Bollettino Sicurezza - Aprile 2018

Attacchi DDoS e Botnet

Variante di Mirai trasforma i dispositivi IoT in server proxy

Fortinet ha identificato una botnet variante di Mirai, la famosa botnet responsabile degli attacchi a DynDNS e KrebsOnSecurity, che oltre a lanciare attacchi DDoS trasforma i dispositivi IoT infettati in server proxy.

La botnet, soprannominata Mirai OMG, installa sui sistemi vittime un malware che genera due porte casuali, aggiunge le dovute regole firewall, quindi installa 3proxy, un server proxy minimale.

Fortinet non ha rilevato attacchi condotti dalla botnet, analizzata in stato di quiescenza, e si suppone che gli autori vendano l’accesso ai proxy server IoT.

Leggi tutto...

Spectre e Meltdown: dall'inizio alla situazione attuale

La prima settimana del nuovo anno è stata caratterizzata dalla comparsa di due importanti falle nei processori, chiamate Meltdown e Spectre e annunciate da ProjectZero di Google in questo post, che affliggono la maggior parte dei computer e dispositivi oggi in uso. L’impatto è stato clamoroso in termini di copertura mediatica, e l’argomento è stato oggetto di discussione non solo tra i professionisti IT.

Meltdown e Spectre in breve

Meltdown e Spectre sono due vulnerabilità distinte che affliggono i processori dei computer: non solo server, laptop e desktop ma anche micro-computer, computer specializzati e dispositivi dell’IoT. Sono state scoperte da quattro diverse equipe di ricerca che le hanno segnalate alle aziende che producono CPU, con diversi mesi di anticipo rispetto alla pubblicazione della notizia; ma queste vulnerabilità non sono nuove, infatti esistono da decenni. Nessun computer con processore prodotto negli ultimi 20 anni è da considerarsi immune ed è disponibile uno strumento dedicato per Linux e BSD, che fornisce informazioni sullo stato del sistema e uno strumento analogo per Windows.
Non si è a conoscenza di attacchi noti, gli antivirus possono individuare il codice responsabile di un attacco, ma non la vulnerabilità.

Leggi tutto...

GDPR: la portabilità dei dati nel nuovo regolamento europeo

LA PORTABILITÀ DEI DATI NEL NUOVO REGOLAMENTO EUROPEO 2016/679.

Un nuovo dovere a carico dei titolari di trattamenti di dati personali ed un nuovo diritto previsto a favore degli interessati: vediamone il contenuto, i presupposti, le modalità di attuazione.

Perché occorre parlare di portabilità dei dati e conoscerne il contenuto?

Si avvicina ormai il 25 maggio 2018, data di applicazione in tutti gli Stati membri dell’UE, del Regolamento europeo 2016/679 (o anche GDPR) relativo al trattamento e alla circolazione dei dati personali. Varie le novità introdotte dalla nuova normativa europea che occorre conoscere, sia che si stia dalla parte della persona fisica a cui i dati personali si riferiscono (che acquisisce dei nuovi diritti), sia che trattiamo - per finalità varie - dati personali ricevuti (con speculari nuovi doveri). Tra le novità, una delle principali è sicuramente il “diritto alla portabilità dei dati”, delineato, in particolare, dai considerando 68 e 73 e dall’art.20 del GDPR, chiariti dalle Linee Guida del 13 dicembre 2016 (modificate il 5 aprile 2017), c.d. documento WP 242 (elaborate dal Gruppo di lavoro Europeo denominato WP 29) alla cui lettura integrale, comunque, rinvio (reperibili così come il Regolamento, sul sito del Garante Privacy italiano).

Leggi tutto...

Bollettino sicurezza IT Gennaio 2018

Nel prossimo numero dedicheremo un approfondimento specifico alle recenti falle Meltdown e Spectre, volutamente non argomentate in questo bollettino

Attacchi DDoS e Botnet

La botnet Necurs distribuisce ransomware
La botnet Necurs è viva e vegeta e partecipa alla distribuzione di ransomware tramite almeno tre campagne distinte, secondo quanto rilevato da MyOnlineSecurity.
La prima campagna riguarda il ransomware Scarab, ed è condotta tramite email. La mail ha come mittente [email protected], Scanned from HP (o altra marca) come oggetto, il corpo della mail è vuoto e il ransomware è allegato. Simula la consegna di documenti scansionati tramite stampante di rete.
Anche la seconda campagna è condotta via email, e riguarda il ransomware Globeimposter. La mail ha come mittente [email protected], oggetto una stringa di numeri e caratteri random del tipo FL-610025 11.30.2017, il corpo della mail è vuoto e naturalmente è allegato il ransomware, travestito da file legittimo.
La terza campagna  è in parte simile alle precedenti e simula la consegna di una fattura (in allegato) da parte di Amazon, ma in realtà nasconde un malware. Non un ransomware in questo caso, bensì un banking trojan.


