Categorie
Sicurezza Vulnerabilità

Falsi aggiornamenti browser: allarme per una nuova campagna malware

Una campagna malware, che fa leva su falsi aggiornamenti dei browser, si sta rapidamente diffondendo online.

Attraverso un report proposto dai ricercatori di Rapid7, è stato possibile individuare questa strategia malevole che sfrutta file binari dannosi e un loader, per distribuire diversi infostealer come StealC, Lumma e Amadey.

Nonostante questo tipo di strategia non sia nuova, questa campagna si dimostra alquanto avanzata e preoccupante, anche vista la raffinatezza degli agenti malevoli utilizzati dai cybercriminali.

Rapid7 ha scoperto il lodader in questione, chiamato IDAT, nel luglio 2023. Questo si avvale di alcune tecniche avanzate per risultare più efficace, come il processo di Doppelganging e Heaven’s Gate (Un metodo per eseguire codice a 64 bit in un processo a 32 bit sfruttato dai criminali informatici per mascherare malware)..

Prima di questa tecnica, gli autori delle minacce utilizzavano file JavaScript dannosi per connettersi ai server C2 o distribuire dei RAT.

I falsi aggiornamenti browser possono costare molto caro alle vittime

IDAT è uno dei caricatori più recenti e sofisticati utilizzati attivamente dagli autori delle minacce per eseguire infostealer e agenti malevoli simili. Questo è offuscato sfruttando DLL caricati da programmi legittimi come VMWarehost, Python e Windows Defender sfruttando anche i suddetti fantomatici aggiornamenti del browser.

Il pericolo concreto, così come con tutti gli infostealer, è quello di subire la perdita di dati sensibili: si spazia dai cookie del browser, fino alla cronologia di navigazione, finendo ovviamente in ambiti ancora più critici, come password e credenziali delle carte di credito.

Come evitare rischi? Oltre all’adozione di un antivirus di alto livello e a un elevato grado di prudenza, è bene valutare bene quando vengono proposti aggiornamenti (del browser e non solo).

In caso di dubbio può essere utile, per esempio, non accettare eventuali download ma controllare prima sul sito ufficiale del browser. Se è vero che Chrome propone costanti aggiornamenti per la sicurezza, è bene controllare che le patch siano effettive e non una semplice esca.

Categorie
Browser Sicurezza

Navigazione sicura Chrome: differenza tra protezione avanzata e standard

A partire dal 2007, Google ha arricchito il suo browser Chrome con la funzione Navigazione sicura (Safe Browsing, in inglese). Si tratta di uno strumento che protegge gli utenti dalle pagine Web che ospitano malware e intentano attacchi phishing. Nel momento in cui si provasse a visitare un sito dannoso, Chrome mostra un messaggio d’allerta visualizzando una schermata a sfondo rosso.

Per accedere alla configurazione della funzione Navigazione sicura, basta digitare chrome://settings/security nella barra degli indirizzi di Google Chrome. Sono previste tre possibili impostazioni: Protezione avanzata, Protezione standard e Nessuna protezione.

Google ha annunciato a settembre 2023 che sta attivando la protezione antiphishing in tempo reale per tutti gli utenti, anche per coloro che utilizzano la Protezione standard nel browser Chrome.

Navigazione sicura: differenza tra Protezione avanzata e standard in Chrome

Escludendo l’opzione Nessuna protezione, che disattiva qualunque forma di difesa contro i siti Web dannosi o potenzialmente tali, Protezione standard provvede a confrontare gli indirizzi delle pagine Web che si stanno visitando un elenco di URL memorizzato in ambito locale. Quando vi fosse una corrispondenza, la funzione di Navigazione sicura espone un avviso a tutta pagina.

Per offrire un livello di sicurezza ancora maggiore, nel 2020 Google ha introdotto l’opzione Protezione avanzata che assicura una difesa in tempo reale. Questo è possibile perché anziché limitarsi a una lista di URL locale, la funzione confronta gli indirizzi dei siti visitati con un database Google disponibile sul cloud che è continuamente aggiornato.

