Pillole sicurezza ACINF

PILLOLE SICUREZZA

COSA SONO

Alcune brevi pillole che trattano temi inerenti la sicurezza informatica, utili in azienda e nella vita quotidiana.

INFO

Qui troverai ,delle informazioni sulla sicurezza Informatica e sui pericoli che ci sono su Internet.

Troverai molti consigli su come “difenderti” dalle insidie di Internet e come impostare o comportarti in caso di pericoli.

L'AUTENTICAZIONE IN DUE FASI

E' un metodo più sicuro per proteggere l'accesso ai nostri account Come funziona un 'autenticazione a due passaggi? Da tempo ci si è accorti che la password da sola non può essere considerata come uno strumento completo per la sicurezza. Per questo esistono diversi metodi alternativi di autenticazione, e tra questi uno dei più sicuri è l'autenticazione in due passaggi. Il primo passo consiste sempre nell'inserimento di una coppia di informazioni (identificativo utente e password) Il secondo prevede una terza password " usa e getta" che può essere veicolata via SMS o generata con un 'applicazione per smartphone. Questo metodo non esclude in maniera definitiva il furto di credenziali ma ne diminuisce significativamente le possibilità.

ALCUNI ESEMPI

Su Gmail ad esempio, andare in “Gestisci il tuo account”, cliccare su Sicurezza e sotto la voce Verifica a due passaggi selezionare la voce “Attiva”

Su Facebook, andare nelle Impostazioni, nella freccetta in alto a destra, scegliere“Protezione e Accesso” e poi fare click su “Modifica” nel menù Autenticazione a due fattori.

L'autenticazione è consigliata per gli account di servizi aziendali e sugli indirizzi di posta elettronica. E ovviamente per i siti di e-commerce, o quelli dove abbiamo lasciato i dati del nostro conto

WHATSAPP E L'ULTIMA TRUFFA: "VUOI TESTARE LA NUOVA APP?"

Vuoi testare WhatsApp?". L'ultima truffa legata all'app di messaggistica mette in pericolo gli aspiranti collaudatori

E' il profilo @Wabetainfo, autentico vademecum, a fornire indicazioni e a mettere in guardia le potenziali vittime.

In sostanza, bisogna guardarsi bene da eventuali 'inviti' a collaudare le novità di WhatsApp e ad entrare nel programma Beta Tester dopo il pagamento di una somma "Se qualcuno dice che c'è posto per entrare nel programma e usa un invito TestFlight chiedendo soldi, non fidatevi.

E' una truffa. Il programma Beta è chiuso da 281 giorni.

GESTORE DELLE PASSWORD

Usa un gestore delle password Si tratta di un software pensato per memorizzare in modo organizzato le credenziali dei differenti servizi di cui si fruisce. Alcuni dispongono di funzionalità di riempimento automatico delle credenziali per i differenti servizi. Software di questo tipo sono disponibili per tutte le tipologie di sistema operativo e per ogni tipologia di smartphone

SOFTWARE PIU' NOTI

Dashlane: offre la condivisione sicura di file, valutazioni complete sulla sicurezza online e avvisi personalizzati che aiutano a conoscere i rischi di sicurezza non appena si presentano.

Keeper: protegge le password con una solida crittografia, fornendo molteplici metodi di autenticazione a due fattori

LastPass: robusta crittografia e interfaccia user-friendly che include un generatore di nome utente e password, oltre all’archiviazione sicura dei dati relativi a carte di credito e assicurazioni

iPassword: crittografia end-to-end, interfaccia a prova di principiante ed esclusiva tecnologia WebCrypto per garantire la riservatezza delle tue password

RoboForm: acquisizione automatica e memorizzazione delle password direttamente in cartelle organizzate, che facilita l’individuazione di quel che cerchi.

KeePass: gestore delle password open source. Interfaccia spartana ma con molteplici funzionalità e supporto a plugin esterni.

TRUFFE VIA MAIL

Attenzione alle truffe di tipo Business Email Compromise (BEC)

Se arriva una mail aziendale che richieda operazioni sensibili (effettuare pagamenti, creare utenze, ecc..) occorre essere sospettosi.

Quando si clicca un link su una mail occorre eseguire alcune verifiche.

I truffatori sono soliti rinominare il link Ad esempio, se all’interno della mail troviamo l’indirizzo https://www poste it e, una volta cliccato si apre un sito con indirizzo https://www.poste.it.12377hg.mascor.ru vuol dire che siamo in presenza di un tentativo di frode. Solitamente, questi tipi di siti generano delle segnalazioni di sicurezza dal browser perché il certificato SSL è autogenerato Altre volte, purtroppo, ciò non avviene perché oggi è diventato più facile ottenere un certificato valido gratuitamente (https://letsencrypt.org/).

Esistono alcune strategie applicabili. La prima è quella di verificare che il link presente nell’email e quello del sito effettivamente aperto coincidano.

Altro trucco che si può utilizzare in fase di inserimento delle credenziali (se non siamo sicuri che il sito sia attendibile), è quello di inserire credenziali volutamente errate

Se il sito non è quello ufficiale, non sarà in grado di accorgersene e vi farà credere di aver correttamente effettuato l’accesso In tal caso, chiudete immediatamente la pagina E’ un tentativo di phishing!

TRUFFE E CORONAVIRUS

Dalle email con malware, alle donazioni false, queste sono solo alcune delle più comuni truffe a cui dovremmo prestare attenzione durante questa pandemia. Lo scoppio della malattia di Coronavirus ha causato apprensione a livello globale, causando blocchi, divieti di viaggio, acquisti dettati dal panico e turbolenze sui mercati finanziari.

Anche i truffatori lo hanno notato. Le emergenze infatti offrono agli artisti della truffa opportunità d’oro per lanciare campagne fraudolente Come principale fonte di informazioni sull'epidemia, l’Organizzazione mondiale della sanità (OMS) è tra le autorità più impersonate nelle campagne di truffa in corso I truffatori fingono di offrire informazioni importanti sul virus nel tentativo di convincere le potenziali vittime a fare clic su collegamenti dannosi che possono installare malware, rubare informazioni personali o tentare di acquisire credenziali di accesso e password.

L’OMS fornisce consigli sul proprio sito Web su come comunica:: “Assicurati che il mittente abbia un indirizzo email come ” person@who.int “ . Se c’è qualcosa di diverso da “who.int” dopo il simbolo “@”, questo mittente non proviene dall’OMS. L’OMS non invia email da indirizzi che terminano con “@ who com ” , “@ who org ” o “@ who-safety org ” Google Trends mostra che i volumi di ricerca per termini come ”disinfettante per le mani” e “maschere per il viso” stanno raggiungendo livelli senza precedenti

CONSIGLI UTILI

Evitare di fare clic su qualsiasi collegamento o di scaricare eventuali allegati in e-mail o testi non richiesti da fonti sconosciute o anche in fonti attendibili a meno che non si sia assolutamente sicuri che il messaggio sia autentico. Fare particolare attenzione alle email che aumentano il senso di allarme e incoraggiano ad agire immediatamente o offrire vaccini o cure COVID-19.

AUTENTICAZIONE

TIFATTORE

dei casi, le violazioni di sistemi informatici vocate dal furto di password o dall’uso di ali “deboli” La soluzione è quella di nare i sistemi di autenticazione basati su e e password per passare al multi-fattore.

Per il momento la sua implementazione si basa ancora su due elementi che possiamo definire “volontaristici”: la predisposizione di un sistema da parte di chi eroga i servizi o gestisce le infrastrutture da una parte, l’adesione degli utenti dall’altra

La mancanza di strumenti standard per l’autenticazione a più fattori, limita la scelta al classico sistema di verifica tramite l’invio di un codice via SMS, certamente più sicuro dell’uso della password ma troppo macchinoso per diventare una procedura quotidiana.

La soluzione migliore è quella di abbandonare le tecnologie software per passare a sistemi gestiti direttamente a livello hardware Una filosofia sposata con grande convinzione da Intel, che ha introdotto nella sua piattaforma Intel vPro una serie di soluzioni di autenticazione multi-fattore che offrono una serie di vantaggi in grado di cambiare le carte in tavola.

La soluzione mette a disposizione diversi strumenti di autenticazione alternativi: dal riconoscimento facciale alla lettura dell’impronta digitale, (sistemi biometrici) passando per l’interazione con dispositivi mobile (tramite collegamento Bluetooth) e la verifica “logica” della posizione

I VANTAGGI DEI SISTEMI BIOMETRICI

ESi tratta di tecniche che uniscono un elevato livello di sicurezza alla facilità d’uso indispensabile per l’utilizzo quotidiano in ambito aziendale. Sotto il profilo della sicurezza, si tratta di strumenti che non possono essere utilizzati in remoto Un eventuale intruso, anche se dovesse trovare un metodo per aggirarne i controlli, dovrebbe garantirsi l’accesso fisico al terminale

SMART HOME

smart home stanno diventando sempre più uni; i prodotti di domotica sono sempre più alla ata di tutti e di quasi tutte le tasche.

rgono però anche nuove minacce che mettono a ntaglio la sicurezza degli utenti. Un dipendente di persky ha invitato i ricercatori dell’azienda a minare il sistema smart implementando nella ria abitazione conceden

do ai ricercatori l’accesso al controller della sua smart home. È stato scelto il controller perché è in grado di collegare e supervisionare tutte le operazioni dell’intera smart home e, in caso di compromissione, consentirebbe ad un criminale informatico di penetrare nell'intero ecosistema domestico ed effettuare qualsiasi tipo di operazione, dallo spionaggio al furto fino al sabotaggio fisico

La fase iniziale ha portato gli esperti a identificare i vari vettori potenziali di attacco ovvero il protocollo di comunicazione wireless Z-Wave ampiamente utilizzato per la domotica, l’interfaccia web del pannello di amministrazione e l’infrastruttura cloud che si è rivelata il vettore di attacco più efficace rilevando una vulnerabilità nel processo di autorizzazione e la possibilità di esecuzione del codice a distanza.

Combinati tra loro, questi vettori permetterebbero a terzi di accedere a tutti i backup caricati sul cloud da tutti i Fibaro Home Center Lite e di caricare, sempre sul cloud, backup infetti e, in seguito, di scaricarli su uno specifico controller, pur non avendo diritti di amministrazione sul sistema Gli esperti di Kaspersky hanno effettuato un test di attacco sul controller preparando uno specifico backup con uno script protetto da password e sviluppato separatamente. Successivamente, tramite cloud, hanno inviato un ’email e un SMS al dispositivo del proprietario, invitandolo ad aggiornare il firmware del controller. Come richiesto, la “vittima” ha accettato e scaricato il backup infetto. Questo ha permesso ai ricercatori di ottenere i diritti di amministratore sullo smart home controller, consentendo loro di manipolare l’ecosistema connesso In questo modo che i cybercriminali hanno ottenuto l’accesso allo smart hub e a tutti i dispositivi che esso gestiva

ZOOM

ware di videoconferenza è al centro delle he sulla possibilità che la stessa azienda con a San Jose rastrellasse informazioni sensibili erso la sua piattaforma, addirittura usando le zioni delle videoconferenze. Tutto questo atamente si è dimostrato infondato. Le ioni di utilizzo di Zoom prevedono che non sia a alcuna informazione

dai dati trasmessi e ricevuti nelle conversazioni. Qualche polemica è sorta invece riguardo alla possibilità che alcune connessioni passassero per i datacenter situati in Cina Dal 18 aprile, l’azienda permetterà ai suoi utenti con licenza a pagamento di impostare il routing dei dati in modo da avere la certezza di evitare “passaggi a rischio” come quelli attraverso i datacenter cinesi

Zoom, è bene ricordarlo, non utilizza un sistema di crittografia end to end, ma una “semplice” crittografia TLS come quella usata da tutte le connessioni su protocollo HTTPS. La preoccupazione per un ’eventuale intercettazione, quindi, non completamente infondata e rende il suo utilizzo sconsigliabile per comunicazioni particolarmente riservate.

Tra gli allarmi circolati in questi giorni, c’è anche quello che vedrebbe un massiccio attacco hacker che avrebbe portato al furto di 500 000 credenziali di utenti Zoom che sono finite in vendita sul Dark Web

IL VERO ALLARME

vero allarme, però, è arrivato con la notizia riportata da Motherboard riguardante la disponibilità di un exploit zero-day che sfrutterebbe una vulnerabilità critica del client per Windows Il bug, di cui non si conoscono i dettagli tecnici, consentirebbe di avviare l’esecuzione di codice in remoto Tradotto: permetterebbe di usare Zoom come vettore per un attacco malware.

Il suggerimento, per il momento, è quello di eseguire regolarmente gli aggiornamenti di Zoom per avere la certezza di utilizzare la versione più sicura del software.

L'INFOTAINMENT DELLE AUTO

quanto pare per un hacker è possibile collegarsi a ualsiasi tecnologia connessa in wi-fi o bluetooth e ubare qualsiasi cosa sia custodita all’interno delle memorie o a quelle degli accessori collegati. Inghilterra sono state trovate due auto il cui stema infotainment di “tecnologia connessa ”

avrebbe dei lati deboli e sono la Ford Focus e la Volkswagen Polo Stando a quanto riporta dettagliatamente il magazine Which? alcuni hacker si sarebbero collegati a questi sistemi informatici per la navigazione e avrebbero rubato dati personali e sensibili dal telefonino collegato all’apparato. Ma in teoria possono anche appropriarsi dei contenuti fotografici, clonare gli account social, inviare informazioni sbagliate al sistema di navigazione o spedire attraverso di esso messaggi phishing a utenti eventualmente collegati. Una cosa del tutto nuova anche per il codice inglese. Alcuni esperti del CIS, il Context Information Security, hanno lanciato l’allarme invitando i costruttori a provvedere a un sistema di sicurezza In particolare gli hacker che hanno effettuato i test hanno evidenziato che il sistema di trazione della Polo può essere disinnestato con un semplice collegamento telefonico al sistema di gestione dell’auto attraverso il GPS Sulla Focus invece si è visto che con un semplice laptop e un’interfaccia di collegamento che si trova on line a 35€, si può ingannare il sistema e persino dire all'auto che le gomme sono sgonfie. E mandarla in protezione. Pare che durante il test un hacker sia anche riuscito ad accedere ai dati sensibili sul telefonino che riguardavano la sua agenda, la sua rubrica e i suoi spostamenti in auto Tragitti compresi

L'INCHIESTA DEL MAGAZINE INGLESE "WHICH"

Il magazine sta conducendo una battaglia per far adeguare il codice di sicurezza alle case costruttrici anche se la Volkswagen ha risposto che lo scenario di hacker a caccia di informazioni sulle auto non è praticabile aggiungendo che “ nessuna delle criticità presentate dall’inchiesta mette a rischio la sicurezza dei veicoli e dei loro conducenti”

LA TRUFFA SU WHATSAPP

Riceverai un coupon entro due ore ” Forse molti si sono visti arrivare un messaggio su WhatsApp in cui scoprivano pochi semplici passi per ottenere buoni per fare la spesa in supermercati come Coop o Esselunga.Basterebbe cliccare su un link, ma la Polizia Postale ha subito smascherato la truffa che comporta un furto di dati personali.

