Tutti parlano di «exploit», ma di cosa si tratta esattamente?


Immaginate che il recinto del vostro giardino sia danneggiato. Forse vi è noto che la recinzione presenti delle brecce o forse non ancora. Una cosa è certa: qualsiasi malintenzionato può avvalersene per fare irruzione nel vostro giardino e farsi strada verso casa vostra utilizzando i vostri attrezzi da giardino. Analogamente ciò accade con le falle di sicurezza sul vostro computer: i cybercriminali mirano a scovarne il più possibile per condurre i propri attacchi.

Come funziona un attacco con exploit?

Gli exploit sono piccoli programmi che individuano e sfruttano falle nella sicurezza. Il malware, come per esempio un ransomware, viene caricato solo in un secondo momento (“Payload”). Ecco come avviene un attacco.

1. Identificare le vulnerabilità
Gli exploit possono essere nascosti in un documento Word o essere scaricati automaticamente semplicemente visitando una pagina web. Cercano quindi punti attaccabili nell’applicazione con
cui sono stati scaricati (lettori di documenti, browser web ecc.).

2. Depositare un codice malevolo
Quando gli exploit trovano una vulnerabilità adatta, collocano un codice malevolo da qualche parte nella memoria del vostro computer.

3. Manipolazione dei processi delle applicazioni
Un’applicazione funziona compiendo tanti piccoli processi che hanno luogo in successione. L’avvio di un processo dipende dalla conclusione corretta del precedente, un
flusso stabilito esattamente nel codice di programmazione.Gli exploit sono programmati per modificare la sequenza originale in modo da dirottare il flusso dell’applicazione sul codice
manipolato. Ne consegue che non viene eseguito il normale codice dell’applicazione, bensì il codice dannoso infiltrato in precedenza.

4. Attivazione
Una volta attivato il malware può accedere alle funzioni del programma in cui è penetrato e a tutte le funzioni generalmente accessibili del sistema operativo. Quindi l’exploit raccoglie informazioni sul sistema e può scaricare ulteriori codici maligni da Internet.

5. Scaricamento del malware
A questo punto ransomware, trojan bancari o altri malware vengono scaricati sul computer.

Come arrivano gli exploit sul mio computer?

Gli exploit si diffondono prevalentemente in due modi. Nel primo caso si scaricano sul computer navigando, celati dagli altri contenuti della pagina web che si sta visitando. Nel secondo caso si celano nei documenti allegati alle e-mail, in chiavette USB, su hard disk esterni e simili.

Exploit “drive-by”

Lo scaricamento di exploit “drive-by” avviene “di passaggio” senza che l’utente se ne accorga. A tale scopo i cybercriminali manipolano direttamente i banner pubblicitari sulle pagine web o i server a cui sono collegati in modo piuttosto subdolo: tale trucco viene utilizzato anche su pagine affidabili. Basta un click sulla pubblicità per avviare il download in background. Il programma dannoso scaricato cerca quindi vulnerabilità nel browser o tra i plug-in.

L’infezione “drive-by” è quella più utilizzata per diffondere exploit kit. I kit consistono in una raccolta di exploit con obiettivi multipli. Molti kit presentano spesso strumenti per attaccare Flash, Silverlight, PDF Reader e browser web come Firefox e Internet Explorer.

Exploit nei file

Questa modalità di infezione è la più utilizzata per attaccare aziende. Gli exploit vengono diffusi sistematicamente attraverso PDF manipolati e allegati alle e-mail. Il file si presenta come una fattura o un’inserzione ma contiene exploit che dopo l’apertura sfruttano le vulnerabilità di Adobe Reader. Lo scopo di tali attacchi solitamente è lo spionaggio (APT).

Perché le applicazioni sono soggette a vulnerabilità?

