- Dettagli
-
Pubblicato: Venerdì, 22 Maggio 2020 16:47
-
Scritto da Lorenzo Bedin
Garantire un accesso sicuro a workstation, server e reti è una delle principali priorità per chi si occupa di infrastrutture IT e in molti casi l’utilizzo di una semplice password non è un sistema sufficientemente sicuro.
Proprio in questo contesto si posiziona il software Logon Key della software house moldava Rohos (anche nota come Tesline-Service Srl), che punta a garantire un accesso di tipo Two-Factor-Authentication (TFA) multi dispositivo e multipiattaforma. Nel portfolio dell’azienda troviamo anche altre soluzioni legate al mondo della sicurezza, come Disk Encryption e Face Logon.
Leggi tutto...
- Dettagli
-
Pubblicato: Venerdì, 22 Maggio 2020 16:47
-
Scritto da Guru Advisor
La pervasività del Web è una realtà con cui ormai abbiamo imparato a convivere, che ogni giorno amplia i suoi margini di integrazione con la nostra vita e non riguarda più solo gli addetti ai lavori.
Professionisti, imprese, aziende e utenti di ogni tipo fruiscono ogni giorno di applicazioni Web: dal portale dell’home banking ai propri social, dal booking online al sito aziendale. Tutte queste realtà digitali devono fare i conti, altrettanto quotidianamente, con una innumerevole quantità di minacce interne ed esterne.
Acunetix è un web vulnerability scanner e si pone come strumento di identificazione e gestione di tutti quei problemi di sicurezza e vulnerabilità legati alle applicazioni Web, dai CMS alle più complesse piattaforme custom. Il software è in grado di analizzare e identificare in modo preciso una gran varietà di problemi. La piattaforma è scritta interamente in C++ ed è composta da diversi moduli, ognuno che lavora ad un diverso livello e con un target specifico: dall’identificazione di link malevoli e malware, alla scansione per la ricerca di patch mancanti sui sistemi in rete.
Leggi tutto...
- Dettagli
-
Pubblicato: Lunedì, 15 Aprile 2019 16:25
-
Scritto da Lorenzo Bedin
Attacchi DDoS e Botnet
Gli attacchi verso software mobile sono quasi raddoppiati nel 2018
Kaspersky Labs ha rilasciato un interessante report dal titolo "Mobile malware evolution 2018", disponibile a questo indirizzo, che fa il punto sulla diffusione dei malware su dispositivi mobile nell'anno passato, offrendo uno strumento utile per provare a capire il trend futuro e a reagire ad esso.
Tra i risultati evidenziati dal report, che è stato condotto sulla base dei dati raccolti dai dispositivi con installate applicazioni di Kaspersky, il più importante riguarda il numero di attacchi registrati: dai 66,4 milioni del 2017 ai 116,5 del 2018; in compenso è diminuito il numero di pacchetti di installazione compromessi (5,321,142 nel 2018, quasi 500mila in meno dell'anno precedente).
Le app compromesse includono droppers (trojan-dropper che bypassano i controlli e "sganciano" il pacchetto malevolo vero e proprio), adware (pubblicità invasiva), risktool (app che possono creare danni fisici) e spyware, incluso quello a sistemi di homebanking, stante il loro uso sempre più diffuso.
StealthWorker sfrutta Windows e Linux per bucare siti
I ricercatori Fortiner hanno individuato una botnet che sfrutta StealthWorker, un malware scoperto qualche settimana prima da Malwarebytes.
Rispetto alla prima versione che si concentrava solo su Windows, questa versione del malware ha come obiettivo Linux, diventando quindi una minaccia multipiattaforma; non solo: analizzando le open directory disponibili sui server C2 (Command&Control) indicati nel report di Malwarebytes, sono state trovate prove che anche le architetture Mips e ARM -quindi device dell'IoT- sono coinvolte. In entrambi i casi viene schedulata un'esecuzione automatica per sopravvivere ai riavvii che sgancia il payload del malware. Ciascuna macchina infetta viene usata per attaccare installazioni di CMS come Joomla, Magento, Drupal e WordPress con tentativi di login brute force, e se l'attacco ha successo non solo vengono spedite al server C2 le credenziali trovate, ma l'host compromesso diviene a sua volta zombie, creando una vera e propria botnet.
Leggi tutto...
