LibraESVA QuickSand Sandbox

Documenti di office e file PDF possono contenere dei contenuti attivi, ad esempio i file PDF possono contenere ed eseguire comandi JavaScript oppure documenti di Office che contengono script di PowerShell.

Una delle novità più interessanti dell’ultimo rilascio di LibraESVA è la QuickSand Sandbox.

QuickSand Sandbox è in grado di individuare e rimuovere contenuti “Attivi” da file di Office e PDF. La sandbox viene eseguita direttamente sulla appliance ESVA, senza necessità di inviare il file da analizzare sul cloud ed è veramente rapida.

I contenuti “Attivi” vengono classificati come “Sicuro”, “Sospetto”, “Indeterminato”, “Crittografato” e per ciascuna categoria è possibile selezionare diversi comportamenti (consegna, pulisci e consegna, blocca).

Prendiamo in esame un file PDF (il manuale di libraESVA), ed andiamo a testare la nuova funzionalità aggiungiamo un comando JavaScript:
app.launchURL(“https://www.libraesva.com”, true);
che ci permette di far aprire una pagina web all’apertura del file PDF.

Inviando il file in allegato al messaggio, LibraESVA individua il contenuto attivo ed esegue l’azione associata, rimuovendo il contenuto attivo o bloccando il file.

Questa nuova funzionalità è molto importante, in particolare durante le campagne di diffusione di ransomware abbiamo visto messaggi di posta  contenere allegati pericolosi con componenti attive, ma non il malware vero e proprio, che veniva richiamato dai contenuti attivi presenti negli allegati.

argonavislab

Argonavis ed i suoi esperti in sicurezza informatica sono a tua disposizione per darti supporto ed aiutarti a proteggere la tua azienda dai rischi informatici.

Richiedi Informazioni

19 Gennaio 2017

Rilasciata la versione 4.1.0 di LibraESVA

E’ stata rilasciata la versione 4.1.0 di LibraESVA, in questa release sono presenti correzioni a problemi noti e nuove funzionalità.
Tutti i clienti LibraESVA sono incoraggiati a procedere con l’aggiornamento.

Logo_Esva

Problemi noti corretti

  • File RAR crittografati vengono individuati correttamente in qualsiasi circostanza
  • Bug nella funzione di ricerca effetuata da un amministratore Multi-Domain è stata corretta
  • Lo strumento di pulizia degli utenti LDAP considera tutte le sorgenti LDAP
  • La funzione di import degli utenti da file viene replicata immediatamente sull’altro nodo del cluster.
  • Whitelist-Blacklist: Corretto un problema che in certe condizioni non permetteva ad un utente di aggiungere degli indirizzi nelle liste.
  • Corretta l’esportazione in CSV dell’elenco dei messaggi nel caso in cui ci fossero destinatari multipli.
  • FTP Backup: Corretto un problema sul ripristino tramite FTP
  • FTP Backup: Rimosso un fastidioso messaggio nei log quando il backup non è schedulato
  • Migliorata la validazione delle credenziali usate per fare smtp relay
  • Migliorata la validazione della chiave condivisa dal cluster nella configurazione guidata
  • Migliorata la sicurezza nascondendo le informazioni su PHP usate dal server.
  • Migliorata la velocità di accesso al login ed alla quarantena.
  • Improved Login and quarantine speed access

Nuove funzionalità

  • QuickSand Sandbox: è una sandbox per individuare e rimuovere contenuti “Attivi” da file di Office e PDF. La sandbox viene eseguita direttamente sulla appliance ESVA (nessun file viene inviato sul cloud) ed è veramente rapida.
    I contenuti “Attivi” vengono classificati come “Sicuro”, “Sospetto”, “Indeterminato”, “Crittato” per ciascuna categoria è possibile selezionare diversi comportamenti (consegna, pulisci e consegna, blocca)
  • Regole basate su dizionario: è possibile creare o importare dizionari di parole e frasi per definire regole basate sul numero di occorrenze di queste parole e definirne il comportamento sul messaggio (“blocca”, “reindirizza”, “aggiungi degli header”). Ciascuna regola può definire un proprio dizionario, mittente e destinatario.
  • Supporto DKIM: pieno supporto alla firma digitale DKIM sul gateway.
  • Personalizzazione dei temi: I colori dell’interfaccia web di ESVA possono essere personalizzati.
  • UrlSand Sandbox: aggiunto dei parametri alla configurazione per disabilitare la funzionalità: “I want to visit it anyway” (“Desiderato visitare comunque”) che permette agli utenti di aggirare il blocco e visitare siti pericolosi.
  • UrlSand Sandbox: migliorata l’individuazione delle URL nelle parti testuali del messaggio
  • Protezione contro attacchi brute-force sull’interfaccia web, tramite autenticazione smtp e tramite ssh.
  • Importazione LDAP: nuovi utenti ereditano le impostazioni degli amministratori di dominio.
  • I filtri sugli allegati supportano le espressioni regolari sul nome del file.
  • Aggiunta una opzione per bloccare l’intero messaggio quando e stato rimosso il file allegato (al posto di rimuovere solamente il file)
  • Setup distribuito: la configurazione è automaticamente versionata e nodi con configurazioni obsolete vengono evidenziati.
  • Ricerca: adesso vengono supportate nelle ricerche range di date ed oggetto, sia nelle ricerche locali che distribuite.
  • Restrizioni SMTP: aggiunti i parametri di configurazione per la restrizione su HELO (richiesto un indirizzo risolvibile, richiesto FQDN) e sul sender (dominio mittente sconosciuto, richiede FQDN)
  • Possibilità di pulire la coda in maniera selettiva specificando mittente o destinatario.
  • API Amministrative: Aggiunta/Rimozione dominio supporta hostname come relay domain, ed i parametri di configurazione per uri sandbox e file sandbox.
  • User API: aggiunti limiti sul numero di risultati ed aggiunte le funzioni di ricerca per mittente, dominio mittente, data, oggetto, stato.
  • User API: aggiunto filtro per mostrare solo i messaggi in quarantena.
  • User API: aggiunto lo stato “rilasciato” nelle informazioni restituite.