Da più di un mese sono aumentati in maniera esponenziale i reati informatici, che fanno leva soprattutto sull'emergenza coronavirus «Se arrivare una mail da un medico o una zione urgente relativa allo stato di allerta navirus, è facile essere tratti in inganno non si è degli sprovveduti, basta un distrazione», ha dichiarato Nunzia Ciardi, del Servizio Polizia Postale Sul sito della stale è possibile segnalare una truffa o un petto in qualsiasi momento Il fake dei esa gratis è soltanto l’ultimo scovato nelle ttimane e fa il nome di diverse catene della Grande Distribuzione per rendere

l’imbroglio forse meno evidente Come riferiscono le autorità una delle frasi che vengono scritte per rubare i dati è “Il supermercato Conad ha annunciato che regalerà un coupon gratuito di 500 euro durante lo stato di emergenza ” . Tutto falso, naturalmente. Tante le truffe online, ma non solo. La Polizia Postale ha denunciato il caso di falsi rappresentanti dell’AMA che a Roma ritirerebbero i rifiuti a domicilio per tutti i pazienti positivi al Covid 19 in isolamento. «Non tutti sanno però – spiegano le autorità sul sito – che il servizio aggiuntivo di ritiro a domicilio dei rifiuti speciali per questa categoria di persone è svolto da AMA ed è totalmente gratuito per tutto il tempo della quarantena o della malattia»

ACCO A WORDPRESS

WordPress, ancora una campagna di a tutto campo che cercano di garantire ai formatici un accesso ai siti Internet per ne il controllo e inserire al loro interno dei menti a pagine nocive. La segnalazione a Defiant, che ha rilevato un’insolita attività che sta prendendo di mira alcune bilità di plugin per WordPress

In questo caso, spiegano i ricercatori, i pirati informatici non si stanno muovendo sulla base di nuove falle di sicurezza, ma sembrano puntare più che altro sulla legge dei grandi numeri I cyber criminali, infatti, starebbero utilizzando una serie di vulnerabilità piuttosto datate, nella speranza di individuare siti Internet i cui amministratori non hanno eseguito gli aggiornamenti che le correggono.

Una strategia che, purtroppo, rischia di dare i suoi frutti. Molti utenti WordPress, infatti, hanno un atteggiamento piuttosto “lassista” negli aggiornamenti e nemmeno le ultime novità introdotte dagli sviluppatori del Content Management System (che prevede l’aggiornamento automatico dei plugin) sembra poter arginare questo tipo di attacchi

LE VULNERABILITA'

Nel dettaglio, i cyber criminali starebbero sfruttando cinque vulnerabilità relative ad alcuni plugin e più precisamente Easy2Map; Blog Designer; WP GDPR Compliance; Total Donations e nel tema Newspaper La maggior parte delle vulnerabilità sono semplici XSS (Cross Site Scripting) e la maggior parte delgi attacchi sono quelli che sfruttano la falla in Easy2Map, corretta nell’agosto del 2019.L’attacco sfrutta due modalità. Nel caso in cui l’amministratore non abbia effettuato l’accesso, lo script usato dai pirati imposta un dirottamento del sito verso un indirizzo malevolo. Se invece l’amministratore ha eseguito l’accesso, cerca di iniettare una backdoor nel file PHP La soluzione, concludono i ricercatori, è piuttosto semplice: aggiornare i plugin in questione

KER E MUSICA

dietro la musica possono nascondersi dei malware Lo rivela una ricerca degli esperti ersky Lab, che ha scoperto l’esistenza di file nascosti all’interno di tracce che vano provenire da alcuni dei DJ più famosi o, legati alla rivista di musica elettronica DJ uesto episodio aggrava ulteriormente il già drammatico dello scenario dei festival musicali, tutti rinviati o cancellati a causa dell’emergenza legata al Covid-19. Secondo Kaspersky Lab, gli utenti dovrebbero usare cautela se questa emergenza li spinge a scaricare una delle tracce di questo genere musicale. I ricercatori di Kaspersky hanno infatti trovato migliaia di file dannosi nascosti all’interno di file spacciati per nuove tracce prodotte da superstar globali del panorama Electro house come David Guetta e Calvin Harris

L'ANALISI

L’analisi condotta dai ricercatori di Kaspersky dei malware, confrontata con l’annuale elenco dei 100 migliori DJ al mondo di DJ Mag, , ha rivelato che David Guetta, Alan Walker, DJ Snake, Calvin Harris e Martin Garrix sono i nomi più comunemente usati dai criminali informatici per diffondere file dannosi sfruttando gli interessi dei fan di questi artisti Tali file contengono una serie di minacce, tra cui adware e Trojan dannosi, utilizzati per distruggere, bloccare, modificare o copiare dati o per compromettere le prestazioni di computer o reti

Gli esperti di Kaspersky hanno rilevato principalmente le seguenti tipologie di file

dannosi:

HEUR: Trojan.Script.Generic, UDS: DangerousObject.Multi.Generic, Win32.Agentb.bqyr

not-a-virus:HEUR:AdWare.AndroidOS.Agent.f, HEUR: Trojan.Win32.Generic

DESERVICE

ma Node js ed è un linguaggio di mmazione utilizzato normalmente per lo o in ambito Web Server Qualcosa di o inusuale per realizzare malware, al punto o utilizzo ne rende difficile il rilevamento. arlo sono stati i cyber-criminali che hanno e diffuso QNodeService, un trojan che per tempo è riuscito a passare “sotto i radar” proprio grazie a questo stratagemma Il malware, probabilmente, è stato diffuso attraverso una campagna di phishing che fa leva sulla pandemia di Covid-19

Il file che ne avvia il download, infatti, ha un nome (Company PLP Tax relief due to Covid-19 outbreak CI+PL.jar) che lascia pensare a una documentazione relativa a sgravi fiscali legati all’emergenza Coronavirus.

L’elemento più interessante, però, riguarda la sua struttura. Come spiegano in un report i ricercatori di Trend Micro, il file utilizzato come vettore è infatti un downloader Java che è in grado di scegliere e scaricare il payload appropriato (32 o 64 bit) per la macchina infettata

IL RISULTATO

Risultato: secondo gli esperti di sicurezza, in una prima fase il trojan veniva rilevato soltanto dagli antivirus ESET Tutti gli altri programmi di sicurezza venivano invece “ingannati” dalla sua struttura

Una volta installato sul computer, il trojan è in grado di rubare le credenziali inserite nei più diffusi browser ma, ancora più importante, può scaricare ed eseguire ulteriori moduli e codici malevoli.

Il sistema contiene anche uno strumento per l’esfiltrazione dei dati verso il server Command and Control

EASYJET E I DATI VIOLATI

La compagnia ha rivelato di aver subito un attacco cyber da parte di ignoti, che ha permesso di violare i dati di nove milioni di clienti Non è chiaro quando sia avvenuto l’attacco, secondo fonti inglesi la compagnia avrebbe scoperto il data breach a gennaio 2020. Sembra che l’attacco, descritto da EasyJet come “molto sofisticato”, abbia consentito di accedere a indirizzi e-mail e dati relativi ai viaggi dinovemilionidiclienti,dicui2298hannosubitolaviolazionedeidatidellecartedi credito.

Mancanoattualmentemoltidettaglirelativiallanaturadell’incidentesubitodaEasyJet, sesisiatrattatadiunaviolazionedell’appodelsito,sel’attaccosisiasvoltodall’esterno otramitealtrisistemicomeilphishing Idatirubati–compresigliindirizzie-mail,i dettagli della carta di credito e le informazioni di viaggio dei clienti – offriranno informazionipreziosissimeaicybercriminali”.

OCCHIO ALLE OFFERTE, CONTROLLARE IL CONTO CORRENTE

David Emm, Principal Security Researcher di Kaspersky, afferma: “Coloro che sono stati colpiti dalla violazione dovrebbero prestare molta attenzione ed evitare di rispondere ai messaggi non richiesti, poiché è molto probabile che i criminali sfruttino la situazione per inviare messaggi di phishing con offerte troppo belle per essere vere ” Il suggerimento da parte di Kaspersky inoltre è di “controllare regolarmente i propri conti bancari per verificare che non vi siano attività sospette”.

In più, “consigliamo a tutti gli utenti di proteggere i propri dispositivi con una protezione di sicurezza affidabile e di aggiornare sempre il sistema operativo e le applicazioni. Sollecitiamo inoltre le persone a utilizzare password uniche e complesse per tutti gli account online e laddove possibile, approfittare dell’autenticazione a due fattori o a due fasi”

MUNI ALIAS FUCKUNICORN

corso in Italia una campagna malspam che ta l’emergenza Covid-19 per diffondere il omware FuckUnicorn camuffato da app uni, scaricabile da un sito che imita quello a Federazione Ordini Farmacisti Italiani: il virus ca il PC e poi chiede un riscatto di 300 euro. volta scaricato ed eseguito sul computer della ma, il ransomware FuckUnicorn mostra subito

unafintamappaconladiffusionedelcontagiodelvirusSars-CoV-2

FuckUnicorniniziasubitoacifrareifilepresentisulsistemaWindowsusandol’algoritmo AESCBCeunapasswordgeneratainmanieracasualeAltermine,visualizzasuldesktop dellavittimalanotadiriscattoconleistruzioniperilpagamentodi300euroinBitcoin necessariperotteneredinuovol’accessoaifilebloccatiL’indirizzoe-mailindicatonella richiestadiriscatto,però,nonèvalidoeciòrendeimpossibilel’invioall’aggressoredella provadipagamento.DalleevidenzeottenutedalCERT-AgID,comunque,almomento nonsembranoessercistatetransazioniregistratesulwalletdicriptovaluteindicatonella notadiriscatto.

COME DIFENDERSI DALLA NUOVA TRUFFA

Dal punto di vista del codice”, il programma malevolo è basato su Hidden Tear, una versione pubblica di malware facilmente modificabile, che indica come i criminali non siano stati particolarmente precisi nel codificare qualcosa di nuovo o indecifrabile Poiché FuckUnicorn prende di mira gli utenti Windows, possiamo difenderci da un attacco utilizzando Windows Defender preinstallato e attivo di default su tutte le installazioni Windows oltre che:

effettuare un backup dei file più importanti prestare sempre la massima cautela quando si ricevono e-mail di provenienza

sospetta

evitare di aprire gli allegati di posta elettronica

PILLOLA N. 16

GGIORNAMENTI GIUGNO 20

l’Android Security Bulletin di giugno Google ha ciato gli aggiornamenti di sicurezza per 34 erabilità individuate in diverse componenti del sistema operativo mobile Di queste, 2 sono e classificate come critiche e sono di tipo RCE mote Code Execution), 32 con un indice di ità elevato.

Le più gravi delle vulnerabilità (CVE-2020-0117 e CVE-2020-8597) corrette con gli aggiornamentidelnuovoAndroidSecurityBulletinsonostateindividuatenelleversioni 8,9e10delsistemaoperativoepotrebberoconsentireadunattaccanteremotodi eseguirecodicearbitrarioadistanzanelcontestodiunprocessoprivilegiato

Asecondadeiprivilegiassociatiall’applicazione,unaggressorepuòquindiinstallare programmi,visualizzare,modificareocancellaredatiocrearenuoviaccountcontuttii dirittidell’utente.

Alsolito,gliaggiornamentidelbollettinodisicurezzaAndroidsonostatisuddivisiindue livellidipatchprogressiviidentificaticome2020-06-01 securitypatchlevele2020-06-05securitypatchlevel

QUALCHE PICCOLO DETTAGLIO

Il primo pacchetto di patch è raggruppato in base al componente di sistema che influenzano e sono: il modulo Framework, il modulo Media framework il modulo System

Le patch di sicurezza contenute nel secondo pacchetto di aggiornamenti di sicurezza Android di giugno 2020, identificato come 2020-06-05 security patch level, dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo.

PP DI TRACCIAMENTO

eck Point Software Technologies sta valutando icurezza delle app di contact tracing

po un ’analisi iniziale, i ricercatori hanno denziato una serie di preoccupazioni intorno alle dalità di implementazione di queste app, divise in quattro punti:

IdispositivipossonoesseretracciatiPoichéalcuneapplicazioniditracciamento,tra cuil’AppitalianaImmuni,siaffidanoalBluetoothLowEnergy(BLE),idispositivi trasmettono pacchetti handshake che facilitano l’identificazione del contatto attraversoaltridispositivi Senonimplementatocorrettamente,glihackerpossono tracciareildispositivodiunapersonamettendoincorrelazioneidispositiviconi rispettivipacchettidiidentificazione

Idatipersonalipossonoesserecompromessi.Naturalmente,leappmemorizzanosui dispositiviilogindeicontatti,lechiavidicifraturaealtridatisensibili Idatisensibili dovrebberoesserecriptatiememorizzatinell’applicazionesandboxenoninluoghi condivisiPerfinoall’internodisandbox,ottenendoiprivilegirootol’accessofisicoal dispositivo,sipotrebberocompromettereidati,soprattuttosevisonomemorizzate informazionisensibili,comeleposizioniGPS.

Intercettazionedeltrafficodiun’app Gliutentipossonoesseresoggettiadattacchi “man-in-the-middle” e all’intercettazione del traffico dell’app se tutte le comunicazionisalvatesulserverdell’applicazionenonsonoadeguatamentecriptate Possibile circolazione di falsi rapporti sanitari. I ricercatori affermano quanto sia importante che le applicazioni di contact tracing eseguano l’autenticazione nel momentoincuileinformazionivengonoinviateaipropriserver,comequandoun utente pubblica le proprie diagnosi e i registri dei contatti. Senza un ’adeguata autorizzazione, infatti, si potrebbero riempire i server con falsi rapporti sanitari, compromettendol’affidabilitàdell’interosistema.