- Dettagli
-
Pubblicato: Mercoledì, 12 Dicembre 2018 16:25
-
Scritto da Lorenzo Bedin
Attacchi DDoS e Botnet
Cryptominer usa rootkit per nascondersi
Un report di TrendMicro illustra come sia iniziata l’era del cryptomining - cioè la generazione di criptovalute tramite l’utilizzo non autorizzato delle risorse computazionali delle vittime - tramite rootkit. Un rootkit è essenzialmente softwarecon privilegi d'accesso normalmente non consentiti. Un’attività di cryptomining è facilmente individuabile con quegli strumenti (Task Manager di Windows, top di Linux, etc..) che mostrano in tempo reale l’utilizzo di CPU, oltre che notando un generale peggioramento delle prestazioni della macchina, ed infatti esistono soluzioni affidabili di prevenzione.
Leggi tutto...
- Dettagli
-
Pubblicato: Venerdì, 20 Luglio 2018 12:14
-
Scritto da Riccardo Gallazzi
Attacchi DDoS e Botnet
Disponibile il report di FortiNet Threat Landscape Report Q1 2018
FortiNet ha pubblicato il report Threat Landscape Q1 2018, che analizza dati raccolti tra gennaio e marzo 2018.
Dal report emerge che la maggior parte (55%) delle infezioni dovute a botnet dura meno di un giorno, il 18% meno di due giorni e solo meno del 5% più di una settimana, segno che le botnet sono sempre in costante evoluzione.
L’infezione dovuta alla botnet Mirai è quelle che dura più a lungo: in media 5 giorni e mezzo; ma è Ghost la botnet prevalente.
Nonostante siano state identificate 268 diverse botnet, il loro numero e la loro attività è in declino nel periodo analizzato; l’attività di crypto-jacking, cioè generazione di criptovalute, è quella principale.
Leggi tutto...
- Dettagli
-
Pubblicato: Mercoledì, 11 Aprile 2018 14:43
-
Scritto da Riccardo Gallazzi
Attacchi DDoS e Botnet
Variante di Mirai trasforma i dispositivi IoT in server proxy
Fortinet ha identificato una botnet variante di Mirai, la famosa botnet responsabile degli attacchi a DynDNS e KrebsOnSecurity, che oltre a lanciare attacchi DDoS trasforma i dispositivi IoT infettati in server proxy.
La botnet, soprannominata Mirai OMG, installa sui sistemi vittime un malware che genera due porte casuali, aggiunge le dovute regole firewall, quindi installa 3proxy, un server proxy minimale.
Fortinet non ha rilevato attacchi condotti dalla botnet, analizzata in stato di quiescenza, e si suppone che gli autori vendano l’accesso ai proxy server IoT.
Leggi tutto...
- Dettagli
-
Pubblicato: Mercoledì, 11 Aprile 2018 14:41
-
Scritto da Riccardo Gallazzi
La prima settimana del nuovo anno è stata caratterizzata dalla comparsa di due importanti falle nei processori, chiamate Meltdown e Spectre e annunciate da ProjectZero di Google in questo post, che affliggono la maggior parte dei computer e dispositivi oggi in uso. L’impatto è stato clamoroso in termini di copertura mediatica, e l’argomento è stato oggetto di discussione non solo tra i professionisti IT.
Meltdown e Spectre in breve
Meltdown e Spectre sono due vulnerabilità distinte che affliggono i processori dei computer: non solo server, laptop e desktop ma anche micro-computer, computer specializzati e dispositivi dell’IoT. Sono state scoperte da quattro diverse equipe di ricerca che le hanno segnalate alle aziende che producono CPU, con diversi mesi di anticipo rispetto alla pubblicazione della notizia; ma queste vulnerabilità non sono nuove, infatti esistono da decenni. Nessun computer con processore prodotto negli ultimi 20 anni è da considerarsi immune ed è disponibile uno strumento dedicato per Linux e BSD, che fornisce informazioni sullo stato del sistema e uno strumento analogo per Windows.
Non si è a conoscenza di attacchi noti, gli antivirus possono individuare il codice responsabile di un attacco, ma non la vulnerabilità.
Leggi tutto...
- Dettagli
-
Pubblicato: Mercoledì, 11 Aprile 2018 14:36
-
Scritto da Veronica Morlacchi
LA PORTABILITÀ DEI DATI NEL NUOVO REGOLAMENTO EUROPEO 2016/679.
Un nuovo dovere a carico dei titolari di trattamenti di dati personali ed un nuovo diritto previsto a favore degli interessati: vediamone il contenuto, i presupposti, le modalità di attuazione.
Perché occorre parlare di portabilità dei dati e conoscerne il contenuto?
