3CX, le aziende possono permettersi di usare strumenti VoIP gratuiti?


Quale impatto hanno strumenti VoIP “consumer” su produttività, sicurezza ed efficienza degli impiegati rispetto a soluzioni integrate e certificate? 3CX fa luce sull’argomento.

Modena – Il mondo delle telecomunicazioni e delle UC è in costante fermento, trainato anche dall’adozione da parte dei singoli utenti di strumenti utilizzati per lo più nel privato come Whatsapp, Skype, FaceTime e Viber, che possono rappresentare anche per le società un elemento di grande innovazione rispetto alla telefonia classica. Purtroppo però questi sistemi alla lunga si rivelano inadeguati alle esigenze aziendali, insoddisfacenti in termini di collaboration e persino insicuri. Aspetti che pur risultando del tutto estranei ai consumatori e ai singoli dipendenti, sono invece all’ordine del giorno per amministratori e decisori IT.

La popolarità degli smartphone e degli strumenti gratuiti per la messaggistica aumenta in continuazione ma non è detto che tali sistemi possano soddisfare le esigenze in determinati contesti professionali. Al contrario: tali piattaforme, prima o poi, risulteranno vincolanti per la crescita del business e potrebbero persino minare l’immagine dell’azienda presso i clienti.

Tra i motivi figura innanzi tutto l’assenza di garanzie su qualità della trasmissione audio e video, elemento di primaria importanza quando si parla di uno strumento che dovrà essere adottato da tutti i dipendenti in locale e in remoto per le comunicazioni interne come con l’esterno. La scarsa qualità dell’audio inficia e limita la comprensione dell’interlocutore, rendendo la conversazione poco fluida e danneggiando in qualche modo l’attività di business in corso. Un impatto che risulta ancora più gravoso qualora si decidesse di effettuare una videochiamata. In questi casi occorre un sistema affidabile, avviabile con un click ma che soprattutto assicuri stabilità e continuità del flusso audio/video, caratteristiche che le piattaforme “free” non possono garantire.

In secondo luogo, mentre la maggior parte delle chiamate condotte via VoIP è cifrata, utilizzare strumenti VoIP gratuiti per chiamare cellulari o numeri fissi per beneficiare di tariffe più economiche non necessariamente assicura che le conversazioni siano codificate. A questo si aggiunge il fatto che anche nel caso della telefonia i responsabili IT gradiscono mantenere il controllo dell’infrastruttura, cosa impossibile con piattaforme di messaggistica e VoIP progettate per soddisfare le esigenze di singoli utenti. L’assenza di dati e registri delle chiamate gestibili in seno all’azienda rappresenta un difetto macroscopico al pari del fatto che non è possibile condividere rubriche aziendali, né integrare tali sistemi in soluzioni CRM, né gestire l’implementazione di tali sistemi in modo centralizzato, demandando all’utente configurazione e uso delle applicazioni, specie qualora questi servizi siano fruibili esclusivamente tramite smartphone. Ecco perché se un’organizzazione desidera avvalersi di una soluzione VoIP / UC professionale da impiegare in un ambiente professionale e dotata di tutte le funzionalità che ci si aspetta in un ufficio, incluso il telefono da tavolo, occorre optare per un sistema di telefonia progettato per le aziende.

Può dunque un’azienda permettere l’adozione incontrollata da parte del personale dei più diffusi sistemi di messaggistica istantanea e chiamate?

A lungo termine le realtà più dinamiche non riscontreranno benefici dall’uso collettivo di piattaforme VoIP “consumer” ma dovrebbero avvalersi da subito di soluzioni personalizzate e ottimizzate per l’uso aziendale al fine di assicurare efficienza e affidabilità sia delle comunicazioni sia della collaborazione tra impiegati. Qui si inserisce 3CX, che con PBX-Express la sua proposta di soluzione completa per le comunicazioni unificate gratuta (fino a un massimo di otto chiamate contemporanee) per un anno, punta alle PMI che necessitano di un centralino IP completo e potente ma che desiderano in primis verificare e sperimentare le nuove funzioni UC per poi decidere se abbonarsi per ottenere gli aggiornamenti del software o se acquistare la licenza commerciale. Una proposta interessante, stando alla reazione del mercato. Il riscontro presso la clientela pare confermare la strategia del vendor come vincente: molte realtà iniziano con la “Free PBX Edition” ma sono poi così impressionate dal prodotto che scelgono di passare alla licenza commerciale.

