Rohos Logon Key: soluzione TFA per l’accesso in sicurezza

Garantire un accesso sicuro a workstation, server e reti è una delle principali priorità per chi si occupa di infrastrutture IT e in molti casi l’utilizzo di una semplice password non è un sistema sufficientemente sicuro.

Proprio in questo contesto si posiziona il software Logon Key della software house moldava Rohos (anche nota come Tesline-Service Srl), che punta a garantire un accesso di tipo Two-Factor-Authentication (TFA) multi dispositivo e multipiattaforma. Nel portfolio dell’azienda troviamo anche altre soluzioni legate al mondo della sicurezza, come Disk Encryption e Face Logon.

Leggi tutto...

Acunetix Security Scanner: sicurezza sotto controllo

La pervasività del Web è una realtà con cui ormai abbiamo imparato a convivere, che ogni giorno amplia i suoi margini di integrazione con la nostra vita e non riguarda più solo gli addetti ai lavori.

Professionisti, imprese, aziende e utenti di ogni tipo fruiscono ogni giorno di applicazioni Web: dal portale dell’home banking ai propri social, dal booking online al sito aziendale. Tutte queste realtà digitali devono fare i conti, altrettanto quotidianamente, con una innumerevole quantità di minacce interne ed esterne.

Acunetix è un web vulnerability scanner e si pone come strumento di identificazione e gestione di tutti quei problemi di sicurezza e vulnerabilità legati alle applicazioni Web, dai CMS alle più complesse piattaforme custom. Il software è in grado di analizzare e identificare in modo preciso una gran varietà di problemi. La piattaforma è scritta interamente in C++ ed è composta da diversi moduli, ognuno che lavora ad un diverso livello e con un target specifico: dall’identificazione di link malevoli e malware, alla scansione per la ricerca di patch mancanti sui sistemi in rete.

Leggi tutto...

Bollettino Sicurezza - Aprile 2019

Attacchi DDoS e Botnet

Gli attacchi verso software mobile sono quasi raddoppiati nel 2018
Kaspersky Labs ha rilasciato un interessante report dal titolo "Mobile malware evolution 2018", disponibile a questo indirizzo, che fa il punto sulla diffusione dei malware su dispositivi mobile nell'anno passato, offrendo uno strumento utile per provare a capire il trend futuro e a reagire ad esso.

Tra i risultati evidenziati dal report, che è stato condotto sulla base dei dati raccolti dai dispositivi con installate applicazioni di Kaspersky, il più importante riguarda il numero di attacchi registrati: dai 66,4 milioni del 2017 ai 116,5 del 2018; in compenso è diminuito il numero di pacchetti di installazione compromessi (5,321,142 nel 2018, quasi 500mila in meno dell'anno precedente).
Le app compromesse includono droppers (trojan-dropper che bypassano i controlli e "sganciano" il pacchetto malevolo vero e proprio), adware (pubblicità invasiva), risktool (app che possono creare danni fisici) e spyware, incluso quello a sistemi di homebanking, stante il loro uso sempre più diffuso.

StealthWorker sfrutta Windows e Linux per bucare siti
I ricercatori Fortiner hanno individuato una botnet che sfrutta StealthWorker, un malware scoperto qualche settimana prima da Malwarebytes.
Rispetto alla prima versione che si concentrava solo su Windows, questa versione del malware ha come obiettivo Linux, diventando quindi una minaccia multipiattaforma; non solo: analizzando le open directory disponibili sui server C2 (Command&Control) indicati nel report di Malwarebytes, sono state trovate prove che anche le architetture Mips e ARM -quindi device dell'IoT- sono coinvolte. In entrambi i casi viene schedulata un'esecuzione automatica per sopravvivere ai riavvii che sgancia il payload del malware. Ciascuna macchina infetta viene usata per attaccare installazioni di CMS come Joomla, Magento, Drupal e WordPress con tentativi di login brute force, e se l'attacco ha successo non solo vengono spedite al server C2 le credenziali trovate, ma l'host compromesso diviene a sua volta zombie, creando una vera e propria botnet.

 

Leggi tutto...

