Notizie

1+28129+28129[1]

Backup e GDPR: Xopero, Strongbox e la sicurezza e privacy dei Dati

 

Il General Data Protection Regulation (GDPR) è alle porte. Imporrà numerose responsabilità alle aziende per quanto riguarda la raccolta e la gestione dei dati personali dei cittadini dell'UE. A seguito del nuovo Regolamento, le imprese saranno obbligate ad implementare in modo specifico i ruoli, i processi e le tecnologie che assicurano la sicurezza dei dati personali dei cittadini dell'UE.
 
Cosa devi tenere a mente:           
Tutti i cittadini dell’UE hanno il diritto legale di accedere ai dati che un’azienda ha raccolto su di loro durante un acquisto online, accedendo a servizi statali online, servizi sanitari o acquisiti da applicazioni mobile. È responsabilità dell’azienda garantire di essere in grado di fornire questo tipo di informazioni su richiesta. Le imprese devono fornire informazioni dettagliate sul modo in cui stanno usando i dati dei consumatori. I consumatori acquistano il diritto di richiedere alle organizzazioni di trasferire i propri dati ad una controparte. Ricorda inoltre che le aziende devono essere in grado di proteggere e mantenere la privacy dei dati anche in caso di attacchi ransomware. Le aziende che non soddisfano i requisiti GDPR si troveranno soggette a ingenti multe.
 

Tutto questo rende centrale individuare uno o più meccanismi di gestione dei dati. L'altro problema cruciale ovviamente è quello della sicurezza dei dati. Impostare e mantenere un backup solido ed un piano di Disaster Recovery (DR) è sempre stato parte cruciale della politica riguardante la protezione dei dati. Perciò, in conformità con il GDPR, un’azienda deve assicurare di possedere un’affidabile protezione dei dati ed un piano di Disaster Recovery efficiente non solo in termini di implementazione di una soluzione di backup, ma anche di una soluzione di recupero dati testata regolarmente.
 
Come Xopero e Strongbox aiutano nella compliance al GDPR? 
 
  • Backup in cloud privato
    È un’idea innovativa per creare un’infrastruttura di backup in una location di fiducia/proprietà sicura per un ambiente con una grande quantità di dati. Basterà ottenere un software per il backup per salvare in locale i tuoi dati: in altri termini, un cloud privato. Tuttavia il resto delle funzionalità e possibilità andrebbe revisionato. 
 
  • Disaster Recovery e Business Continuity
    Xopero e Strongbox permettono di recuperare i file in maniera estremamente veloce. Puoi avviare un dispositivo già backuppato come macchina virtuale con tutti i componenti backuppati del Sistema Operativo: applicazioni, impostazioni, password e tutti gli altri dati. Potrai anche lavorare su questa VM e ripristinarla in seguito sul nuovo dispositivo fisico quando l'avrai a disposizione. Tutte le modifiche verranno salvate.
 
  • Sicurezza End-to-End
    Non dovrai preoccuparti se il backup dei dati sia stato eseguito correttamente o meno. Ogni file viene controllato con SHA1 per garantire che ci sia esattamente lo stesso dato nel backup. Tutti i dati  sulla macchina vengono criptati con l'algoritmo AES 256 CBC prima di essere inviati alla destinazione di backup. Con l'algoritmo di criptazione AES 256 CBC ogni blocco successivo viene crittografato utilizzando i dati dell'elemento precedente. Quello stesso processo si verifica durante la decrittazione. E sì, il trasferimento è crittografato, inoltre, anche grazie al Protocollo SSL.
 
  • Autenticità e integrità
    Xopero verifica l'autenticità e integrità del dato quando si tratta del file originale. Verifica inoltre se l'integrità del dato è stata mantenuta al completamento del ripristino. 
 
  • Gestione centralizzata delle policy di backup
    Insieme alle funzionalità di protezione dei dati, ottieni una console di gestione centrale, che semplifica la gestione delle policy di backup. Con il suo aiuto, puoi gestire e monitorare in modo completo i backup eseguiti su tutti i dispositivi assegnati alla licenza, configurare le applicazioni client, le impostazioni, creare nuovi utenti, aggiungere nuovi host e gestire tutti i servizi di backup.
Diritto all'oblio e backup
Il diritto di "essere dimenticati", meglio inteso come "Diritto all'Oblio" è un nuovo diritto riconosciuto ad ogni cittadino dell’UE: prevede che i suoi dati personali vengano cancellati e non più processati da nessun soggetto. Per esempio, il tuo cliente potrebbe richiedere la cancellazione di tutti i suoi dati personali immagazzinati nel tuo server o applicazione. Se il backup è veramente in grado di fornire la sicurezza dei dati contro ogni possibile downtime – non deve essere modificabile. Allora come si relaziona al diritto di essere dimenticato?
 
