Skygofree, spionaggio via mobile in stile hollywoodiano

Skygofree, spionaggio via mobile in stile hollywoodiano

Dal blog di Kaspersky LAB

La maggior parte dei Trojan hanno in comune più o meno le stesse caratteristiche: dopo essersi insinuati nel dispositivi, possono appropriarsi delle informazioni di pagamenti del proprietario, effettuare il mining di criptomonete al posto del cybercriminali oppure cifrano i dati e richiedono un riscatto. Tuttavia, alcuni Trojan posseggono capacità che ricordano film di spionaggio degni di Hollywood. Continua a leggere Skygofree, spionaggio via mobile in stile hollywoodiano

20 Gennaio 2018

Rilasciato LibraESVA 4.3.0

E’ stata rilasciata la versione 4.3.0 di LibraESVA, in questa release sono presenti correzioni a problemi noti e nuove funzionalità.
Tutti i clienti LibraESVA sono incoraggiati a procedere con l’aggiornamento.

Logo_Esva

Nuove funzionalità/Cambiamenti

  • Web interface improvements, new dialogs and buttons, clear the browser cache completely
  • Threat Analysis Portal: you can analyze threat analysis data from your Esva Appliances by registering them on tap.esvalabs.com. Just go to tap.esvalabs.com, create an account and follow the instructions. The service is free for all Libra Esva customers
  • QuickSand: added a new option to Disarm external links contained in PDF files
  • QuickSand: added support for RTF documents
  • Office365 and Google Apps integration: ip classes for outgoing email are automatically updated by ESVA
  • SPF: it is now possible to whitelist a domain (it will skip SPF validation)
  • Whaling Plugin: external email addresses are now allowed if DKIM-validated
  • Email Continuity: now you can reply to an email directly from the web interface
  • Full support for DMARC validation
  • Message list: new symbols for incoming and outgoing messages
  • Login to the web interface can now be restricted to authorized networks only. Different settings for admins, domain admins and users are supported
  • Quarantine Settings: most of quarantine settings are now customizable for each domain
  • New Quarantine Action “Release” in addition to “Release & Whitelist”
  • Inbound signatures are now customizable for each domain
  • Rules to inspect the content of the archives can now be set for a single email address (it was configurable only for the domain)
  • Rules to allow encrypted archives can now be set for a single email address (it was configurable only for the domain)
  • Dynamic Verification Cache can be resetted by pressing the “Rebuild all” button in the “domain relay” configuration page
  • When releasing an email users are now required to enter a reason, which is logged in the audit log
  • Users can teach Antispam from outside Safe Learn Networks if they have the Passwordless Authentication Cookie
  • Syslog; you can now enable additional logging of email subject, spam report for clean messages, filenames allowed by filename rules and filenames allowed by filetype rules
  • LocalRBL improvements: you can fine tune the behavior of the RBL by defining the percentage of spam/threat messages needed in order to blacklist the sender
  • Footer links to blacklist the source now require an user confirmation
  • It is possible to have different antispoofing configurations for some email addresses. Just enter a single email address in the relay table and set it’s antispoofing configuration
  • Strictier TLS: some weak chipers are not accepted anymore on SMTP protocol encryption
  • Improved LDAP Import to prevent duplicated users
  • Extended APIs for domain configuration
  • Passwordless authentication: added new API to generate the password authentication Link
  • Additional events added to the Audit Log
  • License calculation improvement

BUG Fixes

  • Disabling TLS for Mail Encryption was not possible
  • Remote syslog configuration didn’t perform as expected in some cases involving distributed setup and cluster
  • Some encrypted archives where corrupted by QuickSand
  • External SmartHost configuration: changing the IP address when credentials were already configured didn’t work as expected
  • Digest Report in Outlook Web Access had some rendering issues
  • User List: search functions for muti-domain admins had some bugs
  • Quarantine Report: after restoring Esva configuration from a Backup File some links in the report were not correct
  • When “Users can change their own Spam Settings” was set to “No” users couldn’t also change their own properties, now they can.
  • SNMP Configuration now is applied correctly on both nodes of the cluster
  • When uploading a new license, Avira signatures had to be downloaded again, now they are retained
  • Distributed Search now fully supports wildcard searches
  • Distributed Search now correctly displays Smtp Reject reasons
  • SMTP Policy Quota now is correctly replicated during cluster wizard
  • Search: when email contained more than 3 recipients a search for one recipient didn’t always return all the emails
  • Quarantine Report generation sometimes was delayed in respect to the configured time

argonavislab

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

8 Gennaio 2018

Rilasciato LibraESVA 4.2

E’ stata rilasciata la versione 4.2.0 di LibraESVA, in questa release sono presenti correzioni a problemi noti e nuove funzionalità.
Tutti i clienti LibraESVA sono incoraggiati a procedere con l’aggiornamento.