Con il suo FreePBX e PBX-Express 3CX soddisfa uno degli obiettivi principali di qualsiasi attività: il controllo dei costi e dei servizi, al fine di assicurarsi un ritorno sull’investimento quanto più immediato possibile. Ecco perché 3CX non offre solo un modello di licensing estremamente competitivo, ma restituisce al cliente il controllo totale della piattaforma, a partire da come e dove questa va implementata (nel cloud o in azienda) fino alla gestione autonoma delle estensioni necessarie e al grado di integrazione della soluzione 3CX all’interno dell’infrastruttura aziendale.

In prospettiva 3CX intende portare un elemento di discontinuità rispetto alle soluzioni legacy e a quanto c’è ancora di installato presso le aziende grazie a sistemi di comunicazione professionali che assicurano ubiquità e accessibilità trasversale (telefono tradizionale, smartphone, tablet, PC, Mac) alla piattaforma per la telefonia ed il video-conferencing.

Rendendo le comunicazioni unificate più appetibili per un’ampia fascia di utenza professionale, 3CX ha ottenuto un costante incremento delle proprie quote di mercato ed è fiduciosa di entrare a far parte della top five dei fornitori di soluzioni UC nei prossimi anni.

Continua a leggere

Tempo fattore non più sottovalutabile: questa la lezione impartita da WannaCry e Petya.B


WannaCry e Petya.B sono solamente due più recenti (e famosi) attacchi su larga scala che hanno evidenziato lacune nella gestione dei sistemi informativi e dei fattori di rischio da cui trarre preziosi insegnamenti.

Parigi – Osservando l’andamento delle attività dei cybercriminali alla luce delle due più recenti ondate di infezione ransomware su larga scala è impossibile negare un incremento nella sofisticazione del malware e un continuo perfezionamento dei meccanismi di intrusione. Altrettanto innegabile è il fatto che, ad oggi, moderni tool e infrastrutture “Crime-as-a-Service” consentono ai cyber-criminali di agire rapidamente su scala globale, con il supporto derivante dalla diffusione di pericolosi exploit “di Stato” (EternalBlue e EternalRomance), facilmente integrabili nel codice dei malware. Un primo bilancio delle “vittime” sembra indicare con altrettanta chiarezza quanto gli attaccanti siano in vantaggio rispetto alle aziende attive nell’ambito della sicurezza IT che rispondono a tali minacce a suon di “signature” e “patching”. Strumenti che si sono rivelatisi, in entrambe le occasioni, assolutamente insufficienti, vuoi per incuria, vuoi perché la sicurezza – oggi più che mai – deve essere predittiva e non reattiva.

WannaCry si è dimostrato particolarmente efficace poiché in grado di propagarsi tramite internet, installandosi “lateralmente” su altri host presenti nella rete senza alcun intervento dell’utente, bensì a posteriori di una scansione approfondita sulla porta TCP/UDP 445. Una minaccia seria ai danni di chi non ha aggiornato i propri sistemi per i più vari motivi. Poco tempo dopo PetrWrap, Petya.B o NotPetya, che dir si voglia, si è avvalso della stessa vulnerabilità, cagionando danni ad enti governativi e a numerose aziende su scala globale, bloccando sistemi rilevanti per la produttività delle organizzazioni e chiedendo un riscatto, il cui pagamento in molti casi non è corrisposto alla decrittazione dei file.

Le finalità di questo genere di attacchi possono essere differenti, dall’estorsione di denaro, al sabotaggio su più livelli, fino al furto di dati o allo spionaggio industriale, in alcuni casi infatti i cryptoransomware copiano i file prima di cifrarli e chiedono un riscatto per non divulgarli. A fronte dello scarso riscontro economico ottenuto da entrambe le campagne rispetto all’attenzione mediatica riservata al fenomeno, del tipo di organizzazioni coinvolte e in assenza di codici che indichino una condivisione dei file con server esterni, si potrebbe supporre che queste due campagne siano attività di sabotaggio. Ci troviamo di fronte a minacce in rapida successione che colpiscono organizzazioni di pubblica utilità e di grandi dimensioni.  Le aziende private che ne subiscono le conseguenze sembrano essere danni collaterali, quasi un modo per sviare l’attenzione dal vero obiettivo e rientrare almeno parzialmente dei costi di produzione dell’attacco, sempre che le vittime paghino il riscatto.

