Skygofree, spionaggio via mobile in stile hollywoodiano

Skygofree, spionaggio via mobile in stile hollywoodiano

Dal blog di Kaspersky LAB

La maggior parte dei Trojan hanno in comune più o meno le stesse caratteristiche: dopo essersi insinuati nel dispositivi, possono appropriarsi delle informazioni di pagamenti del proprietario, effettuare il mining di criptomonete al posto del cybercriminali oppure cifrano i dati e richiedono un riscatto. Tuttavia, alcuni Trojan posseggono capacità che ricordano film di spionaggio degni di Hollywood. Continua a leggere Skygofree, spionaggio via mobile in stile hollywoodiano

20 Gennaio 2018

Subscription Bombing

Subscription Bombing è una nuova tecnica per generare messaggi non desiderati (“spam”).

La tecnica consiste nel completare (con metodi automatici) migliaia di form di registrazione o di richiesta di informazioni, che generano automaticamente delle mail dirette all’indirizzo che è stato inserito all’interno il form. E’ sufficiente compilare il form, utilizzando l’indirizzo email della vittima per fargli recapitare migliaia di email in contemporanea.

I siti a rischio sono quelli che non usano dei metodi per individuare i form compilati con sistemi automatici, con meccanismi con il CAPTCHA.

Per i sistemi antispam tutti questi messaggi sono legittimi, perché generati da sistemi perfettamente regolari, arrivano ciascuno dal server corretto e molte volte rispettano anche il record SPF.
Se l’utente avesse usato realmente il proprio indirizzo email ed effettuato quella registrazione oppure compilato il modulo per la richiesta di informazioni quella mail è richiesta e deve arrivare.

Questo genere di attacco ha due vittime:

  • il proprietario del sito web che rischia di finire in qualche blacklist pubblica, ad esempio Spamhaus è molto attenta a questo fenomeno e comunque si ritrova nel database un numero elevato di iscrizioni o richieste fittizie.
  • il proprietario della mail che si ritrova la casella invasa di messaggi di posta non desiderati e rischia fra i tanti messaggi di non notare qualche messaggio di posta importante.

Questo genere di attacco comporta un fenomeno che potremmo definire “fumogeno digitale“. Supponiamo che l’attaccante abbia le nostre credenziali del conto PayPal e sia pronto ad effettuare un trasferimento di denaro. Gli resta il problema di sopprimere i messaggi di posta verso il nostro indirizzo che potrebbero allarmarci. Con un attacco del genere fra i migliaia di messaggi non desiderati che potrebbero arrivare alla casella in contemporanea il messaggio di PayPal che ci indica l’avvenuto trasferimento potrebbe anche passare inosservato, considerato che sono frequentementi i messaggi di phishing con oggetto PayPal.

argonavislab

Argonavis ed i suoi esperti in sicurezza informatica sono a tua disposizione per darti supporto ed aiutarti a proteggere la tua azienda dai rischi informatici.

Richiedi Informazioni

12 Marzo 2017

Come funziona DKIM per proteggere la tua posta

DKIM (DomainKeys Identified Mail) è un metodo utilizzato per identificare il mittente di un messaggio, evitando il rischio di Spoofing del dominio mittente (obiettivo raggiunto anche da SPF) ed inoltre permette l’identificazione di alterazioni sul contenuto del messaggio.

DKIM basa il suo funzionamento sul meccanismo crittografico, facendo ricorso all’algoritmo SHA a chiave assimetrica, il mittente conserverà con le opportune precauzioni la chiave privata sul mail gateway (mail server, server antispam o l’smtp relay) del proprio dominio e pubblicherà sul DNS un record TXT con la chiave pubblica.

Quando il messaggio viene inviato dal server corretto, al messaggio viene aggiunto un tag con il digest del messaggio, calcolato usando la chiave privata.

Il destinatario, recuperata la chiave pubblica sul record TXT del DNS del dominio mittente, può verificare se il messaggio è stato alterato o comunque se non è stata utilizzata la chiave privata del dominio mittente, in modo da accorgersi dell’inaffidabilità del mittente.

Se il sistema di posta del destinatario non supportasse DKIM il messaggio verrebbe comunque letto correttamente, infatti il messaggio viaggia in chiaro e non in forma cifrata. DKIM non garantisce la riservatezza della comunicazione ma solo l’identificazione del mittente e l’inalterabilità del contenuto.

Purtroppo è valido lo stesso discorso fatto per SPF, la scarsa diffusione di questi sistemi permette di avere ancora percentuali di spam che superano il 50% dei messaggi validi, una adozione capillare di questi sistemi permetterebbe di abbattere i livelli di spam.

Zimbra supporta pienamente questo meccanismo di protezione del mittente, i tecnici Argonavis sono a tua disposizione per aiutarti ad implementare le tecniche di protezioni più efficaci per proteggere la tua organizzazione da attacchi ed eventuali perdite economiche.

Richiedi Informazioni

13 Gennaio 2017

Rilasciato WordPress 4.7.1

È stata rilasciata la versione 4.7.1 di WordPress.

Questa nuova versione oltre a risolvere alcuni problemi di funzionamento ed aggiungere alcune funzionalità risolve le seguenti gravi vulnerabilità:

  • Remote code execution (RCE) in PHPMailer.
  • The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API.
  • Cross-site scripting (XSS) via the plugin name or version header on update-core.php.
  • Cross-site request forgery (CSRF) bypass via uploading a Flash file.
  • Cross-site scripting (XSS) via theme name fallback.
  • Post via email checks mail.example.com if default settings aren’t changed.
  • A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing.
  • Weak cryptographic security for multisite activation key.

Tutti gli utilizzatori di CMS dovrebbero tenere sempre in grande considerazione l’aggiornamento costante del proprio ambiente di erogazione dei contenuti. Non aggiornare un CMS molto diffuso come WordPress o Joomla espone il sito web a gravissimi rischi di sicurezza.

Bloccare l’esecuzione di eseguibili da dispositivi rimovibili con Kaspersky

I dispositivi rimovibili sono considerati da sempre una fonte di rischio di infezione da parte del malware.

Esiste anche un’altra situazione che si vorrebbe evitare, ovvero che l’utente possa eseguire delle applicazioni, magari in edizione portable e quindi in grado di aggirare una policy che vieta l’installazione di nuovo software, trasportate tramite chiavette USB.

Kaspersky ci mette a disposizione tramite il modulo Application Startup Control lo strumento per bloccare l’esecuzione di file .exe da dispositivi rimovibili.

Come primo passo dobbiamo creare una nuova Application Categorynuova categoria

nuova categoria nuova categoria

nuova categoria
Volendo potremmo creare una esclusione per alcune applicazioni, in questo esempio andiamo ad inserire il file .exe di setup di Kaspersky Endpoint Security 10.
nuova categoria

nuova categoria
nuova categoria

Conclusa la creazione della categoria di software, possiamo creare una nuova regola su Application Startup Control.

Selezionato in Category, la nostra categoria appena creata, mettiamo in flag solo sulla voce: “Deny for other users”. In questa maniera, non avendo selezionato nessun utente a cui è permesso, la conseguenza sarà quella di impedire a tutti l’utilizzo di eseguibili dal dispositivo rimovibile.application startup controlapplication startup control

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

28 Dicembre 2016

Blog & News

Categorie