Mitigare gli effetti di WannaCry (WCry, WannaCriptOr)

La campagna ransomware WannaCry, che sta affliggendo oltre 100 paesi in tutto il mondo, sta provocando danni molto elevati, sia sotto il profilo strettamente economico, che in termini di informazioni che non sarà più possibile recuperare.

In questo documento sono riportate una serie di azioni che possono essere assunte per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi. È abbastanza evidente che laddove i dati siano stati già cifrati l’unica strategia possibile è il ripristino da una copia di backup non toccata dal malware. Nell’ultima sezione sono contenute alcune considerazioni su quanto fare per il ripristino in questi casi.

Protezione dalla compromissione
L’unica vera protezione dalla compromissione è l’eliminazione della vulnerabilità attraverso l’istallazione della patch sviluppata e pubblicata da Microsoft con il Microsoft Security Bulletin MS17-010-Critical:

• https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Nel Blog della società sono reperibili ulteriori informazioni utili:

• https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Protezione contro l’azione del malware si può ottenere attraverso l’antivirus, che deve essere aggiornato ad una versione successiva rispetto a quella pubblicata da ciascun produttore dopo il 12 maggio.

È fondamentale tenere presente che se l’antivirus ha il vantaggio di poter “ripulire” una macchina compromessa, cosa che la sola istallazione della patch non può fare, d’altra parte la vulnerabilità non eliminata potrebbe essere sfruttata da una nuova versione del malware che sfugge al controllo dell’antivirus. Perciò è tassativa l’istallazione della patch.

Ulteriori misure atte a ridurre la probabilità di compromissione, e quindi l’estensione di questa, sono:

1. Blocco del protocollo SMB sulla frontiera;
2. Disattivazione del protocollo SMB ove non specificamente richiesto;
3. Blocco sulla frontiera del traffico diretto verso indirizzi ed URL indicati nelle raccolte disponibili sui siti specializzati, quali, ad esempio AlienVault e US-CERT

Riavvio delle macchine spente
Le macchine che erano spente al momento della diffusione, per altro molto rapida, del malware e non sono state accese sono sicuramente indenni; vale perciò la pena di usare qualche accorgimento per evitare che la compromissione presente in altri sistemi possa estendersi anche ad esse.

Contemporaneamente l’accensione di una macchina compromessa può provocare la compromissione di tutti i sistemi presenti sulla stessa rete. Ne segue che è opportuno procedere all’accensione dei sistemi con particolare cautela.

La procedura che segue consente di ridurre sensibilmente i rischi legati alla riaccensione di un sistema spento senza richiedere particolari conoscenze tecniche, per cui può essere eseguita, almeno nel caso di reti wired, anche da utenti non particolarmente esperti:

1. Prima di accendere la macchina scollegarla dalla rete locale, disconnettendo il cavo di rete (nel caso di connessioni Wi-Fi occorre disabilitarne l’interfaccia prima che avvenga il caricamento del sistema operativo, tale operazione può non essere alla portata dell’utente).
2. Accendere la macchina scollegata e verificare che l’avvio (bootstrap) avvenga regolarmente. Se si verificano eventi anomali, quali ad esempio ritardi molto prolungati, comparsa di messaggi insoliti, etc., non procedere oltre nel riavvio e chiedere il supporto esperto.
3. Se l’avvio è avvenuto regolarmente, aprire una sessione ed effettuare sull’hard disk della macchina una ricerca per file il cui nome abbia l’estensione .wncry. La ricerca deve terminare senza individuare alcun file, se invece ne viene individuato qualcuno non procedere oltre nel riavvio e chiedere il supporto esperto.
4. Se è stato superato il passo precedente, prima di collegare il sistema alla rete chiudere tutte le applicazioni, in particolare quelle di posta elettronica, che dovessero essere state avviate automaticamente all’apertura della sessione.
5. Ricollegare il sistema alla rete locale e forzare l’aggiornamento dell’antivirus. Attendere che tale operazione sia completata prima di aprire qualsiasi applicazione, in particolare non accedere in nessun modo a sistemi di posta elettronica. Dopo il suo termine il sistema può essere utilizzato normalmente.

Particolare attenzione deve essere posta nella gestione dei messaggi di posta elettronica, che potrebbero essere utilizzati come vettore primario di infezione laddove sulla frontiera fosse bloccato il protocollo SMB, come consigliato al punto (1) dell’elenco contenuto nella sezione precedente. In generale debbono essere scrupolosamente osservate le seguenti regole:

• Non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l’origine.
• Non cliccare per nessuna ragione su link contenuti all’interno di mail di cui non sia assolutamente certa la provenienza, verificando direttamente con il mittente (e.g. telefonicamente) l’effettivo invio da parte sua del messaggio.

La sicurezza non è mai assoluta
Le indicazioni contenute nel presente documento sono essenzialmente regole di buon senso che riducono il rischio di compromissione da parte di WannaCry, ma non possono annullarlo, anche perché gli attaccanti individuano continuamente nuove strategie per aggirare le misure di contrasto messe a protezione dei sistemi.

Per altro l’accento è stato posto sulla semplicità di attuazione, piuttosto che sulla completezza della copertura dei casi che possono verificarsi.

Fonte: Agenda per l'Italia Digitale 

Sicurezza a scuola? Come nelle aziende… o quasi

Gestire la sicurezza di qualche decina di PC in mano a studenti medi e superiori non è una passeggiata. Ecco quali sono le strategie adottate dagli esperti per mantenere il controllo della situazione.

Di “rivoluzione digitale” a scuola sentiamo parlare da anni e, anche se con una certa lentezza, anche in Italia computer e tablet hanno fatto il loro ingresso nei vari istituti scolastici. Un ambiente in cui il tema della sicurezza ha profili particolari. Più ancora dell’integrità dei sistemi e del loro corretto funzionamento, infatti, all’interno degli istituti scolastici conta la protezione dei dati personali degli studenti e la loro tutela in quanto minori.  Ma quali sono le necessità e le strategie per gestire la sicurezza informatica in un ambiente del genere? Giulio Vada, Country Manager per l’Italia di G DATA, non ha dubbi: gli strumenti necessari sono quelli con cui normalmente si proteggono le infrastrutture di una grande azienda.