Lezione 1: Occorre più tempo per la mitigazione delle minacce

Per quanto oggettivamente essenziale, il processo di patching dei sistemi operativi e delle applicazioni in uso risulta lacunoso. Tale attività, ove conducibile, va automatizzata e certificata. Nelle situazioni in cui non sia possibile aggiornare i sistemi (piccola nicchia con gravissime implicazioni, cfr. settore utility, industria/SCADA, healthcare, banking) per limiti hardware/software e di compliance, è fondamentale abilitare la segmentazione della rete e cambiare totalmente approccio alla sicurezza, dotandosi di strumenti per l’identificazione e la mitigazione di minacce note e non note che non necessitino di aggiornamenti, perché riconoscono comportamenti anomali e li bloccano sul nascere.

Sono numerosi i vendor di soluzioni antivirus che hanno riconosciuto che basare la sicurezza endpoint su signature non è più la risposta. Hanno quindi integrato o stanno per integrare meccanismi intelligenti capaci di individuare comportamenti sospetti delle applicazioni, al fine di bloccare attività anomale. Questo è un passo nella giusta direzione, tuttavia solo parzialmente, perché per quanto avanzate, queste soluzioni non rinunciano all’uso di firme, che richiedono frequenti aggiornamenti, in alcuni casi non conducibili. Ecco perché ha senso blindare i sistemi operativi con soluzioni che evitano l’esecuzione di qualsiasi malware, frapponendosi tra il kernel e il layer applicativo e bloccando chiamate a sistema ingiustificate grazie ad algoritmi avanzati di analisi comportamentale. Ne è un esempio Stormshield Endpoint Security, che non rimuove il malware (compito degli antivirus) ma ne blocca in tempo reale l’esecuzione, facendo guadagnare tempo utile agli amministratori per effettuare il patching e la messa in sicurezza dei sistemi.

Avere più “tempo” è un grande vantaggio che nessuno oggi può più sottovalutare. Un vantaggio riconosciuto sia da noti istituti bancari che con Stormshield Endpoint Security hanno potuto assicurarsi la compliance PCI DSS anche su macchine obsolete, sia da numerosi istituti ospedalieri e gruppi industriali dotati di sistemi SCADA.

Lezione 2: l’analisi comportamentale va estesa al perimetro

Il limite fondamentale delle soluzioni di Endpoint Security è che queste proteggono la singola macchina, non lavorano sul traffico di rete, e quindi entrano in azione solo in presenza di “infezione” sul singolo host. Avvalersi in tempo reale dell’analisi comportamentale dell’intero flusso di dati, dal singolo file alle attività delle applicazioni di rete, scevri dell’approccio passivo signature-based dei firewall tradizionali, assicura protezione proattiva dell’intera infrastruttura contro infezioni “laterali” come quelle favorite dall’uso dell’exploit EternalBlue garantendo che il malware non “esca” dalla rete per propagarsi altrove. Una tecnologia tutta europea dotata delle più alte certificazioni di sicurezza europea e della qualifica ANSII per ambienti industriali energetici, su cui Stormshield basa l’intera offerta di firewall IPS sin dal lontano 1998 e che oggi protegge aziende e governi in tutto il mondo.

Proteggere il singolo terminale non basta, occorre estendere l’analisi comportamentale al perimetro, seppur allargato, per assicurarsi quel vantaggio temporale e quella tutela proattiva dei sistemi che nel caso di WannaCry e Petya.B avrebbero fatto la differenza per molti.

Continua a leggere

Petya redivivo – di nuovo


Di Petya G DATA ha già parlato nel 2016. Il ransomware si ripresenta occasionalmente con nuove vesti, l’ultima volta come “GoldenEye”. Questa nuova ondata di infezioni presenta una sola differenza: è la prima volta che Petya sfrutta un exploit proveniente dall’arsenale di un’agenzia di intelligence, portato tristemente alla ribalta con WannaCry.