La botnet ProxyM viene usata per attaccare siti Web
Dr.Web ha identificato una botnet, soprannominata ProxyM, e basata sul malware Linux.ProxyM.1, in precedenza usata per campagne email spam (fino a 400 messaggi al giorno per dispositivo)
Il malware infetta i dispositivi Linux e crea un proxy server SOCKS; recentemente è cambiata la tattica di attacco, ed oggi ProxyM si occupa di violare i siti. Gli host infetti conducono attacchi di tipo SQL Injection, XSS (Cross-Site Scripting) e LFI Local File Inclusion verso siti che includono forum, game server e siti generici, quindi senza uno schema ben preciso; gli attacchi registrati spaziano da 10mila a 40mila al giorno.

Leggi tutto...

Bollettino sicurezza IT ottobre 2017

Attacchi DDoS e botnet

IoT_reaper: una nuova botnet in evoluzione

I ricercatori Netlab hanno identificato una nuova botnet soprannominata IoT_reaper.

La botnet è nelle prime fasi di vita ed è in rapida evoluzione: per ora non ha lanciato alcun attacco ma, come il nome lascia intendere, fa incetta di dispositivi IoT non protetti e li aggiunge alla sua rete. È simile alla botnet Mirai, ma con alcune differenze: colpisce solo device vulnerabili e non cerca di bucare le password (con una evidente minor spesa operazionale), integra parti in codice LUA che consentono attacchi più sofisticati e esegue scansioni poco incisive, quindi difficili da rilevare.

La botnet ha aggiunto circa 20mila dispositivi in poco più di 2 settimane; le vulnerabilità sfruttate riguardano dispositivi D-Link, Netgear, Linksys ed altri: sono specificate nell’articolo linkato. In diversi casi sono disponibili delle patch, occorre aggiornare il software/firmware.

Botnet scansiona il Web in cerca di chiavi private SSH

In un post WordFence lancia l’allarme riguardo il rilevamento di un’attività di scansione del Web in cerca di chiavi private SSH incautamente ospitate sui web server.

Leggi tutto...

OWASP ZAP: un potente strumento per scoprire vulnerabilità di siti Web

OWASP Zed Attack Proxy (ZAP) è uno strumento integrato dedicato al penetration testing (pentesting) che consente di rilevare vulnerabilità in applicazioni e siti Web. È una soluzione semplice e flessibile che si adatta a vari livelli di utilizzo e competenza, da sviluppatori ai primi passi con il pentesting a professionisti nel campo.

owasp zap cover

ZAP è composto da due macro-sezioni. La prima è uno scanner automatizzato di vulnerabilità che consente di identificare problemi e fornisce un report per sviluppatori, sistemisti e addetti alla sicurezza con i dettagli delle vulnerabilità per poter sanare la falla.
La seconda permette a ZAP di operare come proxy che consente di ispezionare il traffico e tutta la comunicazione HTTP – richieste (requests) e risposte (responses) – e gli eventi, con la possibilità di modificarli o analizzare i loro trigger che sono potenzialmente pericolosi per il sistema.

Leggi tutto...

Internet of Things, sicurezza e privacy: qualche riflessione sugli aspetti giuridici.

Quali implicazioni giuridiche più rilevanti possono discendere dallo sviluppo dell’IoT, soprattutto nell’ambito dei dati personali? A quali profili occorre prestare attenzione nel loro sviluppo?

Questa rivista, nel recente passato, ci ha descritto l’Internet of Things nella rubrica “La parola del giorno” e proprio nello scorso numero ha dedicato un articolo all’argomento della protezione dei dispositivi IoT.
L’interesse prestato all’argomento può dirsi ben motivato: da uno studio realizzato nel recente passato da Aruba, “The Internet of Things: Today and Tomorrow”, emerge che i vantaggi economici di business derivanti dall’IoT paiono superare di gran lunga le aspettative e, quindi, è presumibile che vi sarà nell’immediato futuro un boom del suo sviluppo, soprattutto nei settori delle aziende che creano uno “smart workplace”, nel settore industriale, nella sanità, nel settore retail o nella “wearable computing” (ovvero la tecnologia indossabile, vestiti, occhiali, orologi che contengono informazioni interconnesse), nella Pubblica Amministrazione e nella domotica. Conseguentemente, soprattutto per la varietà dei settori di diffusione e, dunque, l’interesse generalizzato all’argomento, vi possono essere varie implicazioni e problematiche, per quanto ci interessa in questa sede giuridiche, discendenti dall’utilizzo dei dispositivi IoT.

