Una infezione su 10 da dispositivi USB è un cryptominer

I dispositivi USB, noti per diffondere malware tra computer non connessi, sono stati sfruttati dagli autori di cyberattacchi come efficace veicolo di distribuzione di malware di cryptomining. Secondo un recente report di Kaspersky Lab sulle minacce legate a USB e supporti rimovibili, anche se la gamma e il numero di attacchi di questo tipo resta relativamente basso, la quantità di vittime sta aumentando di anno in anno.

Nonostante i dispositivi USB vengano utilizzati da circa vent’anni e si siano guadagnati la reputazione di non essere device sicuri, rimangono comunque strumenti professionali molto diffusi e gadget apprezzati nelle fiere. Tutto ciò ha permesso a questi dispositivi di essere un obiettivo dei cybercriminali che hanno potuto utilizzarli per diffondere una serie di minacce. Come rilevato dalla Kaspersky Security Network (KSN), la top 10 delle minacce che sfruttano i supporti rimovibili è stata guidata, almeno fino al 2015, dal malware LNK di Windows. La lista include, inoltre, l’exploit “Stuxnet vulnerability” del 2010 che comincia ad essere “vecchio”, CVE-2018-2568 e sempre più cryptominer.

Secondo i dati del KSN, un cryptominer noto dal 2014 e rilevato nelle drive-root è il Trojan.Win32.Miner.ays/Trojan.Win64.Miner. Il trojan agisce scaricando l’applicazione di mining sul PC, la installa e, senza farsi rilevare, avvia il software di mining scaricando gli elementi che gli consentono di inviare qualsiasi risultato ad un server esterno controllato dall’autore delle minacce. I dati di Kaspersky Lab mostrano che alcune delle infezioni rilevate nel 2018 risalgono ad anni precedenti e sono state quindi probabilmente la causa di un significativo impatto negativo sulla potenza di calcolo del dispositivo della vittima.

Stanno, inoltre, crescendo di circa un sesto, anno dopo anno, le rilevazioni della versione a 64 bit del miner, con un aumento del 18,42% tra il 2016 e il 2017 e se ne prevede un aumento del 16,42% tra il 2017 e il 2018. Questi risultati suggeriscono come la propagazione tramite supporti rimovibili funzioni bene per questa minaccia.

I mercati emergenti, dove i dispositivi USB sono più utilizzati anche in azienda, sono i più vulnerabili alle infezioni maligne diffuse dai supporti rimovibili. I Paesi più colpiti sono Asia, Africa e Sud America, ma sono stati rilevati casi isolati anche in Paesi dell’Europa e del Nord America.

Nel 2018 alcuni dispositivi USB sono stati utilizzati anche per diffondere Dark Tequila, un complesso malware bancario scoperto il 21 agosto 2018, attivo in Messico dal 2013, che ha colpito utenti e aziende. Inoltre, secondo i dati del KSN, l’8% delle minacce rivolte ai sistemi di controllo industriale, nella prima metà del 2018, sono state diffuse tramite supporti rimovibili.

 

 

“I dispositivi USB, rispetto al passato, possono essere meno efficaci nella diffusione dell’infezione a causa della crescente consapevolezza della loro debolezza a livello di sicurezza e della diminuzione del loro utilizzo in ambito aziendale, ma la nostra ricerca mostra che rimangono comunque un rischio significativo che gli utenti non dovrebbero sottovalutare. Questi dispositivi sono certamente utili ai cybercriminali, che infatti continuano a sfruttarli, anche perché alcune infezioni non vengono rilevate addirittura per anni. Fortunatamente ci sono alcuni accorgimenti molto semplici che gli utenti e le aziende possono adottare per preservare la sicurezza” ha dichiarato Morten Lehn, General Manager Italy di Kaspersky Lab.
I dispositivi USB offrono molti vantaggi: sono compatti e maneggevoli e una grande risorsa per una azienda, ma i dispositivi in sé, i dati memorizzati su di essi e i computer a cui vengono collegati sono tutti potenzialmente vulnerabili alle cyberminacce se non protetti.
Kaspersky Lab consiglia di seguire alcuni accorgimenti per utilizzare i dispositivi USB e altri supporti rimovibili in modo sicuro:

  • Fare attenzione ai dispositivi che si connettono al proprio computer – qual è la loro origine?
  • Investire in dispositivi USB crittografati di marche affidabili, in questo modo i propri dati sono al sicuro anche se si perde il dispositivo
  • Assicurarsi che tutti i dati memorizzati sulle USB siano crittografati
  • Avere installata una soluzione di sicurezza in grado di verificare che sui supporti rimovibili non ci siano malware installati prima di collegarli alla rete; può infatti accadere che anche i dispositivi delle marche affidabili possano essere compromessi attraverso la loro supply chain.

