Privacy Policy

Le novità di Windows 10 Creator Update: guida all'uso

L'update da tanto atteso e annunciato da Microsoft è stato rilasciato ufficialmente in questi giorni, per altro installabile tramite Media Creation Tool anche alcuni giorni prima del rilascio effettivo. Questa nuova release del sistema porte numerose novità volte a migliorare l'esperienza d'uso dell'utente, introducendo funzioni nuove e implementazioni di sicurezza che aumentano ancora di più la protezione dell'utente....

Come aggiornare da Windows 7 / Windows 8 a Windows 10 CU: metodo valido ancora per poco!

Qualcuno penserà: che titolo strano! La facoltà di aggiornare a Windows 10 gratuitamente è finita con il 29 luglio: assolutamente vero! Ma vi è un metodo disponibile per chi utilizza tecnologie assistive, Infatti basterà recarsi nella seguente pagina....

Windows 10 Anniversary Update: Guida, novità e soluzioni

Dalla giornata del 2 agosto è disponibile il tanto atteso aggiornamento di Windows 10, denominato Anniversary Update, il quale promette di implementare moltissime migliorie sia estetiche che funzionali al sistema operativo Microsoft...

Le principali risorse Utili della MS Community

Nella Microsoft Community ci sono veramente numerosi articoli e risorse molto utili per chi utilizza quotidianamente il proprio computer, partendo da Windows XP a Windows 10. Di seguito, un elenco delle risorse più seguite e ritenute utili dagli utenti italiani...

Che cos'è una Botnet? Esempi pratici e spiegazione

Il termine Botnet ultimamente è entrato di forza nelle nostre vite,a causa di eventi di grossa importanza avvenuti nelle ultime settimane. E' stata fatta una spiegazione approssimativa di cosa sia una Botnet, in questo articolo vorremmo spiegare nel dettaglio che cos'è una Botnet, com'è strutturata e portare alcuni esempi pratici recenti di un suo utilizzo.

mercoledì 28 giugno 2017

Petya, individuato da ESET il primo punto di contagio, L’Italia è il paese più colpito dall’epidemia dopo l’Ucraina - Analisi Eset -


Le statistiche di ESET hanno rilevato un’infezione al 10% per l’Italia, preceduta solo dall’Ucraina

I ricercatori di ESET, il più il più grande produttore di software per la sicurezza digitale dell'Unione europea, hanno individuato il punto da cui si è diffusa la nuova epidemia causata da Petya: i cyber criminali hanno compromesso con successo il software di contabilità M.E.Doc utilizzato in molte aziende in Ucraina tra cui istituzioni finanziarie, aeroporti e metropolitane. Molte di queste hanno eseguito un aggiornamento di M.E.Doc compromesso dal malware, che ha permesso ai cyber criminali di lanciare ieri pomeriggio la massiccia campagna di ransomware che si è poi diffusa in tutto il mondo. Secondo le statistiche di ESET, l’Italia – con il 10% delle rilevazioni - è il secondo paese attualmente più colpito dall’infezione, preceduto solo dall’Ucraina (78%). Segue Israele con il 5%, Serbia con il 2% poi Romania, Stati Uniti, Lituania e Ungheria con l’1% delle rilevazioni.

Individuato dai ricercatori di ESET con il nome di Win32/Diskcoder.C Trojan, questo ransomware è in grado di bloccare l’intero sistema operativo Windows criptando la tabella MFT del filesystem NTFS e chiedendo un riscatto di 300 dollari in Bitcoin.

Petya utilizza per la diffusione una combinazione dell’exploit SMB (EternalBlue) utilizzato da WannaCry per ottenere l’accesso ad una rete, per poi diffondersi all’interno di questa attraverso PsExec. Probabilmente questa combinazione pericolosa è la ragione della diffusione globale e rapida di Petya, anche dopo che il recente caso di Wannacry ha portato alla correzione della maggior parte delle vulnerabilità. I computer non aggiornati sono però ancora attaccabili e ne basta uno perché Petya entri all'interno della rete e ne contagi altri.

Per ulteriori informazioni su Petya è possibile visitare il blog di ESET Welivesecurity al seguente link: https://www.welivesecurity.com/2017/06/27/new-ransomware-attack-hits-ukraine/

Oppure collegarsi al blog di ESET Italia https://blog.eset.it/

Per ulteriori informazioni e contromisure da attuare contro Petya leggere questo articolo

 Attacco globale del nuovo Petya: un rinnovato malware colpisce istituzioni e aziende internazionali 

Corretta vulnerabilità zero-day in Skype: aggiornate subito!


La vulnerabilità affligge i sistemi a 32 bit ed è stata scoperta dai ricercatori del Vulnerability Lab: la vulnerabilità risiede in un buffer overflow legato al file MSFTEDIT.DLL il quale gestisce la funzionalità di gestione degli appunti condivisi tramite RDP.

Per l'attaccante basterebbe inserire un immagine creata ad hoc negli appunti per causare il crash dell'applicazione ed eseguire codice arbitrario nel sistema. 

Le versioni di Skype vulnerabili sono la 7.3.6, 7.3.5.103 e la 7.2

La versione corretta ed aggiornata è la 7.37.178, scaricabile dal sito ufficiale 

Di seguito un video dimostrativo:


Risolta vulnerabilità nel Malware Protection Engine di Microsoft

Un altro vulnerabilità risolta nel Malware Protection Engine di Microsft, il quale è il motore di Windows Defender, Microsoft Security Essentials e Endpoint Protection


Come per le altre vulnerabilità corrette da Microsoft (Microsoft rilascia un altro aggiornamento critico per il Malware Protection Engine ) sussisteva un problema di sicurezza che permetteva, tramite la scansione di un file creato ad hoc, di compromettere totalmente il sistema tramite l'esecuzione di codice arbitrario come utente LocalSystem

La vulnerabilità affligge solo le versione x86 di Windows. La versione aggiornata sarà la 1.1.13903.0

Approfondimenti
CVE-2017-8558 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability

Star Trek: Alla ricerca di Easter Egg

Circa un anno fa, parlammo del cofanetto dedicato ai 50 anni di Star Trek. I 30 Blu-ray includevano tutti gli episodi della serie classica (anni ’60), di quella animata (anni ’70) e i primi sei film.