Chi sviluppa software scrive righe su righe di codice in diversi linguaggi di programmazione. Spesso i programmatori si avvalgono di librerie di codici messe a disposizione da altri sviluppatori. Con la grande quantità di codici di programmazione e la crescente complessità delle applicazioni sfuggono immancabilmente degli errori.

Una volta venuti a conoscenza delle vulnerabilità insite nel codice delle proprie applicazioni, i produttori di software diffondono una versione “riparata” del programma (“Patch”), scaricabile dagli utenti che fanno uso del software.

Come mi difendo dagli exploit?

Per chiudere il maggior numero di falle possibili, al fine di ridurre quanto più possibile la superficie d’attacco, è consigliabile installare gli aggiornamenti del software per i programmi più importanti. È altresì essenziale dotarsi di una soluzione di sicurezza di nuova generazione in grado di riconoscere gli exploit zero-day, come le suite G DATA, una funzione che sopperisce al fatto che il più delle volte passano diverse settimane tra la scoperta della falla e il rilascio/ installazione di una patch sul dispositivo vulnerabile. Va da sé infatti che il periodo tra l’individuazione di una falla non nota al produttore da parte dei cybercriminali e la distribuzione di una patch sia ovviamente il più pericoloso.

Continua a leggere

G DATA Managed Endpoint Security: sicurezza a consumo


Con la nuova licenza MES il vendor teutonico rivoluziona la percezione dei costi della sicurezza, assicurando la fruibilità delle proprie soluzioni Endpoint Protection e Total Control Business a canone mensile.

La progressiva trasformazione di applicazioni in “SaaS” e di servizi di gestione del parco installato in “Managed Services” spinge sempre più spesso aziende e rivenditori specializzati a valutare nuove modalità di erogazione di soluzioni e servizi. Con G DATA Managed Endpoint Security G DATA risponde all’esigenza di abbattere investimenti e costi operativi di un’adeguata tutela dell’infrastruttura IT con una formula “a consumo”.

Grazie a G DATA Managed Endpoint Security, le aziende che non dispongono di uno staff votato esclusivamente alla sicurezza IT non devono più scendere a compromessi in termini di protezione e monitoraggio quotidiano della propria infrastruttura: la nuova formula MES consente loro infatti di affidare tale compito al proprio fornitore di servizi IT senza che lo stesso debba trovarsi presso l’azienda. Combinazione ideale tra la convenienza e la comodità dei servizi gestiti, G DATA Managed Endpoint Security offre tutti i vantaggi delle soluzioni business di fascia alta del vendor teutonico in un pacchetto “all-inclusive” per partner e clienti.

 

Clicca e aggiungi: gestione delle licenze in tempo reale con un click

La piattaforma MES di G DATA consente di gestire da remoto l’intero parco installato presso uno specifico cliente. Oltre a presentare tutte le funzioni centralizzate per la configurazione di policy e filtri applicabili a singoli client, gruppi o all’intera azienda, al deployment remoto di patch e al monitoraggio costante dello stato operativo dei sistemi, la soluzione MES assicura al fornitore di servizi IT e ai suoi clienti assoluta trasparenza anche in merito ai costi. Qualora nel tempo sia necessario aggiungere ulteriori client, l’operatore dovrà semplicemente inserire le nuove licenze nella sua dashboard per avviare il processo di fatturazione mensile. Questo processo automatizzato azzera quindi l’eventuale rischio di overhead dovuto all’acquisto di licenze non necessarie in previsione di una crescita dell’azienda, o al contrario, di sottodimensionamento. Il rivenditore potrà acquisire e installare licenze in totale autonomia e in tempo reale. In un’ottica di sicurezza come processo e non come mero prodotto, il rivenditore potrà aggiungere al mero canone per la licenza una serie di servizi a valore che faranno la vera differenza nel pacchetto “all-inclusive” personalizzato per i propri clienti.

