ALTRA ALLERTA CRYPTOLOCKER

CRYPTOLOCKER SCATENATO: LA POLIZIA DÀ LA CACCIA AL VIRUS CHE BLOCCA I PC

Negli ultimi giorni la Polizia postale ha registrato una nuova ondata di attacchi contenenti il già noto virus Cryptolocker, che imperversa da tempo sul web. È un virus che infetta i computer con un allegato di una mail; di seguito arriva la richiesta di un ‘riscatto’ da pagare in bitcoin per liberare il pc.

La polizia postale mette in guardia contro un attacco informatico molto noto, che evidentemente colpisce ancora. Lo scenario è il seguente: l’ignaro utente riceve sulla propria casella di posta elettronica un messaggio che fornisce indicazioni ingannevoli su presunte spedizioni a suo favore oppure contenente un link o un allegato a nome di istituti di credito, aziende, enti, gestori e fornitori di servizi noti al pubblico. Sembra, all’apparenza, una mail proveniente da un mittente affidabile. Cliccando sul link oppure aprendo l’allegato (solitamente un documento in formato pdf o zip), viene iniettato il virus che immediatamente cripta il contenuto delle memorie dei computer, anche di quelli eventualmente collegati in rete. A questo punto scatta il ‘ricatto’ da parte dei criminali informatici che richiedono agli utenti infettati, per riaprire i file e rientrare in possesso dei propri documenti, il pagamento di una somma di alcune centinaia di euro in bitcoin per ricevere, sempre via via e-mail un programma per la decriptazione. Ma anche se si cede alla richiesta, non è detto che vada a buon fine, tanto è vero che la Polizia postale avverte: “È importante non cedere al ricatto, anche perché non è certo che dopo il pagamento vengano restituiti i file criptati!”

Tenere sempre aggiornato il software del proprio computer, munirsi di un buon antivirus, fare sempre un backup dei propri file, ma soprattutto fare attenzione alle mail che arrivano, specialmente se non attese, evitando di cliccare sui link o di aprire gli allegati, sono i consigli più importanti da seguire per impedire l’infezione del Cryptolocker.

La polizia segnala che, in caso di necessità, si può fare riferimento anche al commissariato online sul sito www.commissariatodips.it. Il portale è stato integrato un’app gratuita per smartphone e tablet per le richieste di assistenza e di aiuto degli utenti della rete, in tempo reale.

Cosa fare, i consigli:

  • E’ importantissimo non cedere al ricatto! Non soltanto per motivi etico-morali: quasi mai il pagamento del prezzo del ricatto restituisce i documenti “infetti”. Decine di privati cittadini e di aziende, anche pubbliche, sono già rimaste vittime di questo nuovo virus informatico che sta arrecando danni economici davvero importanti.
  • Mantenere il software installato nel proprio computer sempre aggiornato e munirsi di un buon antivirus.
  • Buona norma è avere un backup, ovvero una “copia d’emergenza” dei propri file.
  • Non aprire mai le mail non attese e sconosciute.
  • Se si conosce il mittente e la mail risulta sospetta o inattesa, contattare il mittente prima di aprire il contenuto.

Una mail di esempio

Una schermata di esempio del riscatto

Il successo di questa tipologia di infezione si basa su tre cardini:

  • l’ingenunità dell’utente che crede al contenuto dell’email e ne consulta l’allegato;
  • l’incapacità degli antivirus di riconoscere l’attuale variante del virus (Cryptlocker o CTB Locker)
  • l’effettiva incapacità di decrittografare i file codificati.

Links Articoli Correlati

Fonti Articolo:

- http://www.rainews.it/dl/rainews/articoli/polizia-postale-mette-in-guardia-contro-il-virus-cryptolocker-che-blocca-i-pc-con-un-allegato-infetto-b397378e-0445-410d-8323-7096edfdcd3e.html?refresh_ce

- http://www.interno.gov.it/it/notizie/allerta-polizia-postale-contro-virus-informatico-cryptolocker

Sicurezza informatica: il decalogo sotto le feste

Prevenire truffe online, malware, jackpotting e furti di identità anche quando si effettuano acquisti sul web: ecco il decalogo delle regole da seguire per proteggere email, carte di credito e dati personali.