Star Trek Collection 50° Anniversario (30 Blu-Ray)
In séguito, è stata rilasciato un altro cofanetto, intitolato STAR TREK: La Collezione completa. In essa troviamo i primi dieci film della saga (mancano i tre del reboot) in altrettante custodie dorate Steelbook (non sono gialle come in foto) . Purtroppo, ha un difetto: se avete già acquistato il primo cofanetto, i primi sei dischi sono inutili. In contemporanea, però, questo significa che dovrete acquistare solo gli ultimi quattro (in fase di acquisto, dovrete indicare i singoli dischi che vi interessano). Come potete notare dalla figura, in questo modo, affiancati, non riuscirete a ricreare il disegno del 50° anniversario. In contemporanea, però, ciascun disco mette un’etichetta, che si può applicare dove si vuole.
STAR TREK: La Collezione Completa (10 Film - Blu-ray Steelbook)
A differenza della precedente edizione con copertina blu (precedente al 50° anniversario), i menu di sono stati rivisti e, almeno  in quattro casi, contengono un easter egg, ossia un filmato nascosto. Andiamo a scoprire in quali dischi e in che modo possiamo “sbloccare” l’easter egg.
Per prima cosa, sappiate che l’easter egg si riconosce dal disegno di una piccola Enterprise azzurra.

Star Trek III - Alla ricerca di Spock
Nel menu degli Extra, posizionatevi sopra Produzione e poi premete sul telecomando la freccia sinistra. Vedrete apparire l’icona azzurra. Premete Invio per vedere un piccolo documentario sui cani spaziali.

Star Trek V - L'ultima frontiera
Star Trek - L'insurrezione
Nel menu degli Extra, posizionatevi sopra L’universo di Star Trek e poi usate la freccia sinistra. Quando apparirà l’icona azzurra, premete Invio
Star Trek - La nemesi
Nel menu deli Extra, posizionatevi sopra Produzione e premete due volte la freccia destra. Quando apparirà l’icona azzurra, premete Invio.

Cogliamo l’occasione per ricordare che il 2016 non è stato solo il 50° anniversario della serie classica di Star Trek, ma anche il 30° anniversario di Star Trek: The Next Generation. Anche per questa serie è presente un cofanetto completo, il cui costo va dai 40 ai 70 € circa. A quanto pare, la settimana del 10 luglio Amazon potrebbe offrire molti prodotti fortemente scontati. Ci si aspetta, quindi, una serie di offerte anche per il mondo di Star Trek.

Attacco globale del nuovo Petya: un rinnovato malware colpisce istituzioni e aziende internazionali


Nella giornata di ieri, come hanno riportato i mass media, c'è stato un attacco su scala globale da parte di una versione rinnovata e modificata del ransomware Petya (ne avevamo parlato qui Petya Ransomware: temibile e diverso dai soliti ransom ) il quale ha un impatto devastante nel sistema: infatti cripta l'MBR del disco, impedendo l'accesso al sistema, quindi sostituisce il boot loader mostrando di fatto una schermata molto simile a questa dopo l'infezione



venerdì 23 giugno 2017

Scoperto nuovo metodo di attacco chiamato GhostHook che bypassa le protezioni di Windows 10

Windows 10 è un sistema che ha portato numerose novità sotto l'aspetto della sicurezza, una di questa è la Kernel Patch Protection (KPP) implementata nelle versioni a 64 bit che impedisce a terzi di aggiungere o modificare routine nel Kernel di Windows. Questa tecnologia è stata implementata ancora nel lontano 2005, ancora con Windows XP, ma ha preso sicuramente piede con il diffondersi delle versioni a 64 bit, cosa avvenuta da qualche anno a questa parte. 


E' di oggi la notizia di un nuovo metodo di attacco denominato GhostHook scoperto dai laboratori CyberArk, che permette di bypassare la protezione KPP potendo così accedere al kernel di Windows. C'è da dire che questo attacco ha bisogno di alcuni pre-requisiti che non lo dispongono come un pericolo imminente e reale per tutti gli utenti, infatti questo attacco sfrutta la tecnologia Intel Processor Trace (PT) che è una funzionalità delle cpu Intel con hardware dedicato a raccogliere informazioni sul software in esecuzione utili al debug ed alla rilevazione di codice maligno. Inoltre, un secondo requisito è che l'attaccante abbia già compromesso il sistema oggetto di attacco, cosa che quindi riduce di molto lo spazio di azione.

L'attacco consiste nell'inviare un piccolo pacchetto di dati contenente dati PT che costringe la CPU ad esaurire il buffer e ad aprire una chiamata PMI per gestire l'overflow, quest'ultimo non è monitorato dalla Kernel Patch Protection quindi espone il kernel al codice maligno.

Microsoft ha indicato che non considera questo attacco come metodo di sicurezza, bensì verranno rilasciati degli aggiornamenti nei prossimi mesi, questo motivato dal fatto che l'attacco richiede che il sistema sia già compromesso e che quindi va fatta più un opera di prevenzione da parte degli utenti e non una cura del danno già avvenuto. 

Cyberark ha indicato invece che una protezione del genere, sistema compromesso o no, non dev'esser bypassata e che la questione debba esser corretta.

