Data Breach: una breve e chiara sintesi dei nuovi obblighi, responsabilità e sanzioni alla luce del Nuovo Regolamento Europeo (GDPR)

Cosa deve fare un’azienda che ha subito un Data Breach secondo il nuovo General Data Protection Regulation (GDPR)? Come lo deve fare ed entro quanto tempo? Quali responsabilità assume e quali sanzioni rischia altrimenti?

La Redazione di Guru ci ha recentemente raccontato, tra le parole del giorno, del c.d. Data Breach. Da qui la curiosità di sapere qualcosa di più, anche da un punto di vista giuridico, su cosa deve fare un’azienda che è stata vittima di una violazione informatica e su quali sono le sue responsabilità alla luce del Regolamento Europeo 2016/679 (che entrerà in vigore tra qualche mese e in vista del quale occorre prepararsi).

Leggi tutto...

Wordpress Security

Secondo W3techs, WordPress è usato dal 28,1% dei siti Internet esistenti, in particolare dal 59% di tutti quelli basati su CMS, e il tasso d’adozione non tende affatto a diminuire
Questi numeri bastano a far capire la grande diffusione di WordPress: la sua facilità d’installazione e personalizzazione lo rendono adatto a un grande numeri di casi d’uso, eCommerce compresi.
Ma d’altro canto questa popolarità ha un lato negativo: lo rende una delle piattaforme più appetibili per gli hacker. Fortunatamente si possono prevenire e limitare i danni da un attacco, con accorgimenti e tecniche che andremo ad analizzare in questo articolo.

Leggi tutto...

Proteggere i device IoT

Come proteggere i device IoT connessi in rete e metterli in sicurezza

IoT è l'acronimo di Internet of Things, con questo termine si indica una rete informatica in cui dispositivi, sensori, oggetti, persone e animali sono dotati di un identificativo univoco e in grado di scambiarsi dati tramite Internet senza necessità di una interazione diretta uomo-macchina. L'idea nasce dalla convergenza delle tecnologie wireless con la disponibilità di sensori e strumenti elettronici sempre più piccoli, evoluti e a basso costo.

Così scrivevamo a proposito di IoT nella nostra rubrica “La parola del giorno”.

In senso lato, l’Internet delle Cose è dunque costituito da tutti i dispositivi che sono connessi in rete, e l’elenco è veramente lungo, come si può constatare con una breve ricerca su Shodan, il motore di ricerca per device IoT connessi in rete. https://www.shodan.io/
Una conseguenza dell’essere connessi in rete è la possibilità, tutt’altro che remota, di essere hackerati: il rischio è che i device vengano infettati e resi parte di una botnet usata dai cyber-criminali per scopi illeciti, come attacchi DDoS, distribuzione di malware, invio di spam e altro.

Leggi tutto...

WannaCry: analisi di un attacco Ransomware particolarmente infido

A metà maggio, quello che inizialmente poteva sembrare un "normale" attacco ransomware, ha scatenato un notevole impatto immediato anche sui canali dei non addetti ai lavori: stiamo parlando di WannaCry.

Questo ransomware, nell'arco di qualche decina di ore, ha infettato migliaia di computer e messo in ginocchio svariate infrastrutture a livello europeo, prima che si riuscisse a tamponare la situazione. Analizziamo cosa è successo e perché in realtà è un attacco particolare nel suo genere e, per alcuni aspetti, addirittura inquietante.

image8

 

Leggi tutto...

Bollettino Sicurezza Maggio 2017

Attacchi DDoS e botnet

La botnet Rakos cresce ma rimane inattiva
La botnet Rakos cresce in termini numerici ma rimane inattiva, secondo Renato Marinho di Morphus Labs. 
Rakos aggiunge circa 8.000 nuovi device IoT zombie ogni giorno, e si evolve: è stata aggiunta una struttura P2P in cui alcuni bot funzionano da server C&C (Command & Control) chiamati Skaros, altri da “operai” - Checker - che lanciano attacchi via SSH ad altri server per aggiungerli alla botnet.
Attualmente Rakos è composta da device IoT: RaspberryPI 45%, OpenELEC (su RaspberryPI) 22%, Ubiquiti (access point wireless) 16% ed altri.
Ad oggi l’unico rimedio per eliminare il malware è riavviare il dispositivo IoT e utilizzare delle credenziali SSH robuste.
Marinho definisce la botnet come “transiente”: i bot non rimangono tali indefinitivamente ma solo fino al riavvio; la forza della botnet sta nel numero di bot disponibili in media ogni giorno - circa 8000 - che sono sufficiente a scatenare attacchi DDoS di grande impatto.