·

PILLOLA N. 17-2

Le app per il tracciamento Covid-19 mantengano n delicato equilibrio tra privacy e sicurezza, in uanto una scarsa implementazione degli standard sicurezza potrebbe mettere a rischio i dati degli tenti a una prima analisi sull’app Immuni sembra che i ati raccolti siano effettivamente quelli dichiarati e he quindi la nostra privacy sia garantita.

IlserverSogeiperlaraccoltaestoccaggio(temporaneo)deidatièprotettoinmodo solidoequindisidubita chesipossanotemeremanipolazioniofurtididatidali,anche perchésitratterebbediinformazionidipocovaloreperdeglihackerIlrischiomaggiore cèchevengascaricataun’appfakecheovviamentenonsilimiterebbeafarequelloche dovrebbefareImmunimapotrebbecompromettereilnostrosmartphone.”

COME RIMANERE PROTETTI?

·Scaricare app solo dagli store ufficiali Installare le applicazioni di tracciamento solo dagli app store ufficiali, in quanto risultano i soli ad essere autorizzati dalle agenzie governative a pubblicare tali applicazioni. Attenzione anche ai link per scaricare l’app che ci arrivano da altri canali, come messaggi o email.

Utilizzare soluzioni per la sicurezza mobile. Scaricare e installare una soluzione di sicurezza mobile per la scansione delle applicazioni, al fine di proteggere i dispositivi contro malware e verificare che non siano stati compromessi

ELASTICSEARCH

Non si arrestano gli attacchi ai server ElasticSearch esposti su Internet a causa di configurazioni errate

Anzi: secondo quanto riportano i ricercatori di Comparitech, che hanno provato a fare un piccolo esperimento per testare la capacità di reazione dei pirati informatici.

Lasocietàdisicurezzahamessoonlineunhoneypot,cioèunserverElasticSearch utilizzatocome“esca”perregistraregliattacchiportatidaicyber-criminali.

Ilrisultatodell’esperimentoèsconcertante:ilserverinquestionehainfattisubitouna mediadi18attacchialgiornoL’elementoancorapiùcuriosoriguardailfattocheipirati informaticisonoistatiingradodiindividuareilservermoltopiùrapidamentediqualsiasi motorediricercaGlianalistidiComparitechlohannomessoonlinel’11maggioMentre Shodanhaimpiegatocinquegiorniperindividuarlo,ilprimoattaccodeipiratièarrivato doposolo8oree35minuti.

Lamaggiorpartedegliattacchi,sispieganelreport,avevanol’obiettivodisfruttareuna falladisicurezzarisalenteal2015perinstallaresuiserverdeiminerperlagenerazionedi cripto-valuta. Altri,invece,puntavanoasfruttarelastessavulnerabilità(CVE-2015-1427) per rubare le credenziali di accesso.La tipologia di attacchi, in ogni caso, è stata estremamentevariaeil“colpodigrazia”èarrivatoil29maggio,quandounbotha individuatoilserverehacancellatotuttiifilelasciandoalloropostounmessaggiocon unarichiestadiriscattoUnastrategiacuiabbiamogiàassistitoinpassato(neabbiamo parlatoinquestoarticolo)eche,aquantopare,nonèaffattopassatadimoda.

PercontrastaregliattacchiaiserverElasticSearchènecessarioquindipredisporretutte lemisuredisicurezzapossibilieimmaginabili.Dopoquestoesperimento,infatti,unasola cosaècerta:saràsottopostoaunveroepropriobombardamentodiattacchi

PILLOLA N. 19

XNET2

o indietro di qualche anno: 2006, parte one "Olimpic Games" gestita da USA e con lo scopo di interferire con le operazioni himento dell'uranio nella centrale di Natanz

rmina - si fa per dire - nel 2010 quando un ore della Kaspersky si accorge che su C legati a sistemi informatici dell'indotto

dellecentralinucleari,anchenonlegatistrettamenteall'Iran,èpresenteunsimpatico malwaredestinatoadinterferireconleproceduredifunzionamentodellecentrifughe perl'arricchimentodell'uranio

L'analisi del codice ricondusse poi ad attività di intelligence da parte dei sopra menzionatistati,cheovviamentenonlariconobberoufficialmente.Insomma,ilmalware destinatoadunaspecificacentraleetrasmessoviaportatiliinfettiechiavetteUSBsiera poidiffusocomel'epidemiadiCovidandandoacolpireanchechinoneralegatoalle attivitàiranianeTorniamoalpresente,l'Iranhadichiaratochel'incendioeun'esplosione verificatisinellasuacentralenuclearediNatanzdel2diluglioscorso,potrebberoessere statecausatedaunattaccoinformaticoestaminacciandoritorsionicomerisposta

L'Organizzazioneiranianaperl'energiaatomicanonhafornitoinformazionisullecause del nuovo incidente, né ha rivelato la quantità di danni subiti, ma ha condiviso un'immaginedell'edificiobruciato,aggiungendoche"severràprovatochel'eventosiè verificatoacausadiunattaccoinformatico,l'Iranrisponderàdiconseguenza"

Almomentononvisonoprove,senonsupposizioni,sulleoriginidell'eventualeattaccoe sullatipologia,madubitochepossaproveniredagliUSAdoveunpiùcheindaffarato TrumpdevefarefronteadunadilaganteepidemiadiCovideleelezionipresidenzialiin arrivo,ilchelasciacomepossibileattoreIsraeleinrispostaaitentatividiinfiltrazione delleinfrastrutturedigestionedell'acquapotabiledapartedell'Iran.

ENAC SOTTO ATTACCO

Il 10 luglio 2020 il sito web dell’ENAC è diventato irraggiungibile a causa di un attacco hacker ai sistemi informatici con inoltre il blocco del sistema di posta elettronica interno.

A colpire i sistemi informatici dell’ENAC sarebbe stato un ransomware di cui però non si hanno finora ulteriori dettagli ma che, probabilmente, non avrebbe creato danni irreparabili proprio grazie ai

backupdidaticonfiguratodalrepartoITdell’ente.Ilransomwarerappresentaoggiuna minacciabennota,chesiinfiltrasilenziosamentenelleaziendeperpoibloccareifilein modoincredibilmenterapidodanonlasciareaiteamdisicurezzanemmenoiltempodi reagireÈquellocheparesiasuccessoancheadENAC:unattaccodiffusoaunavelocità straordinaria”.Sitrattadunquediunattaccochepotrebbeavererisvoltiimportantianche perchéalcunedellecomunicazionigestitedall’ENACsonoclassificatecomesegreti dellaNato,l’Alleanzaatlantica

L’attacco hacker è l’occasione per fare il punto sui sistemi di protezione delle infrastrutturecritichedelnostroPaese

NicolaVanin,DataGovernance&InformationSecuritySeniorManageraffermache... “tuttodeveesserefattoperlimitarelaminacciaerendereilpiùdifficilepossibilepergli aggressorilaviolazionedeisistemidisicurezzadell’organizzazione.Nonèpossibile raggiungerequestoobiettivosenzainvestireinteamITeinteamOTchelavorano insiemesullasicurezzainformatica”.

Sempre più spesso i team di sicurezza vengono battuti sul tempo da attacchi automatizzaticomequesto,edèperquestomotivochesirivolgonoall’Intelligenza Artificialeperrispondereistantaneamentequandovengonocolpiti

Lasicurezzacybernonèunproblemarisolvibile,oggiperòdisponiamoditecnologie all’avanguardiacheconsentonoalleorganizzazionidinondoverperforzafermarei sistemiquando,vittimediunattaccocomequesto,vienerichiestolorounriscatto.

- VPN

ma UFO VPN e offre una connessione a prezzi davvero convenienti: 3 euro al per navigare su Internet in completo ato e con la garanzia di affidarsi a un che segue la politica del “ no log”, cioè non accia dei siti visitati dai suoi utenti.

o che UFO VPN non solo registri mente la cronologia di navigazione dei suoi

utenti,maliabbiaconservatiinchiaroinundatabaseElastiSearchespostosuInternet senzaalcunsistemadiautenticazioneperl’accesso Inaltreparole:idatidegliiscrittia UFOVPNsonostatiaccessibiliachiunque.

Dopolasegnalazionedell'illecito,UFOVPNhaeliminatoilserver,giustificandolasua esposizionesenzaalcunamisuradisicurezzacondeiproblemilegatiallapandemiada Covid-19,cheavrebbeinqualchemodo“impedito”aisuoitecnicidigestirloinmaniera appropriata Al di là dell’incredibile pasticcio, di cui purtroppo ci sono numerosi precedenti,ilveroproblemaèlatipologiadidaticheeranomemorizzatinelserver.Il database,contenente894GBdidati,sembravacontenereilogdituttigliutentidiUFO VPN,siaquellicheusufruisconodelserviziogratuito,siaquelliabbonatialservizioa pagamento

itrattadipiùdi20milionidipersone,icuidatipersonali,metodidipagamentoeindirizzi IPpotevanoessereconsultatidachiunque.Nonsolo:ilservercontenevaanchele credenzialidiaccessoalservizioinchiaro

UFOVPN,però,èinbuonacompagnia.UnreportpubblicatodaVPNmentordimostra infattichelostessocomportamentohainteressatoFASTVPN,FreeVPN,SuperVPN, FlashVPN,SecureVPNeRabbitVPNSecondoglianalistinonsitratterebbediuncaso: tuttiesetteiservizifarebberoriferimentoallostessosviluppatore.

SitrattadiDreamfii,sviluppatorespecializzatoinVPNche,però,somiglianomoltodipiù aunospyware

GARMIN SOTTO ATTACCO

A sentirla sembra una storia incredibile E invece è l'incubo informatico in cui è piombata da qualche giorno Garmin

Da ormai quasi quattro giorni, l’azienda di Kansas City è vittima di un attacco hacker ferocissimo, basato su malware di tipo ransomware che ha di fatto preso in ostaggio ogni servizio online legato alla società

Emilionidiutenti,intuttoilmondo,sonoallepreseconproblemidiconnessioneai servizi che hanno fatto di Garmin una delle aziende più importanti nel mondo del tracciamentosportivo

L'ATTACCO

Tutto è iniziato il 23 luglio 2020 con i primi problemi segnalati dagli utenti. Col passare delle ore, Garmin è stata travolta da uno tsunami informatico. Tanto che ora anche le email dei dipendenti e i call center sono fuori uso Solo i canali social e il sito web sono rimasti al riparo da questa azione L'attacco, secondo quanto si apprende, è basato sul ransomware WastedLocker, un malware che cripta i dati di un server e li rende inutilizzabili. Si tratta di un virus creato dall'organizzazione cybercriminale russa Evil Corp, già nota per altri attacchi pesanti ad aziende americane nel corso degli ultimi anni. Secondo quanto scrivono alcuni blog specializzati, i russi sono stati capaci di bucare i sistemi di Garmin grazie a una falla trovata in un server aziendale con sede in Taiwan. Da lì, WastedLocker si è esteso a tutta l’infrastruttura di Garmin I cybercriminali che hanno preso possesso delle macchine hanno già fatto recapitare a Garmin un messaggio eloquente: 10 milioni di dollari di riscatto per sbloccare il sistema Come ogni attacco ransomware, tuttavia, non v'è certezza che dopo il pagamento del riscatto – che si concretizza tramite pagamenti blindatissimi in bitcoin - arrivi l’effettivo ripristino dei server. Sarebbero al sicuro, per ora, i dati degli utenti. Questa tipologia di ransomware, infatti, notoriamente non ruba dati.

PILLOLA N. 23-1

TALIA BERSAGLIO HACKER

La pandemia da Covid-19 in Italia ha influito pesantemente sulla sicurezza informatica anche post emergenza

Stando al secondo Rapporto sulle minacce nformatiche nel 2020 in Italia, elaborato dall’Osservatorio sulla Cybersecurity di Exprivia,giugno è stato il mese in cui dall’inizio dell’anno si sono verificati la maggior parte di

attacchi, incidenti e violazioni della privacy a danno di aziende, privati e pubblica amministrazione.

Analizzando40fontidiinformazionepubblicheèrisultatochetrailprimotrimestre dell’anno(quandogliattacchieranostati47)eilsecondo(ben171)l’incrementoèstato superioreal250%conunpicconelmesedigiugno(ben86attacchi).

Complicil’incrementodellosmartworking,unamaggioreconnessioneaisocialnetwork durantel’emergenzaelariaperturadelleindustriesubitodopoillockdown

Lamaggiorpartedegliattacchisonodamettereinrelazioneall’emergenzaCoronavirus eoltreil60%degliepisodihaprovocatocomedannoilfurtodeidaticonunacrescitaa triplacifrarispettoalprimotrimestre(+361%),superandodigranlungasialeviolazioni dellaprivacy(11%deicasi)cheleperditedidenaro(7%)

EgliespertidiExpriviapongonol’accentosull’elevatorischiochestannocorrendoi sistemidivideosorveglianzapresidimiradaglihacker,chegiànelprimotrimestre hannomessoapuntounpericolosoattaccoconilmalwareMirai.

“In questo periodo diversi siti illegali – spiega Domenico Raguseo, direttore CybersecurityExprivia–hannosfruttatoterminicome‘CoronaAntivirus’esimiliper introdurre software malevoli nei computer delle vittime, compromettendone il funzionamento.

PILLOLA N. 23-2

Dal secondo report dell’Osservatorio di Exprivia si evince inoltre che nel secondo trimestre in Italia sono cresciuti del 700% gli attacchi di matrice ‘hacktivistica’, ossia pratiche di azione digitale in stile hacker, un fenomeno emergente spesso collegato a campagne internazionali su temi di grande attualità come “black-lives-matter” e “ revenge-porn ” .

Quadruplicano,inoltre,letruffetramitetecnichediphishingesocialengineering(307% rispettoalprimotrimestre,oltreil37%deicasi),cheingannanol’utentefacendolevasu messaggi“esca”viae-mailosutecnichesubdoletramitesocialnetworkpercarpiredati finanziari(ilnumerodicontocorrenteodellacartadicredito)oppurerubareicodicidi accessoaiserviziacuilapersonaèabbonata.