Bochum – Secondo le ultime notizie diffuse dalle regioni inizialmente interessate dall’attacco e dai media, l’ondata di infezioni con il ransomware di Petya ha colpito numerosissime organizzazioni governative e private in Europa come negli Stati Uniti, tra cui una grande compagnia petrolifera, costretta – secondo indiscrezioni – a passare ai server di backup per garantire la continuità della produzione, aziende per la fornitura di energia elettrica, società di logistica e l’aeroporto di Kiev, chiuso nel tardo pomeriggio di ieri per le conseguenze dell’infezione, oltre a sistemi di pagamento elettronico in uso presso supermercati.

Nel frattempo, primi pagamenti del riscatto richiesto sono già stati versati su quello che – al momento – risulta essere l’unico portafoglio bitcoin per il quale si riconosca una relazione diretta con l’attuale campagna. G DATA sconsiglia fortemente di pagare qualsiasi riscatto! Non necessariamente il pagamento assicura che si possa di nuovo disporre dei file cifrati.  Tra l’altro, una volta scoperto che cybercriminali si stavano avvalendo di una casella di posta elettronica Posteo per lanciare l’attacco su larga scala, il provider tedesco ha bloccato l’accesso alla casella e ha informato l’Ufficio Federale per la Sicurezza Informatica. I cybercriminali non hanno più accesso alle mail ivi inviate.

Dettagli tecnici

Dalle analisi condotte dai G DATA Security Lab e da risultanze condivise dalla community infosec, l’origine dell’ondata di infezioni è stata individuata nella compromissione di un meccanismo di aggiornamento di un software ampiamente utilizzato per la contabilità. Le prime vittime sono state infettate proprio tramite l’aggiornamento di tale software. Pur avvalendosi di Eternalblue per infettare la rete locale, a differenza di  Wannacry il “nuovo” Petya non si propaga tramite Internet. Cerca invece accesso alle credenziali di amministratore per poter inserire i propri file in cartelle $admin condivise in rete. Anche la cifratura mostra tratti familiari: il ransomware verifica se ha modo di accedere ai privilegi di amministratore per sovrascrivere alcune aree del disco rigido. Qualora l’esito sia positivo, viene forzato il reboot di una macchina infetta dopo aver subito un crash. Al contrario di quanto presentato da alcuni rapporti comparsi su piattaforme di social media, in questo ransomware non è presente alcun “killswitch”.

All’attuale stato delle cose, la componente che dà luogo alla diffusione dell’ultima variante di Petya pare funzionare meglio di WannaCry su Windows XP. Oltre a ciò, la versione corrente cancella il registro degli eventi di Windows durante il processo di infezione.

Il ransomware prende di mira file con le seguenti estensioni:

.3ds .7z .accdb.  ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk

.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt

.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.

xlsx .xvd .zip

Un’infinità di nomi per il Petya redivivo

G DATA ha riscontrato una generalizzata confusione nell’assegnare un nome all’attuale variante del ransomware “Petya”. La base di codice è indubbiamente quella di Petya / Misha / GoldenEye, per questo motivo inizialmente intendevamo procedere usando il nome “Petya”. Altri lo hanno chiamato NotPetya, EternalPetya, PetyaBlue, Petna, PetyaWrap, Petrwrap, SortaPetya, Nyetya, Expetr e altri. Pur avendo deciso di fare riferimento a questa particolare nuova variante con il nome Petna, la denominazione con cui il ransomware è identificato resta invariata.

Clienti G DATA protetti

La variante corrente è rilevata da tutte le soluzioni G DATA come Win32.Trojan-Ransom.Petya.V e Trojan.Ransom.GoldenEye.B. Altri moduli proattivi quali l’ExploitProtection e la protezione comportamentale AntiRansomware offrono un ulteriore livello di protezione.