Un ulteriore highlight della piattaforma è che la console di gestione MES è multitenant, una caratteristica che consente al provider di servizi di sicurezza gestita di occuparsi dei propri clienti, visualizzare report per ogni azienda gestita, adottare misure di sicurezza ad hoc per l’uno o l’altro cliente tramite una singola interfaccia, ottimizzando quindi i costi di acquisto di un server ad hoc per ogni cliente, azzerandone l’impatto sul canone che andrà a fatturare al cliente.

Sicurezza all’avanguardia e gestita, ma pagata a consumo

Le organizzazioni che optano per una fruizione delle soluzioni G DATA Endpoint Protection e G DATA Total Control Business in modalità MES, beneficiano di una gestione professionale e quotidiana della sicurezza IT da parte del proprio fornitore e della serenità di avvalersi di suite di sicurezza dotate di tecnologie di nuova generazione per la tutela contro malware, ransomware dirottamento di sessioni e transazioni bancarie, vulnerabilità ed exploit su qualsiasi client di rete (Windows, Mac, Linux, Android, iOS), il tutto a consumo.

Continua a leggere

Petya redivivo – di nuovo


Di Petya G DATA ha già parlato nel 2016. Il ransomware si ripresenta occasionalmente con nuove vesti, l’ultima volta come “GoldenEye”. Questa nuova ondata di infezioni presenta una sola differenza: è la prima volta che Petya sfrutta un exploit proveniente dall’arsenale di un’agenzia di intelligence, portato tristemente alla ribalta con WannaCry.

Bochum – Secondo le ultime notizie diffuse dalle regioni inizialmente interessate dall’attacco e dai media, l’ondata di infezioni con il ransomware di Petya ha colpito numerosissime organizzazioni governative e private in Europa come negli Stati Uniti, tra cui una grande compagnia petrolifera, costretta – secondo indiscrezioni – a passare ai server di backup per garantire la continuità della produzione, aziende per la fornitura di energia elettrica, società di logistica e l’aeroporto di Kiev, chiuso nel tardo pomeriggio di ieri per le conseguenze dell’infezione, oltre a sistemi di pagamento elettronico in uso presso supermercati.

Nel frattempo, primi pagamenti del riscatto richiesto sono già stati versati su quello che – al momento – risulta essere l’unico portafoglio bitcoin per il quale si riconosca una relazione diretta con l’attuale campagna. G DATA sconsiglia fortemente di pagare qualsiasi riscatto! Non necessariamente il pagamento assicura che si possa di nuovo disporre dei file cifrati.  Tra l’altro, una volta scoperto che cybercriminali si stavano avvalendo di una casella di posta elettronica Posteo per lanciare l’attacco su larga scala, il provider tedesco ha bloccato l’accesso alla casella e ha informato l’Ufficio Federale per la Sicurezza Informatica. I cybercriminali non hanno più accesso alle mail ivi inviate.

Dettagli tecnici

Dalle analisi condotte dai G DATA Security Lab e da risultanze condivise dalla community infosec, l’origine dell’ondata di infezioni è stata individuata nella compromissione di un meccanismo di aggiornamento di un software ampiamente utilizzato per la contabilità. Le prime vittime sono state infettate proprio tramite l’aggiornamento di tale software. Pur avvalendosi di Eternalblue per infettare la rete locale, a differenza di  Wannacry il “nuovo” Petya non si propaga tramite Internet. Cerca invece accesso alle credenziali di amministratore per poter inserire i propri file in cartelle $admin condivise in rete. Anche la cifratura mostra tratti familiari: il ransomware verifica se ha modo di accedere ai privilegi di amministratore per sovrascrivere alcune aree del disco rigido. Qualora l’esito sia positivo, viene forzato il reboot di una macchina infetta dopo aver subito un crash. Al contrario di quanto presentato da alcuni rapporti comparsi su piattaforme di social media, in questo ransomware non è presente alcun “killswitch”.