Per soddisfare la compliance al GDPR, le aziende devono assicurare che i loro dati siano facilmente ripristinabili. Allo stesso tempo, il diritto di essere dimenticati richiede che dati particolari possano essere cancellati tramite richiesta. Una soluzione possibile è una configurazione appropriata delle impostazioni di conservazione e backup. In questo caso, la memorizzazione dei dati è relativamente breve: i dati sono sovrascritti ogni 72h.  
 - 05/18/2018
1+28129+28129[1]

Malware Nigelthorn: si diffonde via Facebook e false estensioni di Chrome per rubare le password degli account social

 Una tecnica truffaldina piuttosto in uso tra i cyber criminali consiste nell'attirare gli utenti dai social network a versioni sosia (ma false) di popolari siti web, nei quali poi una finestra popup avvisa della fantomatica "necessità di installare una particolare estensione di Chrome" per risolvere problemi di visualizzazione. Ovviamente non c'è alcuna estensione ad attendere l'utente, ma un bel malware. 
 
Questo tipo di truffe è sempre più frequente e, proprio ieri, ne è stata denunciata pubblicamente una, attualmente ancora in corso: questa campagna è attiva almeno da Marzo e pare aver infettato già 100.000 utenti in svariate parti del mondo. Il malware in diffusione è stato soprannominato Nigelthorn e si diffonde su Facebook, ad una velocità piuttosto preoccupante, tramite link ben costruiti secondo i canoni dell'ingegneria sociale: è programmato per infettare i sistemi delle vittime con estensioni browser dannose che rubano le credenziali degli account social, installano miner di criptovaluta e coinvolgono in "click fraud" ( si parla di click fraud quando una persona o un software automatizzato clicca sugli annunci sponsorizzati su un sito web con lo scopo di far spendere all’inserzionista senza un reale ritorno in termini di vendite).
 
Come viene diffuso il malware Nigelthorn?
 

Principalmente attraverso 7 diverse estensioni per il browser Chrome, tutte ospitate sul Web Store ufficiale di Chrome. I primi a individuarle sono stati i ricercatori di Radawre dopo che uno dei loro clienti (un brand mondiale del manifatturiero, non rivelato) ha subito la compromissione della rete aziendale. Stano al report di Radware gli attaccanti usando copie di estensioni legittime per Chrome, entro l quali iniettano un breve script dannoso offuscato così da poter superare "i controlli all'ingresso" di Chrome.

 
Per attirare gli utenti al download delle estensioni compromesse, gli attori dietro a Nigelthorn  diffondono link su Facebook verso siti falsi: sia per la diffusione dei link che per l'approntamento dei falsi siti web sono state usate tecniche di ingegneria sociale. Attualmente la catena di infezione è così composta:
 
  1. su Facebook vengono inviati link a falsi video;
  2. il clic sul link porta ad una pagina YouTube fake che mostra immediatamente il pop up con la richiesta di scaricare una estensione (quella dannosa ovviamente) per poter vedere il video;
  3. scaricata e installata, l'estensione eseguirà codice JavaScript dannoso rendendo nodo di una botnet il computer della vittima . 

 


Che cosa fa?
Il nuovo malware si concentra principalmente sul sottrarre le credenziali di Facebook e Instagram e raccogliere ulteriori dati dagli account compromessi. Queste informazioni vengono usate al fine di diffondere la stessa estensione ai profili amici, usando quelli compromessi come ulteriori basi di invio e diffusione della truffa: basta un solo amico che esegua il download dell'estensione compromessa e il processo ricomincia da capo. 
 

Oltre a ciò NigelThorn scarica un tool per il mining di criptovaluta browser-based, disponibile pubblicamente come plugin per attivare l'estrazione sui sistemi infetti di cirptovalute quali Monero, Bytecoin o Electroneum.

In ultimo, NigelThorn si rende automaticamente persistente sul sistema per impedire agli utenti di rimuovere le estensioni dannose: anzi, addirittura, le chiude automaticamente per impedirne la rimozione ogni volta che l'utente apre la scheda delle estensioni. Per mettersi ulteriormente al sicuro il malware mette in blacklist una serie di tool di pulizia offerti da Facebook e Google e impedisce agli utenti di eliminare o fare post, apportare modifiche e fare commenti. 

 
Ecco la lista delle sette estensioni dannose "masherate" da estensioni legittime: 
 
  • Nigelify
  • PwnerLike
  • Alt-j
  • Fix-case
  • Divinity 2 Original Sin: Wiki Skill Popup
  • Keeprivate
  • iHabno

 

Che fare?
Se ne avete anche una sola installata, rimuovetela immediatamente e cambiate la password di Facebook, Instagram e in tutti gli altri account social con la stessa password. 
 - 05/18/2018
1(1)(1)[1]

Google rende più facile la cancellazione dei dati personali

 Il GDPR è il nuovo Regolamento Europeo per la privacy: oltre a mettere l'acceleratore sulla sicurezza dei dati (per impedire sopratutto la fuga di dati personali/sensibili), concentra l'attenzione sui diritti dell'utente, stabilendo protocolli piuttosto precisi per quanto riguarda il consenso al trattamento dei dati e la revoca dello stesso. 
 
