Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Vulnerabilità 0-day su sistemi Microsoft Windows

Nell’ottica di garantire un servizio di informazione reattivo e sicuro mi preme riferire relativamente alla recente scoperta di una importante vulnerabilità all’interno dei moderni sistemi operativi Microsoft Windows. La criticità è nota con l’identificativo CVE-2019-0797.

La problematica è originata da degli errori di gestione degli oggetti in memoria del componente Win32k che un attaccante, con accesso locale alla macchina, può sfruttare al fine di ottenere privilegi amministrativi su di essa, prendendone in completo controllo ed evadendo restrizioni e policy di sicurezza. Un cosiddetto attacco di “privilege-escalation“.

La vulnerabilità è stata ribattezzata “The fourth horseman” (il quarto cavaliere) per via del fatto che è la quarta vulnerabilità di privilege escalation scoperta nell’ultimo anno su Microsoft Windows.

Ricercatori di terze parti hanno rilevato lo sfruttamento di questa vulnerabilità in recenti attacchi ai danni di sistemi operativi Windows 10, operati da parte di attori malevoli attivi nell’area Mediorientale e Asiatica.

Questo il loro rimando tecnico dettagliato

Microsoft è corso subito ai ripari ammettendo la problematica e confermandola attraverso un apposito bollettino di sicurezza, ove risultano afflitte le versioni 32 e 64 bit di Microsoft Windows Server 2012, 2012 R2, 2016, 2019, Microsoft Windows 8.1 e 10, anche per architetture ARM64.

Per via dei correnti abusi registrati in-the-wild e del rischio di ulteriori sfruttamenti anche in scenari di attacco basati su malware, mi sento di suggerire la pianificazione e l’applicazione del pacchetto di sicurezza “March 2019 Security Updates”, rilasciato da Microsoft in questi giorni, all’interno del Vostro parco macchine Microsoft Windows.

Come al solito sono a disposizione per ulteriori chiarimenti o perplessità.

Bollettino Sicurezza, Microsoft, ransomware, Sicurezza Informatica

BOLLETTINO DI SICUREZZA 03/19

Vulnerabilità 0-Day in Google Chrome

Numerose le segnalazioni degne di nota per il mese di Marzo, partiamo dal rilevamento di numerosi PDF che sfruttano una vulnerabilità 0-day di Google Chrome. La falla in questione permette di tracciare gli utenti e, nel caso la vittima usi Chrome come lettore PDF, esfiltrare informazioni quali IP pubblico, versione del sistema operativo e l’intero percorso del PDF sul PC dell’utente. Il comportamento malevolo, infatti, non si verifica utilizzando altri strumenti per PDF come Adobe Reader, ma solo ed esclusivamente con Chrome PDF Viewer. Sebbene sembra che i primi attacchi risalgano all’ottobre 2017 e che Google sia stata avvertita lo scorso dicembre, la patch per la vulnerabilità dovrebbe arrivare solo il prossimo aprile.

Tentativo di frode a nome Alitalia

Proseguiamo con la scoperta della diffusione di una campagna di phishing che ha interessato un account di Alitalia lo scorso Mercoledì 27 Febbraio. In data 27/02/2019, alle ore 10:31, è stato segnalato un caso di phishing avente come mittente una casella di posta elettronica Alitalia, appartenente al Com. Marco Massone (marco.massone@alitalia.com). Dalla suddetta email sono state inviate circa 3.213 singole email, ciascuna con 98 destinatari diversi, per un totale di 300.000 singoli indirizzi email. In aggiunta, in alcuni casi sono stati utilizzati dei gruppi di distribuzione, con ulteriore fattore moltiplicativo. La maggioranza delle email hanno destinatari esterni, un insieme ridotto è stato indirizzato a destinatari Alitalia. Tuttavia alcune email sono state inviate a gruppi di distribuzione CRM, con conseguente diffusione massiva. Prestate quindi attenzione se avete ricevuto una insolita mail dalla compagnia aerea, si tratta di malware.

Pacha Group : nuovi attacchi.

Riemerge anche l’attore cyber crime noto come Pacha Group, probabilmente localizzato in Cina, che pare stia distribuendo un miner per sistemi Linux chiamato Antd.

Antd – esito di un riuso parziale di codice del miner XMRig per Monero – è noto almeno dal settembre 2018 e si presenta come una minaccia piuttosto sofisticata; la variante distribuita in questo caso ha ricevuto il nome GreedyAntd. La catena d’infezione è avviata con la compromissione di un server vulnerabile esposto online; si ipotizzano attacchi di brute forcing o l’impiego di exploit contro servizi come WordPress, PhpMyAdmin o JBOSS. In seguito viene scaricato ed eseguito il payload di primo livello che garantisce la persistenza nei sistemi, termina eventuali altri miner e scarica, talvolta via proxy, ulteriori componenti. Questi ultimi vanno a costituire una struttura modulare piuttosto articolata mirata ad eludere l’analisi dinamica. L’analisi dei server che ospitano GreedyAntd ha consentito di scoprire su un server di terze parti compromesso anche una componente irrelata rispetto a questa operazione che viene sfruttata per scaricare una configurazione di xmr-stak json. Questo codice sembra realizzato mediante riuso di codice di HelloBot, un bot di origine cinese scoperto nel gennaio 2019.