Leggi tutto...

Data Breach: una breve e chiara sintesi dei nuovi obblighi, responsabilità e sanzioni alla luce del Nuovo Regolamento Europeo (GDPR)

Cosa deve fare un’azienda che ha subito un Data Breach secondo il nuovo General Data Protection Regulation (GDPR)? Come lo deve fare ed entro quanto tempo? Quali responsabilità assume e quali sanzioni rischia altrimenti?

La Redazione di Guru ci ha recentemente raccontato, tra le parole del giorno, del c.d. Data Breach. Da qui la curiosità di sapere qualcosa di più, anche da un punto di vista giuridico, su cosa deve fare un’azienda che è stata vittima di una violazione informatica e su quali sono le sue responsabilità alla luce del Regolamento Europeo 2016/679 (che entrerà in vigore tra qualche mese e in vista del quale occorre prepararsi).

Leggi tutto...

GFI LanGuard: network security scanner e patch management

Mantenere correttamente aggiornate le infrastrutture IT è una attività articolata e dispendiosa, e LanGuard è il prodotto di GFI pensato proprio per strutturare e automatizzare i processi di gestione in completa sicurezza.

Un esempio di quanto pericoloso possa essere avere sistemi non aggiornati è la scorsa infezione ad opera di WannaCry, il ransomware che - pur avendo creato problemi a una fetta relativamente “contenuta” di utenti - ha attaccato infrastrutture Microsoft in oltre 150 paesi. Questo perchè sfruttava la falla EternalBlue, capace di compromettere solo alcune versioni del sistema operativo di Redmond. Ma provate a immaginare cosa sarebbe successo se fosse stato in grado di attaccare tutti quanti i sistemi Windows.

Leggi tutto...

Wordpress Security

Secondo W3techs, WordPress è usato dal 28,1% dei siti Internet esistenti, in particolare dal 59% di tutti quelli basati su CMS, e il tasso d’adozione non tende affatto a diminuire
Questi numeri bastano a far capire la grande diffusione di WordPress: la sua facilità d’installazione e personalizzazione lo rendono adatto a un grande numeri di casi d’uso, eCommerce compresi.
Ma d’altro canto questa popolarità ha un lato negativo: lo rende una delle piattaforme più appetibili per gli hacker. Fortunatamente si possono prevenire e limitare i danni da un attacco, con accorgimenti e tecniche che andremo ad analizzare in questo articolo.

Leggi tutto...

Proteggere i device IoT

Come proteggere i device IoT connessi in rete e metterli in sicurezza

IoT è l'acronimo di Internet of Things, con questo termine si indica una rete informatica in cui dispositivi, sensori, oggetti, persone e animali sono dotati di un identificativo univoco e in grado di scambiarsi dati tramite Internet senza necessità di una interazione diretta uomo-macchina. L'idea nasce dalla convergenza delle tecnologie wireless con la disponibilità di sensori e strumenti elettronici sempre più piccoli, evoluti e a basso costo.

Così scrivevamo a proposito di IoT nella nostra rubrica “La parola del giorno”.

In senso lato, l’Internet delle Cose è dunque costituito da tutti i dispositivi che sono connessi in rete, e l’elenco è veramente lungo, come si può constatare con una breve ricerca su Shodan, il motore di ricerca per device IoT connessi in rete. https://www.shodan.io/
Una conseguenza dell’essere connessi in rete è la possibilità, tutt’altro che remota, di essere hackerati: il rischio è che i device vengano infettati e resi parte di una botnet usata dai cyber-criminali per scopi illeciti, come attacchi DDoS, distribuzione di malware, invio di spam e altro.

Leggi tutto...

WannaCry: analisi di un attacco Ransomware particolarmente infido

A metà maggio, quello che inizialmente poteva sembrare un "normale" attacco ransomware, ha scatenato un notevole impatto immediato anche sui canali dei non addetti ai lavori: stiamo parlando di WannaCry.