La Protezione avanzata, tuttavia, invia a Google tutti gli URL visitati dall’utente sul suo dispositivo, download compresi, con l’intento di verificare se sono dannosi o meno. Inoltre, Google acquisisce un piccolo campione del contenuto delle pagine per scoprire eventuali nuove minacce.

Differenza protezione avanzata e standard Chrome

Chrome porta la tecnica di difesa in tempo reale anche nella Protezione standard

Con un annuncio pubblicato in questi giorni, incentrato sulle novità di Chrome per i suoi 15 anni di attività, Google ha spiegato che la protezione in tempo reale da siti malevoli e attacchi phishing è in corso di attivazione per tutti gli utenti che hanno scelto la difesa standard.

I tecnici dell’azienda di Mountain View precisano infatti che l’elenco di Navigazione sicura ospitato localmente viene aggiornato solo ogni 30-60 minuti, ma il 60% di tutti i domini di phishing rimane attivo solo per 10 minuti. Ciò crea un intervallo di tempo significativo che lascia le persone non protette da nuovi URL dannosi.

Riducendo il tempo che intercorre tra l’identificazione e la prevenzione delle minacce, Google si aspetta di vedere un miglioramento del 25% nella protezione da malware e minacce phishing.

Nel caso della protezione standard (opzione predefinita per la navigazione sicura in Chrome), il controllo in tempo reale degli URL avviene in modo da rispettare ancor più la privacy degli utenti. Il fulcro del meccanismo poggia sui relay HTTP Fastly Oblivious.

Il protocollo Oblivious inoltra gli URL parzialmente sottoposti ad hashing al motore di Navigazione sicura disponibile sui server Google senza esporre le informazioni private degli utenti, come indirizzi IP e intestazioni delle richieste. L’unico svantaggio di questo approccio, rispetto ad esempio a quanto avviene con l’opzione Protezione avanzata, deriva dal fatto che Google non è in grado di determinare euristicamente se un URL è dannoso. La protezione è insomma in tempo reale ma si basa comunque su un elenco aggiornato continuamente dall’azienda sul cloud.

Google precisa che i dati trasmessi sui suoi server nell’ambito della funzione di Navigazione sicura, non sono in ogni caso utilizzati per finalità di marketing e per mostrare annunci pubblicitari.

Categorie
news Sicurezza informatica Vulnerabilità

Nuova campagna del ransomware Cuba: allarme exploit Veeam

Una nuova campagna legata al ransomware Cuba si sta rapidamente diffondendo online, sfruttando una strategia complessa e articolata. La sicurezza informatica è ancora sotto attacco.

Secondo gli esperti del team Threat Research and Intelligence di BlackBerry, questa operazione sta coinvolgendo infrastrutture critiche nel territorio americano, prediligendo invece aziende IT in Sud America. Nonostante al momento non siano stati registrati casi in Europa, non è detto che questa campagna sposti le sue mire sul vecchio continente in un prossimo futuro.

L’operazione, individuata nel corso di giugno 2023, va a sfruttare una falla di sicurezza individuata tre mesi prima sui prodotti Veeam Backup & Replication (nome in codice CVE-2023-27532). La vulnerabilità, tra le altre cose, è già stata sfruttata da un gruppo di cybercriminali.

WithSecure, infatti, ha riferito che FIN7 (altro gruppo legato all’ambiente ransomware), ha sfruttato attivamente CVE-2023-27532 per i propri scopi illeciti.

Come funziona la nuova tattica di diffusione del ransomware Cuba

Per la diffusione del ransomware Cuba, il vettore di accesso principale utilizzato è una  compromissione delle credenziali di amministratore tramite RDP.

Una volta ottenuto un primo accesso, viene caricato sulla macchina compromessa un downloader, creato dal gruppo stesso, che viene chiamato BugHatch. Questo va a stabilire una comunicazione con il server di comando, scaricando ulteriori file DLL ed eseguendo i comandi del caso.

Per portare a buon fine l’attacco, Cuba adotta l’ormai diffusa tecnica BYOVD (Bring Your Own Vulnerable Driver) per disattivare gli strumenti di protezione degli endpoint. Inoltre, utilizza lo strumento noto come BurntCigar al fine di terminare i processi del kernel legati al contesto di sicurezza e protezione della macchina.

