed in generale di malware che prendono ordini da server di comando&controllo. Immagino che solitamente dovrebbero riuscire ad individuare gli IP di questi server, "sniffando" il traffico che passa attraverso i computer infetti, no? In alcuni casi, tali minacce sono state rese inoffensive rendendo inaccessibili i server di comando, o sostituendoli con altri gestiti "dai buoni" (vedasi ad esempio http://punto-informatico.it/3525874/PI/News/google...).
    Ma se riescono ad identificare gli IP dei server, perché non riescono a risalire a chi li abbia attivati?
    Quegli IP utilizzeranno pure una connessione internet che qualcuno dovrà pagare, no? Lo so che l'identificazione tramite IP non è poi il massimo dell'accuratezza (benché le major della musica facciano finta di non saperlo), ma comunque magari qualche indizio su chi ci possa essere dietro a queste cose potrebbero fornirla, no? Possibile che non ci sia modo di mettere le mani sulla macchina fisica del server, per poi cercare di capire ad esempio chi paga per l'housing presso l'ISP, per cercare le impronte digitali di chi ha montato il computer, o risalire al negoziante che l'ha venduto tramite il numero di serie?
    non+autenticato
  • Guarda, ci sono diverse motivazioni... una delle quali semplicemente è: se il server / persona 7 enrambe se ne stanno in qualche staterello che non ha molta voglia di collaborare (e sono più di quelli che credi) puoi anche sapere nomi e cognomi ma difficilmente risalirai al colpevole reale.

    Senza contare che normalmente vengono usati tor / proxies.
    Senza contare che in molti paesi del mondo puoi avere delle SIM (per farti un esempio) senza dover per forza mostrare un documento.

    In parole povere: sulla carta è semplice, nella realtà non così tanto ...
    non+autenticato
  • se non sbaglio esistono anche tecniche basate su
    crittografia a p2p per il controllo di una botnet
    ovvero il command server è uno della botnet e continua
    a cambiare. pertanto è pressochè impossibile (quasi)
    individuare da dove erriverà il prossimo comando.
    non+autenticato
  • Tendenzialmente gli hacker creano le botnet con fake setup di programmi craccati di interesse per il pubblico (per esempio un game che viene scaricato da milioni di player incauti).
    Questi fake setup creano un injection di rootkit malevoli (meglio se MBR quasi impercettibili e fastidiosissimi da togliere) e permettono di partecipare inconsciamente alla botnet.
    Un virus generico invece si diffonde come un worm sfruttando bug windows od office o con exe infetti (oppure con i software rat si lega un trojan ad un eseguibile qualsiasi, facendo installare entrambi nel malcapitato... 1 alla volta val bene per un attacco mirato ma non per migliaia di computer in una botnet).
    Un virus come flame invece viene descritto come a diffusione indipendente, data una prima infezione questa attiva il download di altri pacchetti per un totale di 20 Mb (lol, record, mai sentito di virus così estesi...praticamente può installare un intero database di virus dietro il firewall)

    Basti pensare agli OS craccati dal turco Rezman...od ai software antivirus pro craccati e scaricati da internet
    Apparentemente sembrano funzionare bene, in realtà sono stati configurati per essere forati come l'hemental.
    non+autenticato
  • 20 mega... c'è da farci un pensierino per usarlo come OSA bocca aperta
    888
  • - Scritto da: Sky
    > 20 mega... c'è da farci un pensierino per usarlo
    > come OS
    >A bocca aperta
    Già mi viene un dubbio...
    Sarà mica un OS con relativi programmi che gira per conto suo?
    Magari avviato a basso livello, per questo è difficile da scovare...
    (supposizioni ovviamente).
    Certo quando una volta si usava un HD da 20 mb col Dos un "articolo" del genere era impossibile da installare, ma adesso con i terabyte degli HD attuali, è tutta un'altra storia.
  • Veramente ci sono malware che "pesano" anche centinaia di Megabyte, Flame al confronto non è poi così esagerato....
  • - Scritto da: Alfonso Maruccia
    > Veramente ci sono malware che "pesano" anche
    > centinaia di Megabyte, Flame al confronto non è
    > poi così
    > esagerato....

    sei proprio un troll stai parlando di windows ME e windows vistaA bocca aperta
  • - Scritto da: TheQ.
    > Tendenzialmente gli hacker creano le botnet con
    > fake setup di programmi craccati di interesse per
    > il pubblico (per esempio un game che viene
    > scaricato da milioni di player
    > incauti).

    I cyber criminali tendenzialmente fanno installare al tonto di turno casalingo il trojan che poi si collegherà al server di command & control facendo partirte una connessione tcp/ip   ( il Pc entrerà cosi' in una BotNet ) incapsulando l'installer del trojan stesso o del rootkit che farà poi da dropper del malware in Setup.exe di presunti programmi utili crakkati scaricati dalla solita fonte insicura al 101%, ovvero il solito P2p (Torrent & Emule) ..presunti setup.exe appunto perche' che poi invece non sono utili come ben si evince ma malware

    questa tecnica si chiama social engineering = far scaricare all'utonto una cosa che invece poi sarà un'altra, ovvero sarà software malware senza che lo sappia


    contro il social engineering (ingegneria sociale) sull'utonto non esiste sistema operativo che si salvi visto che poi è l'utente stesso ad elevare i privilegi ed installare quello che crede sia e che invece poi NON E' ..cosa che accade su tutti i sistemi operativi esattamente come il pishing = solito problema che sta tra monitor e sedia




    > Questi fake setup creano un injection di rootkit
    > malevoli (meglio se MBR quasi impercettibili e
    > fastidiosissimi da togliere) e permettono di
    > partecipare inconsciamente alla
    > botnet.


    per far entrare nella BotNet un computer non serve modificare nessun Master Boot Record dell'Hard Disk ..cosi' come non serve necessariamente nessun RootKit che faccia da Dropper e si nasconda sul sistema modificando il MBR con uno modded per poi avviarsi in kernel mode come driver di sistema offuscato ad ogni avvio del pc

    basta che si installi un Trojan come appena scritto sopra sfruttando il social engineering = basta sfruttare l'utonto casalingo stesso alla perenne ricerca di installer crakkoni da fonti insicure al 100%   come il p2p ...installer warez o Keygen che poi sono installer anche di malware



    > Un virus generico invece si diffonde come un worm
    > sfruttando bug windows od office o con exe
    > infetti (oppure con i software rat si lega un
    > trojan ad un eseguibile qualsiasi, facendo
    > installare entrambi nel malcapitato...



    Virus non ne esistono piu' da anni

    Nella categoria del sofware malevolo (malware) ci sono anche i Trojan gli Spyware,ed i Worm

    lasciando perdere il social engineering di cui ti ho appena parlato sopra   , per fare in modo che questi 3 generi di malware   si autoinstallino sul sistema deve prima partire l'esecuzione di codice exploit e relativa esecuzione di shellcode di silent install, exploit che per andare a buon fine deve sfruttare una vulnerabilità critica di remote code execution su qualche software di sistema non patchato ( Aggiornamenti Automatici bloccati dall'ebete di turno che spesso usa Windows piratato e che li blinda apposta per non farsi poi bloccare il sistema WGA da Microsoft quando rileva il crack o Product Key piratato ) ...+ l'utente deve anche Bypassare UAC cliccando su Ok alla richiesta elevazione priviligio quando un qualcosa vuole accedere e scrivere nel registro di sistema e alla root di sistema per installare o addirittuta digitare la password Admin sempre in UAC se usa account Standard/Limitato





    > Un virus come flame invece viene descritto come a
    > diffusione indipendente, data una prima infezione
    > questa attiva il download di altri pacchetti per
    > un totale di 20 Mb (lol, record, mai sentito di
    > virus così estesi...praticamente può installare
    > un intero database di virus dietro il
    > firewall)


    Questo Flamer invece è un vero e proprio software di spionaggio con finalità malevola.

    Si autoINSTALLAVA    tramite codice exploit che eseguiva poi shellcode di install sulla vulnerabilità MS10-033 dei Pc client collegati ad Internet E CON ACCOUNT con diritti ADMINISTRATOR Rotola dal ridere a cui l'aggiornamento di sicurezza rilasciato da Microsoft non è nemmeno stato applicato dal Sys Admin ciarlatano   

    http://technet.microsoft.com/en-us/security/bullet...

    >> These vulnerabilities could allow remote code execution if a user opens a specially crafted media file or receives specially crafted streaming content from a Web site or any application that delivers Web content <<

    da quando in qua computer client presenti in aziende di un certo spessore e che svolgono lavori di un certo calibro per la loro complessità e sicurezza sono configurati dai Sys Admin con Account con diritti Administrator Rotola dal rideree non con Account Limitati in modo tale che si possa installare/autoinstallare liscio come l'olio sul sistema anche un software malevolo come questo Rotola dal ridere ........e poi una volta installato il software malevolo, sempre per colpa di Sys Admin capre soprattuto se lavorano per aziende di un certo calibro dove la sicurezza dovrebbe essere la base , lo stesso software malevolo si possa poi anche propagare sugli altri computer della LAN sfruttando una vulnerabilità delle stampanti in rete .....o ADDIRITTURA usando lo stesso metodo usato da Stuxnet, ovvero quello di inserire una PenDrive portatrice di malware proveniente dall'esterno = fonti insicure sulla porta USB senza che il Sys Admin blocchi uno scempio del genere + non abbia nemmeno bloccato l'Autorun su Windows Xp e sempre con gli account configurati come Amministratore e non Limitati? ( Autorun ora disabilitato di default da Microsoft da 2 anni su XP e da sempre, ovvero dalla loro nascita da Vista a Windows 7)


    ti rendi conto che prima di sparar fesserie dovresti dare del beota a chi gestisce computer con mission critical per quanto è capra ?

    spero tu adesso abbia capito che capisci poco di informatica e di come devono essere amministrati dei computer da parte di Sys Admin che devono essere CAPACI e non dei ciarlatani prezzolati che lavorano solo perchè parakiulati e poi non sanno fare niente nemmeno partendo dalle basi della sicurezza che non sanno nemmeno cosa sia
    -----------------------------------------------------------
    Modificato dall' autore il 01 giugno 2012 10.04
    -----------------------------------------------------------
    Fiber
    3605