“G DATA collabora con numerose scuole in Italia e nel mondo” spiega Vada, “e le soluzioni che offriamo sono derivate da quelle che utilizziamo per i nostri clienti corporate”. Lo scenario di chi deve gestire una rete di computer in un istituto scolastico, infatti è più complesso di quanto possa sembrare e l’uso di strumenti pensati per proteggere i dispositivi in un contesto “casalingo” sono insufficienti. Prima di tutto perché ci si trova ad avere a che fare con una situazione insolita: il numero degli utenti è superiore a quello delle postazioni e ogni computer viene utilizzato da un gran numero di persone diverse.

Per rendersene conto è sufficiente considerare i dati riportati in un caso studio pubblicato dalla stessa G DATA, riguardante il Colegio Retamar di Madrid. Nel prestigioso istituto spagnolo sono presenti circa 200 dispositivi, ma a utilizzarli sono ben 2.100 studenti e 150 insegnanti.A complicare le cose ci sono anche altri elementi. “Nella maggior parte dei casi non esiste un equivalente dell’IT Manager, il che significa che molto spesso la gestione dei sistemi è affidata a qualche volenteroso professore”.

In condizioni del genere, affidare la gestione della sicurezza a chi utilizza in prima persona il dispositivo è assolutamente impossibile. “L’unica strategia possibile è quella di centralizzare la gestione” prosegue Vada “in modo che i sistemi di protezione possano essere tenuti sotto controllo nonostante le particolari condizioni di utilizzo”.Insomma: un classico sistema di gestione degli endpoint che permette di avere una visione d’insieme della rete e del parco macchine, con un accento particolare sulla facilità d’uso, che deve essere sufficiente per consentirne l’utilizzo anche da parte di chi non ha conoscenze approfondite della materia.

Protezione dei minori

Gli strumenti necessari per garantire la sicurezza dei terminali, poi, devono avere caratteristiche specifiche. L’attività di controllo sulla navigazione Web, che nelle aziende è una semplice opzione, diventa per esempio indispensabile. E non solo per evitare che i ragazzi possano imbattersi in contenuti inappropriati, ma anche per evitare un utilizzo improprio dei computer e della rete.

“Tra gli studenti ci sono anche i classici “smanettoni” che potrebbero essere tentati di utilizzare i computer per compiere azioni illegali o dannose, come guardare film in streaming o scaricare contenuti protetti dal diritto d’autore” puntualizza Vada. Un discorso a parte è quello che riguarda il collegamento di dispositivi esterni, come gli smartphone o le chiavette USB. “Il software di protezione integra un sistema per impedire il collegamento di unità di memoria USB sconosciute. Considerato il numero di utenti, permettere di collegare qualsiasi chiavetta esporrebbe l’intera rete al concreto rischio di un’infezione da parte di malware”.

Senza contare che il parco macchine presenti in molti istituti scolastici non è precisamente “lo stato dell’arte”. Ci si trova spesso ad avere a che fare con macchine piuttosto datate, magari frutto di donazioni, e con sistemi operativi obsoleti (il solito Windows XP) per i quali il supporto da parte del produttore è cessato da tempo. Una situazione che potrebbe essere mitigata (almeno in parte) attraverso un sistema di patch management centralizzato. I costi, però, risultano spesso troppo elevati per i risicati budget delle scuole.

Oltre le tecnologie

Stando all’esperienza di Giulio Vada, gli accorgimenti tecnici e il tipo di prodotto usato per proteggere le reti all’interno delle scuole sono solo uno degli aspetti da considerare. “Una parte fondamentale del nostro lavoro è quello di collaborare con professori e studenti per migliorare l’alfabetizzazione in tema di sicurezza. Quando troviamo una buona disponibilità anche da parte dei genitori, che hanno un ruolo fondamentale sotto questo aspetto, riusciamo a ottenere ottimi risultati”. Un ragionamento che coinvolge anche la filosofia BYOD (Bring Your Own Device) particolarmente importante in un ambiente come quello degli istituti formativi. Un’esperienza in questo senso è stata fatta in Olanda.

Il caso di studio è quello della ROC Kop van Noord-Holland and Scholen aan Zee, che con 8 istituti e 6000 studenti rappresenta una sfida notevole in termini di sicurezza. Qui G Data ha implementato un sistema completo di protezione che comprende anche il controllo dei dispositivi mobili dei ragazzi, che hanno cominciato a utilizzare i sistemi di protezione anche a casa. Uno scenario ideale, che per diventare una pratica diffusa anche in Italia richiede però uno scatto in avanti per quanto riguarda la formazione di una cultura condivisa della sicurezza. Di strada da fare, insomma, nel nostro paese ce n’è ancora molta.

Fonte: Securityinfo - Autore: Marco Schiaffino

Proteggere i dati significa proteggere le persone e la ricchezza del paese

Dopo il caso Eye Pyramid, il tema del cyberspionaggio diventa oggetto di dibattito pubblico. Secondo il ceo di NTT Data Italia i dati vanno protetti perché “sono il petrolio del paese”

Parliamo del caso del giorno, la vicenda Eye Pyramid, con Walter Ruffinoni, attuale CEO di NTT Data Italia, partner del distretto di Cybersecurity di Cosenza. L’occasione è l’intervista a SkyTG24 dove ha potuto dare il suo punto di vista sui temi della sicurezza e sulle prospettive del nostro paese dove l’azienda ha deciso di investire in talento e innovazione, proprio al Sud.

Ruffinoni, intanto ci dica cosa fate a Cosenza

Siamo partner del Distretto di cybersecurity insieme a Poste e all’università della Calabria per creare soluzioni di protezioni dai cyber attacchi per aziende, istituzioni e privati. In quella sede costruiamo soluzioni basate anche sulle tecnologie ed esperienze giapponesi, come Dymora, visto che la protezione dell’end user è per noi una priorità. DyMoRa è una soluzione permette di avere sul proprio device mobile un’area sicura e non accessibile ai malintenzionati dove scambiare informazioni (es per i CdA) o per tenere in sicurezza i dati sensibili.