QakBot, distribuzione Trojan attraverso One Drive

Nell’ultimo mese è stata diffusa una variante del Trojan QakBot diffuso tramite mail. L’infezione è stata originata dalla seguente URL :

https://onedrive[.]live[.]com/redir?resid=234C9055AF39ACB4%211859&authkey=%21AII Tn9Z_vwswsP8&page=Download

Il trojan ha la capacità di:

  • annullare tentativi di disinfezione da parte della client AntiVirus;
  • autenticarsi in locale con le credenziali dell’Amministratore di Dominio;
  • bloccare in breve tempo molteplici account, forzando tramite scripting gli accessi;
  • effettuare dei movimenti laterali.

Prestare estrema attenzione ai link che si cliccano nelle e-mail in quanto veicolo usato per diffondere malware.

Vulnerabilità in Win Rar

La già nota vulnerabilità degli archivi WinRAR CVE-2018-20250 continua ad essere sfruttata da attori diversi, fra cui vi sono anche alcuni APT. L’exploit viene generalmente utilizzato dagli attaccanti nelle prime fasi della compromissione. In alcuni dei casi analizzati, i file all’interno dell’archivio malevolo – che comprendono numerose immagini per adulti – non possono essere visualizzati in anteprima, così i target sono costretti a decomprimerlo e ne vengono infettati. Dopo lo sfruttamento della vulnerabilità, viene impiegata una back-door scritta in C#, che si presenta come OfficeUpdateService.exe, per la gestione delle minacce da remoto e per la sottrazione di informazioni. In altre situazioni il WinRAR contiene diversi PDF sul tema delle offerte di lavoro in Arabia Saudita; in questo caso le macchine sono infettate dopo l’exploit con uno script VBS e poi viene eseguita direttamente in memoria (tecnica “fileless”) una backdoor PowerShell. Il terzo scenario rilevato consiste nell’uso di un archivio ACE protetto da password, il cui filename è in cirillico; poiché la password risulta ignota, gli analisti non sono stati in grado di analizzarne il contenuto.

Il consiglio è di evitare l’apertura di archivi, in quanto essendo occultato il contenuto, l’utente deve per forza eseguire l’apertura, compromettendosi.

Informatica Generale, Sicurezza Informatica

Carte Contact Less : la facilità nel clonarle

La tecnologia “contactless” sta diventando sempre più comune come mezzo per effettuare pagamenti o inviare informazioni.
Lo sviluppo rapido di questo processo è reso possibile grazie ad uno sviluppo tecnologico noto come Near Field Communication (NFC) e funziona tramite un chip wireless sul quale sono memorizzati i dettagli della carta di pagamento dell’utente, chip che può essere presente sia in un telefono cellulare che in una carta di credito o bancomat.

Tale tecnologia consente agli utenti di poter effettuare pagamenti fino ad un massimo di 25 € presso negozi e altri punti vendita semplicemente avvicinando lo smartphone o la carta ad un apposito lettore di schede, senza dover inserire fisicamente la carta stessa o digitare il PIN.
Pur essendo un comodo sistema per effettuare i pagamenti, gli utenti che utilizzano questa tecnologia sono esposti a potenziali problemi legati alla sicurezza.

Quali sono i rischi?

  • Pagare inconsapevolmente l’acquisto effettuato da un altro utente a causa della troppa vicinanza dello smartphone o della carta al lettore di schede;
  • Possibilità che il segnale wireless della carta o dello smartphone venga intercettato e le informazioni “finanziarie” rubate.

Questo secondo rischio è facilmente spiegato :

Nella contactless non c’è nient’altro che un chip RFID (Radio Frequency Identification) che contiene sotto forma di TAG i dati necessari alle transazioni.
Accostando la carta al lettore, avviene uno scambio di energia per induzione, e il chip della carta viene alimentato.
In quella frazione di secondo, tutti i dati presenti, possono essere modificati, aggiornati e soprattutto letti.
È in quel momento che la carta contactless può essere clonata.

Visto in questi termini, un malintenzionato potrebbe teoricamente rubare i dati necessari, semplicemente avvicinando un lettore alla nostra carta.

Siamo abituati a dei lettori POS che richiedono di accostare tantissimo la carta perché la comunicazione possa avvenire, ma non vuol dire che siano gli unici. In realtà per chi vuole frodare, con poche centinaia di euro, può acquistare un’antenna RFID con una portata che può arrivare anche a 12 m.
Quindi, non è necessario accostarsi più di tanto alla vittima perché questa si ritrovi con la carta contactless clonata.