Approfondimenti raggiungibili qui:


Pericolo Industroyer: i sistemi di controllo industriali sviluppati decenni fa non furono progettati pensando alla sicurezza - Analisi Eset -





Intervista di approfondimento a Robert Lipovsky, Senior Malware Researcher di ESET

Il 17 Dicembre 2016 la capitale ucraina Kiev ha subito un blackout di 75 minuti e le indagini degli investigatori locali hanno confermato che l’interruzione di energia fu causata da un attacco informatico. Subito dopo i ricercatori ESET hanno analizzato un nuovo e sofisticato malware, che si sospetta possa essere coinvolto in questo caso. Lo hanno chiamato Industroyer – la più grande minaccia ai sistemi di controllo industrial (ICS) dai tempi dello Stuxnet. 

I nostri articoli su Industroyer chiamato anche CrashOverride
 Allarme Industroyer, il malware che mette in ginocchio le reti elettriche ed altri tipi di infrastrutture critiche - Analisi Eset - 
Individuato un malware che può mettere offline centrali elettriche e infrastrutture critiche: Crashoverride 

Questo pericoloso malware è stato sviluppato per sfruttare le vulnerabilità di questi sistemi e dei protocolli utilizzati, che sono stati sviluppati decenni fa senza riguardo delle misure di sicurezza. 

Riportiamo di seguito l’intervista di approfondimento sul tema a Robert Lipovsky, Senior Malware Researcher di ESET.

Cos’è Industroyer?

Industroyer è un pericoloso strumento nelle mani di un criminale informatico determinato, preparato e adeguatamente finanziato. Il malware è in grado di persistere nella rete compromessa e interferire direttamente con i processi critici in funzione in quella struttura.

Quanto è pericoloso l’Industroyer?

I potenziali danni possono variare dalla semplice interruzione nella distribuzione di energia, passando per vari guasti, fino a danni più gravi alle apparecchiature e tutto ciò può cambiare da una sottostazione all'altra.

Come è possibile?

Il problema principale è che questi sistemi industriali e i relativi protocolli, obiettivo dell’Industroyer, sono stati sviluppati decenni fa e non sono stati ideati per essere sicuri se connessi alla rete.

Perché l’Industroyer viene paragonato allo Stuxnet?

I criminali dietro allo Stuxnet sapevano sicuramente cosa stavano facendo: puntavano al programma nucleare iraniano ed il malware è stato in grado di prendere il controllo diretto delle turbine delle strutture nucleari.
Lo stesso vale per l'Industroyer e per i criminali che ci sono dietro. Hanno dimostrato una profonda conoscenza dei sistemi di controllo industriale e, all'interno del malware, hanno implementato funzioni capaci di comunicare direttamente con gli switch e gli interruttori dei circuiti utilizzati nelle sottostazioni della rete elettrica.

Industroyer è responsabile dei blackout in Ucraina?

Il blackout più importante è quello che si è verificato nel Dicembre del 2015 e che ha coinvolto circa 250000 famiglie in diverse regioni del paese, privandole di energia per diverse ore. Questo evento è stato causato dal malware chiamato Black Energy. Nel Dicembre del 2016, esattamente un anno dopo, c’è stato un altro blackout di minore entità e che è durato soltanto un’ora, interessando una sola regione, ma che è stato provocato usando un malware molto più avanzato. Proprio in questo caso si sospetta sia stato usato l’Industroyer.

Chi è il responsabile di questo attacco?

Attribuire la colpa di questi attacchi è sempre molto complesso e spesso impossibile. Questa volta non ci sono indizi e vogliamo evitare qualsiasi speculazione.

Qual è il risultato principale emerso dall’analisi dell’Industroyer?

L’impatto relativamente basso del recente blackout è in forte contrasto con il livello tecnico e la complessità di un malware come l’Industroyer. Quindi la possibile spiegazione – opinione condivisa da la maggior parte degli esperti di sicurezza – è che si sia trattato di un test su larga scala.

Se questa sia o meno la verità, quello che emerge dalla nostra analisi è che questo evento dovrebbe rappresentare un campanello d’allarme per tutti i responsabili della sicurezza di sistemi critici nel mondo.

Per maggiori informazioni sul malware Black Energy, responsabile di un’interruzione di energia nel Dicembre del 2015 e che ha coinvolto circa 250000 famiglie ucraine è possibile leggere questo articolo del blog di ESET Italia.

Per maggiori informazioni sul malware Industroyer, il principale sospettato nel recente blackout di Dicembre 2016 è possibile leggere l’analisi completa del malware Industroyer sul blog di ESET Italia.

giovedì 22 giugno 2017

Wannacry miete ancora vittime: fabbrica HONDA bloccata, 55 autovelox infettati in Australia

In questo blog ne abbiamo parlato spesso: la direzione nella quale sta andando l'informatizzazione e il sistema in generale pone l'accento sulla sicurezza informatica e su come siano esposte fragilmente le principali infrastrutture critiche e non.


Un caso eclatante è stato sicuramente l'attacco su vasta scala da parte del ransomware Wannacry, che continua a mietere vittime: è notizia di ieri che Honda è stata costretta ad interrompere la produzione in una propria fabbrica in Giappone, a causa dell'attacco da parte di Wannacry. Sembra che le patch per correggere le vulnerabilità siano state installate da parte del produttore, ma evidentemente non è bastato. 

Honda si aggiunge a Renault e a Nissan all'elenco di case automobilistiche che hanno avuto problemi con Wannacry. 

La produzione è stata interrotta per qualche ora, attualmente il regime di produzione si è normalizzato. 