Il 17% degli attacchi, invece, è avvenuto tramite malware – software o programmi informaticimalevoli–chehannosfruttatoilCoronavirusperattirarel’attenzionedegli utentiTraquestiilprogramma“CoronaAntivirus”o“Covid9Antivirus”,unmalwareche permetteaicriminaliinformaticidiconnettersialcomputerdellevittimeespiarneil contenuto,rubareinformazionioutilizzarlocomevettoreperulterioriattacchiEancora “CovidLock”,unransomware–tipologiadimalwarecherendeunsistemainutilizzabile esigendo il pagamento di un riscatto per ripristinarlo – che prende di mira gli smartphone Android quando si cerca di scaricare un ’ app di aggiornamenti sulla diffusionedelCoronavirus

Tra gli ambiti individuati che hanno ricevuto più attacchi c'è quello della Pubblica AmministrazioneedelCloud,lecuipiattaforme,anchedopoillockdown,continuanoa risentiredellostressperillavorodaremoto.IsettoriFinanceedEducationrimangono ancoranellalistadegliambitipiùvulnerabili(inparticolareagiugnouniversitàescuole impegnatecongliesami),masiregistraunanewentryperilsettoreIndustriachea giugnosegnaunpiccodiattacchievidentementecollegatoalleriaperturedimolte fabbrichedopoilperiododiemergenza

BOOM UTILIZZO API

Il dialogo tra software e piattaforme attraverso l’utilizzo di API specifiche permette di rendere molto più facile la vita degli amministratori IT nella gestione dei servizi. Esiste però un “lato oscuro ” di questa modalità di gestione e, ancora una volta, riguarda la sicurezza.A spiegarlo, in un post sul blog ufficiale di Kaspersky,è il ricercatore Jason Kent,che mette a

fuococomelutilizzointensivodiAPIneisistemiaziendalirappresentiilveroanello debolealivellodicybersecurity.

UtilizzandounsempliceproxyèinfattipossibileintercettarelecomunicazionidelleAPIe ottenereinquestomodotuttiidatichevengonoscambiatiduranteilsuoutilizzo.

Il problema, spiega Kent, è che quando viene creata un’API spesso non vengono consideratialcuniaspettirelativiallasicurezza.Ilricercatore,nelsuopost,spiegache unodeiproblemipiùcomunièquellolegatoalfattocheicomponentiinvianotroppe informazioni

L’esempioriportatoèquellodiuntentativodiloginfallito:selarispostaall’inserimento dellecredenzialiètroppodettagliata(peresempioindicandoqualetrausernamee passwordnoncorrisponde)uneventualepiratapuòtrarneunvantaggiofondamentale.

Allostessomodo,moltedellecomunicazionicontengonoinformazionitecnichechenon sonodinessunautilitàperl’utentemedioecherappresentanoinveceunarisorsaperchi statentandodiattaccareisistemiSecondoKent,nellacreazionedelleAPIbisognerebbe quindi fornire solo le informazioni strettamente necessarie e utilizzare strumenti e procedure che consentano di offuscare le comunicazioni per rendere più difficile l’analisideidatitrasmessi.

Piùingenerale,ilricercatorerilevacomelalogicadella“securitybydesign”stenti ancora ad affermarsi in questo settore, in cui gli sviluppatori sembrano essere più preoccupatidigarantirelaqualitàdell’esperienzautentechelasicurezzadeisistemi

PILLOLA N. 25

ATENEO SOTTO ATTACCO

IÈ iniziato venerdì’ 4 settembre l’attacco informatico che sta mettendo in ginocchio l’università romana di Tor Vergata, uno dei principali atenei d’Italia

.L’attacco ha reso inutilizzabili alcuni documenti fondamentali come quelli che contengono le ricerche e le terapie per contrastare Covid 19

Lapartitapervincerelacorsaalvaccinosigiocasemprepiùsulterrenocybereanche l’Italianonneèimmune,bastipensarealtentativodiintrusionenell’istitutoSpallanzani.

Inpocheoresonoriuscitiacriptareifilepresentineidischirigidi,mettendoarischiogli sforzidellacomunitàscientificaperbloccareladiffusionedelcoronavirus Studisulle molecolechepossonoimpedirel’ingressonellecelluleumaneosuibiomarcatoridella vocepereffettuareladiagnosiattraversol’intelligenzaartificiale.

Manonsolo,l’attaccoatuttoilsistemahacolpitoricercheprezioseinognicampo,dalle nuovefrontiereperpazientiparalizzatiallepossibiliformedivitanegliesopianeti In praticatuttiidocumentidistudentieprofessoricheusufruivanodelsistemacloudsono staticifrati,compresiidatisensibili,compromettendooltre100computeradisposizione delpersonale

Esièbloccataancheladidatticaadistanza,proprioquidoveerastataimplementatain solicinquegiorni,permettendoduranteillockdowndiproseguirenellaformazioneedi farsostenere71milaesami

IconsulentidiCybersecutitystannoanalizzandoilogdeisistemi,gliindirizziipestrattied altri indicatori di compromissione, comprese le tattiche utilizzate Individuare i responsabilinonsaràsempliceeadaffiancarlicisaràanchelaPoliziaPostaleperché quellodiTorVergatanonèuncasoisolato Nelmirinocisonoaltriatenei,colpitidi recenteproprioconlestessemodalità.

IMMUNI"

di sicurezza, Serge Vaudenay e x, hanno scoperto un bug nell’API per il tracciamento Covid-19 con vacy, usato anche dalla nostra app

è stata trovata nel software GAEN source), ossia la Google-Apple ation

mavoltanell’appSwissCovidl’app p

SergeeMartinhannoscopertocheilsistemabasatosuBluetoothLE(BluetoothLow Energy)lasciaquellichesipossonochiamaresassolinididati,chepossonoessere utilizzatipertracciareeidentificareimovimentidelproprietariodellosmartphone.

Insostanza,SergeeMartinhannoscopertochel’indirizzonumericodiBluetoothLEel’ID di prossimità mobile del framework non si aggiornano necessariamente in contemporanea,lasciandoapertepiccolefinestreincuil’indirizzoBluetoothcorrisponde alvecchioID,cheèunsassolinodatracciare

PercorreggereilbugsidovrebbeconvincereAppleeGooglearendereapertol’intero codicedelframeworkCovidInquestomodo,lasocietàscientificapotrebbevalutareil codicerisolvereibugtrovatipiùvelocemente.

Ilrischiodiattaccoècomunquemoltobasso,peressererealizzatoeavereinformazioni utilidasfruttare,occorrerebberimanereperlungotempo(sistimanoalmeno24ore) nellevicinanze(circa10metri)dellavittima

BLURTOOTH

Si chiama BLURtooth la nuova vulnerabilità scoperta dai ricercatori dell’École Polytechnique Fédérale de Lausanne (EPFL) e della Purdue University che riguarda ancora una volta la tecnologia Bluetooth.

Tale vulnerabilità identificata come CVE-202015802 riguarda il processo di accoppiamento CTKD

(Cross-TransportKeyDerivation)utilizzatoproprioperlanegoziazioneel’impostazione dellechiavidiautenticazione

NellospecificolacomponenteCTKDsioccupadiconfigurareduediversiinsiemidi chiavidiautenticazione,rispettivamenteperglistandardBluetoothLowEnergy(BLE)e BasicRate/EnhancedDataRate(BR/EDR),peraverlisempreprontiall’usoinmodotale chesianoidispositiviadecidere,durantelafasediassociazione,qualeversionedello standardutilizzare.MentreilprotocolloBR/EDRvieneadoperatoperleclassiche connessioniinradiofrequenza(cuffieealtoparlanti),quelloabassaenergiaBLEviene impiegatosolitamenteperinterconnetteredispositiviIoTsmart.

A causa di questa vulnerabilità un malintenzionato che si trovi nel raggio d’azione wireless(chevariainbaseallaclassedipotenzaditrasmissione)diundispositivo BluetoothvulnerabileavrebbelapossibilitàdicompromettereilprocessoCTKDcosìda sovrascriverelechiavidiautenticazionesuundispositivo,garantendosiunaconnessione nonautorizzataesferrareunattaccodeltipoMiTM(ManinTheMiddle).

Attualmentenonsonodisponibilipatchcorrettiveenonèpossibilesapere,quandolo sarannoeseperiltramitediaggiornamentideisistemioperativiodeifirmwaredeivari dispositivi.

VULNERABILITA' INSTAGRAM

I ricercatori di Check Point Software hanno scoperto che a causa di un errore in una delle componenti dell'app di Instagram, basta un'immagine creata nel modo giusto per trasformare il nostro smartphone in una perfetta microspia, senza che l'utente abbia alcun indizio sul fatto di essere sotto attacco.

LavulnerabilitàèpresentesianellaversioneiOSdiInstagramsiainquellaAndroid. L'immaginecheinnescalavulnerabilitàpuòessereinviataalbersagliousandounmodo qualsiasi:e-mail,WhatsappoinclusainunapaginaWeb.Vabenetutto,bastachealla finel'utentelascarichisullosmartphoneinmododaesseredisponibilenellagalleria immagini Peravviareunattacco,sicuramenteWhatsapprisultailmetodopiùefficace perchéilpopolareprogrammadimessaggisticasalvaautomaticamentenellagalleriale immaginiinarrivodainostricontatti

Aquestopunto,quandosiapreInstagramesiaccedeallafunzione“post”,dietrole quinte si attiva il codice malevolo che prende letteralmente il controllo dell'app, uscendoanchedalsuosolitoambitodiutilizzo.Unpuntocrucialediquestavulnerabilità, infatti,èchesitrovainunaappacuivengonoconcessemolteautorizzazioni

Diconseguenza,chiseneimpossessapuòpostareocancellareimmaginianomedel proprietario,gestirel'accountmaancheaccedereall'elencodeinostricontatti,aifile registrati nella memoria del dispositivo e alla posizione geografica. Come se non bastasse,l'accessoavideocameraemicrofonopermetteditrasformarelosmartphoneo iltabletinunamicrospiad'altaqualità.

ilproblemaèstatorisolto Iricercatori,infatti,hannocomunicatotuttiidettaglidella vulnerabilitàaFacebook,chehacompratoInstagramnel2012,

Bastaquindiusarel'ultimaversionedell'appperevitarequalsiasiproblema.

SVUOTA I CONTOI CORRENTI DELLE VITTIME

Si chiama Alien un nuovo insidioso trojan bancario per Android scoperto dai ricercatori di Threat Fabric che consente di sottrarre le credenziali da 226 app mediante presentazione all’utente di schermate di login fittizie consentendo poi al malintenzionato di accedere al dispositivo da remoto ed effettuare, come riportato dallo CSIRT

Italia,unaseriedioperazioniIlmalwarederivadaunasofisticazionerispettoalsuo predecessoreCerberus.PierluigiTorriani,SecurityEngineeringManagerdiCheckPoint, sottolineacomelefeaturedeltrojanderivatedaCerberusincludanounaseriepiuttosto vastadifunzionalità,fracuilaregistrazionedituttelesequenzeditastisuldispositivo (credenzialiincluse),ilfurtodeidatidiservizidiautenticazioneequalsiasiSMSricevuto (two-factor authentication incluso) e il comando del dispositivo da remoto tramite TeamViewer.

IlfattocheAliencomederivatodiCerberussiaanch’essounMalware-as-a-Service (MaaS)consenteachiunquedi“noleggiare”isuoiservizipercostruireilpropriopayload econfigurare,comandareecontrollaretuttiidispositiviinfettatidaesso

MaxHeinemeyer,DirectorofThreatHuntingdiDarktrace,lodefinisceunmalwaredi “generazioneZ”perchéprendedimiraleappmobile,lecomunicazionisuisocialmedia elecriptovaluteesottolineacomelatipologiadiMalware-as-a-Servicestiadiventando sempre più popolare perché consente ai criminali scarsamente abili, di condurre attacchiinformaticialtamenteprofessionaliGliautoridiAliensisonofocalizzatisucome eludere l’autenticazione a più fattori, considerando che si tratta di una misura di sicurezzafondamentaleoggi,ma“nonèaprovadiproiettile”

LoCSIRTItalianoperlaprevenzionesuggeriscedownloadsolodastoreufficialiemolta attenzione da parte dell’utente finale per i permessi richiesti dall’app in fase di installazioneperindividuarerichiestefuoriluogo,improprie,otroppo”invadenti”.

ECCO COSA CAMBIA NELLA GESTIONE DEL PROPRIO ACCOUNT

Nelle prossime settimane, in occasione del mese dedicato alla National Cybersecurity Awareness Google presenterà una serie di novità e misure tecniche che consentiranno di avere un maggior controllo sulla privacy e sulla sicurezza degli

accountutenteedellesingoleapplicazioni.Inparticolare,l’obiettivodiGoogleèquello di “mantenere le informazioni al sicuro, trattarle in modo responsabile e dare alle personeilcontrollochedesiderano”,garantendoquindiun’integrazionepiùspintadelle protezionidirettamentenell’accountGoogleeneglialtriprodotti

Lenuovefunzionalitàriguarderannoprincipalmentegliaccounte-mail,mainteressanti novitàsarannopresentateancheperleMappediGoogle,incuilacronologiadelle posizioni potrà essere gestita dagli utenti attraverso modifiche “rapide”, e per l’Assistente,incuisaràdisponibileunamodalità“Guest”che,seattiva,eviteràchele interazioniconl’assistentevirtualevenganomemorizzatesuldispositivoinuso

ICUREZZA CON LA EZIONE ATTIVA

iù interessante annunciata da Google è te la nuova protezione attiva degli tente. In particolare, verrà attivata una i allerta che consentirà agli utenti dei vari ogle di essere avvisati in tempo reale in spetta violazione dei loro account tramite otifica via cellulare

PILLOLA N. 30-2

La nuova funzione di sicurezza notificherà agli utenti direttamente all’interno del servizio Google che stanno utilizzando Ad esempio, qualora venisse rilevata un ’attività sospetta mentre si sta utilizzando Gmail, nell’interfaccia dell’applicazione l’utente vedrà comparire una popup informativa che avvisa sulla possibilità che l’account potrebbe essere stato compromesso. Tali alert non sono falsificabili in quanto protetti da possibili attacchi di tipo spoofing.

Lutente,quindi,avràsemprelacertezzacheprovengonorealmentedaGoogle.

MODALITA' “OSPITE” SULL’ASSISTENTE DI

GOOGLE: PRIVACY GARANTITA

Sarà possibile attivare la modalità Guest (ospite) attraverso un semplice comando vocale. “Questo eviterà di registrare le interazioni con l’Assistente sul proprio account personale. In qualsiasi momento la si potrà disattivare per tornare all’esperienza completa dell’Assistente Google”.

ED INOLTRE ...

Anche Google Maps riceverà, alcuni aggiornamenti che, tra le altre cose, permetteranno di rendere molto più semplice la rimozione dei luoghi salvati nella cronologia delle posizioni dell’utente.