Il side-channel, ossia il possibile attacco di pirati informatici nel tentativo di intercettare segnali utili da cui estrapolare i dati, avviene grazie alla tecnica del power-glitch.

Questa consiste nell’interruzione momentanea dell’alimentazione tra carta e lettore, così da guadagnare tempo e leggere più volte la comunicazione nel tentativo di rintracciare la chiave segreta.
Un truffatore, potrebbe tranquillamente sostare all’esterno di un’attività commerciale con un’antenna in borsa, mentre questa raccoglie i dati delle carte da utilizzare in seguito, magari per acquisti online, se la carta di origine non è protetta da password, oppure come carta di credito contact-less clonata, per piccoli acquisti.

Attualmente la chiave segreta di protezione è modificata frequentemente, nel tentativo di ridurre così le probabilità di furto di dati.
Sono allo studio anche nuovi microchip in grado di auto alimentarsi, vanificando così il power-glitch, ma in attesa che questa nuova tecnologia anti truffa sia migliorata, stiamo attenti al nostro estratto conto e controlliamo eventuali transazioni che non ricordiamo di aver fatto.

I consigli

  • Se si utilizza uno smartphone dotato di NFC, assicurati che sia sempre bloccato, quando non in uso, tramite un PIN, che è necessario cambiare regolarmente;
  • Presta particolare attenzione a non perdere o danneggiare lo smartphone/carta perché, in effetti, è un altro portafoglio;
  • Proteggi le tue carte di pagamento contactless custodendole in particolari custodie in modo che non possano essere intercettati i dati trasmessi;
  • Assicurati di leggere attentamente i termini e le condizioni della tua banca o del circuito che rilascia la carta di credito in relazione alla responsabilità in caso di pagamento errato o violazione della sicurezza;
  • Controlla frequentemente i tuoi movimenti bancari e della tua carta di credito
Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Occhio alle mail DHL, sono vettori di LokiBot

Nel corso delle attività di routine volte allo studio e all’analisi del traffico mail e delle evoluzioni tecnologiche nel cybercrime, è stata recentemente rilevata una campagna di phishing tesa a diffondere il pericoloso trojan noto come LokiBot.

LokiBot, è un trojan bancario, nato per i dispositivi mobili, con anche funzionalità di ransomware, nella seconda metà del 2018 la sua pericolosità è aumentata in quanto si sono manifestate infezioni e propagazioni anche in ambiente Windows, quindi l’habitat di propagazione della minaccia si è esteso ai PC.

In maniera analoga ad altri trojan del settore, come BankBot, LokiBot prende di mira un gran numero di applicazioni bancarie, mostrando all’utente false schermate di login mediante le quali cattura le credenziali di autenticazione e le invia ai server C&C controllati dai cybercriminali, è in grado di “falsificare” più di 100 app bancarie, oltre ad alcune app di ampia diffusione quali Facebook, Messenger, Google Play Games, Microsoft Outlook, PayPal, Skype, WhatsApp e Viber.

Le caratteristiche sono piuttosto comuni e già viste in altri trojan bancari, oltre ad alcune specifiche di questa nuova famiglia.

Questo malware è infatti in grado di:

  • Aprire un browser mobile, caricare un URL specifico e installare un proxy SOCKS5 mediante il quale redirigere il traffico di rete in uscita (analogamente a SockBot);
  • Rispondere automaticamente agli SMS e inviare SMS di spam a tutti i contatti della vittima allo scopo di diffondere l’infezione;
  • Mostrare false notifiche apparentemente provenienti da app legittime. (Quest’ultima funzione consente al malware di indurre l’utente ad aprire l’app della propria banca facendogli credere, ad esempio, di aver ricevuto un accredito sul proprio conto corrente. Quando l’utente apre la notifica, LokiBot mostra la falsa schermata per l’inserimento delle credenziali)

La diffusione rilevata avviene tramite false notifiche DHL in lingua inglese. Con sofisticate tecniche di ingegneria sociale, gli attaccanti cercano di indurre le vittime a cliccare su un link presente nel corpo del testo che rinvia ad un’immagine sfocata. Se l’utente fa doppio click sull’immagine (quasi un riflesso incondizionato quando si vuole ingrandire una foto), si avvia il download di un archivio .iso contenente un file eseguibile. Questo procede al lancio del software legittimo di Windows “RegAsm.exe” dentro il quale verrà poi iniettato il codice di LokiBot.

regasm.exe

Lo strumento di registrazione di assembly legge i metadati all’interno di un assembly e aggiunge al Registro di sistema le voci necessarie per consentire ai client COM di creare classi di .NET Framework in modo trasparente. (fonte Microsoft)

Lo scopo principale della minaccia è quello di esfiltrare password dai più popolari browser (Explorer, Firefox, Chrome, Opera, Safari, Yandex ecc), da client mail (Outlook, Thunderbird, ecc) e client FTP (BlazeFTP, ClassicFTP, FileZille ecc).