Il periodo delle festività è un vero banchetto per i cyber criminali e mette seriamente a rischio la sicurezza informatica di utenti privati, imprese e professionisti. Complice la fretta con cui si effettuano acquisti online cercando l’occasione dell’ultimo minuto, spesso ci si ritrova al centro di una truffa o di un furto di dati personali foriero di un danno a proprio nome. Per evitare spiacevoli sorprese sotto le feste o contare i danni all’anno nuovo, è necessario conoscere le minacce più comuni che arrivano dalla rete e seguire alcune semplici regole.

Rischi

L’Italia figura al terzo posto a livello mondiale per quantità di indirizzi IP che inviano spam, circa 856.500.000 (report trimestrale 2014 di Trend Micro).

Gli spammer raramente si accontentano di inondare le vittime di pubblicità o messaggi indesiderati, ma più spesso veicolano malware o puntano a danni da sovraccarico che comportano interruzioni di servizio. Essere vittima di spam non significa solo dover ripulire la casella di posta elettronica, ma anche inconsapevolmente diventare spammer o peggio (qualora il proprio pc infettato diventi parte di una BOTNET).

POS malware

L’Italia si conferma terza anche nella top ten dei paesi con il più alto numero di visite a siti maligni, mentre è seconda al mondo per infezioni malware ai POS che consentono i pagamenti elettronici. È anche uno dei paesi maggiormente colpiti dal crypto-ransomware: un codice maligno con cui spesso i criminali attuano il “cyber-pizzo” criptando i dati personali e chiedendo il pagamento di un “riscatto” per effettuarne lo sblocco (che non sempre avviene anche a fronte del pagamento).

Jackpotting

Fortinet evidenzia invece come sotto le feste incrementino le truffe “jackpotting”, cioè l’hackeraggio dello sportello attraverso la rete con successiva installazione di malware, alla lettura dei dati delle carte e la registrazione del PIN. Ma si verifica anche un picco di finti siti web per vendere prodotti, anch’essi inesistenti. Entrando in queste pagine, si potrebbe finire nella trappola del malware progettato per sottrarre informazioni delle carte di credito.

Truffe online

MCcafee ha anche stilato una lista delle 12 truffe online più frequenti (sebbene il 13% degli utenti Internet non creda ai cyber attacchi, come sottolineano Kaspersky lab eB2B international): si va dalle email di phishing camuffate da notifiche di acquisti effettuati alle pubblicità ingannevoli che sconfinano nella beneficienza fasulla, fino ai siti di e-card di auguri zeppi di malware o delle chiavette usb ricevute in omaggio che potrebbero essere infette, come anche le App fasulle acquisite da siti mirror-malevoli rispetto a quelli veri.  E ancora skimming dei bancomat, finte telefonate da parte di sedicenti responsabili della sicurezza della banca che chiede dati personali e di accesso, o truffe legate ai viaggi di fine anno.

Decalogo

Per contrastare o prevenire la maggior parte delle minacce, frodi e truffe si consiglia di:

  1. Non cliccare sui link contenuti nelle email, verificando mittente, linguaggio utilizzato (spesso mal tradotto e quindi ingannevole), indirizzo del link (che a volte rende evidente il redirect a un sito malevolo) e diffidando di email che annunciano vincite e affari a buon mercato.
  2. Non fornire mai le proprie credenziali di accesso via email o telefono, per qualsiasi servizio sia personale sia aziendale.
  3. Controllare il proprio conto in banca frequentemente in occasione di molteplici acquisti effettuati, per prevenire eventuali doppi addebiti nello stesso punto vendita o altri addebiti a sorpresa che si possono bloccare per tempo dal sito della banca o fisicamente dagli sportelli.
  4. Prelevare soldi da bancomat inseriti all’interno della banca e utilizzare meno possibile quelli esposti su strada (almeno per ridurre il rischio che siano stati manomessi).
  5. Se possibile utilizzare carte di credito ricaricabili oppure carte emesse da un istituto finanziario che offre numeri delle carte di credito ad uso singolo, limitati nel tempo o virtuali.
  6. Installare e tenere aggiornato un antivirus, non solo sul pc di casa, ma su qualsiasi dispositivo (anche smartphone) collegato in rete. Per dispositivi IOS in particolare si possono utilizzare App che rafforzano ulteriormente iphone e ipad, più sicuri  ma non privi di pericoli (ovvero esposti a virus che passano impuniti attraverso Dropbox, malware che utilizzano il jailbreak per infettare il telefono e App ingannevoli che possono danneggiare la privacy).
  7. Effettuare acquisti facendo attenzione che la connessione sia in SSL.
  8. Effettuare acquisti attraverso un browser dedicato che garantisca ricerche anonime, per non lasciare tracce dei propri acquisti e gusti, utilizzabili da eventuali spammers.
  9. Scaricare solo quelle applicazioni per lo shopping che provengono da un App store ufficiale.
  10. Per gli acquisti online e per verificare la veridicità e il livello del servizio si può utilizzare la piattaforma ShoppingVerify, un raccoglitore di giudizi critici e opinioni dei clienti che hanno acquistato da portali di e-commerce di tutto il mondo.