Ovviamente questo regolamento, che riguarda gli Stati Membri UE, comporta necessarie modifiche anche a famosi brand: non solo Facebook e Whatsapp, ma anhe Google si è dovuta adattare al nuovo GDPR. 
 
Cancella tutto (o quel che vuoi)
Google ha recentemente introdotto la possibilità di procedere all'eliminazione totale o parziale dei propri dati sia per quanto riguarda le ricerche online sia per le visualizzazioni dei video su Youtube. Tutte le informazioni archiviate sono visibili nella pagina "Le mie attività" (https://myactivity.google.com/) e sarà da qui possibile procedere all'eliminazione delle singole ricerche presenti nella timeline.


Basterà un clic cui tre puntini presenti in alto, nello "spazio" di ogni singola attività, quindi clic su "Elimina"). E' da questa sezione che sarà possibile accedere anche ad alcuni dettagli specifici, come i video visti nella medesima sessione di utilizzo. 

 
Disattiva la registrazione delle attività
Sarà anche possibile disattivare la registrazione di svariate attività, come quelle web, delle app, la cronologia delle posizioni, le ricerche vocali, la cronologia delle ricerche e le visualizzazioni su Youtube, le informazioni sul dispositivo in uso ecc...
 
La cancellazione dei dati dalle ricerche
Inoltre l'art.17 del GDPR prevede il cosiddetto "diritto all'oblio", principio per il quale

"L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”.

Sarà quindi non solo possibile chiedere a Google di rimuovere qualsiasi link o ricerca che rimandi a dati personali, ma sarà dovere di Google procedere celermente a soddisfare la richiesta. La legge infatti stabilisce, per quanto riguarda il titolare del trattamento dati che

“è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a informare i titolari del trattamento che trattano tali dati personali di cancellare qualsiasi link verso tali dati personali o copia o riproduzione di detti dati personali. Nel fare ciò, è opportuno che il titolare del trattamento adotti misure ragionevoli tenendo conto della tecnologia disponibile e dei mezzi a disposizione del titolare del trattamento, comprese misure tecniche, per informare della richiesta dell’interessato i titolari del trattamento che trattano i dati personali”
 - 05/18/2018
1+28129+28129[1]

L’exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo

 Il 12 Maggio cadeva il primo anniversario del più celebre attacco ransomware della storia, WannaCry. Un anno dopo, stando ai dati telemetrici provenienti da svariate fonti di ricerca, l'exploit che è stato alla base di questo epocale attacco è più popolare e diffuso che mai. 
 
Questo exploit, chiamato EternalBlue, è stato sviluppato dalla divisione cybernetica dell'Agenzia di Sicurezza Nazionale USA (NSA): faceva parte di una serie di tool che un gruppo di hacker, denominato The Shadow Broker, ha rubato dai server NSA nel 2016 e quindi rilasciato online dall'Agosto 2016 all'Aprile 2017. Nel Marzo del 2017 Microsoft pubblica il bollettino di sicurezza MS17-010, contenente le patch proprio per le vulnerabilità bersagliate da EternalBlue. Che cosa è successo dopo è ben documentato: EternalBlue è stato usato per creare un meccanismo di self-spreading (si si, come un worm) per diffondere prima il ransomware WannaCry, poi, poco dopo, il wiper NotPetya e il ransomware Bad Rabbit. L'impatto di EternalBlue è stato devastante: 8 miliardi di danni alle aziende, vittime in oltre 150 paesi solo durante l'attacco WannaCry, stando a IBM X-Force.
 
L'inizio... a rilento

La versione iniziale di EternalBlue non era affatto perfetta: funzionava solo su Windows 7 e Windows server 2008, inoltre andava in crash su Windows Xp. Nonostante questo EternalBlue ha causato molti danni durante l'attacco WannaCry, ma l'uso è presto declinato: dopo l'impressionante picco iniziale infatti le rilevazioni di EternalBlue in the wild si sono ridotte da svariate migliaia al giorno ad appena qualche centinaio di rilevamenti. Per alcuni ricercatori la diminuzione d'uso in realtà fu conseguenza del fatto che erano ben pochi gli attaccanti capaci di usarlo consapevolmente

 