Si avvicina ormai il 25 maggio 2018, data di applicazione in tutti gli Stati membri dell’UE, del Regolamento europeo 2016/679 (o anche GDPR) relativo al trattamento e alla circolazione dei dati personali. Varie le novità introdotte dalla nuova normativa europea che occorre conoscere, sia che si stia dalla parte della persona fisica a cui i dati personali si riferiscono (che acquisisce dei nuovi diritti), sia che trattiamo - per finalità varie - dati personali ricevuti (con speculari nuovi doveri). Tra le novità, una delle principali è sicuramente il “diritto alla portabilità dei dati”, delineato, in particolare, dai considerando 68 e 73 e dall’art.20 del GDPR, chiariti dalle Linee Guida del 13 dicembre 2016 (modificate il 5 aprile 2017), c.d. documento WP 242 (elaborate dal Gruppo di lavoro Europeo denominato WP 29) alla cui lettura integrale, comunque, rinvio (reperibili così come il Regolamento, sul sito del Garante Privacy italiano).
Leggi tutto...
- Dettagli
-
Pubblicato: Lunedì, 29 Gennaio 2018 12:21
-
Scritto da Riccardo Gallazzi
Nel prossimo numero dedicheremo un approfondimento specifico alle recenti falle Meltdown e Spectre, volutamente non argomentate in questo bollettino
Attacchi DDoS e Botnet
La botnet Necurs distribuisce ransomware
La botnet Necurs è viva e vegeta e partecipa alla distribuzione di ransomware tramite almeno tre campagne distinte, secondo quanto rilevato da MyOnlineSecurity.
La prima campagna riguarda il ransomware Scarab, ed è condotta tramite email. La mail ha come mittente copier@dominio-vittima, Scanned from HP (o altra marca) come oggetto, il corpo della mail è vuoto e il ransomware è allegato. Simula la consegna di documenti scansionati tramite stampante di rete.
Anche la seconda campagna è condotta via email, e riguarda il ransomware Globeimposter. La mail ha come mittente Invoicing@compagnia-random, oggetto una stringa di numeri e caratteri random del tipo FL-610025 11.30.2017, il corpo della mail è vuoto e naturalmente è allegato il ransomware, travestito da file legittimo.
La terza campagna è in parte simile alle precedenti e simula la consegna di una fattura (in allegato) da parte di Amazon, ma in realtà nasconde un malware. Non un ransomware in questo caso, bensì un banking trojan.
La botnet ProxyM viene usata per attaccare siti Web
Dr.Web ha identificato una botnet, soprannominata ProxyM, e basata sul malware Linux.ProxyM.1, in precedenza usata per campagne email spam (fino a 400 messaggi al giorno per dispositivo)
Il malware infetta i dispositivi Linux e crea un proxy server SOCKS; recentemente è cambiata la tattica di attacco, ed oggi ProxyM si occupa di violare i siti. Gli host infetti conducono attacchi di tipo SQL Injection, XSS (Cross-Site Scripting) e LFI Local File Inclusion verso siti che includono forum, game server e siti generici, quindi senza uno schema ben preciso; gli attacchi registrati spaziano da 10mila a 40mila al giorno.
Leggi tutto...
- Dettagli
-
Pubblicato: Lunedì, 23 Ottobre 2017 12:21
-
Scritto da Riccardo Gallazzi
Attacchi DDoS e botnet
IoT_reaper: una nuova botnet in evoluzione
I ricercatori Netlab hanno identificato una nuova botnet soprannominata IoT_reaper.
La botnet è nelle prime fasi di vita ed è in rapida evoluzione: per ora non ha lanciato alcun attacco ma, come il nome lascia intendere, fa incetta di dispositivi IoT non protetti e li aggiunge alla sua rete. È simile alla botnet Mirai, ma con alcune differenze: colpisce solo device vulnerabili e non cerca di bucare le password (con una evidente minor spesa operazionale), integra parti in codice LUA che consentono attacchi più sofisticati e esegue scansioni poco incisive, quindi difficili da rilevare.
La botnet ha aggiunto circa 20mila dispositivi in poco più di 2 settimane; le vulnerabilità sfruttate riguardano dispositivi D-Link, Netgear, Linksys ed altri: sono specificate nell’articolo linkato. In diversi casi sono disponibili delle patch, occorre aggiornare il software/firmware.
Botnet scansiona il Web in cerca di chiavi private SSH
In un post WordFence lancia l’allarme riguardo il rilevamento di un’attività di scansione del Web in cerca di chiavi private SSH incautamente ospitate sui web server.
Leggi tutto...