Un altro caso singolare e simbolo di quello che potrebbe accadere, è l'infezione di 55 videocamere poste ai semafori (probabilmente degli autovelox) che è successo in Australia, nello stato di Victoria; sembra che l'infezione sia dovuta all'intervento umano da parte di alcuni tecnici che hanno usato una chiavetta USB infetta. 

Questo causava il riavvio ogni pochi minuti delle videocamere le quali però continuavano a rilevare e a segnalare le infrazioni stradali, infatti le autorità hanno indicato che le multe emesse in quel lasso di tempo sono rimaste valide. 

La situazione conferma quanto siano evidenti le vulnerabilità intrinseche delle nostre infrastrutture e che è urgente porvi rimedio integrando maggiori componenti e funzioni di sicurezza, onde evitare spiacevoli situazioni che possono anche comportare situazioni di gravità elevata. 

Rilasciato aggiornamento che corregge quattro gravi vulnerabilità per OpenVPN

Sono state individuate quattro vulnerabilità nel noto software VPN, alcune di queste di elevata gravità visto che consentono di mandare in crash il client o il server creando così la consueta condizione di Denial of Service


La più grave di queste permette, tramite l'invio (da parte di un utente remoto autenticato) di un certificato che può mandare in errore il software e causare un crash, consentendo potenzialmente l'esecuzione di codice all'interno del server (o del client). 

Un altra vulnerabilità invece permette, tramite un attacco MitM (Man in the Middle) fra client VPN ed il server proxy, di rubare le credenziali di accesso o di mandare in crash il client. Questo a causa del modo in cui OpenVPN interagisce con la versione 2 dell'NTLM di Windows. 

E' già stata rilasciato il client aggiornato del programma che porta la versione alla 2.4.3 o 2.3.17

Approfondimenti e fonti:
VulnerabilitiesFixedInOpenVPN243 – OpenVPN Community
The OpenVPN post-audit bug bonanza – Guido Vranken
Vulnerabilità in OpenVPN - CERT Nazionale Italia

Microsoft risponde a Kaspersky e difende il proprio antivirus: la sicurezza dell'utente prima di tutto?

Qualche tempo Eugene Kaspersky aveva mosso alcune accuse verso Microsoft, indicando che disabilitava gli antivirus di terze parti per favorire il proprio antivirus, Windows Defender.


Microsoft ha risposto a queste accuse, riportando alcuni dati inerenti il comportamento del sistema in presenza di antivirus sviluppati da terze parti. Sicuramente se messo a confronto con le precedenti versioni, Windows Defender è migliorato notevolmente e l'impegno di Microsoft, come essa stessa riporta, è quello di fornire una protezione continua e completa ai propri utenti.

Microsoft ammette, però, che in presenza di prodotto antivirus NON compatibili (si stima che siano appena il 5% sul totale)  questi vengono disabilitati e viene abilitato in automatico Defender, notificando all'utente di installare la versione più recente del proprio prodotto. 

Ad esempio alla data di rilascio di Windows 10 CU il 95% dei sistemi che avevano software di protezione di terze parti installati risultavano compatibili e funzionanti.

Inoltre Microsoft riporta che Windows Defender si abilita solamente quando l'abbonamento ad antivirus terzi è già scaduto, garantendo protezione continua all'utente; nello stesso tempo, permette agli antivirus di inviare più notifiche con possibilità di scegliere i metodi di rinnovo del prodotto.

Viene mostrata quindi una schermata di questo tipo:


Via: Partnering with the AV ecosystem to protect our Windows 10 customers – Windows Security

mercoledì 21 giugno 2017

Emet verrà incluso nella prossima versione di Windows 10?

Secondo alcune indiscrezioni da parte di alcuni esperti di sicurezza Microsoft sembra che Emet verrà incluso nel kernel della prossima versione di Windows 10, le Redstone 3, che verrà rilasciata tra ottobre e novembre.

Per chi non lo sapesse lo strumento Emet protegge il sistema da vulnerabilità non conosciute e ne previene l'exploit. Il sito ufficiale di Microsoft riporta per intero la seguente descrizione:

L'Enhanced Mitigation Experience Toolkit (EMET) è un'utilità che consente di prevenire le vulnerabilità del software di cui un malintenzionato potrebbe approfittare. EMET ottiene questo obiettivo utilizzando tecnologie per l'attenuazione a livello di sicurezza. Queste tecnologie funzionano come protezioni speciali e ostacoli che un autore dannoso deve abbattere per sfruttare le vulnerabilità del del software. Queste tecnologie per l'attenuazione a livello di sicurezza non garantiscono che le vulnerabilità non verranno sfruttate. Tuttavia, rendono lo sfruttamento il più difficile possibile da eseguire.


Will Dormain, ricercatore dell'università Carnegie Mellon, ha pubblicato un interessante tabella che mostra come la protezione EMET integrata nel kernel aumenti notevolmente la sicurezza rispetto a Windows 10 versione "normale".

Per ora, visto che sono dei rumours ma nulla di ufficiale, attendiamo ulteriori novità che confermino questa possibilità che gioverebbe di molto a tutti gli utenti ed alla sicurezza stessa dell'ecosistema Microsoft, che aumenterà ulteriormente anche grazie alla recente decisione di disabilitare l'SMBv1


martedì 20 giugno 2017

Provider di Web-Hosting Coreano paga 1 milione di dollari dopo infezione da ransomware

Un provider di Web-Hosting Sud Coreano ha patteggiato con i criminali per riavere i propri file, dietro un pagamento di 397,6 BitCoin che sono circa 1,01 milioni di dollari. 


I server infettati avevano sistemi Linux con la versione del Kernel al 2.6.24.2 ed hanno usato per l'infezione il ransomware Erebus che ha usato delle vulnerabilità conosciute per ottenere l'accesso ai sistemi. Questo tipo di ransom colpisce in particolare utenti della Sud-Corea  ed ha la capacità di criptare i dati con l'algoritmo RSA-2048.