NOTE: Questo aggiornamento richiede oltre 4 minuti per essere completato e richiede il riavvio del sistema. E’ raccomandato effettuare uno snapshot prima di iniziare l’aggiornamento.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-4-0-0-0-to-4-1-0-0-upgrade-script/

argonavislab

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

Richiedi Informazioni

17 Gennaio 2017

Come funziona DKIM per proteggere la tua posta

DKIM (DomainKeys Identified Mail) è un metodo utilizzato per identificare il mittente di un messaggio, evitando il rischio di Spoofing del dominio mittente (obiettivo raggiunto anche da SPF) ed inoltre permette l’identificazione di alterazioni sul contenuto del messaggio.

DKIM basa il suo funzionamento sul meccanismo crittografico, facendo ricorso all’algoritmo SHA a chiave assimetrica, il mittente conserverà con le opportune precauzioni la chiave privata sul mail gateway (mail server, server antispam o l’smtp relay) del proprio dominio e pubblicherà sul DNS un record TXT con la chiave pubblica.

Quando il messaggio viene inviato dal server corretto, al messaggio viene aggiunto un tag con il digest del messaggio, calcolato usando la chiave privata.

Il destinatario, recuperata la chiave pubblica sul record TXT del DNS del dominio mittente, può verificare se il messaggio è stato alterato o comunque se non è stata utilizzata la chiave privata del dominio mittente, in modo da accorgersi dell’inaffidabilità del mittente.

Se il sistema di posta del destinatario non supportasse DKIM il messaggio verrebbe comunque letto correttamente, infatti il messaggio viaggia in chiaro e non in forma cifrata. DKIM non garantisce la riservatezza della comunicazione ma solo l’identificazione del mittente e l’inalterabilità del contenuto.

Purtroppo è valido lo stesso discorso fatto per SPF, la scarsa diffusione di questi sistemi permette di avere ancora percentuali di spam che superano il 50% dei messaggi validi, una adozione capillare di questi sistemi permetterebbe di abbattere i livelli di spam.

Zimbra supporta pienamente questo meccanismo di protezione del mittente, i tecnici Argonavis sono a tua disposizione per aiutarti ad implementare le tecniche di protezioni più efficaci per proteggere la tua organizzazione da attacchi ed eventuali perdite economiche.

Richiedi Informazioni

13 Gennaio 2017

Rilasciato WordPress 4.7.1

È stata rilasciata la versione 4.7.1 di WordPress.

Questa nuova versione oltre a risolvere alcuni problemi di funzionamento ed aggiungere alcune funzionalità risolve le seguenti gravi vulnerabilità:

  • Remote code execution (RCE) in PHPMailer.
  • The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API.
  • Cross-site scripting (XSS) via the plugin name or version header on update-core.php.
  • Cross-site request forgery (CSRF) bypass via uploading a Flash file.
  • Cross-site scripting (XSS) via theme name fallback.
  • Post via email checks mail.example.com if default settings aren’t changed.
  • A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing.
  • Weak cryptographic security for multisite activation key.

Tutti gli utilizzatori di CMS dovrebbero tenere sempre in grande considerazione l’aggiornamento costante del proprio ambiente di erogazione dei contenuti. Non aggiornare un CMS molto diffuso come WordPress o Joomla espone il sito web a gravissimi rischi di sicurezza.

Rilasciata la versione 3.11.1.0 di Cryptshare

E’ stata rilasciata la versione 3.11.1.0 di Cryptshare Server.

In questa versione sono presenti le correzioni ad alcuni problemi noti:

  • Risolto un problema che non permetteva ai file di essere visualizzati tramite il visualizzatore di contenuti in determinate circostanze
  • Risolto un problema nella conversione delle regole dei criteri che si verifica durante l’aggiornamento in determinate circostanze
  • Risolto un problema che impediva di prevenire dei conflitti nelle impostazioni prima del salvataggio del criterio.

Si prega di verificare i dettagli delle impostazioni di risoluzione dei conflitti in quanto potrebbe essere modificate dall’aggiornamento.

LOGO-BCS_2014-Making-email-better

Cryptshare è la soluzione per rendere la tua posta elettronica moderna, funzionale e sicura.

argonavislab

Argonavis ed i suoi tecnici sono a tua disposizione. Contattaci per richiedere una demo del prodotto e rendere moderna la tua posta elettronica.

Richiedi Informazioni

10 Gennaio 2017

Blog & News

Categorie