Vi invito quindi a fare estrema attenzione alle e-mail provenienti da mittenti DHL o altri vettori / corrieri, aprendo gli allegati solo ed esclusivamente se si è certi della provenienza.

Nel prossimo articolo riprenderò il tema dell’ingegneria sociale applicata al cybercrime.

app, Informatica Generale, sondaggi

TIM vi alza la tariffa : ecco cosa ho fatto io.

Altra storia realmente accaduta (e penso non solo a me).

22 Gennaio 2019, sono partiti ufficialmente gli SMS di avviso verso milioni di utenti TIM per quanto concerne la rimodulazione di alcune tra le più popolari tariffe in circolazione. Ecco quello arrivato a me:

Per la cronaca io ho (avevo) la tariffa TIM Young & Music Limited Edition. A quanto pare sono state deliberati in modo unilaterale 3 tagli di aumenti rispettivamente di 0,99 – 1,99 e 2,99 € a seconda della tariffa. Lato TIM viene messa come un “Esigenza legata all’evoluzione del mercato” e come palliativo viene offerta l’attivazione di una opzione “Minuti Gratis Illimitati” verso tutti (che ad oggi hanno ben poco valore economico). Essendo una modifica alle condizioni contrattuali è bene sapere che l’utente non soddisfatto può recedere dal contratto e cambiare operatore senza incorrere in nessun tipo di penale (per quanto riguarda le offerte vincolate, specie quelle legate alla rateizzazione di un dispositivo).

La mia reazione personale è stata quella di chiedere a TIM il trattamento riservato ai nuovi clienti (al momento c’è un offerta di entrata che per 9,99€ al mese da 1000 minuti e 20 Gb di traffico), ma mi è stato risposto che non è possibile e che avrei dovuto attivare un altra SIM, di conseguenza ho telefonato ai cugini di Vodafone che mi hanno avviato le pratiche di portabilità garantendomi la tariffa di cui sopra.

Il consiglio è quello di documentarsi su quello che è il prezzo di mercato dei vostri GB e dei vostri Minuti in modo da non dare il fianco a questi giochi di potere che puntano a vincolare il cliente privandolo del godimento di tariffe migliorative.

Se avete necessità, domande o richieste fatemele pure.

Informatica Generale, online, privacy, ransomware, Sicurezza Informatica

Cambiate le Password, c’è Collection#1

Cambiate tutte le vostre password», Non è una minaccia ma un vero e proprio avvertimento che rimbalza da un paese all’altro dopo la notizia del furto di dati più grande mai messo a segno nella storia di internet. Si chiama Collection #1 e proprio il suo nome fa temere che non sia finita qua.

Il bottino degli hacker è di 773 milioni di indirizzi web e 22 milioni di password uniche. Secondo l’Agi, il primo a darne notizia su Twitter è stato un esperto italiano di cybersecurity, ma a scoprire l’archivio è stato Troy Hunt, il ricercatore informatico autore del sito “Have I been pwned” con cui si può verificare se i propri account sono stati compromessi. (ecco il link https://haveibeenpwned.com/)


Collection #1 è una sorta di elenco del telefono, una ‘master list’ degli hacker, con dati rubati a milioni di utenti. Si tratta di un enorme database da oltre 87 GigaByte con più di 12.000 file. In realtà i numeri riportati da Hunt sul proprio sito non rappresentano la reale portata del fenomeno, visto che sono stati ripuliti da doppioni e file inutilizzabili. I dati grezzi parlano di circa 2,7 miliardi di indirizzi mail e password, fra cui un miliardo di e-mail e relativi password combinati. Questa lunghissima lista, come ha spiegato lo stesso Troy Hunt, nasce dall’unione di elenchi minori ed è stata resa disponibile da sconosciuti tramite il sito di file sharing Mega.

Sembra una collezione completamente casuale di siti, fatta esclusivamente per massimizzare il numero di credenziali accessibili agli hacker. Non c’è uno schema, solo la ricerca di massima esposizione. La notizia riaccende l’allarme sulla necessità di cambiare le password delle proprie caselle di posta elettronica con una certa frequenza. Anche perché il nome stesso, Collection #1, potrebbe far pensare a nuovi ‘elenchi del telefono per hacker’ in un prossimo futuro.

Informatica Generale, Microsoft, privacy, Sicurezza Informatica

Bitlocker e il quel “buco” nel firmware

BitLocker è una funzionalità di protezione dei dati integrata nei sistemi operativi Microsoft. Per impostazione di default viene usato l’algoritmo di crittografia AES nella modalità CBC con una chiave di 128 bit.