Bollettino Sicurezza - Dicembre 2018

Attacchi DDoS e Botnet

Cryptominer usa rootkit per nascondersi

Un report di TrendMicro illustra come sia iniziata l’era del cryptomining - cioè la generazione di criptovalute tramite l’utilizzo non autorizzato delle risorse computazionali delle vittime - tramite rootkit. Un rootkit è essenzialmente softwarecon privilegi d'accesso normalmente non consentiti. Un’attività di cryptomining è facilmente individuabile con quegli strumenti (Task Manager di Windows, top di Linux, etc..) che mostrano in tempo reale l’utilizzo di CPU, oltre che notando un generale peggioramento delle prestazioni della macchina, ed infatti esistono soluzioni affidabili di prevenzione.

Leggi tutto...

Bollettino Sicurezza - Luglio 2018

Attacchi DDoS e Botnet

Disponibile il report di FortiNet Threat Landscape Report Q1 2018

FortiNet ha pubblicato il report Threat Landscape Q1 2018, che analizza dati raccolti tra gennaio e marzo 2018.

Dal report emerge che la maggior parte (55%) delle infezioni dovute a botnet dura meno di un giorno, il 18% meno di due giorni e solo meno del 5% più di una settimana, segno che le botnet sono sempre in costante evoluzione.

L’infezione dovuta alla botnet Mirai è quelle che dura più a lungo: in media 5 giorni e mezzo; ma è Ghost la botnet prevalente.

Nonostante siano state identificate 268 diverse botnet, il loro numero e la loro attività è in declino nel periodo analizzato; l’attività di crypto-jacking, cioè generazione di criptovalute, è quella principale.

Leggi tutto...

Bollettino Sicurezza - Aprile 2018

Attacchi DDoS e Botnet

Variante di Mirai trasforma i dispositivi IoT in server proxy

Fortinet ha identificato una botnet variante di Mirai, la famosa botnet responsabile degli attacchi a DynDNS e KrebsOnSecurity, che oltre a lanciare attacchi DDoS trasforma i dispositivi IoT infettati in server proxy.

La botnet, soprannominata Mirai OMG, installa sui sistemi vittime un malware che genera due porte casuali, aggiunge le dovute regole firewall, quindi installa 3proxy, un server proxy minimale.

Fortinet non ha rilevato attacchi condotti dalla botnet, analizzata in stato di quiescenza, e si suppone che gli autori vendano l’accesso ai proxy server IoT.

Leggi tutto...

Spectre e Meltdown: dall'inizio alla situazione attuale

La prima settimana del nuovo anno è stata caratterizzata dalla comparsa di due importanti falle nei processori, chiamate Meltdown e Spectre e annunciate da ProjectZero di Google in questo post, che affliggono la maggior parte dei computer e dispositivi oggi in uso. L’impatto è stato clamoroso in termini di copertura mediatica, e l’argomento è stato oggetto di discussione non solo tra i professionisti IT.

Meltdown e Spectre in breve

Meltdown e Spectre sono due vulnerabilità distinte che affliggono i processori dei computer: non solo server, laptop e desktop ma anche micro-computer, computer specializzati e dispositivi dell’IoT. Sono state scoperte da quattro diverse equipe di ricerca che le hanno segnalate alle aziende che producono CPU, con diversi mesi di anticipo rispetto alla pubblicazione della notizia; ma queste vulnerabilità non sono nuove, infatti esistono da decenni. Nessun computer con processore prodotto negli ultimi 20 anni è da considerarsi immune ed è disponibile uno strumento dedicato per Linux e BSD, che fornisce informazioni sullo stato del sistema e uno strumento analogo per Windows.
Non si è a conoscenza di attacchi noti, gli antivirus possono individuare il codice responsabile di un attacco, ma non la vulnerabilità.

Leggi tutto...

GDPR: la portabilità dei dati nel nuovo regolamento europeo

LA PORTABILITÀ DEI DATI NEL NUOVO REGOLAMENTO EUROPEO 2016/679.

Un nuovo dovere a carico dei titolari di trattamenti di dati personali ed un nuovo diritto previsto a favore degli interessati: vediamone il contenuto, i presupposti, le modalità di attuazione.

Perché occorre parlare di portabilità dei dati e conoscerne il contenuto?