Il cambio di passo...
La situazione è cambiata dopo gli attacchi WannaCry e NotPetya. Anzitutto EternalBlue è stato portato su ulteriori piattaforme: Windows 8 e Server 2012, infine anche su Windows 10. Ciò ha ampliato notevolmente la capacità di questo exploit di infettare più vittime e l'ha quindi reso una "merce" molto desiderata dai cyber attaccanti: infatti in pochissimo tempo EternalBlue si è legato alla diffusione di banali operazioni di mining di criptovaluta oppure è stato aggiunto all'arsenale di cyber spionaggio di vari Stati.
EternalBlue vive solo grazie ai sistemi non patchatiEternalBlue oggi viene impiegato molto meno spesso nella diffusione di ransomware, ma a tutt'oggi resta uno delle peggiori minacce: la cosa dipende non soltanto dal fatto che i cyber criminali continuano ad armarlo per una serie diversificata di operazioni, ma sopratutto dal fatto che, nonostante la patch già rilasciata da Microsoft, i sistemi vulnerabili sono ancora un numero impressionante.

 

Fonte: bleepingcomputer.com
Un anno dopo WannaCry ci sono ancora oltre 1 milione di Sistemi Windows col servizio SMB esposto online. 
In sunto, per EternalBlue, nonostante tutto, ci sono ancora praterie lasciate libere dalla scarsa attenzione e/o dalla noncuranza degli utenti stessi. Il vero crollo di EternalBlue, chissà magari poi la dismissione, arriverà quando la maggior parte dei sistemi operativi saranno stati aggiornati e la vulnerabilità del Protocollo SMB che ne è alla base tendenzialmente cancellata. Microsoft ne è consapevole, infatti ha reagito pubblicando versioni dei sistemi operativi Windows col protocollo SMBv1 già disabilitato.
 
Kryptos Logic, la società dietro al sinkhole che ha bloccato la diffusione di WannaCry, ha confermato gli stessi dettagli qualche settimana fa: ha sottolineato cioè che le infezioni residue di WannaCry utilizzano ancora EternalBlue per infettare nuove vittime. Ci sono ancora milioni di dispositivi infatti che scansionano Internet in cerca di sistemi vulnerabilità per inefttarli con WannaCry via EternalBlue. Il sinkhole impedisce a WannaCry di criptare i dati ma l'exploit EterlanBlue usato per il meccanismo di self-spreading funziona bene ancora oggi. 
 

 

Inutile ribadire quanto sia importante applicare la patch contenuta nel bollettino di sicurezza MS17-010
 - 05/18/2018
1+28129[1]

Individuato il primo ransomware che usa il Doppelganging per ingannare i sistemi di sicurezza

I ricercatori di sicurezza hanno individuato una particolarissima versione del ransomware SynAck: una versione che introduce, per la prima volta nella storia dei ransomware, l'uso del Doppleganging per ingannare i sistemi di sicurezza. Stiamo parlando di una nuova tecnica di elusione fileless di iniezione di codice, che aiuta il malware e evitare l'individuazione. 
 
Il ransomware SynAck è un ransomware noto dall'Autunno del 2017, ma il picco di infezioni si è avuto in Dicembre, con una sequenza massiva di attacchi contro l'RDP: fin dalla sua comparsa è stato comunque caratterizzato  dall'uso di complesse tecniche di offuscamento per impedire ogni forma di ingegneria inversa. Nei mesi successivi la diffusione si è quasi interrotta, fino a quando è stata messa in distribuzione la nuova versione, appunto qualche giorno fa. Non è però chiaro come si diffonda questa versione, se via email di spam, siti web dannosi o app di terze parti.   
 
Il Process Doppelganging in breve
Il Process Doppelganging sfrutta una funzione integrata di Windows e una implementazione non documentata del process loader di Windows: funziona in tutte le più recenti versioni di Windows a partire a Windows Vista fino a Windows 10 compreso. Questo attacco sfrutta le transazioni NTFS per lanciare processi dannosi sostituendo nella memoria i processi di sistema legittimi: l'NTFS Transaction è una funzione di Windows che introduce il concetto di transazione atomica (indivisibile, cioè dove nessuna altra operazione può cominciare senza che sia prima terminata quella precedente)

nel file system NTFS, consentendo la creazione di file e cartelle, la modifica e la rinomina, l'eliminazione di file e cartelle appunto, in maniera atomica. L'NTFS Transaction è uno spazio isolato che consente agli sviluppatori di app per Windows di scrivere routine di file-output per le quali è sicuro o esito positivo completo o esito negativo completo. Nel dettaglio quindi il Doppelganging processa un eseguibile legittimo nelle transazioni NTFS quindi lo sovrascrive con un file dannoso. Questo meccanismo consente di ingannare gli strumenti di individuazione e gli antivirus, che "scambiano" così i processi dannosi come processi legittimi. Manipolando il modo stesso in cui Windows gestisce i passaggi dei file, gli attaccanti possono far passare azioni malevole come processi innocui anche se utilizzano codice dannoso conosciuto.