BitLocker garantisce tre modalità operative. Le prime due modalità richiedono un dispositivo hardware per la cifratura, ovvero un Trusted Platform Module (versione 1.2 o successivo) e un BIOS compatibile:

a. Modo operativo trasparente: questa modalità sfrutta le capacità dell’hardware TPM 1.2 per garantire una esperienza di utilizzo trasparente; l’utente effettua il login al sistema operativo normalmente. La chiave usata per la criptazione del disco rigido viene memorizzata (in forma sempre crittografata) all’interno del chip TPM che viene restituita al loader del Sistema Operativo solo se i file di avvio appaiono non manomessi. I componenti pre-OS di BitLocker sfruttano la endorsement key.

b. Modo autenticazione utente: questa modalità richiede che l’utente inserisca una chiave di autenticazione nell’ambiente pre-boot in modo da poter avviare il sistma operativo. Due diversi modi di autenticazione sono supportati: un PIN inserito dall’utente oppure un dispositivo USB che contiene la chiave di avvio necessaria

c. Chiave USB: l’utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter avviare il sistema operativo protetto. È da notare che questa modalità richiede che il BIOS sulla macchina protetta supporti la lettura dei dispositivi USB nell’ambiente pre-OS.

Fatto questo excursus tecnico passiamo alla pratica; BitLocker ha una senso di esistere in tutti quei dispositivi (personali o aziendali) che hanno la caratteristica di essere “portatili” e quindi soggetti all’esposizione ad ambiente extra-aziendale, è una valida soluzione per proteggere le info aziendali dato che sappiamo benissimo che la sola password di dominio non ha questa grandissima robustezza.

Attivare BitLocker è estremamente semplice, ma consiglio di eseguire l’operazione dopo aver letto questi punti fondamentali :

  1. BitLocker non si attiva da solo, se non siete avvezzi alla procedura o in generale vi sentite poco sicuri fatevi assistere/consigliare da un esperto;
  2. Se optate per l’autenticazione utente, dovrete scegliere una password che passerete al sistema di crittografia il quale, tramite algoritmo AES genererà una chiave numerica di 48 caratteri. Questa chiave vi verrà richiesta poi per accedere al PC in caso di problemi di sicurezza, senza questa chiave non accederete al PC.
  3. Leggete bene il punto 1) perché l’azione di BitLocker se fatta in modo errato è IRREVERSIBILE, al momento l’unico modo per riutilizzare il PC se si perde la chiave di ripristino è quello di formattare l’intero Hard Drive.

Vediamo quindi quali sono i passi per attivare questa funzionalità :

Per prima cosa dobbiamo andare in Computer (o Risorse del Computer se ante Win 8) e scegliere tra i vari dischi quale su quale unità vogliamo attivare il BitLocker. L’azione è semplice, tasto destro sull’unità e click sinistro su Attiva BitLocker.

Il sistema inizierà la procedura guidata e articolata per portare a termine l’operazione; si inizia scegliendo il metodo di sblocco, consiglio il primo ovvero una password dalla quale poi l’algoritmo genererà la chiave di ripristino, va ripetuta e va cliccato il pulsante ‘Avanti‘.

Secondo poi viene chieste un metodo per mettere al sicuro questa chiave, in modo che sia possibile all’utente accedervi anche qualora l’unità non fosse accedibile (appunto perché criptata) è possibile salvarla in un file .TXT (esportabile in un drive esterno) oppure stamparla su carta. Questa operazione è fondamentale a meno che non si prenda nota manualmente della chiave alla fine dell’operazione (cosa che sconsiglio in quanto basterebbe riportare male un carattere per compromettere tutto).

Il sistema chiede poi un ulteriore intervento all’utente invitandolo a scegliere se vuole applicare la codifica all’intera unità o solo alla porzione contenente dati. In questo caso la scelta impatterà sulla durata della codifica, per chi attiva il BitLocker ma utilizza già da tempo il PC è consigliabile crittografare l’intera unità per avere la certezza di proteggere tutto.

Ultima scelta riguarda la modalità di crittografia, si può decidere di usare a modalità XTS-AES introdotta dopo l’update 1511 di Windows 10, molto più efficiente ma non compatibili con le versioni precedenti oppure optare in sicurezza per una modalità compatibile.

Il procedimento termina con la richiesta finale di Avvio della crittografia e con gli avvisi di rito che Windows ci riporta.

Una volta cliccato su Avvia Crittografia questa partirà e terrà visibile a monitor una loading bar con la percentuale di avanzamento sino a conclusione.

Al termine di tutto l’unità sarà protetta, i file saranno crittografati.

Fino a qui tutto bene. O almeno fino a quando il firmware della macchina non si mette in mezzo.

Esiste infatti un “buco” noto e tale per cui senza un reale motivo apparente, BitLocker decida , all’avvio, di richiedere la chiave di ripristino come se stesse cercando di proteggere i dati.

In realtà il motivo esiste e ve lo spiego: questa situazione si genera a seguito di un cambio di versione di Firmware BIOS che modifica determinati parametri di Avvio.