All’attuale stato delle cose, la componente che dà luogo alla diffusione dell’ultima variante di Petya pare funzionare meglio di WannaCry su Windows XP. Oltre a ciò, la versione corrente cancella il registro degli eventi di Windows durante il processo di infezione.

Il ransomware prende di mira file con le seguenti estensioni:

.3ds .7z .accdb.  ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk

.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt

.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.

xlsx .xvd .zip

Un’infinità di nomi per il Petya redivivo

G DATA ha riscontrato una generalizzata confusione nell’assegnare un nome all’attuale variante del ransomware “Petya”. La base di codice è indubbiamente quella di Petya / Misha / GoldenEye, per questo motivo inizialmente intendevamo procedere usando il nome “Petya”. Altri lo hanno chiamato NotPetya, EternalPetya, PetyaBlue, Petna, PetyaWrap, Petrwrap, SortaPetya, Nyetya, Expetr e altri. Pur avendo deciso di fare riferimento a questa particolare nuova variante con il nome Petna, la denominazione con cui il ransomware è identificato resta invariata.

Clienti G DATA protetti

La variante corrente è rilevata da tutte le soluzioni G DATA come Win32.Trojan-Ransom.Petya.V e Trojan.Ransom.GoldenEye.B. Altri moduli proattivi quali l’ExploitProtection e la protezione comportamentale AntiRansomware offrono un ulteriore livello di protezione.

Countromisure e mitigazione

Ci sono diverse misure efficaci per prevenire infezioni o quanto meno mitigare i rischi:

  • Installare l’ultimo aggiornamento di Windows se possibile. Questo aggiornamento (disponibile dal mese di marzo – come già indicato nel caso di WannaCry) chiude le falle di cui si avvale l’exploit Eternalblue.
  • Per prevenire infezioni attraverso l’interfaccia di gestione di Windows (WMI), gli amministratori di sistema dovrebbero prendere alcune precauzioni, come raccomandato da Microsoft
  • L’esecuzione di un codice da remoto attraveso PSExec o WMI richiede privilegi di amministratore: si sconsiglia di garantire tali privilegi ai normali utenti.
  • Se si nota un’infezione prima che appaia la richiesta di riscatto, spegnere immediatamente il sistema. Non riavviare la macchina in nessun caso – c’è la possibilità che non tutto sia stato cifrato prima dello spegnimento forzato.

Di nuovo: raccomandiamo di non effettuare alcun pagamento di riscatto, soprattutto visto che il provider ha chiuso la casella di posta elettronica dei criminali.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://www.gdatasoftware.com/blog/2017/06/29840-petya-is-back-again

Continua a leggere

WannaCry ovvero “ritorno al futuro”


Il nostro universo interconnesso sta vivendo una crisi importante dovuta all’ormai sensazionalistico ransomware WannaCry, aka WannaCrypt, WanaCrypt0r o WCry, diffusosi a macchia d’olio in pochissimo tempo con modalità che richiamano alla memoria un passato non proprio recente. Matthieu Bonenfant, Chief Marketing Officer, Stormshield, condivide le sue riflessioni.

Assediate da tempo dalla minaccia del ransomware, molte organizzazioni sono riuscite a volare sotto i radar dei cybercriminali mentre altre hanno adottato misure preventive incrementando la consapevolezza degli utenti e impiegando tecnologie di nuova generazione per la propria sicurezza. Tuttavia WannaCry è parso a tutti dotato di una “nuova arma” che ne incrementa a dismisura la potenziale diffusione e il danno cagionato.  Una volta infettato un singolo sitema tramite – per esempio – l’apertura di un allegato, questo malware di nuova generazione è in grado di diffondersi automaticamente in modo del tutto trasparente senza intervento umano, replicandosi quasi istantaneamente su tutte le macchine insufficientemente protette nella rete aziendale. Ma è davvero così?

Quindi qual è la novità? In realtà nessuna, sfortunatamente.