Altro vantaggio di questa tecnica è che non lascia tracce evidenti: ulteriore difficoltà per gli strumenti di rilevazione. Inutile dire che, una volta divenuti pubblici i dettagli di questo attacco, moltissimi attaccanti hanno iniziato a sfruttarlo nel tentativo di bypassare gli strumenti di sicurezza.

 
Il ransomware Synack
Synack attualmente colpisce sopratutto utenti negli Stati Uniti, in Kuwait, in Germania e in Iran. E' programmato per non colpire utenti provenienti da Russia, Ucraina, Bielorussia, Georgia, Kazakhistan, Uzbekistan, Armenia. SynAck, per individuare la provenienza dell'utente, confronta il layout della tastiera installata sul computer della vittima con una lista contenuta nel codice stesso del malware: quando (e se) viene individuata una corrispondenza, il ransomware si sospende per 30 secondi quindi richiama l'ExitProcesso per non avviare la criptazione dei file.


Oltre a ciò SynAck cerca di evitare di finire analizzato in qualche sandbox verificando la cartella da dove viene eseguito: se riscontra un tentativo di lancio dell'eseguibile dannoso da una cartella "sbagliata", SynAck si interrompe e si auto termina. 
 
Come cripta i file
SynAck, come tutti i ransomware, cripta i file che trova presenti sul computer: utilizza, per la criptazione, l'algoritmo AES-256-ECB. Non ha una estensione specifica che possa aiutare a individuarlo: quando cripta un fle infatti ne modifica l'estensione sostituendola con 10 caratteri alfanumerici. Terminata la criptazione rilascia la nota di riscatto con le istruzioni per contattare gli attaccanti per pagare il riscatto. 
 
La nota di riscatto
La nota di riscatto si chiama "==READ==THIS==PLEASE==[8-caratteri random-ID].txt" e non contiene alcuna indicazione rispetto all'entità del riscatto. 
 

 

 
La nota di riscatto viene mostrata, cosa molto rara, anche nella schermata di login: questo avviene perchè SynAck modifica le chiavi LegalNoticeCaption e LegalNoticeText nel registro. Inoltre ripulisce i log degli eventi per impedire analisi forensi sulla macchina infetta. 
 
 

 


Non è attualmente risolvibile gratuitamente. 
 - 05/18/2018
1+28129[1]

Ufficializzato il Cert-EU (Computer Emergency Response Team)

Europa sempre più attenta alla sicurezza informatica: ufficializzato il Cert-EU (Computer Emergency Response Team)

 
L'Unione Europea attraversa ormai da qualche tempo una fase piuttosto travagliata per quanto riguarda la sicurezza informatica e la privacy dei dati. Il "caso Facebook" ha riguardato anche moltissimi utenti europei, così come l'attacco ransomware WannaCry: esempi che dimostrano seccamente l'importanza dell'analisi preventiva delle minacce informatiche e che sicuramente hanno avuto un ruolo fondamentale nel (lungo) percorso che è servito per far considerare la sicurezza informatica un asset critico per tutto il continente. 
 
Già nel "lontano" 2010, nell'Agenda Digitale Europea, l'Unione Europea sottolineava la necessità di un sistema di difesa informatica comune, rinforzato e efficiente, ma anche di team di difesa nazionali per ogni singolo Stato Membro. Venne quindi richiesto l'aiuto di quattro esperti di cyber sicurezza, conosciuti come “Rat der IT Weisen” -comitato di saggi dell'informatica: stilarono un rapporto dettagliato su come istruire e organizzare un team d'emergenza e pronto interventi di contrasto delle minacce informatiche. Il gruppo concluse il proprio lavoro nel Novembre 2010: l'11 Settembre 2012 nasce il Cert-Eu. 

Qualche giorno fa il direttore generale della DG Innovazione e supporto tecnologico dell'Eurocamera, Giancarlo Vilella, ha dichiarato l'ufficializzazione, da parte del Parlamento europeo, della figura del Cybersecurity Officer e del Cert-Eu in quanto comitato inter istituzionale di risposta rapida alle minacce informatiche, definendolo "un cambio di passo importante per la sicurezza informatica della Comunità Europea perchè ci rafforza molto nella lotta contro il cyber crimine e la criminalità politica nel settore delle tecnologie informatiche"
 
"Collaboriamo per verificare quali sono i pericoli esistenti ed effettuare un monitoraggio permanente di ciò che accade nel resto del mondo per anticipare quello che potrebbe succedere in Europa" continua Vilella, che è anche membro del comitato di direzione del Cert-Eu.