Shodan inaugura un nuovo strumento per trovare server C&C
Shodan inaugura Malware Hunter, uno strumento per individuare i server Command and Control (abbreviati in C&C o C2), cioè quei server facenti parte di una botnet che inviano i comandi ai membri (zombie) della botnet stessa e funzionano da centri di distribuzione del codice dannoso a cui gli zombi attingono.
Malware Hunter funziona grazie a bot che sondano la Rete cercando computer configurati in modo da funzionare da server C2 di una botnet. Il bot usa poi dei metodi predefiniti per fingere di essere un computer infetto e comunicare con il server C&C. Se il sospetto server C2 risponde, Malware Hunter registra i dati e li mette a disposizione nel tool grafico.

Leggi tutto...

Bollettino sicurezza IT aprile 2017

Attacchi DDoS e botnet 

Botnet Mirai lancia attacco DDoS verso università USA

A fine febbraio è stato rilevato dai ricercatori Incapsula un attacco DDoS (Distributed Denial of Service) verso un’università USA.
L’attacco è durato 54 ore ininterrotte e ha generato una media di 30.000 richieste per secondo (RPS), con punte di 37.000 e un totale di 2.8 miliardi di richieste; un numero sufficiente per mandare KO gran parte degli apparati connessi in rete.
Meno di un giorno dopo il primo attacco, se ne è verificato un secondo, ma questa volta con un impatto minore: la durata è stata di poco più di un’ora e mezzo e le RPS sono state in media 15.000.

L’attacco mostra una probabile nuova versione della botnet, come mostrano le dimensioni dell’attacco stesso e degli user agent utilizzati, diversi da quelli finora conosciuti; l’attacco ha avuto impatto a livello applicativo piuttosto che di rete (network layer).

Gli indirizzi IP coinvolti, 9.793 distribuiti in gran parte tra USA, Israele, Taiwan, India, Turchia, Russia e anche Italia, risalgono in gran parte a dispositivi dell’Internet of Things come telecamere CCTV, router e videoregistratori digitali; in particolare, il 56% dei dispositivi coinvolti appartiene a DVR di un singolo produttore (che non è stato reso noto).

Leggi tutto...

Bollettino sicurezza IT Luglio 2017

Attacchi DDoS e botnet 

Linux.MulDrop.14 colpisce Raspberry PI per mining di cripto-valute
I ricercatori Dr.Web hanno scoperto un malware – Linux.MulDrop.14 – che colpisce Raspberry PI, il popolare computer su singola scheda usato in vari ambiti, che infetta i dispositivi e li aggiunge ad una botnet che fa mining di cripto-valute.
Nel caso in questione i dispositivi con le credenziali di default intatte e raggiungibili via SSH dall’esterno: il malware si installa nel device, cambia la password di accesso e aggiunge vari pacchetti, tra cui le librerie necessarie ad eseguire il mining di cripto-valute, ZMap per eseguire scansioni in rete in cerca di device vulnerabili e sshpass per eseguire la login sui sistemi trovati.
Una volta infettati l’unico modo per eliminare il malware è reinstallare il sistema operativo. Naturalmente le credenziali di default (pi:raspberry) vanno cambiate.

Leggi tutto...

Trend Micro e le minacce del cyber spionaggio: tra rischi attuali e tendenze future

La seconda edizione del Security Barcamp organizzato da Trend Micro si conferma un interessante appuntamento per affrontare le tematiche relative alla sicurezza IT sia su scala globale che con particolare focus sulla situazione nel nostro paese.

