Categorie
Reti Web

Geolocalizzare IP: cosa significa e come si fa

A ogni dispositivo direttamente collegato alla rete Internet è assegnato un indirizzo IP pubblico: tale indirizzo permette di raggiungere il dispositivo da qualunque altro host remoto. I sistemi collegati a una rete LAN condividono, grazie al meccanismo noto come NAT (Network Address Translation), uno stesso IP pubblico che è assegnato al router principale. Ogni dispositivo collegato in rete locale, si presenta ai sistemi remoti con l’IP pubblico assegnato al router ma internamente alla rete usa un IP privato.

Geolocalizzazione e IP pubblico

Abbiamo già visto come trovare il proprio indirizzo IP: tra i tanti strumenti per leggere l’IP pubblico, suggeriamo ipify.org che è in grado di rilevare e mostrare sia indirizzi IPv4 che IPv6. “Ma se non volessi cercare il mio IP bensì quello di un altro utente?”, è uno dei quesiti più “gettonati”.

Come abbiamo già visto tempo fa nell’articolo contenente le indicazioni su come scoprire dove si trova una persona dall’indirizzo IP, l’indirizzo IP di altri utenti si può trovare in molti modi, ad esempio esaminando le intestazioni (header) dei messaggi di posta (non è un suggerimento applicabile sempre e in ogni caso…) oppure, spesso, analizzando il traffico di rete con uno strumento come WireShark.

Geolocalizzare IP significa stabilire la posizione geografica associata a un indirizzo IP pubblico: tutte le più grandi aziende (e non solo) utilizzano (anche) questo approccio per stimare dove si trova fisicamente un utente.

I servizi online che usano strumenti per geolocalizzare IP: perché lo fanno

Ad esempio, i risultati della ricerca Google vengono personalizzati sulla base della posizione geografica dell’utente: in questo modo il motore di ricerca può fornire risultati più pertinenti a seconda di dove si trova una persona.

Le principali piattaforme di streaming video, inoltre, usano la geolocalizzazione IP per stabilire se il client connesso ha o meno diritto di accedere ai contenuti. Come abbiamo visto nell’articolo sulla portabilità transfrontaliera, infatti, i vari network che offrono servizi di streaming multimediale controllano anche l’indirizzo IP associato al dispositivo dell’utente: se appartiene, ad esempio, a un Paese diverso dall’Italia – per motivi di licenza – sono mostrati contenuti diversi oppure l’accesso non è affatto permesso (o viceversa viene consentito, a seconda degli accordi commerciali che ha in essere ciascuna piattaforma).

Da qui deriva il grande interesse da parte di una larga fetta di utenti per i servizi VPN: spesso osteggiati dalle piattaforme di streaming online, le VPN di terze parti consentono generalmente di superare le limitazioni geografiche e sbloccare l’accesso a contenuti normalmente non fruibili dall’Italia o da altre nazioni.

C’è però anche il rovescio della medaglia: la geolocalizzazione degli indirizzi IP non sempre è precisa e attendibile. Lo sanno bene gli abbonati ad alcune piattaforme di streaming italiane che nelle scorse settimane si sono trovati improvvisamente nell’impossibilità di fruire dei servizi regolarmente pagati. Perché? Perché gli indirizzi IP pubblici loro assegnati dai rispettivi operatori di telecomunicazioni venivano riconosciuti come stranieri (quindi non più italiani) dalle varie piattaforme video online.

La geolocalizzazione IP è infatti divenuta sempre più complicata: il motivo lo spiegheremo in breve tra poco.

Come funzionano i servizi di geolocalizzazione IP

I servizi di geolocalizzazione IP utilizzano una varietà di tecniche per determinare la posizione geografica associata a un determinato indirizzo IP. In generale, questi servizi raccolgono informazioni su come le diverse reti di computer sono collegate tra loro e sulle modalità con le quali esse risultano organizzate geograficamente. I servizi di geolocalizzazione IP possono utilizzare le seguenti tecniche:

  • Database di geolocalizzazione: Questo approccio consiste nell’utilizzo di database che contengono informazioni sulla posizione geografica di una vasta gamma di indirizzi IP. Questi database possono essere creati utilizzando informazioni provenienti da registri regionali, fornitori di servizi Internet, fornitori di contenuti e altre fonti.
  • Tracciamento delle rotte (routing): Questa tecnica utilizza le informazioni sulle rotte di rete utilizzate dai pacchetti IP per determinare la posizione geografica associata a un indirizzo IP pubblico. Ad esempio, il servizio di geolocalizzazione può analizzare le informazioni di routing utilizzate dai pacchetti IP tra un computer di origine e un server remoto per determinare la posizione geografica approssimativa dell’indirizzo IP. Del tracerouting parliamo ad esempio nell’articolo in cui spieghiamo come indagare sui pacchetti persi o packet loss.
  • Geolocalizzazione basata sul browser: In questo caso vengono utilizzati i dati condivisi dal browser Web dell’utente per determinarne la posizione geografica approssimativa. Se l’utente acconsente a inviare questa informazione, può essere direttamente presa in carico la posizione GPS fornita dal browser, ove disponibile (ad esempio sui dispositivi mobili).

L’attendibilità del risultato di geolocalizzazione IP può variare a seconda della tecnica utilizzata e della qualità dei dati disponibili. In generale, i servizi di questo tipo sono in grado di determinare la posizione geografica approssimativa di un indirizzo IP con un’approssimazione compresa tra pochi chilometri e diverse centinaia di chilometri.

Perché è utile geolocalizzare IP

Geolocalizzare IP è comunque utile in molteplici circostanze:

  • Controllo degli accessi: le aziende possono utilizzare la geolocalizzazione per limitare l’accesso alle loro risorse solo ai dispositivi che si trovano in determinate aree geografiche.
  • Analisi del traffico: i gestori di siti Web possono utilizzare la geolocalizzazione per ottenere informazioni sulla provenienza dei visitatori, ad esempio per fini statistici o pubblicitari; oppure per impedire registrazioni o accesso ai servizi da Paesi dai quali provengono spammer o attacchi.
  • Sicurezza: la geolocalizzazione IP può essere utilizzata per rilevare attività sospette o intrusioni da parte di indirizzi  appartenenti ad aree geografiche non autorizzate.

Come localizzare IP: i migliori servizi online

Esistono diversi strumenti e servizi online che consentono di geolocalizzare un indirizzo IP: alcuni di questi sono attivamente utilizzati dalle piattaforme streaming e da tanti altri soggetti per stabilire la posizione geografica del client.

Tra i migliori in assoluto c’è MaxMind GeoIP2: basta incollare, nell’apposito riquadro, l’elenco degli indirizzi IP da verificare per ottenere in pochi secondi la corrispondente posizione geografica stimata. Il servizio Locate My IP Address, offerto sempre da MaxMind, permette di localizzare il proprio indirizzo IP e di verificare l’attendibilità del meccanismo di controllo.

In alternativa, suggeriamo l’utilizzo di IPInfo.io, un altro servizio che fornisce informazioni sulle proprietà di un indirizzo IP, tra cui la posizione geografica approssimativa, il nome del provider di servizi Internet (ISP) corrispondente e altro ancora. L’applicazione Web restituisce il responso anche in formato JSON: gli sviluppatori possono così utilizzare l’output in tempo reale nelle rispettive applicazioni.

Database per la geolocalizzazione IP

Geolocation Database è uno strumento disponibile gratuitamente online che permette di stimare, a grandi linee, la posizione di un indirizzo IP pubblico. Nella pagina si trovano due fogli elettronici piuttosto pesanti in formato CSV che contengono i riferimenti a tutti i blocchi di IP e la loro corrispondente posizione geografica.

Un foglio elettronico si riferisce agli IPv4 mentre il secondo agli indirizzi IPv6. Per ogni record sono presenti le informazioni in figura e l’ultima colonna restituisce un indizio sull’accuratezza della stima.

Inutile dire che questi dati, continuamente aggiornati sul sito, possono essere importati in un database e utilizzati per effettuare controlli in proprio sulla posizione degli IP client che si collegano alle proprie app.

Dal punto di vista dello sviluppatore, un modo ancora migliore che restituisce risultati più precisi consiste nell’appoggiarsi a un worker Cloudflare. Tutte le richieste inviate a Cloudflare contengono infatti informazioni approssimative sulla posizione IP del client. Questo dato può essere agevolmente utilizzato nelle proprie applicazioni. Ne abbiamo parlato nell’articolo dedicato alle applicazioni Web serverless.

Perché la geolocalizzazione IP può fallire

Dicevamo in precedenza che la geolocalizzazione IP talvolta può restituire risultati inadeguati sbagliando completamente nell’identificare la posizione fisica degli utenti. Perché?

Innanzi tutto, sempre più operatori utilizzano il meccanismo CGNAT per condividere lo stesso indirizzo IP tra più soggetti che si trovano in luoghi fisici completamente diversi. Molti provider, inoltre, utilizzano più gateway che possono essere correlati a determinate aree geografiche.

data center che forniscono servizi cloud stanno registrando una rapida crescita; di conseguenza, gli operatori a volte diventano “creativi” quando si tratta di utilizzare gli indirizzi IP. Possono spostare gli indirizzi IP tra data center secondo le necessità, cosa che potrebbe non riflettersi nei database di geolocalizzazione.

Inoltre, gli utenti che fanno uso di servizi VPN di terze parti escono sulla rete Internet con l’indirizzo IP del nodo di uscita della VPN (che è diverso dall’IP pubblico assegnato al dispositivo dell’utente da parte dell’operatore di telecomunicazioni).