La situazione attuale dà adito a parallelismi con un’esperienza altrettanto caotica del passato. Circa 10 anni fa il worm Conficker obbligò numerose aziende e organizzazioni a disattivare le proprie reti informatiche, chiudere temporaneamente punti di vendita, interrompere catene logistiche, persino l’areonautica militare subì blocchi operativi. Questo worm, che continuava ad assumere nuove forme, si è diffuso in un lampo e ha infettato milioni di sistemi in tutto il mondo. A quei tempi liberarsi dal worm richiese sforzi enormi in termini monetari, di energie, risorse e tempo. Alla fine di questa battaglia, le aziende colpite erano così traumatizzate da essere determinate a non rivivere mai più un’esperienza del genere. “Mai più” è diventato il mantra di un congruo numero di responsabili IT che avevano finalmente fatto esperienza dell’impatto dei rischi informatici sulle proprie attività aziendali.

Ed eccoci qui, dieci anni dopo.  Potremmo dire che è cambiato ben poco da allora, dato che la stessa ricetta ha dimostrato la stessa efficacia dieci anni dopo. Conficker e WannaCry usano lo stesso metodo di propagazione: sfruttano da remoto una vulnerabilità critica di Microsoft attraverso i servizi SMB e NetBIOS. In entrambi i casi, la patch era disponibile mesi prima che il malware fosse lanciato. Dieci anni dopo la stessa tecnica continua a creare subbuglio nelle aziende. Purtroppo non risulta esistere un grafico simile a quello del maggio 2017 prodotto dal SANS Internet Storm Center sull’uso via internet della porta SMB (TCP/445), ma anche allora gli strumenti per il monitoraggio del traffico mostravano un picco simile durante la fase di propagazione di Conficker.

Il picco di utilizzo della porta SMB (TCP/445) durante la propagazione del malware WannaCrypt (maggio 2017).

Gli strumenti che avrebbero cambiato completamente il corso della storia

La cosa più spiacevole nel caso di WannaCry è che la situazione avrebbe potuto essere facilmente evitata o quanto meno ampiamente mitigata: due mesi fa Microsoft ha rilasciato una patch di sicurezza per la vulnerabilità del servizio SMB sfruttata per la diffusione del malware. Molti esperti avevano emesso avvisi riguardo alla criticità di tale falla, riferendosi esplicitamente a Conficker.

Un mese dopo, il gruppo di hacker noti come Shadow Brokers ha persino diffuso il codice rubato alla NSA che sfruttava questa vulnerabilità. Un’informazione passata in sordina e nota ai più solo ora che l’attacco è in corso è oggetto dell’interesse dei media.

Le aziende e le organizzazioni hanno avuto un ampio lasso di tempo per applicare la patch o la soluzione che avrebbe relegato WannaCry al rango di “semplice” ransomware, come tutti quelli con cui noi, quale produttore di soluzioni per la sicurezza IT, ci confrontiamo quotidianamente.

Oltre ad applicare tempestivamente le patch di sicurezza, tecnologie come quelle presenti in Stormshield Endpoint Security basate sull’analisi comportamentale e non sulle mere signature, assicurano una risposta reale a minacce simili a WannaCry, bloccando lo sfruttamento di vulnerabilità anche qualora non siano note o prevenendo azioni malevole, come la cifratura illegittima dei file. Una soluzione che protegge egregiamente anche sistemi basati su Windows XP o Windows 2000, spesso ancora impiegati in infrastrutture critiche, che necessitano di speciali attenzioni.

Conclusioni

Come Conficker, anche WannaCry ha dimostrato che una maggiore consapevolezza dei rischi informatici, adatte misure per la mitigazione di tali rischi e un’applicazione tempestiva delle patch di sicurezza prodotte dai vendor sono sicuramente lo strumento migliore per evitare di incappare ciclicamente negli stessi problemi. Non resta che da chiedersi se “repetita juvant”.

