Showing posts with label black market. Show all posts
Showing posts with label black market. Show all posts

Wednesday, May 2, 2012

Come usare Facebook in sicurezza ? Una guida per evitare spam e scam

Links to this post


Di pari passo con il crescente utilizzo delle applicazioni "social" per comunicare e condividere ogni tipo di informazione con amici, parenti e colleghi, assistiamo alla diffusione di frodi e minacce su questi canali. I nuovi "campi di battaglia" della criminalità informatica sono diventati Facebook, Twitter, Linkedin, Pinterest, e gli altri "social network". 

Nulla di strano considerato che i loro utenti ammontano complessivamente a ben oltre 1 miliardo, e raggiungere una platea così ampia rappresenta davvero una ghiotta opportunità per i cyber criminali interessati ad arricchire il loro portafoglio di ogni tipologia di dato personale. Infatti, non bisogna dimenticare che dati relativi a carte di credito, documenti d'identità, credenziali di conti correnti bancari, etc, sono monetizzabili sul Black Market (per maggiori informazioni sul Black Market clicca qui)

Un altro aspetto non trascurabile nella scelta di un nuovo campo di battaglia è la conoscenza delle tecniche di attacco adottate, e la conseguente capacità di difesa da parte dell'avversario. E' questo il motivo per cui i cyber criminali seguono costantemente l'evoluzione dei trend tecnologici e di mercato, ed oggi registriamo una significativa evoluzione delle minacce per chi utilizza gli smartphone, i Mac e per l'appunto i social network. I criminali sono confidenti di trovare prede più facili perchè impreparate ad affrontare le minacce perpetrabili in questi ambiti.

Symantec, con l'intento di proteggere le persone che utilizzano Facebook e le loro informazioni, ha collaborato con il social network più utilizzato al mondo per produrre un report che illustra le tecniche utilizzate per compromettere la sicurezza dei suoi utenti e le precauzioni da adottare. 

Chi non ha voglia di affrontare la lettura del report completo redatto in lingua inglese (scaricabile qui), può continuare a seguirmi sul Blog (e/o Facebook o Twitter) perchè curerò la descrizione delle parti più salienti dello stesso....in puntate successive, nella migliore tradizione di un serial TV :-) 

Per il momento vi lascio con la prefazione del documento scritta da un rappresentante del Facebook Security Team. La prefazione originale è in inglese, ma qui propongo direttamente la traduzione (a mia cura).



In Facebook ci impegniamo molto per proteggere le persone che usano i nostri servizi. Investiamo in tecnologie, sviluppiamo soluzioni proprietarie, introduciamo delle configurazioni di sicurezza innovative e dedichiamo centinaia di risorse in tutto il mondo per garantire la sicurezza vostra e dei vostri dati 

Ma non possiamo farlo da soli e per questo motivo abbiamo realizzato questa guida con i nostri amici di Symantec, con l'obiettivo di educare le persone sulle minacce prevalenti che abbiamo osservato e le migliori soluzioni per mantenere sicuri i dati.

In Facebook elaboriamo una grande quantitá di informazioni per proteggere le persone - ogni giorno controlliamo oltre 26 miliardi di nuovi contenuti e 2 trilioni di click su link. Ma con oltre 800 milioni di persone che visitano il nostro sito ogni mese, e più di 400 milioni che lo visitano ogni giorno, Facebook é diventato un obiettivo molto attrattivo per "spammer" e "scammer". Questo é il motivo per cui in Facebook abbiamo oltre trecento ingegneri specialisti della sicurezza, e centinaia di risorse nel personale operativo, che lavorano 24 ore su 24 per garantire la sicurezza dei vostri dati.