Si avvicina ormai il 25 maggio 2018, data di applicazione in tutti gli Stati membri dell’UE, del Regolamento europeo 2016/679 (o anche GDPR) relativo al trattamento e alla circolazione dei dati personali. Varie le novità introdotte dalla nuova normativa europea che occorre conoscere, sia che si stia dalla parte della persona fisica a cui i dati personali si riferiscono (che acquisisce dei nuovi diritti), sia che trattiamo - per finalità varie - dati personali ricevuti (con speculari nuovi doveri). Tra le novità, una delle principali è sicuramente il “diritto alla portabilità dei dati”, delineato, in particolare, dai considerando 68 e 73 e dall’art.20 del GDPR, chiariti dalle Linee Guida del 13 dicembre 2016 (modificate il 5 aprile 2017), c.d. documento WP 242 (elaborate dal Gruppo di lavoro Europeo denominato WP 29) alla cui lettura integrale, comunque, rinvio (reperibili così come il Regolamento, sul sito del Garante Privacy italiano).

Leggi tutto...

Bollettino sicurezza IT Gennaio 2018

Nel prossimo numero dedicheremo un approfondimento specifico alle recenti falle Meltdown e Spectre, volutamente non argomentate in questo bollettino

Attacchi DDoS e Botnet

La botnet Necurs distribuisce ransomware
La botnet Necurs è viva e vegeta e partecipa alla distribuzione di ransomware tramite almeno tre campagne distinte, secondo quanto rilevato da MyOnlineSecurity.
La prima campagna riguarda il ransomware Scarab, ed è condotta tramite email. La mail ha come mittente copier@dominio-vittima, Scanned from HP (o altra marca) come oggetto, il corpo della mail è vuoto e il ransomware è allegato. Simula la consegna di documenti scansionati tramite stampante di rete.
Anche la seconda campagna è condotta via email, e riguarda il ransomware Globeimposter. La mail ha come mittente Invoicing@compagnia-random, oggetto una stringa di numeri e caratteri random del tipo FL-610025 11.30.2017, il corpo della mail è vuoto e naturalmente è allegato il ransomware, travestito da file legittimo.
La terza campagna  è in parte simile alle precedenti e simula la consegna di una fattura (in allegato) da parte di Amazon, ma in realtà nasconde un malware. Non un ransomware in questo caso, bensì un banking trojan.


La botnet ProxyM viene usata per attaccare siti Web
Dr.Web ha identificato una botnet, soprannominata ProxyM, e basata sul malware Linux.ProxyM.1, in precedenza usata per campagne email spam (fino a 400 messaggi al giorno per dispositivo)
Il malware infetta i dispositivi Linux e crea un proxy server SOCKS; recentemente è cambiata la tattica di attacco, ed oggi ProxyM si occupa di violare i siti. Gli host infetti conducono attacchi di tipo SQL Injection, XSS (Cross-Site Scripting) e LFI Local File Inclusion verso siti che includono forum, game server e siti generici, quindi senza uno schema ben preciso; gli attacchi registrati spaziano da 10mila a 40mila al giorno.

Leggi tutto...

Bollettino sicurezza IT ottobre 2017

Attacchi DDoS e botnet

IoT_reaper: una nuova botnet in evoluzione

I ricercatori Netlab hanno identificato una nuova botnet soprannominata IoT_reaper.

La botnet è nelle prime fasi di vita ed è in rapida evoluzione: per ora non ha lanciato alcun attacco ma, come il nome lascia intendere, fa incetta di dispositivi IoT non protetti e li aggiunge alla sua rete. È simile alla botnet Mirai, ma con alcune differenze: colpisce solo device vulnerabili e non cerca di bucare le password (con una evidente minor spesa operazionale), integra parti in codice LUA che consentono attacchi più sofisticati e esegue scansioni poco incisive, quindi difficili da rilevare.

La botnet ha aggiunto circa 20mila dispositivi in poco più di 2 settimane; le vulnerabilità sfruttate riguardano dispositivi D-Link, Netgear, Linksys ed altri: sono specificate nell’articolo linkato. In diversi casi sono disponibili delle patch, occorre aggiornare il software/firmware.

Botnet scansiona il Web in cerca di chiavi private SSH

In un post WordFence lancia l’allarme riguardo il rilevamento di un’attività di scansione del Web in cerca di chiavi private SSH incautamente ospitate sui web server.