Sarà un lunedì nero? Considerazioni sul ransomware “WannaCry”


Dopo solo tre ore dall’inizio della diffusione di massa “WannaCry” ha mietuto numerosissime vittime in 11 Paesi. Gli effetti sono stati tali da spingere le organizzazioni colpite a richiedere l’immediato spegnimento di tutti i computer. G DATA raccomanda fortemente di installare tutti gli aggiornamenti delle soluzioni antivirus e le patch fornite da Microsoft il più presto possibile.

Un fulmine a ciel sereno

Nelle prime ore del mattino (CET) di venerdì 12 maggio in tutto il mondo si è rilevata un’ondata considerevole di infezioni ad opera dell’ultima versione del ransomware WCry / WannaCry. I ricercatori non hanno ancora identificato l’origine di questo attacco violento perpetrato tramite bot net, exploit kit, mail infette e malvertizing, con l’obiettivo di distribuire il ransomware attraverso i più svariati canali.

Risulta che il meccanismo impiegato da WannaCry sia basato su codici originariamente sviluppati dalla NSA. L’exploit è chiamato ETERNALBLUE ed è parte dei file diffusi pubblicamente lo scorso mese.

In Spagna, presso l’operatore telco Telefónica, la situazione è escalata al punto che i responsabili IT hanno richiesto a tutti gli impiegati di spegnere i PC immediatamente e di chiudere tutte le connessioni VPN per evitare che il ransomware si diffondesse su ulteriori sistemi nella rete aziendale. In UK il ransomware si è diffuso in diversi ospedali, forzando lo staff ad utilizzare la documentazione cartacea di back-up per garantire quanto meno un servizio di base. In Germania sono stati colpiti numerosi monitor con gli orari di partenze e arrivi di diverse stazioni ferroviarie.

(Immagine: Martin Wiesner via Twitter, stazione di Neustadt)

 

Ad oggi, lunedì 15 maggio, sono oltre 11 i Paesi colpiti, il ransomware ha interessato le più diverse tipologie di organizzazioni, dalla pubblica amministrazione al settore sanitario fino al terziario.

Infezione rallentata, l’eroe accidentale di WannaCry

Secondo quanto rilevato accidentalmente dal giovane ricercatore Darien Huss, WannaCry comunica con un dominio su cui è integrato un meccanismo per la sua disattivazione. Una volta contattato il dominio, se il server risponde, il ransomware viene disattivato e non infetta il sistema. Questa rilevazione fortuita ha contribuito a rallentare la diffusione del ransomware, assicurando ai responsabili di sicurezza di numerose organizzazioni un breve sollievo, ma non è risolutiva. La disattivazione funziona infatti solo su sistemi che non hanno subito un’infezione in precedenza. Non ripulisce il sistema dal malware e non ripristina i file cifrati. Inoltre il meccanismo non funziona se le macchine da colpire si trovano dietro ad un server proxy.

Contromisure

La falla di sicurezza che ha aperto la strada all’infezione e che trova riscontro anche nel CVE è stata identificata come “critica” e oggetto di patching da parte di Microsoft già nel mese di marzo! Proprio per questo motivo gli aggiornamenti forniti dai produttori andrebbero installati tempestivamente. Inoltre, a fronte dell’ampio parco di installazioni su cui sono ancora impiegati Windows XP (anche in ambienti critici), Windows 8 e Windows Server 2003, microsoft ha rilasciato aggiornamenti di emergenza. Patch che andrebbero applicate immediatamente.

A livello globale ci si aspetta una ripresa della diffusione nel corso della giornata di oggi. Gli utenti dovrebbero prestare particolare attenzione ai messaggi che vedono sullo schermo e allertare il proprio reparto IT immediatamente qualora sullo schermo appaia una richiesta di riscatto. E’ inoltre raccomandabile prestare grande attenzione agli allegati delle email, specie se queste risultano inviate dopo giovedì 11 maggio.

