giovedì 28 giugno 2018

Rilasciato ufficialmente il nuovo standard di sicurezza WiFi WPA3


Questo Lunedì la Wi-Fi Alliance, l'organizzazione che gestisce le tecnologie Wi-Fi, ha annunciato il rilascio ufficiale di WPA3. WPA3 è l'ultima versione del WPA (Wi-Fi Protected Access), una tecnologia di autenticazione dell'utente per le connessioni Wi-Fi. 

Già in Gennaio la Wi-Fi Alliance aveva annunciato di essere a lavoro per migliorare la tecnologia di sicurezza WPA: i lavori si erano avviati quando alcuni ricercatori di sicurezza hanno pubblicato report riguardanti KRACK, Key Reinstallation Attack, un tipo di attacco capace di violare il protocollo WPA2 rendendo insicura la connessione Wi-Fi (per saperne di più leggi qui). Va detto che il WPA2 ha anche dimostrato, nel corso del tempo, una certa debolezza verso attacchi di brute-force a dizionario: un ulteriore stimolo a innovare e affinare questi meccanismi di sicurezza. 

martedì 26 giugno 2018

HeroRat: via Telegram in diffusione una nuova famiglia di malware


Colpisce solo Android ed è una nuova famiglia di Remote Adiministration Tool (RAT), ovvero uno strumento programmato per consentire a un dispositivo remoto di controllare un sistema come se vi avesse accesso fisico. Il codice sorgente di HeroRat è disponibile gratuitamente da Marzo 2018 e, dall'Agosto 2017, abusa del protocollo Telegram. 

Come si diffonde?
E' in vendita su un canale Telegram dedicato, ma il codice è in diffusione anche gratuitamente. Non è chiaro quindi se la variante in vendita sia stata creata dal codice sorgente trapelato oppure se, al contrario, sia quella la versione originale del malware. In ogni caso, i vettori d'infezione principali sono le app di app store di terze parti, app di messaggistica e social media. Attualmente non è stato riscontrato (almeno per ora) sul Google Play. 

lunedì 25 giugno 2018

Invasione di nuove varianti del ransomware Scarab


E' indubbiamente stata, quella appena trascorsa, la settimana del ransomware Scarab, la cui famiglia conta ormai svariate decine di versioni. E' come se ci fosse un flusso continuo di nuove versioni che vengono rilasciate in continuazione: per fortuna sono già disponibili alcuni tool di decriptazione, grazie a Dr.Web.

Ricordiamo che chiunque subisca un'infezione da ransomware può visitare la pagina www.decryptolocker.it o scriverci all'indirizzo alessandro@nwkcloud.com inviandoci due file criptati e, possibilmente, la richiesta di riscatto: procederemo ad analisi gratuita dei file e quindi, nel caso l'infezione risulti risolvibile, ad approntare il necessario tool di decriptazione. 

Le nuove varianti:
1) .good 

venerdì 22 giugno 2018

Campagna di email dannose ai danni di utenti italiani distribuisce trojan


Il 19 Giugno scorso il CERT-PA (Pubblica Amministrazione) ha rilevato e denunciato una nuova campagna di email di spam volte alla diffusione di malware contro utenti italiani. Le email, secondo la più classica tecnica di ingegneria sociale, tentanto di far credere ai destinatari di aver avuto scambi di email riguardanti il pagamento di alcune fatture. La peculiarità di queste email è legata al fatto che, contrariamente alla maggior parte delle campagne di spam, sono scritte in un italiano perfetto, cosa che le rende ancora più credibili agli occhi degli utenti. Le organizzazioni maggiormente coinvolte sono legate ai settori delle Telecomunicazioni, Statali, Costruzioni, Educazione e tecnologia. 