Adottando tecnologie avanzate, i nostri ingegneri lavorano per assicurare che sia sicuro utilizzare Facebook. Abbiamo parecchi sistemi interni per scoprire, prevenire e rendere inefficaci le minacce. Tuttavia, non tutti i meccanismi di sicurezza operano dietro le scene, e noi vogliamo rendere chiunque in grado di controllare l'esperienza su Facebook. Alcuni di questi meccanismi sono infatti attivi per default, e altri permettono alle persone di scegliere quali livelli di sicurezza si adattano meglio al loro stile di vita. Per imparare l'uso di questi meccanismi si può consultare la Facebook Security Page oppure l'Help Center.

Ma perfino con tutte queste risorse, abbiamo ancora bisogno del tuo aiuto per mantenere sicuro il nostro sito. Abbiamo tutti un ruolo da giocare per tenere il Web sicuro, e assicurare che clicchiamo o condividiamo soltanto link di cui possiamo fidarci é una parte molto importante di questa partita. Per favore leggi la guida e condividi anche con i tuoi amici quello che imparerai. 

Grazie di nuovo a Symantec per la loro competenza e per gli sforzi compiuti per aiutarci a proteggere le persone che usano Facebook.






Monday, April 30, 2012

Retata nel black market !

Links to this post


Un'operazione internazionale di polizia ha inflitto un duro colpo al Black Market sequestrando numerosi siti che vendevano carte di credito rubate. 

Le stime economiche relative all'entità del cybercrime riferiscono di un valore pari a circa 780 Miliardi di Dollari, una cifra non molto inferiore a quella stimata per il traffico illegale di droga. Il Black Market è il pilastro fondamentale di questa economia sotterranea. Nel Black Market si trova in vendita un qualunque tipo di dato personale (documenti di identità, account mail, credenziali di conti correnti bancari, dati relativi a carte di credito, etc. etc.) ma anche strumenti per realizzare azioni criminose contro aziende o individui. 

I 36 siti sequestrati nel corso di questa operazione erano dediti prevalentemente alla vendita di carte di credito rubate al prezzo di 2 Dollari. 

Le attività di alcuni dei siti sequestrati sono state monitorate per un periodo di quasi 2 anni e durante quel periodo sono state impedite delle frodi su circa 2 milioni e mezzo di carte di credito, prevenendo una perdita pari a circa 0,5 Miliardi di Dollari in accordo ad un modello di calcolo generalmente utilizzato in questo ambito. 

L’indagine, coordinata dalla britannica Serious Organised Crime Agency (Soca), è stata condotta insieme a forze dell’ordine di vari Paesi a testimonianza della complessità di contrastare efficacemente il lack Market: FBI in USA, BKA in Germania, KLPD in Olanda, Ministero degli Affari Interni in Ucraina, ed infine Polizia Federale australiana e Polizia Nazionale rumena. 

Il video che segue (in lingua inglese) mostra il messaggio di benvenuto per i visitatori di uno dei siti coinvolti....è proprio vero che il marketing è l'anima di tutti i commerci, anche quelli illegali !!! 

Symantec ha dedicato un canale web, consultabile all’indirizzo  Symantec Black Market (clicca sul titolo), a chi vuole approfondire il tema del Black Market.

Wednesday, March 7, 2012

Internet risk blackout postponed on 9 July 2012



The deadline had been fixed for tomorrow, 8th March 2012, but it has just been postponed for 4 months.

I'm referring to the removal of the temporary servers acting as DNS for those users who got the DNSChanger malware on their PC and did not remove yet. See my previous post on this topic to get all the information about the context "Internet risks blackout on 8 March 2012"

It was a court order (Southern District of New York) issued on 5 March to determine that the ISC "Internet Services Consortium shall continue to operate the replacement DNS server for an additional period of approximately 120 days, measured from March 8th, 2012, and ending on July 9, 2012"

The order also establishes that "before May 22, 2012,  ISC shall submit a report to the Court regarding its operation of the Replacement DNS Servers, which will include an estimate of the number of victims identified from ISC through May 8, 2012". 

It is evident that this check gate has been fixed to understand, around half way from here to 9 July 2012, if a internet blackout risk still really exists, that is, the DNSChanger malware is still broadly installed, and in that case it is probable another shift of the deadline.

In fact the reason for shifting forward is that the number of DNSChanger victims is still high, also inside government and private companies. 

DCWG.ORG provides us this graphic to evaluate the infection


Saturday, September 3, 2011

Cybercrime & cyberspionaggio (ITA + ENG)

Negli ultimi mesi ci sono stati così tanti eventi significativi che è troppo forte la tentazione di dedicare il mio primo post ad una riflessione su quanto abbiamo visto accadere. Credo sia sufficiente citare alcuni nomi per richiamare alla memoria gli eventi a cui mi riferisco:  Stuxnet, Wikileaks, RSA,  Google, Sony, Wells Fargo, Lockheed Martin, Nasdaq, International Monetary Fund, Northrop Grumman, tanto per fare riferimento ai casi principali che hanno avuto gli onori delle cronache mondiali e non solo della stampa specializzata.

Siamo entrati a tutti gli effetti nell’era del cybercrime e del cyberspionaggio.  



L’epoca romantica della Fama e della Gloria è oramai tramontata e salvo sempre più rare eccezioni i creatori di malware non sviluppano per divertimento o per dimostrare le loro capacità ma per guadagnare denaro dalla commercializzazione della propria opera su canali ovviamente non ufficiali. E se c’è da credere alle stime riportate dagli analisti riguardanti il valore economico di tale black market, c’è da dire che questi personaggi di denaro ne stanno guadagnando veramente tanto !!

Non c’è affatto quindi da meravigliarsi se in questo recente passato abbiamo assistito ad un’evoluzione delle modalità di attacco ed in particolare se abbiamo osservato alcuni significativi esempi di attacchi cosidetti di “alto profilo”.  

Un caso per tutti è rappresentato dall’attacco perpetrato durante lo scorso mese di Maggio nei confronti di Lockheed Martin, un noto fornitore della Difesa USA, realizzato utilizzando le informazioni precedentemente sottratte a RSA.  Infatti, secondo quanto reso ufficiale da RSA stessa, lo scorso Marzo alcuni hackers penetrarono nei loro sistemi impossessandosi di informazioni riguardanti il noto algoritmo proprietario di autenticazione a 2 fattori “SecurID”. Lockheed Martin ha accertato che furono queste informazioni a consentire agli hacker di accedere in modo fraudolento alla rete interna attraverso l’accesso VPN che gli impiegati adottavano per connettersi da remoto ai sistemi aziendali per attività di assistenza tecnica.

L’attacco ad RSA fu quindi propedutico a perpetrare degli attacchi nei confronti di specifici target (targeted attacks) alla ricerca di informazioni magari pre-commissionate da qualcuno sui canali del black marketE’ possibile, anzi probabile. 


In ogni caso che sia certamente elevato il rischio per le aziende di un ripetersi di tale situazione è confermato dal fatto che a fronte di quanto accaduto a Lockheed Martin, RSA ha annunciato un piano di sostituzione dei propri token per tutti i clienti. A questo proposito come non dimenticare anche la preoccupazione riscontrata in quei mesi tra gli operatori finanziari che avevano fornito chiavette RSA ai propri clienti per l’accesso ai servizi di home banking ?

Per tutti la scelta tra le 2 possibili opzioni, ovvero mantenere la soluzione RSA oppure migrare verso una soluzione alternativa oppure aspettare la sostituzione dei token già rilasciati, non sarà stata sicuramente molto facile.

Io ho fatto personalmente nell’anno 2008 l’esperienza di introdurre una soluzione di autenticazione a 2 fattori (strong authentication) basata su chiavette quando ero CISO in Telecom Italia, e ricordo quanto fosse risultata onerosa (in termini di tempi e costi) la definizione e l’attuazione del processo di enrollment dei certificati e la distribuzione a tutti i dipendenti interessati (nel mio caso parecchie migliaia). Questo per dire che anche la scelta di effettuare la sostituzione dei token già distribuiti con altri resi disponibili dalla stessa RSA è tutt’altro che banale e richiede un grande effort nel caso si tratti di numeri importanti. 


