Informatica Generale, ransomware, Recensioni, Sicurezza Informatica

Yoroi rende disponibile al pubblico ‘Yomi’

Una delle aziende con cui collaboro ormai da diversi anni e che ho scelto come partner aziendale in ambito security è Yoroi: azienda italiana con sede a Cesena è senza dubbio fiore all’occhiello d’eccellenza in ambito di Cyber Security in Italia.

Yoroi ha recentemente deciso di rendere gratuitamente pubblico ‘Yomi, uno dei suoi innovativi e potenti strumenti atti a rilevare, analizzare e bloccare i software dannosi. Come dice il nome, “Yomi: The Malware Hunter“, è infatti una piattaforma online per la rilevazione e la gestione in sicurezza di malware informatici.; basato su tecnologia open source italiana da oggi può essere usata anche dai singoli individui, gratuitamente.

Ma che cos’è Yomi?

Già soprannominata dalla stampa come “Il cimitero dei virus” all’epoca del suo lancio in versione beta, la piattaforma Yomi, ulteriormente perfezionata, è una pagina web in grado di “digerire” e detonare nel suo recinto di sabbia (sandbox) documenti dannosi, file eseguibili, installatori e script senza alcun pericolo. La “detonazione” avviene infatti in una maniera controllata, registrando il comportamento di ogni file potenzialmente dannoso dentro un ambiente personalizzato e progettato per sconfiggere le tecniche di evasione più avanzate messe in atto da chi diffonde il malware.

Detto in parole povere, se ci ritroviamo un file sospetto e vogliamo verificarlo, possiamo caricarlo gratuitamente dentro Yomi che lo “eseguirà” in una zona protetta e restituirà in output un report dettagliato sul tipo di minaccia e il suo comportamento.

“Compito di Yomi è di contribuire a rendere il cyberspace più sicuro per tutti – ha detto Marco Ramilli di Yoroi -, e per questo ne facciamo dono alla comunità italiana di info-security.”

Il malware rappresenta un potente strumento per il cybercrime in tutto il mondo e, con oltre 856 milioni di campioni identificati durante l’ultimo anno è, senza dubbio, uno dei principali tipi di minaccia che aziende e organizzazioni affrontano ogni giorno per gestire la propria attività con grande impegno di tempo, risorse e denaro, mettendo a rischio la propria reputazione e gli asset dei loro clienti.

Le minacce malware hanno sviluppato in questi anni la capacità di eludere ogni rilevamento, scavalcando le barriere di sicurezza e rimanendo in silenzio fino a scatenare il loro potenziale malevolo, consentendo ad hacker malvagi, cyber-criminali e spie di rubare segreti, dati, beni digitali e denaro, compromettendo processi aziendali e persino vite umane quando colpiscono le infrastrutture critiche. Per divertimento e profitto.

Per tutti questi motivi ‘Yomi’ è il contributo italiano alla battaglia contro il malware dedicato ai professionisti della sicurezza, alle comunità di intelligence, ai CERT e ai CSIRT che vorranno usarlo.

Il software di Yomi è in grado di condurre un’analisi multilivello sui software malevoli: statica, dinamica e comportamentale, per aiutare gli analisti umani a comprendere la dinamica dell’esecuzione del codice dannoso risparmiando tempo e denaro, può analizzare una grande varietà di tipi di file, per ogni tipo di esigenza, sia privata che aziendale, per realtà di piccole e di grandi dimensioni, compresi i pericoli che preoccupano di più i gli utenti comuni e che derivano dal trattamento di documenti PDF, Office, Powerpoint, Word o Excel, anche nei formati compressi.

Yomi è anche capace di ispezionare gli indirizzi e i domini di rete e presenta funzionalità di analisi SSL, per consentire ai cacciatori di malware di riconoscere le minacce nascoste che sfruttano la protezione crittografica.

La piattaforma creata da Yoroi presenta diverse caratteristiche innovative nel panorama dell’analisi delle minacce informatiche. Mentre è possibile condividere con la comunità le proprie scoperte ‘Yomi’ rende anche possibile decidere – per questioni di privacy o di segretezza – di richiedere report privati per i campioni analizzati attraverso la sua piattaforma.

Per provare “Yomi: The Malware Hunter” clicca qui.

Oppure contattami pure per una demo-training sul suo utilizzo.

Informatica Generale, privacy, Sicurezza Informatica, social network

Facebook e la (tua) privacy

E’ il social network più utilizzato del pianeta ma allo stesso tempo il più discusso dagli esperti di Sicurezza Informatica e Privacy : Facebook è chiamato alla prova di maturità per allinearsi alle linee guida normative in tema di riservatezza.

Non solo una stretta sulle fake news e sui profili chiaramente falsi : tra le nuove strategie messe in atto dal team di Zuckerberg per rendere più piacevole e confortevole il tempo passato sulla piattaforma ci sarebbero anche delle nuove feature per quanto riguarda la privacy su Facebook.

Da tempo, infatti, gli iscritti possono scegliere chi vedrà i loro post, quali informazioni del proprio profilo rendere disponibili a tutti gli utenti e quali invece riservare solo gli amici e, ancora, se rendere o meno pubblici i propri contatti, i gusti espressi tramite i like alle pagine, ecc.

Il fatto dia avere lo strumento , però, non significa automaticamente che chiunque abbia un profilo Facebook sia veramente, e in ogni momento della sua permanenza sulla piattaforma, attento a questioni come queste. Anzi: è tanto provocatorio quanto superfluo chiedersi quanti utenti abbiano letto, davvero, le clausole sulla privacy e sul trattamento dei dati personali da parte di Facebook prima di dare il consenso al momento dell’iscrizione. E non poche critiche sono piovute negli anni addosso all’azienda proprio per quanto riguarda la mancata o scarsa trasparenza con cui avrebbe comunicato le sue politiche di privacy su Facebook.

Il nuovo Hub per la Privacy su FB.

Una delle facility che Facebook ha introdotto è senza dubbio afferente la raggiungibilità di quello che possiamo definire una sorta di privacy hub in cui chiunque ha a portata di click tutte le informazioni di cui ha bisogno riguardo agli strumenti per rendere quanto più sicura possibile la propria vita social. Non è una trovata nuova veramente: il Privacy Center di Facebook esisteva già e, solo qualche tempo fa, era stato utilizzato nel tentativo di spiegare soprattutto ai più piccoli come navigare sul social in tutta sicurezza, senza condividere con altri informazioni indesiderate. La vocazione pedagogica è in qualche misura rimasta: con un linguaggio semplice e colloquiale, delle animazioni divertenti e delle pratiche sezioni tematiche, l’hub guida infatti, letteralmente, anche l’utente più comune a scoprire aspetti riguardanti la sua privacy su Facebook che con ogni probabilità non aveva mai considerato.

Facili proclami a parte – la missione di Facebook è quella di «rendere il mondo più aperto e connesso» e, in questo, un ruolo fondamentale ce l’ha direttamente la community, viene ribadito – quello che di interessante c’è è che, forse per la prima volta, Facebook rivela la sua politica sulla privacy in maniera chiara e puntuale.

Che dati raccoglie Facebook? Come vengono utilizzati? Con chi vengono condivisi? E come può, se può, l’utente gestire quegli stessi dati? Sono queste le domande a cui il team di Zuckerberg ha provato a rispondere. Soprattutto le risposte alla prima domanda potrebbero essere utili, così, agli utenti più preoccupati per la loro privacy su Facebook. Tra i dati raccolti dal social non ci sono solo le informazioni – relative al tipo di contenuti e alle persone con cui si interagisce, ai luoghi che si visitano, agli orari in cui si sta di più connessi – che vengono fornite personalmente attraverso l’uso che si fa della piattaforma. Facebook raccoglie anche le informazioni personali che vengono fornite da altri (si pensi alle foto in cui si è taggati), ricavate dalle proprie reti e cerchie (di amici, di like alle pagine) e, ancora, dedotte da e inerenti a i dispositivi da cui ci si connette al social, senza contare quelle che provengono da app, siti web, servizi terzi a cui si accede tramite il Facebook login o dalle aziende partner (che non sempre è detto l’utente conosca).

Per cosa vengono utilizzate informazioni come queste? La risposta è sotto gli occhi di tutti: da tempo lo sforzo di Facebook è di rendere quanto più personalizzata e personalizzabile possibile l’esperienza sulla piattaforma, tanto quando questo vuol dire mostrare le previsioni del tempo per la località in cui ci si trova, per esempio, quanto per dare precedenza nel feed alla tipologia di contenuti che si consumano più frequentemente o, ancora, per rendere possibili le previsioni dei tag nelle foto e, non meno importante, scovare e prendere provvedimenti contro i profili fake.

La guida di Facebook alla privacy sulla piattaforma continua quindi con una serie di indicazioni rispetto ai soggetti con cui possono essere condivisi i dati rilasciati a Facebook e le modalità con cui ciò potrebbe avvenire. All’utente vengono suggerite, poi, le azioni principali che può intraprendere – sia direttamente all’interno della piattaforma, sia tramite vie legali – qualora voglia modificare o cancellare alcune delle informazioni personali condivise sul social.

Se le inserzioni (di terzi) su Facebook pongono questioni di Privacy

Nel fare chiarezza sulla privacy su Facebook, infine, vengono fornite anche maggiori spiegazioni sul sistema delle inserzioni su Facebook. Perché a un utente viene mostrata un’inserzione e non un’altra e come (e se) l’utente può scegliere quale inserzioni vedere sono, del resto, interrogativi tra i più comuni per chi utilizzi quotidianamente Facebook. Semplificando molto: le pubblicità che vengono mostrate da Facebook dipendono ancora una volta dai propri like alle Pagine, dagli interessi che si è dichiarato di avere, dalle interazioni già avute con l’azienda o con il prodotto (se è stata utilizzata l’app tramite Facebook login, per esempio, o se è stato visualizzato un prodotto su un sito che abbia installato il pixel di Facebook è molto probabile che si riceveranno informazioni su azienda/prodotto in questione) e in parte anche dalla prossimità geografica con l’attività che voglia fare  marketing contestuale e di prossimità. Quello che forse non tutti gli iscritti sanno è, invece, che si possono modificare le proprie preferenze rispetto alle inserzionicontrollando i propri interessi, le pagine con cui si interagisce o impedendo a Facebook di utilizzare gli altri dati che ha a disposizione per personalizzarle.

Prendetevi cura della vostra Privacy perché è un patrimonio totalmente vostro e non dovete permettere che sia fonte di guadagno per terzi.

Informatica Generale, Sicurezza Informatica

Alert! Nuova Campagna Malware

Con la presente desidero informarvi riguardo al recente rilevamento di nuovi attacchi mirati ad organizzazioni italiane (Aziende, P.A.)  caratterizzati da email malevole appositamente create.

La peculiarità della campagna risiede nella personalizzazione dei messaggi fraudolenti all’interno dei quali vengono utilizzati riferimenti all’organizzazione obiettivo o riferimenti all’organizzazione mittente. La metodologia con la quale gli attaccanti accedono a questo genere di informazioni riservate è con larga probabilità quella dello spoofing, tecnica con la quale è possibile insediarsi nelle mailbox altrui eseguendo codice malevolo atto a controllarne le funzionalità.

Tale circostanza può aumentare l’efficacia dell’attacco in quanto le email possono apparire maggiormente contestualizzate.

I messaggi di posta analizzati contengono documenti Office armati di macro malevole in grado di scaricare ed eseguire file “.hta” sul sistema i quali, successivamente, infettano la vittima con malware legato alla famiglia Gozi/Ursnif: minaccia in grado di trafugare dati, fornire accesso backdoor all’host, intercettare digitazioni effettuate su tastiera ed attività utente.

Nei casi analizzati l’allegato si chiama “Richiesta.doc” ed anche il corpo della mail è sempre il medesimo.

img2

L’allegato una volta aperto si presenta in questo modo :

sss

Questi gli indicatori di compromissione rinvenuti :

Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Oggetto:
      • “Re: Letto: Auguri Pasqua <NOME-ORG-MITTENTE>”
      • “Programma assicurativo <NOME-ORG-DESTINATARIO>”
    • Allegato:
      • “Richiesta.doc”
      • “BIG_Richiesta.doc” (o altre variazioni di prefisso)
  • DropUrl:
    • 66.55.129[.196
    • auwhguahsdusahdsd[.com
    • hxxp:// auwhguahsdusahdsd[.com/REX/freddie.php?l=itnerd
    • hxxp:// auwhguahsdusahdsd[.com/REX/slick.php?utma=itnerc
    • hxxp:// auwhguahsdusahdsd[.com/NOC/itnera.class
    • hxxp:// auwhguahsdusahdsd[.com/NOC/itnerb.class
    • hxxp:// auwhguahsdusahdsd[.com/NOC/itnerc.class
    • hxxp:// auwhguahsdusahdsd[.com/NOC/itnerd.class
  • C2 (https):
    • 206.221.181[.251
    • bungisdiqndwijgnqwdok[.net
    • 66.55.129[.199
    • fwqfqkghsdjefgguhnasd[.net
    • omanghqhernafhvzhzxc[.com
  • Hash:
    • 100d5f69d62457f56ac013dfeb360c7a7fcb552f7aa8b9e0991420a1e0775057 doc
    • e23dbab02d02b46b380dcbb2f56cc6220d0449fde2075bfffabbe8588a25e2e9 doc
    • b618538a3e54a16b6d2b688202cb7866be5748bc57e7ac022aaa4d7cb9a61363 doc
    • 8b35505d4ad5f645f3130f89d2ebbaf39c74682cb3acee2f5a4a139cea2d5e20 hta
    • 0cbe0ac5a400dfc5bf5504805b8529ba010b2df702558693811ae4aa64202271 exe

Il consiglio è sempre di mantere elevata l’attenzione nella gestione dei propri messaggi di posta elettronica data l’elevata customizzazione raggiunta da queste campagne di attacco. Mantenere sempre un sistema di protezione aggiornato ed efficiente e verificare con frequenza i backup locali e di rete.

Per ogni chiarimento non esistate a contattarmi.

Recensioni, Sicurezza Informatica

Ripararsi solo da fuori, o anche da dentro?

Chi mi conosce o ha avuto occasione di leggere qualche post su questo sito, sa bene la crociata che combatto ogni giorno in favore della sicurezza informatica, strumento fondamentale per la difesa del dato sensibile aziendale (e non solo aziendale).

Quotidianamente mi misuro con nuove sfide andando a scoprire nuovi modi di attacco e loro mitigazione. Fino a qui tutto bene.  E allora questo titolo?
Beh, ovviamente non è una menzione casuale, oggi vi voglio raccontare una storia, forse accaduta o forse mai esistita, Voi prendetela come una proiezione virtuale di un disastro… reale!

C’era una volta una Azienda, di mestiere non fanno gli informatici ma hanno un IT interno molto attivo e una infrastruttura discretamente complessa a livello tecnologico. Nella fattispecie un headquarter con 3 CED attivi, due ridondati e uno per il Backup ed una ulteriore replica in Datacenter lontano 50 km (come da buona prassi per il Disaster Recovery).

L’infrastruttura virutale è basata su vmWare, con 5 nodi Esxi stretchati sui 2 CED, due storage condivisi e con HA attivo (per i meno avvezzi, l’HA consiste nello spostare automaticamente le vm residenti in un Nodo che si guasta su uno (o piu) nodi superstiti).
Parrebbe una situazione iper-protetta, ma sono sempre i dettagli a fare la differenza. Infatti il tecnicismo e le best-practice crollano su loro stessi quando c’è un fail di basso livello.

Ma torniamo alla storiella, un bel giorno nell’Azienda succede che un elettricista deve fare dei test di sopravvivenza su un gruppo di continuità che ha alcuni problemi. Sulla carta questo gruppo dovrebbe alimentare, in caso di mancanza di corrente, solo un piccolo armadio contenente i devices della videosorveglianza, impatto sulla business continuity pari a zero, sempre sulla carta. Per fare questo test deve togliere alimentazione alla linea interessata e … niente, il gruppo come si sospettava non era funzionante, viene ridata corrente alla linea.

Test finito. Sarebbe bello? Non è così.

Iniziano i primi sintomi di un problema, i PC perdono connettività alla rete LAN e a quella Internet. La posta elettronica e i server applicativi non funzionano (ma la manca la rete quindi sembra normale). L ‘IT inizia ad indagare su un possibile problema di rete, brancola un pò nel buio, per ora l’unica certezza è che qualche dispositivo critico (uno switch ?) è stato “toccato” dallo sbalzo elettrico necessario per effettuare il test. Ma come è possibile questa cosa?
Alcune ipotesi :
1 – Assenza totale di documentazione attendibile –  nessuno infatti è stato un grado di mostrare un pezzo di carta “autorevole” a documentare il reale stato dell’arte dell’impianto elettrico. Cosa fosse realmente connesso a quale linea elettrica e sotto quale Gruppo di Continuità;
2 – Errore nel cablare le alimentazioni – l’errore nella fattispecie sembra doppio, oltre al clamoroso sbaglio di collegare l’alimentazione di uno o più dispositivi delicati su una linea errata, o comunque su una linea non “coperta” dalla normale politica di protezione, c’è anche il madornale errore di aver collegato entrambe le alimentazioni sulla stessa linea. I dispositivi di rete di fascia medio-alta o comunque di uso “corporate” hanno tutti appositamente 2 alimentazioni in modo che in caso di guasto di una delle due, l’altra possa continuare a mantenere in vita il device. Questo significa che, per ulteriore sicurezza, è bene collegarle su due linee differenti, in questo caso avrebbe evitato il problema.

Ritorniamo al disastro.

Si indaga su un problema di rete, a questo punto pare evidente che uno dei dispositivi si è riavviato, lo acclarano anche entrando nei vari device e consultando l’uptime, pochi minuti di uptime può significare solo una cosa.

Ora si aprono vari scenari :
– Lo switch potrebbe aver  perso le configurazioni tornando al default (sarebbe un disastro colossale in quanto non viene estratto il backup della configurazione del device (altro sbaglio) ;
– Le modifiche più recenti sullo switch non erano state salvate (wr mem) e quindi sono andate perse, la coppia di switch è disallineata o mancano rotte fondamentali. In questo caso il problema potrebbe essere meno grave ma richiederebbe un lavoro devastante per riallineare tutto senza documentazione.

Dalle verifiche approfondite però emerge che il network non ha subito “danni” a livello di configurazione. Tutto è allineato gli up-link sono su, ma ancora non funziona nulla.
Nella fattispecie non funzionano le risoluzioni dei nomi (DNS), non ci si autentica sui server in RDP, non c’è responsività nello sfogliare i DB.
Di peggio c’è che non ci si riesce a collegare nemmeno al vCenter di vmWare per verificare lo stato delle macchine virtuali e dei nodi.

La motivazione  ve la riassumo brevemente:

La perdita di corrente ha causato il riavvio crudo degli switch che compongono lo stack di core e degli switch in fibra che interconnettono i nodi vm-ware con gli storage. La fibra caduta ha reso “indisponibile” lo storage ai nodi del CED1 attivando il processo di HA verso i nodi del CED 2. Il fatto però che la fibra sia caduta ha provocato anche che lo storage presente nel CED1 non abbia più potuto dialogare con il suo alter-ego nel CED2, i due storage si parlano via fibra e in backup su rame per capire come procedere se uno si spegne o ha dei problemi, essendo indisponibili entrambe le connessioni lo storage si è trovato in una situazione di “inconsapevolezza” sul come procedere, nel gergo split-brain.

Questo split-brain si è manifestato quando però il processo di HA era già partito e quindi si era creata una situazione in cui alcune macchine erano presenti su entrambe i sites, su nodi diversi che non sapevano chi fosse quella giusta da accendere. E anche se lo avessero saputo gli storage, in split-brain non rilasciavano le risorse necessarie alle VM per funzionare.

Un freeze totale. Il caos.
Questa la punta dell’Iceberg di una giornata di non-ordinaria follia. Che ha portato un fermo dei sistemi di 10 ore. 5 delle quali passate ad indagare su di una problematica totalmente fuorviante.
Dieci ore di fermo sistemi che si sarebbero potute evitare semplicemente posizionando correttamente le alimentazioni o quantomeno avendo una documentazione coerente con la realtà tale da indurre gli addetti ai lavori a prendere determinate precauzioni prima di procedere con test elettrici.

L’articolo si è fatto lungo quindi rimando a un futuro post i dettagli sulla mitigazione e risoluzione del problema.