Lei ha detto infatti anche in altre interviste che Informazione e dati sono la ricchezza del paese

E lo ripeto: la sicurezza è un asset fondamentale per costruire la digitalizzazione di un paese con l’obiettivo di avere servizi più semplici ma allo stesso tempo sicuri dagli attacchi informatici. Oggi l’Informazione ha un valore sempre più alto e il rapporto stato-cittadino va digitalizzato in maniera sicura. Il dato è la vera moneta di scambio e la vera ricchezza. Per questo i dati fanno sempre più “gola” ai cybercriminali. Oggi il perimetro da controllare si dissolve ed i singoli end user diventano il nuovo perimetro da mettere sotto controllo: con la commistione digital/fisico e l’interconnessione di cose, persone e organizzazioni si apre un nuovo campo di vulnerabilità prima sconosciuto.

È sufficiente quello che fanno le aziende in Italia?

In Italia le aziende hanno messo in campo una serie di soluzioni focalizzate maggiormente sul tema della protezione perimetrale, il controllo degli accessi logici ai sistemi a diverso livello (applicativo, sistemistico e DB) e il tracciamento delle operazioni svolte da utenti e amministratori di sistema. Le principali aziende italiane, sicuramente le più grandi, hanno poi riconosciuto come questo atteggiamento “statico”, focalizzato sulla messa in campo di contromisure puntuali, non potesse rimanere al passo con una dinamica tecnologica che favoriva il rapido diffondersi di nuove vulnerabilità e il nascere di nuove e sempre più sofisticate tecniche d’attacco.

Il caso Eye Pyramid: tecnica, prevenzione e conseguenze

Veniamo al caso Eye Piramid. Cosa è successo dal punto di vista tecnico?Come è potuto accadere?

Il caso Eye Pyramid è un caso di malware infection avvenuto attraverso una email malevola (una email da indirizzo valido di uno studio legale con un allegato altrettanto “valido” – un pdf che però camuffava il virus). Questo malware ha creato una botnet tra i computer infetti. Sono stati poi selezionati i pc delle persone “interessanti”. Inoltre in questo caso sono stati infettati account di domini “ufficiali” di enti specifici (es bancaditalia.it, esteri.it, tesoro.it etc).

In questa rete venivano monitorati account specifici di persone rilevanti in termini istituzionali o di potere e sono stati creati una serie di dossier memorizzati su server negli Stati Uniti. I dossier contenevano di fatto info scambiate principalmente via email dagli interessati e il file dossier veniva poi spedito a una serie di email controllati dagli attaccanti.

Le mail inviate erano rimosse in tempo reale e non lasciavano traccia. Non è ancora chiaro come venivano utilizzati i dati raccolti, probabilmente potevano essere commercializzati sul mercato (deep web).

Cosa avremmo potuto fare per fermarlo?

Tutto è nato da un click su un allegato. Una “cosa banale”. Non si tratta di un malware nuovo, ma già in circolazione dal 2008. Ma si tratta di una malware “poliformo” che ha tra le sue caratteristiche quella di mutare in modo da non essere riconosciuto dai normali antivirus. La mutazione avviene sia comandata dal centro di comando, ma può anche essere programmata internamente al malware e attivarsi automaticamente.

Contro questi malware non basta un buon antivirus?

Non esiste una soluzione automatica che protegge. Molte email che nascondono malware fanno anche leva su aspetti psicologici molto raffinati, puntando su paura, senso del dovere, o sul rispetto delle regole etc.

È per questo che all’aumentare delle difese, gli attacchi non diminuiscono?

La digitalizzazione può aumentare le potenziali vulnerabilità, ma l’errore umano è una della cause principali tramite cui si riesce a inserire un malware.

Cosa si poteva fare per prevenire?

Difficile prevenire. Solo attenzione anche di fronte a mittenti sicuri. Sempre prestare molta attenzione a click a link e all’apertura di allegati anche “innocui” come un pdf, appunto.

In caso di dubbio?

Beh, direi di fare un check online googolando il nome dell’allegato della mail: spesso si trovano segnalazioni di pericolo. Consapevolezza ed educazione sono i due maggiori ambiti su cui lavorare per mitigare il rischio a livello individuale.

Il problema, le soluzioni, l’utente finale

Quali sono allora le soluzioni possibili in questo scenario?

Occorrono maggiori investimenti per aumentare la collaborazione del cittadino nella condivisione delle informazioni di cui è proprietario nel rispetto della privacy, al tempo stesso investimenti nell’educazione per evitare di condividere informazioni che paiono innocue e che in realtà possono essere usate per social engineering.

Occorre anche maggiore trasparenza da parte degli attaccati per scoprire e denunciare nel più breve tempo possibile questi attacchi. In questo caso è stato possibile scoprire l’attacco solo quando casualmente una di queste mail è stata ricevuta dall’Enav che si è insospettito e ha girato tutto al CNAIPIC che ha avviato le indagini.

Prevenire è difficile, ma si può fare qualcosa per capire se un PC è infetto?

Spesso gli attacchi non vengono riconosciuti immediatamente. In media occorrono 200 gg prima di scoprire un attacco. Il singolo individuo difficilmente ha capacità e strumenti per analizzare e scovare il virus. Però può far valutare le situazioni che ritiene sospetti da esperti. Ad es, la polizia postale o società specializzate.E’ comunque sempre buona norma tenere sempre aggiornati i propri sistemi di sicurezza (firewall, antivirus) e cambiare spesso anche le proprie password.

Ma può bastare visto che non solo le persone, ma anche le infrastrutture sono sotto attacco?

Dal sistema energico a quello finanziario per arrivare alla comunicazione, le infrastrutture critiche sono interconnesse e vitali per il funzionamento di un paese. Alcuni studi europei hanno evidenziato come un black out di una sola di queste infrastrutture porterebbe al collasso un paese intero. Senza energia elettrica col passare delle ore tutti i servizi fondamentali per la vita di una nazione smetterebbero di funzionare causando anche dei decessi.