Countromisure e mitigazione

Ci sono diverse misure efficaci per prevenire infezioni o quanto meno mitigare i rischi:

  • Installare l’ultimo aggiornamento di Windows se possibile. Questo aggiornamento (disponibile dal mese di marzo – come già indicato nel caso di WannaCry) chiude le falle di cui si avvale l’exploit Eternalblue.
  • Per prevenire infezioni attraverso l’interfaccia di gestione di Windows (WMI), gli amministratori di sistema dovrebbero prendere alcune precauzioni, come raccomandato da Microsoft
  • L’esecuzione di un codice da remoto attraveso PSExec o WMI richiede privilegi di amministratore: si sconsiglia di garantire tali privilegi ai normali utenti.
  • Se si nota un’infezione prima che appaia la richiesta di riscatto, spegnere immediatamente il sistema. Non riavviare la macchina in nessun caso – c’è la possibilità che non tutto sia stato cifrato prima dello spegnimento forzato.

Di nuovo: raccomandiamo di non effettuare alcun pagamento di riscatto, soprattutto visto che il provider ha chiuso la casella di posta elettronica dei criminali.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://www.gdatasoftware.com/blog/2017/06/29840-petya-is-back-again

Continua a leggere

SaaS: quale futuro è riservato al canale ICT?


Le tecnologie per le telecomunicazioni e l’elaborazione di informazioni (ICT) fanno ormai talmente parte del nostro quotidiano da rendere inimmaginabili scenari in cui non vengano impiegate, specie in ambito aziendale. Oggi industria a sé stante, l’ICT ha un notevole impatto sulle economie mondiali, su politica e cultura ed è indubbiamente un settore in piena crescita su scala globale. Grazie al costante sviluppo di nuove soluzioni e piattaforme, nuovi provider di soluzioni SaaS accedono al mercato quotidianamente monetizzando sullo sviluppo progressivo di prodotti che migliorano e rendono l’ICT più fruibile per gli utenti finali.

Con l’avvento del cloud e la proliferazione di servizi erogati in modalità SaaS tramite piattaforme ospitate e accessibili via Internet, risulta comprensibile che tra i rivenditori e i distributori si diffondano timori in merito alla propria rilevanza nella commercializzazione di prodotti SaaS, che, di norma, richiedono pochissimo hardware, riducono al minimo i costi logistici e operativi, e possono essere semplicemente “scaricati” dal web. In questo scenario è logico chiedersi quale futuro sia riservato al canale ICT.

Niente dubbi: Canale essenziale

3CX, noto produttore di soluzioni software-based per le telecomunicazioni di nuova generazione, opera da sempre con un modello commerciale indiretto. I molti anni di esperienza raccolta sul campo mostrano che la combinazione di un un prodotto SaaS dal prezzo competitivo e un accordo commerciale premiante sia la chiave del successo del canale, in un settore, quello dell’ICT, in costante evoluzione. Le relazioni tra produttore e partner commerciali beneficiano mutualmente della crescita del mercato ICT: agendo da “moltiplicatori” sul territorio, distributori e rivenditori sono infatti nella posizione di offrire assistenza pre- e postvendita e di ampliare la propria marginalità con servizi a valore costruiti attorno ad una soluzione di nuova generazione “plug & play” nota per affidabilità e versatilità, come la piattaforma UC di 3CX. Dall’altro lato il produttore ha la certezza che i suoi utenti godano dei servizi di assistenza erogati tramite partner competenti, un’impresa di cui non potrebbe mai farsi carico da solo. Ne emerge quindi un rapporto simbiotico, che – nel caso di 3CX – risulta molto equilibrato e profittevole per il canale.

Competenze condivise: la base dell’innovazione

Grazie alle forti partnership strette in tutto il mondo, 3CX acquisisce competenze sia in merito alla specificità del mercato di una data area geografica, sia in merito alle esigenze degli utenti, competenze che condivide con i propri partner sotto forma di innovazione, in modo che essi possano aprirsi a nuovi mercati diversificandosi anche dal punto di vista territoriale.

Ne è un esempio lo sviluppo della soluzione 3CX PBX Express: con la crescente adozione di servizi in hosting da parte delle aziende, 3CX ha ritenuto opportuno far sì che i propri partner potessero beneficiare di un mercato in piena crescita. Con PBX Express i partner 3CX dispongono infatti di uno strumento con cui installare la piattaforma UC dei clienti sul rispettivo account nel cloud in pochi minuti, semplificando la proposta di soluzioni UC ospitate presso un provider di servizi cloud di propria scelta o sui server del rivenditore stesso. L’innovazione per cui 3CX ha ricevuto numerosi riconoscimenti non riguarda però solo i prodotti.