 
Sito web del Cert Nazionale Italiano--> https://www.certnazionale.it/
Sito web del Cert Europeo --> https://cert.europa.eu/
 
Gli sforzi in difesa della privacy e dei dati contenuti nel GDPR, il Regolamento Europeo per la Privacy, la volontà di creare un livello di difesa informatica sia nazionale sia a livello di UE sono assolutamente apprezzabili e sicuramente uno strumento in più nella guerra senza tregua contro il cyber crimine: ciò non toglie che l'azione del singolo individuo, sia nell'ambito aziendale che in quello privato, rimanga a tutt'oggi la catena debole di qualsiasi sistema di protezione informatica. 
 - 05/10/2018
facebook-3368457_1280[1]

Sicurezza web: Il nuovo sistema anti phishing di Facebook

La protezione anti-phishing offerta da Seqrite è appositamente pensata non solo per individuare le email di spam e phishing, ma anche i siti web che sono finalizzati, tramite form fasulli, a indurre gli utenti a inserire credenziali che poi finiscono direttamente nelle mani di cyber criminali.
 
Piattaforme social come Facebook  giocano comunque un ruolo assai importante nella sicurezza e nella prevenzione degli attacchi phishing tramite siti web dannosi, essendo per definizione un "contenitore di contenuti" di ogni tipo e genere. Dalle parti di Facebook sanno che il phishing è un tipo di attacco informatico che continua ad occupare un ruolo di primo piano, anche perché i cyber criminali stanno dimostrando, tocca ammetterlo, grande creatività nel produrre strumenti e inventare sempre nuove truffe di ingegneria sociale. 
 
L'aggiornamento del servizio anti phishing
Facebook ha annunciato proprio in questi giorni l'aggiornamento del servizio di Monitoraggio della trasparenza dei certificati, una piattaforma che Facebook mette a disposizione per gli sviluppatori e che consente di individuare quei siti che potenzialmente sono usati per portare attacchi di phishing. Il servizio, in pratica, esegue una scansione dei nuovi certificati emessi,allo scopo di individuare siti web che hanno il nome simile, troppo simile a siti legittimi (ad esempio www.quickheal.it, mentre il sito legittimo per l'Italia è www.quick-heal.it): lo scopo è chiaro, ingannare le vittime inducendole a inserire dati sensibili su siti web che imitino in tutto (dalla grafica agli indirizzi URL) quelli originali. 

 
La nuova funzione avvisa subito (anche con un alert via email, se richiesto) i proprietari legittimi dei vari siti web quando compare un sito "clone", di modo da consentire al proprietario del sito web clonato di poter agire per tempo in propria tutela e di quella dei propri utenti. Ad esempio contattando l'ente che ha emesso il certificato del sito sospetto o chiedendo agli sviluppatori di un browser di inserire il sito in black list. 
 
Tutela dai siti omografici
La nuova funzione si pone anche il problema di bloccare i cosiddetti attacchi omografici: è un attacco molto subdolo, che si basa sull'idea di utilizzare caratteri che a prima vista paiono comuni, in uso quotidianamente, ma che in realtà i computer considerano, interpretano diversamente. Tutto dipende da Unicode, il sistema di codifica che consente di utilizzare caratteri di varie lingue e il cui uso è consentito per la registrazione di domini Internet. Il problema si pone però perché, nei vari alfabeti, esistono caratteri graficamente identici, ma che corrispondono in realtà a lettere differenti. Si capisce come l'equivoco sia sfruttabile per mettere online un siti di phishing che il visitatore on potrebbe distinguere dall'originale neppure controllando l'indirizzo: ecco l'attacco omografico.
 
Foto 1: sito di phishing visualizzato con conversione
 
 
Foto 2: siti di phishing visualizzato senza conversione. Sembrerà incredibile, ma stiamo parlando dello stesso sito. 

Il servizio anti-phishing di Facebook riconosce anche i domini che usano caratteri stranieri attraverso Unicode, riuscendo quindi a "leggere" l'indirizzo reale e individuare quindi eventuali attacchi omografici. Lo strumento Anti-Phishing di Facebook non elimina il problema, ma è uno strumento sicuramente utile, per gli utenti e per i possessori di siti web legittimi. 
 - 05/10/2018
1+28129[1]

Ancora Miner: nuova campagna colpisce i web server con un ampio assortimento di Exploit

E' in corso una nuova ondata di exploit per la diffusione di malware per il mining di criptovaluta che colpisce i server nel web e usa una molteplicità di exploit per aumentare le proprie possibilità di ottenere l'accesso a sistemi vulnerabili e non aggiornati: installa così un miner di Monero. 
 
La campagna, ribattezzata dai ricercatori di AlienVault MassMiner, usa exploit contro tre diverse vulnerabilità: la CVE-2017-10271 (Oracle WebLogic), la CVE-2017-0143 (SMB Windows) e la CVE-2017-5638 (Apache Struts). 
 
Exploit VIP
 

La crew di MassMiner non usa exploit a caso, ma quelli che potremmo definire gli attuali "VIP degli exploit": sono tutti ben conosciuti ma,sopratutto, molto efficaci. 