Questo conferma il fatto che è opportuno prevenire ed esser preparati al meglio contro questo tipo di infezioni, aggiornando tempestivamente il software in uso nei nostri sistemi. Certo, in ambito business-enterprise la situazione è molto più complessa, ma anche per questo ambito abbiamo preparato un articolo dedicato nella piattaforma WIKI di Technet

Ransomware: cosa sono, come prevenirli e come recuperare i dati - TechNet Articles - United States (English) - TechNet Wiki

Via: The Hacker News

lunedì 19 giugno 2017

Individuato nuovo ransomware che infetta i sistemi Windows senza l'uso di file ma iniettandosi in un processo di sistema


Ricercatori TrendMicro hanno individuato un nuovo tipo di ransomware che non utilizza file per infettare il sistema operativo, bensì sfrutta il comando psexec usando credenziali amministrative (il che vuol dire che gli attaccanti sono già in possesso di queste credenziali, dopo lo sfruttamento di una vulnerabilità, attacco brute-force ecc) dopo di che inietta il proprio codice all'interno del file di sistema svchost.exe, il file originale viene cancellato rimanendo quindi caricato in memoria. 


Dopo di che vengono cancellati file di log, copie shadow e qualsiasi altra informazione che possa far risalire agli analisti i file creati sulla macchina. 


Via: TrendLabs Security Intelligence Blog


Tramite il file svchost viene eseguita la cifratura dei file di sistema e dati dell'utente aggiungendo il suffisso .pr0tect e comunicando con i propri server C&C tramite rete TOR.

Ovviamente viene creato un file di testo contenente le richieste di riscatto per ri-ottenere i propri file. R
imangono sempre validi i consigli che abbiamo indicato in un nostro precedente articolo, e sono:

In ambito consumer il discorso è più limitato, rispetto ad un ambiente aziendale; ad ogni modo gli accorgimenti da tenere in considerazione sono i seguenti:
  • mantenere i sistemi operativi aggiornati, utilizzando come di consueto Windows Update 
  • mantenere i software in uso nel sistema aggiornati, ad esempio i componenti Java, Flash Player e simili. Questi molto spesso possono esporre il fianco a vulnerabilità di sicurezza 
  • accedere al sistema con un utente di bassi privilegi (utente standard). Troppo spesso vengono utilizzati per la navigazione quotidiana account administrator o con privilegi avanzati 
  • utilizzare password forti, rispettando i requisiti di complessità (vedere qui)
  • eseguire delle scansioni antivirus regolari del sistema
  • non aprire email con strani oggetti ed in particolare se con allegati come PDF, ZIP, JPG e simili. Molto spesso ci si accorge che sono mail dall'italiano stentato, ma attenzione: ultimamente sono migliorate molto e possono indurre in errore. Se abbiamo dei dubbi in merito, NON apriamo la mail o l'allegato, bensì contattiamo il provider o il servizio interessato tramite il loro servizio clienti telefonico.
  • eseguire dei salvataggi regolari dei propri dati importanti, ivi compreso un immagine completa del sistema, e mantenere questi salvataggi offline, quindi staccati dalla rete. 

Via:  TrendLabs Security Intelligence Blog

Il governo Messicano usava spyware per monitorare giornalisti e attivisti

Un report pubblicato dal sito citizenlab.org indica che il governo Messicano ha usato degli strumenti avanzati di spionaggio (spyware) per monitorare giornalisti, attivisti e personale dell'anti-corruzione.


Nello specifico lo strumento chiamato "Pegasus" è stato acquistato dalla NSO, gruppo israeliano specializzato in questi strumenti molto avanzati, ritenuti tra i più avanzati al mondo, ed è stato usato per spiare due giornalisti messicani molto influenti, un americano rappresentante delle vittime di abusi da parte della polizia e un ragazzo, sicuramente per spiare la madre. 

Fonte: Reckless Exploit: Mexican Journalists, Lawyers, and a Child Targeted with NSO Spyware - The Citizen Lab

Il metodo di infezione è tramite un messaggio (sms) contenente un link che scarica automaticamente lo strumento, usando credenziali attendibili e ben strutturate, dopo di che lo smartphone diventa una sorta di spia portatile dalla quale è possibile ricavare una enorme quantità di informazioni come email, contatti, messaggi e file oltre a prender possesso, in caso di necessità, di microfono e videocamera, ovviamente senza alcuna interazione da parte dell'utente. 

Attacco in corso verso istituti finanziari italiani: attenzione!

Marco Ramilli, ricercatore della Yoroi, ci informa tramite il Cert Nazionale che è in corso un attacco in Italia verso diversi istituti finanziari tramite un vasto invio di email phishing con oggetto "info su bonifico", "Richiesta pagamento con carta di credito" e simili. 


La mail contiene un allegato il quale è uno script dannoso che scarica da un server un eseguibile a sua volta dannoso, il quale implementa tecniche di camuffamento per non esser rilevati dai software antivirus. 

Il malware disattiva gestione attività (Task manager) e il prompt dei comandi, rimanendo persistente in avvio del sistema, inoltre ha capacità di trafugare contatti e credenziali di account presenti nei client di posta e nel browser. 

Prestare la massima attenzione alle email che riceviamo, scansioniamole preventivamente e se necessario prima di aprirla (in caso di dubbi) contattiamo l'istituto finanziario di riferimento e chiediamo delucidazioni. 

venerdì 16 giugno 2017

Google rilascia una versione aggiornata del proprio browser

Neanche dieci giorni fa Google aveva rilasciato la versione 59 del suo browser Chrome ed ora ha rilasciato un altro aggiornamento che porta la versione del browser alla 59.0.3071.104.


Questo update va a correggere diverse vulnerabilità di cui due gravi, che permettevano tramite la visita di una pagina web creata ad hoc di eseguire del codice arbitrario nel contesto del browser, potendo così accedere ad informazioni sensibili dell'utente. 

Ricordiamo la procedura per aggiornare il browser:

Impostazioni > Informazioni oppure aggiornare da qui

https://www.google.it/chrome/browser/desktop/

Wikileaks pubblica un altro strumento usato dalla CIA per hackerare centinaia di router

Wikileaks pubblica un altro articolo che porta in evidenza uno strumento usato dalla CIA per monitorare le attività eseguite tramite l'exploit di una vulnerabilità nei router wifi; questo strumento è chiamato Cherry Blossom.



Cherry Blossom permette di eseguire un hijacking delle reti wifi circostanti per poi eseguire un MitM che permette di monitorare o manipolare il traffico internet di quella rete wifi. Questo accade perché lo strumento sfrutta delle vulnerabilità nei dispositivi per ottenerne l'accesso e sostituirne il firmware con uno creato ad hoc chiamato Flytrap

Una volta che il firmware è installato (nei modelli che permettono l'aggiornamento firmware eseguito al volo) questo raccoglie numerosi dati tra cui:


  • raccolta delle email transitate, indirizzo MAC e numeri VOIP associati
  • possibilità di re-indirizzamento verso siti maliziosi o creati ad hoc 
  • iniezione di contenuti dannosi contenenti malware allo scopo di distribuire malware nel computer e comprometterne lo stesso utilizzo
La lista completa dei produttori di Modem/router o access point vulnerabile è la seguente:

Belkin, D-Link, Linksys, Aironet/Cisco, Apple AirPort Express, Allied Telesyn, Ambit, AMIT Inc, Accton, 3Com, Asustek Co, Breezecom, Cameo, Epigram, Gemtek, Global Sun, Hsing Tech, Orinoco, PLANET Technology, RPT Int, Senao, US Robotics and Z-Com.

Sicuramente dopo la pubblicazione di queste informazioni i produttori correranno ai ripari, rilasciando degli aggiornamenti che impediscano l'applicazione di questo metodo. 


PS. le parole un po' più tecniche e non conosciute forse ad alcuni sono collegate alla relativa spiegazione in Wikipedia.

Criminali informatici in Polonia trovano modo per rubare fondi bancari

Il Blog di sicurezza Badcyber porta in evidenza un avvenimento accaduto recentemente in Polonia: alcuni criminali informatici hanno rubato e trasferito dei fondi bancari con somme anche considerevoli con oltre diecimila euro trafugati. Cosa avevano in comune questi utenti? L'esser iscritti ad un servizio chiamato TelePlay offerto dallo stesso operatore telefonico Play Network che permetteva di eseguire una sorta di telefono virtuale, tramite un sito web, il quale era associato con il telefono reale, permettendo così ai turisti  ed ai cittadini di evitare i costi di roaming. Il servizio rimase attivo per circa 5 anni dal 2010 al 2015, dopo fu disattivato e sospeso senza fornire alcuna spiegazione. 


Il problema ovviamente era relativo nella sicurezza: un servizio di questo genere poteva veramente mostrare il fianco per tentativi di furto d'identita, phishing ecc
Infatti è accaduto proprio questo: una notte tra il 17 e 18 giugno del 2015 alcuni criminali hanno usato il servizio TelePlay, il quale era associato a dei conti correnti bancari, per trasferire e rubare fondi di cui alcuni oltre diecimila euro. 
L'operazione è stata pianificata: prima di questo step i criminali hanno inviato dei messaggi, tramite il servizio TelePlay o attraverso email, con contenuti dannosi i quali dopo l'apertura raccoglievano silenziosamente informazioni inerenti i dati personali e le password usate dagli utenti.

Dopo aver accertato l'associazione tra gli utenti e i loro account bancari è partita l'operazione di attacco, eseguita di notte appositamente per evitare che l'utente si accorga dei movimenti e delle notifiche ricevute nel proprio smartphone delle operazioni eseguite e dei servizi TelePlay attivati.

Sicuramente questo ci insegna molto, ribadisce il fatto che dobbiamo prestare attenzione a TUTTO quello che facciamo ogni giorno, sia che leggiamo email, visitiamo siti o che scarichiamo dei file: accertiamoci della loro autenticità e non forniamo MAI dati personali a nessuno; oltre a questo è utile seguire le regolari linee base di sicurezza esposte qui 

Linee guida e suggerimenti utili per la sicurezza online da Windows XP a Windows 10 

Fonte: BadCyber

giovedì 15 giugno 2017

L'Italia al 156° posto nel rapporto rapid7

Potrebbe sembrare un cattivo risultato ma non è così: il rapporto stilato da rapid7 è compilato dopo aver eseguito una scansione delle porte vulnerabili e aperte su internet, dove quelli con più porte aperte o vulnerabili sono tra i primi posti. 



Per esempio tra i primi 10 posti troviamo lo Zimbabwe, Hong Kong, Samoa, Congo, Tajikistan, Romania, Irlanda, Lituania, Australia e l'Estonia. La Cina e la Russia rispettivamente sono al 21esimo ed al 34esimo posto. Tutto sommato l'Italia si comporta bene, portando risultato forse non sperati: ad esempio solo il 2,47% delle connessioni HTTP non è cifrato, oppure solo il 7,83% delle connessioni SMTP non è cifrato. Dati invece meno positivi per paesi vicini come la Francia che si assesta al 14esimo posto o l'Irlanda al 7° posto. 

Altro dato interessante è che ci sono ancora circa 800 mila dispositivi con Windows che espongono le porte SMB, dando il fianco quindi a possibili attacchi ransomware.

La classifica completa è consultabile da qui: 
https://www.rapid7.com/data/national-exposure/2017.html

mercoledì 14 giugno 2017

Fake app individuate nell'app store: scammer guadagnano fino a $ 80.000 al mese

Il ricercatore Jhonny Lin ha individuato uno dei meccanismi usati dagli scammer per guadagnare nell'app store: sembra che la diverse delle trending app consigliate nell'app store siano completamente fake e che possano usare tecniche poco chiare se non fraudolente.



Cerchiamo di capire prima di tutto una cosa: che cos'è uno scammer? 

Lo scammer è un tentativo di truffa perpetrato tramite email o, come in questo caso, tramite app false o fake al fine di estorcere o comunque indurre l'utente a pagare una determinata somma. 

Il problema è sorto dopo che Apple ha annunciato, allo scorso WWDC, l'introduzione di banner pubblicitari relativi alle ricerche eseguite nello store stesso, tecnologia ancora sicuramente immatura per ora, che può esser usata con successo dagli scammer visto che i banner ADS non hanno alcun filtro e sono tutti di conseguenza accettati come validi. 

Nello specifico il ricercatore ha individuato un'applicazione, tra le diverse riscontrate, che si offre come protezione antivirus e VPN (si chiama Mobile  protection : Clean & Security VPN), chiedendo di autenticare con il Touch ID per pagare $ 99 per una sola settimana: si calcola che per un utente lo scammer possa guadagnare fino a $ 400! Il bello è che questa applicazione è suggerito tramite un banner pubblicitario che viene mostrato come risultato insieme alle ricerche: un utente poco attento non si accorge della differenza e potrebbe cascarci. Nella ricerca viene mostrata una schermata simile a questa:



Una volta installato vengono mostrate queste schermate:


Dopo di che viene richiesta l'autenticazione tramite Touch ID con questa schermata:


Detto questo, prestiamo la dovuta attenzione anche in questo contesto: facciamo attenzione a questo tipo di app, inoltre teniamo presente che app antivirus o simili NON sono necessarie su sistemi iOS. Ovviamente il pericolo sta anche in molti altri tipi di app, non necessariamente antivirus o simili. 

Se siamo vittime di questi tranelli procediamo così:

Da impostazioni > iTunes & App Store > Apple ID > visualizza ID Apple > inseriamo la password associata all'account > ora sotto la voce Sottoscrizioni cerchiamo le voci da eliminare quindi eseguire un TAP sopra e confermarne l'eliminazione

Apple è stata informata delle app rilevate, le quali sono state rimosse e sicuramente implementerà e migliorerà gli algoritmi di sicurezza inerenti la visualizzazione di banner pubblicitari nelle ricerche. 


Dal prossimo autunno Microsoft disabiliterà l'SMBv1

Internamente Microsoft ha già disabilitato da tempo l'SMBv1 ed è già da almeno 5 anni che ha pianificato la disabilitazione di questa funzione nei suoi sistemi, ora finalmente c'è una data: con il rilascio della prossima build definitiva chiamata Redstone 2 disabiliterà nelle nuove installazioni l'SMBv1.




La decisione era stata presa già nel 2014 e sarà effettiva da ottobre-novembre 2017, data del rilascio di questa nuova build. Questa decisione comunque non influirà sulle installazioni in essere ma su quelle nuove installazioni che si eseguiranno presumibilmente dal 1 dicembre in poi. La prima decisione che spinge in questa direzione è ovviamente la sicurezza, in particolar modo dopo l'attacco Wannacry (Ransomware "Wannacry": tutti i dettagli e le contromisure ).

Microsoft consiglia e raccomanda l'uso dell'SMB v3.1.1 o al limite della versione 2.02. Non è detto che in futuro l'azienda di Redmond cambi idea e disabiliti l'SMB anche nelle installazioni degli utenti che aggiornano a Windows 10 da un sistema precedente e agli utenti del programma Windows Insider. 

Non volete aspettare? Seguite la nostra guida video per disabilitare l'SMBv1 nella MS Community


Adobe rilascia aggiornamenti critici di sicurezza per Flash Player e altri prodotti

Nella giornata di ieri Adobe ha rilasciato alcuni aggiornamenti critici di sicurezza inerenti Flash Player, Shockwave e Adobe Digital Edition. Tutte le vulnerabilità corrette consentivano l'esecuzione di codice da remoto, due vulnerabilità gravi invece riguardano Adobe Digital Edition. 


Per restare al sicuro e con i prodotti aggiornati consigliamo di aggiornare tempestivamente i prodotti Adobe installati nel proprio sistema, tenendo presente che i plug-in di Chrome, Edge e Internet Explorer si aggiorneranno in autonomia.

Ad ogni modo, le pagine di download sono le seguenti:

Adobe - Adobe Shockwave Player
Download di Adobe Flash Player

Per i possessori di Adobe Digital Edition sarà opportuno aggiornare alla versione 4.5.5, per gli utenti di altri prodotti interessati sarà necessario installare le hotfix rilasciate da Adobe. 

martedì 13 giugno 2017

Allarme Industroyer, il malware che mette in ginocchio le reti elettriche ed altri tipi di infrastrutture critiche - Analisi Eset -

Si tratta della più grave minaccia ai sistemi di controllo industriale dai tempi di Stuxnet

E’ stato rilevato dai ricercatori di ESET con il nome di Win32/Industroyer il potentissimo malware in grado di causare danni significati ai sistemi di alimentazione elettrica e che potrebbe essere adattato per colpire altri tipi di infrastrutture critiche.


Lo stesso tipo di malware era stato utilizzato lo scorso dicembre a Kiev, quando migliaia di cittadini della capitale ucraina erano piombati nell'oscurità in seguito alla mancata erogazione dell’energia elettrica. Il blackout non era dovuto all’eccessiva domanda ma era stato causato da un sabotaggio effettuato da un gruppo di cybercriminali.
Industroyer è una minaccia particolarmente pericolosa in quanto è capace di controllare direttamente gli switch delle sottostazioni elettriche e gli interruttori dei circuiti. Per farlo usa i protocolli di comunicazione industriale progettati decine di anni fa ed usati in tutto il mondo nelle infrastrutture di alimentazione energetica, nei sistemi di controllo dei trasporti e in altri sistemi di infrastrutture critiche come acqua e gas. Questi interruttori sono l’equivalente digitale di quelli analogici e tecnicamente possono essere programmati per svolgere varie funzioni. Pertanto, l'impatto potenziale può variare dalla semplice interruzione nella distribuzione di energia, passando per guasti a cascata fino a danni più gravi alle apparecchiature. Inutile dire che l’interruzione di tali sistemi può influire direttamente o indirettamente sul funzionamento dei servizi vitali.

L’Industroyer è un malware modulare. Il suo componente principale è una backdoor usata dai criminali per condurre l’attacco: installa e controlla gli altri componenti e si connette a un server remoto per ricevere dei comandi e fornire rapporti ai criminali.

Quello che distingue l’Industroyer a parte l’obiettivo del malware è l’utilizzo di quattro componenti della payload che sono stati progettati per poter ottenere il controllo diretto degli switch e degli interruttori di circuito di una sottostazione di distribuzione elettrica. Ognuno di questi componenti si occupa di determinati protocolli di comunicazione specificati nei seguenti standard: IEC 60870-5-101, IEC 60870-5-104, IEC 61850, e  OLE for Process Control Data Access (OPC DA).

Generalmente, le routine di infezione lavorano per fasi, i cui obiettivi sono la mappatura della rete, l’individuazione del bersaglio e l’invio dei comandi specifici per i dispositivi di controllo industriale da manomettere. Le payload dell’Industroyer dimostrano la competenza e la profonda comprensione dei sistemi di controllo industriale da parte degli autori del malware.



Per ulteriori informazioni su Industroyer è possibile collegarsi al seguente link del blog di ESET Italia:

Individuato un malware che può mettere offline centrali elettriche e infrastrutture critiche: Crashoverride


Ricercatori Eset hanno individuato la causa dietro al blackout avvenuto lo scorso dicembre in Ucraina del nord, si tratterebbe di un malware chiamato Destroyer o Crashoverride che ha il solo scopo di colpire obiettivi come impianti industriali, centrali elettriche ecc causandone il blackout.

Fonte: Industroyer: Biggest threat to industrial control systems since Stuxnet

Un aspetto degno di nota è che il malware non sfrutta alcuna vulnerabilità bensì utilizza quattro protocolli di comunicazione utilizzati in ambiti industriali e in molte critiche infrastrutture in tutto il mondo.  Questi protocolli di comunicazione sono stati sviluppati diversi anni fa, quando il tema sicurezza non era tra i primi posti, comportando quindi oggi la possibilità di istruire i malware ad usare questi protocolli, senza sfruttare alcuna vulnerabilità.

La funzionalità del malware sono quelle di eliminare chiavi di registro e file di sistema critici al fine di rendere l'infrastruttura o il sistema non più avviabile, riavviabile o facilmente ripristinabile. Inoltre, contiene un exploit inerente una vulnerabilità nei sistemi SIEMENS SIPROTEC, risolta già ma utilizzata per attacchi Denial Of Service.

Il malware è modulare e dispone di un server C&C su rete TOR con cui comunica solo in orari NON lavorativi, per non esser individuato. Se rilevato, configura un ulteriore backdoor nel sistema camuffato da un comune notepad, per poter avere comunque l'accesso alla rete. 

I danni provocati da questo malware non sono distruttivi, però possono portare ad un blackout dei servizi per ore se non uno-due giorni in caso di attacchi simultanei in più siti. Per approfondimenti leggere questi articoli:

Microsoft scopre metodo usato per rubare dati bypassando il firewall e antivirus

Platinum: ecco il nome del gruppo di cyberspionaggio che ha "creato" questo metodo dove è possibile rubare dati utilizzando il canale usato dalla tecnologia Intel Active Management Tecnology (AMT) Serial Over Lan (SOL) per sottrarre dati senza esser visti o bloccati da firewall o antivirus.


Per capire come può accadere una cosa simile, è opportuno comprendere come funziona questa tecnologia. 

Cos'è e come funziona il canale di comunicazione AMT Serial Over Lan

L'AMT è una caratteristica fornita con i processori/chipest Intel vPro e permette la gestione remota dei device, esso lavora all'interno dell'IME (Intel Management Engine) il quale lavora con un processore embedded situato nel chipset, quindi totalmente svincolato dal processore, cosa che gli permette di "lavorare" anche quando quest'ultimo è off-line. 

Fonte: PLATINUM continues to evolve, find ways to maintain invisibility – Windows Security

Inoltre permette l'interazione con mouse, tastiera e monitor offrendo funzionalità di amministrazione remota, infatti l'AMT SOL espone un device virtuale tramite un canale del chipset con annessa porta TCP.

Quindi utilizzando questo canale si esclude totalmente il sistema operativo, eludendo quindi controllo di Firewall o antivirus installati nel sistema operativo. Microsoft riporta che il nuovo Windows Defender ATP riporta nella console di gestione tutti i tentativi di accesso eseguiti tramite questo canale, riportando alert dedicati agli eventi e dando il tempo di intervenire. 

Di seguito un video pubblicato da Microsoft che mostra il metodo sopra descritto:




Per approfondimenti consultare questo articolo