Regolamento generale sulla protezione dei dati (GDPR)

Il regolamento generale sulla protezione dei dati (GDPR) (regolamento UE 2016/679) è un Logo-Unione-Europea-2regolamento con il quale la Commissione Europea ha voluto omogeneizzare e rafforzare la protezione dei dati personali all’interno dell’Unione Europea. Il regolamento, trascorso il periodo di transizione andrà a sostituire la direttiva sulla protezione dei dati (direttiva UE 95/46 del 1995).

Il periodo di transizione durerà due anni, ed entrerà pienamente in vigore il 25 maggio 2018.
A differenza di una direttiva, questo provvedimento è un regolamento che viene applicato senza richiedere che i governi nazionali lo recepiscano con delle leggi nazionali.

Secondo il nuovo regolamento sono da considerarsi dati personali qualsiasi informazione riguardante una persona fisica, sia che si riferisca alla sua vita privata che la sua vita professionale o pubblica.

Può essere qualsiasi tipo di informazione: un nome, una foto, un indirizzo e-mail, coordinate bancarie, messaggi su siti web o social network, informazioni mediche, o l’indirizzo IP di un computer.

Il regolamento si applica oltre alle aziende ed alle organizzazioni con sede all’interno di un paese dell’Unione Europea, anche a quelle società extra comunitarie che trattano i dati di cittadini europei.

Dal 2018 tutte le aziende che trattano i dati di cittadini europei dovranno attenersi scrupolosamente al GDPR.

In caso di incidente informatico e violazione dei dati, sono previste multe, per le aziende, fino al 4% dei loro ricavi annui o 20 milioni di Euro (si applica il valore maggiore), oltre all’obbligo di informare l’autorità di vigilanza del proprio paese.

Le attività da svolgere per essere compliance sono numerose ed il tempo a disposizione (2 anni circa) non è molto.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni ed illustrarvi come proteggere i vostri sistemi impiegando le più diffuse best practies ed utilizzando le tecnologie più efficaci.

Richiedi Informazioni

6 Luglio 2016

Quando il pericolo è nell’antivirus

Le vulnerabilità delle applicazioni sono la più grande minaccia da cui dovremmo guardarci, anche perché mentre gli attacchi vengono portati da attaccanti, che spesso scelgono accuratamente le proprie vittime, le applicazioni le andiamo a scegliere ed installare noi eggstessi.

Negli ultimi periodi, analizzando i casi di attacco più importanti abbiamo sempre riscontrato che uno dei vettori utilizzati per effettuare l’attacco è stata una vulnerabilità.

Fra le ultime vulnerabilità riscontrate un gruppo di queste ha coinvolto i prodotti di un noto produttore di software antimalware: Symantec.

  • CVE-2016-2207 Symantec Antivirus multiple remote memory corruption unpacking RAR [1]
  • CVE-2016-2208 Symantec antivirus products use common unpackers to extract malware binaries when scanning a system. A heap overflow vulnerability in the ASPack unpacker could allow an unauthenticated remote attacker to gain root privileges on Linux or OSX platforms. The vulnerability can be triggered remotely using a malicious file (via email or link) with no user interaction. [2]
  • CVE-2016-2209 Symantec: PowerPoint misaligned stream-cache remote stack buffer overflow [3]
  • CVE-2016-2210 Symantec: Remote Stack Buffer Overflow in dec2lha library [4]
  • CVE-2016-2211 Symantec: Symantec Antivirus multiple remote memory corruption unpacking MSPACK Archives [5]
  • CVE-2016-3644 Symantec: Heap overflow modifying MIME messages [6]
  • CVE-2016-3645 Symantec: Integer Overflow in TNEF decoder [7]
  • CVE-2016 -3646 Symantec: missing bounds checks in dec2zip ALPkOldFormatDecompressor::UnShrink [8]

Le più gravi fra queste vulnerabilità permettevano ad un attaccante di far eseguire del codice arbitrario alla macchina vittima, semplicemente inviando un file da far analizzare al motore di scansione, che durante la sua decompressione produceva all’interno dell’applicazione un buffer overflow e comunque un tentativo di attacco fallito è in grado di generare dei crash dell’applicazione e di conseguenza, trattandosi di un sistema di protezione del sistema, una falla nella sicurezza.

Nonostante al momento non risultino casi in cui queste vulnerabilità siano state utilizzate per effettuare un attacco reale non è da sottovalutare la gravità di questo caso, in cui il sistema di protezione è l’elemento stesso di vulnerabilità.