Per approfondimenti: Trend Micro, MCcafee.

fonte: http://www.pmi.it/tecnologia/software-e-web/approfondimenti/91203/sicurezza-informatica-decalogo-feste.html

Shellshock, il ‘bash bug’ che fa tremare la rete: quanto è pericoloso?

C’è chi lo definisce peggiore di HeartBleed e chi, invece, mantiene la calma: scopriamo la natura di questa nuova vulnerabilità

L’ultima volta che il mondo dell’open source è caduto letteralmente nel panico risale ai tempi della scoperta di Heartbleed, un potente bug nel protocollo (e nelle annesse librerie) OpenSSH che ha letteralmente messo in ginocchio server da ogni dove. Oggi la storia si ripete con un secondo bug, “adulto” più o meno quanto un quarto di secolo, che riguarda la shell Bash (o Bourne Again Shell) e prende appunto il nome di bash bug – o di Shellshock, come il simpatico R. Graham l’ha ribattezzato.

Secondo alcuni importanti esponenti della sicurezza, tra cui lo stesso Graham, Shellshock sarebbe addirittura più pericoloso di Hearbleed: la causa è da ritrovarsi al diffusissimo utilizzo della shell bash – sia come applicazione attiva che come applicazione in background da parte di altri programmi – e la semplicità con cui agisce il criterio di sfruttamento della falla.

Prima di farne una pandemia, però, capiamone qualcosa in più!


Cosa è Shellshock?

Shellshock – il bash bug – altri non è che un bug insito nella shell Bash, la “console dei comandi” tipicamente inclusa in quasi tutti i sistemi operativi GNU/Linux-based (incluso Android) e Mac. Sostanzialmente il funzionamento di Shellshock coinvolge la dichiarazione e l’utilizzo di variabili d’ambiente, con un modus operandi che cercheremo di semplificare il più possibile.

In pratica, prima dell’esecuzione di Bash è possibile definire in determinati file - richiamabili anche da programmi esterni – delle variabili, che servono spesso a “semplificare” l’eventuale passaggio dei parametri al programma eseguito tramite bash.

Il problema è nella dichiarazione di tali variabili: se una variabile viene dichiarata sulla stessa riga viene specificato un particolare comando, tale comando può essere eseguito arbitrariamente da qualsiasi applicazione abbia accesso a quella variabile. In parole povere, dichiarando una o più variabili con una particolare sintassi può rendere il sistema vulnerabile.

Se masticate lo scripting bash, il tutto sarà più chiaro con un esempio. Considerate questa dichiarazione di variabile:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Shellshock fa si che Bash intepreti la parte di codice in grassetto (quindi echo vulnerable) come un vero e proprio comando da eseguire, cosa che in condizioni “normali” non dovrebbe succedere.

Infatti, eseguendo questo codice su una versione di Bash vulnerabile, l’output ottenuto è il seguente:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test

Se invece lo stesso codice viene eseguito su una versione di Bash non vulnerabile, il codice echo vulnerable viene riconosciuto da Bash come una potenziale dichiarazione di funzione e viene ignorato, generando un warning e lasciando la variabile non inizializzata ed il comando non eseguito (comportamento normale).

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test

Shellshock è davvero pericoloso come dicono?

Diciamo che non è un gioco da ragazzi usare vulnerabilità del genere e che c’è bisogno del verificarsi di condizioni ben precise – uno script deve essere presente sul sistema con delle dichiarazioni di variabili alterate, pronte per essere usate dal programma comandato da un utente malintenzionato – ma, purtroppo, bisogna ammettere che a causa della diffusione di Bash e dell’interazione imprevista di Shellshock con i vari programmi (innumerabili) che interagiscono con essa il rischio esiste. 

Purtroppo Bash non è soltanto la “classica” shell dei sistemi operativi GNU/Linux based di conoscenza comune come Ubuntu, Debian, Gentoo, Red Hat, CentOS e via discorrendo, ma è presente in tante altre varianti di Linux presenti anche su dispositivi differenti dai PC - come router, NAS, sistemi embedded, computer di bordo, che se obsoleti potrebbero essere davvero a rischio.