Nel caso di alcune VPN, è possibile accertare che l’utente sta effettivamente usando un servizio di questo tipo ma non sempre è possibile stabiliarlo con certezza.

Categorie
Sicurezza Vulnerabilità

Falsi aggiornamenti browser: allarme per una nuova campagna malware

Una campagna malware, che fa leva su falsi aggiornamenti dei browser, si sta rapidamente diffondendo online.

Attraverso un report proposto dai ricercatori di Rapid7, è stato possibile individuare questa strategia malevole che sfrutta file binari dannosi e un loader, per distribuire diversi infostealer come StealC, Lumma e Amadey.

Nonostante questo tipo di strategia non sia nuova, questa campagna si dimostra alquanto avanzata e preoccupante, anche vista la raffinatezza degli agenti malevoli utilizzati dai cybercriminali.

Rapid7 ha scoperto il lodader in questione, chiamato IDAT, nel luglio 2023. Questo si avvale di alcune tecniche avanzate per risultare più efficace, come il processo di Doppelganging e Heaven’s Gate (Un metodo per eseguire codice a 64 bit in un processo a 32 bit sfruttato dai criminali informatici per mascherare malware)..

Prima di questa tecnica, gli autori delle minacce utilizzavano file JavaScript dannosi per connettersi ai server C2 o distribuire dei RAT.

I falsi aggiornamenti browser possono costare molto caro alle vittime

IDAT è uno dei caricatori più recenti e sofisticati utilizzati attivamente dagli autori delle minacce per eseguire infostealer e agenti malevoli simili. Questo è offuscato sfruttando DLL caricati da programmi legittimi come VMWarehost, Python e Windows Defender sfruttando anche i suddetti fantomatici aggiornamenti del browser.

Il pericolo concreto, così come con tutti gli infostealer, è quello di subire la perdita di dati sensibili: si spazia dai cookie del browser, fino alla cronologia di navigazione, finendo ovviamente in ambiti ancora più critici, come password e credenziali delle carte di credito.

Come evitare rischi? Oltre all’adozione di un antivirus di alto livello e a un elevato grado di prudenza, è bene valutare bene quando vengono proposti aggiornamenti (del browser e non solo).

In caso di dubbio può essere utile, per esempio, non accettare eventuali download ma controllare prima sul sito ufficiale del browser. Se è vero che Chrome propone costanti aggiornamenti per la sicurezza, è bene controllare che le patch siano effettive e non una semplice esca.

Categorie
Browser Sicurezza

Navigazione sicura Chrome: differenza tra protezione avanzata e standard

A partire dal 2007, Google ha arricchito il suo browser Chrome con la funzione Navigazione sicura (Safe Browsing, in inglese). Si tratta di uno strumento che protegge gli utenti dalle pagine Web che ospitano malware e intentano attacchi phishing. Nel momento in cui si provasse a visitare un sito dannoso, Chrome mostra un messaggio d’allerta visualizzando una schermata a sfondo rosso.

Per accedere alla configurazione della funzione Navigazione sicura, basta digitare chrome://settings/security nella barra degli indirizzi di Google Chrome. Sono previste tre possibili impostazioni: Protezione avanzata, Protezione standard e Nessuna protezione.

Google ha annunciato a settembre 2023 che sta attivando la protezione antiphishing in tempo reale per tutti gli utenti, anche per coloro che utilizzano la Protezione standard nel browser Chrome.

Navigazione sicura: differenza tra Protezione avanzata e standard in Chrome

Escludendo l’opzione Nessuna protezione, che disattiva qualunque forma di difesa contro i siti Web dannosi o potenzialmente tali, Protezione standard provvede a confrontare gli indirizzi delle pagine Web che si stanno visitando un elenco di URL memorizzato in ambito locale. Quando vi fosse una corrispondenza, la funzione di Navigazione sicura espone un avviso a tutta pagina.

Per offrire un livello di sicurezza ancora maggiore, nel 2020 Google ha introdotto l’opzione Protezione avanzata che assicura una difesa in tempo reale. Questo è possibile perché anziché limitarsi a una lista di URL locale, la funzione confronta gli indirizzi dei siti visitati con un database Google disponibile sul cloud che è continuamente aggiornato.

La Protezione avanzata, tuttavia, invia a Google tutti gli URL visitati dall’utente sul suo dispositivo, download compresi, con l’intento di verificare se sono dannosi o meno. Inoltre, Google acquisisce un piccolo campione del contenuto delle pagine per scoprire eventuali nuove minacce.

Differenza protezione avanzata e standard Chrome

Chrome porta la tecnica di difesa in tempo reale anche nella Protezione standard

Con un annuncio pubblicato in questi giorni, incentrato sulle novità di Chrome per i suoi 15 anni di attività, Google ha spiegato che la protezione in tempo reale da siti malevoli e attacchi phishing è in corso di attivazione per tutti gli utenti che hanno scelto la difesa standard.

I tecnici dell’azienda di Mountain View precisano infatti che l’elenco di Navigazione sicura ospitato localmente viene aggiornato solo ogni 30-60 minuti, ma il 60% di tutti i domini di phishing rimane attivo solo per 10 minuti. Ciò crea un intervallo di tempo significativo che lascia le persone non protette da nuovi URL dannosi.

Riducendo il tempo che intercorre tra l’identificazione e la prevenzione delle minacce, Google si aspetta di vedere un miglioramento del 25% nella protezione da malware e minacce phishing.

Nel caso della protezione standard (opzione predefinita per la navigazione sicura in Chrome), il controllo in tempo reale degli URL avviene in modo da rispettare ancor più la privacy degli utenti. Il fulcro del meccanismo poggia sui relay HTTP Fastly Oblivious.

Il protocollo Oblivious inoltra gli URL parzialmente sottoposti ad hashing al motore di Navigazione sicura disponibile sui server Google senza esporre le informazioni private degli utenti, come indirizzi IP e intestazioni delle richieste. L’unico svantaggio di questo approccio, rispetto ad esempio a quanto avviene con l’opzione Protezione avanzata, deriva dal fatto che Google non è in grado di determinare euristicamente se un URL è dannoso. La protezione è insomma in tempo reale ma si basa comunque su un elenco aggiornato continuamente dall’azienda sul cloud.

Google precisa che i dati trasmessi sui suoi server nell’ambito della funzione di Navigazione sicura, non sono in ogni caso utilizzati per finalità di marketing e per mostrare annunci pubblicitari.

Categorie
Browser news

Chrome: presto possibile condividere password con altre 6 persone?

Google Chrome

Google Chrome
Google Chrome

potrebbe presto aggiungere una funzionalità di condivisione della password che consente agli utenti di condividere tale informazione con altri membri della famiglia.

Sebbene il Gestore delle password di Chrome sia uno strumento molto utile e sicuro, anche grazie alle recenti funzioni introdotte, allo stato attuale non è possibile condividere le parole d’accesso con altri account.

Proprio per questo motivo, gli sviluppatori di Chrome sarebbero a lavoro su una soluzione pratica, ma anche in grado di garantire un livello di sicurezza elevato. Secondo l’opinione dell’utente Leopeva64, espressa attraverso il sito Android Police, sul browser vi sono già degli indizi nascosti che non lascerebbero dubbi riguardo la futura integrazione.

A quanto pare, la funzione consentirà agli utenti di condividere le password con altri membri del proprio gruppo familiare Google. Ciò significa che un utente Chrome desidera condividere le password con altri, può farlo creando un gruppo familiare per un massimo di sei membri complessivi.

Condividere le password di Chrome con la propria famiglia sarà molto più facile

Leopeva64 ha probabilmente dato un’occhiata al codice già presente sul browser, individuando alcune porzioni che lasciano intuire il futuro funzionamento di questa nuova feature.

A quanto pare è già pronto un pulsante di condivisione nel Gestore delle password, che permetterà di condividere le credenziali con uno o più membri del nucleo familiare. In caso di mancanza di un gruppo, un’apposita finestra di dialogo dovrebbe informare rispetto a tale lacuna e proporre la creazione di tale gruppo.

La condivisione sicura delle password non è una novità assoluta in questo settore: i gestori di terze parti, infatti, propongono soluzioni molto simili sia per contesti familiari che per la gestione di credenziali nel contesto lavorativo.

Di fatto, però, questa scelta avvicina il Gestore delle password di Chrome a tanti altri servizi avanzati, molti dei quali a pagamento.

Categorie
news Vulnerabilità

Allarme DotRunpeX: l’injector diffonde 18 diversi tipi di malware

Online si sta diffondendo un nuovo injector .NET alquanto temibile, conosciuto come DotRunpeX.

Questo agente malevolo utilizza la tecnica Process Hollowing, attraverso la esso è in grado di distribuire a sua volta una vasta gamma di altri famiglie malware. Grazie all’instancabile lavoro dei ricercatori di sicurezza informatica di Check Point, è stato possibile scoprire la strategia adottata dai cybercriminali durante questa campagna.

Gli esperti hanno inoltre confermato in un rapporto inviato a Cyber Security News che tale injector si sta sviluppando e evolvendo rapidamente, rendendo il lavoro di classificazione e contrasto ancora più difficile.

Nello specifico, l’ultima versione di DotRunpeX risulta altamente configurabile, con funzioni adibite all’aggiramento di protezioni rispetto alla crittografia e blocco di sistemi anti-malware. A ciò si aggiungono tecniche di bypass dell’UAC, abuso del driver procexp (anch’esso finalizzato a contrastare antivirus e simili).

Segno distintivo dell’injector è però la varietà di malware che, a seconda del caso, può distribuire sui dispositivi delle vittime. Tra di essi figurano:

  • AgentTesla
  • ArrowRAT
  • AsyncRat
  • AveMaria/WarzoneRAT
  • BitRAT
  • Formbook
  • LgoogLoader
  • Lokibot
  • NetWire
  • PrivateLoader
  • QuasarRAT
  • RecordBreaker – Raccoon Stealer 2.0
  • Redline
  • Remcos
  • Rhadamanthys
  • SnakeKeylogger
  • Vidar
  • XWorm.

Tra di essi, come è facile notare, figurano alcuni tra i malware più temuti degli ultimi anni.

DotRunpeX è in continua mutazione: come limitare i rischi

Altra caratteristica di DotRunpeX è che, come tanti altri agenti malevoli simili, sfrutta siti Web compromessi o e-mail phishing come principali vettori, pur non disdegnando ads malevole su Google.

Come ricordato dagli esperti, l’injector in questione sta acquisendo con una rapidità impressionante nuove funzionalità. Proprio per questo, gli stessi consigliano agli utenti massima cautela per evitare di incentivare il propagarsi di questo agente malevolo.

Fare grande attenzione alla posta elettronica, evitando link e allegati sospetti, è di certo un ottimo modo per contrastare, perlomeno in parte, i rischi legati a DotRunpeX. L’utilizzo di un antivirus di alto livello, soprattutto se aggiornato con costanza, può ulteriormente mitigare i rischi.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Categorie
news Windows

Microsoft rilascia Edge 116: ecco le 2 principali novità

Con il rilascio di Microsoft Edge 116 nel giorno di ieri, 21 agosto 2023, sono state introdotte alcune interessanti novità per questo browser.

Come prevedibile, la priorità per gli sviluppatori Microsoft è stata la sicurezza. A tal proposito, si parla di correzioni rispetto a vulnerabilità che mettono a rischio un po’ tutti i browser basati su Chromium.

Queste falle di sicurezza, seppur considerate di livello medio-basso per quanto riguarda il rischio, interessano due aspetti critici come privilegi all’interno del sistema operativo e divulgazione delle informazioni. A tal proposito, inoltre, sono stati risolti ben altri 21 potenziali problemi di minore entità.

A catturare maggiormente l’occhio degli utenti, però, sono senza dubbio altre due funzionalità apparse nelle note del rilascio. La prima riguarda Windows 10 ed è la possibilità di collegare la barra laterale di Edge al desktop.

Per impostazione predefinita, Microsoft Edge visualizza una barra laterale sul lato destro della finestra del browser. Questa offre degli strumenti personalizzabili oltre ad opzioni di ricerca, vari altri servizi e anche la possibilità di aggiungere scorciatoie personalizzate per determinati siti Web.

Gli utenti di Windows 10 possono attivare il pulsante “detach from Edge” sulla sidebar per collegare la barra laterale al desktop. Questa andrà letteralmente a “staccarsi” per restare a portata di clic dell’utente, anche se Edge è stato chiuso.

Microsoft Edge 116: patch di sicurezza e non solo

Microsoft ha affermato a tal proposito “Come esperienza di utilizzo in Windows 10, gli utenti possono collegare la barra laterale al desktop facendo clic su un’icona popout vicino alla base della barra laterale nel browser. Ciò consente un’esperienza affiancata che funziona con qualsiasi app Windows, incluso lo stesso browser. Gli utenti godono di un accesso semplificato allo stesso set di potenti strumenti di intelligenza artificiale e servizi basati sul Web, incluso Bing Chat, senza aprire una finestra del browser, migliorando la produttività“.

A tal proposito, però, vi sono anche possibili novità in futuro. Microsoft, infatti, ha confermato che ha intenzione di lavorare per arricchire la barra laterale con ulteriori funzioni.

La seconda funzionalità, già annunciata negli scorsi giorni, è Microsoft Edge for Business. Questo è uno strumento apposito per la gestione aziendale, capace di offrire un’esperienza utente del browser adatta anche a chi utilizza lo stesso nel contesto prettamente lavorativo.

Le installazioni esistenti del browser dovrebbero ricevere l’aggiornamento automaticamente, grazie alla funzionalità di aggiornamento integrata. Risulta comunque possibile verificare la versione installata digitando edge://settings/help nella barra degli indirizzi del browser e premendo il tasto invio.

Categorie
news Vulnerabilità

Allarme malware HiatusRAT: sta arrivando anche in Europa?

Il trojan HiatusRAT, dopo una lunga pausa, è tornato con una nuova e temibile campagna malware.

Stiamo parlando, almeno al momento, di un’ondata di attività considerata come “ricognizione” in cui i target principali sono organizzazioni con sede a Taiwan e alcuni punti del sistema di approvvigionamento militare americano.

Sebbene al momento il malware si sta concentrando su queste due nazioni, non è detto che in futuro HiatusRAT possa virare le proprie attività verso altri territori, incluso quello europeo.

Secondo la società di sicurezza informatica Lumen Black Lotus Labs, in un rapporto pubblicato la scorsa settimana, si tratta di una delle azioni “più audaci” per malware di questo tipo, con tutti i segnali che sembrano confermare come le attività di tale RAT non siano destinate a diminuire nelle prossime settimane.

Secondo gli esperti, la massiccia campagna sfrutta alcuni servizi di server privati virtuali (VPS) durante il suo lavoro di diffusione malware. L’identità dei cybercriminali dietro tale azione, al momento, sono ancora sconosciute.

HiatusRAT, una delle campagne malware “più audaci” degli ultimi tempi

Gli obiettivi di HiatusRAT sono stati, finora, attività produttive o commerciali (soprattutto produttori di semiconduttori e prodotti chimici) oltre ad almeno un’organizzazione del governo municipale di Taiwan, nonché un server del Dipartimento della Difesa degli Stati Uniti.

L’ultima serie di attacchi, osservata da metà giugno ad agosto 2023, comporta l’uso di binari HiatusRAT predefiniti, progettati specificamente per le architetture ARM, Intel 80386 e x86-64 così come MIPS, MIPS64 e i386.

Un’analisi telemetrica per determinare le connessioni effettuate al server che ospita il malware ha rivelato che “oltre il 91% delle connessioni in entrata proveniva da Taiwan e sembrava esserci una preferenza per i dispositivi edge prodotti da Ruckus“.

Sebbene il pericolo sia attualmente distante dai nostri territori, il consiglio è quello di mantenere sempre alta l’allerta. In tal senso, oltre all’adozione di un antivirus di alto livello, è bene evitare e-mail sospette, relativi allegati o link che possono direzionare l’utente verso siti potenzialmente dannosi.

Categorie
news Vulnerabilità

Sembra un semplice ads di Amazon su Google ma in realtà è una truffa

Di recente è stato individuato un annuncio su Google che, seppur dall’aspetto regolare, in realtà veicola una truffa in piena regola.

L’ads in questione, a quanto pare, farebbe riferimento ad Amazon e, al passaggio del mouse sul link, andrebbe a riportare un URL del tutto legittimo verso tale piattaforma. Nonostante queste premesse, basta un clic all’utente per avviare un vero e proprio incubo.

Una volta aperta la pagina, infatti, mostra un avviso di Microsoft Defender in cui viene proposto un fittizio supporto tecnico, pronto ad intervenire per un fantomatico malware presente sulla macchina.

Queste truffe del supporto tecnico sono difficili da individuare: il browser, infatti, passa immediatamente a schermo intero. Ciò rende sia difficile uscire dalla pagina, facendo anche leva su un senso d’urgenza che trae in inganno la maggior parte degli utenti.

Il sito di  BleepingComputer ha contattato sia Google che Amazon in merito a questo caso di  malvertising fino a questo momento.

Il caso dell’ads di Amazon su Google? Solo l’ultimo di una lunga serie

Questo modus operandi, va detto, è tutt’altro che una novità. Nel giugno 2022, Malwarebytes ha scoperto un annuncio YouTube dall’aspetto legittimo che utilizzava anche l’URL della piattaforma, proponendo la stessa truffa del supporto tecnico.

D’altro canto, quando si parla di ads su Google le truffe sono molto diffuse, con diversi casi recenti che riguardano anche ransomware e altri agenti malevoli diffusi attraverso il celebre motore di ricerca.

In questo contesto, dunque, è bene porre grande attenzione a ciò che accade a schermo. Un comportamento come l’improvvisa apparizione di un messaggio a tutto schermo, con testo che spinge sull’urgenza, non deve scatenare il panico.

Se il computer dispone già di un antivirus adeguato, questo avrà già bloccato l’eventuale malware. Al di là di questo, è bene mantenere aggiornato il proprio software, il browser e lo stesso antivirus su tutti.

Categorie
Browser news

Internet Explorer debuttava 28 anni fa e non è ancora morto: ecco perché

Correva il mese di agosto 1995 quando fu presentata la prima versione del browser Internet Explorer (IE) insieme con lo storico sistema operativo Windows 95. Sono in tanti, infatti, a collegare la nascita ufficiale di Internet Explorer al lancio del sistema operativo ibrido a 16 e 32 bit di Microsoft. In realtà la società di Redmond svelò il browser qualche giorno prima, intorno a ferragosto.

Con Internet Explorer, Microsoft voleva cavalcare le osservazioni e le intuizioni che Bill Gates affidò alcuni mesi prima al suo celeberrimo memorandum “The Internet Tidal Wave“, uno scritto che suggeriva l’impatto rivoluzionario che avrebbe introdotto di lì a poco la rete Internet sulla quotidianità e sulla vita di ciascun individuo.

Com’è nato Internet Explorer

Lo sviluppo di Internet Explorer, per stessa ammissione dei programmatori Microsoft coinvolti nel progetto, è iniziato a ottobre 1994 mentre a dicembre dello stesso anno Thomas Reardon di Microsoft acquisì in licenza il codice sorgente del browser Mosaic, uno dei primi browser Web con interfaccia grafica, realizzato presso il National Center for Supercomputing Applications (NCSA) dell’Università dell’Illinois. Il codice di Mosaic, tuttavia, non fu mai sfruttato per gettare le basi di Internet Explorer.

Internet Explorer 1.0 era un browser web piuttosto scarno: era soltanto in grado di gestire codice HTML basico e supportava esclusivamente Windows 95. Microsoft iniziò a distribuirlo nel pacchetto Plus! 95, prodotto software offerto a chi voleva connettersi alla rete Internet. Alcuni mesi dopo fu la volta di Internet Explorer 1.5 che aggiunse il supporto per Windows NT e, ad esempio, il rendering delle tabelle HTML.

Le tensioni con gli sviluppatori del browser Mosaic

Microsoft aveva stretto un accordo con Spyglass, azienda che a metà degli anni ’90 costituiva una propaggine di NCSA. L’intesa prevedeva il riutilizzo del codice di Mosaic nella prima versione di Internet Explorer a fronte del versamento, da parte di Gates e dei “suoi”, di una quota trimestrale insieme a una percentuale dei suoi ricavi derivanti dalla vendita del browser agli utenti finali. In realtà, com’è noto, Microsoft rilasciò gratuitamente Internet Explorer. Spyglass citò in giudizio Microsoft, sostenendo di aver ricevuto dalla società solo la quantità minima di denaro trimestrale spettante. Le due aziende si accordarono nel 2017, con Microsoft che versò a Spyglass una somma pari a 8 milioni di dollari.

Già lo sviluppo iniziale di Internet Explorer durò pochi mesi: l’esigenza di proporlo come soluzione accessoria per Windows 95 era pressante. Nel novembre 1995, tuttavia, fu già la volta della seconda versione del browser per Windows 95 e Windows NT. Quella release aggiunse molte funzionalità, compreso il supporto per JavaScript, HTML 3.0 e per i cookie. Nel 1996, Microsoft svelò le versioni del browser per i sistemi Mac e per il precedente Windows 3.1.

La storia del browser Microsoft in breve

La lunga storia di Internet Explorer è caratterizzata sia da successi che da cocenti sconfitte. Proviamo a ricordare qualche data importante:

Anno 1995. IE 1.0 fu rilasciato come parte di Windows 95. Inizialmente, IE aveva una piccola quota di mercato rispetto ai browser concorrenti come Netscape Navigator.

Anno 1997. Con l’introduzione di Internet Explorer 4, Microsoft ha iniziato a guadagnare terreno nel mercato dei browser. Questa versione di Internet Explorer ha introdotto funzionalità  “inedite” ed è stata inclusa anche in Windows 98.

Anno 1998. A maggio 1998 iniziò una delle vertenze legali più significative nella storia dell’industria tecnologica. Il Dipartimento di Giustizia USA e diversi Stati si coalizzarono contro Microsoft accusando la società di abuso della posizione dominante. Microsoft fu accusata di aver legato IE al sistema operativo, rendendo il browser parte integrante di Windows e ostacolando la concorrenza nel mercato dei browser Web. Quella causa fu la più grande fonte di preoccupazione per Bill Gates che ammise il suo impatto devastante sulle sorti di Microsoft e sullo sviluppo del suo business: “oggi avreste usato tutti Windows Mobile se non fosse per quella vertenza“, ha dichiarato di recente.

Anno 2002. IE ha raggiunto le sue massime quote di mercato all’inizio degli anni 2000. Fu allora che il browser Microsoft deteneva una quota di mercato superiore al 90%, configurandosi come il browser dominante.

L’arrivo dei browser alternativi a Internet Explorer

Anno 2004. Eccezion fatta per le versioni non definitive del browser rilasciate in tempi precedenti, all’inizio del 2004 Mozilla Firefox fu rilasciato come browser “stand alone” open source. Iniziò a guadagnare rapidamente popolarità ai danni di Internet Explorer. Le massime quote di mercato di Mozilla Firefox sono state raggiunte principalmente tra il 2009 e il 2011.

Gli sviluppatori e tanti utenti contestavano il comportamento di IE, spesso ritenuto un browser poco aderente agli standard per il Web e causa di non pochi mal di testa per chi cercava di sviluppare siti e applicazioni il più possibile interoperabili.

Anno 2008. Google ha introdotto Chrome, che ha rapidamente guadagnato quote di mercato grazie alla sua velocità e alle nuove funzionalità.

Anno 2015. Microsoft ha presentato Edge come successore di Internet Explorer. Edge era progettato per essere più moderno, veloce e sicuro. Tuttavia, Internet Explorer è rimasto in uso in molte organizzazioni e settori che richiedevano compatibilità con le applicazioni legacy.

Anno 2019. Microsoft ha annunciato che il supporto per Internet Explorer in Windows sarebbe stato interrotto a partire dal giugno 2022. Il ritiro vero e proprio dello storico software è arrivato però solamente a giugno 2023.

Perché Internet Explorer è presente ancora oggi in Windows

Lo storico browser di casa Microsoft è stato ufficialmente abbandonato a metà giugno 2023. Un aggiornamento di Edge lo ha disabilitato in tutti i sistemi operativi Windows più recenti, quelli ancora supportati dalla società di Redmond.

La modalità Internet Explorer (o IE Mode) inclusa in Edge è un meccanismo che “fino a ieri” permetteva di caricare con il motore di rendering del vecchio browser tutti i siti e le applicazioni non compatibili. Adesso, con l’aggiornamento di giugno scorso, non è più possibile aprire alcuna pagina Web con Internet Explorer.

Come dimostrato da più parti, però, il codice di IE è ancora presente in Windows. Compreso Windows 11 che, a detta dei portavoce di Microsoft, non avrebbe dovuto contenere alcun riferimento al vecchio browser. In realtà Internet Explorer è ancora presente in Windows 11 dietro le quinte.

Inoltre, la disattivazione della IE Mode funziona in realtà come una sorta di semplice “interruttore” perché il codice di base del browser è ancora presente. Lo dimostrano gli autori del progetto IEModeExpiryFix che spiegano come continuare a usare eventualmente la modalità compatibile in Edge per gli anni a venire.

IEModeExpiryFix attiva di nuovo la modalità compatibilità: un aiuto per chi usa software legacy

Incredibilmente (ma purtroppo è così) tanti software per la gestione delle telecamere e di DVR utilizzano ancora oggi componenti obsoleti come gli ActiveX. Allo stesso modo, Internet Explorer rimane un requisito per il corretto funzionamento di alcuni vecchi software gestionali.

Gli autori di IEModeExpiryFix hanno voluto venire incontro proprio agli utenti di questi software permettendo la riattivazione di IE Mode con un semplice script VBScript o PowerShell (è possibile usare indifferentemente l’uno o l’altro).

I due script impostano automaticamente la scadenza della modalità IE al 2099, anche se è eventualmente possibile impostare qualunque data alternativa.

Categorie
news Sicurezza informatica Vulnerabilità

Nuova campagna del ransomware Cuba: allarme exploit Veeam

Una nuova campagna legata al ransomware Cuba si sta rapidamente diffondendo online, sfruttando una strategia complessa e articolata. La sicurezza informatica è ancora sotto attacco.

Secondo gli esperti del team Threat Research and Intelligence di BlackBerry, questa operazione sta coinvolgendo infrastrutture critiche nel territorio americano, prediligendo invece aziende IT in Sud America. Nonostante al momento non siano stati registrati casi in Europa, non è detto che questa campagna sposti le sue mire sul vecchio continente in un prossimo futuro.

L’operazione, individuata nel corso di giugno 2023, va a sfruttare una falla di sicurezza individuata tre mesi prima sui prodotti Veeam Backup & Replication (nome in codice CVE-2023-27532). La vulnerabilità, tra le altre cose, è già stata sfruttata da un gruppo di cybercriminali.

WithSecure, infatti, ha riferito che FIN7 (altro gruppo legato all’ambiente ransomware), ha sfruttato attivamente CVE-2023-27532 per i propri scopi illeciti.

Come funziona la nuova tattica di diffusione del ransomware Cuba

Per la diffusione del ransomware Cuba, il vettore di accesso principale utilizzato è una  compromissione delle credenziali di amministratore tramite RDP.

Una volta ottenuto un primo accesso, viene caricato sulla macchina compromessa un downloader, creato dal gruppo stesso, che viene chiamato BugHatch. Questo va a stabilire una comunicazione con il server di comando, scaricando ulteriori file DLL ed eseguendo i comandi del caso.

Per portare a buon fine l’attacco, Cuba adotta l’ormai diffusa tecnica BYOVD (Bring Your Own Vulnerable Driver) per disattivare gli strumenti di protezione degli endpoint. Inoltre, utilizza lo strumento noto come BurntCigar al fine di terminare i processi del kernel legati al contesto di sicurezza e protezione della macchina.

La gang di cybercriminali di cui stiamo parlando, secondo alcune indagini, sarebbe originaria della Russa. Questa deduzione è tratta dal fatto che, i loro attacchi ransomware, andrebbero ad escludere i dispositivi che utilizzano un layout di tastiera in lingua russa. Il gruppo, presente sulla scena da quattro anni, risulta ad oggi uno dei più attivi dell’intero settore.

Vai all’archivio della categoria: sicurezza-informatica