TM logo newtag stack 4c

L’ospite speciale dell’evento è stato Rik Ferguson, Vice President di Trend Micro, che nel suo intervento ha trattato in modo piuttosto esteso quelle che secondo l’azienda americana sono le tre principali minacce attuali e future in ambito IT. Al primo posto sicuramente il fenomeno ransomware che, esploso durante il 2015, ha vissuto nell’arco dell’anno successivo una crescita del 400% in termini di tipologie e di famiglie disponibili. La nuova tendenza però è quella di raffinare e migliorare le tecniche di attacco, concentrandosi su utenze business (dove il valore dei dati è maggiore e può giustificare esborsi più ingenti per il riscatto) appositamente selezionate e lavorando molto sulle tecniche di ingegneria sociale che stanno alla base di questi attacchi.

Leggi tutto...

Cross Site Request Forgery: Da basso ad alto impatto

Il Cross Site Request Forgery, chiamato anche CSRF, è una vulnerabilità che si verifica quando manca un adeguato controllobsulle richieste che non vengono inviate intenzionalmente, ma sono pensate da un utente malintenzionato che successivamente le farà eseguire alla vittima tramite un link che porta ad un pagina html, la quale invierà la richiesta senza che la vittima se ne accorga.Tramite CSRF è possibile effettuare azioni più o meno gravi, per questo motivo vanno classificati in base all'impatto e ai danni che possono causare ad ogni utente.

Basso Impatto

Questi tipi di CSRF non hanno un grande impatto sulla sicurezza se sfruttati, a parte causare qualche fastidio, non arrecano danni ingenti agli utenti di un sito web vulnerabile. Un esempio potrebbe essere un CSRF di logout, ovvero visitando una pagina contenente quel tipo di CSRF si verrà sloggati dal sito web in questione e bisognerà effettuare di nuovo il login.

Leggi tutto...

Bollettino sicurezza IT gennaio 2017

Attacchi DDoS e botnet 

Rakos, la nuova botnet che attacca i sistemi Linux

I ricercatori ESET hanno pubblicato un articolo dove viene spiegato come una botnet, battezzata Rakos, si stia creando tramite infezioni via SSH a server e device IoT Linux. La botnet Mirai, per confronto, agisce prevalentemente via Telnet, anche se sono stati registrati attacchi via SSH.

Le prime tracce di Rakos risalgono ad agosto 2016 e nei mesi successive le segnalazioni sono aumentate; il timore è che la botnet, che al momento è inattiva, possa presto iniziare delle attività di DDoS.

I ricercatori ESET hanno ricostruito come lavora Rakos: anzitutto accede ad un server Linux via SSH con un attacco brute force e crea delle cartelle con vari nomi da cui opera (.javaxxx, .swap, o kworker).

Leggi tutto...

Cross Site Scripting : Comprenderlo per difendersi

Il Cross-Site Scripting, anche chiamato XSS è  una vulnerabilità presente nei siti web che non applicano sufficienti controlli sui form di inserimento dati. Un XSS permette di inserire o eseguire codice lato client, al fine di attuare un insieme di attacchi quali ad esempio la raccolta e la manipolazione con reindirizzamento di informazioni riservate, visualizzazione e modifica di dati presenti sui server e alterazione del comportamento dinamico delle pagine web. 

L'effetto del cross-site scripting può variare dall'essere un piccolo fastidio ad un significativo rischio per la sicurezza, a seconda della sensibilità dei dati trattati nel sito vulnerabile e dalla natura delle strategie di sicurezza implementate dai webmaster del sito. Sfruttando una vulnerabilità di questo tipo un utente malintenzionato potrebbe rubare i cookies all'amministratore di un sito web o fare eseguire qualsiasi codice javascript nel browser della vittima, semplicemente inviandogli un link che conduce alla vulnerabilità. La diffusione di questa vulnerabilità è dovuta dal fatto che è molto facile da sfruttare ed è presente nella maggior parte dei siti web.Esistono tre principali tipi di xss:

Toolkit anti-ransomware - Come combattere Cryptolocker & C

Sui precedenti numeri di GURU advisor abbiamo già dedicato diversi articoli, approfondimenti  (come quelli sul numero di Aprile 2016) al fenomeno dei crypto-ransomware. Questa piaga infatti non accenna ad arrestarsi e, se da una lato ci sono buone notizie come il rilascio del codice per bonificare i dati cifrati da TeslaCrypt, d’altro canto ogni settimana compaiono nuove minacce. Un esempio particolarmente attuale è RAA, scritto in JavaScript e distribuito tramite email come documento .doc allegato. Anche se può essere reso facilmente inoffensivo disabilitando la funzione Windows Script Host e di conseguenza l’esecuzione degli script, RAA rappresenta di fatto l'ennesima minaccia ai vostri dati.  In questo articolo vediamo di ampliare le vostre conoscense parlando di altri strumenti specifici per combattere queste minacce. Naturalmente la prevenzione (tramite backup, protezione dei dati etc.) rimane ancora l’arma migliore a disposizione degli utenti. 

Un veloce ripasso

Sono numerosi i tool di cui vi abbiamo già parlato, vediamo di riassumerli rapidmente:

  • CryptoPrevent di FoolishIT: imposta delle Group Policy che impediscono l’installazione di alcuni ransomware.
  • TeslaDecoder di BloodDolly : per la decifratura totale dei file infettati da TeslaCrypt fino alla versione 4.
  • BitDefender offre uno strumento per combattere Linux Encoder (il ransomware che prende di mira i sistemi Linux) e un vaccino per CTB-Locker, Locky e TeslaCrypt chiamato BD Antiransomware.
  • Malwarebytes Anti-Ransomware: in precedenza conosciuto come CryptoMonitor, blocca i ransomware CryptoWall4, CryptoLocker, Tesla, e CTB-Locker, ma è ancora in beta.
  • Third Tier Ransomware Prevention Kit: contiene una serie di Group Policy, filtri, whitelist, impostazioni, documenti e altro ancora per prevenire le infezioni da ransomware.

id ransomware

Il primo passaggio fondamentale in caso di attacco, è scoprire da quale crypto-ransomware siete stati colpiti, in questo senso il servizio ID Ransomware offerto da MalwareHunterTeam può essere estramamente utile. Effettuando l’upload di un file campione infettato, consente di identificare il ransomware tra i 103 attualmente presenti a catalogo. ID Ransomware non decifra i vostri file, ma vi permette di conoscerne la natura esatta.

Leggi tutto...

Virus, Ransomware e altri malware: i risvolti legali

Magari li avete sempre presi alla leggera, ma tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia.

Come tecnici, esperti, manager IT o consulenti magari avete spesso dato consigli a colleghi, amici, clienti, affrontando le questioni legali legate al mondo informatico con un approccio pratico o comunque di buon senso. Purtroppo non è detto che questa sia la strada migliore da percorrere, perlomeno per evitare rischi, danni o ripercussioni sulla vostra attività.

Tutti i malware – ovvero i software dannosi che si infiltrano nei computer o nei sistemi informatici per rubare informazioni, aprire le porte a controlli remoti o altri pericoli, piuttosto che cifrare dati ai fini di estorsione – violano chiaramente l’ordinamento giuridico italiano e chi li diffonde commette un reato, sanzionato dal nostro codice penale. In particolare, si verifica non solo un accesso abusivo ad un sistema informatico o telematico (ex art.615 ter c.p.), ma la diffusione di dispositivi o programmi, con il dolo specifico (insomma consapevolmente, )di danneggiare, interrompere o alterare un sistema informatico o telematico, si può essere di fronte all’ipotesi criminosa dell’art.615 quinquies c.p. Se si verifica anche il “danneggiamento di informazioni, dati e programmi informatici”, il reato è punito (dall’art.635bis c.p.) con la pena base della reclusione da 6 mesi a 3 anni, a querela da presentare, a norma dell’art.124 c.p., entro tre mesi dalla notizia del fatto di reato (pena l’improcedibilità dell’azione penale).