Un programma partner fuori dal comune 

Con il suo Partner Program 3CX qualifica e premia i suoi rivenditori, offrendo loro accesso a corsi di formazione ed esami di certificazione gratuiti, materiale informativo sempre aggiornato, strumenti di marketing e lead, al fine di favorire le attività commerciali di distributori e rivenditori sul rispettivo mercato di riferimento, ma non è tutto. I partner 3CX acquisiscono letteralmente punti per ogni  singolo progetto generato. Il passaggio ad un livello di partnership superiore dipende quindi sia dalla certificazione ottenuta, sia dal numero di punti ottenuti dal partner. Il sistema a punti premia i partner certificati 3CX che dimostrano lealtà al brand attraverso vendite ricorrenti. Esso però non riflette esclusivamente il giro d’affari realizzato ma soprattutto lo sforzo e l’impegno dimostrato dal partner, offre quindi anche alle aziende di minori dimensioni l’opportunità di accedere a livelli di partnership superiori con i relativi benefici.

Suddiviso in cinque livelli, Affiliate, Bronze, Silver, Gold e Platinum, il programma partner di 3CX assicura vantaggi e marginalità superiori ad ogni nuovo livello raggiunto. Azienda di canale al 100%, 3CX vende i suoi prodotti solo attraverso la propria rete commerciale, di conseguenza non è mai in concorrenza con i propri rivenditori, una strategia che ha assicurato a 3CX una crescita del 40% anno su anno.

Continua a leggere

WannaCry ovvero “ritorno al futuro”


Il nostro universo interconnesso sta vivendo una crisi importante dovuta all’ormai sensazionalistico ransomware WannaCry, aka WannaCrypt, WanaCrypt0r o WCry, diffusosi a macchia d’olio in pochissimo tempo con modalità che richiamano alla memoria un passato non proprio recente. Matthieu Bonenfant, Chief Marketing Officer, Stormshield, condivide le sue riflessioni.

Assediate da tempo dalla minaccia del ransomware, molte organizzazioni sono riuscite a volare sotto i radar dei cybercriminali mentre altre hanno adottato misure preventive incrementando la consapevolezza degli utenti e impiegando tecnologie di nuova generazione per la propria sicurezza. Tuttavia WannaCry è parso a tutti dotato di una “nuova arma” che ne incrementa a dismisura la potenziale diffusione e il danno cagionato.  Una volta infettato un singolo sitema tramite – per esempio – l’apertura di un allegato, questo malware di nuova generazione è in grado di diffondersi automaticamente in modo del tutto trasparente senza intervento umano, replicandosi quasi istantaneamente su tutte le macchine insufficientemente protette nella rete aziendale. Ma è davvero così?

Quindi qual è la novità? In realtà nessuna, sfortunatamente.

La situazione attuale dà adito a parallelismi con un’esperienza altrettanto caotica del passato. Circa 10 anni fa il worm Conficker obbligò numerose aziende e organizzazioni a disattivare le proprie reti informatiche, chiudere temporaneamente punti di vendita, interrompere catene logistiche, persino l’areonautica militare subì blocchi operativi. Questo worm, che continuava ad assumere nuove forme, si è diffuso in un lampo e ha infettato milioni di sistemi in tutto il mondo. A quei tempi liberarsi dal worm richiese sforzi enormi in termini monetari, di energie, risorse e tempo. Alla fine di questa battaglia, le aziende colpite erano così traumatizzate da essere determinate a non rivivere mai più un’esperienza del genere. “Mai più” è diventato il mantra di un congruo numero di responsabili IT che avevano finalmente fatto esperienza dell’impatto dei rischi informatici sulle proprie attività aziendali.

Ed eccoci qui, dieci anni dopo.  Potremmo dire che è cambiato ben poco da allora, dato che la stessa ricetta ha dimostrato la stessa efficacia dieci anni dopo. Conficker e WannaCry usano lo stesso metodo di propagazione: sfruttano da remoto una vulnerabilità critica di Microsoft attraverso i servizi SMB e NetBIOS. In entrambi i casi, la patch era disponibile mesi prima che il malware fosse lanciato. Dieci anni dopo la stessa tecnica continua a creare subbuglio nelle aziende. Purtroppo non risulta esistere un grafico simile a quello del maggio 2017 prodotto dal SANS Internet Storm Center sull’uso via internet della porta SMB (TCP/445), ma anche allora gli strumenti per il monitoraggio del traffico mostravano un picco simile durante la fase di propagazione di Conficker.