Questo ransomware, nell'arco di qualche decina di ore, ha infettato migliaia di computer e messo in ginocchio svariate infrastrutture a livello europeo, prima che si riuscisse a tamponare la situazione. Analizziamo cosa è successo e perché in realtà è un attacco particolare nel suo genere e, per alcuni aspetti, addirittura inquietante.

image8

 

Leggi tutto...

Bollettino Sicurezza Maggio 2017

Attacchi DDoS e botnet

La botnet Rakos cresce ma rimane inattiva
La botnet Rakos cresce in termini numerici ma rimane inattiva, secondo Renato Marinho di Morphus Labs. 
Rakos aggiunge circa 8.000 nuovi device IoT zombie ogni giorno, e si evolve: è stata aggiunta una struttura P2P in cui alcuni bot funzionano da server C&C (Command & Control) chiamati Skaros, altri da “operai” - Checker - che lanciano attacchi via SSH ad altri server per aggiungerli alla botnet.
Attualmente Rakos è composta da device IoT: RaspberryPI 45%, OpenELEC (su RaspberryPI) 22%, Ubiquiti (access point wireless) 16% ed altri.
Ad oggi l’unico rimedio per eliminare il malware è riavviare il dispositivo IoT e utilizzare delle credenziali SSH robuste.
Marinho definisce la botnet come “transiente”: i bot non rimangono tali indefinitivamente ma solo fino al riavvio; la forza della botnet sta nel numero di bot disponibili in media ogni giorno - circa 8000 - che sono sufficiente a scatenare attacchi DDoS di grande impatto.

Shodan inaugura un nuovo strumento per trovare server C&C
Shodan inaugura Malware Hunter, uno strumento per individuare i server Command and Control (abbreviati in C&C o C2), cioè quei server facenti parte di una botnet che inviano i comandi ai membri (zombie) della botnet stessa e funzionano da centri di distribuzione del codice dannoso a cui gli zombi attingono.
Malware Hunter funziona grazie a bot che sondano la Rete cercando computer configurati in modo da funzionare da server C2 di una botnet. Il bot usa poi dei metodi predefiniti per fingere di essere un computer infetto e comunicare con il server C&C. Se il sospetto server C2 risponde, Malware Hunter registra i dati e li mette a disposizione nel tool grafico.

Leggi tutto...

Bollettino sicurezza IT aprile 2017

Attacchi DDoS e botnet 

Botnet Mirai lancia attacco DDoS verso università USA

A fine febbraio è stato rilevato dai ricercatori Incapsula un attacco DDoS (Distributed Denial of Service) verso un’università USA.
L’attacco è durato 54 ore ininterrotte e ha generato una media di 30.000 richieste per secondo (RPS), con punte di 37.000 e un totale di 2.8 miliardi di richieste; un numero sufficiente per mandare KO gran parte degli apparati connessi in rete.
Meno di un giorno dopo il primo attacco, se ne è verificato un secondo, ma questa volta con un impatto minore: la durata è stata di poco più di un’ora e mezzo e le RPS sono state in media 15.000.

L’attacco mostra una probabile nuova versione della botnet, come mostrano le dimensioni dell’attacco stesso e degli user agent utilizzati, diversi da quelli finora conosciuti; l’attacco ha avuto impatto a livello applicativo piuttosto che di rete (network layer).

Gli indirizzi IP coinvolti, 9.793 distribuiti in gran parte tra USA, Israele, Taiwan, India, Turchia, Russia e anche Italia, risalgono in gran parte a dispositivi dell’Internet of Things come telecamere CCTV, router e videoregistratori digitali; in particolare, il 56% dei dispositivi coinvolti appartiene a DVR di un singolo produttore (che non è stato reso noto).

Leggi tutto...

banner5

fb icon evo twitter icon evo

Parola del giorno

l'acronimo GDPR indica la nuova General Data Protection Regulation, che entrerà in vigore il 25 di maggio 2018. Si tratta...

>

Nel campo dell'informatca, il termine Piggybacking fa riferimento a situazioni dove una terza parte non autorizzata ottiene l'accesso a sistemi...

>

Hold Down Timer è una tecnica utilizzata dai router di rete. Quando un nodo riceve la notifica di un altro...

>

La Blockchain è un processo in cui un insieme di soggetti (o nodi) condivide risorse informatiche e di calcolo, per...

>

Il termine Cloud Orchestration descrive le tecniche di automazione di processi in cloud, al fine di raggiungere determinati obiettivi. A differenza...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1