Fonte: Startup Italia - Autore: Arturo Di Corinto

Cosa ci aspetta? Previsioni sulla sicurezza per il 2017

È difficile fare previsioni, soprattutto sul futuro”, disse il danese Niels Bohr, premio Nobel per la Fisica nel 1922. Dal momento che la fine del 2016 si avvicina, è utile cercare di capire le tendenze sulla sicurezza informatica che ci aspettano e riflettere su quello che è successo quest’anno, per vedere quanto accurate siano state le previsioni fatte per il 2016. L’anno scorso avevamo previsto:

• L’emergere di malware sofisticati e personalizzati progettati per superare le difese delle organizzazioni. I criminali stanno utilizzando varianti su misura di malware esistenti, che sono in grado di aggirare i tradizionali antivirus e strumenti di sandboxing – il nostro Security Report 2016 ha rivelato che ben 971 varianti sconosciute di malware vengono scaricate nelle reti aziendali ogni ora.
• Attacchi mobile – avevamo predetto un aumento di questo tipo di attacchi dal momento che i dispositivi mobili sono diventati sempre più comuni nel mondo del lavoro, offrendo agli hacker un accesso diretto e potenzialmente remunerativo ai dati personali e aziendali. Anche questo è stato confermato – abbiamo visto l’avvento di grandi vulnerabilità come Quadrooter e nuove minacce zero-day, così come un aumento di malware che sfruttano vulnerabilità dei dispositivi mobile.
• Attacchi a infrastrutture critiche – ci aspettavamo che questi aumentassero dal momento che i criminali informatici cercano di sfruttare sia le vulnerabilità insite nei sistemi informatici delle infrastrutture critiche, sia il danno potenzialmente enorme che può essere provocato. Infatti, un attacco che utilizza il malware BlackEnergy ha colpito una società elettrica Ucraina, l’aeroporto Chopin di Varsavia è stato preso di mira da un attacco DDoS e anche i sistemi SCADA della diga Bowman a Rye, New York, sono stati attaccati.
• I criminali informatici che approfittano della crescita dell’Internet of Things e colpiscono sempre più dispositivi smart. Quest’anno abbiamo assistito a uno dei più grandi attacchi DDoS di sempre che ha colpito il sito del blogger specializzato in sicurezza, Brian Krebs. Questo attacco è stato sferrato da milioni di telecamere di sicurezza e altri dispositivi IoT simili.

Quindi, ecco qui le cinque previsioni sulla sicurezza informatica per il 2017:

Mobile: bersagli in movimento – Dal momento che gli attacchi ai dispositivi mobili continuano a crescere, possiamo aspettarci che gli attacchi informatici alle aziende originati dai dispositivi mobili, diventeranno una delle principali preoccupazioni della sicurezza per le aziende. La recente scoperta di non uno, ma tre vulnerabilità zero-day nell’Apple iOS, a seguito del tentativo di attacco al telefono di un attivista per i diritti umani, mette in luce quanto rapidamente l’industria della sorveglianza e del crimine informatico mobile si stia espandendo – e la necessità, per le aziende, di proteggere i propri dispositivi mobile contro malware, intercettazioni delle comunicazioni e altre vulnerabilità.

Convergenza tra IT e OT – Durante il prossimo anno, ci aspettiamo di vedere un’ulteriore diffusione degli attacchi informatici verso l’IoT industriale. La convergenza tra le tecnologie informatiche (IT) e la tecnologia operativa (OT) sta rendendo entrambi gli ambienti più vulnerabili, in particolare quello della tecnologia operativa degli ambienti SCADA. Questi ambienti spesso eseguono sistemi datati, per i quali le patch non disponibili, o peggio, semplicemente non vengono utilizzate. Molti sistemi di controllo industriali critici sono aperti a Internet – un recente rapporto ha rilevato che oltre 188.000 sistemi in 170 paesi erano accessibili in questo modo. Il 91% è sfruttabile da remoto da parte di hacker, e oltre il 3% ha vulnerabilità sfruttabili. Il manufacturing, come industria, dovrà estendere i controlli dei sistemi e della sicurezza fisica allo spazio logico e implementare soluzioni di prevenzione delle minacce negli ambienti IT e OT.

Infrastrutture critiche – Ancora una volta, indichiamo le infrastrutture critiche nelle nostre previsioni per il prossimo anno – a livello globale, queste rimangono altamente vulnerabili a un attacco informatico. Quasi tutte le infrastrutture, comprese le centrali nucleari, le reti elettriche e quelle per le telecomunicazioni, sono infatti state progettate e costruite prima dell’avvento della minaccia di attacchi informatici. A inizio 2016 è stato segnalato il primo blackout causato intenzionalmente da un attacco informatico. I responsabili della sicurezza delle infrastrutture critiche devono dunque prepararsi alla possibilità che le loro reti e i loro sistemi possano essere attaccati in modo sistematico da diversi attori: altri stati, terroristi e criminalità organizzata.

Prevenzione delle minacce – Parlando di aziende, prevediamo che i ransomware diventeranno diffusi quanto gli attacchi DDoS. Al pari degli attacchi DDoS, le infezioni da ransomware possono bloccare le operazioni quotidiane di un’azienda e la loro mitigazione richiede una strategia di prevenzione multi-strato, che includa tecniche di sandboxing e di estrazione delle minacce avanzate. Le aziende dovranno prendere in considerazione diverse alternative per fronteggiare le persone che lanciano campagne di ransomware. Strategie collaborative come arresti coordinati con colleghi del settore e l’applicazione della legge saranno cruciali. Se è vero che pagare un riscatto non è mai consigliato, perché incoraggia attacchi futuri, a volte è l’unica opzione per il recupero dei dati e la possibilità di lavorare. Dunque, la disponibilità di riserve finanziarie per velocizzare i pagamenti diventerà sempre più comune.

Prevediamo anche più attacchi mirati a influenzare o far tacere un’organizzazione, con attori “legittimati” che sferrano questi attacchi. L’attuale campagna presidenziale degli Stati Uniti mostra questa possibilità e servirà come precedente per le future campagne.

Diffusione del cloud – Dal momento che le aziende continuano a conservare sempre più dati sul cloud, fornendo una backdoor per gli hacker che vogliono accedere ad altri sistemi aziendali, un attacco mirato a disturbare o spegnere uno dei principali fornitori di servizi cloud avrà ripercussioni sul business di tutti i suoi clienti – come abbiamo visto con il recente attacco DDoS contro il servizio di domain directory DynDNS. Sebbene molto dirompente, un attacco di questo tipo potrebbe essere utilizzato anche solo per colpire un concorrente o un’azienda specifica, che sarebbe uno dei tanti interessati, e quindi renderebbe difficile determinare la fonte.

Infine, ci aspettiamo di vedere un aumento degli attacchi da ransomware diretti verso i data center basati su cloud. Dal momento che sempre più aziende adottano il cloud, sia pubblico che privato, questo tipo di attacchi inizierà a trovare il modo di infiltrarsi in questa nuova infrastruttura, usando sia la diffusione di file crittografati da cloud a cloud, sia utilizzando il cloud come un moltiplicatore di volume.

Fonte: Ict Security Magazine

I migliori Antivirus per Android 2016

La diffusione degli smartphone e tablet è in continuo aumento ed a farla da padrona sono soprattutto i dispositivi funzionanti con sistema operativo Android.

Ciò è dovuto soprattutto alla notevole quantità di App disponibili per Android, molte delle quali disponibili gratuitamente, ed anche al fatto che si tratta di un sistema operativo open source e quindi a disposizione di tutti.

Il rovescio della medaglia è che questa sua diffusione ha portato anche allo sviluppo e al diffondersi di malware, spyware o trojan soprattutto per il fatto che molte persone utilizzano “canali non sicuri” per scaricare App Android.

Perciò è diventato quasi d’obbligo avere un’App Antivirus Android che serva come protezione contro eventuali minacce presenti sul proprio dispositivo o sulle App che si installano.

 Le offerte sono molte, in questo articolo vediamo la lista comparativa delle App Antivirus Android più diffuse, circa una ventina di Antivirus Android, testati e comparati da AV-TEST – The Independent IT-Security Institute, in modo da avere l’idea su quale sia la migliore App Antivirus per Android che offra una protezione più solida.

Le valutazione delle App Antivirus Android seguono i criteri seguenti:

• Certificazione
  Per ricevere la certificazione AV-TEST, occorre che l’App raggiunga un punteggio pari ad almeno 8.0 punti come media tra i punteggi ottenuti. La media è calcolata tra il punteggio ottenuto nella sezione “Protezione”, che include i risultati riguardanti il rilevamento di malware (combinati tra quelli on-demand e on-access) e tra il punteggio ottenuto nella sezione “Usabilità”, che include i risultati ottenuti sulle prestazione ed i falsi positivi, un punto extra viene aggiunto in caso siano presenti funzionalità aggiuntive.
• Punteggio Protezione
  Riguarda il punteggio assegnato in base al rilevamento di malware.
  Il punteggio assegnabile più elevato è di 6.0 punti. Il valore associato ad un rilevamento medio è di 3.5 punti. Il valore più basso è di 0.0 punti.
• Punteggio Usabilità
  Il punteggio riguardante l’usabilità dell’App Antivirus Android è composto dai punteggi delle prestazioni e quello dei falsi positivi.
  Le prestazioni vengono calcolate partendo da 6.0 e togliendo 2 punti per ogni impatto che arreca l’App Antivirus Android sulle prestazioni del dispositivo. Sono prese in considerazione come motivazioni che arrecano impatto negativo per le prestazioni le seguenti: “impatto sulla durata dela batteria”, “utilizzo di traffico dati elevato” e “rallentamento”.
  Il punteggio per i falsi positivi parte sempre da 6.0 punti togliendo 1 punto per ciascun falso positivo rilevato.
  Il punteggio sull’usabilità è quindi la somma dei punteggi sulle prestazioni e falsi positivi diviso due.
• Punto extra per Funzionalità Aggiuntive
  Se l’App Antivirus Android offre almeno due funzionalità di sicurezza aggiuntive oltre a quella per la protezione contro i malware, viene attribuito un punto aggiuntivo.
  Le funzionalità aggiuntive possono includere per esempio: Anti-Theft (protezione contro il furto), Safe Browsing (protezione durante la navigazione su internet), Call Blocker(per bloccare alcune chiamate), Message Filtering (filtrare i messaggi), Parental Control (per evitare che il dispositivo venga usato impropriamente dai bambini), Backup (salvataggio dei dati) e Data Encryption (Criptaggio dei dati).

Tutte le App Antivirus Android testate sono state approvate per la certificazione AV-TEST ad eccezione di White Gate Antivirus 1.0.

I migliori Antivirus Android

1. Dal test si sono posizionati al primo posto a parimerito ben tredici delle App Antivirus Android testate:
   360 Mobile Security 1.0, AhnLab v3 Mobile 2.1, Antiy AVL 2.3, Avast Mobile Security 3.0, Avira Free Android Security 3.5, Bitdefender Mobile Security 2.19,Cheetahmobile Clean Master 5.6, Cheetahmobile CM Security 1.5,Cheetahmobile Kingsoft Mobile Security 3.3, Eset Mobile Security & Antivirus 3.0, G-Data Internet Security 25.3, Intel Security Mobile Security 4.1, Quick Heal Total Security 2.00, che ottengono il punteggio massimo di 6 su 6 sia per quanto riguarda la protezione che per l’usabilità.
2. In seconda posizione troviamo a parimerito F-Secure Mobile Security 9.2 e Trend Micro Mobile Security 5.0 che hanno ottenuto come punteggio di protezione 6 su 6 e come punteggio di usabilità 5.5 su 6.
3. In terza posizione c’è Kaspersky Internet Security 11.4 che ottiene 6 per protezione e 5 per usabilità.
4. AVG Antivirus Free 4.1 e Norton Mobile Security 3.8 ottengono 6 per protezione e 4 per usabilità.
5. Le App Antivirus Android restanti ottengono un punteggio protezione uguale o inferiore a 6 in protezione.
6. Non passa il test White Gate Antivirus 1.0 che ha ottenuto il punteggio di protezione 0.

Se intendete approfondire i valori dei vari test potete trovare ulteriori dettagli sulla pagina ufficiale dei test di AV-Test.

Fonte: Giardiniblog

Come decriptare qualsiasi versione di TeslaCrypt con Cisco Talos Decryption Tool

Avevamo già spiegato come decriptare il file cifrati dal ransomware TeslaCrypt dopo che i criminali avevano rilasciato le chiavi di cifratura. Pochi giorni fa Cisco ha appena rilasciato un tool gratuito e open source per decriptare qualunque versione del ransomware TeslaCrypt e AlphaCrypt. Il TALOS TeslaCrypt Decryption Tool, in versione Windows, è scaricabile da questo link o direttamente dal repository su GitHub e funziona da linea di comando.

