martedì 31 luglio 2018

ADB.MINER: in diffusione il primo worm per Android


E' stato individuato un nuovo malware per Android del quale merita scrivere, al di là del livello reale di diffusione, poiché apre una stagione del tutto nuova per il cyber crimine: ADB.miner infatti è il primo worm per Android. Ed è già una minaccia da non sottovalutare: sono centinaia gli smartphone colpiti da questo worm e l'analisi telemetrica dei dati sta dimostrando un preoccupante trend di crescita del numero e della frequenza degli smartphone infetti. 

La particolarità di ADB.miner è che non necessita ne dell'installazione di alcuna app ne di alcun sistema di ingegneria sociale per truffare la vittima: un attacco da remoto senza alcuna partecipazione della vittima è sufficiente per infettare il dispositivo. 

Come funziona

giovedì 26 luglio 2018

Internet, GDPR, minori e responsabilità dei genitori


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

A seguito della vicenda di accesso ai dati personali su Facebook, il social di Mark Zuckerber ha introdotto limiti di accesso alla piattaforma più rigorosi per i minori di quindici anni che, per determinate attività, dovranno avere il consenso di almeno uno dei genitori. Si può dire che, ovviamente, ciò non tiene conto delle non poche situazioni di genitori separati o non conviventi che esercitano congiuntamente la potestà sui figli, ma si tratta perlomeno di un tentativo per cercare di porre un freno non solo alle attività online dei minori, ma anche per proteggere i loro dati più che mai sensibili anche alla luce del GDPR (il quale, a dire il vero, sembrava già predisposto per arginare Facebook).

In tal senso il Regolamento Europeo prevede espressamente all’articolo 8 che il trattamento dei dati di un minore “è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.” Per la prima volta, a livello sovranazionale, viene sancito il limite di sedici anni per la prestazione autonoma del consenso, salvo prevedere per gli Stati membri la possibilità di indicare una diversa età purché, in ogni caso, non sia inferiore ai tredici anni. Proprio quella minima prevista da Facebook si potrebbe ironizzare. In ogni caso si tratta di una importante deroga all’articolo 2 del Codice Civile, secondo cui la capacità giuridica si acquisisce al compimento del diciottesimo anno. In ogni caso l’informativa che dovrà essere sottoposta ad un minore ai fini del consenso, dovrà utilizzare un linguaggio semplice e chiaro, facilmente comprensibile dal minore stesso.

martedì 24 luglio 2018

Individuato Calisto, il malware per MAC precursore di Proton


Alcuni ricercatori di sicurezza hanno individuato un precursore del famoso malware per sistemi operativi Mac Proton. Questo malware sembra essere stato sviluppato nel 2016, un anno prima di Proton e caricato su Virus Total: qui però è rimasto inosservato per quasi due anni, fin quando nel Maggio 2018 alcuni ricercatori lo hanno individuato. I tecnici che lo hanno analizzato hanno usato il termine "raw" per descriverne il codice e le funzionalità: potremmo rendere con "rozzo, poco elaborato". E' infatti risultato evidente dall'analisi che stiamo parlando di un malware ancora in via di sviluppo e che non ha le stesse caratteristiche del trojan di accesso remoto Proton. 

Proton è usato in hackeraggi di alto profilo
Proton divenne nome conosciuto nella comunità infosec nel Marzo 2017, quando un analista di Sixgill trovò questo malware in vendita su forum nel dark web, ad un prezzo che oscillava tra i 1.200 e gli 820.000 dollari.  Due mesi dopo Proton era già diffuso in the wild, usato per attaccare siti web legittimi e app. Proton è stato in uso fino all'Ottobre 2017, quando un attaccante tutt'ora sconosciuto attaccò e fece breccia nel sito web di Eltima Player e compromise l'app con questo malware

Il precursore di Proton si chiama Calisto

lunedì 23 luglio 2018

Il protocollo RDP? Una voragine nella cyber security


Il Dark Web è attivissimo ed è un mercato estremamente fiorente: ci troviamo di tutto, non solo la possibilità di acquisto di beni e oggetti illegali, ma anche malware di ogni genere e credenziali rubate. Concentrandosi su queste ultime, il Dark Web pullula di un tipo specifico, tra le altre, di credenziali: quelle per gli accessi RDP, vendute a prezzi stracciato (la media si aggira sui 10 dollari statunitensi) ma che consentono l'accesso perfino a sistemi definibili come 'critici'. 

L'uso del protocollo RDP per controllare a distanza server e servizi è una delle tante falle di sicurezza nel mondo IT e sicuramente non c'è da stupirsi del fatto che sia uno dei bersagli privilegiati dai cyber criminali. Indubbiamente l'RDP è un protocollo utile: utilizzare a distanza una macchina come se ci trovassimo di fronte alla tastiera è utile in varie occasioni, sopratutto quando c'è bisogno di assistenza tecnica. Certo è che il sistema, che va comunque protetto attraverso un solido sistema di autenticazione, andrebbe usato sempre nella stessa rete e mai senza protezioni aggiuntive. La compromissione del protocollo RDP ha infatti effetti gravissimi rispetto alla sicurezza del sistema e della rete. Un esempio? Moltissimi ransomware si diffondono attaccando il protocollo RDP: l'ultimo e più famoso è stato il ransomware SamSam, che è riuscito ad infettare svariate istituzioni statunitensi sfruttando i servizi RDP come punto d'accesso. La spesa iniziale è stata di circa 10 dollari per ottenere l'accesso: il guadagno di oltre 40.000 dollari per la decriptazione. Un bel guadagno. 

venerdì 20 luglio 2018

Telefonate indesiderate: privacy, Registro delle Opposizioni, consenso, sanzioni


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

In pieno marasma pre-elettorale e nell’imminenza dello scioglimento delle Camere, forse è sfuggita a molti la legge 11 Gennaio 2018 numero 5: una legge importante che riconosce il diritto ai titolari di utenze telefoniche, fisse o mobili che siano, di non ricevere telefonate per promozioni, proposte di cambio gestore e ricerche di mercato.

Il registro delle opposizioni
Possono ora iscriversi al Registro delle opposizioni, già costituito nel 2010 (ma molto poco pubblicizzato), tutti i titolari di utenze telefoniche fisse e mobili utilizzando i moduli on line, ma anche a mezzo raccomandata o fax, nonché con una semplice telefonata. Si tratta sicuramente di un sistema di tutela dei cittadini consumatori che vedevano la loro privacy costantemente violata da continue e spesso fastidiose telefonate con le quali, dal cambio di operatore fino ai regali di Natale, veniva offerto praticamente di tutto.
Inoltre tutti gli operatori che svolgono attività di call center hanno l’obbligo di permettere all’utente di far identificare il numero da cui chiamano non solo per far decidere se accettare o meno la telefonata, ma anche per eventualmente bloccare il numero (anche attraverso una delle tante applicazioni che si possono scaricare on line e che permettono di individuare come altri utenti hanno memorizzato un determinato numero). Possono essere iscritti al registro delle opposizioni anche i numeri non contenuti in pubblici registri, cioè quelli che, al momento della stipula del contratto, hanno optato per la clausola di riservatezza.

giovedì 19 luglio 2018

GandCrab Saga: individuato GandCrab 4.1


Appena due giorni dopo la diffusione di GandCrab v4.0, i ricercatori di Fortinet hanno individuato una nuova versione, la 4.1 appunto, distribuita usando lo stesso metodo in uso alla famiglia GandCrab: il ransomware infatti viene diffuso tramite siti web compromessi che offrono al download app craccate. La novità di questa versione è una nuova tattica di comunicazione di rete, una peculiarità inedita per questa famiglia di ransomware.  

Comunicazione di rete
GandCrab 4.1 contiene, in parte del codice fisso, una lista insolitamente lunga di siti web compromessi ai quali connettersi. Per generare l'URL completo per ciascun host viene usato un algoritmo pseudo-casuale per scegliere tra set di parole predefinite. L'URL finale avrà un formato del tipo www.{host}.com/data/tmp/sokakeme.jpg. 

martedì 17 luglio 2018

Truffa in corso su Facebook Messenger: falso operatore Poste Italiane tenta di prendere possesso delle Poste Pay.


Ormai sono tantissime le aziende che usano i social non solo come strumento di promozione, ma anche come piattaforma per comunicare coi clienti e offrire un servizio di supporto e assistenza immediato via chat. Un'arma a doppio taglio: se è comodissimo da un lato, dall'altro ovviamente espone a rischi informatici. E' quanto sta avvenendo proprio in queste ore, come segnalato da un dettagliato report di D3Lab. La pagina Facebook di Poste Italiane viene inondata, inondata letteralmente, di richieste di assistenza da parte di clienti ogni giorno e gli operatori social di Poste Italiane hanno iniziato a fornire assistenza via messaggio privato e proseguire tramite Facebook Messenger l'assistenza. Fin quando qualcuno non ha deciso, qualche giorno fa, di sfruttare questo meccanismo per truffare i clienti di Poste Italiane. 

Il trucco

lunedì 16 luglio 2018

Individuata nuova versione del ransomware Scarab: arriva Scarab Bin.


E' stata individuata in the wild una nuova versione del ransomware Scarab, famiglia ormai rinomata di malware. Ne abbiamo parlato qualche settimana fa, quando il web fu inondato di ben 6 nuove versioni in un arco temporale minore di una settimana (per maggiori info leggi qui).

La diffusione di questa versione del ransomware Scarab è iniziata già da qualche tempo, probabilmente, stando ai report di vari ricercatori, agli inizi del mese di Luglio: sembra diretto principalmente contro utenti di lingua inglese, caratteristica che comunque non costituisce un limite alla diffusione nel mondo. 

Come si diffonde

venerdì 13 luglio 2018

Le definizioni del GDPR: i dati personali ai fini del trattamento e della protezione


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Il GDPR (acronimo di General Data Protectio Regulation), come dispone al suo primo articolo, dopo peraltro ben 173 premesse altrettanto importanti, è lo strumento Europeo, immediatamente esecutivo senza bisogno di alcuna legge di recepimento in quanto regolamento, per disciplinare la protezione dei dati personali, il loro trattamento e la circolazione degli stessi.

Per dato personale deve intendersi ogni informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. La definizione è ampia e, giustamente, non può essere ridotta a concetti o elementi iscritti in un elenco rigido, essendo possibile che, grazie anche ai progressi tecnologici, l’elenco possa allargarsi. Basti pensare alle impronte digitali e al DNA ma anche alla retina dell’occhio che può essere una password per l’accesso a un computer o ad un cellulare. Per meglio comprendere il concetto e la necessità di protezione, ricordiamo che i dati personali sono anche elementi tecnico giuridici attraverso i quali è possibile tutelare l’insieme dei diritti collegati all’identità personale.

giovedì 12 luglio 2018

Nuove vulnerabilità Spectre 1.1 e 1.2 individuate nelle CPU


Non finiscono i guai per Intel ARM e AMD i principali vendor di CPU: due ricercatori di sicurezza hanno pubblicato i dettagli riguardanti due nuove vulnerabilità della serie Spectre. Parliamo di Spectre 1.1 e Spectre 1.2. Esattamente come nei precedenti bug Meltdown e Spectre, questi due bug sfruttano il processo di esecuzione speculativa - una funzione presente in tutte le moderne CPU che serve a migliorare le performance avvantaggiandosi sulle operazioni di calcolo e disfascendosi poi dei dati non necessari. 

Breve descrizione
Stando a quanto pubblicato dai ricercatori, Spectre 1.1 attacca l'esecuzione speculativa per diffondere codice che sfrutta gli archivi speculativi per creare buffer overflow in grado di modificare dati e puntatori di codice: lo scopo è recuperare dati dalle sezioni di memoria protette della CPU.  Spectre 1.1 è molto simile alle varianti 1 e 4, però, fanno sapere i ricercatori, allo stato attual enon esistono analisi statiche effettive o stumentazione di compilazione che sia in grado di individuare genericamente o mitigare Spectre 1.1 

mercoledì 11 luglio 2018

I soggetti del GDPR: il Titolare del Trattamento Dati


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Il Regolamento europeo in materia di Trattamento dati Personali (GDPR) prevede  figure che non erano contemplate nella precedente normativa in materia di privacy (D.l.196/2003) ed appare opportuno tentare di fare chiarezza per evitare fin troppo facili fraintendimenti. Deve premettersi che l’intero sistema ruota sulla figura e sulla tutela dell’INTERESSATO; vale a dire quel soggetto che mette a disposizione di un’azienda, pubblica o privata, o comunque di altri, i propri dati personali e a cui il GDPR riconosce chiari diritti: i principali destinatari dell’intero complesso normativo sono infatti  i TITOLARI del trattamento.
Il Titolare del trattamento (data controller), ai sensi dell’art. 4 GDPR, è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. 

Obblighi e doveri del titolare del Trattamento:

martedì 10 luglio 2018

Come può diventare un rischio per la sicurezza un dispositivo USB?


I drive USB sono molto utili e comodi: possono garantire uno spazio di storage da 256 MB fino a 2 TB e hanno il grande vantaggio di rispondere a molteplici necessità degli utenti. Tuttavia, dal punto di vista della sicurezza, queste unità USB potrebbero rivelarsi vulnerabili e compromettere quindi la sicurezza. Basti pensare che a metà dello scorso anno, il team dietro WikiLeaks Vault 7 ha accusato la CIA di usare unità USB per infettare pc con malware spyware. Questo però è il rischio meno diffuso: la diffusione capillare di questi dispositivi USB ha messo a repentaglio, prima di tutto, la privacy. Infatti le proprietà peculiari delle unità USB (si pensi alla portabilità, ma anche la connessione immediata alle reti) aumentano a dismisura il rischio di perdite di dati, di violazioni della sicurezza della rete, ma anche la perdita del controllo fisico dei dati (in caso di furto/smarrimento ad esempio). 

Quali sono i rischi potenziali?

lunedì 9 luglio 2018

Che cos’è Xopero QNAP Appliance?


° Cos’è esattamente Xopero?

E’ una soluzione di backup, gestita centralmente, dedicata ai dischi di rete QNAP.

° Il tuo backup su private cloud
Una volta installato su un dispositivo QNAP, lo trasforma in una soluzione completa per proteggere i dati critici e costruire un ambiente sicuro per i backup della tua azienda.

° Gestione completa
Grazie a Xopero Backup Appliance potrai centralizzare e getire da remote I tuoi backup, oltre che monitorare la loro correttezza e configrare tutti gli account e le applicazioni installate sulle workstation sui server.

venerdì 6 luglio 2018

Individuato il primo malware sia ransomware che miner di criptovaluta.


Alcuni ricercatori di sicurezza hanno individuato un interessantissimo "frammento" di malware che ha doppia capacità di attacco: può cioè infettare un sistema sia con un miner di criptovaluta sia con un ransomware. La scelta tra l'uno o l'altro tipo di attacco dipende semplicemente da quale, tra i due schemi di infezione, risulti più profittevole per gli attaccanti. Da una parte quindi un meccanismo di criptazione dei file o blocco della macchina in cambio di un riscatto, dall'altra l'utilizzo del potenziale di calcolo di una CPU per minare moneta digitale. 

Entrambi i meccanismi di attacco rientrano nelle "top threats" e hanno delle caratteristiche comuni, sopratutto a partire dal fatto che sono entrambi attacchi piuttosto semplici, portati avanti per soldi contro vittime "a caso" (ovvero non targetizzate, si spara semplicemente nel mucchio) e che guadagnano dalle monete digitali la necessaria anonimia per non essere individuati. Il ransomware ha però un difetto: il blocco di un computer o dei file non garantisce necessariamente che la vittima paghi il riscatto. Una vittima potrebbe detenere un backup per ripristinare i file, oppure ancora non avere nulla di particolarmente grave da perdere al punto da essere indotta a pagare. Quindi, come diciamo già da qualche tempo, il cyber crimine ha virato verso la più sicura e redditizia estrazione di cripto valuta, studiano nuovi mezzi e varianti per sfruttare le CPU delle vittime. 

giovedì 5 luglio 2018

Cyber crime: 5 nuovi tipi di cyber attacco


Le minacce informatiche sono in continua e costante evoluzione: ogni giorno si scoprono nuove vulnerabilità e vengono quindi prodotti strumenti utili per sfruttarle, si producono e diffondono nuovi malware, si strutturano nuove tecniche di attacco. Il 2017 è stato l'anno nel quale la cyber sicurezza "ha fatto irruzione" nella coscienza di tutto il mondo a causa di famigerati malware ormai passati alla storia del cyber crimine: parliamo di ransomware e disk-wipe come WannaCry, NotPeya e Petya e Locky. Il 2018, che ha già fatto il giro di boa, non ha visto una diminuzione del livello di rischio, tutt'altro ha dimostrato un salto in avanti da parte del cyber crimine, con la comparsa di nuove e numerose tecniche di attacco sempre più efficaci. 

1. Cryptojacking o mining di cripto valuta (vedi qui e qui per approfondire)
Il cryptojacking era già in embrione, ma è diventato assai diffuso e popolare con l'avvento dell'era delle cripto valute come Bitcoin, Monero ecc.. Visto che le cripto valute sono sempre più usate e diffuse, i cyber criminali tentano continuamente di rubarne/produrne a scopo di profitto e per farlo sfruttano il potere di calcolo di un sistema bersaglio. E' un tipo di attacco che produce danni hardware a causa del surriscaldamento, danni software perchè spesso porta al crash di sistema o comunque a rallentamenti e riduzione delle performance e, in conseguenza, danni economici (anche dovuti all'incremento improvviso del consumo di energia elettrica). Uno dei più famosi miner in Javascript è stato, ed è tutt'ora CoinHive: si tratta di una libreria Javascript che, per i primi tempi, doveva servire ai proprietari di siti web per sostituire i proventi delle fastidiose pubblicità con proventi in estrazione

mercoledì 4 luglio 2018

Saga GandCrab: in diffusione la versione 4.


Durante il weekend il ransomware GandCrab ha subito molteplici cambiamenti. Tra questi l'estensione che il ransomware aggiunge ai file criptati, la nota di riscatto, il sito di pagamento Tor e l'algoritmo di criptazione. Attualmente la versione 4 di GandCrab non ha soluzione. 

In diffusione su siti web fake
Secondo alcuni ricercatori, riuniti sotto il nome di Fly, uno dei metodi di distribuzione di GandCrab V.4 vede l'uso di falsi siti web che offrono software crackati. Gli sviluppatori del ransomware hanno hackerato cioè siti legittimi e impostato falsi blog che offrono al download crack per svariati software. Quando un utente scarica ed esegue queste crack, si ritroverà il computer infetto. Sotto un esempio di questi falsi blog: 

martedì 3 luglio 2018

Ransomware Thanatos: disponibile tool di decriptazione gratuito


Thanatos è un ransomware in diffusione da molti mesi: è stato individuato intorno alla fine del Febbraio di quest'anno e ha prodotto moltissimi danni, sopratutto a causa di un malfunzionamento del meccanismo di criptazione che ha impedito il recupero dei file anche a vittime paganti. Il problema venne riscontrato da Francesco Muroni, un ricercatore che, studiando a fondo il malware, aveva notato che le chiavi di criptazione (una per ogni file criptato) non venivano salvate da nessuna parte. Ciò ha significato l'impossibilità del recupero dei file anche in caso di pagamento del riscatto: neppure il tool di decriptazione inviato dai cyber criminali infatti è capace di riportare in chiaro i file. 

Il primo ransomware ad accettare i Bitcoin Cash
Thanatos si è però distinto per essere il primo ransomware a richiedere il pagamento del riscatto non in Bitcoin o Monero (le due cripto valute più usate dagli sviluppatori di ransomware), ma in Bitcoin Cash. Stiamo parlando di una cripto valuta molto giovane nata quando Bitcoin ha colpito il blocco di 478.558: Bitcoin è stato quindi diviso in due e la nuova cripto valuta è appunto Bitcoin Cash. In ogni caso è possibile pagare il riscatto del ransomware Thanatos anche in Bitcoin classici e in Ethereum. 

lunedì 2 luglio 2018

Consenso e Informativa nel nuovo GDPR


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Seppur debba essere un consenso pieno e quindi “informato”, quello di cui al GDPR è solo ed esclusivamente il consenso al trattamento dei Dati Personali e sensibili che vengono forniti ad enti pubblici o privati per lo svolgimento delle loro attività. Niente a che vedere con il consenso informato rilasciato a un medico o un avvocato per l’esercizio del loro incarico. Il GDPR infatti si occupa solo ed esclusivamente delle attività di raccolta, trattamento e conservazione di dati personali, senza entrare nel merito delle singole attività.

Nei suoi 173 “Considerata” e nei 95 articoli che lo compongono, il Regolamento Generale Protezione Dati (GDPR), si occupa in maniera esaustiva e puntuale del consenso dell’Interessato al trattamento dati personali e sensibili e, conseguentemente, dell’informativa che deve essere fornita dal Titolare del trattamento stesso.