Leggi tutto...

OWASP ZAP: un potente strumento per scoprire vulnerabilità di siti Web

OWASP Zed Attack Proxy (ZAP) è uno strumento integrato dedicato al penetration testing (pentesting) che consente di rilevare vulnerabilità in applicazioni e siti Web. È una soluzione semplice e flessibile che si adatta a vari livelli di utilizzo e competenza, da sviluppatori ai primi passi con il pentesting a professionisti nel campo.

owasp zap cover

ZAP è composto da due macro-sezioni. La prima è uno scanner automatizzato di vulnerabilità che consente di identificare problemi e fornisce un report per sviluppatori, sistemisti e addetti alla sicurezza con i dettagli delle vulnerabilità per poter sanare la falla.
La seconda permette a ZAP di operare come proxy che consente di ispezionare il traffico e tutta la comunicazione HTTP – richieste (requests) e risposte (responses) – e gli eventi, con la possibilità di modificarli o analizzare i loro trigger che sono potenzialmente pericolosi per il sistema.

Leggi tutto...

Internet of Things, sicurezza e privacy: qualche riflessione sugli aspetti giuridici.

Quali implicazioni giuridiche più rilevanti possono discendere dallo sviluppo dell’IoT, soprattutto nell’ambito dei dati personali? A quali profili occorre prestare attenzione nel loro sviluppo?

Questa rivista, nel recente passato, ci ha descritto l’Internet of Things nella rubrica “La parola del giorno” e proprio nello scorso numero ha dedicato un articolo all’argomento della protezione dei dispositivi IoT.
L’interesse prestato all’argomento può dirsi ben motivato: da uno studio realizzato nel recente passato da Aruba, “The Internet of Things: Today and Tomorrow”, emerge che i vantaggi economici di business derivanti dall’IoT paiono superare di gran lunga le aspettative e, quindi, è presumibile che vi sarà nell’immediato futuro un boom del suo sviluppo, soprattutto nei settori delle aziende che creano uno “smart workplace”, nel settore industriale, nella sanità, nel settore retail o nella “wearable computing” (ovvero la tecnologia indossabile, vestiti, occhiali, orologi che contengono informazioni interconnesse), nella Pubblica Amministrazione e nella domotica. Conseguentemente, soprattutto per la varietà dei settori di diffusione e, dunque, l’interesse generalizzato all’argomento, vi possono essere varie implicazioni e problematiche, per quanto ci interessa in questa sede giuridiche, discendenti dall’utilizzo dei dispositivi IoT.

Leggi tutto...

Data Breach: una breve e chiara sintesi dei nuovi obblighi, responsabilità e sanzioni alla luce del Nuovo Regolamento Europeo (GDPR)

Cosa deve fare un’azienda che ha subito un Data Breach secondo il nuovo General Data Protection Regulation (GDPR)? Come lo deve fare ed entro quanto tempo? Quali responsabilità assume e quali sanzioni rischia altrimenti?

La Redazione di Guru ci ha recentemente raccontato, tra le parole del giorno, del c.d. Data Breach. Da qui la curiosità di sapere qualcosa di più, anche da un punto di vista giuridico, su cosa deve fare un’azienda che è stata vittima di una violazione informatica e su quali sono le sue responsabilità alla luce del Regolamento Europeo 2016/679 (che entrerà in vigore tra qualche mese e in vista del quale occorre prepararsi).

Leggi tutto...

GFI LanGuard: network security scanner e patch management

Mantenere correttamente aggiornate le infrastrutture IT è una attività articolata e dispendiosa, e LanGuard è il prodotto di GFI pensato proprio per strutturare e automatizzare i processi di gestione in completa sicurezza.

Un esempio di quanto pericoloso possa essere avere sistemi non aggiornati è la scorsa infezione ad opera di WannaCry, il ransomware che - pur avendo creato problemi a una fetta relativamente “contenuta” di utenti - ha attaccato infrastrutture Microsoft in oltre 150 paesi. Questo perchè sfruttava la falla EternalBlue, capace di compromettere solo alcune versioni del sistema operativo di Redmond. Ma provate a immaginare cosa sarebbe successo se fosse stato in grado di attaccare tutti quanti i sistemi Windows.

Leggi tutto...

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1