BitLocker infatti monitora i cambiamenti nell’avvio e configurazione del sistema e quando rileva un nuovo dispositivo nell’elenco di avvio o un dispositivo di archiviazione esterno o una modifica nella gestione di questi, sollecita una chiave per motivi di sicurezza. Questo è il normale funzionamento, se atteso, un pò meno se si viene colti alla sprovvista, tipo qualora ci si trovi momentaneamente senza la chiave di ripristino e comunque è impensabile dover inserire una chiave di 48 caratteri ogni volta che si avvia il PC.

Le impostazioni in questione riguardano il supporto di avvio USB-C/Thunderbolt 3 (TBT) e il pre-avvio del TBT che nel salto di firmware probabilmente cambiando stato passando da non attivo ad attivo.

Disattivando queste opzioni nel BIOS, Thunderbolt /USB-C sono rimossi dall’elenco di avvio e BitLocker non li rileva.

Salvando e riavviando la macchina tutto tornerà a funzionare anche senza la chiave di ripristino.

Informatica Generale, ransomware, Sicurezza Informatica

Ave Maria : nuova famiglia di Infostealer

Si è chiusa di recente una ricerca approfondita, partita a metà dicembre, che ha portato alla luce una nuova famiglia di infostealer che è stata battezzata “Ave Maria”.

infostealer

è un particolare tipo di Trojan Virus che ruba le informazioni contenute sui computer compromessi in cui viene eseguito e provvede a comunicarli all’esterno.

Si è manifestato con una campagna a pioggia di tipo crime che, tra gli altri target, avrebbe colpito anche in Italia.
La minaccia in questione deriva dal trojan bancario TinyNuke, a sua volta variante di NukeBot.

Le email distribuite dagli attaccanti – che si spacciano per conferme di spedizioni o richieste di pagamento – contengono in allegato un Excel con l’exploit per la vulnerabilità Microsoft Office CVE-2017-11882 (vulnerabilità della memoria corrotta).
Dopo che le vittime hanno aperto il documento viene scaricato un archivio zippato (.rar) auto estraente che contiene file con estensioni fuorivianti; fra di essi vi sono un AutoIt interpreter, uno script AutoIt offuscato e un ICM che contiene il payload finale e le sue configurazioni.

Lo script dispone di tecniche per l’elusione della detection e ha il compito di decriptare ed eseguire il payload finale che si trova all’interno dell’ICM.
Il payload, una volta iniettato in un processo .NET legittimo, procede con la connessione al C&C.

AVE_MARIA dispone di un’utility per aggirare lo User Access Control; inoltre, sfrutta una vulnerabilità del tool Windows pkgmgr.exe per scalare i privilegi nei sistemi.

Può sottrarre le credenziali dei client mail come Microsoft Exchange e Outlook e Mozilla Thunderbird, ma anche di browser come Firefox e Chrome; i dati raccolti vengono cifrati con PK11.
Ulteriori analisi hanno permesso di rilevare all’interno dell’infrastruttura degli attaccanti l’utilizzo di IP mobile nigeriani per ospitare sistemi di comando e controllo.

Informatica Generale, privacy, Sicurezza Informatica, social network

Facebook e la (tua) privacy

E’ il social network più utilizzato del pianeta ma allo stesso tempo il più discusso dagli esperti di Sicurezza Informatica e Privacy : Facebook è chiamato alla prova di maturità per allinearsi alle linee guida normative in tema di riservatezza.

Non solo una stretta sulle fake news e sui profili chiaramente falsi : tra le nuove strategie messe in atto dal team di Zuckerberg per rendere più piacevole e confortevole il tempo passato sulla piattaforma ci sarebbero anche delle nuove feature per quanto riguarda la privacy su Facebook.

Da tempo, infatti, gli iscritti possono scegliere chi vedrà i loro post, quali informazioni del proprio profilo rendere disponibili a tutti gli utenti e quali invece riservare solo gli amici e, ancora, se rendere o meno pubblici i propri contatti, i gusti espressi tramite i like alle pagine, ecc.

Il fatto dia avere lo strumento , però, non significa automaticamente che chiunque abbia un profilo Facebook sia veramente, e in ogni momento della sua permanenza sulla piattaforma, attento a questioni come queste. Anzi: è tanto provocatorio quanto superfluo chiedersi quanti utenti abbiano letto, davvero, le clausole sulla privacy e sul trattamento dei dati personali da parte di Facebook prima di dare il consenso al momento dell’iscrizione. E non poche critiche sono piovute negli anni addosso all’azienda proprio per quanto riguarda la mancata o scarsa trasparenza con cui avrebbe comunicato le sue politiche di privacy su Facebook.

Il nuovo Hub per la Privacy su FB.