Ulteriori consigli per le imprese:

  • Regolamentare l’uso dei dispositivi USB in azienda: definire quali dispositivi USB possono essere utilizzati, da chi e per cosa
  • Istruire i dipendenti sulle modalità sicure per utilizzare le USB, in particolare quando utilizzano un dispositivo sia su un computer di casa che su uno dell’ufficio
  • Non lasciare USB in giro e in vista

Le soluzioni di sicurezza di Kaspersky Lab, come Kaspersky Endpoint Security for Windows, garantiscono sicurezza e crittografia per tutti i supporti rimovibili, inclusi i dispositivi USB.
Il report completo sulle minacce USB è disponibile su Securelist.

Fonte
Kaspersky – Securelist

1 Ottobre 2018

Privacy , schede di sintesi : #3 Trasparenza del trattamento: l’informativa agli interessati

Trasparenza del trattamento: l’informativa agli interessati

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all’interessato alcune informazioni anche per  metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo)

Quando

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento).

Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).

Cosa

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.

In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.

Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Come

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online:  articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1).

Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.

In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee (anche considerando 58).

Per maggiori dettagli ed esempi di redazione di informative,  il documento del WP29 in materia di “Trasparenza” del trattamento, qui disponibile: www.garanteprivacy.it/regolamentoue/trasparenza

Fonte
Schede di sintesi redatte dall’Ufficio del Garante per la Protezione dei Dati Personali a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell’Autorità

28 Settembre 2018

Privacy , schede di sintesi : #2 la liceità del trattamento di dati personali

Assicurare la liceità del trattamento di dati personali

Il Regolamento, come già il d.lgs 196/2003 Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:

  • consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Categorie particolari di dati personali

Per le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento, che qui ricordiamo:

  • l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
  • il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
  • il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
  • il trattamento è necessario per uno dei seguenti scopi:
    • per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
    • per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
    • per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
    • per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
    • per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
    • per motivi di interesse pubblico nel settore della sanità pubblica;
    • per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Per alcune di tali finalità sono previste limitazioni o prescrizioni ulteriori, anche nel diritto nazionale.

Il consenso

Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l’interessato ha prestato il proprio consenso), che è valido se:

  • all’interessato è stata resa l’informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
  • è stato espresso dall’interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.

Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica.

Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).

Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).

Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).

Per approfondimenti:
Linee-guida sul consenso
Linee-guida in materia di profilazione e decisioni automatizzateazione.

Interesse vitale di un terzo

Si può invocare tale base giuridica per il trattamento di dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione (considerando 46 : Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.).

Interesse legittimo prevalente di un titolare o di un terzo

Il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato. Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio.
Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento 2016/679.

L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

Il Regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

Si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (articolo 9, paragrafo 2, del Regolamento).

Fonte
Schede di sintesi redatte dall’Ufficio del Garante per la Protezione dei Dati Personali a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell’Autorità

21 Settembre 2018

Perche’ non esistono antivirus per IOS ?

Potrebbe sembrare strano che Kaspersky Lab non offra un’app antivirus per iOS, ma c’è una buona ragione: Apple non ammette app ufficiali di antivirus nell’App Store, dichiarando  che “Apple ha progettato la piattaforma iOS con la sicurezza al centro” e quindi il sistema operativo non ha bisogno di un’utilità antivirus.

Sembra arrogante, ma non è solo marketing: Apple iOS è infatti progettato per essere molto sicuro.

Le app iOS vengono eseguite nelle proprie sandbox: ambienti sicuri che nascondono le app, tenendole lontane dai dati di altre app, e dalla possibilità di manomettere i file del sistema operativo.
In ambiente iOS, un’app “wanna-be-malicious” non sarà in grado di rubare o compromettere nulla: non sarà consentito l’accesso al di fuori della propria sandbox, dove vengono memorizzati ed elaborati solo i propri dati.
Oltre a questa misura di sicurezza, Apple limita l’installazione sui dispositivi iOS solo a quelle app che provengono dall’App Store ufficiale (a meno che qualcuno che sia l’amministratore della tua azienda o un malfattore, abbia un account sviluppatore aziendale che consente di utilizzare Mobile Device Management [MDM] per installare app da fonti di terze parti).
La società ha un controllo molto stretto su ciò che è consentito nel suo store, controllando il codice di tutte le app prima di approvare qualsiasi cosa.
Ciò significa che qualcuno dovrebbe sviluppare un’app dannosa per iOS e quindi sottoporla a una revisione ufficiale prima di avere la possibilità di installarla su un dispositivo iOS.

Ovviamente, quanto sopra è vero solo per i dispositivi iOS non jailbreak, ma la maggior parte degli iPhone e degli iPad non sono jailbreak, soprattutto perché le versioni moderne di iOS sono molto sicure e non esiste un modo noto per effettuare il jailbreak.
Proprio quelle stesse limitazioni significano che le app antivirus non possono essere create per iOS: qualsiasi soluzione antivirus per funzionare deve essere in grado di vedere cosa stanno facendo le altre app e intervenire se il comportamento di un’applicazione è sospetto, e non puoi farlo in una sandbox.

 

Cosa sono le app di security che trovo nel App Store ?
Cercando nell’App Store troverai app chiamate “di sicurezza Internet”, ma non sono app antivirus. Una soluzione antivirus corretta non può essere eseguita su iOS. Queste app non sono utility antivirus, anche se hanno motori antivirus incorporati, non sono autorizzati a scansionare altre app e i loro dati.
Cosa fanno davvero quelle app? Sono dei falsi? No e possono avere utili funzioni di sicurezza come i moduli antiphishing e antitracking, VPN, utilità di controllo parentale, gestione password, blocco annunci, soluzioni antifurto o qualsiasi combinazione di questi.

Questa è la ragione per cui Kaspersky Internet Security per iOS non esiste.
Ma tutte le funzionalità di cui sopra sono effettivamente utili, ed è per questo che Kaspersky ha qualcos’altro per il sistema operativo mobile di Apple.

 

Sono sicuro con iOS ?
Apple ha davvero progettato iOS con la sicurezza al suo interno, ma non è sufficiente definirlo un sistema operativo assolutamente sicuro. Di tanto in tanto, i criminali informatici scoprono nuovi modi per sfruttare le vulnerabilità in iOS o ingannare i tecnici Apple che esaminano le app.
Ad esempio è stato infettato il kit di sviluppo Xcode in modo che app innocenti create con esso possano diventare malevoli; o app che controllando la posizione geografica quando vengono eseguite negli Stati Uniti non attivano la parte malevole del codice e riescono cois’ a bypassare i controlli Apple e vengono pubblicate nell’App Store.

Fortunatamente, il malware per iOS è molto raro al momento, quindi le probabilità di incontrarne uno è molto bassa.
Ribadiamo che è vero a meno che non si installi un profilo MDM, perché in seguito il dispositivo può essere controllato completamente e in remoto dal server dell’organizzazione che ha emesso il profilo.
Pertanto, per gli utenti non-enterprise, evitare i certificati MDM è la prima regola di sicurezza in  iOS.

 

Nessun malware, nessun problema, giusto?
Sfortunatamente, il malware non è l’unica minaccia. Non dimentichiamo che altre minacce sono altrettanto reali per gli utenti iOS come lo sono per tutti gli altri. Tali minacce includono phishing, spam, intercettazione dei dati di rete e così via e così via, per non parlare delle minacce alla privacy.

 

Rimane quindi importante adottare una soluzione di protezione per iOS per tutte le altre minacce a cui sono esposti anche iPhone e iPad.

 

Fonte
Kaspersky Daily

Blog & News

Categorie