 
1. La CVE-2017-10271 (patch al link) è una vulnerabilità duramente bersagliata lo scorso anno. Ha concesso ad una delle crew che la sfruttava di racimolare oltre 226.000 dollari da operazioni segrete di mining. Questa vulnerabilità è ancora largamente presente nei web server, infatti risulta, a tutt'oggi, una delle falle più sotto attacco. 
 
2. La CVE-2017-0143 (patch al link) è famosissima, forse però meglio conosciuta col nome di EternalBlue: stiamo parlando dell'exploit sviluppato dall'Agenzia di Sicurezza Nazionale (NSA) degli Stati Uniti e sottratta al loro controllo dal gruppo The Shadow Brokers (ne abbiamo parlato abbondantemente qui e qui). E' stata usata per la diffusione di una quantità notevole di malware, ma è passata alla storia per le operazioni riguardanti il ransomware WannaCry e il disk wiper NotPetya. Per l'attacco Mass Miner, AlienVault afferma che gli attaccanti usano EternalBlue per installare sull'host vulnerabile la backdoor DoublePulsar. 
 
3. Last, but not least, la CVE-2017-5638, anche questa divenuta famosa per un attacco "di un certo calibro": il data breach di epocali dimensioni di Equifax, una delle più grandi agenzie di valutazione del credito al mondo. 
 
Inoltre gli attaccanti stanno sfruttando anche SQLck, un tool per eseguire attacchi di brute force contro i database Microsoft SQL: database i quali, se compromessi, sono usati dagli attaccanti come punto intermedio di lancio di script SQL e per installare un miner di criptovaluta in locale. 
 
La catena d'infezione
L'intera catena di infezione è stata descritta dal ricercatore Chris Doman, che ha fornito una illustrazione grafica della stessa. 
 
Fonte: AlienVault
Si suppone, così hanno affermato molti ricercatori, che la campagna MassMiner possa essere collegata aSmominru, una botnet che ha infettato oltre 560.000 macchine Windows allo scopo specifico di eseguire mining di criptovaluta nascosto: calcoli approssimativi indicano che Smominru abbia fruttato ai suoi creatori oltre 2,3 milioni di dollari. 
 
MassMiner non è da sola...
MassMiner non è infatti né la prima (né l'ultima) campagna di diffusione di miner di criptovaluta che inizia con una combinazione di exploit per aumentare le possibilità di avere successo e infettare il numero maggiore possibile di utenti, grazie al fatto che, se anche non funzionasse un exploit (magari perchè la vittima ha applicato la patch) ha comunque altre chance a disposizione. Un'altra famosa campagna di questo tipo è stata la ReddisWannaMine che colpiva Redis, Apache Solr e Windows Server. 
 
PyroMine invece è stata individuata solo la scorsa settimana e usa ben due exploit sottratti all'NSA, EternalBlue e EternalRomance, per infettare server Windows vulnerabili.
 - 05/10/2018
1+28129[1]

Come i malware provano a ingannare gli antivirus: le tecniche di evasione

Malware in crescita...
Il rapporto Clusit 2018 (relativo al 2017 ovviamente) segnala che i malware in diffusione sono cresciuti del 95% rispetto al 2016, anno nel quale la crescita rispetto al 2015 arrivò al +116%. Sono aumentate anche del 7% circa le tecniche APT (Advanced Persistent Threat) e Multiple Tecnhiques, ritenute le forme di minaccia più sofisticate. 

In questo contesto spicca il fatto che è ormai prassi abbastanza consolidata tra gli sviluppatori di malware quella di introdurre modifiche e aggiustamenti al codice del malware stesso affinchè possa passare inosservato agli strumenti di rilevazione previsti dagli antivirus. Vediamo le tecniche base di elusione. E'interessante conoscere le tecniche di attacco e anche vedere un pò come si sono evolute: sarà utile a farci capire quanto sia importante una solida soluzione antivirus che offra protezione multi-livello, ma servirà anche a ribadire quanto sia sempre l'utente il fulcro della difesa, l'anello debole. 
 
Distribuzione delle tecniche di attacco

Una immagine tratta dal rapporto Clusit, utile a dimostrate che i Malware sono sicuramente la minaccia più diffusa, ma non la sola minaccia.


Tecniche di evasione degli antivirus
Ne elencheremo alcune, utilizzate nel corso degli ultimi anni, sopratutto usate per evadere la protezione antimalware.
 
1. Splitters e Binders
Gli Splitters sono programmi che consentono di "spezzettare" un file dannoso in più parti, così da renderne assai più complicata l'individuazione. Ha un contro: l'attaccante deve "trascinare" sulla macchina bersaglio lo stesso programma col quale ha spezzettato il file dannoso, perchè possa ricomporlo e infettare davvero la vittima. 
 