Il tool per decifrare i documenti criptati dal trojan TeslaCrypt, sviluppato e distribuito gratuitamente da Cisco, necessita solamente del file “key.dat” dal quale ricava la master key utilizzata per cifrare i file. All’avvio, il tool TALOS TeslaCrypt Decrypter cerca il file “key.dat” nella sua posizione originaria (la directory “Application Data” dell’utente) o nella cartella corrente. Se il tool non trova il file “key.dat” interrompe la sua esecuzione restituendo un errore.

I

l tool TALOS TeslaCrypt Decrypter di Cisco supporta i seguenti parametri da linea di comando:

/help – Mostra il messaggio di aiuto

/key – Specificare manualmente la master key per la decifratura (32 bytes/64 digits)

/keyfile – Specificare il percorso del file “key.dat” utilizzato per recuperare la master key

/file – Decifrare un file criptato

/dir – Decifrare tutti i file con estensione “.ecc” nella directory selezionata e nelle sottodirectory

/scanEntirePc –Decifrare tutti i file con estensione “.ecc” presenti nel computer

/KeepOriginal – Keep the original file(s) in the encryption process

/deleteTeslaCrypt – Interrompere ed eliminare il dropper TeslaCrypt (se attivo sul PC)

• La Versione 1.0 del locker è in grado di decryptare qualunque file cifrato da qualunque versione dei cryptovirus TeslaCrypt eAlphaCrypt:
• TeslaCrypt 0.x –  Cifra i file con l’algoritmo AES-256 CBC
• AlphaCrypt 0.x -Cifra i file con l’algoritmo AES-256 e cifra la chiave con le Curve Ellittiche EC
• TeslaCrypt 2.x – Come il precedente ma questo trojan cifrante usa le curve ellittiche per creare una chiave di recupero. L’applicazione è in grado di utilizzare la fattorizzazione per recuperare la chaive privata della vittima.
• TeslaCrypt 3 & 4 – Per le ultime versioni del cryptor, TALOS TeslaCrypt Decryption Tool è in grado di recuperare i file cifrati grazie al alla chiave privata EC del C&C rilasciata dagli autori del ransomware.

Miglioramenti dell’applicazione di recupero dei file criptati TALOS:

• Algoritmo di decifratura riscritto per gestire file grandi e occupare meno RAM
• Aggiunto il supporto per l’algoritmo di fattorizzazione (TeslaCrypt 2.x) per ricostruire la chiave privata della vittima
• Algoritmo per gestire e lanciare Msieve, analizzando il suo file di log
• Agigunto supporto per TeslaCrypt 3.x e 4.x
• Aggiunti algoritmi di verifica della chiave  (TeslaCrypt 2.x/3/4) per evitare di produrre file invalidi
• Argomenti da linea di comando
• Importata la chiave privata del Command & Control di  TeslaCrypt 3.x/4

Cisco precisa di eseguire un backup dei propri file criptati prima di lanciare il tool, dato che si tratta comunque di un software sperimentale fornito senza garanzie di alcun genere.

Si spera che Cisco, Kaspersky o altre case produttrici, visti questi successi, riescano a scoprire come decriptare ransomware come Cryptolocker, CTB-Locker, Locky, Crypt0l0cker, CryptXXX e i vari cryptovirus che stanno mietendo vittime in tutto il mondo.

Fonte: www.ransomware.it - Autore: Paolo Del Checco

LA TOP 5 DEI MALWARE IN ITALIA

A novembre 2015 gli internauti italiani flagellati dal trojan Nemucod, l’Italia è il paese che registra la più alta percentuale di infezione a livello mondiale, con un’incidenza dell’11,23%. Terzo posto per Agent.ODR, nuova variante del temibile Criptolocker.

Torna la classifica delle minacce informatiche più diffuse in Italia a cura di ESET Italia. Al primo posto nel mese di novembre 2015 Win32/TrojanDownloader. Nemucod, un trojan che reindirizza il browser a uno specifico URL contenente un software malevolo. Il codice del malware viene di solito inserito all’interno di pagine HTML. L’Italia è il paese che continua a registrare la più alta prevalenza a livello mondiale con una percentuale altissima, ben l’11,23%, che nei primi giorni di dicembre ha raggiunto il picco del il 54%.

Al terzo posto si posiziona JS/TrojanDownloader.Agent.ODR, un trojan downloader che veicola Criptolocker, il temibile ransomware che cripta i documenti dei PC e richiede alle vittime un riscatto per tornare ad avere accesso ai propri file. Questo malware ha registrato nell’ultimo mese in Italia una lenta ma costante ascesa, raggiungendo l’1,69% delle infezioni. La Top 5 dei malware in Italia si basa su Live Grid®, l’esclusiva tecnologia Cloud di ESET, che identifica mensilmente le minacce informatiche globali per numero di rilevazioni.

Win32/TrojanDownloader.Nemucod – rilevato nel 11,23 % delle infezioni sale dal quinto al primo posto in Italia nel mese di novembre 2015. Si tratta di un trojan che reindirizza il browser a uno specifico URL contenente un software malevolo. Il codice del malware viene di solito inserito all’interno di pagine HTML. L’Italia è il paese che continua a registrare la più alta prevalenza a livello mondiale con una percentuale altissima, ben l’11,23%, seguito dall’Australia con il 10,98% delle infezioni. E proprio nei primi giorni di dicembre l’infezione ha raggiunto il picco, sempre in Italia, il 54%

JS/TrojanDownloader.lframe – rilevato nel 2,09% delle infezioni si pone al secondo posto, rappresenta una serie di trojan che reindirizzano il browser a uno specifico URL contenente un software malevolo. Il codice del malware viene di solito inserito all’interno di pagine HTML.

Questo malware ha registrato il picco di infezione in Turchia, con una percentuale 10,46 %, seguita dalla Germania con l’8,93% delle infezioni e dalla Norvegia con l’8,5%.

JS/TrojanDownloader.Agent.ODR– rilevato nel 1,69 % delle infezioni si trova al terzo posto, è un trojan downloader che veicola Criptolocker, il temibile ransomware che cripta i documenti dei PC e richiede alle vittime un riscatto per tornare ad avere accesso ai propri file. Questo malware ha registrato nell’ultimo mese in Italia una lenta ma costante ascesa, raggiungendo l’1,69% delle infezioni.