Il CERT-PA (report completo disponibile qui) ha analizzato alcuni casi, il primo dei quali vede l'invio di email ad opera, addirittura, di un account PEC:

giovedì 21 giugno 2018

Il GDPR e i diritti dell'interessato


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Il Regolamento Europeo in materia di trattamento dati personali, si basa sul principio della ACCOUNTABILITY, termine tipicamente anglosassone impropriamente da noi tradotto in “responsabilizzazione” o “rendicontazione”, termini che non rendono assolutamente l’idea del suo significato e della portata. L’accountability coinvolge tutti gli aspetti di affidabilità, competenza e gestione dei dati personali e diventa il paradigma o comunque il parametro di raffronto nel trattamento di tutti i dati personali al fine di garantire, tra l’altro, i diritti dell’interessato.
Ed invero, accanto a questo pilastro su cui ruota l’intero sistema, il GDPR pone alla propria base la figura dell’Interessato, cioè il titolare dei dati: il soggetto che autorizzerà il trattamento cui vengono riconosciuti veri e propri diritti espressi più compiutamente rispetto alla precedente normativa nazionale.

martedì 19 giugno 2018

MAC sotto attacco: malware e nuove tecniche di attacco.


Sono moltissimi gli utenti convinti che i Mac siano macchine inattaccabili, del tutto a prova di virus. Ci tocca fare il grillo parlante: non è vero, purtroppo. Per essere onesti fino in fondo è innegabile che i malware di ogni tipo e genere pensati per Windows sono di gran lunga un numero superiore a quelli pensati per il Mac, ma ciò non significa che non ne esistano. I Mac sono stati per molto tempo essenzialmente esclusi dal mondo del cyber crimine per una ragione piuttosto semplice (oltre alla stabilità e sicurezza interna del sistema operativo): sono molto meno diffusi di Windows, quindi, banalmente, il numero di potenziali vittime di un cyber attacco è assai ridotto. Ora che invece anche i computer Mac stanno diventando più "di massa" di virus se ne affacciano eccome. Qualche esempio tra i più recenti...

1. Coldroot: inizia a essere diffuso nel Febbraio 2017, ma viene rilevato dagli antivirus soltanto un anno dopo. E' un keylogger per Mac pensato per inviare ad un server C&C comandato dagli attaccani ogni comando che viene digitato dall'utente sul pc. 

lunedì 18 giugno 2018

Invisimole: il malware spia in diffusione dal 2013 scoperto solo qualche giorno fa


Probabilmente è "figlio" di qualche gruppo sponsorizzato da governi: la professionalità richiesta per sviluppare un malware complesso come InvisiMole difficilmente è rintracciabile in gruppi di cyber criminali "comuni". InvisiMole, che tradotto significa "la talpa invisibile", è un malware spia che detiene il record di anonimato: ci sono voluti ben 5 anni per individuarlo. E' diffuso infatti dal 2013, ma è stato individuato da alcuni ricercatori di sicurezza solo qualche giorno fa. In ogni caso il 2013 è una data "dedotta": chi ha sviluppato il malware si è preoccupato perfino di modificare i timestamp entro il codice, per non fornire alcun indizio neppure in questo senso. 

Recepito il GDPR: prime osservazioni sul Decreto Legislativo 51/2018


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy


È stato pubblicato sulla Gazzetta Ufficiale il 24 Maggio ed è entrato in vigore il successivo 8 Giugno il Decreto Legislativo 51 del 18 Maggio 2018, attuativo delle regole UE sul trattamento dei dati personali a fini penali e di sicurezza pubblica. L’Italia ha quindi totalmente recepito il nuovo Regolamento Europeo (GDPR), che sostituisce in gran parte la normativa nazionale in materia di trattamento dati personali, con questa prima disposizione attuativa - immediatamente esecutiva - e che non ha avuto bisogno di passare al vaglio del Parlamento.

Occorre, per prima cosa, una necessaria premessa di carattere generale e di natura definitoria. È improprio definire il GDPR (così come del resto la precedente normativa D.L 196/2003) una normativa sulla Privacy intesa nel senso stretto e letterale, oltre che giuridico, del termine. Pur essendo infatti la parola ormai entrata nel linguaggio quotidiano, fino al punto da essere inserita sul sito ufficiale dell’Organismo preposto alla vigilanza in materia, riguardo al GDPR è più corretto parlare di “trattamento dei dati personali”. Il concetto di privacy, è di origine anglosassone e trova le sue radici nel diritto di essere "lasciati in pace" o, per dirlo con i termini originali il "right to be let alone". In sintesi è il diritto di ogni persona a non subire interferenze o altra forma di intromissioni nella propria vita e nella sfera personale, familiare e domestica. Nasce dalla necessità di tutelare la propria vita dalle ingerenze altrui di ogni forma, che possono spaziare dallo spiare nell‘abitazione o altro luogo privato fino alla pubblicazione di fatti personali non di pubblico dominio o rilevanti a fini di cronaca. 

venerdì 15 giugno 2018

DBGer Ransomware: usa Eternalblue e Mimikats per diffondersi nelle reti aziendali


DBGer Ransomware non è nuovo, anzi: è il rebranding "rivisto e coretto" di un ransomware in diffusione da qualche tempo, il RaaS Satan. La nuova versione, individuata giusto ieri da MalwareHunter, non ha visto solo il cambio del nome, ma dell'intero modus operandi del ransomware che appare invece ora un'arma davvero temibile. Non solo l'adozione dell'exploit Eternalblue, quello che permise una diffusione impressionante di WannaCry (per ulteriori info leggi qui), ma anche di Mimikatz per potersi muovere lateralmente nelle reti compromesse. 

La storia del ransomware Satan
Il ransomware Satan fu lanciato nel Gennaio 2017 come RaaS (ransomware as a service - leggi qui), consentendo a chiunque di registrarsi e creare la propria versione personalizzata del ransomware. La prima versione era assolutamente "base", come accade alla quasi totalità dei ransomware "al debutto". Eppure sono stati moltissimi i "clienti" degli sviluppatori di Satan e per molti mesi il ransomware è stato diffuso sopratutto tramite campagne di spam. Col tempo la reputazione di Satan è cresciuta, di pari passo con il crescere del numero dei "clienti" del servizio. Per dire: il gruppo che si cela dietro il ransomware LockCrypt ha iniziato come cliente di Satan, prima di sviluppare un ransomware tutto suo. Molti sono stati poi i ransomware che hanno preso spunto dal codice di Satan. 

giovedì 14 giugno 2018

MysteryBot: trojan bancario+keylogger+ransomware, tutto in uno.


E' attualmente in diffusione una nuova famiglia di malware che colpisce soltanto i dispositivi Android: le caratteristiche lo rendono un malware molto molto pericoloso dato che funziona sia come trojan bancario, keylogger e ransomware. Si chiama MysteryBot ed è ancora in fase di sviluppo, così almeno affermano i ricercatori di sicurezza che l'hanno individuato in the wild. 

Parentele con Lokibot
Ad una prima analisi del codice, MysteryBot appare collegato al famoso (e famigerato) trojan bancario per Android LokiBot. Il codice dei due malware infatti presenta molte similitudini. Oltretutto è emerso che MysteryBot invia i dati allo stesso server Command&Control usato in una delle tante campagne di distribuzione di Lokibot: un suggerimento piuttosto chiaro rispetto alla comune paternità di questi due malware. Non è facile dire se il gruppo dietro questi malware abbia deciso di sostituire Lokibot per precise ragioni: un indizio è il fatto che qualche mese fa il codice di LokiBot "è sfuggito", venendo pubblicato in rete. Evento che ha determinato una nuova impennata nella diffusione di Lokibot, per quanto in una miriade di versioni lievemente modificate e corrette. Al contrario MysteryBot per adesso non appare pubblicizzato/segnalato in alcun forum nel dark web.

martedì 12 giugno 2018

Il Malware DMOSK attacca in Italia: installa l'infostealer URSNIF sui pc infetti.


E' raro rispetto ad altri paesi, ma ogni tanto avviene che alcuni ricercatori di sicurezza riportino campagne malware specificatamente rivolte contro il nostro paese. L'ultimo caso più noto è stato qullo del trojan URSNIF, un kyelogger-infostealer diffuso attraverso un raffinato e complicato schema di ingegneria sociale (maggiori info qui ).

DMOSK ha a che fare con URSNIF, ma usa una tecnica completamente diversa: sfrutta infatti, per la diffusione, una catena di diverse vulnerabilità per ottenere l'accesso ai computer delle vittime e installarvi quindi una nuova versione di URSNIF. 

Come si diffonde?
Tutto inizia con una email contenente un link: il testo è organizzato per convincere l'utente a fare clic sul link. Se il destinatario apre il collegamento, si avvia automaticamente il download e la decompressione di un archivio .zip. Dentro questo file ZIP c'è un Javascript (scan.jse.altamente offuscato che richiede un ulteriore clic da parte della vittima. Se viene aperto anche il file JSE si avvia il terzo stadio dell'attacco: viene scaricato un file in formato SCR che viene automaticamene avviato. 

lunedì 11 giugno 2018

Nuova versione del ransomware Scarab in diffusione: arriva DiskDoctor



Un ricercatore indipendente di sicurezza ha segnalato a Bleeping Computer di aver individuato in diffusione una nuova versione del ransomware Scarab (vedi qui e qui). Cripta i dati con un algoritmo AES, quindi richiede alle vittime una somma in Bitcoin per ottenere il tool per la decriptazione dei dati. Si diffonde sfruttando le configurazioni RDP scarsamente protette, ma anche tramite email di spam contenenti allegati dannosi. Più raramente è nascosto in falsi update, software "rimpachettati" e installer infetti. Cripta i file aggiungendovi l'estensione .DiskDoctor, mentre il nome dei file criptati non subisce alcuna modifica. 

venerdì 8 giugno 2018

[ GDPR ] Le responsabilità del DPO


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy


Sono passati solo pochi giorni dall’entrata in vigore del nuovo GDPR e,  come era facile immaginare, non c’è chiarezza su molti aspetti della sua applicazione. Tra molte cose, si chiede quali siano esattamente le responsabilità del DPO ( Data Processor Officer), la figura non presente nelle precedenti normative e non coincidente con il Titolare del Trattamento Dati, che deve agire in maniera indipendente e senza vincoli di subordinazione.

Tenuto presente che la nomina del DPO deve essere effettuata con atto scritto (consigliamo che sia estremamente dettagliato), è evidente la sua responsabilità di natura contrattuale nei confronti dell’impresa, del privato o della Pubblica Amministrazione che lo abbia nominato.

La nuova disciplina sul GDPR lascia inalterato l’attuale quadro sanzionatorio in ordine ai reati di accesso abusivo ad un sistema informatico o telematico (art. 615 ter CP), o la detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater CP), nonché i reati previsti dal c.d. Codice della Privacy (in particolare gli artt. 167, 168, 169 e 170 del D.lgs. 30 giugno 2003, n. 196). Non sembrerebbe quindi che queste norme vadano ad incidere sulla nuova disciplina, salvo nei casi in cui, in mala fede e in violazione dei propri doveri, il DPO si appropri dei dati di cui viene in possesso per utilizzi illeciti ma, come vedremo, potrebbe non essere così.

Per la prima volta dal 2016 i trojan bancari superano i ransomware ( e Trickbot torna alla carica)


Proofpoint ha pubblicato il Report del primo Trimestre del 2018, con i dati relativi alle minacce informatiche rilevate a partire dal Gennaio 2018. Il primo dato rilevante è che c'è stata una forte riduzione dei ransomware, che si erano mantenuti saldamente sul primo gradino del podio delle minacce informatiche più diffuse nel 2016/2017. Riddotte quindi le massicce campagne finalizzate alla distribuzione di Ransomware, sono i trojan bancari, i data stealer e i RAT (remote access trojan) a farla da padroni nel 2018. Si è notata anche una forte crescita di frodi online basate su tecniche di ingegneria sociale, ma anche frodi legati a falsi supporti tecnici. 

Trojan bancari vs Ransomware
Per la prima volta dal secondo trimestre 2016 i trojan bancari superano i ransomware, risultando così il tipo di malware più presente nelle email truffaldine: i trojan bancari sono stati circa il 59% di tutti i payload pericolosi individuati a partire da quest anno. Il più distribuito è stato Emotet. Gli stealer per il furto delle credenziali si sono attestati al 19%, i downloader al 18%. 

giovedì 7 giugno 2018

VPNFilter: è peggio del previsto. Già implementate nuove funzionalità.


Del malware VPNFilter, alla base di una botnet di oltre 500,000 router e dispositivi NAS sparsi in oltre 54 paesi, abbiamo già parlato qua. La novità rispetto alla situazione già grave descritta nel precedente articolo, è che il malware ha subito l'implementazione di nuove funzionalità che lo rendono ancora più pericoloso, ma si è anche allungata la lista dei dispositivi target. 

Cisco Talos ha pubblicato i dettagli tecnici di una nuova ricerca e ha aggiunto alla lista dei dispositivi sotto attacco (che ricordiamo essere Linksys, MikroTik, Netgear, TP-Link e QNAP ) anche i router di ASUS, D-Link. Huawei, Ubiquiti, UPVEL e ZTE. Si passa, giusto per dare un dato che dia la misura di questa minaccia, da una prima lista di 16 dispositivi a una seconda di 71.. e chissà che non se ne aggiungano altri. In chiusura di articolo la lista dei dispositivi vulnerabili. 

I nuovi plugin
Come già detto, VPNFilter si diffonde con un meccanismo due fasi+una: l'ultima fase è quella nella quale il RAT (remote access trojan) che viene scaricato sulla macchina bersaglio subisce l'implementazione di una serie di plugin secondo i comandi impartiti dal server C&C controllato dagli attaccanti. 

I nuovi plugin sono: 

martedì 5 giugno 2018

VPNFilter: il botnet malware più avanzato contro i dispositivi IoT.


VPNFilter è un malware che ha compromesso oltre 500.000 router di varie marche: è stato individuato verso la fine di Maggio e già in quel periodo aveva compromesso oltre 500.000 router finiti parte integrante di una grossa botnet. Tra i router troviamo Linksys, MikroTik, Netgear, TP-Link, NAS QNAP ecc...

Che cosa fa?
di per sé VPNFilter è un botnet malware pericoloso: è stato programmato per verificare in incognito tutto il traffico di rete riuscendo segretamente a sottrarre informazioni. VPNFilter però può anche interferire con tutto il traffico di rete, dando al suo controllore la possibilità di compiere azioni di boicottaggio sul router da remoto. La comunicazione passa attraverso la rete anonima Tor. Per

lunedì 4 giugno 2018

[ GDPR ] Telecom Italia condannata a pagare 960.000 euro, stoP al telemarketing selvaggio per Fastweb


La multa a Telecom Italia...
Il Garante privacy ha ordinato a Tim il pagamento di due sanzioni amministrative pari a un importo complessivo di 960mila euro per violazioni alla normativa sulla Protezione dei Dati Personali (GDPR). La prima sanzione, di 800mila euro, conclude l'iter avviato dal reclamo di un ignaro utente che si è ritrovato intestatario di 826 linee di telefonia fissa e "moroso" a sua insaputa:  si è accorto del problema solo quando ha iniziato a ricevere dei solleciti di recupero crediti di mancati pagamenti di bollette telefoniche.

Le verifiche svolte dall'Autorità hanno accertato l'ingiustificata assegnazione del rilevante numero di utenze telefoniche ad un'unica persona, dovuta - secondo quanto dichiarato da Tim – a non meglio precisati errori avvenuti durante l'attività di migrazione dei dati dei clienti da un sistema di gestione all'altro tra il 2002 e il 2004. L'erronea intestazione avrebbe interessato anche numerosi altri utenti e si sarebbe propagata anche ad altri sistemi, tra i quali quelli di fatturazione e di richiesta anagrafica cliente (Rac). Un sistema, quest'ultimo, particolarmente delicato essendo preordinato a consentire la corretta effettuazione delle verifiche da parte delle forze di polizia e della magistratura (ad es., in caso di intercettazioni o acquisizione di tabulati telefonici).