Altre interessanti novità riguarderanno anche Google Workspace, il nuovo contenitore virtuale per tutti gli strumenti di produttività che prenderà il posto della famosa G Suite

Infine, anche la Chat di Google sarà resa più sicura grazie a nuovi strumenti di sicurezza che consentiranno di identificare comportamenti potenzialmente dannosi come phishing o esfiltrazione di dati dell’utente.

PILLOLA N. 31

Ricercatori di sicurezza Google hanno individuato tre vulnerabilità dello stack del protocollo BlueZ, progetto open-source. BlueZ fornisce supporto al Bluetooth di sistemi basati su Linux come, ad esempio, PC e sistemi IoT (Internet of Things). Il nome d’arte assegnato all’insieme di queste falle di sicurezza è BleedingTooth Tecnicamente BleedingTooth appartiene alla famiglia degli attacchi zero-click. Nome attribuito per il fatto che è possibile portare a termine gli attacchi senza

nessunainterazioneumanaconildispositivotarget

Ogni singola vulnerabilità ha un suo specifico impatto con associato un suo grado di severità, i e , CVE-2020-12351, CVE-2020-12352, CVE-2020-24490

In linea generale un malintenzionato, grazie a BleedingTooth, è potenzialmente in grado di eseguire codice sul dispositivo target, innalzare il livello autorizzativo con cui accede o causare un disservizio, i e , Denial of Service (DoS)

Qui di seguito un possibile scenario di attacco, descritto con un alto livello di astrazione, che ha il solo fine di comprendere meglio l’impatto che potrebbe avere lo sfruttamento di tali falle Il protagonista dei passi seguenti è un attaccante che si trova in prossimità deldispositivodellavittimamasenzaavernel’accessofisico:

vieneeseguitodelcodicemalevolesuldispositivovittima,comeadesempiol’installazionediunabackdoor; sifaprivilegeescalationverticale:siottengonoautorizzazionidiamministratoresuldispositivovittima; sisfruttaildispositivovittima,oramaicompromesso,persferrareunattaccoadaltremacchinealuicollegate siesportanodatistrategiciconservatisuunadellemacchinecompromesse

Nel caso in cui si proietta tale attacco all’interno di un sistema di automazione, dove la disponibilità è un requisito fondamentale, un DoS può essere tradotto in un costo economico importante. Un fattore degno di nota è che un attaccante che sfrutta BleedingTooth, potrebbe potenzialmente eludere la prima linea di difesa cyber di una qualsiasi realtà aziendale Questo diventa ancora più rilevante in relazione al fatto che persegnaleBluetootha24GHz,incontestipiuttostoaperti,siparladidistanzemassime di circa settanta metri Distanza che definisce, di fatto, lo spazio entro il quale il dispositivovittimaèpotenzialmentevulnerabile

PILLOLA N. 32

Enel è stata vittima di un attacco ransomware nei mi giorni di ottobre.

a seconda volta che accade in questo 2020 e esta volta l'azienda si trova davanti ad una iesta di riscatto di ben 14 milioni di dollari, da te del gruppo hacker Netwalker, per poter rare in possesso della chiave di cifratura ed are inoltre che gli attaccanti rilascino svarati abyte di informazioni sottratte illecitamente.

Il gruppo hacker afferma di aver sottratto 5 terabyte di informazioni, e è pronto a renderne pubblica una parte entro una settimana qualora la società non pagasse il riscatto. Non solo: gli hacker hanno promesso di analizzare minuziosamente tutte le informazioni trafugate alla ricerca di "materiale interessante" da pubblicare sul loro sito

Secondo alcune fonti sarebbero stati hackerati alcune cartelle contenenti i dati relativi alle centrali elettriche del Gruppo (in Italia e all’estero), D Impiantiedatidinaturaaziendale Si tratta di una strategia collaudata che ha lo di mettere pressione sulla vittima per costrin pagare il riscatto, e che spesso trova su permettendo all'attaccante di intascarsi un sa quattrini. La richiesta di riscatto, come detto milioni di dollari, è stata richiesta in poco più d bitcoin

All'inizio del mese di giugno la rete inter Gruppo Enel è stata bersaglio del ranso Snake, noto anche come EKANS, ma il tenta attacco è stato bloccato sul nascere prima malwarepotessediffondersi.

PILLOLA N. 33

I ricercatori di Kaspersky hanno identificato un ovo Trojan, più specificatamente un RAT, minato Ghimob sviluppato da un gruppo minale Brasiliano di nome Guildma.

llo specifico con RAT (Remote Access Trojan) si ende un Trojan che permette un accesso moto di tipo amministrativo non autorizzato ckdoor) I target di Ghimob sono le applicazioni obile riconducibili ad istituti di credito installate dispositivi Android.

p g p o,essereilprincipalevettorediinfezione.Una voltacheilTrojanèstatoinstallato,sfruttadellefunzionalitànativedeisistemiAndroid perdisabilitarelapossibilitàdidisinstallarlomanualmentee,girandoinbackground, riesceanascondersiperfettamente.Unavoltacheundeviceèstatoinfettato, l’attaccantepuòaccederedaremotoaldispositivovittimaNormalmente,ilTrojanèin gradodiregistrarequellochevienedigitatosultelefonoemanipolareilcontenutodello schermo. L'attaccanteha,difatto,pienoaccessoaldispositivovittimaepuòbypassare granpartedellemisureimplementatesiaalivellodeldispositivostessochealivello degliistitutibancariNellospecifico,perquantoriguardal'autenticazionedeldispositivo, ilTrojanmemorizzailcodicedisbloccoinseritodall'utente,oltreallediversepassword. Perquantoriguarda,invece,leprotezionialivellodellebanche,l'attaccantesfruttaun accessolegittimofattodall'utenteperpoieseguire,senzaesserevisto,operazioninon autorizzate.Inpratica,unavoltacheèavvenutol'accesso,vienemostratoallavittima qualcosa,adesempiounaschermatanera,conilsoloscopodidistoglierel'attenzione dall’azionechepermetteiltrasferimentodifondiIsistemiantifrodedellebanchenon invianonessunallarmeproprioperilfattochel'accessovienefattoconlecredenziali dell'intestatariodelconto,compresouneventualesecondofattorediautenticazione Inquestomodoagliistitutifinanziarinonrisultanoattacchiailorosisteminétantomeno anomalie,l'eventualedannoeconomicovaaricaderecompletamentesullavittima Sarebbeopportunocheleistituzionifinanziariesiadoperinoamigliorareletecnologie antifrodeediautenticazioneconun’otticadimitigazionedeirischirispettoaqueste nuoveminacce

Si chiama RegretLocker il nuovo ransomware in grado di danneggiare i dischi virtuali sulle macchine Windows sfruttando funzioni proprietarie e legittime del sistema operativo stesso. Come noto, i drive virtuali sono dei dispositivi riconosciuti dai sistemi operativi attraverso l’uso di software emulatori che leggono delle immagini disco anziché dei veri e propri dischi fisici Ma perché un ransomware specializzato in macchine virtuali?

Per capirlo, è necessaria qualche premessa La prima riguarda gli obiettivi dei pirati informatici: è da tempo che i criminali specializzati in attacchi ransomware hanno tra i loro bersagli privilegiati le aziende. Una strategia piuttosto comprensibile: colpire un’impresa consente infatti di estorcere somme molto più consistenti rispetto a quanto sia possibile spillare a un comune cittadino. Il fenomeno della digitalizzazione e il passaggio ai sistemi virtualizzati basati su piattaforme cloud, però, i pirati hanno cominciato a riscontrare qualche difficoltà Le macchine virtuali, infatti, usano unità disco che sono “racchiuse” in singoli file di dimensioni notevoli, che i crypto-ransomware faticano a compromettere in tempi brevi In altre parole: quando un ransomware deve “prendere in ostaggio” tanti singoli file di piccole dimensioni, riesce a farlo più rapidamente di quando si trova ad avere a che fare con un unico file di grandi dimensioni. La conseguenza è che i sistemi di protezione (o gli amministratori di sistema) hanno a disposizione più tempo per accorgersi di ciò che sta succedendo e bloccare l’attacco

Gli autori di RegretLocker, però, hanno trovato un sistema per aggirare l’ostacolo, il malware utilizza un software per montare il disco virtuale e avviare la crittazione dei dati all’interno di un ambiente che gli consente di agire come su una macchina fisica. Nel dettaglio, RegretLocker utilizza il sistema di virtualizzazione di Windows basato su API per montare il file e accedervi. Il malware, inoltre, adotta anche una serie di accorgimenti, come quello di utilizzare l’Api Windows Restart Manager per terminare tutti i processi e i servizi che mantengono aperto uno dei file che sono sottoposti a crittografia, impedendone così il recupero per vie traverse

Difficile a credersi, ma una falsa app IO risulta in questi giorni tra le più popolari per gli utenti Android.

Il suo nome, per intenderci, è “Cashback di Stato –Italia“ , mentre al quarto posto di questa particolare classifica troviamo “Cashback di Stato Italia App“ . Hanno un costo pari rispettivamente a 0,99 euro e 0,49 euro, ma nessuna delle due funziona Niente transazioni visualizzate e pagamento associato al download, nonostante sia risaputo che l'applicazio

ne ufficiale sia del tutto gratuita Come si può facilmente immaginare, la doppia app IO Cashback di Stato non funziona, non accetta bancomat e risulta in tutto e per tutto una truffa Qualche sviluppatore, infatti, ha pensato di sfruttare la popolarità di nomi solo apparentemente connessi all’applicazione ufficiale, per piazzarne alcune negli store Al momento, da Google e Apple non ci sono filtri e in tanti, completamente ignari di ciò che sta avvenendo, procedono con download e pagamento.

L’immagine ad inizio articolo è chiara. La notizia che le due app “Cashback di Stato –Italia”e “Cashback di Stato Italia App” è assolutamente vera Ricordate che l’app IO è gratis, mentre queste “ingannevoli” non fanno altro che calcolare il 10% della somma che inserisce un utente

Dunque, non funziona nulla e bisogna prestare attenzione al bancomat se non si vogliono ulteriori brutte sorprese dopo aver pagato qualche spicciolo per il loro download.

Il fatto comunque che siano a pagamento e non gratuite potrebbe essere ragione sufficiente per tirare un sospiro di sollievo: con buona probabilità, chi le ha create ha pensato che fosse un modo per fare cassa rapidamente; se dietro ci fosse stato un tentativo di phishing o maladvertising sarebbero state gratuite per raggiungere un pubblico più grosso.

Alcuni gruppi di cybercriminali avrebbero messo le aziende coinvolte nella distribuzione ni per il Covid-19. Obiettivo colpire la el freddo” necessaria per far arrivare le nciare l'allarme è Ibm che avrebbe in informazioni dettagliate su tutti gli aspetti su quella che si presenta come una campagna di phishing contro chi sta al vaccino Come spiegano i ricercatori , bbe di una tecnica usate nelle truffe he usa la posta elettronica.

Le mail sono inviate a nome di dirigenti di fornitori di catene del freddo specializzati nel trasporto di vaccini e nella conservazione di campioni biologici Si cliccano e all’interno hanno software malevoli. Secondo IBM Security X-Force che si occupa di monitorare e rispondere alle minacce informatiche messaggi di posta elettronica di questo tipo hanno raggiunto circa dieci società e organizzazioni diverse Nel mirino ad esempio la Direzione Generale della Commissione Europea per la Fiscalità e l'Unione Doganale ma anche aziende specializzate nei pannelli solari che saranno usati per alimentare i frigoriferi nei Paesi caldi, produttori di ghiaccio.

Sappiamo che i vaccini hanno bisogno di temperature molto basse per mantenere intatta l’efficacia Quindi occorre garantire una catena del freddo sicura per la distribuzione delle dosi e una organizzazione logistica per garantire la possibilità di accesso negli ospedali e nelle strutture dedicate. Entrare nei server attraverso i quali passano le informazioni sulle distribuzioni di vaccino vuol dire ottenere informazioni riservate sulle politiche sanitarie e sulle strutture dedicate. La sanità da alcuni anni è diventata sempre più un bersaglio sensibile degli hacker. Entrare nell’healtcare vuole dire avere una capacità di ricatto senza precedenti

La SonicWall, azienda che produce dispositivi di rete tra cui VPN e Firewall ha subito un “attacco sofisticato” che avrebbe (probabilmente) sfruttato una falla di sicurezza sconosciuta, presente nelle stesse appliance di sicurezza SonicWall. prodotti individuati in un primo momento dall’azienda come possibili bersagli dell’attacco sono due: i clienti NetExtender VPN e i gateway Secure Mobile Access (SMA) SonicWall ha specificato che il campo è stato ristretto ai dispositivi SMA della serie 100, escludendo che il problema possa trovarsi nel client VPN

Mentre gli esperti di SonicWall continuano a investigare per definire i contorni e le dinamiche dell’attacco subito dall’azienda, i suoi tecnici si sono preoccupati di comunicare alcuni accorgimenti che permetterebbero di mitigare il rischio di attacchi per gli utenti che usano i due prodotti in questione

Nel dettaglio, il loro suggerimento è di limitare le connessioni ai dispositivi SMA attraverso la predisposizione di una White List che consenta di bloccare eventuali comunicazioni malevole.

Questo, spiegano i tecnici, può essere fatto attraverso un firewall o utilizzando gli stessi sistemi di configurazione di SMA L’attacco a SonicWall conferma una nuova tendenza, emersa in queste ultime settimane, che vede evidentemente i pirati informatici particolarmente interessati agli strumenti e alle tecnologie in uso alle società di sicurezza.

Prima dell’azienda californiana, infatti, a subire le “attenzioni” dei cyber criminali sono stati FireEye, Microsoft e Malwarebytes

La crescita dell'ecommerce prosegue, e di pari passo le truffe associate agli acquisti online, soprattutto in tema di consegne. Una ricerca edita da SAP certifica che le restrizioni ai movimenti hanno fatto aumentare l’acquisto online di generi alimentari e prodotti per la pulizia rispettivamente del 78% e del 49% Bitdefender Antispam Lab ha osservato un aumento del 30% nella diffusione di campagne di phishing che sfruttano i nomi di società di spedizioni rinomate e affidabili come DHL, TNT, FedEx, e UPS.

L'attivitàdiBitdefenderAntispamLabhaevidenziatocheil18gennaio2021il61%ditutta la corrispondenza in entrata che sembrava provenire da DHL è stata contrassegnata come spam. Nel complesso, quasi il 30% di tutto lo spam ricevuto relativo al servizio di consegnasièrivelatoessereuntentativodiphishingoavevaallegatidannosi.