Win32/Filecoder – rilevato nel 1,57% delle infezioni, rimane stabile al quarto posto della classifica Win32/Filecoder, un trojan che cripta i file dell’utente e richiede alla vittima un riscatto in cambio del software di decodifica. Per infettare i PC in questo caso gli hacker utilizzano diverse tecniche di infiltrazione come download guidati da siti infetti, allegati email, installazione tramite altri trojan o backdoor, o addirittura installazioni mirate. Il picco di infezioni per questo malware si è registrato in Danimarca, con una prevalenza del 3,84%.

JS/FBook – fanalino di coda della classifica di novembre JS/FBook, un trojan utilizzato per l’invio di pubblicità indesiderata; anche in questo caso il codice malevolo viene inserito all’interno di pagine HTML. Questo malware ha interessato in maniera lieve ma diffusa tutte le regioni europee e ha registrato il picco di infezioni in Algeria con il 3,39%

Fonte: ESET Italia Security Blog

I consigli di ESET Italia per aiutare i vostri figli a non cadere nella rete dei cybercriminali mentre giocano online

Con l’arrivo del periodo natalizio i bambini e i ragazzi passeranno più tempo a casa e avranno più occasioni per giocare online, se il vostro sarà spesso davanti al computer è bene sapere che persino mentre sta giocando, vostro figlio può essere minacciato dai criminali informatici in cerca di dettagli sulle vostre carte di credito e altre informazioni che possono essere monetizzate. O ancora possono essere ingannati da piccole truffe come screensaver infetti o “trucchi per i giochi” che contengono malware.

Per questo ESET Italia ha messo a punto una serie di consigli per aiutare i giovani giocatori a non cadere nella trappola dei cybercriminali:

1. Adottate una soluzione di sicurezza

Installate una soluzione di sicurezza affidabile sul computer o sul dispositivo che i vostri figli usano per giocare e assicuratevi che sia sempre aggiornato. I criminali informatici non dormono mai e lo stesso vale per i sistemi di difesa che proteggono i vostri figli. Assicuratevi che i vostri ragazzi non la disabilitino per migliorare le prestazioni dei giochi o che ignorino i popup che si riferiscono a potenziali minacce.

2. Rendete il browser più sicuro

Molte delle truffe di cui sono vittime i giocatori riguardano persone che offrono “affari” irrinunciabili in chat – sia per i giochi stessi o per servizi come Steam – e che invece poi dirottano i visitatori verso siti truffaldini. Assicuratevi che il browser utilizzato dai vostri figli sia aggiornato e che siano abilitati gli allarmi sul phishing.

3. Le credenziali sono preziose

Insegnate ai vostri figli a fornire le loro credenziali solamente a siti web e servizi online affidabili. E nel caso in cui i ragazzi non siano sicuri sull’attendibilità della pagina, siate lì per consigliarli.

4. Non scambiate i codici di gioco online

La migliore soluzione per ottenere i codici dei giochi è rivolgersi alle società che li producono e scambiare codici via forum, o anche sui siti di aste, vuol dire cacciarsi nei guai. Se i vostri figli vogliono un nuovo gioco, l’acquisto di codici online potrebbe portare all’esborso di decine di euro per dei codici falsi. D’altra parte, se tentate di vendere alcuni vecchi giochi che i vostri figli non usano più, i truffatori dichiareranno che i vostri codici sono fasulli e pretenderanno un rimborso, svuotandovi le tasche.

5. Giocate su una rete pubblica

Vostro figlio ha grandi ambizioni e adora le competizioni sugli sport elettronici e sui giochi? Assicuratevi che sappia come comportarsi quando si connette a una rete wifi pubblica. Secondo i ricercatori di ESET è fondamentale che i ragazzi siano consapevoli di giocare su una rete pubblica – con tutti i rischi che questo comporta. Se i vostri figli vogliono partecipare a un evento di gioco, magari su un social network, dovrete cambiare la password che di solito usano con una temporanea durante l’evento, per poi ripristinare la solita quando torneranno a casa. Questo li proteggerà dai truffatori che potrebbero tentare di intercettarne i dati e di usarli per rubargli l’account – o da chiunque possa mettersi fisicamente dietro di loro nel tentativo di rubare le loro password.

6. Aiutate i piccoli giocatori a scegliere il nome utente giusto

È un aspetto particolarmente importante per i ragazzi, poiché utilizzare un nome che sia riconducibile a una giovane età può attirare attenzioni indesiderate. Per un giocatore è importante scegliere un tag, un nome di gioco o un alias per i forum che non fornisca in alcun modo informazioni personali. Gli account sono obiettivi di grande valore per i criminali informatici e se inserendo queste informazioni su Google questi riescono a risalire al nome dei vostri figli, i loro account potrebbero essere seriamente a rischio.

7. I trucchi sono spesso peggio di quanto si possa immaginare

Barare è sbagliato e falsa qualsiasi tipo di competizione. Questo è uno dei primi insegnamenti che i genitori devono impartire ai propri figli, ancor di più per il mondo del gioco online. Utilizzare dei trucchi non solo rischia di far espellere a vita i piccoli giocatori dalle community dei loro giochi preferiti ma mette anche a rischio i loro account. Inutile dire che più del 90% dei trucchi comunemente scambiati sono infetti da malware o adware, secondo alcune stime.

8. Non stringete amicizie su Facebook per ottenere “omaggi” nei giochi

L’attenzione dei bambini viene spesso assorbita dai giochi su Facebook dove per ottenere energia supplementare o per effettuare degli scambi si affidano agli amici. Bisogna però stare attenti, perché aggiungendo nuovi amici solo per ottenere codici extra per i giochi potrebbero finire nei guai. I siti di fan sono pieni di persone che offrono la propria amicizia a chiunque proprio per questi scopi – e questo può rendere più rapida l’esperienza di gioco – ma fa si che i bambini si ritrovino con “amici” che non conosco affatto. Ciò significa che queste persone possono vedere le informazioni private che vengono condivise con l’opzione “Solo Amici” su Facebook e utilizzarle per rubare l’identità di vostro figlio.

9. Le persone sui forum non sono vostri amici

I forum per giocatori sono luoghi abbastanza pericolosi o ostili nella migliore delle ipotesi. Voi e i vostri figli non conoscete ancora queste persone – perché dovreste fidarvi di loro?