I maggiori produttori di soluzioni antivirus hanno già aggiornato tempestivamente i propri sistemi. Già da venerdì scorso il ransomware WannaCry viene identificato da tutte le soluzioni G DATA come Win32.Trojan-Ransom.WannaCry.A.

Per ulteriori dettagli tecnici e aggiornamenti consultare il blog G DATA al link https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

Continua a leggere

Quando i dati raccolti dai giocattoli connessi al cloud sono alla mercè di chiunque


Oltre 800.000 credenziali di accesso ai servizi e 2 milioni di registrazioni vocali accessibili per settimane in Rete

Da qualche giorno la stampa riporta il caso della Spiral Toys, produttore dei pelouche „Cloudpets“ connessi al cloud, che consentono di registrare e inviare messaggi vocali tra bambini e genitori anche da remoto. Per omissione delle più elementari regole di sicurezza, queste registrazioni sensibili sono state accessibili a estranei per settimane via Internet. Il caso riguarda oltre 800.000 utenti registrati.

La situazione

Non è una novità che un operatore archivi online le registrazioni vocali degli utenti per poi elaborarle. Chiunque impieghi Apple Siri, Google Home o Amazon Echo si avvale di infrastrutture simili. I servizi vocali vengono offerti sempre più spesso e pur presentando notevoli vantaggi non sono scevri da rischi. Gli operatori hanno tutto l’interesse a proteggere questi dati dall’accesso indesiderato, le conseguenze di una potenziale fuga o perdita dei dati sono infatti catastrofiche sia per gli utenti sia per l’operatore. Il caso di Spiral Toys è un esempio lampante di come possa verificarsi un tale incidente: alcuni esperti di sicurezza hanno riscontrato che due banche dati del produttore erano raggiungibili via Internet senza alcuna protezione.

 

Buone intenzioni, errori elementari e pessimo timing

Le due le banche dati accessibili per più settimane a chiunque ne conoscesse l’indirizzo web, contenevano oltre nove Gigabyte di dati tra cui, tra le altre cose, tutte le registrazioni vocali trasmesse tra bambini e genitori. Come dichiarato dall’esperto di sicurezza Troy Hunt, il nome assegnato alle banche dati fa presupporre che le stesse non fossero impiegate produttivamente, bensì a scopo di test. Disporre di sistemi di prova raggiungibili via Rete non è inusuale, tuttavia in questo caso sono stati fatti due gravi errori. Innanzitutto le piattaforme di test non devono mai contenere i dati reali dei clienti, proprio per evitare compromissioni e fughe di dati. In secondo luogo il produttore ha omesso di implementare uno dei consigli di sicurezza più elementari per sistemi MongoDB: proteggere le banche dati contro accessi indesiderati con adeguate misure di autenticazione.

La banca dati contenente le registrazioni vocali includeva anche i nomi utente e le password dei fruitori del servizio. Sebbene per l’elaborazione delle password il produttore avesse impiegato un buon algoritmo di cifratura (bcrypt), gli utenti non erano tenuti a seguire alcuna linea guida per la creazione delle password, la piattaforma accettava come password anche un singolo carattere oppure combinazioni di caratteri ritenute da tempo insicure (p.es. „123246“, „qwertz“, „password“ e similari).

A peggiorare le cose in termini di timing è il fatto che le banche dati MongoDB in generale sono state oggetto preferenziale di attacco ransomware da parte dei cybercriminali nelle scorse settimane proprio a fronte di falle dovute a numerosi errori di configurazione. Errori di questo tipo sono già stati forieri in passato di fughe di dati che hanno interessato notevolmente l’opinione pubblica, come nel caso di noti operatori mobile o telco.

