La nuova tecnologia Kaspersky per ambienti di emulazione (sandbox): il peggior incubo dei malware più insidiosi

di Eugene Kaspersky
 

Vi siete mai chiesti perché i virus informatici vengono chiamati, per l’appunto, “virus”? A dire il vero, al giorno d’oggi la parola virus è utilizzata in maniera impropria per riferirsi a “praticamente qualsiasi tipo di programma dannoso o per descrivere qualsiasi azione dannosa di un programma su un computer”. Ho preso questa definizione dalla nostra enciclopedia.

In realtà (sempre prendendo spunto dalla nostra enciclopedia), “in senso stretto… un virus si definisce tale quando il codice del programma è in grado di autoreplicarsie di diffondersi, così come fa un virus biologico, tipo quello dell’influenza.

La particolarità è che i virus in quanto tali sono scomparsi dalla circolazione parecchi anni. Oggigiorno abbiamo a che fare con programmi dannosi che non si autoreplicano ma dispongono di funzionalità piuttosto insidiose che consentono loro di rubare i dati dal vostro computer o di cancellarli completamente (come fa, ad esempio, un Trojan). Eppure, ancora oggi, se chiedete a qualcuno di pensare a un’immagine da relazionare alle “tecnologie di sicurezza informatica”, spesso queste immagini mostrano scienziati in camice da laboratorio tuta isolante che recintano una zona in quarantena e con delle provette in mano, insomma tutto ciò che ci viene in mente quando si parla di  maneggiare dei virus biologici.

Insomma, avete capito: i virus sono ormai molti e sepolti ma i metodi di analisi che si utilizzavano per la loro identificazione e disinfezione (altro termine preso in prestito dal mondo della microbiologia!), continuano a esistere, si evolvono e ancora oggi sono indispensabili per la lotta ai virus malware del mondo di oggi. L’emulatore fa parte di queste tecnologie “old school”.


In breve, l’emulazione è un metodo per scoprire minacce fino ad allora sconosciute: in un ambiente virtuale (“emulato”) che imita quello di un computer reale viene immesso un file dal comportamento sospetto (insolito e non abituale). Qui l’antivirus* osserva il comportamento del file (on the fly, ma lo vedremo dopo) e se identifica un’attività pericolosa, lo isola per effettuare ulteriori indagini.

Vedete l’analogia che esiste con la virologia microbiologica? Perché iniettare un potente antidoto con un sacco di effetti collaterali in un paziente che potrebbe avere una certa malattia, non è detto che ce l’abbia? Meglio l’emulazione in vitro e vedere prima cosa succede per poi somministrare la medicina più idonea.

Tuttavia, la sfida da accettare è la stessa della microbiologia: bisogna assolutamente far sì che l’ambiente emulato somigli il più possibile a quello reale, altrimenti i file dannosi potrebbero rendersi conto che si tratta di una simulazione e agiscono di conseguenza, ovvero nel modo più innocente possibile. Ci occupiamo di emulazione da diversi anni decenni ormai e, senza cedere alla falsa modestia, siamo in testa a questa gara. Siamo dei grandi!

Il primo emulatore al mondo l’ho sviluppato questo signore che vi scrive nell’epoca DOS, nel 1992. Presto gli esperti di tutto il mondo hanno iniziato a parlare del tasso di identificazione del nostro antivirus (sì, ai tempi erano ancora “antivirus” nel vero senso della parola) che ha scatenato la concorrenza nei test indipendenti, e questo in parte grazie all’emulatore.

Con il passare del tempo e il panorama delle minacce ha iniziato a farsi più complicato: i virus sono stati sostituiti dai worm di rete, dai Trojan e da altre minacce complesse. Nel frattempo, la gamma di computer/dispositivi mobili/Internet delle Cose e di tutte le altre tecnologie digitali si è ampliata di parecchio e allo stesso modo è aumentata la concorrenza nel settore degli emulatori. Lo abbiamo adattato alla nostra sicurezza su cloud KSN, gli abbiamo insegnato nuovi linguaggi di programmazione, lo abbiamo reso famigliare ai nuovi browser e agli altri oggetti del sistema operativo…  tutto per identificare automaticamente tipi di malware mai visti prima. Niente intelligenza artificiale di paccottiglia, tanto duro lavoro svolto con criterio che ha portato alle innovazioni della vera HuMachine. 😊

Cos'è HuMachine: apprendimento automatico unito a big data, threat intelligence e analisi di esperti.