Senza contare che, inoltre, Bash è presente anche su Android e su tutti i sistemi operativi Mac.


 

Chi è vulnerabile a Shellshock?

Categorizzare i dispositivi vulnerabili non è possibile, tuttavia esistono diverse linee guida per intuire se si è vulnerabili o meno. Innanzitutto bisogna specificare che le versioni di Bash vulnerabili a Shellshock vanno dalla 4.3 (inclusa) in giù, per cui la prima cosa da fare è indubbiamente aggiornare il proprio sistema operativo all’ultima versione dei pacchetti, se possibile.

Particolare attenzione va posta inoltre in ambiente server: si è comunque a rischio se la versione di Bash installata è inferiore alla 4.3 (inclusa), ma bisogna aprire gli occhi e correre ancor più rapidamente ai ripari, a causa dei danni collaterali potenziali causati da Shellshock, in caso il server esegua:

  • una configurazione di sshd che prevede attiva la clausola ForceCommand;
  • vecchie versioni di Apache che usano mod_cgi o mod_cgid, estremamente vulnerabili se gli script CGI sono scritti in bash o lanciano a loro volta shell bash (ciò non succede invece con gli script eseguiti tramite mod_php, neanche se questi lanciano shell bash a loro volta); tuttavia, i potenziali comandi indesiderati vengono eseguiti con gli stessi privilegi d’accesso del server web;
  • server DHCP che invocano script da shell per configurare il sistema; solitamente, tali script vengono eseguiti con privilegi di root, il che è estremamente pericoloso;
  • vari demoni o i programmi SUID che agiscono sul sistema con privilegi da superutente utilizzando però variabili settate da utenti non root.

In generale, il sistema può rimanere vittima di qualsiasi altra applicazione che venga eseguita da shell o esegue uno script shell che prevede l’interprete bash – solitamente, tali script iniziano con la dicitura #!/bin/bash.

Ma non finisce qui: purtroppo qualsiasi altro dispositivo obsoleto è a rischio, specie quelli per cui non è prevista la verifica della versione di Bash installata e per cui non sia possibile procedere semplicemente all’aggiornamento. Ancora una volta, ciò rappresenta un rischio ma non è detto che tali dispositivi siano effettivamente exploitabili (ad esempio, è difficile fare in modo che un computer di bordo o un NAS non collegato ad Internet eseguano codice arbitrario).

Per correttezza, è bene specificare ancora una volta che alcune versioni di Android e di Mac OS X sono vulnerabili – ad esempio, Mavericks lo è.


 

Quali dati sono a rischio e come faccio a proteggermi?

Purtroppo, anche se in precise e difficilmente coincidenti condizioni, ad essere a rischio è qualsiasi cosa sia presente sulla memoria del sistema; tenendo comunque conto dei meccanismi intrinsechi di protezione di Bash e di GNU/Linux come l’assegnazione dei permessi d’esecuzione, il margine di rischio potrebbe diventare comunque molto minore.

Prima di preoccuparsi, bisogna verificare se si è effettivamente vulnerabili a Shellshock. Ciò è possibile semplicemente verificando la versione di Bash installata sul proprio sistema: se questa non è precedente alla 4.3 - Bash 4.3.0 e inferiori sono VULNERABILI ma non le versioni successive – allora il vostro sistema non è vulnerabile. 

In caso contrario, se possibile aggiornate Bash ed i pacchetti dell’intero sistema operativo all’ultima versione disponibile, in attesa di un’eventuale patch che dovrebbe comunque essere rilasciata in maniera celere per la maggior parte dei sistemi operativi e dei pacchetti di Bash interessati, a prescindere dalla piattaforma su cui essi sono installati.

Per verificare di essere protetti, aprite una shell bash ed eseguite il test spiegato nella sezione “Cosa è Shellshock”.


 

In definitiva…

Purtroppo Shellshock è un bug che cade come un fulmine a ciel sereno e non è possibile affermare che sia innocuo poiché, come visto fino ad ora, i rischi materiali esistono.

Come vi ho detto all’inizio non bisogna comunque farne una pandemia: se si tratta di sistemi operativi casalinghi, è necessario accertarsi che il proprio OS sia ancora ufficialmente supportato ed aggiornarlo all’ultima versione disponibile, che si tratti di GNU/Linux o di Mac. Stessa cosa per i sistemi operativi server, per i quali ci si aspetta una “correzione” dei pacchetti relativi alle versioni di Bash pari o inferiori alla 4.3 quanto prima.