Una delle facility che Facebook ha introdotto è senza dubbio afferente la raggiungibilità di quello che possiamo definire una sorta di privacy hub in cui chiunque ha a portata di click tutte le informazioni di cui ha bisogno riguardo agli strumenti per rendere quanto più sicura possibile la propria vita social. Non è una trovata nuova veramente: il Privacy Center di Facebook esisteva già e, solo qualche tempo fa, era stato utilizzato nel tentativo di spiegare soprattutto ai più piccoli come navigare sul social in tutta sicurezza, senza condividere con altri informazioni indesiderate. La vocazione pedagogica è in qualche misura rimasta: con un linguaggio semplice e colloquiale, delle animazioni divertenti e delle pratiche sezioni tematiche, l’hub guida infatti, letteralmente, anche l’utente più comune a scoprire aspetti riguardanti la sua privacy su Facebook che con ogni probabilità non aveva mai considerato.

Facili proclami a parte – la missione di Facebook è quella di «rendere il mondo più aperto e connesso» e, in questo, un ruolo fondamentale ce l’ha direttamente la community, viene ribadito – quello che di interessante c’è è che, forse per la prima volta, Facebook rivela la sua politica sulla privacy in maniera chiara e puntuale.

Che dati raccoglie Facebook? Come vengono utilizzati? Con chi vengono condivisi? E come può, se può, l’utente gestire quegli stessi dati? Sono queste le domande a cui il team di Zuckerberg ha provato a rispondere. Soprattutto le risposte alla prima domanda potrebbero essere utili, così, agli utenti più preoccupati per la loro privacy su Facebook. Tra i dati raccolti dal social non ci sono solo le informazioni – relative al tipo di contenuti e alle persone con cui si interagisce, ai luoghi che si visitano, agli orari in cui si sta di più connessi – che vengono fornite personalmente attraverso l’uso che si fa della piattaforma. Facebook raccoglie anche le informazioni personali che vengono fornite da altri (si pensi alle foto in cui si è taggati), ricavate dalle proprie reti e cerchie (di amici, di like alle pagine) e, ancora, dedotte da e inerenti a i dispositivi da cui ci si connette al social, senza contare quelle che provengono da app, siti web, servizi terzi a cui si accede tramite il Facebook login o dalle aziende partner (che non sempre è detto l’utente conosca).

Per cosa vengono utilizzate informazioni come queste? La risposta è sotto gli occhi di tutti: da tempo lo sforzo di Facebook è di rendere quanto più personalizzata e personalizzabile possibile l’esperienza sulla piattaforma, tanto quando questo vuol dire mostrare le previsioni del tempo per la località in cui ci si trova, per esempio, quanto per dare precedenza nel feed alla tipologia di contenuti che si consumano più frequentemente o, ancora, per rendere possibili le previsioni dei tag nelle foto e, non meno importante, scovare e prendere provvedimenti contro i profili fake.

La guida di Facebook alla privacy sulla piattaforma continua quindi con una serie di indicazioni rispetto ai soggetti con cui possono essere condivisi i dati rilasciati a Facebook e le modalità con cui ciò potrebbe avvenire. All’utente vengono suggerite, poi, le azioni principali che può intraprendere – sia direttamente all’interno della piattaforma, sia tramite vie legali – qualora voglia modificare o cancellare alcune delle informazioni personali condivise sul social.

Se le inserzioni (di terzi) su Facebook pongono questioni di Privacy

Nel fare chiarezza sulla privacy su Facebook, infine, vengono fornite anche maggiori spiegazioni sul sistema delle inserzioni su Facebook. Perché a un utente viene mostrata un’inserzione e non un’altra e come (e se) l’utente può scegliere quale inserzioni vedere sono, del resto, interrogativi tra i più comuni per chi utilizzi quotidianamente Facebook. Semplificando molto: le pubblicità che vengono mostrate da Facebook dipendono ancora una volta dai propri like alle Pagine, dagli interessi che si è dichiarato di avere, dalle interazioni già avute con l’azienda o con il prodotto (se è stata utilizzata l’app tramite Facebook login, per esempio, o se è stato visualizzato un prodotto su un sito che abbia installato il pixel di Facebook è molto probabile che si riceveranno informazioni su azienda/prodotto in questione) e in parte anche dalla prossimità geografica con l’attività che voglia fare  marketing contestuale e di prossimità. Quello che forse non tutti gli iscritti sanno è, invece, che si possono modificare le proprie preferenze rispetto alle inserzionicontrollando i propri interessi, le pagine con cui si interagisce o impedendo a Facebook di utilizzare gli altri dati che ha a disposizione per personalizzarle.

Prendetevi cura della vostra Privacy perché è un patrimonio totalmente vostro e non dovete permettere che sia fonte di guadagno per terzi.

online, Sicurezza Informatica, Streaming, website

Condivisione delle password di Netflix, la pacchia sta per finire.

Potrebbe avere le ore contate la pratica ormai diffusissima della condivisione “illegale” della password di Netflix (o di altre piattaforme analoghe) è ciò che è emerso lo scorso 8 Gennaio al Consumer Electronics Show 2019 – evento organizzato da 50 anni dalla Consumer Technology Association degli Stati Uniti.