Le cose peggiorano quando si parla delle recenti minacce portate dai Ransomware, i virus che cifrano i file e chiedono un “riscatto” (ransom) per avere la chiave dei file criptati. In questi casi ci si potrebbe trovare di fronte al delitto, non specifico del mondo informatico, di estorsione, punito dall’art.629 c.p., anche in aderenza con l’indicazione data in merito dal Ministero della Giustizia. Il reato di estorsione viene commesso da “Chiunque, mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno”. Da questo, discenderebbe l’applicazione, a carico dei responsabili, di pene ben più severe (pena base della reclusione da 5 a 10 anni e multa da euro 1.000 a 4.000), oltreché la perseguibilità d’ufficio del reato. E ancora, dal trasferimento del denaro proveniente dal pagamento del “riscatto”, il reato di riciclaggio ex art.648 bis c.p. a carico di chi ha ricevuto e “riciclato” il denaro.

Come comportarsi allora quando si rimane vittime di un malware o ransomware?

Leggi tutto...

Ransomware, come proteggersi: le tecnologie dei principali prodotti antivirus e di sicurezza

Per preparare questo articolo abbiamo chiesto a tutte le principali società che si occupano di sicurezza di spiegarci quali tecnologie o tool mettono a disposizione per la protezione dai ransomware. I normali antivirus basati su signature infatti non sono sufficienti per proteggersi, perché questi malware vengono spesso confezionati su misura ad ogni attacco e l’eseguibile viene mascherato e modificato in vari modi, così da apparire sempre differente. Naturalmente i consigli più scontati li sapete già: mantenere Windows, l’antivirus e tutti i principali software aggiornati (inclusi i tool come Flash, Java, Adobe Reader, spesso veicolo di attacchi). Vediamo quali altre informazioni abbiamo raccolto dalle security firm che ci hanno risposto.

avira

Avast, conosciuta soprattutto per i suoi antivirus ci ha parlato di DeepScreen: questa tecnologia, parte di tutti i prodotti desktop dalla versione 2014, si basa sul principio del sandboxing. I potenziali malware vengono prima eseguiti nella sandbox, per valutarne il loro comportamento. Secondo Avast i malware usano sempre nuove tecnologie per evadere questo tipo di protezioni, ma il loro engine viene continuamente aggiornato insieme alle definizioni e perciò include sempre le ultime funzioni di controllo, per evitare di essere ingannato da qualche trucco specifico.


Avira
raccomanda innanzitutto di attivare la protezione basata su Cloud (Avira Protection Cloud - vedi immagine a fianco). Questa tecnologia manda una impronta dei file sospetti nei laboratori della famosa security firm per verificare se si tratta di un eseguibile già controllato. Se il file non è conosciuto viene immediatamente caricato online e analizzato. Avira utilizza svariate tecniche per superare le tecnologie anti-debugging e anti-sandboxing sfruttate dai malware.

Leggi tutto...

banner5

fb icon evo twitter icon evo

Parola del giorno

Il termine Data Breach indica tutte quelle situazioni in cui si verifica una fuoriuscita (o compromissione) di dati da una infrastruttura...

>

Il termine Hop Count indica il numero totale di "salti", intesi come dispositivi di rete, che un pacchetto di dati deve...

>

Il termine Base URL nel cotesto delle applicazioni Web, indica la posizione "base" da cui considerare i percorsi relativi ai contenuti...

>

Il termine Object Storage indica quelle architetture di storage che, a differenza del classico approccio gerarchico dei file system tradizionali...

>

L'acronimo HVM with PV drivers indica una tecnica di virtualizzazione ibrida che sfrutta la virtualizzazione assistita dall’hardware (le istruzioni intel VT-x...

>
Leggi anche le altre...

Download del giorno

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>

CurrPorts

CurrPorts è un'utility in grado di mostrare in tempo reale tutte le porte TCP/UDP aperte sulla macchina dove...

>

MailPass View

Lo strumento MailPass View di Nirsoft permette di recuperare e mostrare le password salvate nei principali client di...

>

WebBrowserPass Tool

Lo strumento WebBrowserPass Tool di Nirsoft è un semplice software in grado di mostrare in chiaro le password...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • GURU advisor: numero 9 - 29 Giugno 2016

    GURU advisor: numero 9 - 29 Giugno 2016

  • GURU advisor: numero 8 - Maggio 2016

    GURU advisor: numero 8 - Maggio 2016

  • 1
  • 2
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1