Discorso differente va fatto per i vari sistemi embedded, per i NAS, per i router o per tutti quei dispositivi non verificabili facilmente: accertatevi di avere installata l’ultima versione disponibile del firmware e, nel caso, contattate il produttore per ulteriori delucidazioni.

Shellshock è purtroppo un bug molto grande, reso enorme dalla diffusione di Bash, tuttavia gli eventuali danni possono essere arginati usando un po’ di prudenza ed attenzione in più.

Purtroppo, come disse il grande Spaf, la verità è soltanto una:

L’unico vero sistema sicuro è quello spento, gettato in una colata di cemento, sigillato in una stanza rivestita da piombo e protetta da guardie.
Ma anche in quel caso ho i miei dubbi.

 

fonte: (http://www.chimerarevo.com/linux/shellshock-bash-bug-terrorizza-rete-quanto-pericoloso-176876/)

Protocollo USB: sicurezza addio, c’è una falla enorme

Un gruppo di ricercatori ha scoperto una falla gravissima nel protocollo USB. BadUSB può trasformare qualsiasi prodotto in un veicolo per sottrarre informazioni confidenziali. La cosa peggiore? Non sembrano esistere contromisure valide.

Protocollo USB, sicurezza fantasma. Un film? No, un gravissimo problema. A lanciare l’allarme sono i Security Research Labs di Berlino, e a quanto pare il problema è serio, serissimo. La falla, ribattezzata BadUSB, riguarda infatti i miliardi di dispositivi USB e permette di prendere controllo del computer tramite il versatile connettore che negli anni ci ha reso la vita un po’ più facile.

Ed è proprio la versatilità ad aver compromesso la sicurezza. L’USB Implementers Forum, che si occupa di delineare le specifiche degli standard, ha infatti dovuto compiere delle scelte per rendere l’USB uno standard tanto flessibile da trovare rapidamente casa in moltissimi prodotti, praticamente ovunque. Lo stesso USB IF afferma che l’unica difesa contro la vulnerabilità è quella di usare dispositivi di cui siete al 100% sicuri, ma anche così non è detto che la protezione sia assicurata.

La vulnerabilità conta sul fatto che ogni dispositivo USB ha un chip di controllo al suo interno. Secondo gli SR Labs questi controller hanno un firmware – cioè il software fondamentale che li fa funzionare – che può essere interamente riprogrammato senza soluzioni hardware ad hoc per fare cose spiacevoli. Il problema? La riprogrammazione è quasi impossibile da rilevare, a meno che non si sappia dove guardare – ergo, è una cosa complicatissima.

Poiché un prodotto USB può essere connesso praticamente a qualsiasi sistema grazie alla versatilità offerta da quelle che sono definite “classificazioni”, riprogrammando il firmware è possibile presentare un prodotto sotto una classificazione differente. L’esempio pratico è presto fatto. Un malintenzionato potrebbe riprogrammare una chiavetta USB in modo che si mascheri come un controller di rete, facendo sì che tutte le comunicazioni – siti web visitati, password, eccetera – vengano reindirizzate al dispositivo.

O, peggio ancora, è possibile riprogrammare una chiavetta in modo che venga vista come una periferica HID (Human interface device), in modo da poter impartire comandi al computer come se vi fossero una tastiera e mouse. Tali comandi potrebbero consentire l’installazione di malware o altre operazioni. Al momento non esiste un fix di sicurezza, non ci sono strumenti per bloccare l’attacco, per cui qualcuno potrebbe progettare un virus ad hoc, infettare migliaia di chiavette e sottrarre informazioni importanti. E formattare potrebbe non servire a niente, assicurano i ricercatori.

Fortunatamente gli SR Labs non sembra siano intenzionati a condividere i dettagli di quanto scoperto con il primo venuto, ma alla BlackHat 2014 del 7 agosto rilasceranno ulteriori informazioni e daranno una dimostrazione. Una possibile soluzione, ma attuabile in futuro, potrebbe essere quella di realizzare una firma univoca digitale per ogni dispositivo, in modo che i computer a cui si collegano le periferiche la verifichino continuamente. Questo però richiedere uno sforzo enorme a tutta l’industria.

fonte: http://www.tomshw.it/cont/news/protocollo-usb-sicurezza-addio-c-e-una-falla-enorme/58277/1.html