Logo_Esva

Problemi noti corretti

  • Distribuited Search: gli spazi finali vengono correttamente tagliati
  • Corretti degli errori sui report schedulati per Domain Admins e Multi Domain Admins
  • DKIM: corretti alcuni problemi della configurazione su caratteri non ammessi nel nome di dominio e sul percorso non valido.
  • Delivery Information adesso riportano correttamente tutti i destinatari
  • Content Filtering Rules: corretto un errore con gli operatori “equals” e “matched regular expression”
  • Reports: corretto un problema sul filtro “Message Already Released”
  • URLSandbox: whitelisting adesso funziona anche se Phishing Highlight è disablitato
  • Dictionary Rules: Corretto un problema con FromOrTo da default su regole multiple
  • Corretto un problema sulla modifica del corpo del messaggio in “User Management –> Text Import”
  • Migliorata l’affidabilità della funzionalità di esportazione
  • LDAP Global Filter ora sono applicabili anche all’autenticazione
  • Corretto un problema su “Disarm Web Bug” inline pixel
  • Migliorata l’elaborazione di TNEF (winmail.dat)

Nuove funzionalità/Cambiamenti

  • Aggiunta nella Dashboard la mappa mondiale della provenienza delle minacce
  • Aggiunta in Message Details la mappa visuale con il percorso compiuto dal messaggio
  • Aggiunta la prevenzione al Whaling Phishing
  • Aggiunta la possibilità di personalizzare i messaggi e Whitelisting per QuickSand
  • Quarantine Report è accessibile anche da utenti senza password tramite l’autenticazione sicura fatta tramite cookie
  • Molti altri piccoli miglioramenti di sicurezza al comportamento di tutti i motori di scansione
  • Il controllo all’interno degli archivi gestisce più formati come: .7z, .B64, .BZ, .BZ2, .CAB, .GZ, .MIM, .TAR, .TAZ, .TBZ, .TBZ2, .TGZ, .TZ, .UUE, .XZ, .Z
  • Il riavvio non è più richiesto al caricamento della licenza se la licenza non era ancora scaduta
  • Migliorata la ricerca dei messaggi: Aggiunta la possibilità di cercare una parte di stringa per mittenti e destinatari e mostrare l’hostname in smtp rejected messages
  • Molti miglioramenti nelle API
  • Migliorata la grafica del Quarantine Report per i dispositivi mobili
  • Reports: aggiunti nuovi filtri temporali ed il supporto agli operatori logici (and/or) fra filtri
  • Domain tags su Domain Relay per semplificare la ricerca ed aggiornamenti massivi
  • Più interfacce ethernet supportate dall’interfaccia web
  • Migliorata l’importazione tramite CSV di White/Black List
  • Migliorato il conteggio delle licenze (con assegnazione manuale degli alias)
  • La richiesta di rilascio di un messaggio un quarantena può essere notificata all’amministrazione di dominio

NOTE: Questo aggiornamento richiede alcuni minuti per essere completato e richiede il riavvio del sistema. E’ raccomandato effettuare uno snapshot prima di iniziare l’aggiornamento.

L’aggiornamento è scaricabile all’indirizzo: http://docs.libraesva.com/download/libra-esva-4-1-0-0-to-4-2-0-0-upgrade-script/

argonavislab

I tecnici certificati su LibraESVA di Argonavis sono a tua disposizione per darti supporto tecnico o commerciale su LibraESVA

20 Giugno 2017

Distribuire la patch per risolvere CVE-2017-0143 tramite Kaspersky Security Center

A seguito dell’ampia diffusione della notizia dei danni provocati dal ransomware WannaCry gli utenti Windows hanno iniziato ad installare la patch per risolvere la vulnerabilità.

Kaspersky Security Center ha uno strumento per installare la patch in maniera automatizzata utilizzando la seguente procedura:

  1. Scaricare l’aggiornamento dal sito Microsoft
  2. Creare una cartella temporanea e copiare il file *.msu scaricato nel passo precendente
  3. Nella cartella temporanea creare un file .bat ed inserire il seguente comando:

wusa.exe %updatename%.msu /quiet /warnrestart

Sostituire %updatename% con il nome esatto del file scaricato (differente per ogni versione di sistema operativo).

Il comando esegue l’installazione silenziosa dell’aggiornamento ed al termine richiederà il riavvio. Non è possibile evitare il riavvio al termine dell’installazione.

Al posto del parametro warnrestart è possibile indicare forcerestart, in quel caso il sistema verrà riavviato immediatemente senza consenso dell’utente (parametro utile nelle postazioni non presidiate).

Nota: Non ci sono conseguenze negative nell’esecuzione del comando su un computer in cui l’aggiornamento era già stato installato.

  1. In Kaspersky Security Center, menu Advanced → Remote installation → Installation packages. Premere su Create installation package.
  2. In “New Package Wizard”, selezionare Create installation package for specified executable file.

Image: create the installation package

  1. Creare il pacchetto di installazione con il file .bat. Selezionare Copy entire folder to the installation package per includere il file .msu.
  2. Installare il pacchetto sui computer avendo cura di sceglierli in base al sistema operativo per cui è stata creata la patch.

16 Maggio 2017

Ransomware Wannacry e patch management

Nelle ultime ore si sta diffondendo un nuovo tipo di ransomware chiamato con il nome di Wannacry, non mi soffermerò a descrivere il suo comportamento visto che è comune alla propria specie: effettua la crittografia usando l’algoritmo di cifratura AES e richiede un riscatto in bitcoin, ma per la sua caratteristica di colpire sfruttando delle vulnerabilità del software.

Da tempo avevamo previsto che il ransomware sarebbe potuto mutarsi in virus e puntualmente è accaduto. Wannacry verrà ricordato come l’inizio di una nuova era nell’epoca del Cyber Crime.

Fin’ora avevamo sempre visto che l’innesco di una infezione di ransomware era legata ad un comportamento poco accorto di qualche utente: un allegato ad un messaggio di posta aperto, l’apertura di un link in un messaggio di posta elettronica, la visita ad un sito web pericoloso o comunque che avesse già subito un attacco informatico.

Wannacry invece supera questi schemi noti ed inaugura la stagione dei “virus” ransomware, la cui caratteristica è quella di diffondersi in modo automatico ovvero utilizzando anziché un vettore di penetrazione legato all’incapacità umana di comprendere la pericolosità delle proprie azioni, un vettore di penetrazione legato alle vulnerabilità del software installato.

Le vittime scelte da Wannacry, che al momento ha colpito in particolare in Russia, ma anche in Italia (che guida la particolare classifica europea delle vittime di questo ransomware) hanno un elemento in comune, non avevano installato una patch di Microsoft per i propri sistemi operativi, rilasciata nel bollettino di marzo Microsoft Security Bulletin MS17-010 – Critical

Il risultato è stato che gli attaccanti hanno potuto colpire tutti coloro che non si erano “protetti” installando tempestivamente l’aggiornamento.

Questo nuovo tipo di diffusione della minaccia, deve spingerci a far evolvere la nostra strategia di difesa. La sola protezione perimetrale era già stata superata dalla mobilità dei dispositivi, le tecniche di protezione degli endpoint (anche le più sofisticate che fanno uso di machine learning e riconoscimento delle applicazioni) non sono più efficaci se non impariamo a tenere aggiornato dal punto di vista della sicurezza i nostri software.

Per tutti coloro che ancora non sono stati infettati si suggerisce di verificare ed installare il prima possibile la patch di sicurezza, mentre per le vittime non resta che ripristinare un backup o pagare il riscatto in bitcoin.

Fra le dotazioni minime di protezione informatica in azienda, oltre ai già diffusi Firewall (UTM) e Anti Malware installati sugli endpoint, dobbiamo prevedere sistemi di gestione automatiche delle Patch per evitare che minacce di questo genere possano colpirci.

Aggiornamento del 15/05/2017: Vista la particolare gravità della situazione Microsoft ha deciso di distribuire un aggiornamento (disponibile a questo indirizzo: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598) per risolvere la vulnerabilità anche per i sistemi operativi Windows XP e Windows 2003 il cui supporto era stato interrotto.

13 Maggio 2017

Blog & News

Categorie