A questo punto nei panni di un responsabile della sicurezza io considererei l’opportunità di migrare, anche per approfittare della discontinuità tecnologica, verso una soluzione alternativa basata sull'impiego di un terminale mobile. 

In Symantec vige il principio “eat your own’s cooking” ... che tradotto ha il significato di  “mangia quello che cucini”. Ed è così che lo scorso mese di Giugno, appena arrivato in Symantec ho assistito alla migrazione dalla soluzione RSA, ereditata da alcune delle società acquisite nel corso degli anni, a quella proprietaria denominata Verisign Identity Protection (VIP) che consente di utilizzare come token per l’accesso aziendale in modalità strong i nostri stessi cellulari e/o smartphones.

All’inizio di questa settimana è stato reso noto un evento per certi versi simile a quello appena descritto riguardante RSA: 


- anche in questo caso sono state sottratte alcune informazioni ad una società che fa della sicurezza il suo core business


- anche in questo caso le informazioni sottratte riguardavano l’ambito autenticazione


- e per finire è assai probabile che anche in questo caso le informazioni siano state sottratte per condurre un qualche targeted attack


Mi riferisco all’hackeraggio condotto ai danni di DigiNotar, la società  del gruppo Vasco che eroga servizi di Certification Authority ed in particolare distribuisce certificati di sicurezza per la connessione sicura (SSL) a siti internet. Vasco ha reso noto un paio di giorni fa che lo scorso 19 Luglio durante un security audit la società DigiNotar ha riscontrato una sottrazione di certificati ed ha quindi provveduto ad annullare i certificati compromessi ad eccezione almeno di uno. Le dichiarazioni contengono infatti l’ammissione che il certificato per l’autenticazione al dominio google.com è risultato non bloccato e quindi le comunicazioni da parte di un cliente con i siti afferenti a questo dominio potrebbero essere state monitorate compreso naturalmente il servizio di google mail. La situazione è talmente seria che Microsoft e Mozilla hanno revocato DigiNotar dalla lista delle CA riconosciute come root nei loro browser e anche Google l’ha disabilità in Chrome.  

E non solo …. "The company will take every possible precaution to secure its SSL and EVSSL certificate offering, including temporarily suspending the sale of its SSL and EVSSL certificate offerings. The company will only restart its SSL and EVSSL certificate activities after thorough additional security audits by third party organizations," the Vasco statement says.

Gestire un’infrastruttura SSL è tutt’altro che banale e richiede l’adozione di misure di sicurezza importanti visto quello che può significare una compromissione dei servizi erogati. Mi sono fatto una chiaccherata con i colleghi che curano questo servizio. Mi hanno raccontato che come Symantec/Verisign gestiamo il 90% dei siti internet commerciali e governativi del mondo e che ogni giorno la nostra infrastruttura effettua circa 2 miliardi di validazioni sui certificati gestiti.

Non male ... d’ora in poi presterò molta più attenzione nel momento in cui accedo ad un sito di e-commerce se il colore della banda del browser diventa verde !!


I suppose you know very well why, do you ? 




English version




In the recent months there have been so many significant events that is too tempting to devote my first post to reflect on what we have seen to happen. I think it's sufficient to mention a few names to call in our mind the events to which I refer: Stuxnet, Wikileaks, RSA, Google, Sony, Wells Fargo, Lockheed Martin, Nasdaq, International Monetary Fund, Northrop Grumman, only to refer cases that have had the headlines and not just those of the specialized press.
We have entered at all the effects in the era of cyber-crime and cyber-espionage



The romantic era of fame and glory has faded and now increasingly, unless rare exceptions, the malware writers do not develop for fun or to show their skills but to make money from the sale of his work on non-official channels of course. And if estimates given by analysts on the economic value of the black market are true, these people are earning very much!

Hence it's not surprising that in the recent past we’ve witnessed an evolution of the mode of attacking, and particularly we’ve observed some significant examples of so-called "high profile" attacks.

An example isrepresented by the attack perpetrated during May against Lockheed Martin, a renowned supplier of Defense, created using the information that was stolen from RSA. In fact, as made official by RSA itself, last March a few hackers penetrated their systems taking possession of information regarding the well-known algorithm for 2-factor authentication "SecurID". Lockheed Martin has established that this information allowed hackers to access their internal network fraudulently through the VPN access that employees take to connect remotely to corporate systems.

Was the attack on RSA preliminary to perpetrate attacks against specific targets (targeted attacks) in search of information, maybe pre-ordered by someone, in the black market channels? It’s possible, even probable.

Anyway the great risk for companies of a recurrence of such situation is confirmed by the fact that after what happened to Lockheed Martin, RSA has announced a plan to replace tokens to all its customers. At this regard, it’s impossible to forget concerns found in those months among financial institutions which had provided their customers with RSA keys to access home banking ?

For all RSA's customers, the choice between the 2 options, keeping RSA solution waiting for the replacement of the tokens already issued or migrating to an alternative solution, won't have been certainly easy.

I have personally done in 2008 the experience of introducing a 2-factor authentication solution (strong authentication) based on keys when I was the CISO in Telecom Italia, the leading telco provider in Italy, and I remember how it was found to be costly (in terms of time and costs) the definition and implementation of the enrollment process and distribution of certificates to all affected employees (in my case, several thousand). That is to say that even the decision to make the replacement of the tokens already deployed with others made available from RSA is non-trivial and requires a big effort in case of large enterprises.

At this point in the shoes of a CISO I would take the opportunity to migrate, also considering today’s technological discontinuity, to an alternative solution based on the use of a mobile device.
At Symantec we have the principle "eat your own cooking's" and so the last June, while I was just arrived, I could see the migration from RSA, which had been inherited by some of the companies acquired over the years, to the VeriSign Identity Protection (VIP) solution that allows us to use our phones and/or smart phones as a token.

Earlier this week it was announced an event in some ways similar to the one just described on RSA:

- also in this case have been withheld certain information to a company that makes security its core business

- also in this case, the stolen information is related to the authentication context

- and finally it is quite likely that even in this case the information has been withheld to conduct a targeted attack.


I refer to the hackering against DigiNotar, the Vasco group company that provides Certification Authority services and distributes security certificates for secure connection (SSL) to websites. A couple of days ago Vasco has unveiled that last July 19th a security audit found that the company DigiNotar had been subtracted certificates and they proceeded to cancel them with the exception of at least 1. In fact the statements include the admission that the certificate to authenticate the domain google.com was not cancelled and for this reason communications from a customer to sites related to this domain may have been monitored, including of course the google mail service . The situation is so serious that Microsoft and Mozilla have withdrawn DigiNotar from the list of acknowledged root CA in their browser and even Google has disabled it in Chrome.

And not only .... "The company will take every precaution possible to secure and EVSSL ITS SSL certificate offering, Including Temporarily suspending the salt of the ITS and EVSSL SSL certificate offerings. The company will only restart the ITS EVSSL certified SSL and Activities Thorough after additional security audits by third party Organizations" says Vasco in its statement.

Managing SSL infrastructure is far from trivial and requires the adoption of severe security measures in consideration of what it means compromising the provided services. I had a chat with my colleagues who take care of this service. They told me that Symantec/VeriSign manages 90% of commercial and government websites in the world and that every day our infrastructure makes about 2 billion managed validation of certificates.

Not bad ... from now on I will pay much more attention when I sign in a website for e-commerce if the color of the browser band turns green or no!

I suppose you know very well why, do you?