Effetti e conseguenze

Le conseguenze immediate dell’incidente per la Spiral Toys sono primariamente di natura finanziaria: negli ultimi giorni il valore delle azioni è crollato intorno ai 50 centesimi di dollaro. Per i clienti invece l’incidente ha come effetto la perdita di fiducia nei giocattoli con connessione Internet, e non sono i soli. Di recente, a posteriori di una apposita perizia legale, l’Agenzia federale delle Reti tedesca ha vietato la vendita della bambola „My Friend Cayla“ in Germania classificandola strumento di sorveglianza. Il caso di Spiral Toys conferma anche una delle nostre previsioni per il 2017: Gli operatori cloud saranno oggetto di attacchi la cui conseguenza è la perdita di dati.

Continua a leggere

Stiftung Warentest: G DATA Internet Security è il miglior antivirus


logo-claim-2015-3c-highresG DATA ottiene per la decima volta consecutiva giudizi eccellenti per la rilevazione dei virus.

“Nessun’altra suite di sicurezza protegge i consumatori in modo tanto meticoloso contro il malware digitale come G DATA Internet Security 2017” – questo il risultato del recente test comparativo condotto dalla tedesca Stiftung Warentest e pubblicato sulla rivista “test” (03/2017). La soluzione di sicurezza del produttore teutonico ha sorpreso la giuria con una protezione antivirus eccellente in ogni test comparativo condotto dal 2005 in poi. G DATA Internet Security 2017 è l’unica suite di sicurezza ad aver ottenuto il massimo punteggio per la scansione antivirus.

Nell’ultimo test comparativo ben 18 soluzioni di sicurezza per PC windows hanno dovuto dimostrare le proprie capacità in termini di difesa antivirus. La conclusione dei responsabili del test: “solo G DATA ha eseguito una scansione eccellente”. A impressionare non è stata solo la tecnologia antivirus. Stiftung Warentest ha anche sottolineato l’esemplare servizio al cliente offerto dall’azienda: “G DATA è l’unico produttore con termini e condizioni d’uso e linee guida per la protezione dei dati prive di difetti.”

gdris17-en-int-3pc-km16-0000000000000-rgb-002

“Il perno della nostra attività è fornire agli utenti le migliori tecnologie di difesa per la protezione dei propri dati personali” conferma Andreas Lüning, membro del board e fondatore di G DATA Software AG. “Il recente test comparativo di Stiftung Warentest ne è la riprova: siamo onorati che la suite G DATA Internet Security sia stata riconosciuta come il miglior scanner antivirus per il decimo anno consecutivo.”

Dettagli sulle procedure del test

  • Soluzioni di sicurezza testate: 18 suite, tra cui G DATA Internet Security 2017 – Valutazione complessiva: buono (2.2)
  • Condotto da Stiftung Warentest – http://www.test.de e pubblicato sulla rivista “test”, edizione 03/2017

Protezione senza soluzione di continuità: G DATA Internet Security 2017

G DATA Internet Security fornisce una protezione affidabile per PC e dati personali grazie a solide tecnologie anti ransomware, keylogger, exploit e trojan, oltre ad un potente firewall. Gli utenti di Internet sono protetti contro ogni pericolo, che essi siano conducano transazioni bancarie e acquisti online,  o stiano semplicemente navigando.

Caratteristiche principali di G DATA Internet Security 2017(*)

  • Tecnologia G DATA anti-ransomware per la protezione contro trojan e cybercriminali che estorcono denaro
  • BankGuard per l’online banking e lo shopping sicuro
  • Firewall intelligente per bloccare gli attacchi degli hacker
  • Filtro antispam contro messaggi e pubblicità indesiderata
  • Protezione phishing con monitoraggio delle email
  • Exploit protection per contrastare falle di sicurezza nel software
  • Controllo parentale per l’utilizzo appropriato del PC in base all’età dell’utente
  • Assistenza tecnica 24/7/365

(*) La suite G DATA Internet Security 2017 sarà disponibile in Italia a partire da aprile 2017

Continua a leggere