Il picco di utilizzo della porta SMB (TCP/445) durante la propagazione del malware WannaCrypt (maggio 2017).

Gli strumenti che avrebbero cambiato completamente il corso della storia

La cosa più spiacevole nel caso di WannaCry è che la situazione avrebbe potuto essere facilmente evitata o quanto meno ampiamente mitigata: due mesi fa Microsoft ha rilasciato una patch di sicurezza per la vulnerabilità del servizio SMB sfruttata per la diffusione del malware. Molti esperti avevano emesso avvisi riguardo alla criticità di tale falla, riferendosi esplicitamente a Conficker.

Un mese dopo, il gruppo di hacker noti come Shadow Brokers ha persino diffuso il codice rubato alla NSA che sfruttava questa vulnerabilità. Un’informazione passata in sordina e nota ai più solo ora che l’attacco è in corso è oggetto dell’interesse dei media.

Le aziende e le organizzazioni hanno avuto un ampio lasso di tempo per applicare la patch o la soluzione che avrebbe relegato WannaCry al rango di “semplice” ransomware, come tutti quelli con cui noi, quale produttore di soluzioni per la sicurezza IT, ci confrontiamo quotidianamente.

Oltre ad applicare tempestivamente le patch di sicurezza, tecnologie come quelle presenti in Stormshield Endpoint Security basate sull’analisi comportamentale e non sulle mere signature, assicurano una risposta reale a minacce simili a WannaCry, bloccando lo sfruttamento di vulnerabilità anche qualora non siano note o prevenendo azioni malevole, come la cifratura illegittima dei file. Una soluzione che protegge egregiamente anche sistemi basati su Windows XP o Windows 2000, spesso ancora impiegati in infrastrutture critiche, che necessitano di speciali attenzioni.

Conclusioni

Come Conficker, anche WannaCry ha dimostrato che una maggiore consapevolezza dei rischi informatici, adatte misure per la mitigazione di tali rischi e un’applicazione tempestiva delle patch di sicurezza prodotte dai vendor sono sicuramente lo strumento migliore per evitare di incappare ciclicamente negli stessi problemi. Non resta che da chiedersi se “repetita juvant”.

Android colabrodo: 8.400 nuovi malware al giorno nel primo trimestre 2017.


Il livello di rischio rimane allarmante, ma non è dovuto solo all’alacre attività dei cybercriminali.

Con una quota di mercato del 72 per cento a livello mondiale, il sistema operativo Android domina chiaramente il mercato della telefonia mobile. In Italia, circa il 69 per cento dei possessori di smartphone utilizza un dispositivo Android (Fonte: Statcounter, marzo 2017). Nel primo trimestre 2017, gli esperti dei G DATA Security Labs hanno individuato oltre 750.000 nuovi malware per Android, in media 8.400 nuove app dannose al giorno, una ogni dieci secondi.

Ancora troppo bassa la diffusione di Android 7

La vulnerabilità del sistema operativo Android, come di altri sistemi operativi, non é una novità. Molte aziende, tra cui Microsoft, Adobe o la stessa Google rilasciano con regolarità aggiornamenti di sicurezza. I proprietari di dispositivi Nexus o Pixel ricevono queste patch direttamente da Google. Purtroppo però la quota dei possessori dei “Googlefonini” è molto ridotta (nel mese di marzo 2017 in Italia oltre il 40% dei naviganti con smartphone Android impiegava dispositivi Samsung – fonte Statcounter), e attualmente, su scala globale, solo il 4.9 per cento degli utenti Android beneficia della versione 7 del sistema operativo sul proprio dispositivo, nonostante Nougat sia disponibile dal 7 agosto 2016 (status al 04.2017 Fonte: Google).