La gang di cybercriminali di cui stiamo parlando, secondo alcune indagini, sarebbe originaria della Russa. Questa deduzione è tratta dal fatto che, i loro attacchi ransomware, andrebbero ad escludere i dispositivi che utilizzano un layout di tastiera in lingua russa. Il gruppo, presente sulla scena da quattro anni, risulta ad oggi uno dei più attivi dell’intero settore.

Vai all’archivio della categoria: sicurezza-informatica

Categorie
Web

Massimizzare le Performance del Sito Web: Segreti per il Successo

In precedenti articoli, abbiamo affrontato l’importanza fondamentale di mantenere il nostro sito internet in condizioni ottimali per garantire elevate performance, sicurezza e funzionalità a coloro che lo visitano. Oggi vogliamo approfondire ulteriormente questo argomento, concentrandoci su come sfruttare al massimo i plugin, i temi e la versione di WordPress per migliorare il sito. Inoltre, vogliamo condividere con voi una chiave decisiva nell’ottimizzazione: l’uso di plugin di gestione della cache che si integrano perfettamente con la piattaforma hardware e software del nostro sito.

I pilastri fondamentali degli aggiornamenti continuano a essere i plugin, i temi e la versione di WordPress. Tuttavia, un elemento spesso trascurato, ma cruciale per le performance, è l’efficace gestione della cache. Questa soluzione contribuisce in modo significativo alla velocità e all’efficienza del nostro sito. Tuttavia, un’attenzione particolare deve essere dedicata alla selezione del giusto strumento di caching, in sintonia con l’ambiente di hosting che ospita il nostro sito. In questo senso, consigliamo vivamente di esplorare attentamente le conoscenze base (KB) fornite dal nostro servizio di hosting. Questo ci aiuterà a prendere una decisione informata nella scelta del prodotto più adatto a gestire la cache. Ecco un avvertimento importante: evitiamo di cadere nella trappola di utilizzare più prodotti contemporaneamente, poiché ciò non solo non migliora le performance, ma può anche generare problemi inattesi.

Recentemente, abbiamo migrato i nostri domini aziendali sulla nuova piattaforma di Aruba Business. Dopo aver finalizzato la migrazione e ottimizzato alcune configurazioni nel backend, ho voluto eseguire un test semplice ma significativo. Questo test, che ho ripetuto più volte, mirava a valutare le prestazioni del nostro sito. Infatti, per essere considerato un prodotto di alta qualità secondo gli algoritmi di Google, è essenziale che il sito presenti tempi di caricamento rapidi e un tempestivo rilascio del primo byte (TTFB – time to first byte).

Sono lieto di condividere con voi che i risultati del test sono stati più che soddisfacenti: il nostro sito è stato valutato e classificato come Classe A in termini di prestazioni.

Questo successo è il risultato dell’armonioso connubio tra un design ben curato, l’utilizzo di plugin adeguati e un hosting di alta qualità. L’approccio olistico che abbiamo adottato ha permesso di raggiungere risultati eccezionali che migliorano l’esperienza di navigazione per i nostri visitatori.

Vi invito a esplorare il nostro sito e godervi una navigazione fluida e piacevole. Il nostro impegno costante per l’ottimizzazione continua a guidarci verso l’eccellenza.

Buona navigazione!

Categorie
Internet

Downdetector.it

Downdetector

Downdetector.it: il servizio online per monitorare i problemi di connettività e di servizio

Downdetector.it è un servizio online che permette agli utenti di monitorare i problemi di connettività e di servizio di varie piattaforme online, come social media, servizi di streaming, email, app di messaggistica, ecc. Il servizio è stato creato per aiutare gli utenti a identificare rapidamente se un sito web o un’applicazione non funziona correttamente, e per fornire informazioni in tempo reale sui problemi segnalati.

Come funziona Downdetector.it

Downdetector.it funziona in modo molto semplice: gli utenti possono segnalare problemi di connettività o di servizio che riscontrano sulle varie piattaforme online. Il sito web mostra quindi le statistiche in tempo reale sulla frequenza delle segnalazioni ricevute, e fornisce anche una mappa interattiva che mostra dove i problemi sono stati segnalati.