Lamaggiorpartediquestimessaggiinformaildestinatariochelaconsegnadelpaccoè insospeso Mostraloghiaziendalipiùomenocredibili,numeriditrackingofatturefasulli che aggiungono credibilità alle email truffa Inoltre vengono utilizzati vari escamotage per costringere l’utente ad accedere all'allegato, come un indirizzo di consegna errato, regoledisicurezzainmeritoalCOVID-19,eccetera.

E'benediffidaredimessaggiprovenientidaaziendeditrasporto Difficilmenteunvero corrierescriverebbenell'oggetto"Abbiamobisognodellatuaconfermaperspedireiltuo ordine" Chihaeffettivamenteordinatomerceonline,neldubbiofaràbeneacollegarsial sitodiecommerceecontrollaredalìlostatodell'ordine.

Chi apre queste email e clicca su link o allegati scarica malware che possono causare danniaidispositivieportarealfurtodiinformazionipersonali Leemailtruffariportatein questapaginasonoininglese,manestannocircolandomolteancheinitaliano

La società di sicurezza informatica SentinelOne ha duato una vulnerabilità di Microsoft Windows der che è rimasta inosservata per almeno 12 colosso di Redmond ha corretto il problema gli aggiornamenti del patch tuesday di dì 9 febbraio 2020 Il problema, secondo le mazioni divulgate dai ricercatori, riguarda un che Windows Defender usa per eliminare uali file e strutture invasive che possono e create da un malware quando romette il sistema. Nel momento in cui tale driver rimuove un file dannoso lo sostituisce con

una sorta di "segnaposto" durante le operazioni di riparazione I ricercatori hanno però notato che il sistema non va ad eseguire una nuova verifica su quel file-segnaposto creato: ciò lascia aperta la possibilità per un attaccante di inserire collegamenti di sistema opportunamente orchestrati così che spingano il meccanismo di Windows Defenderasovrascrivereilfilesbagliatooaddiritturaadeseguirecodicedannoso.

Microsoft ha classificato la vulnerabilità, identificata dalla sigla CVE-2021-24092, come rischio "alto" , anche se è bene precisare alcuni dettagli. Anzitutto la vulnerabilità può essere attivamente sfruttata solamente se un attaccante abbia già avuto modo di ottenere accesso, fisico o remoto, ad una macchina Ciò significa che il problema individuato da SentinelOne, non è in grado da solo di permettere ad un attaccante di aprirsiunvarcod'accessoalsistema.

Lavulnerabilitàèrimastasconosciutaperunperiodocosìlungopoichéilmeccanismodi funzionamento del driver "incriminato" è abbastanza particolare Esso infatti non rimane installatoinmanieraperpetuacomeaccadeperunqualsiasialtrodriverdiperiferica,ma sitrovainuna"libreriadicollegamentodinamico"chepermetteaWindowsDefenderdi caricarlosolamentequandosipresentalanecessitàedicancellarlodaldiscounavolta cheildriverhaespletatolesuefunzioni

I computer Apple hanno spesso fama di essere inattaccabili dai virus, ma - come dimostra la recente scoperta di Red Canary - ciò non è vero.

È infatti ampiamente in circolazione, essendo stato individuato in 153 nazioni - un malware che ha già infettato 30.000 Mac ed è stato battezzato Silver Sparrow.

Fin qui la storia è abbastanza normale; ciò che è strano è il comportamento di Silver Sparrow.

Dopoessersiinstallatosullasuavittimasenzafarsinotare,nonfaaltrochecontattareun serverunavoltaogniora Tuttoqui:noninviaidatidell'utente,nonscaricaistruzioni,non sembraaverealcunoscopo.Peradesso,almeno.

La sua compatibilità con i chip M1, la diffusione globale, il tasso di infezione relativamente alto e la maturità operativa suggeriscono che ci troviamo di fronte a una minacciaragionevolmentepreoccupante,cheèstatacapacediacquisireunaposizione unicautileperportareunattaccopotenzialmentepesanteesenzapreavviso».

SilverSparrowsembradunquepiùchealtrouna"celluladormiente",maèinteressante come sia in grado di infettare non soltanto i Mac più vecchi con processore Intel ma anche quelli più recenti, dotati di processore Apple M1: la minaccia, insomma, è stata benstudiata,perquantoalmomentosiasostanzialmenteinnocua.

Il lato positivo della vicenda è che la scoperta precoce del malware è utile a bloccarlo prima che faccia danni sul serio: Apple ha revocato le autorizzazioni ai file binari usati perdiffondereSilverSparrow,cheeranostatifirmaticongliIDSviluppatoreSaotiaSeay (v1)eJulieWilley(v2).

Da questo momento, quindi, non è più possibile installarli, anche se è lecito presumere chechihafattotantafaticapersviluppareilmalwaretroveràaltrevieperdiffonderlo

Le email mettono a rischio i dati aziendali più di alsiasi altra minaccia. A dirlo sono 500 ponsabili IT di Stati Uniti e Regno Unito che orano presso servizi finanziati, assistenza legale anitaria. E lo ammettono anche 3000 dipendenti le stesse aziende, che lavorano da casa

dati emergono dal 2020 Outbound Email curity Report di Egress, azienda specializzata la sicurezza delle email Fra i responsabili IT erpellati il 95% reputa che i dati dei clieni e delle

aziendesonoarischioviae-mail Lacolpaèperlopiùdell'erroreumano L'83%delle aziendehasubitoviolazionideidatitramiteemailnegliultimi12mesi.Nel24%lacausaè stata la distrazione di un dipendente che ha condiviso i dati per errore, per esempio inviandoun'emailcondatisensibilialdestinatariosbagliatooallegandoilfileerrato

Le cause sono molte. Da una parte c'è il fattore psicologico: il 73% dei dipendenti è afflittoopreoccupatodallasituazionesanitaria,quindicommettepiùerrori Dall'altra, lavorando da casa c'è la tendenza ad abusare delle email come strumenti di comunicazione.

Èindicativoalriguardoildatosecondocuil'85%deidipendentiinviapiùemaillavorando daremoto,lespedisceanchefuoridall'orariodilavoro,ofaaltromentreinvialeemail Questoaumentailrischiodiviolazionedeidati,comerilevatodairesponsabiliIT:il59% haannotatounaumentodellafugadidativiaemail

Occorrono strumenti capaci di adattarsi al comportamento umano e prevenire i problemi in maniera automatizzata. La maggior parte delle insidie via email è rappresentata da messaggi di phishing o di tipo BEC, che traggono facilmente in ingannounapersonaattenta,figuriamociunadistratta

L'epilogodelreportèquasiscontato.Daunapartebisognausaresoluzionidiprotezione adeguate,chefaccianousodell'IntelligenzaArtificialeedelmachinelearning Dall'altraoccorreinvestirenellaformazionecontinua.

Gli aggiornamenti Microsoft del Patch Tuesday di marzo 2021 affrontano complessivamente 89 vulnerabilità, di cui 14 classificate come critiche e 75 con un livello di gravità indicato come importante.

Tra gli aggiornamenti di questo mese sono presenti anche quelli che correggono cinque vulnerabilità già precedentemente divulgate e attivamente sfruttate in natura Quattro delle falle attivamente sfruttate (CVE-2021-26855, CVE-202126857, CVE-2021-26858 e CVE-2021-27065),

identificateinMicrosoftExchange,sonogiàstatecorrette.Laquintavulnerabilità attivamentesfruttatadaicybercriminalièstatainveceidentificataneibrowserInternet ExplorereMicrosoftEdge(CVE-2021-26411):secondoiricercatoriMicrosoft,sarebbe disponibileonlineancheunProof-of-concept(PoC)chemostracomerealizzarel’exploit.

Lavulnerabilità(CVE-2021-26411)identificataneibrowserEdgeeInternetExplorer riguardaundifettodicorruzionedellamemoriaepotrebbeconsentirel’esecuzionedi codicedaremotosuisistemiinteressatinelmomentoincuilevittimedovesseroessere indotteavisualizzareunfileHTMLmalevoloappositamenterealizzato.

Microsoft aveva già rilasciato aggiornamenti di sicurezza “out-of-band” per le vulnerabilità,rinominateProxyLogon,giàattivamenteutilizzatedaattoricriminaliintutto ilmondopercompromettereiserverMicrosoftExchange.Leultimestimeparlanodi oltre60.000attacchiandatigiàabuonfine,buonapartedeiqualihannocolpitoaziende dipiccoleemediedimensioni

Windows10ègiàconfiguratopercontrollareperiodicamenteladisponibilitàdi aggiornamenticriticieimportanti,quindinonc’èbisognodieffettuaremanualmenteil controllo Quando un aggiornamento è disponibile, viene scaricato e installato automaticamente, mantenendo il dispositivo aggiornato con le funzionalità e i miglioramentidisicurezzapiùrecenti

Si chiama System Update ma non è un aggiornamento di sistema, bensì un ’ app fake dietro la quale si nasconde un potente spyware capace di prendere il pieno controllo dei dispositivi Android.

Il malware è infatti capace di rubare informazioni personali delle vittime: elenco dei contatti, segnalibri e cronologia del browser e messaggi WhatsApp; oltre ad essere in grado di registrare l’audio ambientale e le telefonate o di scattare foto utilizzando la fotocamera dello smartphone.

Inoltre, può anche tracciare la posizione della vittima, cercare file con estensioni specifiche ed es filtrare dati dagli appunti del dispositivo

L’app System Update non è presente all’interno del Google Play Store, ma può essere scaricata da fonti esterne e store di terze parti, che quindi si confermano ancora una volta pericolose fonti di diffusione di malware.

Si potrebbe facilmente scambiare System Update per un importante aggiornamento del proprio smartphone e acconsentire quindi all’installazione dell’app malevola

Secondo quanto analizzato dai ricercatori di sicurezza di Zimperium, una volta che la vittima installa l’app System Update, il malware comunica con un server attivo sulla piattaforma Firebase utilizzato per controllare da remoto il dispositivo compromesso.

Proprio grazie allo sfruttamento del servizio di messaggistica della piattaforma Firebase (di proprietà della stessa Google) lo spyware System Update è in grado di visualizzare una notifica sul dispositivo della vittima nel caso in cui lo schermo risultasse spento, per informarlo della disponibilità di un aggiornamento di sistema

Completata l’installazione, lo spyware System

Update avvia la sua campagna malevola registrando innanzitutto il dispositivo sul server di comando e controllo (C2) sulla piattaforma Firebase gestito dai cyber criminali.

In questa fase, vengono inviate informazioni come la percentuale di carica della batteria, le statistiche sullo spazio di archiviazione nella memoria dello smartphone e se sul dispositivo è installato WhatsApp, il tutto sottoforma di un file ZIP crittografato.

Nel tentativo di eludere il rilevamento da parte di eventuali sistemi di controllo installati sullo smartphone target, il malware non solo organizza i dati raccolti in diverse cartelle all’interno della sua memoria privata, ma elimina anche qualsiasi traccia di attività dannosa cancellando i file ZIP non appena riceve un messaggio di avvenuta esfiltrazione dati dal server C2

Inoltre, per ridurre ulteriormente il rischio di essere identificato, lo spyware System

Update riduce la quantità di traffico consumata caricando sul server C2 miniature delle immagini e anteprime dei video rubati alla vittima.

E’ importante evitare di installare app al di fuori del Google Play Store, a meno di non avere la certezza assoluta sulla sua autenticità Il problema è che su molti vecchi dispositivi non è possibile eseguire le versioni più recenti delle app usate quotidianamente e questo spinge molti utenti a scaricare vecchie versioni ancora compatibili con il proprio smartphone da app store illegali o non attendibili.

Fortunatamente, come abbiamo visto, lo spyware nascosto nella finta app System

Update richiede l’azione dell’utente per essere installato: alla luce di quanto appena detto, il consiglio è dunque quello di non installare file APK scaricati da fonti non attendibili

PILLOLA N. 44

Le informazioni personali di circa 533 milioni di utenti Facebook sono finiti online su un popolare forum di hacker, consultabili gratuitamente. Si parla di numeri di cellulare, ID Facebook, nome, sesso, occupazione, data di nascita, indirizzi email e altre informazioni, come la posizione lavorativa e la situazione sentimentale Le vittime risiedono in tutto il mondo, Italia compresa. A quanto si apprende dalle fonti, il data leak non è recente: le stesse informazioni erano già circolate in una community di hacker nel giugno 2020.

ComeconfermatodaFacebook,lagenesideldataleakèfigliadiunavulnerabilitàdi sicurezzacheerastatasfruttatanellontano2019echeèovviamentechiusadatempo. Gliespertidisicurezzareputanochedopoilprimorounddivenditasiastatogeneratoun botTelegramprivatochehapermessoadaltricybercriminalidipagarecifremolto basseperaccedereaglistessidati.

l fatto che le informazioni siano in circolazione da tempo ne ha creato un deprezzamentoprogressivo,finoadarrivareadesserecondiviseatitologratuito.Questo tuttavianonabbassalasogliadirischioperlevittimecoinvolteLafugadiinformazioni personalionlinecomporteràsenzadubbiounmarcatoaumentodegliattacchidi smishing.LosmishingconsisteintruffeviaSMS,chespessofannolevasuunbrand notopertrarreiningannolepotenzialivittimeespingerleacliccaresuunlinkmalevolo

Aseguitodiundataleak,laprimaazionedacompiereècontrollarechelapropriaemail nonsiastatacompromessa,usandoservizigratuiticomeperesempioHaveIBeen Pwned.Ascansodiequivoci,èmegliocambiarelepasswordrimpiazzandoleconchiavi lungheecomplesse.NelcasodiunsocialnetworkcomeFacebook,èbeneanche provvederealimitareleinformazionidiffusetramiteilprofilopubblico

Inoltre,siconsigliadifarebuonusodellafunzionedisegnalazionedellospamnelclient dimessaggistica,dimodocheimessaggifraudolentivenganobloccatiall’origine

Si chiama FluBot il trojan bancario per Android che si sta diffondendo molto rapidamente in Italia: il malware è in grado di rubare informazioni sensibili come credenziali dei conti correnti delle vittime e le password di app come WhatsApp, Facebook, Gmail, Instagram e simili

FluBot viene veicolato attraverso messaggi SMS che fanno riferimento a finte spedizioni del corriere DHL (in alcuni casi anche UPS o altri) e invitano l’utente a cliccare sul link indicato per tracciare il pacco e ottenere ulteriori indicazioni sull’ordine.