Di cosa stiamo parlando? Del segreto di Pulcinella più grosso del mondo: le password per i servizi di streaming online audio o video possono essere usate da più utenti. Anzi, aggiungo io, esistono delle vere e proprie piattaforme che ne agevolano la condivisione e ne facilitano la divulgazione. Su queste piattaforme chiunque può mettere in vendita a prezzi irrisori l’utilizzo del proprio account in condivisione, si trovano account di Netflix, Mediaset Premium, Tim Vision, Spotify e addirittura Office 365, un metodo per ammortizzare le spese dell’abbonamento e un’opportunità per accedervi in in modo decisamente scontato. Talvolta l’intento non è nemmeno monetario, si cerca solo di ottimizzare l’acquisto dando l’accesso in modo gratuito a parenti o amici.

Questa gratuità però ha un valore per le Aziende che offrono il servizio, e in particolare un valore in perdita (anzi mancato guadagno), la società di consulenza Magid ha stimato un dato molto rilevante:  il 25% dei millennial condivide il nome utente e la password dei servizi di streaming con gli amici ed entro il 2021, tale pratica illegale causerà 9,95 miliardi di dollari di perdite per le aziende coinvolte.

Facile ipotizzare quindi come questa pacchia stia per terminare, se fino ad oggi le aziende, Netflix in primis, hanno fatto orecchie da mercante, ignorando tutto a beneficio di un’audience tanto diffusa che concorresse a solidificare il loro brand e a far circolare di più i contenuti (specialmente quelli originali su cui hanno investito miliardi di dollari), pare che a breve tutte inizieranno a seguire i consigli della società brittanica Synamedia che, al CES 2019 in corso a Las Vegas, ha presentato un nuovo sistema di analisi che sfrutta il “machine learning” per individurare le password condivise utili ad accedere alle varie piattaforme.

Come funzionerebbe?

Semplice! La piattaforma di streaming (prendiamo ad es. Netflix) diventa cliente del sito di Synamedia, che grazie alle capacità di apprendimento derivanti dagli algoritmi di intelligenza artificiale (machine learning) analizza i dati di tutti i suoi utenti, mettendo sotto la lente un gran numero di fattori com ad esempio da dove si accede ad un account, a che ora viene usato, che genere di contenuti vengono fruiti e attraverso quale dispositivo.

Poi mette insieme i big data in una serie di schemi e abitudini d’uso di un certo account e dei suoi accessi multipli, evidenziando quelli che secondo il sistema potrebbero indicare la presenza di password condivise, fornendo alla piattaforma cliente, cioè Netflix, un punteggio di probabilità.

Starà poi alla società prendere i provvedimenti del caso, come per esempio allertare l’utente, anche se non è chiaro in che modo quest’ultimo potrebbe provare al fornitore che i suoi diversi accessi siano effettivamente utilizzati in modo personale e non condiviso.

Uno caso tipico ed eclatante sarebbe quello di un abbonato che sta guardando nello stesso tempo contenuti sulla costa Est e Ovest degli Stati Uniti – ha spiegato un manager del gruppo britannico al sito The Verge – è ovvio che non può trattarsi della stessa persona“.

Se la probabilità di una frode da parte del cliente è molto alta, (per esempio nel caso in cui le credenziali siano state vendute online o condivise attraverso servizi come TogetherPrice), Netflix potrebbe scegliere di sospendere l’account; anche se l’approccio più probabile potrebbe essere quello della persuasione, spingendo a limitare la condivisione o passare a un account più costoso ma che consenta più utenze, come lo Spotify for Family (si pensi per esempio al caso di un account condiviso fra un genitore e un figlio che abita fuori casa).

In estrema ratio si è anche parlato della possibilità di inserire delle clausole nel contratto di abbonamento che se violate portino anche a delle pesanti multe.

L’aspetto interessante di tutto questo è la presa di coscienza che le abitudini cambiano nel tempo, le persone si spostano e viaggiano continuamente e per questo servono strumenti di intelligenza artificiale in grado di mutare, per esempio, coi gusti degli utenti evitando di generare falsi positivi e capendo se e come un account è davvero condiviso in modo eccessivo.

Cosa significa tutto questo? Semplice: mentre al lancio del servizio – Netflix è sbarcata in Italia nel 2015 ma era attiva negli Usa dal 2008 – l’interesse a intervenire su un simile fenomeno era molto basso, visto che costituiva un modo organico e naturale per diffondere il servizio, farlo conoscere e apprezzare convincendo anche molte persone a sottoscrivere un proprio abbonamento, col trascorrere degli anni la pirateria delle password può iniziare a pesare sui conti. Va bene fare costume, tendenza, immagine, ma i ricavi viaggiano anche e soprattutto con gli abbonamenti.

Al momento il nuovo sistema del gruppo, battezzato Credentials Sharing Insight – è in fase di test da una serie di società, anche se non è noto quali. Ma già diversi colossi, da Comcast a Disney fino a Sky, ora controllata dalla stessa Comcast, sfruttano i servizi di intelligenza artificiale.