Per utilizzare Downdetector.it, gli utenti possono visitare il sito web e cercare la piattaforma di loro interesse. Una volta trovata, il sito web mostrerà tutte le segnalazioni di problemi ricevute dagli utenti. Gli utenti possono anche segnalare un problema di loro conoscenza, fornendo informazioni dettagliate sulla natura del problema e sulla piattaforma coinvolta.

Perché utilizzare Downdetector.it

Downdetector.it è un servizio molto utile per gli utenti che vogliono monitorare i problemi di connettività e di servizio delle varie piattaforme online. Il servizio è particolarmente utile quando si verificano problemi generalizzati, come una interruzione del servizio o un’interruzione della connettività a livello regionale o nazionale.

In questi casi, Downdetector.it può fornire informazioni molto utili agli utenti, come la durata prevista del problema e quando si prevede che verrà risolto. Il servizio può anche aiutare gli utenti a capire se il problema è causato dal loro dispositivo o dalla loro connessione internet, o se è un problema generale della piattaforma.

Inoltre, Downdetector.it può essere molto utile per le aziende che utilizzano queste piattaforme per fornire servizi ai loro clienti. Grazie al servizio, le aziende possono essere pronte ad affrontare i problemi di servizio in modo rapido ed efficace, riducendo al minimo l’impatto sui loro clienti.

Categorie
Sicurezza informatica

App meno sicure: dal 30 maggio 2022 Google blocca l’accesso

Da tempo se ne parla

E’ ufficiale che, a patire dal 30 maggio 2022, Google non permetterà l’accesso tramite App di terze parti (esempio Outlook, Thunderbird, etc…) che utilizzano la semplice login con utente e password.
Di per se le App sono sicure e molto comode ma è il loro metodo di autenticazione al mondo dei servizi Google a non essere sicuro.

Per essere chiari

Per focalizzare in modo molto semplice l’argomento il blocco avviene quando si utilizzano indirizzi email nome@gmail.com gestiti attraverso l’utilizzo di software quali Thunderbird, Outlook, Mail, etc… 

Solved

Abbiamo testato una soluzione con Outlook che permette di risolvere il blocco: leggi l’articolo

OAuth 2.0

La forma di accesso considerata ormai uno standard di sicurezza è quella che utilizza l’autenticazione a due fattori, meglio conosciuta anche come OAuth 2.0

L’autenticazione OAuth 2.0 la utilizziamo sicuramente già con molti servizi, specialmente con l’accesso all’online banking.
Questo tipo di autenticazione richiede l’uso di due strumenti tra “una cosa che si conosce” (una password o un PIN), “una cosa che si possiede” (uno smartphone, un’apposita applicazione o un oggetto fisico come un token) e “una cosa che contraddistingue univocamente la nostra persona” come l’impronta digitale, l’iride, il timbro vocale e così via (biometria).

Google Autenticazione 2 Fattori

Comunicazione ufficiale

Google, alla pagina ufficiale App meno sicure e il tuo Account Google, comunica tale informazione così:

Per proteggere meglio il tuo account, a partire dal 30 maggio 2022, ​​Google non supporterà più l’uso di app di terze parti o dispositivi che chiedono di accedere all’Account Google utilizzando solo il nome utente e la password.

Tieni presente che questa scadenza non si applica ai clienti di Google Workspace o Google Cloud Identity. La data dell’applicazione per questi clienti sarà annunciata nel blog di Workspace in un secondo momento.

Per maggiori informazioni, continua a leggere.

Nota speciale sugli accessi con i dispositivi Apple. A partire dal 28 febbraio 2022, gli utenti che di recente non hanno eseguito l’accesso al proprio Account Google utilizzando solo il nome utente e la password potranno effettuare nuovi tentativi di accesso solo utilizzando l’account di tipo Google.
Gli utenti esistenti possono continuare ad accedere al proprio Account Google utilizzando il proprio nome utente e la password fino al 30 maggio 2022.

Conclusione

Al di la di soluzioni indicate da Google o che si possono reperire facilmente sul web, un’Azienda o un Professionista dovrebbero utilizzare software di gestione della Posta Elettronica e servizi correlati sempre aggiornati così da garantire il massimo della sicurezza, esempio Microsoft 365 (Word, Excel, Outlook, etc…)

Inoltre, per presentarsi in modo professionale, ci si aspetta l’utilizzo di account di posta con un proprio dominio personale come ad esempio www.tuonome.ext slegandosi da soluzioni free (gratuite) quali Gmail, Libero, Tiscali, etc…

Vai all’archivio della categoria: sicurezza-informatica

Categorie
Internet

La nuova generazione di Google Analytics GA4

Cos'è GA4?

Google Analytics GA4 è lo strumento di telemetria per eccellenza che Google mette a disposizione gratuitamente per misurare rendimento, conivolgimento, acquisizioni, conversioni e comportamenti di chi naviga su un Sito Internet.

GA4 è già operativo e sostituirà l’ormai obsoleto Google Universal Analytics a partire dal 1 luglio 2023. (https://analytics.google.com)

Vantaggi di GA4?

Google Analytics GA4 è stato completamente ripensato e non eredita nulla da Google Universal Analytics; sono infatti due strumenti costruiti “con materiali diversi”.

Google Analytics GA4 è incentrato sul totale rispetto della privacy, è una soluzione intelligente che utilizza il machine learning per visualizzare approfondimenti sul percorso del cliente su più piattaforme e dispositivi e sfrutta al massimo le integrazioni con il mondo Google Ads.

Gestione degli eventi più completa

Google Analytics GA4 ha una versatilità impressionante. Permette di monitorare eventi raccolti in automatico ed acquisiti in autonomia dal momento in cui si attiva la soluzione GA4 fino ad arrivare al tracciamento di eventi personalizzati in funzione delle proprie necessità.

Per realizzare il tracciamento degli eventi esiste la soluzione Google Tag Manager (https://tagmanager.google.com/) che supporta l’operatore nella realizzazione dei Tag di tracciamento degli eventi, nel debug per verificarne il funzionamento e nell’invio on line.

Conclusioni

Google Analytics GA4 è il futuro su cui convergere l’intero sistema di tracciamento; si passa dal monitorare il profilo utente al monitorare i comportamenti degli stessi.

Non basta avere un Sito Internet ma diventa sempre più importante monitorare il funzionamento e la resa dello stesso.

Categorie
Sicurezza informatica

Internet e Sicurezza

La Situazione

L’ultimo rapporto sulla sicurezza pubblicato da Clusit (Associazione Italiana per la Sicurezza Informatica) inerente al primo semestre 2021 si apre con questo titolo:

+24% di attacchi gravi rispetto allo stesso periodo del 2020, il 74% ha effetti molto critici o devastanti. Danni economici oltre il 6% del PIL mondiale.

Le aziende come i privati sono indistintamente soggette a rischio di attacchi informatici.

Dobbiamo avere consapevolezza che l’utilizzo di Internet ci espone al rischio di essere inconsapevolmente oggetto di un attacco informatico.

Un attacco informatico può puntare al furto in massa di dati che ormai sono considerati una merce di elevato valore.

Possiamo tutelarci dal rischio di essere coinvolti in un furto di dati attraverso una serie di azioni:

  • l’utilizzo di strumenti, come ad esempio i firewall, che ci supportano nella navigazione sicura della rete Internet;
  • l’utilizzo di soluzioni software di endpoint security come sono gli antivirus di fascia professionale;
  • l’esecuzione di backup a cadenza costante e su supporti ridondati;
  • navigare solo su siti sicuri dove è presente un certificato SSL che utilizza il protocollo https e quindi viene mostrata dal browser la classica icona a forma di lucchetto nelle vicinanze dell’indirizzo del Sito che si sta visualizzando;
  • l’utilizzo di password sicure;

Le Password

È proprio sull’ultimo punto che desidero porre importanza.

Quali sono le password più comuni nel 2021?

Elenco delle prime 10 password più comuni:

  • qwerty
  • password
  • 12345
  • qwerty123
  • 1q2w3e
  • 12345678
  • 111111
  • 1234567890

Suggerimenti per password sicure

Ancora oggi si trovano nelle postazioni di molti uffici post-it affrancati sui monitor dove sono riportate password importanti.
Oltre ad evitare questo tipo di comportamento possiamo seguire poche ma buone regole per mettere al sicuro le password che ci permettono di accedere a dati importanti:

  1. La varietà è fondamentale
  2. La lunghezza conta
  3. Non riutilizzare le password
  4. Creare password forti in modo semplice
  5. Diffidare da password generator online
  6. Utilizzare un gestore di password
  7. Reimpostare a cadenza le proprie password
  8. Non utilizzare mai le vecchie password
  9. Non salvare nel pc le password su file di testo con nome Password.ext
  10. Utilizzare l’autenticazione a due fattori (2FA)
  11. Utilizzare l’autenticazione biometrica

Conclusioni

Non esiste la protezione al 100%. Ogni password può essere decifrata.
L’utilizzo di combinazioni lunghe, composte da lettere, numeri, caratteri speciali e seguendo i punti sopra elencati è il primo passo verso una protezione efficace dei dati.

Vai all’archivio della categoria: sicurezza-informatica

Categorie
Internet Sicurezza informatica Web

HTTPS – Quando una S fa la differenza

Vi è mai capitato

Vi è mai capitato, navigando su Internet, di accedere a Siti che non presentano alla sinistra dell’indirizzo il simbolo del lucchetto?

In certi casi, utilizzando alcuni browser, l’accesso a questi Siti viene negato in prima battuta e viene chiesta ulteriore conferma per poter proseguire ed accedere.

Il lucchetto in questione è presente quando il Sito Internet è accessibile tramite protocollo HTTPS.

Esempio Browser

In origine HTTP

Inizialmente il traffico dati sul World Wide Web (www) veniva gestito apertamente, tramite il protocollo HTTP “Hypertext Transfer Protocol”.
Il protocollo HTTP media in chiaro la comunicazione dei dati (su porta 80) tra il browser utilizzato ed il server web su cui è presente il Sito che navighiamo; ne deriva che i dati scambiati in chiaro sono facilmente attaccabili, “hackerabili”.

Che cos’è HTTPS?

Il protocollo HTTPS “Hypertext Transfer Protocol Secure” offre un doppio servizio:

  • Lo scambio dati tra il browser ed il server web è crittografato (su porta 443) quindi non leggibile da hacker
  • Il server web viene autenticato inviando, all’inizio della comunicazione, un certificato al browser, che certifica l’affidabilità del dominio.

Perché è importante la crittografia HTTPS

HTTPS è uno standard di sicurezza. Come accennato, i siti web senza HTTPS sono segnalati negativamente o addirittura bloccati dagli attuali browser. HTTPS, inoltre, è molto probabile che abbia un effetto positivo sul ranking di Google.

Il regolamento generale europeo sulla protezione dei dati (GDPR) stabilisce che i Siti web debbano essere aggiornati in termini di sicurezza, il che attualmente significa HTTPS.

Cosa fare?

Se il Vostro Sito non utilizza ancora il protocollo HTTPS procedete subito per attivarlo. Avrete la garanzia di restare presenti sul World Wide Web (www) e darete la garanzia a chi navigherà sul Vostro Sito che è un luogo sicuro e che rispetta gli standard attualmente disponibili.
L’attivazione del protocollo HTTPS avviene tramite attivazione di un certificato SSL rilasciato da appositi Enti Certificatori e che può essere di vario tipo:

  • DV (Domain Validation) per validare unicamente il dominio
  • OV (Organization Validation) per validare il dominio eseguendo la validazione dell’azienda a cui fa capo il dominio
  • Wildcard per validare il dominio e tutti i terzi livelli eseguendo la validazione dell’azienda a cui fa capo il dominio

La scelta del tipo di certificato SSL viene valutata in base al contenuto e alle funzionalità del Sito per cui viene attivato.

L’Ente Certificatore per poter rilasciare il certificato SSL esegue una serie di verifiche sempre più approfondite in base al tipo di certificato che dovrà rilasciare.
Ad esempio, nel caso di certificazione di dominio e Azienda, l’Ente Certificatore eseguirà anche una ricerca dei contatti telefonici pubblici dell’azienda stessa e contatterà un responsabile dell’azienda, preventivamente registrato in fase di richiesta del certificato, al fine di avere completa garanzia dell’autenticità del soggetto richiedente.