Almomentosonoduelevariantidi

FluBot isolate dagli analisti del CERT-AgID e identificate con il numerodiversione3.9e4.0:l’escaè semprelafintaspedizioneDHL,ma mentrenellaprimaversionel’SMSdi phishinginvitalavittimaatracciare l’ordine,nellaversionepiùrecenteil messaggiofariferimentoaduna

mancata consegna del pacco chiedendo di pianificare una nuova spedizione cliccando sul link proposto. Secondo gli analisti del CERT-AgID non siamo difronte al classico smishing (phishing via SMS) sfruttato dai cyber criminali per indurre le vittime a fornire le credenziali di accesso o gli estremi del conto corrente: l’attuale attività malevola è invece una vera e propria campagna di distribuzione dell’infostealer FluBot (per dispositivi Android) focalizzato anche sul furto dei dati di carta di credito e credenziali 2FA(doppiaautenticazione)utilizzateperl’accessoaiservizidihomebanking

Non potendo accedere ai file di dati e alle applicazioni installate sui dispositivi Android per la mancanza degli opportuni permessi, FluBot necessita dell’interazione dell’utente per completare la sua opera malevola e per questo utilizza la tecnica del finto SMS che induceacliccaresullinkcontenutoneltesto

In particolare, quando la vittima clicca dal suo dispositivo Android sul link presente nel messaggio SMS, viene visualizzata una pagina Web con i loghi di DHL e viene proposto il download di un file DHL.apk.

Nel momento in cui viene aperto il file APK, inizia la catena infettiva vera e propria del malware FluBot. Le sue principali azioni sono quelle di presentare una finta pagina di verifica di Google Play Protect (per simulare un controllo antivirus sull’applicazione appena scaricata) che richiede l

’inserimentodeidatidellacartedicreditoedimostrarefintepaginediphishing all’aperturadiappspecifiche(comeGmail,WhatsAppeInstagram)sostituendole paginerichiestedalleappconformappositamentepredisposteperilfurtodeidati Idatiinseritidallavittima,sianoessinumeridicartedicreditoocredenzialidiaccesso alleapp,vengonoquindiinviatialserverdicontrollodelmalwareFluBot.

Il primo consiglio utile per prevenire l’infezione del malware FluBot consiste nel controllaresempreconlamassimaattenzioneilnomedelsitonellink(ilnomedel dominio)acuipuntailcollegamentoindicatonelmessaggioSMS:seilsitononèquello diDHL,UPSodialtricorriericitati,ilmessaggioricevutoèmalevolo.Adesempio,il collegamentohttps://laloorna.com/pkge/?1sbk89jvbma3puntaalsitolaloorna.com cheevidentementenonèquellodiDHL.

Per eliminare il malware dal proprio dispositivo, è sufficiente scaricare il tool di rimozione pubblicato su GitHub In particolare, è necessario cliccare sui pulsanti presentinellapaginaWebcheappareperscaricaredelleapplicazionivuote(inrealtà sonodegli“aggiornamenti”dell’appusatadaicybercriminaliperdiffondereFluBot)che, unavoltainstallate,sovrascrivonoquelladelmalware.

Unavoltachel’installazionedell’appdirimozioneharimossoicomponentidelmalware, èpossibilerimuovereanchel’applicazionestessa

PILLOLA N. 46

Il malware adotta una curiosa tattica per ingannare le vittime: simula un attacco ransomware e nel frattempo ruba tutte le informazioni sensibili dal PC La campagna di distribuzione, secondo i ricercatori di Microsoft, sarebbe portata avanti su larga scala attraverso l’utilizzo di caselle email compromesse in precedenza dai pirati informatici A solleticare la fantasia degli esperti di sicurezza, però, non è la portata di questa campagna di distribuzione del trojan STRRAT, quanto le caratteristiche del malware stesso.

Iltrojan,sviluppatoinJava,hacomeobiettivoilfurtodiinformazionisensibilidai computer con sistemi Windows. Per garantirsi agibilità, però, finge di essere un ransomware.

Ilpayloadsfruttacomevettorediattaccounmessaggiodipostaelettronicacuiè allegatedelleimmagini“camuffate”daPDF Ilclicksulfileavviaildownloaddel malwareelasuaesecuzione.Unavoltainstallatosulcomputer,STRRATmodificatuttii documentipresentisulsistema,modificandonel’estensionein.crimson.Ilmalware, però, non utilizza alcun sistema di crittografia. Insomma: basterebbe reinserire l’estensioneoriginaleperottenerel’accessoaidati

Laproceduranonprevedelavisualizzazionediunmessaggiodiriscatto,macomefanno notareiricercatoridiGData,chehannoanalizzatoSTRRATloscorsogiugno,ipirati informaticipossonoutilizzareglistrumentidicontrolloremotoperinviarequalsiasi messaggiodesiderinoallelorovittime.Loschemaestorsivo,ancheconsideratala tecnicautilizzata,nonèperòl’obiettivoprincipaledeicybercriminali.Oltreaunaseriedi funzionalitàcheconsentonodieseguireulteriorecodicesullamacchinainfetta,STRRAT integra dei comandi specifici che gli permettono di esfiltrare le credenziali memorizzateall’internodelbrowsereunkeyloggerchepermettediregistraretutto ciòchevienedigitatosullatastiera.Insomma:STRRATèunclassicotrojanel’attivitàche simulal’attaccoransomwareèpocopiùcheunospecchiettoperleallodolechepuntaa “distrarre”lavittima,mentreibackgroundilmalwaresvolgelasuarealeattività

Nuovo successo per gli agenti federali che hanno recuperato il riscatto pagato per l’oleodotto Colonial Pipeline. Ma forse le due cose sono legate.

Come sempre la tecnologia non è buona ne ’ cattiva per definizione: dipende da come la si usa. Le comunicazioni criptate sono sempre sotto i riflettori perché offrirebbero protezione alla criminalità organizzata, libera di operare in una terra di nessuno virtuale Ma gli stessi criminali possono finire vittime del mondo dell'anonimità garantita in maniera virtuale.

È successo così che da anni una app garantiva una piena sicurezza delle conversazioni, con copertura crittografica end-to-end, fornita attraverso apparecchi mobili appositi:

Anom era una delle piattaforme più utilizzate in tutto il mondo per scambiare messaggi coperti da anonimato e sicurezza, tanto da essere utilizzata da organizzazioni criminali perconcertarelestrategiedelleloroattività,senzafarsitroppiproblemidicopertureedi paroleincodice.

Peccato per loro che l'app fosse stata sviluppata nell'ambito di Trojan Shield, un 'operazione coordinata dall'Fbi, dalla Dea, l'agenzia antidroga americana, e dall'Europol, e che per mesi l'Fbi abbia monitorato qualcosa come 27 milioni di messaggi circolati su Anom tra oltre 12mila utenti in più di cento Paesi, tracciando le operazioniditrafficantididrogaedi“influencercriminali”

L'operazione ha portato nell'ultima settimana all'arresto di oltre 800 persone in tutto il mondo e al sequestro di otto tonnellate di cocaina, 22 tonnellate di cannabis e due tonnellatedidroghesintetiche

Quello che non sapevano gli utenti era che dal 2018 le autorità federali avevano preso il controllo del servizio. Anom utilizza telefoni mobili da qualche migliaia di dollari, privi di qualsiasi elemento come il Gps che abbia ricadute di tracciabilità e di identificazione, dotati solo di una app installabile solo su quei device che garantisce conversazioni coperta da protezione crittografica Dal 2018 questi apparecchi non venivano più venduti liberamenteederanoreperibilisolosulmercatonero

Dallo stesso anno l'Fbi si è infiltrato all'interno dei meccanismi di Anom grazie a uno sviluppatore che ha iniziato a collaborare permettendo agli agenti federali di intercettare e decifrare i messaggi.

Per l'Fbi si tratta della seconda grande operazione nel giro di pochi giorni Lunedì gli agenti federali avevano infatti annunciato di essere riusciti a recuperare 2,3 milioni di dollari pagati in criptovaluta ai cybercriminali che avevano bloccato l'oleodotto Colonial Pipeline per riprendere l'operatività. Il riscatto pagato un mese fa era stimato attorno ai cinque milioni di dollari.

L'azione è stata resa possibile dal recupero delle password per accedere al wallet digitale utilizzato per raccogliere i bitcoin utilizzati per pagare il riscatto e che, dietro l’anonimato del wallet, farebbe capo al gruppo DarkSide, già molto attivo in azioni di ransomware

Il wallet all'indirizzo bc1qq2euq8pw950klpjcawuy4uj39ym43hs6cfsegq è stato messo sotto osservazione dagli esperti di blockchain dell'Fbi che sono riusciti ad accedere con le password recuperando il possesso di 75 bitcoin pagati come riscatto.

I federali hanno tenuto ben cucite le bocche sui metodi per sbloccare il wallet digitale incriminato Ma non può essere escluso che l'operazione sia collegata alle intercettazioni di conversazioni legate all'app Anom

·

Negli ultimi anni, soprattutto a causa dell'emergenza sanitaria causata dall' arrivo del covid-19, la crescita dello Smart Working è stata esponenziale.

Il virus ha costretto a casa milioni di studenti e lavoratori, generando un massiccio aumento del traffico della rete domestica ed esponendo tutti gli utenti ad una miriade di attacchi informatici.

Secondo le stime di Positive Technologies, società di consulenza per la sicurezza informatica operante a livello globale, nel 2020 il numero di minacce informatiche è cresciuto del 51% rispetto al 2019.

L’Italia è il quarto Stato al mondo per numero di attacchi informatici malevoli nell’ultimo anno (fonte MCAfee) Gli Stati Uniti contano quasi 3 milioni di rilevamenti di software malevolo,laSpagna2,3milioni,ilSudafrica1,5milioniel’Italiaoltre1milionidicasi Leminaccesonosemprepiùnumeroseediversificate

Il Governo italiano, ai fini del contenimento del crescente fenomeno, ha istituito, nello scorso mese di giugno, l’Agenzia per la Cybersicurezza Nazionale con circa trecento espertidelsettoreeunbudgetdi530milionidieurodaquial2027.

L'Agenzia, che opererà sotto la responsabilità del Presidente del Consiglio dei Ministri, avrà il compito di elaborare la strategia nazionale e sensibilizzare l'opinione pubblica sullaprotezionedigitale

Atalescopo,l’ACNsaràincaricatadi(exart7delDLn 82/2021):

esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessinazionali;

sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento, accertando leviolazioniederogandoeventualisanzioni;

contribuire all’innalzamento della sicurezza dei sistemi di Information and communicationstechnology(ICT)deisoggettipubblicieprivati;

supportare il Nucleo per la cybersicurezza (Nsc) il cui compito principale è quello di coordinare le agenzie di intelligence per prevenire e gestire le eventuali crisi che riguardanolasicurezzainformaticanazionale

PILLOLA N. 48-2

supportare lo sviluppo di nuovi progetti e nuove competenze nel campo della cybersecurity;

formare personale specializzato nella cybersicurezza attraverso borse di studio, di dottorato e assegni di ricerca;

assumere le funzioni di interlocutore unico nazionale per soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica;

svolgere campagne di comunicazione per sensibilizzare l'opinione pubblica riguardo la sicurezza e protezione digitale; cooperare a livello internazionale con le autorità competenti dei paesi esteri.

PrintNightmare: Incubo di stampa

Basta il nome per dare un’idea della gravità del bug scoperto nei giorni scorsi da Windows all’interno di Print Spooler, il servizio che gestisce il processo di stampa sui suoi sistemi operativi Patch di emergenza disponibile a questo link per tutte le versioni sul mercato.

Contrassegnata dalla sigla CVE-2021-34527, la vulnerabilità consente infatti a potenziali hacker di sfruttare il Print Spooler per eseguire codice non

autorizzato con privilegi di sistema La patch di emergenza disponibile a questo link In altri termini, abilita per esempio a creare o cancellare account e a installare malware per la sottrazione di dati personali

Oltre a un vettore di esecuzione di codice remoto (Rce), infatti, PrintNightmare ne include anche uno di escalation di privilegi locali (Lpe). E come confermato su Twitter dai ricercatori specializzati Will Dormann e Matthew Hickey, la patch rilasciata offre protezione solo nei confronti del primo Sebbene più ridotto, dunque, il rischio resta In attesa di ulteriori aggiornamenti di sicurezza l’unico modo per proteggersi al 100% è perciò quello di disabilitare il Print Spooler (perdendo però ogni possibilità di stampare)

Microsoft suggerisce di effettuare l’operazione tramite il comando PowerShell, raggiungibile dalla barra delle applicazioni o dal menu Start, e di impartire i seguenti comandi: «Stop-Service -Name Spooler -Force» e «Set-Service -Name SpoolerStartupType Disabled». Sarà poi possibile ripristinare in qualsiasi istante il servizio utilizzando «Set-Service -Name Spooler -StartupType Automatic» e «Start-ServiceName Spooler»

Un giochino, in cui l'utente veste i panni dell'astronauta, al fine di diffondere la cultura della sicurezza. È quello che si è inventato Google, in occasione del mese europeo della Cybersecurity (ottobre).

Si chiama “Space Shelter” e nasce da una partnership fra Google ed Euroconsumers, la rete di Organizzazioni di Consumatori che comprende Altroconsumo in Italia e le corrispettive in Spagna (Ocu), Belgio (Test-Achats) e Portogallo (DecoProteste).

Tutte queste associazioni hanno unito le forze per creare un piccolo videogames interattivo, con l'intento di aiutare le persone di tutte le età a mettere alla prova le proprie abilità e ad impararne di nuove A partire dalla creazione di una password a prova di hacker, fino all'autenticazione in due fattori, sistema di protezione reale ancora poco conosciuto e poco utilizzato.

Ogni giorno, Google blocca automaticamente più di 100 milioni di tentativi di phishing; Google Foto cripta 4 miliardi di foto, e Google Play Protect esegue scansioni di sicurezza su 100 miliardi di applicazioni installate

L'idea di “Space Shelter” è quella di rendere l’apprendimento della sicurezza online un ’avventura, con una grafica fluida, una colonna sonora e un sound design gradevole I giocatori (gli utenti) selezioneranno un avatar scegliendo tra una serie di personaggi e poi dovranno passare attraverso una serie di cinque mini-giochi prima di attraccare definitivamente alla loro destinazione: la base “Space Shelter”.