Fonte: Eset Italia Security Blog

Sophos svela 5 segnali di maggiore cognizione su privacy degli utenti

Ottobre è stato il mese europeo della sicurezza informatica (European Cyber Security Month 2015 – ECSM), ed è tempo di fare un bilancio relativo al grado di consapevolezza di aziende e utenti riguardo alle minacce informatiche che ogni giorno mettono in pericolo la loro privacy. A prima vista il quadro non potrebbe essere peggiore: secondo il rapporto Clusit 2015, la crescita degli investimenti in sicurezza informatica rispetto all’anno precedente, pur segnando un +8 percento nel 2014, non tiene il passo di hacker sempre più “professionisti” del cyber crimine e fatica a contrastare attacchi in costante aumento, come dimostra anche il fatto che almeno 2/3 degli attacchi non vengano neppure rilevati.

Non va meglio se si prende in considerazione l’utenza privata: recentemente, un’indagine europea coordinata dal Global Privacy Enforcement Network (GPEN) ha gettato più di un’ombra sul modo in cui siti e app specificamente indirizzate ai minori raccolgono e condividono informazioni personali di utenti inconsapevoli e privati della possibilità di intervenire per proteggersi. Tuttavia,SOPHOS, società leader a livello mondiale nel settore della sicurezza informatica, da anni impegnata in campagne di sensibilizzazione allo scopo di diffondere una cultura della sicurezza e della privacy online, ha voluto salutare l’ECSM con un messaggio di speranza. Il mese europeo della sicurezza informatica è organizzato dall’European Network and Information Security Agency (ENISA).

Fra gli obiettivi dell’ECSM: generare consapevolezza sulla sicurezza IT, promuovere un uso più sicuro di Internet per tutti gli utenti, aumentare l’interesse dei media nazionali attraverso la dimensione europea e globale del progetto, migliorare l’attenzione e l’interesse per quanto riguarda la sicurezza delle informazioni attraverso il coordinamento politico e mediatico. In fondo al tetro tunnel dei pericoli informatici si è accesa una, anzi, cinque luci, cinque segnali positivi che indicano come, nonostante ci sia ancora molta strada da fare, la consapevolezza delle cyber minacce e la situazione generale della sicurezza informatica siano molto migliorate rispetto a qualche anno fa. Ecco quindi i cinque esempi di Sophos che dimostrano che l’atteggiamento verso la cyber security sta cambiando in meglio. 

• Gli utenti Mac e Linux hanno capito di non essere immuni a problemi di sicurezza. Cinque anni fa era una convinzione diffusa tra utenti e “aficionados” di macchine e sistemi operativi Mac e Linux che questi fossero completamente immuni a malware o altre tipologie di attacchi informatici, in quanto “sicuri per definizione”. Oggi quelle granitiche certezze si sono sgretolate e fortunatamente si è diffusa una maggiore consapevolezza dei pericoli che possono colpire anche questi sistemi. La scarsa sicurezza dei sistemi Linux, infatti, era un problema molto serio allora e lo è ancora oggi. Gli hacker si riversano su questi server vulnerabili e poi li usano come veicoli per diffondere malware agli utenti Windows. Il nemico non è stato sconfitto, ma almeno il fronte anti-minacce è più unito. 

L’efficacia dell’identificazione a due fattori (2FA) viene sempre più accettata. Fino a qualche anno fa, poche organizzazioni offrivano questa misura di sicurezza e la maggior parte degli utenti non era interessata perché la considerava una vera e propria seccatura. Anche questa resistenza sta gradualmente diminuendo, con molte più aziende che propongono codici di autenticazione una tantum e sempre più clienti che richiedono questa funzionalità. L’autenticazione a due fattori aggiunge un secondo livello di autenticazione a un account di log-in. L’inserimento di nome utente e password, viene considerata una autenticazione a fattore singolo. 2FA richiede all'utente di avere due su tre tipi di credenziali prima di poter accedere a un account. 

• I social network pongono una crescente e sempre più visibile questione sicurezza. Tutti lo criticano, ma nessuno smette di usarlo. Facebook è finito spesso nella bufera per il suo atteggiamento disinvolto nei confronti della privacy. Tuttavia, bisogna dare atto a Mark Zuckerberg e alla sua creatura che negli ultimi anni il loro comportamento è cambiato molto. Oggi gli utenti Facebook hanno a disposizione il Dinosauro della Privacy, lo strumento Security Checkup, e persino una Privacy Policy in un linguaggio semplice e alla portata di tutti. Certamente non è tutto oro quel che luccica, ma dall’uscita del film The Social Network, nel 2010, la situazione è senz’altro migliorata. A tal proposito, nuove modifiche sono in arrivo per quanto riguarda la politica dei nomi reali su Facebook. 

• Si sta diffondendo la pratica dell’Encryption, al fine di impedire ad altri di accedere ai propri contenuti. Sophos si è spesa molto negli ultimi anni per convincere utenti e aziende dell’utilità di criptare i propri dati per contrastare gli attacchi degli hacker, atti di spionaggio o altre forme di cyber minacce. Eppure non sono passati molti anni da quando la SSL/TLS, il lucchetto nella barra di indirizzo del browser, era considerata troppo difficile da implementare e quindi riservata soltanto al traffico web dove proprio non se ne poteva fare a meno. Tutti gli altri utenti effettuavano il log in alla propria webmail attraverso un link criptato che teneva al sicuro il loro username e la loro password, ma al momento di gestire i loro messaggi erano sospinti su una connessione non criptata. 

La leggerezza si giustificava con la teoria che le connessioni criptate con la TLS erano troppo lente, costose e macchinose e non ci si poteva aspettare di trovarle ovunque. Fortunatamente, oggi il vento sta cambiando: visitando servizi come Gmail, Outlook, Yahoo!, Twitter con una connessione http, si viene rapidamente trasferiti su una connessione https. • Gli utenti gestiscono molto meglio le loro password. In realtà, su questo punto bisogna ancora lavorare. Ciò nonostante, Sophos ha deciso di inserirlo nella lista dei segnali beneauguranti per congratularsi con tutti gli utenti che si sono lasciati alle spalle le pessime abitudini precedenti nella gestione delle password. Per tutti coloro che continuano a rimandare l’adozione di buone ed efficaci pratiche di sicurezza IT, ecco una guida per scegliere una password appropriata. Guest post: Sound PR

Fonte: Protezione Account