Tale enorme dilatazione dei tempi di consegna degli aggiornamenti dipende in massima parte dal fatto che quando Google rilascia una patch o una nuova versione del proprio sistema operativo, i produttori e gli operatori devono adattarla ai propri dispositivi. Il tutto richiede un’eternità e in alcuni casi tale processo non ha proprio luogo, forse perché la strategia di mercato per cui, su base annuale, sono immessi sul mercato nuovi top di gamma lascia poco spazio alla cura dei modelli precedenti (comunque ancora commercializzati poiché recenti) e della pletora di dispositivi di gamma medio-bassa. Per gli utenti ciò comporta l’esposizione a inutili rischi. Considerando l’impatto dei dispositivi mobili sulla quotidianità personale e aziendale, beneficiare di frequenti aggiornamenti di sicurezza che chiudono falle del sistema operativo è essenziale.

Come proteggersi

A differenza di Windows, per chi acquista un dispositivo sia esso uno smartphone o un tablet Android, non è sempre possibile determinare per quanto tempo e se il produttore renderà disponibili i dovuti aggiornamenti di sicurezza. Dotarsi di una soluzione completa per la protezione dei propri dati e delle proprie credenziali contro trojan come BankBot, contro malware in genere, tentativi di phishing, di dirottamento delle sessioni e di infezione drive-by è assolutamente un must. Di fronte al crescente volume e alla sofisticatezza delle minacce e al grado di obsolescenza dei sistemi operativi presenti sulla stragrande maggioranza degli smartphone e tablet Android, stare attenti non è sufficiente.

Conclusioni

Sebbene le moderne soluzioni complete per la sicurezza mobile siano in grado di tutelare gli utenti, riteniamo quanto mai opportuna una massiccia riduzione dei tempi di reazione da parte di tutti i produttori e un repentino cambio di rotta nei processi di distribuzione degli aggiornamenti di Android.

Continua a leggere

Un nuovo malware ogni 4,2 secondi: G DATA presenta il primo trimestre 2017


“Non credere ad alcuna statistica che non abbia falsificato tu stesso”, usava dire Winston Churchill. Gli esperti di sicurezza di G DATA condividono quanto rilevato nel primo trimestre 2017 rapportandone i risultati ai trend registrati nel 2016.

Nel 2016 l’azienda ha rilevato 6.834.443 nuovi ceppi di malware per workstation, pari ad un incremento del 32,9% rispetto al 2015. Un trend che non accenna a rallentare neanche nel 2017: nel solo primo trimestre G DATA ha registrato 1.852.945 nuovi tipi di applicazioni malevole. Ciò corrisponde ad un nuovo campione di malware ogni 4,2 secondi, un valore che supera del 72,6% le rilevazioni degli analisti G DATA nello stesso periodo del 2016. Gli esperti di sicurezza G DATA pronosticano un nuovo record negativo di 7,41 milioni di nuovi malware entro la fine dell’anno.

 

Il malware in categorie

La quota predominante dei programmi malevoli consta di cavalli di troia prodotti tipicamente allo scopo di scaricare ulteriore malware, rilevare i caratteri digitati sulla tastiera, trafugare password, integrare la macchina infetta in botnet per la conduzione di attacchi DDoS. Al secondo posto in classifica figura l’adware, che lo scorso anno cubava per il 4,9% delle rilevazioni totali ma già nel primo trimestre 2017 è responsabile del 13,9% del malware registrato.

Anche il ransomware è aumentato notevolmente. Tra il primo ed il secondo semestre 2016 si è quasi decuplicato e nel solo primo trimestre 2017 ha mancato di poco i valori registrati nell’intera seconda metà dello scorso anno. Ma attenzione: „il ransomware ha cagionato danni ingenti destando un notevole interesse su scala globale, ma la quota di questo tipo di malware rispetto al totale non è quasi misurabile”, specifica Ralf Benzmüller, Direttore dei G DATA SecurityLabs, che aggiunge “l’adware invece è una delle categorie di malware più produttive, ma non viene quasi percepito dagli utenti”.

Obiettivi del malware: Windows, script e makro

Come d’abitudine, la parte preponderante dei malware per workstation mira a piattaforme Windows, obiettivo del 99,1% delle applicazioni malevole rilevate. Seguono, sebbene a lunga distanza, script, java applets e macro.

Continua a leggere