 

Al giorno d’oggi, in pochi tra la concorrenza possono vantare di una tecnologia del genere e non c’è da meravigliarsi: l’emulazione è un compito molto difficile che richiede anni di esperienza, l’integrazione nei prodotti di punta richiede tempo e uno sviluppo costante. E poi molte aziende entrate da poco nel settore della cybersecurity preferiscono investire nel marketing basato solo sulle parole: a breve termine, questo approccio offre un impulso notevole al business, ma non si possono ingannare gli utenti per molto tempo: alla fine si verifica un errore e scoppia il caso. Mettiamola in un altro modo, se una compagnia di cybersecurity è dotata del suo emulatore, il livello di esperienze e maturità di chi lo ha sviluppato sarà sicuramente notevole. Viceversa: niente emulatore = poca esperienza, poche conoscenze e poca vita nel settore.

Ma sto divagando…

Sebbene miglioriamo costantemente il nostro emulatore, dall’altra parte della barricata i cybercriminali non stanno certamente a girarsi i pollici. Proteggono attivamente i loro affari e le loro operazioni di cyberspionaggio, il che implica anche provare a difendersi dal nostro emulatore.

I creatori delle minacce più avanzate utilizzano una serie di trucchi anti-emulatore per riconoscere l’ambiente da “provetta di laboratorio” (ad esempio lanciano una funzione non documentata, verificano l’autenticità delle richieste di modifica dei registri del processore, analizzano i codici degli errori, vanno alla ricerca di un codice specifico in memoria, utilizzano “bombe logiche” per fare entrare l’emulatore in un loop infinito etc.). Se il malware percepisce che c’è qualcosa di sospetto, blocca subito le funzionalità dannose per non farsi scoprire.

Siamo consapevoli che esistono queste tattiche e vi prestiamo attenzione costantemente, adattando l’emulatore a questi trucchi e migliorandolo sotto altri punti di vista (cercando di ridurre innanzitutto il consumo di risorse). Ad esempio, per renderlo più veloce utilizziamo differenti limiter, ottimizzatori e profili di configurazione, che possono anche essere disattivati completamente in situazioni in cui il rallentamento è negativo alla stregua della famosa schermata blu della morte.

Nel frattempo, l’altro giorno i nostri guerreri dei brevetti ci hanno dato buone notizie provenienti dal fronte dell’emulazione: abbiamo ottenuto un brevetto (US10275597) per un emulatore di codice programma in grado di interpretare gli oggetti sconosciuti! Da quel che so, nei prodotti della concorrenza non esiste una funzionalità del genere: per difendersi dai trucchi anti-emulatore dei malware, la concorrenza deve lavorare più e più volte sull’intero emulatore e, naturalmente, non si tratta di un processo veloce. Invece noi abbiamo insegnato al nostro emulatore ad aggiornarsi da solo on the fly a partire da un database locale! Una funzionalità estremamente utile e non abbiamo motivi per non parlarvene, perché la nostra forza è proprio rendervi partecipi dei metodi che utilizziamo per proteggervi! 😊

Alcuni file non vengono distribuiti nel codice della macchina ma direttamente nel codice sorgente. Per eseguire questi file sul computer è necessario un interprete (JavaScript o VBA, ad esempio) che traduca questo codice in tempo reale in un linguaggio comprensibile per la macchina e, indovinate un po’, spesso i malware si trovano in questi file.

Per identificare questo tipo di minacce sconosciute, anni fa abbiamo creato un emulatore di codice programma che esamina “in provetta” i file prima di eseguirli. Tuttavia, l’emulazione dell’interprete richiede un dispendio eccessivo di risorse e il ritardo nel caricamento delle pagine web con script potrebbe provocare frustrazione nell’utente di Internet. Per questo motivo, gli emulatori di solito ricreano una versione intermedia dello spazio virtuale, accettabile in termini di prestazioni e di qualità della protezione. Cosa succede se l’emulatore si imbatte in un oggetto sconosciuto, un metodo o una funzione all’interno del codice, la cui interpretazione è assolutamente fondamentale per effettuare l’analisi completa del file?

Abbiamo risolto il problema in un altro modo, con l’aiuto di un interprete “intelligente” in grado di apprendere velocemente a emulare oggetti di questo tipo. Durante l’aggiornamento mediante il cloud di KSN, il prodotto riceve il codice ausiliario nel linguaggio dell’oggetto che si sta analizzando (JavaScript, VBA, VB Script, AutoIt etc.) e, con queste nuove conoscenze a disposizione, analizza nuovamente il file. Nei casi più difficili, quando non è stato ancora possibile ricavare il codice ausiliario, il compito passa ai nostri analisti che sviluppano il codice e lo aggiungono prontamente al database.

In questo modo, gli utenti hanno a disposizione una tecnologia robusta ed estremamente veloce capace di rispondere rapidamente alle cyberminacce, senza dover attendere la release successiva dell’intero emulatore. Fantastico!

* La parola “antivirus” è ormai un altro arcaismo appartenente all’epoca dei virus informatici. Gli antivirus moderni non proteggono solamente dai virus ma da tutti i tipi di malware; inoltre, dispongono di tante altre funzionalità di sicurezza davvero utili come password manager, VPN, parental control, backup dei dati etc. Per essere più precisi, quindi, un buon “antivirus” si dovrebbe chiamare “anti-questo, anti-quello e anti-tutto”, che protegge me, la mia famiglia, tutti i nostri dispositivi e i nostri dati, completo di campane e fischietti.  Una definizione un po’ difficile da usare, vero?

Fonte
Kaspersky blog

30 Maggio 2019

L’autenticazione a due fattori via SMS non è sicura. Meglio usare altri metodi

 

Nel corso dell’ultimo paio d’anni, il concetto di autenticazione a due fattori (espressione spesso abbreviata mediante la sigla 2FA), un tempo conosciuto solo dagli esperti del settore, è ora famigliare alla maggior parte degli utenti. Tuttavia, il termine viene utilizzato spesso per riferirsi unicamente all’autenticazione a due fattori che si serve degli SMS per l’invio di password “usa e getta”. Purtroppo, però, questa non è l’opzione più affidabile ed ecco perché:

  • È facile sbirciare le password inviate via SMS, soprattutto se sono attive le notifiche su schermo;
  • Anche se le notifiche sono state disattivate, si può rimuovere la scheda SIM e usarla su un altro smartphone per poter visualizzare gli SMS che contengono le password monouso;
  • I messaggi che contengono le password possono essere intercettati da Trojan insidiatisi nello smartphone;
  • Grazie a diverse tecniche (persuasione, corruzione etc.), i cybercriminali possono ottenere da un negozio di telefonia una nuova scheda SIM con il numero di telefono della vittima. Gli SMS arriverebbero su questa nuova scheda e il telefono della vittima verrebbero scollegato dalla rete;
  • Gli SMS con le password potrebbero essere intercettati sfruttando una falla piuttosto semplice nel protocollo SS7, che si usa per la trasmissione dei messaggi.

Tutti i metodi che abbiamo appena menzionato per appropriarsi delle password via SMS (anche i più complicati e tecnologicamente avanzati come sfruttare la falla nel protocollo SS7), sono già stati messi in pratica con successo. Il resto per i cybercriminali è un gioco da ragazzi. Ciò vuol dire che non stiamo parlando di ipotesi ma di minacce concrete.

In generale, le password inviate via SMS non sono poi così sicure e, in certi casi, non lo sono affatto. Per questo, la soluzione più logica è quella di cercare alternative all’autenticazione a due fattori più popolare, e in questo post ve ne proporremo alcune.

 

Codici monouso su file o su carta

Il modo più semplice per sostituire le password di un solo uso inviate via SMS è usare sempre password usa e getta ma preparate in anticipo. Non è male come opzione, soprattutto per servizi a cui ci si collega di frequente. Può funzionare anche sul caro, vecchio Facebook, soprattutto come piano di riserva.

L’idea è piuttosto semplice: su richiesta il servizio genera e mostra una decina di codici usa e getta che possono essere successivamente utilizzati per il login. Questi codici possono essere stampati o scritti a mano e conservati in un luogo sicuro; oppure, ancora meglio, possono essere salvati in una nota cifrata custodita da un password manager.

Non importa tanto se i codici vengono custoditi in formato digitale o fisico, l’importante è: 1) non perdere i codici e 2) non farseli rubare.

 

C’è una app per tutto: le app di autenticazione

I codici usa e getta già prestabiliti, però, prima o poi finiscono e potreste rimanerne senza nel momento più inopportuno. Meno male che c’è un’altra soluzione: i codici di un solo uso possono essere generati sul momento utilizzando una piccola e di solito semplice applicazione di autenticazione.

Come funzionano le app di autenticazione

Queste app sono molto facili da usare. Ecco come fare:

  • Installate l’app di autenticazione sullo smartphone;
  • Entrate nelle impostazioni di sicurezza del servizio per il quale volete utilizzare la app;
  • Selezionate la 2FA (dando per scontato che l’opzione esista): il servizio vi mostrerà un codice QR che viene scannerizzato direttamente dalla app di autenticazione;
  • Scannerizzate il codice con la app, che inizierà a generare un nuovo codice usa e getta ogni 30 secondi.

Come attivare un'app di autenticazione su FacebookI codici vengono creati in base a una chiave (nota solo a voi e al server) e all’orario, arrotondato ai 30 secondi. Entrambe le componenti sono le stesse per voi e il servizio, e i codici vengono generati in modo sincronizzato. Si utilizza l’algoritmo OATH TOTP (Time-based One-Time Password), sicuramente il più popolare.

In realtà, esiste un’alternativa, l’algoritmo OATH HOTP (HMAC-based One-Time Password) che, invece dell’orario, utilizza un contatore che aumenta di un’unità ogniqualvolta si crea un nuovo codice. Tuttavia, non viene utilizzato molto nella vita reale perché questo sistema complica la generazione in sincrono dei codici dell’app e del servizio. In sostanza, ci sarebbe un rischio concreto che il contatore vada leggermente fuori fase e la password usa e getta non funzioni.

Di fatto, quindi, lo standard al momento è l’algoritmo OATH TOTP (anche se ufficialmente non dovrebbe essere considerato uno standard, come ribadiscono i suoi creatori).

App per la 2FA e compatibilità del servizio

La maggioranza delle app per l’autenticazione in due passaggi utilizzano lo stesso algoritmo, per cui può essere utilizzata qualsiasi app sui servizi che supportano questo tipo di autenticazione, la scelta è vostra.

Tuttavia, c’è sempre l’eccezione che conferma la regola. Per ragioni che solo essi conoscono, alcuni servizi preferiscono creare le proprie app per la 2FA e che funzionano solo per quel servizio.

Si tratta di una pratica piuttosto comune nel mondo dei videogiochi: ad esempio, Blizzard Authenticator, Steam Guard con Steam Mobile integrato, Wargaming Auth e altre app sono incompatibili con servizi e app di terze parti. In sostanza, queste app create per i propri clienti possono essere utilizzate solo sulle piattaforme di gaming corrispondenti.

Questa insolita via è stata intrapresa anche da Adobe, con il suo Adobe Authenticator che funziona solo con gli account AdobeID, anche se comunque si possono usare anche altre app di autenticazione per cui non capiamo molto il senso di tutto ciò.

In ogni caso, la maggior parte delle compagnie IT non obbligano gli utenti a scegliere un’app in particolare per la 2FA. E anche se l’azienda all’improvviso decide di creare la propria app, di solito non protegge solo gli account della compagnia ma anche quelli di altri servizi.

Insomma, potete scegliere l’app di autenticazione che preferite in base alle funzionalità aggiuntive che vi propone, dovrebbe funzionare con la maggior parte dei servizi che supportano le app per la 2FA.

 

Le migliori app per l’autenticazione in due passaggi

Se non sapete quale app utilizzare, c’è l’imbarazzo della scelta. Basta scrivere “app di autenticazione” o “authenticator” su Google Play o App Store e vi appariranno decine di opzioni. Tuttavia, vi sconsigliamo di installare la prima app che cattura la vostra attenzione, perché potrebbe non essere la più sicura. Ricordate che a questa app affiderete le chiavi dei vostri account (ovviamente non saranno rivelate le vostre password ma l’autenticazione a due fattori serve proprio perché spesso ci sono fughe di dati, tra cui le password). In generale, meglio avvalersi di un’app creata da uno sviluppatore importante e di fiducia.

Sebbene le funzionalità di base di tutte queste app siano più o meno le stesse (ovvero creare codici usa e getta mediante un unico algoritmo uguale per tutti), alcune app offrono opzioni extra o interfacce più attraenti di altre. Facciamo una carrellata delle funzionalità aggiuntive più interessanti.

 

1. Google Authenticator

Piattaforme: Android, iOS

App Google AuthenticatorPer molte riviste tech, Google Authenticator è l’app di autenticazione più facile da usare, praticamente non ci sono impostazioni da configurare. Solo basta aggiungere un nuovo token (ovvero il generatore del codice per ogni account) oppure cancellare uno già esistente. E per copiare un codice solo bisogna premerci sopra con il dito. Ecco fatto!

Tuttavia, tutta questa semplicità può avere i suoi lati negativi. Se non vi piace l’interfaccia o avete bisogno di altre funzionalità, meglio scaricare un’altra app di autenticazione.

Punto a favore: molto facile da usare

 

2. Duo Mobile

Piattaforme: Android, iOS

App Duo Mobile

Anche Duo Mobile è un’app davvero user-friendly, minimalista e senza impostazioni aggiuntive. Ha un ulteriore vantaggio rispetto a Google Authenticator: di default Duo Mobile nasconde i codici e, per visualizzarli, l’utente deve fare tap sul token di cui ha bisogno. Se preferite evitare che i codici dei vostri account siano sotto gli occhi di tutti ogniqualvolta aprite la app, allora Duo Mobile è ciò che fa per voi.

Punto a favore: codici nascosti di default

 

3. Microsoft Authenticator

Piattaforme: Android, iOS

App Microsoft AuthenticatorAnche Microsoft ha optato per un approccio minimalista con la sua app di autenticazione, anche se comunque offre maggiori funzionalità rispetto a Google Authenticator. E anche se i codici sono visibili di default, ogni token può essere nascosto separatamente.

Inoltre, Microsoft Authenticator fa sì che collegarsi agli account Microsoft sia più semplice. Dopo aver digitato la password, bisogna solo fare tap sulla app per confermare l’accesso, non è necessario inserire il codice di un solo uso.

Punto a favore: si può configurare per nascondere i codici

Punto a favore extra: collegamento rapido agli account Microsoft

 

4. FreeOTP

Piattaforme: Android, iOS

App FreeOTP di Red HatDovreste scegliere l’app di Red Hat per quattro motivi. Innanzitutto, si tratta di un software open source e poi è l’app più leggera del nostro elenco (la versione iOS pesa solo 750 KB – Google Authenticator ha bisogno di quasi 14MB e Authy di cui parleremo in seguito, occupa ben 44 MB).

In terzo luogo, l’app nasconde i codici di default, che viene visualizzato solo quando si fa tap sul token. Infine (dettaglio più importante), FreeOTP consente di configurare manualmente i token, conferendo maggiore flessibilità. Ovviamente, si può sempre optare per il metodo di creazione tradizionale, ovvero mediante la scansione di un codice QR.

Punti a favore:

codici nascosti di default;

pesa solo 750 KB;

è open source;

disponibilità di varie impostazioni per la creazione manuale dei token.

 

5. Authy

Piattaforme: Android, iOS, Windows, macOS, Chrome

App Twilio AuthyAuthy è l’app 2FA più alla moda e che ha il principale vantaggio che tutti i token sono custoditi su cloud, ed è quindi possibile accedere ai token da qualsiasi dispositivo. Allo stesso tempo, rende più agevole la migrazione su nuovi dispositivi. Non c’è bisogno di riattivare l’autenticazione a due fattori su ogni servizio, si possono utilizzare i token esistenti.

I token su cloud vengono cifrati con una chiave creata mediante una password indicata dall’utente; ciò vuol dire che i dati sono custoditi in modo sicuro e non si possono rubare facilmente. Si può quindi impostare un PIN di accesso per la app o la si può proteggere con l’impronta digitale, se lo smartphone lo supporta.

Il punto negativo principale di Authy è che l’account va collegato a un numero di telefono, altrimenti la app non funziona.

Punti a favore:

token custoditi su cloud, da usare su tutti i dispositivi;

facile migrazione su altri dispositivi;

accesso alla app protetto da PIN o impronta digitale;

sullo schermo viene visualizzato solo il codice dell’ultimo token utilizzato;

a differenza di altre app, non funziona solo su Android e iOS, ma anche su Windows, macOS e Chrome.

Punto a sfavore: l’app non funziona se l’account Authy non è collegato a un numero di telefono.

 

6. Yandex.Key

Piattaforme: Android, iOS

App Yandex.KeyL’idea alla base di Yandex Key potrebbe far sì che sia la migliore app per l’autenticazione a due fattori. Da un lato, non richiede la registrazione immediata, si può utilizzare con la stessa facilità di Google Authenticator. Dall’altro, offre diverse funzionalità aggiuntive per chi non ha paura di usufruire di altre opzioni.

Innanzitutto, YandexKey può essere bloccata con codice PIN o impronta digitale. In secondo luogo, si può creare una copia di backup, protetta da password, da salvare sul cloud di Yandex (per questa opzione sì che è necessario indicare un numero di telefono) e da ripristinare sul dispositivo in uso. Allo stesso modo, si possono trasferire i token su un nuovo dispositivo in caso si abbia bisogno di effettuare una migrazione.

YandexKey consente di avere la semplicità di Google Authenticator ma anche le funzionalità aggiuntive di Authy, dipende da ciò che si desidera. L’unico aspetto negativo della app è che l’interfaccia non è proprio semplice da usare quando si ha un buon numero di token.

Punti a favore:

app minimalista alla quale si possono aggiungere funzionalità grazie alle impostazioni;

possibilità di creare copie di backup dei token su cloud, per il loro uso su vari dispositivi e per migrazioni;

accesso alla app protetto da PIN o impronta digitale;

sullo schermo viene visualizzato solo il codice dell’ultimo token utilizzato;

sostituisce in modo permanente la password dell’account Yandex.

Punto a sfavore: Quando ci sono vari token, non è così facile trovare quello di cui si ha bisogno.

Strumenti di autenticazione hardware FIDO U2F: YubiKey e altri

Se un’app che genera codici usa e getta vi sembra una maniera troppo intangibile per proteggere i vostri account e siete alla ricerca di qualcosa di più solido e affidabile che blocchi il vostro account con una chiave che vada a finire letteralmente nelle vostre tasche, allora la scelta migliore sono gli hardware token che si basano sullo standard U2F (Universal 2nd Factor) di FIDO Alliance.

Come funzionano i token FIDO U2F

I token hardware U2F sono i preferiti degli specialisti in sicurezza innanzitutto perché, dal punto di vista dell’utente, funzionano con grande semplicità. Per iniziare, bisogna solo collegare il token U2F al dispositivo e registrarlo sul servizio compatibile. Il tutto si fa in un paio di click.

Dopo di ciò, per confermare l’accesso al servizio, bisogna connettere il token U2F al dispositivo dal quale vi state collegando e fare tap sul tasto del token (alcuni dispositivi richiedono un codice PIN o la scansione dell’impronta digitale, ma è una funzionalità extra). Ecco fatto, nessuna impostazione complessa, né bisogna digitare lunghe sequenze di caratteri random o effettuare operazioni complicate collegate al mondo cifratura.

Come collegarsi a Facebook con YubiKey

Inserire la chiave e cliccare sul pulsante, ecco tutto.

Allo stesso tempo, dal punto di vista della cifratura, è tutto sicuro: quando si registra il token a un servizio, si crea una coppia di chiavi di cifratura, una chiave privata e una pubblica. La chiave pubblica viene immagazzinata sul server, quella privata viene custodita su un chip Secure Element, il cuore del token U2F e che non abbandona mai il dispositivo.

La chiave privata serve per cifrare la conferma di accesso, che poi passa al server, e può essere decifrata utilizzando la chiave pubblica. Se qualche malintenzionato prova a trasferire la conferma di accesso cifrata con la chiave privata sbagliata, al momento di decifrare apparirà un linguaggio incomprensibile, e il servizio non consentirà l’accesso all’account.

Quali sono i dispositivi U2F in circolazione

L’esempio più famoso e diffuso di U2F è YubiKey di Yubico. L’azienda era leader in questo standard e ha poi deciso di renderlo aperto a tutti e, proprio per questo scopo è stato creato il consorzio industriale FIDO Alliance. Siccome si tratta di uno standard aperto, l’utente ha ampia scelta tra diversi dispositivi che supportano l’U2F e sugli store online si possono trovare modelli per tutti i gusti.

Ad esempio, di recente Google ha introdotto un set di sistemi di autenticazione chiamato Google Title Security Keys. Si tratta di chiavi prodotte da Feitan Technologies (la seconda casa produttrice di token U2F più famosa, dopo Yubico) e Google ha sviluppato il proprio firmware.

Naturalmente tutti i sistemi di autenticazione hardware compatibili con lo standard U2F funzionano su qualsiasi servizio compatibile con questo standard. Le differenze esistono soprattutto a livello di interfacce supportate dalla chiave e ciò determina i dispositivi con i quali si può lavorare:

USB: da collegare al PC (non importa se Windows, Mac o Linux, la chiave funziona senza dover installare alcun driver). Oltre alla solita USB-A, sono disponibili anche chiavi per USB-C;

NFC: per l’uso su smartphone e tablet Android;

Bluetooth: per i dispositivi mobile che non dispongono di NFC. Ad esempio, i proprietari di iPhone hanno ancora bisogno di un sistema di autenticazione via Bluetooth. Sebbene iOS ora permetta l’uso di app con NFC (fino a quest’anno era concessa solo Apple Pay), la maggior parte degli sviluppatori di app compatibili con U2F devono ancora esplorare bene quest’area. I sistemi di autenticazione via Bluetooth hanno qualche inconveniente, il primo è la necessità di doverli ricaricare e poi ci vuole molto più tempo per collegarli.

I modelli base di token U2F di solito supportano solo U2F e il costo oscilla tra i 10 e i 20 dollari. Esistono altri dispositivi più costosi (dai 20 ai 50 dollari) che funzionano anche come smart card, generano password di un solo uso (compresi OATH TOTP e HOTP), generano e custodiscono chiavi di cifratura PGP e servono per collegarsi a Windows, macOS, Linux etc.

SMS, app o Yubikey: quale scegliere?

Allora qual è la scelta migliore in quanto a autenticazione a due fattori? Non c’è una risposta unicaper tutti: si possono utilizzare diverse versioni o una combinazione dei vari sistemi in base ai servizi in uso. Ad esempio, gli account più importanti (come una casella di posta collegata a altri account etc.) dovrebbero essere protetti al massimo, ovvero mediante un token hardware U2F con tutte le altre opzioni di autenticazione a due fattori bloccate. In questo modo sarete sicuri che nessuno potrà avere accesso all’account senza il token.

Una buona opzione può essere quella di collegare due chiavi all’account, proprio come si fa con le chiavi della macchina: una la tenete sempre in tasca, l’altra la conservate in un posto sicuro nel caso perdiate la prima. Inoltre, potete utilizzare diversi tipi di chiavi: ad esempio, il metodo principale può essere un’app di autenticazione sullo smartphone e, come metodo di riserva, potete avere un token U2F o il pezzetto di carta con le password usa e getta.

In ogni caso, il consiglio principale è quello di evitare l’uso di password di un solo uso via SMS, se possibile. È vero, non sempre si può: sappiamo, ad esempio, che i servizi finanziari sono piuttosto conservatori e raramente offrono alternative agli SMS.

 

Fonte
Kaspersky Daily

8 Novembre 2018

I cinque attacchi informatici più famosi

 

La maggior parte degli attacchi informatici sono piuttosto banali; nel peggiore dei casi, l’utente visualizza una richiesta di riscatto sullo schermo, ovvero che tutto ciò che si trova sul computer è stato cifrato e può essere sbloccato solo dietro pagamento. Molte volte, però, in superficie non sembra che accada alcunché perché certi malware agiscono nell’ombra con lo scopo di rubare più dati possibile prima di essere scoperti.

Ci cono casi in cui certi attacchi sono talmente sofisticati che è impossibile che non attirino l’attenzione; questo post è dedicato proprio ai cinque attacchi informatici più famosi ed eclatanti dell’ultima decade.

WannaCry: una vera e propria epidemia

L’attacco WannaCry ha reso famosi i ransomware agli occhi di tutti, anche di coloro che non sono per nulla ferrati sull’argomento. I cybercriminali, sfruttando gli exploit del team di hacker Equation Group resi pubblici da The Shadow Brokers, hanno creato un vero e proprio mostro, un ransomware encryptor in grado di diffondersi velocemente su Internet e attraverso le reti locali.

L’epidemia Wannacry in quattro giorni ha messo KO oltre 200 mila computer in 150 paesi. Parliamo anche di infrastrutture critiche: in alcuni ospedali, WannaCry ha cifrato tutti i dispositivi, apparecchiature medicali comprese, e alcune aziende sono state costrette a bloccare la produzione. WannaCry è uno degli attacchi più recenti ad aver colpito su così vasta scala.

Per maggiori dettagli su WannaCry, potete leggere questo articolo; questi due post, invece, vi serviranno per capire la portata economica dell’epidemia. Va detto, comunque, che WannaCry è ancora in circolazione e può mettere in pericolo i computer di tutto il mondo. Se volete sapere come configurare correttamente Windows per evitare problemi, vi consigliamo di leggere questo post.

 

NotPetya/ExPetr: l’attacco informatico più costoso

L’epidemia più costosa non è stata comunque WannaCry, ma è stata dovuta a un altro ransomware encryptor (dal punto di vista tecnico, si tratta di un wiper, ma questo dettaglio non cambia le cose), il cui nome è ExPetr o anche NotPetya. Il principio di base era lo stesso di WannaCry: sfruttando gli exploit EternalBlue ed EternalRomance, il worm riusciva a muoversi nel Web, cifrando qualsiasi dato trovasse al suo passaggio.

Sebbene il numero totali di dispositivi infettati sia stato minore, l’epidemia NotPetya ha colpito soprattutto le aziende, e ciò è stato in parte dovuto al fatto che il vettore iniziale per la sua propagazione è stato il software MeDoc. I cybercriminali sono riusciti a prendere il controllo del server di aggiornamento di MeDoc, e molti clienti che utilizzavano questo software hanno ricevuto il malware, dalle sembianze di un aggiornamento, potendo così diffondersi facilmente attraverso la rete.

È stato calcolato che l’attacco informatico NotPetya abbia provocato danni per 10 miliardi di dollari, mentre WannaCry, si è “fermato” a un range di 4-8 miliardi di dollari. Fino ad oggi, NotPetya è l’attacco informatico che ha provocato più danni economici in assoluto. Speriamo che questo record non venga infranto nel prossimo futuro da qualche altro attacco.

In questo post troverete maggiori informazioni sull’epidemia NotPetya/ExPetr, mentre in quest’altro post sono state analizzate le perdite per le aziende. Qui, invece, potete leggere perché questa epidemia, oltre a colpire grandi aziende, può avere conseguenze non solo sui computer infetti ma su tutti gli altri in generale. 

 

Stuxnet: una cyberpistola fumante

Probabilmente si tratta dell’attacco malware più famoso in assoluto, celebre per la sua laboriosità, versatilità e soprattutto per aver disattivato le centrifughe di arricchimento dell’uranio in Iran, rallentando di molti anni il programma nucleare del paese. Grazie a Stuxnet, si è parlato per la prima volta dell’uso di armi informatiche per colpire i sistemi industriali.

Nessun altro malware batte Stuxnet in quanto a complessità o arguzia: il worm è riuscito a diffondersi senza farsi notare grazie ai dispositivi USB, insinuandosi anche in quei computer non connessi a Internet o alla rete locale.

Il worm è andato rapidamente fuori controllo e si è diffuso in tutto il mondo, infettando centinaia di migliaia di computer. Ma, oltre a infettare questi dispositivi, lo scopo era un altro ben preciso; il worm si mostrava solo sui computer con controllori programmabili e software Siemens. Una volta in questi dispositivi, il worm riprogrammava questi controllori e, impostando la velocità di rotazione delle centrifughe di arricchimento dell’uranio a un livello troppo alto, le distruggeva fisicamente.

Si è parlato molto di Stuxnet, si è persino scritto un libro sull’argomento; tuttavia, per avere un quadro generale circa la diffusione del worm e dei dispositivi infettati, questo post dovrebbe essere sufficiente.

 

DarkHotel: una spia nella suite d’albergo

Non è un segreto che le reti Wi-Fi pubbliche di bar e aeroporti non siano le più sicure del mondo. Tuttavia, molti pensano che quelle degli hotel siano più protette perché, anche quando la rete dell’hotel è pubblica, per lo meno viene sempre richiesta una qualche forma di autorizzazione.

Questa idea erronea ha portato a costose conseguenze per top manager e personalità di alto rango. Quando si collegavano alla rete dell’hotel, veniva richiesto loro di installare un aggiornamento apparentemente legittimo che riguardava un software piuttosto popolare. E invece, i dispositivi venivano infettati immediatamente dallo spyware DarkHotel, appositamente introdotto nella rete dai cybercriminali qualche giorno prima dell’arrivo della personalità in questione per poi essere rimosso qualche giorno dopo. Lo spyware registrava in segreto i tasti digitati dalla vittima e tale mossa consentiva ai cybercriminali di orchestrare attacchi phishing mirati.

Qui potete avere maggiori informazioni su DarkHotel e sulle sue conseguenze.

 

Mirai: la caduta di Internet

Le botnet sono in circolazione da anni ormai ma, grazie alla recente ampia diffusione dell’Internet delle Cose, questo metodo di attacco sembra vivere una seconda giovinezza. Abbiamo assistito all’infezione a grande scala e improvvisa di dispositivi la cui sicurezza informatica non è mai stata contemplata e per i quali non esisteva un antivirus dedicato. Questi dispositivi rintracciavano altri dello stesso tipo da poter contagiare e così questo esercito di zombie, chiamati a raccolta dal malware Mirai (che in giapponese significa “futuro”) è diventato sempre più grande, in attesa di ricevere istruzioni.

Poi un “bel” giorno, il 21 ottobre 2016, i proprietari di questa botnet gigante hanno deciso di mettere alla prova le potenzialità di questo esercito, facendo sì che milioni di registratori video digitali, router, fotocamere IP e altri dispositivi “intelligenti” bombardassero di richieste il fornitore di servizi DNS Dyn.

Dyn non ha potuto contrastare un attacco DDoS di tale portata; il DNS e altri servizi che vi si appoggiavano non erano più disponibili, e ciò ha avuto conseguenze importanti su piattaforme online molto popolari quali PayPal, Twitter, Netflix, Spotify, Playstation e altri servizi statunitensi. Dyn alla fine è riuscita a riprendersi, ma la veloce escalation di Mirai ha portato a riflettere sull’effettiva sicurezza dei dispositivi “smart”. Un bell’avvertimento, questo è sicuro.

Per maggiori informazioni su Mirai, Dyb e l’attacco “che ha fatto cadere Internet,” vi consigliamo di leggere questo post.

 

 

Fonte
Kaspersky Daily

6 Novembre 2018

Android 8 e autorizzazioni app: la guida completa

 

Le varianti di Android al momento in circolazione potrebbero essere migliaia, in quanto ogni casa produttrice di smartphone modifica il sistema on base alle proprie necessità, e a volte queste modifiche non sono sempre positive. In ogni caso, il cuore di Android continua a essere un sistema operativo ben progettato e la sua sicurezza migliora a ogni nuova versione.

A essere precisi, la sicurezza migliora se l’utente fa le cose per bene. Per accedere a una serie di informazioni interessanti nelle zone condivise della memoria o a delle funzionalità che potrebbero non essere sicure, le app di Android hanno bisogno di un permesso esplicito dell’utente. Ed è importante impostare adeguatamente le autorizzazioni che si concedono.

Oggi analizzeremo la versione Android 8. Innanzitutto, la versione 8 prevede maggiori impostazioni rispetto al passato, il che può essere un bene e un male allo stesso tempo. Un bene perché rendono il sistema più sicuro, un male perché configurare queste impostazioni ora è più complicato e si ha bisogno di più tempo. Inoltre, le impostazioni sono organizzate in modo diverso e a volte questa organizzazione non è così intuitiva.

 

In questa guida di Kaspersky trovate l’elenco delel principali e le relative confiurazioni.

Fonte
Kaspersky Lab – Daily

10 Ottobre 2018

Blog & News

Categorie