Per tutto il tempo, scopriranno gli elementi che rendono un account sicuro online, dall’uso di un gestore di password alla comprensione dell’autenticazione a più fattori e alle impostazioni della privacy

Il lancio di Space Shelter sarà sostenuto anche da 12 YouTubers dei quattro paesi che, come i veri astronauti, riceveranno un kit di sopravvivenza e l’addestramento da un ’autorità e promuoveranno il gioco a un gruppo più ampio di consumatori.

“Space Shelter” è stato realizzato da Gamindo in HTML5 ed è disponibile per Mobile (iOS e Android) e desktop.

La società italiana Clementoni, con sede a Recanati, è in difficoltà a causa di un attacco informatico all’infrastruttura aziendale che sembra essere datato allo scorso 4 dicembre L’attacco è stato rivendicato dal gruppo criminale collegato al ransomware Conti, sul proprio sito pubblico, utilizzato come vetrina per i leak delle vittime L’unico dato che il gruppo criminale fornisce è la grandezza del furto Sul proprio annuncio, infatti, la si dimensiona in 111 GB di dati esfiltrati dalla rete di Clementoni.

Conti ransomware è un gruppo criminale caratterizzato della velocità con cui crittografa i dati e si diffonde lateralmente all’interno dell’infrastruttura. Si pensa che l’azione di questo malware sia guidata da un gruppo con sede in Russia noto sotto lo pseudonimo di Wizard Spider. Il gruppo sta utilizzando attacchi di phishing per installare i trojan TrickBot e BazarLoader al fine di ottenere l’accesso remoto alle macchine infette.

L’e-mail utilizzata conferma di provenire da un mittente di cui la vittima si fida e utilizza un collegamento (URL) per indirizzare l’utente a un documento creato ad hoc Il documento su Google Drive, infatti, ha un payload dannoso e, una volta scaricato, verrà avviato il download anche di un malware backdoor Bazaar che collega il dispositivo della vittima al server di comando e controllo di Conti. Nel momento in cui è attivo sulla macchina compromessa, il ransomware Conti crittografa i dati e quindi utilizza uno schema di estorsione in due fasi

La gang criminale (esportando i dati crittografati dalla rete vittima) mette in piedi un sito web con il quale minaccia la divulgazione pubblica dei dati rubati, oltre che crittografati Quasi sempre il furto dei dati viene seguito dalla pubblicazione di un sample di questi dati, a dimostrazione della reale proprietà illecita dei dati rivendicati, salvo differenti accordi che di volta in volta i criminali possono prendere con la vittima di riferimento.

Come tutte le cose che ci circondano e che si evolvono rapidamente, anche il modo di fare guerra non è più lo stesso.

Il noto collettivo internazionale di hacker e attivisti Anonymous si è schierato a favore dell’Ucraina, dichiarando, attraverso un video di oltre tre minuti diffuso sui suoi canali sociali, guerra alla Russia.

Rivolgendosi direttamente a Putin, sostiene che " presto conoscerà la furia degli hacker di tutto il mondo, anche di quelli residenti nel suo Paese I suoi segreti non sono più al sicuro”.

A dimostrazione di quanto detto, ad oggi, risultano sotto attacco un gran numero di siti governativi di Mosca, Cremlino, ministero della Difesa, i quotidiani Kommersant e Izvestia e le più importanti agenzie di stampa russe, tra cui la storica Tass. Ques’ultima, probabilmente, ne è la manifestazione più eclatante in quanto alla conclusione di una notiziario, è stato inserito un comunicato con l'elenco - censurato a Mosca - delle perdite "delle Forza Armate della Federazione russa: 4300 uomini, 27 aerei, 26 elicotteri, 143 carri armati".

Colpiti dal collettivo di hacker anche i portali dei colossi dell’energia Gazprom, Rosneft e Lukoil e alcune infrastrutture Bielorusse; in particolare la rete ferroviarie fermando temporaneamente i treni che portavano le truppe di Putin oltre il confine in l'Ucraina.

Tra gli obiettivi di Anonymous si evidenziano: la distribuzione d’informazioni utili al popolo russo in merito alle "folli" azioni di Putin, la pubblicazione di aggiornamenti reali dal fronte, il blocco della propaganda e di fake news capaci di destabilizzare il morale delle truppe ucraine e di galvanizzare quelle russe.

Gli attacchi cybernetici sono una reale e concreta minaccia, non solo per il governo russo ma anche per tutti coloro che li subiscono

Nei primi giorni di giugno 2022 è stata identificata una vulnerabilità zero-day, nota come “Follina” , interessa Microsoft Office e che consente l’esecuzione di codice arbitrario tramite lo Strumento di diagnostica supporto tecnico Microsoft (MSDT)

La segnalazione della falla arriva da nao _ sec su Twitter, tramite un post in cui si segnala la presenza di un documento dannoso inviato a VirusTotal dalla Bielorussia e che sfrutta il collegamento esterno di Word per caricare un file HTML, seguito dall’uso dello schema md-msdt per eseguire codice su PowerShell.

IlricercatoredisicurezzaKevinBeaumonthascopertochelafallaeragiàstata segnalataaMicrosoftil12aprile,mal’aziendaavevachiusoilreportnonriconoscendoil problemacomeunaquestionedisicurezza.

Inognicaso,Beaumontsostienecheinvece,lacosaèpreoccupante,poichéquestafalla implical’usodimsdtancheselemacrosonodisattivatesuWord.Eseèveroche l’attaccoinizialesilimitaaeseguirecodiceallivellodell’accountutenteinseguito all’aperturadeldocumentomalevolo,taleaccessospianalastradaaulterioriattacchi chepotrebberoancheportareall’escalationdeiprivilegi

Perproteggersidallapossibileminaccia,iricercatorisuggerisconoduemetodi:ilprimo prevedediutilizzareleregolediriduzionedellasuperficiediattacco(ASR)diMicrosoft Defender,impostandoinmodalitàdibloccol’opzione“Impedirealleapplicazionidi Officedicreareprocessifiglio“ Inalternativa,l’analistaWillDormannconsigliadi rimuoverel’associazionedeltipodifileperms-msdt,comecondivisotramiteunpostsu Twitter

EsullafaccendaèappenaintervenutaancheMicrosoft,pubblicandounaguidadedicata allavulnerabilitànotacomeCVE-2022-30190.L’aziendaconsigliadidisabilitareil protocolloMSDTURLcomesoluzionetemporaneaalproblema,almenofinchénon arriveràunaqualchepatchufficiale.

PILLOLA N. 54

Nonostante il governo degli Stati Uniti abbia messo nella blacklist l’NSO Group, secondo un rapporto del NY Times, l’intelligence americana avrebbe in realtà tentato recentemente di acquistare la compagnia, utilizzando un ’azienda americana di comodo per mascherare le sue tracce

L’NSO Group è la controversa azienda israeliana dietro a Pegasus, uno dei più pericolosi ed abusati spyware della storia Pegasus è stato utilizzato da un gran numero di stati autoritari, democrature e in alcuni casi democrazie liberali per attività di sorveglianza giudicate illegali

Il potente malware, in grado di infettare gli smartphone senza la necessità che la vittima compia alcun passo falso, è stato utilizzato per spiare giornalisti, politici, attivisti per i diritti umani e governi stranieri La lista di persone spiate illegalmente include diversi VIP, tra cui il presidente francese Macron e l’ex premier italiano Romano Prodi

La sede dell’NSO Group avrebbe ospitato in diverse occasioni i dirigenti di un ’azienda statunitense: la L3Harris, un contractor che lavora frequentemente con il Pentagono. L3Harris ha realizzato Stingray, un hardware che, fingendo di essere una legittima cella telefonica, è in grado di agganciare i telefoni, filtrando e spiando ogni chiamata e messaggio in entrata e in uscita.

La L3Harris – rivela il NY Times – era intenzionata ad acquistare l’azienda israeliana, probabilmente con l’obiettivo di saccheggiare i suoi brevetti e riutilizzarne la tecnologia per potenziare i suoi prodotti L’operazione di acquisizione – dichiarano tre fonti anonime – sarebbe stata caldeggiata, se non direttamente promossa, dai servizi segreti statunitensi. Così, continua il New York Times, se pubblicamente il governo americano denunciava a gran voce l’attività di spionaggio resa possibile da Pegasus, segretamente la CIA e l’FBI avrebbero tramato per mettere le mani su quello spyware e utilizzarlo per le loro attività di sorveglianza.vProbabilmente la L3Harris avrebbe chiuso l’operazione, non fosse che la notizia dell’acquisizione è trapelata sui quotidiani, mettendo in grande imbarazzo la Casa Bianca

L’adozione delle criptovalute sta crescendo in tutto il mondo e sempre più risparmiatori decidono di diversificare i propri investimenti comprando monete digitali.

Purtroppo, con l’aumentare del loro utilizzo, cresce anche il numero di rischi e oggi, oltre a quello già noto dovuto all’estrema volatilità di questo mercato, se ne aggiunge uno ancora più pericolo riguardante la sicurezza

Ormai il mondo delle cripto è accessibile facilmente a tutti e se questo aspetto permette anche all’utente meno esperto di acquistare asset

digitali senza troppa difficoltà, parallelamente lo espone a malintenzionati pronti a colpire in ogni momento.

Secondo un rapporto della Federal Trade Commission, dall’inizio 2021 ad oggi sarebbero pervenute circa 50 mila segnalazioni di frodi per un valore di oltre un miliardo di dollari rubati in Bitcoin, Etherium e altre monete secondarie.

Social e APP non certificate

Quasi la metà degli utenti sarebbe stato raggirato tramite inserzioni, post e messaggi pubblicati sui social, come Instagram, Facebook o tramite l’utilizzo di APP di trading non certificate

Attirati da elevati guadagni in tempi brevi, cosa potenzialmente vera ma con seri rischi di perdere tutto il patrimonio, l’utente si ritrova a pagare commissioni e tasse esageratamente alte, pena il congelamento dei fondi depositati.

Questo il modo operandi di YiBit e Supay che, secondo quanto emerso dalle indagini dell’FBI, richiedevano alla vittima ingenti somme di denaro per la riattivazione dei fondi depositati

Attacchi hacker

Gli attacchi hacker si verificano su larga scala mondiale in tutti gli ambiti, criptovalute comprese; sono rivolti ai server delle agenzie con lo scopo di bloccarli o nel peggiore dei casi con lo scopo di rubare le monete digitali.

Gli attacchi DDoS sono quelli maggiormente efficaci Le società colpite, oltre al danno d’immagine, si ritrovano ingenti perdite finanziarie, dovute alla paralisi momentanea dei server, impedendo tutte le operazioni e transazioni finanziarie.

Nel peggiore dei casi, questo non è altro che un diversivo per poter accedere ai dati degli utenti o interferire con il processo di trading.

Phushing

Tra le altre tecniche utilizzate dagli hacker per raggirare gli ignari investitori, il phishing è la più comune. Il malintenzionato, fingendosi società di scambio certificate come Coinbase o Binance, cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso.

Cosa è possibile fare per difenderci?

Se state per entrare in questo mondo o ne fate già parte, il consiglio è quello di verificare la credibilità, la regolarità e l’affidabilità delle applicazioni, prima di fornire dati sensibili o informazioni personali.

Di particolare importanza è la scelta di un exchange crittografico sicuro e affidabile, meglio se registrato nel proprio Paese di residenza. Questo fornisce maggiori garanzie e permette di affidare il proprio denaro a società serie che investono nella sicurezza per servizi affidabili e sicuri

I cybercriminali hanno sfruttato l'eseguibile del Pannello di controllo di Windows 10 per l'installare di QBot e scaricare altri malware

Secondo quanto recentemente emerso, le email di phishing che distribuiscono il malaware denominato QBot sfruttano un difetto di dirottamento DLL nel Pannello di controllo di Windows 10 per poter infettare i computer degli utenti presi di mira, probabilmente nel tentativo di eludere il rilevamento da parte dei software di sicurezza adoperati

I cyber criminali hanno svolto l’attacco di phishing utilizzando la tecnica del reply-chain email. Sono dunque entrati nella discussione mediante indirizzi legittimi. Nel messaggio sisuggeriscedileggereunfileHTMLallegato,segnalatoconl’iconadiChrome.

Una volta aperto, il file Html espone l’icona di Google Drive e la password di un archivio Zip, che si scarica è in automatico..L’archivio ZIP include un’immagine ISO contenente quattrofile:un LNK,l’eseguibilecontrolexeedueDLL(edputildllemsoffice32dll) Appena l’utente digita sul file .LNK, prende il via il DLL hijacking. Avvia l’eseguibile del Pannello di controllo di Windows 10 (controlexe) che esegue edputildll nella stessa directory.DunquenonladirectoryufficialeinC:\Windows\System32.

La falsa DLL carica in memoria QBot via msoffice32dll Il dropper eseguito in backgroundpuòrubareleemailedeffettuareildownloaddialtripayload.

Il modo più efficace per fronteggiare minacce legate agli zero-day è avere una robusta postura di cyber security, in grado di offrire una gestione delle patch efficace e veloce, a cuiaffiancaresoluzionidiintrusiondetectionepreventiondialtoprofilo

PILLOLA N. 57

L’intelligenza artificiale guadagna interesse, ma comeognieventopopolareattiraicybercriminali.

I video AI-generated che si fingono tutorial diffondono infostealer: Sono video che si mascherano da tutorial su come scaricare versioni crackate di software come Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD ed altri prodotti sottolicenza,disponibiliapagamento

E YouTube è lo strumento scelto dal cybercrime comecanaledidistribuzionedeimalware

La possibilità di automatizzare il processo di generazione velocizza l’azione criminale, insieme alla capacità di creare contenuti di pregiata fattura che risultano interessanti per un ’amplia platea di utenti in cerca di copie piratate di popolari software Questi link sono spesso offuscati dall’uso di accorciatori di URL (gli URL shortener), in alternativa, sono ospitati su piattaforme legali come GitHub e Telegra.ph di Telegram.

Per difendersi è necessario rispettare le best practice di sicurezza. Non bisogna scaricare software crackato, ma solo programmi originali Non solo per non violare il copyright, ma anche perché si effettua il download di software solo dai marketplace legittimi Proprio per evitare che il social engineering induca le vittime ad atterrare su siti trappola.

L’ecosistema degli infostealer è inoltre composto di threat actor noti come traffer che sono assunti per diffondere malware attraverso molteplici metodi

Inoltre, occorre verificare gli URL accorciati perché non permettono di verificare la legittimità del dominio. La migliore arma di difesa è dunque la consapevolezza.