Tutti i clienti Symantec e Norton dovrebbero verificare con il proprio supporto quali patch installare per rendere sicura la propria installazione

 

5 Luglio 2016

Configurare Kaspersky Application Privilege Control per bloccare i ransomware

Il modulo Application Privilege Control di Kaspersky svolge un ruolo fondamentale nell’arginare la diffusione di malware di difficile individuazione con i metodi tradizionali.

In particolare per mitigare il rischio portato dai malware più sofisticati, quelli in grado di comprendere quando sono sotto analisi euristica rendendola inefficace, è importante effettuare una configurazione rigorosa di Application Privilege Control.

Il modulo discrimina in base alla firma dell’eseguibile, quelli noti da quelli sconosciuti, e concede l’accesso alle risorse in base al livello di fiducia.

kas application privilege control

Per poter essere il più efficace possibile la configurazione di default deve essere modificata e deve essere settata per l’opzione: “For unknown applications” il valore: “Automatically move to group: Untrusted“.

In questo caso avremo la certezza di bloccare l’esecuzione di tutte le applicazioni sconosciute, ed un malware rientrerà sicuramente in questa categoria.

Una configurazione così rigida porta a diversi casi in cui applicazioni poco diffuse possono rimanere bloccate.

Suggeriamo di monitorare il comportamento effettuando il log degli eventi di blocco da parte di Application Privilege Control in modo da rendere facile lo sblocco manuale delle applicazioni non pericolose.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

30 Giugno 2016

Tecniche tradizionali di individuazione del malware

I sistemi anti-malware utilizzano fondamentalmente due tecniche di individuazione, la prima si basa sulla firma, mentre la seconda sul comportamento dell’eseguibile.

La tecnica basata su firma è stata la prima ad essere utilizzata, si basa sull’individuazione di caratteristiche statiche del malware, come ad esempio l’hash dell’applicazione o particolari pattern che vengono introdotti nel file contaggiato.

Il verdetto basato su firma ha un bassissimo costo computazionale ed ha un livello di incertezza molto basso portando a risultati molto precisi, con una probabilità quasi assente di falsi positivi, mentre invece è elevata la probabilità di falsi negativi.

Questo dipende fondamentalmente da due problemi:

  • il tempo che viene impiegato dall’industria del anti-malware per produrre le firme necessarie ad intercettare un nuovo malware, in genere è almeno 15-20 giorni dall’apparizione del primo esemplare, periodo lunghissimo in cui si rischia seriamente una epidemia.
  • è sufficiente una leggera mutazione del malware per rendere la firma inefficace, in presenza di mutazione è necessario rilasciare una nuova firma e purtroppo le mutazioni sono frequentissime.

L’industria dell’anti-malware ha ideato una seconda strategia di individuazione del malware, basata sull’analisi del comportamento del campione in esame. Il sistema crea un ambiente isolato nel sistema operativo su cui gira il software in cui viene tenuto sotto controllo il comportamento.

Il livello di certezza del verdetto dipende molto dalla bontà delle euristiche e del livello di approfondimento dell’analisi, più sarà approfondita e più il livello di veridicità del verdetto sarà elevato. In questi casi comunque viene espressa sempre la probabilità che si tratti di un malware e non una certezza.

Questa tecnica è in grado di individuare più facilmente i malware appena prodotti e le mutazioni dei malware noti, tuttavia ha un costo computazione molto elevato, l’ambiente di analisi viene caricato in ram e maggiore è il livello di analisi maggiore sarà il carico sul sistema.

Purtroppo questa tecnica su alcuni malware non è sempre efficace, infatti alcuni esemplari particolarmente evoluti sono in grado di individuare l’ambiente di analisi e non manifestano le caratteristiche del malware.

Esistono comunque delle tecnologie evolute per individuare anche questo tipo di minacce ed arrestarle mitigando il rischio, come ad esempio Application Privilege Control di Kaspersky

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

29 Giugno 2016

Monitorare le regole di Kaspersky Application Privilege Control

Il modulo Application Privilege Control presente nel prodotto Kaspersky Endpoint Security for Business è uno degli strumenti più efficaci contro le infezioni dei malware ransomware, tuttavia possono capitare dei falsi positivi, che comportano il blocco delle funzionalità di alcune applicazioni.

La policy di default non effettua il log delle regole di Application Privilege Control quando vengono applicate.

Per attivare il log di queste situazioni, è necessario modificare la policy, nella sezione “Event notification“, selezionare il tab “info” e modificare l’evento “Application Privilege Control rule triggered” selezionando la registrazione del log su “Administrator Server

kas application privileges control

Eventualmente è possibile ricevere una notifica via EMAIL, SMS, SNMP oppure eseguire uno script quando l’evento viene registrato.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

28 Giugno 2016

Blog & News

Categorie