Binders uniscono due eseguibili in un solo file: eseguire il primo avvierà in background il secondo. Di solito viene generato un nuovo file: questo conterrà alla fine il codice malevolo, le cui dimensioni in termini di byte saranno pari alla somma di entrambi i file. L'antivirus quindi penserà di trovarsi di fronte ad un file innocuo, dato che la firma che legge non è affatto quella del file dannoso: in sunto l'antivirus non si attiverà. Simili ai Binders sono i Packers: consentono di unire un file malevolo ad uno innocuo, come i binders, rendendo difficile l'individuazione tramite firma come spiegato poco sopra. 
 
2. Offuscamento del codice
Sono le tecniche di evasione più recenti e sono di vario tipo. I principali sono due:
 
  • Polimorfismo: è un virus che si crittografa da solo cambiando la propria firma, quindi è difficilissimo da individuare.
  • Metaformismo del codice: in questo caso il codice viene criptato e nel file finale viene incorporato anche la funzione per la decriptazione del codice, necessaria per poterlo eseguire. Il codice viene manipolato anche per impedirne il debugging e il disassemblaggio: aumentano così le possibilità di non essere individuato, ma questa tecnica rende anche difficile agli esperti di sicurezza il poter procedere ad analisi.

 

3. Malware file-less
Sono malware che non necessitano di trasferire nella memoria locale i file di cui abbisognano per funzionare. Il codice dannoso viene infatti inserito direttamente nella RAM o nel Registro di sistema, ma anche a livello di terminale Windows come PowerShell: in sunto sono malware capaci di sfruttare le vulnerabilità di un sistema senza scrivere alcun file sul disco rigido locale. Questo rende assai difficile l'individuazione per gli antivirus, a meno che non siano dotati di un modulo di individuazione comportamentale. Per un ulteriore approfondimento, vedi qui
 
4. Malware con firma digitale rubata
La tecnica base di individuazione di un antivirus si basa sulla lettura della firma digitale di un file. I certificati digitali sono rilasciati da autorità di certificazione riconosciute: quando un software antivirus analizza programmi con tali firme, li considera immediatamente attendibili, quindi non mette in campo alcuna contromisura. Da qualche anno questo meccanismo è alla base di un fiorente mercato, nel dark web, di certificati digitali legittimi rubati, acquistati da cyber attaccanti che apponendo tali certificati ai proprio malware sono sicuri di bypassare la quasi totalità degli antivirus. Meno efficace, ma talvolta forirero di successo, è invece l'uso di certificati comrpomessi, meno costosi e più facilmente rintracciabili di quelli legittimi.
 - 05/10/2018
1+28129[1]

GandCrab saga: in distribuzione la terza versione del ransomware

E' stata individuata la versione 3 del ransomware GandCrab, in diffusione dal 4 Maggio circa. Non si registrano significativi cambiamenti, a parte l'introduzione dell'immagine di sfondo del desktop per la richiesta di riscatto. Attualmente il ransomware non è risolvibile gratuitamente. 
 
Come si diffonde...
Secondo gli esperti questa variante viene diffusa attraverso l'exploit kit Magnitude, esattamente come per la variante 2. 

Fonte: EKFiddler Twitter Account
Altri ricercatori però hanno individuato copie della variante 3 in distribuzione tramite email di spam: queste email di spam hanno oggetti come ""Order #88546" e contengono allegati con un downloader VBS responsabile appunto dell'installazione di GandCrab v3. 
 
Fonte: Fortinet

I cambiamenti nella V.3
Il cambiamento più evidente di questa versione è la modifica del testo della richiesta di riscatto e l'introduzione di uno sfondo desktop (piuttosto scadente tra l'altro). La nota di riscatto si chiama ancora CRAB-DECRYPT.txt (vedi sotto):
 
Con questa versione poi, a infezione compiuta, il ransomware sostituisce lo sfondo del desktop con uno a bassa risoluzione che invita a leggere la nota di riscatto per capire la situazione e prendere contatto con gli attaccanti per comprare il tool di decriptazione. L'immagine di sfondo è visibile sotto:
 

Infine, ultima novità, questa versione introduce il dominio carder.bit come server con cui comunica il ransomware.

Il "bug" di GandCrab su Windows 7
Come nella versione precedente, anche questa versione introduce la chiave di registro per l'autorun, accorgimento che consente al ransomware di auto avviarsi ogni volta che l'utente esegue il login. Quando GandCrab viene installato, cripta i file presenti sul computer, imposta l'immagine di sfondo, quindi riavvia automaticamente il PC. Per gli utenti Windows 7 c'è qualche problema: l'autorun causa l'esecuzione del browser e l'apertura del sito web TOR, ma non viene visualizzato il desktop. E' probabilmente un bug di programmazione del ransomware, ma, paradossalmente, può "tornare utile" agli attaccanti per riscuotere il riscatto, dato che potrebbe causare ulteriore panico e maggiori pagamenti di riscatto. 
 - 05/10/2018
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy