1ewrwra-Copia-Copia[1]

Miner di criptovaluta – Uno studio di Quick Heal Security Lab

Miner di criptovaluta - Uno studio di Quick Heal Security Lab

Criptovalute come Bitcoin, Monero, Ethereum, Litecoin e Tezos sono in piena crescita. E hanno incrementato in modo esponenziale le attività di mining criptovalute (o cripto mining). In precedenza, la crittografia è stata eseguita da hardware di data mining potenti e dedicati o utilizzando l'elaborazione distribuita, a causa del fatto che l'intero processo richiede molto potenziale di calcolo. Tuttavia, c'è stato un cambiamento osservabile nelle tendenze del mining. Ora i browser Web partecipano all'estrazione e questa sua attività è in crescita perché la potenza di calcolo utilizzata nel browser mining è molto inferiore a quella richiesta nel mining da hardware. L'uso dei browser Web per estrarre la criptovaluta viene definito In-browser Cryptojacking.

I Quick Heal Security Labs hanno eseguito una approfondita analisi su siti web molto popolare che sono stati compromessi col servizio di mining CoinHive.
 
Che cosa è CoinHive?
CoinHive è un servizio di browser mining che offre la possibilità di estrarre Monero tramite un miner javascript. Può facilmente essere integrato in un siti web: quando un utente accede al sito web compromesso da CoinHive, il servizio si attiva nel browser cominciando l'estrazuione di Monero. 
 
Sospettiamo che svariate aziende utilizzino questi servizi di mining, integrando appunto parti di Javascript nel codice del proprio sito web al fine di sfruttare la potenza di calcolo della CPU dei clienti/visitatori per minare Monero. CoinHive in cambio paga una certa percentuale ai proprietari dei siti web. 

La nostra analisi 
Abbiamo ricevuto notizia che uno dei servizi proxy del famosissimo motore di ricerca di file torrent chiamato PirateBay aveva subito l'iniezione del servizio di mining CoinHive. La figura sottostante mostra il contenuto iniettato nella pagina web Pirate Bay. 
 
Quick Heal Security Labs si è imbattuto in alcuni siti Web popolari che sono stati compromessi con il servizio di mining del browser di Coinhive.
Coinhive è un servizio di mining del browser che offre un minatore Javascript per la blockchain 'Monero'. Può essere facilmente incorporato in un sito Web. Quando gli utenti accedono a un sito Web di Coinhive, il servizio minatore viene eseguito nel browser Web e avvia l'estrazione di Monero XMR.

Sospettiamo che molte aziende utilizzino questo servizio di mining del browser integrando un codice JavaScript nel loro sito Web che consuma il tempo e l'energia del CPU dei visitatori per estrarre XMR (Monero) per Coinhive. Coinhive, in cambio, paga una percentuale del valore estratto al proprietario del sito web.

La nostra analisi

Al Quick Heal Security Labs, abbiamo notato che uno dei servizi proxy di un famoso motore di ricerca torrent chiamato Pirate Bay è stato iniettato con il servizio minatore Coinhive. La Fig. 1 mostra il contenuto iniettato nella pagina web di Pirate Bay.

 
In base alle informazioni ufficiali di Coinhive, "OT1CIcpkIOCO7yVMxcJiqmSWoDWOri06" è la chiave del sito utente e il throttle viene utilizzato per limitare l'utilizzo della CPU. Di seguito sono riportati i livelli di throttle.
 
throttle: 0 - Limite di utilizzo della CPU al 100%
throttle: 0.3 - Limite di utilizzo della CPU all'80%
throttle: 0.5 - Limite di utilizzo della CPU al 50% -70%
 
Dopo aver effettuato l'accesso al sito di Pirate Bay, CoinHive.min.js viene eseguito e avvia l'estrazione. L'utilizzo della CPU raggiunge il limite in base al livello di accelerazione definito. In alcuni siti Web, è definito come 0.5, in questo caso richiederà il 50% -70% del potere di calcolo. La Fig 2 mostra l'attività di utilizzo della CPU del browser e del sistema generale osservati dopo l'accesso al sito Web di Pirate Bay.
 
 
Questa attività di mining non è malevola, ma è in esecuzione senza l'approvazione del proprietario del sistema e consuma la potenza della CPU, che a sua volta rallenta le prestazioni del sistema. Questo disturba l'utente e ostacola il lavoro in modo significativo.
 
Il rilevamento di Quickheal
  • Quick Heal ha rilasciato criteri di rilevamento generici per individuare attacchi di tipo "Cryptojacking" nel browser.
  • Questi rilevamenti generici, nei nostri prodotti, si estendono atraverso più livelli di sicurezza.
Statistiche di rilevamento
Quick Heal ha bloccato con successo l'attività di mining di Coinhive. Di seguito è riportata la tendenza osservata nelle ultime settimane.
 
 
Il mining in-browser è, per i proprietari di siti Web e per i fornitori di servizi di estrazione, davvero un modo semplice per generare entrate. Oltre a Coinhive, vi prendono parte anche altri fornitori di servizi come JSEcoin, MineMyTraffic, CryptoLoot e CoinNebula. Il mining in-browser non è un'attività dannosa, ma l'estrazione non autorizzata e l'uso intensivo della CPU non dovrebbero essere consentiti. Inoltre, compromettere un sito Web popolare potrebbe intralciare molti utenti.
 
Consigliamo ai nostri utenti di evitare la navigazione in siti Web sospetti e di tenere aggiornato il loro antivirus per impedire che il sistema venga utilizzato in attività di mining.
1ewrwra[1]

Ransomware, ospedali e uffici pubblici: campagna di attacchi mirati in corso

Campagna di Attacchi mirati in corso

Ancora ransomware: nonostante non siano più da considerarsi la prima minaccia informatica, continuano a mietere vittime. Abbiamo qua selezionato alcuni diversi episodi, afferenti allo stesso ransomware, che riguardano enti di rilevanza pubblica, come gli ospedali o le sedi di alcune Istituzioni. Il ransomware in questione è SamSam, che sembra aver avuto un grande inizio anno, colpendo diversi obiettivi di alto profilo come ospedali, un consiglio comunale e una società di ICS (Industrial Control System). 
 
La campagna
Questo ransomware ha colpito l'Hancock Healt Hospital in Indiana, l'Adams Memorial Hospital, sempre in Indiana, la municipalità di Farmington in New Mexico, il provider di EHR (electroninc heal records) in cloud Allscripts e una società statunitense di ICS non nominata. Un flagello. In tre di questi il ransomware ha criptato i file e mostrato quindi un messaggio con la parola "sorry": la municipalità di Farmington ha pubblicato una schermata di riscatto. 
 
Gli aggressori hanno guadagnato quasi 300.000 $ da questa campagna. L'indirizzo del portafoglio Bitcoin utilizzato per questerichiesta di riscatto ha ricevuto la sua prima transazione il 25 Dicembre. L'account detiene attualmente 26 Bitcoin, del valore di quasi $ 300.000. Molto probabilmente, la banda ha colpito molte più vittime e guadagnato molti più soldi.
 
L'FBI ha chiesto da tempo alle aziende e agli individui colpiti dal ransomware di segnalare eventuali infezioni tramite il portale IC3, in modo da poter capire meglio la minaccia e avere supporti legali per indagare su tali gruppi di cyber-criminali.
 
Il ransomware
Il ransomware Samsam, conosciuto anche come Samas, è un ransomware personalizzabile, usato da più cyber criminali per attacchi mirati. Infatti la nota di riscatto  e l'estensione aggiunta ai file criptati varia da caso a caso. In comune tutte le versioni hanno la modalità di attacco: si esegue una scansione in Internet in cerca di computer con le connessioni RDP aperte quindi si fa irruzione nella rete con un attacco di brute-force, così si riesce a diffondere il ransomware in più computer.  Una volta che i cyber criminali hanno una presenza sufficientemente forte sulla rete, implementano SamSam e attendono che la società paghi il riscatto o li stacchi dalla loro rete.
 
La versione usata in questo attacco utilizza come nota di riscatto il file "0000-SORRY-FOR-FILES.html" e ha infettato almeno otto enti dal 26 Dicembre. La maggior parte delle vittime proviene dagli Stati Uniti, ma alcune provengono dal Canada e dall'India. Alcune vittime hanno segnalato file criptati con l'estensione .weapologize, ma la maggior parte delle vittime ha segnalato criptazioni con l'estensione .sorry. 
 
Gli incidenti
1. Hancock Health Hospital di Greenfield
Un ospedale dell'Indiana ha pagato un riscatto di 55.000 $ per sbarazzarsi del ransomware che aveva infettato i suoi sistemi e stava ostacolando le operazioni. L'infezione è iniziata Giovedì 11 Gennaio, quando gli aggressori hanno violato la rete dell'Hancock Health, un ospedale regionale nella città di Greenfield, nell'Indiana. Le operazioni e il funzionamento dell'intero ospedale sono state colpite immediatamente. Lo staff IT è intervenuto e ha bloccato l'intera rete, chiedendo ai dipendenti di spegnere tutti i computer per evitare che il ransomware si diffondesse su altri PC.I pazienti hanno continuato a ricevere assistenza presso la sede dell'ospedale, ma il personale medico e amministrativo ha continuato il proprio lavoro utilizzando carta e penna invece dei computer.
 
L'ospedale, nonostante fosse in possesso dei backup, ha optato per pagare il riscatto di 4 Bitcoin, circa 55.000 $ al momento del pagamento, il Sabato mattina successivo. La direzione dell'ospedale ha dichiarato che il ripristino dei backup non era una soluzione, in quanto ci sarebbero voluti giorni e forse anche settimane per far funzionare tutti i sistemi. Hanno quindi deciso di pagare il riscatto perché più veloce. Entro Lunedì tutti i sistemi erano attivi e funzionanti: l'ospedale ha rilasciato una breve dichiarazione sul suo sito dove ammette l'incidente, ma con pochissimi altri dettagli.
 
2. La municipalità di Farmington

In questo caso SamSam ha criptato, quindi bloccato, l'intera rete. La nota di riscatto richiedeva 3 Bticoin, circa 35.000 dollari, ma la municipalità è riuscita a ripristinare i dati senza pagare il riscatto. Secondo un comunicato stampa diffuso dalla Municiplaità stessa nessuna informazione personale di cittadini o dipendenti è stata compromessa dall'attacco: inoltre non è stato violato il sistema operativo di nessuna utility elettrica e non c'è stata interruzione dei servizi di sicurezza pubblica. Neppure i sistemi di posta elettronica della città sono stati compromessi. Sono invece stati interrotti alcuni servizi (il pagamento delle bollette elettroniche ad esempio). 

 
Questa storia dovrebbe rappresentare un campanello di allarme per le aziende che hanno endpoint con le connessioni RDP aperte. Queste macchine dovrebbero essere protette con una password forte e unica al fine di rendere più difficoltoso un attacco di brute force. 
killdisk[1]

Ancora ransomware: ecco KillDisk

Ancora ransomware: ecco KillDisk

 
E' certamente vero che i ransomware stanno perdendo terreno nella classifica degli strumenti preferiti dai cyber criminali per ammassare profitti. Anche se gli attaccanti propendono ad oggi più per quanto attiene al mondo del "mining" di cripto valute (ne abbiamo diffusamente parlato qui e qui), cioè non significa che i ransomware siano scomparsi. Anzi.
 
Ecco KillDisk
KillDisk non è propriamente una novità: inizialmente era un Disk Wiper, ovvero non un ransomware
ma uno strumento pensato per cancellare senza possibilità di recupero i file presenti sulle macchine infette, probabilmente anche allo scopo di rendere irrintracciabile la fonte dell'attacco. Un vero e proprio strumento di sabotaggio più che di ricatto.
 
Oggi KillDisk è tornato alla carica, colpendo duramente svariate società che operano nel settore finanziario in America latina. L'attuale è però una nuova versione di KillDisk, riadattata per emulare un ransomware. Chiede un riscatto, ma non si limita a criptare i file, li cancella comunque. Ed è una "versione sorella" di NotPeya,anch'esso un finto ransomware che ha devastato lo scorso anno uffici e aziende in Ucraina. Si sospetta che dietro KillDisk ci sia lo stesso gruppo di pirati informatici di origine russa Telebots, specializzati in cyber-sabotaggio e che sono balzati agli onori delle cronache due anni fa con Sandworm (un malware pensato per attacchi a impianti industriali) e per l'attacco che ha messo in ginocchio la rete energetica in Ucraina nel 2015. 
 
Come funziona KillDisk?

Liberamente riadattato e tradotto da securityinfo.it

La nuova variante prende di mira il Master Boot Record (MBR) degli hard disk e ne sovrascrive alcuni settori: cancella inoltre tutti i file e le cartelle nelle partizioni presenti sul computer. Conclusa la distruzione dei file, KillDisk programma il riavvio del computer (suppergiù dopo 15 minuti dalla cancellazione dei file): da quel momento il computer è inutilizzabile. I dati resteranno comunque irrecuperabili, anche in caso di rispristino dell'MBR.
1+28129[1]

Spectre e Meltdown: nuovo aggiornamento – gli update fino ad ora in distribuzione e i modelli vulnerabili

Spectre e Meltdown: nuovo aggiornamento - gli update fino ad ora in distribuzione e i modelli vulnerabili

 
Intel, AMD e altri produttori di CPU hanno cominciato a rilasciare aggiornamenti del microcodice CPU (firmware) per i modelli di processori affetti dalle vulnerabilità Meltdown e Spectre. Gli aggiornamenti adesso sono arrivati ai produttori di schede madre che ora stanno integrando queste patch negli aggiornamenti BIOS/UEFI dei pc interessati. 
 
Quasi tutti i vendor hanno reso disponibili le patch per il problema, solo alcuni ancora ritardano, ma hanno comunque già annunciato le patch.Le patch software a livello di sistema operativo hanno ampiamente mitigato la falla Meltdown, ma le community di utenti Microsoft e Linux ribadiscono che occorre un firmware per risolvere la vulnerabilità Spectre. 
 
Da Bleeping Computer riportiamo la lista degli aggiornamenti dei vari produttori e i link per il download degli update BIOS/UEFI oppure scoprire se il proprio computer stia usando o meno una CPU vulnerabile.
  • Acer: vedi qui
    Acer ha pubblicato solo un elenco dei computer e dei server vulnerabili. Ha annunciato che rilascerà un update per i prodotti server a Marzo. Nessuna data annunciata per i prodotti laptop e desktop. 
  • ASUS: vedi qui
    Asus ha annunciato il rilascio dell'update del BIOS per i prodotti riguardati dal problema entro la fine di Gennaio.
  • Dell: vedi qui
    l'update del BIOS è disponibile per alcuni prodotti desktop, notebook e server. L'avviso di sicurezza DELL contiene molteplici link sui vari dipi di prodotti. La pagina è molto utile per ricercare ciò che ti serve sapere.
  • Fujitsu:vedi qui
    l'update del BIOS è disponibile per alcuni prodotti, ma non per tutti. L'avviso di sicurezza contiene molteplici link con informazioni sui prodotti. 
  • Gigabyte: vedi qui
    Gygabyte ha rilasciato gli update per il BIOS. Gli utenti che leggeranno l'avviso di sicurezza, dovranno solo fare click sul nome della serie della propria scheda madre e installare l'aggiornamento più recente che trovano nella pagina prodotto. 
  • HP: vedi qui
    gli update per il BIOS sono disponibili per circa la metà dei prodotti HP elencati nella lista di quelli vulnerabili.
  • Huawei: vedi qui
    Huawei ha solo elencato i prodotti vulnerabili, affermando che ci sono ancora studi e verifiche in corso. 
  • Intel: vedi qui
    Intel ha rilasciato update per la quasi totalità di NUC, Computer Stick e Card.
  • Lenovo: vedi qui
    Lenovo ha pubblicato una dettagliatissima tabella per tutti i prodotti riguardati dal problema, includendo link per il download e annunciando date precise per la messa in distribuzione degli update successivi. 
  • LG: 
    non ci sono ancora avvisi di sicurezza riguardati le falle Meltdown e Spectre. 
  • Panasonic: vedi qui
    Panasonic ha annunciato che comincerà il rilascio degli update per il BIOS per i modelli vulnerabili a partire dalla fine del mese, proseguendo poi per i mesi di Febbraio e Marzo. 
  • Microsoft: vedi qui
    Microsoft ha rilasciato gli update UEFI.
  • Toshiba: vedi qui
    Toshiba non ha ancora rilasciato aggiornamenti BIOS/UEFI. L'azienda ha prodotto l'elenco dei prodotti vulnerabile e una timeline approssimativa della messa in distribuzione degli update.
  • Vaio: vedi qui
    Ci sono già alcuni update BIOS disponibili.
Pubblicheremo aggiornamenti quando e se saranno disponibili. 
12[1]

Il primo malware Mac del 2018 si chiama OSX/MaMi e dirotta i DNS.

Spectre e Meltdown: nuovo aggiornamento - gli update fino ad ora in distribuzione e i modelli vulnerabili

 
 

Intel, AMD e altri produttori di CPU hanno cominciato a rilasciare aggiornamenti del microcodice CPU (firmware) per i modelli di processori affetti dalle vulnerabilità Meltdown e Spectre. Gli aggiornamenti adesso sono arrivati ai produttori di schede madre che ora stanno integrando queste patch negli aggiornamenti BIOS/UEFI dei pc interessati. 
 
Quasi tutti i vendor hanno reso disponibili le patch per il problema, solo alcuni ancora ritardano, ma hanno comunque già annunciato le patch.Le patch software a livello di sistema operativo hanno ampiamente mitigato la falla Meltdown, ma le community di utenti Microsoft e Linux ribadiscono che occorre un firmware per risolvere la vulnerabilità Spectre. 
 
Da Bleeping Computer riportiamo la lista degli aggiornamenti dei vari produttori e i link per il download degli update BIOS/UEFI oppure scoprire se il proprio computer stia usando o meno una CPU vulnerabile.
  • Acer: vedi qui
    Acer ha pubblicato solo un elenco dei computer e dei server vulnerabili. Ha annunciato che rilascerà un update per i prodotti server a Marzo. Nessuna data annunciata per i prodotti laptop e desktop. 
  • ASUS: vedi qui
    Asus ha annunciato il rilascio dell'update del BIOS per i prodotti riguardati dal problema entro la fine di Gennaio.
  • Dell: vedi qui
    l'update del BIOS è disponibile per alcuni prodotti desktop, notebook e server. L'avviso di sicurezza DELL contiene molteplici link sui vari dipi di prodotti. La pagina è molto utile per ricercare ciò che ti serve sapere.
  • Fujitsu:vedi qui
    l'update del BIOS è disponibile per alcuni prodotti, ma non per tutti. L'avviso di sicurezza contiene molteplici link con informazioni sui prodotti. 
  • Gigabyte: vedi qui
    Gygabyte ha rilasciato gli update per il BIOS. Gli utenti che leggeranno l'avviso di sicurezza, dovranno solo fare click sul nome della serie della propria scheda madre e installare l'aggiornamento più recente che trovano nella pagina prodotto. 
  • HP: vedi qui
    gli update per il BIOS sono disponibili per circa la metà dei prodotti HP elencati nella lista di quelli vulnerabili.
  • Huawei: vedi qui
    Huawei ha solo elencato i prodotti vulnerabili, affermando che ci sono ancora studi e verifiche in corso. 
  • Intel: vedi qui
    Intel ha rilasciato update per la quasi totalità di NUC, Computer Stick e Card.
  • Lenovo: vedi qui
    Lenovo ha pubblicato una dettagliatissima tabella per tutti i prodotti riguardati dal problema, includendo link per il download e annunciando date precise per la messa in distribuzione degli update successivi. 
  • LG: 
    non ci sono ancora avvisi di sicurezza riguardati le falle Meltdown e Spectre. 
  • Panasonic: vedi qui
    Panasonic ha annunciato che comincerà il rilascio degli update per il BIOS per i modelli vulnerabili a partire dalla fine del mese, proseguendo poi per i mesi di Febbraio e Marzo. 
  • Microsoft: vedi qui
    Microsoft ha rilasciato gli update UEFI.
  • Toshiba: vedi qui
    Toshiba non ha ancora rilasciato aggiornamenti BIOS/UEFI. L'azienda ha prodotto l'elenco dei prodotti vulnerabile e una timeline approssimativa della messa in distribuzione degli update.
  • Vaio: vedi qui
    Ci sono già alcuni update BIOS disponibili.
Pubblicheremo aggiornamenti quando e se saranno disponibili. 
 
ed-1+28129[1]

Il WPA2 non basta più: in arrivo il WPA3 con nuove funzionalità di sicurezza.

l WPA2 non basta più: in arrivo il WPA3 con nuove funzionalità di sicurezza

 
 
Dopo la minaccia della vulnerabilità KRACK di qualche mese fa la Wi-Fi Alliance annuncia il nuovo standard WPA3. Aumenta così la sicurezza delle reti wifi e vengono introdotte nuove funzionalità.
 
WPA3 andrà a sostituire WPA2, protocollo di sicurezza che esiste da almeno 15 anni e ampiamente utilizzato da miliardi di dispositivi wireless ogni giorno. WPA2 è stato da tempo considerato non sicuro a causa di un problema, ossia le reti Wi-Fi aperte, non criptate, che consentono a chiunque si trovi sulla stessa rete WiFi di intercettare le connessioni con altri dispositivi.
 
Sono quattro le nuove funzionalità previste in WPA3:
  • La protezione dagli attacchi di Brute Forcing bloccando il processo di autenticazione WiFi dopo diversi tentativi di accesso falliti. Questa è una caratteristica base presente in molti sistemi di autenticazione web e software, utilizzata per proteggere le connessioni anche nel caso in cui gli utenti scelgano delle password non corrispondenti ai criteri di sicurezza più comuni.
  • La possibilità di utilizzare i dispositivi abilitati WiFi nelle vicinanze come pannello di configurazione per altri dispositivi. Ad esempio, un utente sarà in grado di utilizzare il suo telefono o tablet per configurare le opzioni WiFi WPA3 di un altro dispositivo che non ha uno schermo, come le apparecchiature IoT (lucchetti, lampadine, ecc).
  • Un sistema di crittografia per ogni dispositivo connesso: è una funzionalità che cripta le connessionitra ogni dispositivo connesso e il router o il punto di accesso. Verrà usato un nuovo algoritmo di criptazione a 192-bit, con chiave diversa per ogni singola connessione. 
  • La possibilità di utilizzare una suite di sicurezza aderente agli standard del CNSA (Committee on National Security Systems) che potrà essere utilizzata per le reti Wi-Fi più “sensibili”, come quelle utilizzate negli enti pubblici o nel settore industriale.
Nonostante la rapida mossa di WiFi Alliance per ottenere una nuova versione dello standard di autenticazione WiFi WPA, ci vorrà del tempo prima che gli utenti siano in grado di acquistare dispositivi con il supporto WPA3 incluso. Ciononostante, il processo di implementazione dovrebbe continuare senza intoppi, dato che i fornitori hanno preso rapidamente in considerazione il nuovo protocollo WPA.
gdprlab[1]

GDPR: regolamento europeo per la Privacy.

Il 25  Maggio 2018 è il termine ultimo per l'adeguamento al Codice Europeo per la Privacy. Questo regolamento sulla privacy comporta diverse e importanti novità in ambito di sicurezza dei dati, distaccandosi non poco dalla regolamentazione attuale. Sarà necessario quindi dotarsi di strumenti e protocolli in grado di poter intervenire dinamicamente sul trattamento dei dati in tempo reale. 
 

Ci occupiamo da oltre 20 anni di privacy, abbiamo studiato il GDPR e vogliamo mettere a vostra disposizione non solo la nostra conoscenza (in forma di consulenza e formazione), ma anche strumenti software adatti a tutti gli adempimenti legali che diverranno obbligatori nei prossimi mesi.

Abbiamo preparato una piattaforma apposita, organizzato nuovi servizi, consulenze, formazione e molto altro, sui quali vi informeremo costantemente nelle prossime settimane. 

Abbiamo creato un nuovo sito dedicato alla piattaforma GDPRlab, vieni a visitarlo per scoprire le nostre proposte e le soluzioni più adatte a te, i tuoi clienti o la tua azienda e tutti i servizi offerti https://gdprlab.it/

Intanto mettiamo a disposizione una piccola brochure esplicativa, dove troverete i punti salienti del regolamento e alcune indicazioni di massima. Ai nostri rivenditori offriamo la possibilità di personalizzare questa brochure col proprio logo e i propri riferimenti, per l'invio ai vostri clienti. Contattate il vostro commerciale! 

ed-1+28129[1]

CoffeMiner: come un miner può diffondersi in tutti i dispositivi connessi alla stessa Wi-Fi

a qualche tempo stiamo segnalando i numerosi problemi conseguenti alla diffusione illegale dei miner di criptovalute. 
 
Come già detto, questo fenomeno è in crescita e probabilmente sarà uno dei temi del 2018 (a meno che non avvenga un crollo verticale del valore delle criptovalute, del quale già alcuni esperti vociferano). Se un fenomeno è in crescita, è perché, nei fatti, è ritenuto profittevole dai cyber-criminali, che selezionano tra vari tipi di strumenti quello più adatto ad accumulare ricchezze: in questo caso il mondo del mining illegale è quasi agli inizi, ma l'attenzione che smuove è ribadita non solo dal numero e dalla frequenza degli attacchi, ma anche dal miglioramento e affinamento delle tecniche di diffusione e dell'efficacia dello strumento in sè. 
 
L'Uomo nel Mezzo
 

Il ricercatore spagnolo Arnau ha pubblicato sul web un tutorial ben dettagliato che descrive un nuovo attacco Man in the Middle (MitM) finalizzato alla diffusione di miner di criptovalute, nel dettaglio, in questo caso di CoinHive: CoinHive altro non è che una libreria javascript che utilizza il potere di calcolo della CPU di un pc per "minare" Monero.Il caso in questione è stato ribattezzato da Arnau come CoffeMiner perchè ha ipotizzato che un cyber-criminale potesse usarla in una rete wi-fi pubblica come quelle di molti bar e prendendo spunto da un episodio simile successo in un locale di Starbucks.

 
Lo schema dell'attacco. Fonte: securityinfo
Lo schema quello classico dell'intercettazione da parte di un terzo soggetto (l'uomo nel mezzo) del traffico di tutti i dispositivi collegati alla rete wi-fi: i computer connessi vengono "dirottati" verso il computer del cyber-criminale anziché nel gateway predefinito. Per farlo Arnau, molto banalmente, usa la libreria dsniff e esegue cosi un attacco ARP spoofing: fatto ciò è stato in grado di dirottare il traffico.

Subito dopo usa mitmproxy per modificare il traffico in transito, quindi inietta lo script che permette l'installazione del JavaScript sui dispositivi collegati. Nell'esempio Arnau forza quindi l'installazione sui dispositivi collegati di CoinHive. 
 
 
Come proteggersi da questo attacco?
Beh, è una banalità: usare una VPN ogni volta che ci si trova costretti ad usare una rete Wi-Fi pubblica. Ma il punto non è tanto questo, quanto il dover rendersi conto che è sempre più necessario installare app ed estensioni che blocchino i miner per proteggere la parte hardware dei propri pc e che il problema dei miner ci accompagnerà, probabilmente, per molto tempo. 
ed-1+28129[1]

Spectre e Meltdown: un primo aggiornamento

 Gli aggiornamenti rilasciati da Microsoft riguardo ai bug alla base degli attacchi Spectre  e Meltdown (dei quali parlavamo giusto ieri qui) hanno creato non pochi problemi agli utenti. Pubblichiamo prima di tutto le patch per Windows, poi elenchiamo alcuni problemi:

  • Windows Server, version 1709 (Server Core Installation)--> vedi qui
  • Windows Server 2016--> vedi qui
  • Windows Server 2012 R2--> vedi qui
  • Windows server 2012--> patch non disponibile
  • Windows Server 2008 R2--> vedi qui
  • Windows Server 2008--> non disponibile
  • Windows 10 (RTM, 1511, 1607, 1703, 1709), Windows 8.1, Windows 7 SP1--> vedi qui

Questi update non risolvono tutte le falle: alcuni pc Windows possono richiedere l'aggiornamento del firmware della CPU per mitigare gli effetti di un attacco Spectre, ma l'update di Microsoft pare principalmente incentrato sulla falla Meltdown.

Apple macOS,iOS, tvOS:
Apple ha fatto sapere che tutti i sistemi Mac e i dispositivi iOS sono riguardati da questo problema, ma non risultano ad oggi effetti conosciuti per gli utenti a causa di questi exploit. In ogni caso Apple ha già rilasciato, contro attacchi Meltdown, modifiche per mitigare gli effetti per iOS 11.2, macOS 10.13.2 e tvOS 11.2. 

Browser

  • Chrome--> per Chrome occorrerà attendere il 23 Gennaio, quando Google pubblicherà la versione 64 del browser. Google consiglia nel frattempo di attivare la funzione Strict Site Isolation, digitandochrome://flags#enable-site-per-process nella barra degli indirizzi. In questo modo Chrome limiterà ogni processo a pagine di un solo sito, riducendo il rischio che dati sensibili siano dirottati da un Javascript che sfrutta Spectre. 
  • Safari--> L'Update di Safari alla versione 11.02 contiene gli strumenti di mitigazioni utili contro Spectre. 
  • Edge e Internet Explorer 11--> già aggiornati con l'update di inizio anno: l'update non risolve il problema, ma rende più difficile un eventuale attacco.
  • Firefox--> l'aggiornamento alla versione 57.0.4 introduce strumenti di mitigazione del problema, ma non lo risolve. 
Problema 1: le incompatibilità con i software antivirus
Microsoft due giorni fa ha annunciato che non distribuirà agli utenti gli aggiornamenti di sicurezza del January 2018 Patch Tuesday o successivi, finché i programmi antivirus in uso non saranno resi compatibili con la patch. Per renderli compatibili occorre aggiornare il software, quindi aggiungere una speciale chiave di registro al Registro di Window. Sarà la chiave di registro a "dire" al sistema operativo Windows che quel tal prodotto antivirus è compatibili e consentirà quindi l'installazione della patch.

La chiave di registro necessaria è:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”

Anzi Microsoft va oltre, affermando che la chiave di registro da oggi sarà un requisito necessario al processo di Windows Update: in assenza di tale chiave Microsoft non distribuirà più update, non solo la patch per Meltdown e Spectre. Microsoft ha quindi chiesto ai vendor di software antivirus di creare questa chiave perché, in fase di test, la patch ha determinato a causa dell'incompatibilità con l'antivirus in uso, il crash del sistema: la famosa Blue Screen of Death (BSOD) che impedisce ulteriori tentativi di boot. 
 
Gli utenti Windows che non usano Antivirus o che usando Windows Defender possono aggiornare già da adesso, poichè per loro non sussiste il problema della chiave di registro. 
 
Gli utenti con antivirus di Terze Parti invece devono chiedere informazioni ai vendor: possiamo confermare che i software antivirus Quick Heal e Seqrite sono perfettamente compatibili con la patch di Windows poiché il problema della chiave di registro è già stato risolto dalla casa madre. 
 
2. Il problema coi dispositivi AMD
Microsoft ha interrotto l'implementazione degli aggiornamenti di sicurezza contro Spectre e Meltdwn dei propri sistemi operativi per tutti i clienti che utilizzano una CPU AMD (Athlon). Microsoft ha annunciato la decisione dopo che, qualche giorno fa, numerosissimi utenti Windows (sia 7 che 10) che hanno in uso dispositivi AMD hanno segnalato, come risultante dell'update, la famosa schermata blu oppure un blocco in fase di avvio che mostra solo il logo di Windows.  
 
"Dopo approfondita analisi, Microsoft ha determinato che alcuni processori AMD non sono conformi con la documentazione preventivamente inviata a Microsoft, documentazione necessaria per implementare gli strumenti di mitigazione dei i rischi conseguenti a Spectre e Meltdown", dicono da Windows. 
 
La decisione riguarda sia i SO desktop che server Windows eseguiti su dispositivi AMD. In questo caso consigliamo agli utenti, per ora, di non procedere all'installazione della patch: l'aggiornamento infatti non crea un punto di ripristino. In questo caso occorre individuare un punto di ripristino già esistente e disattivare poi il Windows Update. 
ed-1+28129[1]

Gravi vulnerabilità nei processori Intel e ARM: Meltdown e Spectre

 Google ha rilasciato da qualche giorno i dettagli riguardanti tre vulnerabilità, sfruttabili con due tipi di attacco chiamati Meltdown e Spectre: inizialmente individuate solo per i processori Intel, Google ha affermato successivamente che le due vulnerabilità riguardano praticamente quasi tutti i processori rilasciati dal 1995 in poi. Google afferma che i due bug possono essere sfruttati per rubare dati processati recentemente nel computer, comprese le password archiviate nei password manager o nel browser, foto personali ed email, messaggi e perfino documenti confidenziali. I bug sono stati scoperti da Hann Horn, ricercatore di sicurezza di Google Project Zero, il gruppo di ricerca sulla sicurezza di Google. 

 
Le problematiche descritte sono bug a livello di hardware che necessitano di patch software. 
 

Horn aveva individuato e segnalato ai vendor di CPU queste problematiche nel Giungo 2017, specificando due diversi scenari di attacco. Aveva descritto queste problematiche come bug hardware che necessitano entrambe di patch per il firmware da parte dei vendor di CPU e patch software da parte dei vendor dei sistemi operativi e degli applicativi. Secondo Google queste problematiche affliggono tutti i principali produttori di processori (Intel, ARM), tutti i maggiori sistemi operativi (Windows, Linux, macOS, Android, ChromeOS), i provider cloud (Amazon, Google, Microsoft) e i produttori di applicativi. AMD invece ha rilasciato un avviso nel quale spiega che le proprie CPU non hanno questo bug: l'avviso completo si trova qui (ma il tema è più complicato, lo riprenderemo nei prossimi giorni).

 
Le vulnerabilità "risiedono" nella "speculative execution" della CPU
Le falle attuali risiedono nella tecNica chiamata di "speculative execution" impiegata in tutte le moderne CPU. E' una tecnica base di ottimizzazione delle prestazioni nella quale il processore tenta di calcolare il prossimo passo o istruzione in anticipo. Lo scopo è quello di preparare i risultati computazionali e averli già pronti all'uso quando saranno utili. Se una applicazione non necessita di dati "speculativi", la CPU semplicemente non li utilizza. 

Google ha annunciato che Horn ha individuato una strada per usare la speculative execution per leggere dati dalla memoria della CPU che non dovrebbero essere disponibili ad app di livello utente. Riassumendo ha individuato 3 diverse vulnerabilità combinabili in due attacchi, chiamati Meltdown (CVE-2017-5754) e Spectre  (CVE-2017-5753 e CVE-2017-5715).
 
Che cosa sono Meltdown e Spectre
Meltdown rompe il fondamentale isolamento tra le applicazioni dell'utente e il sistema operativo. Questo attacco consente ad un programma l'accesso alla memoria, compresi dati protetti, di altri programmi e del sistema operativo. Il nome Meltdown discende proprio dal fatto che il bug "fonde" (melt) i confini che solitamente vengono applicati all'hardware. 
 
Spectre invece rompe l'isolamento tra applicazioni differenti. Consente ad un attaccante di "ingannare" programmi senza errori, che seguono le best practices, inducendoli a divulgare i dati segreti. Anzi, i controlli di sicurezza relativi alle best practices di cui parliamo sopra attualmente non fanno altro che incrementare la superficie di attacco, rendendo le applicazioni ancora più suscettibili a Spectre. Stiamo in sunto parlando di attacchi volti a interrompere la separazione tra i processi a livello account utente e i processi a livello kernel.Una separazione fondamentale per garantire che le informazioni, assai preziose, contenute nel kernel (pensa alle password) non possano essere lette da applicazioni con privilegi inferiori.

Spectre è più difficile da sfruttare rispetto a Meltdown, ma anche più difficile da mitigare. 

I rischi
Questi due attacchi consentono, quindi, il furto di una serie di dati molto delicati come password, certificati, dati memorizzati nella cache ecc...Alcuni ricercatori però affermano anche che la parte più grave del problema è il fatto che queste vulnerabilità possono rendere decisamente più semplice pe r un malware sfruttare altre vulnerabilità sul sistema. 
 
L'individuazione di Meltdown e Spectre sarà difficile
Google ha anche aggiunto che rilevare questi due attacchi è quasi impossibile al momento. L'exploit infatti non lascia alcuna traccia nei tradizionali file log ed è assai probabile che gli antivirus non siano in grado di individuarli. Ecco perchè Google non sa indicare se Meltdown e Spectre siano mai stati usati in attacchi reali. 
 
Quali CPU sono vulnerabili?Google conferma che potrebbero essere vulnerabili tutti i processori Intel rilasciati dal 1995 (fanno eccezione Intel Itanium e Intel Atom prima del 2013), e ARM. In sunto, dato il peso di mercato di queste due aziende (ma principalmente di Intel), possiamo dire che quasi tutti i processori sono affetti da questi bug. Ad esempio Intel ha una quota di mercato dell'80% sui pc fissi e più del 90% in quello dei portatili e server: in sunto un grandissimo numero di pc fissi, portatili e server hanno questa problematica. Non si conosce l'impatto di Meltdown sui dispositivi mobili, ma è già disponibile una patch per Android.

Le CPU ARM vulnerabili a Spectre e Meltdown. 

Le patch
Tutti concordano sul fatto che sia assolutamente necessario risolvere queste falle, data la loro gravità: nasce così l'esigenza di modificare tutto il sistema di gestione delle chiamate di sistema in modo che kernel e programmi siano EFFETTIVAMENTE in due ambienti diversi. Molte aziende hanno già iniziato a rilasciare patch per le vulnerabilità Meltdown e Spectre. Qui la lista
 
Il problema è che questa modifica potrebbe comportare, almeno per i PC su piattaforma Intel, un rallentamento che potrà variare dal 5 l 30% a seconda del modello di CPU (più un processore è recente, meno la patch avrà impatto sulle prestazioni) e a seconda del tipo di calcolo che dovrà eseguire. Se Intel nega categoricamente il rischio di rallentamento a causa della patch, va detto che ancora non sono stati effettuati benchmark accurati, ma moltissimi utenti che hanno già applicato le patch confermano il problema. 
 
Sono già disponibili patch per Linux e Android, Apple e Windows. Approfondiremo in prossimi articoli le patch e i problemi conseguenti. Dobbiamo avvisare ad esempio che gli utenti Windows, ricevuta o installata la patch, stanno riscontrando gravi problemi, ovvero il crash completo (la schermata blu si ripresenta ad ogni avvio) dei computer che montano alcuni antivirus. Sui forum tecnici di Microsoft è possibile rintracciare molteplici lamentele di utenti. Alcune info utili sono qui.
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy