Archives For Antivirus

Ricevo quasi quotidianamente dei comunicati stampa di Codacons, l’associazione nata nel 1986 per difendere l’ambiente e i diritti dei consumatori. Si tratta per lo più di concentrati di parole che mi portano alla mente forconi e caccia alle streghe, ma questo è esclusivamente un parere soggettivo basato su quei testi, perché in realtà credo che associazioni come questa possano avere una loro utilità, soprattutto quando il cittadino e cliente finale, quello piccolo che “non conta nulla” per le grandi aziende, si trova in difficoltà e senza arma alcuna per far valere i propri diritti di consumatore.

Codacons: qui nessuno è esperto.

La regola è sempre la stessa: io guadagno uno stipendio con sudore e dedizione al lavoro, perché dovrei tacere di fronte ad abusi, scarso potere d’acquisto e truffe ben mascherate da aziende forti? Il Codacons (e non solo lui) ha un ruolo in tutto questo. Nota bene: sto sorvolando su nomi precisi e su “accuse” ridicole come quelle relative a Pokémon GO di qualche tempo fa.

Tolto il dovuto cappello per mettere a tacere eventuali troll della prima ora, voglio proporti parte del testo ricevuto una manciata di giorni fa:

Il Codacons mette in guardia tutti gli utenti dalle truffe online: “tutti i giorni siamo bersagliati da un numero incredibile di mail spam e truffaldine che ci raggiungono tramite indirizzo e-mail – afferma il Presidente Marco Maria Donzelli del Codaconse da cui dobbiamo ben guardarci per evitare di cadere vittima di malfattori che ci sottraggono i nostri dati personali.”  Ecco il decalogo anti-truffa del Codacons:

1) Mai diffondere il proprio indirizzo e-mail principale su forum, blog, messaggi o altri siti internet.
2) Evitare di iscriversi col proprio indirizzo e-mail ai siti web sconosciuti.
3) Utilizzare uno dei migliori servizi di posta ossia Gmail, Yahoo Mail ecc.
4) Nel caso di invio di e-mail a più persone, spedirle sempre con gli indirizzi dei destinatari in chiaro, ma nascosti in CCN, per evitare di entrare in mailing list o catene di sant’Antonio molto fastidiose.
5)  Con tutte le e-mail di spam che si ricevono, andare a difendersi facendo denunce per ciascuna di esse, potrebbe essere un lavoro davvero impegnativo e, probabilmente, senza risultati.
Difficilmente infatti la polizia postale darà retta a queste denunce che, per la maggior parte dei casi, rimarranno solo un numero statistico.
6) Non rispondere mai alle e-mail di spam perché esse provengono da indirizzi fasulli.
7) Dotarsi di un antivirus sicuro e che svolga automaticamente un controllo dei contenuti del computer, per evitare che esse venga infettato nel caso di apertura di e-mail di spam.
8) Prestare la massima attenzione e non cliccare su pop-up che vengono visualizzati quando apriamo una mail o una pagina internet.
9) Navigare sempre su siti internet sicuri e con connessione protetta. Non andare su siti identificati come pericolosi.
10) Non inserire mai i propri dati personali se non si è del tutto certi della pagina che abbiamo aperto.

Ho letto la mail e ho riso su un paio di punti, in particolar modo sul terzo, in seguito al quale lanciato un tweet un po’ da pirla (lo ammetto):

Pentito a corto raggio dell’aver messo online una polemica abbastanza sterile senza spiegare in alcun modo il perché del mio ridere, ho aggiunto informazioni in coda al primo tweet, senza aspettarmi una risposta da Codacons, o per lo meno aspettandomene forse una più politicamente corretta:

È chiaro che io abbia fatto un primo gesto errato, ma non è servito a nulla aggiungere informazioni, se non a prendersi una risposta al limite del “ti vedo dall’alto verso il basso“. Ora, dato che non mi piacciono le polemiche sterili e lasciate un po’ a metà, vorrei chiedere a Codacons di mettersi nei panni dell’utente finale, spesso molto ignorante in materia informatica, e provare a mettere in pratica quello che suggeriscono nel decalogo stilato da chissà quale esperto in sicurezza informatica probabilmente assunto nei loro uffici. Vorrei poter rispondere (nonostante io non mi definisca certo un esperto, pur svolgendo un mestiere che mi porta a rimanere particolarmente informato) punto per punto, dove necessario, per confrontarmi con l’esperto dall’altro lato del monitor:

  1. Chiedere di non diffondere l’indirizzo e-mail “principale” all’utente è alquanto improbabile. Moduli delle carte fedeltà del supermercato sotto casa, whois su un dominio registrato per la propria attività, una scuola, un progetto personale, iscrizione a Facebook, rubriche di amici e parenti e chissà cos’altro. In passato (e succederà ancora in futuro) alcuni dei provider che mettono a disposizione il servizio di mailbox gratuita sono i primi a vendere quegli indirizzi a chi lo spam lo mangia e invia a colazione (parliamo di email.it, Hotmail, o magari Libero e compari vari). Là fuori è pieno di persone che non hanno neanche un indirizzo di posta elettronica (e non lo vogliono), figurarsi un master e uno slave.
  2. Ogni sito web è potenzialmente sconosciuto. Fatta eccezione per Google, Amazon e altri nomi altisonanti che più o meno tutti conoscono, il resto è sconosciuto per definizione. L’utente medio non ha idea di chi ci sia dall’altro lato, i suoi dati sono sempre e comunque in “pericolo“, vale anche per i “big“.
  3. Migliori servizi di posta. È quello che mi ha fatto più ridere. Viene citato Yahoo. Davvero non leggete cosa succede su internet? Qui trovate l’articolo scritto da Graham Cluley: grahamcluley.com/yahoo-confirms-500-million-accounts-hacked-2014-data-breach, basta lanciare una ricerca Google per trovare tutti gli altri.
  4. Prima di inviare una mail, soprattutto con molti destinatari (ciò che succede soprattutto quando si parla di newsletter e simili) è bene controllare possibili errori di battitura. Qui si tratta solo di banalità: si consiglia di mettere gli indirizzi di più destinatari in chiaro, poi si corregge il tiro parlando della copia carbone nascosta. Le catene di S.Antonio non piacciono a nessuno, peccato che ancora oggi ne saltino fuori parecchie, alcune volta causate anche da finti esperti.
  5. Tutto corretto. Inutile far perdere tempo alle forze dell’ordine.
  6. Difficile. Gli spammer sono sempre più furbi e i sistemi automatici di invio delle mail pubblicitarie (e non solo, qui c’è di mezzo anche il phishing) sempre più validi. I più classici errori dovuti a un italiano errato iniziano a diventare sempre meno. Le mail che arrivano agli utenti finali sono tutto sommato corrette, possono trarre in inganno. Combatto ogni giorno con quelle mail, cerco più e più volte di formare gli utenti, qualcuno scappa sempre, qualcuno apre quelle bollette dalle cifre spropositate che si rivelano poi essere tentativi di infezione (fortunatamente bloccati da buoni antivirus e sistemi di protezione perimetrale), un po’ quello che dice il punto 7. Non esiste nulla che possa bloccare il 100% di queste mail, esiste solo il buon senso e la generica sfiducia, con conseguente telefonata al reparto IT o all’amico che ha il figlio diplomato o laureato in informatica.
  7. Hai letto il punto 6?
  8. Auguri. I siti web non invasi dalla pubblicità e dai pop-up aperti a tradimento si possono contare sulle dita di una mano. Ci sono soluzioni alternative, si parte dall’utilizzo di browser che non vengano sviluppati da Microsoft all’utilizzo di componenti aggiuntivi come Adblock e simili. Nel mio piccolo –da non esperto– posso solo mantenere la lista X Files, compatibile con i browser più comunemente utilizzati.
  9. Impossibile. L’italiano medio è quello che cerca l’ultimo film uscito al cinema su internet, neanche due ore dopo dalla messa in onda della prima, in italiano, in qualità BluRay, con audio Dolby. Chiaramente quel file non esiste, ma lo cercherà e scaricherà qualsiasi schifezza esistente sulla faccia della terra, probabilmente infettandosi, probabilmente in barba a un buon antivirus sempre aggiornato, probabilmente regalando accesso al suo indirizzo di posta principale aggirando quindi l’ostacolo mentalmente posto dal punto 1. Il problema dell’utente poco informato e inesperto è sempre lo stesso, sta tra la tastiera e la poltrona, è se stesso.
  10. Si rifà un po’ al punto 2.

Ora credo di aver dettagliato il mio punto di vista, per quello che vale. Nessuno qui è esperto, al massimo ci si permette di dare dei consigli, per evitare che informazione certamente non falsa, ma neanche correttamente dettagliata, possa finire in giro per il web, che ne è già sufficientemente pieno. Magari, ammesso ci siano fondi spendibili, perché non investirne qualcuno per pagare un esperto che metta in scacco tutti e ci salvi dalla infezione eterna?

Ora posso tornare nel mio loculo.

Cheers.

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Ultimo appuntamento con le modifiche nell’about:config di Firefox che potranno sicuramente tornarvi utili (vi ho accompagnato nelle ultime settimane, alle 10:30 di ogni sabato mattina del mese di maggio ormai concluso). Concludo questa rapida panoramica sul mondo della personalizzazione dell’about:config di Firefox parlandovi della possibilità di disabilitare la scansione antivirus automatica che parte al termine di ciascun download effettuato dal vostro browser.

mozilla-dinosaur_wallpaper_1920x1200

Si tratta di una funzione assolutamente fondamentale per chi usa quotidianamente il browser, per la quale sconsiglio fortemente la disattivazione di questo utile step aggiuntivo prima che il file venga definitivamente salvato sul vostro disco fisso. Eppure, in rari casi o ambienti, questo potrebbe aiutarvi a non dover ricorrere a metodi alternativi per scaricare materiale potenzialmente dannoso per analisi o lavoro (soprattutto in un campo come quello dell’IT). Attenti sempre a ciò che scaricate, potrebbero facilmente andarci di mezzo file sensibili della vostra quotidianità, cosa mai bella.

Se volete anche voi provare questo “brivido“, andate in about:config e -una volta accettate le condizioni- fate clic con il tasto destro in un’area bianca e create un nuovo valore Booleano da chiamare:

browser.download.manager.scanWhenDone

Impostando sin da subito il suo valore a false per disattivare il controllo antivirus al termine di ciascun download effettuato tramite il browser (quindi tramite il suo Download Manager interno).

Rapido e semplice, la modifica è immediata :-)

Attenzione però: ribadisco e vorrei fosse chiaro il concetto, non partirà più una scansione forzata del file appena scaricato tramite Firefox ogni volta che scaricherete qualcosa. Se l’antivirus è programmato per “stare vigile” all’apertura di un file o di un programma poco male (interverrà direttamente lui in seguito), diversamente potreste andare incontro a brutte sorprese.

In caso di problemi -come sempre- l’area commenti è a vostra disposizione (ammesso che si tratti di qualcosa di relativo all’articolo, ovviamente), altrimenti vi aspettiamo sul forum di Mozilla Italia!

Ieri mattina ho visto spuntare fuori un aggiornamento di stato su Facebook, poi un altro su Twitter, un altro ancora su entrambi e via andare così per svariate ore, è evidentemente stata una giornata “piena“. Mail scritte in italiano corretto, manca giusto qualche simbolo ma si tratta di sciocchezze perché l’occhio viene facilmente ingannato dalla scorrevolezza del testo e dal “possibile contenuto” dato che si parla di ordini, fatture e rimborsi, terreno fertile è la tipica azienda italiana più che il privato cittadino (ma non fa eccezione). Fate attenzione a questo articolo riepilogativo, cercherò di riportare tutti i dati che vi servono per riconoscere le mail con a bordo Cryptolocker prima che sia troppo tardi.

Cryptolocker

Di cosa si tratta

Sarò breve perché non è la parte che interessa “ai più“. Cryptolocker è un software di tipo ransomware, prendono in ostaggio i vostri file crittografandoli con una chiave privata che non potrete avere a meno di versare una cifra stabilita (da loro) entro un tetto massimo di ore (variabili) oltre le quali i file sono da considerarsi definitivamente persi. Volete approfondire? Qui trovate la definizione di Ransomware (in inglese) di e qui Michele ne parlava lo scorso dicembre su ilSoftware. Sul forum di BleepingComputer si parla delle nuove varianti in più lingue (e in questo caso il messaggio in italiano non è così perfetto).

Dettaglio da non sottovalutare: il software è in grado di modificare e impedire l’utilizzo dei file sul vostro PC tanto quanto quelli presenti nei dischi di rete qualora questi dovessero essere per voi accessibili in lettura e scrittura, il danno potrebbe essere potenzialmente devastante.

Le mail che possono arrivare

Sono di diverso tipo e –come detto inizialmente– scritte in italiano tutto sommato corretto e fluente, i dettagli “errati” (e neanche tanto) sono pochi, pochissimi, praticamente appigli inesistenti per l’utente di base (o quasi).

Cryptolocker

Non dovrei dirlo ma quel file (un %Nome a caso sempre variabile%.CAB, per la cronaca) non dovrete mai aprirlo. È una ovvietà ma le telefonate arrivate in HelpDesk (in ufficio da me) non sono state poche, fortunatamente parecchi utenti del gruppo sanno benissimo che possono girare questo tipo di comunicazioni e sanno altrettanto bene che vanno immediatamente cestinate senza pensarci su due volte. Sono rari i casi in cui vengono inoltrate “as-is” all’indirizzo dell’assistenza per una ulteriore verifica. Non è così per tutti, è importante che facciate attenzione a ciò che andate ad aprire spesso “con troppa spensieratezza. Un amico e collega di mestiere è arrivato ad affermare che con i propri clienti è diventato più semplice chiedere di pagare piuttosto che debellare la minaccia e recuperare i file, spesso mancano i backup (soprattutto quando si tratta di privati che pensano di essere al di sopra delle più banali norme di sicurezza e protezione dei dati) e non esistono ancora metodi sicuri per rimuovere l’infezione e rimuovere la crittografia applicata ai propri documenti. Allo stato attuale delle cose ci sono alcuni antivirus che ancora faticano a rilevare Cryptolocker e le sue varianti più giovani.

Qui il report di VirusTotal su un file CAB infetto: virustotal.com/it/file/cd02630a9b1ae5c224a3aa264190fabff449b3c8922be8d1fb1da28f4ac0b5e4/analysis/1422391692 (1 solo motore antivirus lo rileva senza sapere di preciso di cosa si tratta, tanto per farvi capire quanto può essere pericoloso e apparentemente innocuo).

È di solo 48 ore fa (circa) la discussione nella Mailing List di Sikurezza.org riguardo questo nuovo attacco verso gli indirizzi di posta italiani, consiglio ai più curiosi di dare un’occhiata: mail-archive.com/ml@sikurezza.org/msg04940.html

Incollo un’ulteriore mail che -come noterete- assomiglia parecchio alla prima in immagine poco sopra, in allegato il solito file cab :

"Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver 
ricevuto i prodotti restituiti.

Il tuo numero di riferimento è: V27E67848DA82536
Azienda: A.P.TEX. S.A.S.

I seguenti oggetti sono stati rimborsati come richiesto:
=====
1 x CARTUCCIA EPSON NERO MATT X R1900 C13T0878402: 14.14 EUR
1 x TONER SAMSUNG NERO ML-D3470A X SER. 3560-3561: 90.66 EUR
6 x SW NUANCE OMNIPAGE 16 PRO FULL IT: 460.47*6 = 2762.82 EUR
1 x CORLDESS BRONDI DC2080V GRIGIO: 24.39 EUR
1 x FLOPPY LOCK KENSINGTON 3.5: 17.85 EUR
=====
Totale: 2909.86 EUR

Si prega di aprire il file allegato per maggiori informazioni.

=====
Rubens Cotti"

Dubbi o curiosi di sapere ulteriore informazioni? L’area commenti è a vostra totale disposizione. Colgo l’occasione per ringraziare le varie fonti in ordine sparso per le informazioni e parte dei testi e delle immagini (Andrea e Cristian, ma anche gli utenti della lista di Sikurezza.org)

Fate attenzione!

Aggiornamento 30/1 08:30
Altri articoli raccolti sul web:

Aggiornamento 29/1 08:20
Si parla di attacco hacker ma ovviamente non lo è, il classico doppio clic di troppo ed ecco servita la chiusura per due giorni affinché si possano recuperare i dati dal backup e verificare l’integrità di tutto prima di ricominciare a prestare servizio per la clientela:

SuperMario-big_booÈ una di quelle cose che potreste necessitare nei casi più estremi, quelli per i quali la macchina sembra irrecuperabile perché al boot di Windows cominciano ad uscire fuori finestre da qualsiasi punto dello schermo, errori irreversibili per DLL apparentemente danneggiate, programmi che si aprono in automatico e chissà cos’altro. Il vostro sistema operativo privo ormai di difese immunitarie funzionanti potrebbe aver esalato l’ultimo respiro. C’è però un’ultima speranza prima della morte certa e della necessaria formattazione.

Si chiamano immagini di boot, le vecchie ma sempreverdi “live” che un tempo si masterizzavano su CD e oggi si portano in giro facilmente su chiave USB, e così come quelle che utilizzo per cambiare una password di amministratore o clonare un disco fisso possono avere a bordo software di ogni tipo, antivirus compreso.

Mi sono ritrovato nella classica situazione irrecuperabile e per aiutare un amico ho deciso di mettere alla prova una di queste immagini. Mi sono affidato a ESET che -come molti di voi sapranno- tira le fila del famoso NOD32, l’ho usato molto in passato e non mi ha mai deluso. L’azienda mette a disposizione un piccolo tool che è in grado di scaricare una ISO live e masterizzarla su CD o su chiave USB (preparandola in modalità boot all’avvio del PC), non dovrete pensare ad altro, si chiama SysRescue e si scarica gratuitamente da eset.com/int/download/utilities/detail/family/239

ESET SysRescue

Il sistema è basato su Linux e una volta caricato in RAM basterà lanciare un update delle definizioni dell’antivirus e lanciare in seguito una scansione (di qualsiasi tipo vogliate, dalla più tradizionale alla custom personalizzabile). Le due istruzioni basilari che ho appena riportato nell’articolo fanno parte dello sfondo del Desktop del sistema live, così sarete sicuri di non dimenticarle ;-)

Oltre ad ESET anche altre grandi aziende del settore mettono a vostra disposizione i propri tool ed immagini live, vi riporto qualche collegamento interessante in una lista pubblica: delicious.com/gioxx/Antivirus%3A%20Bootable%20Images%20%28ISO%2FTools%29

Tra i grandi nomi compaiono anche Kaspersky, Sophos, Comodo, Trend Micro e molti altri, anche Microsoft che mette a disposizione una live del suo Security Essentials che attualmente utilizzo sulla maggior parte delle macchine della mia famiglia dove Windows 7 la fa da padrone ;-)

In ogni caso fate attenzione a chi avrà necessità di una connessione e chi no, chi potrà essere masterizzato / inserito su chiavetta senza ulteriori interventi e chi invece necessita di particolari procedure un pelo più complesse. Si tratta di strumenti sempre molto utili ma non longevi per ovvi motivi, ricordate quindi di ricreare il vostro supporto (CD/USB) di tanto in tanto prima di riutilizzarlo, conviene chiaramente munirsi di CD riscrivibile se ancora preferite la “vecchia scuola“, diversa è la questione in caso si utilizzi un PC non molto anziano in grado di far partire anche un supporto USB.

Buon lavoro e buona fortuna per la pulizia delle infezioni che hanno deciso di rovinare la vostra giornata (o quella di un collega, un amico o chiunque altro vi abbia portato il PC come un bimbo malato da curare) :-)

Vi ho parlato poco tempo fa di sicurezza in azienda e a casa, ma anche per i vostri dispositivi mobili e tutto ciò che è potenzialmente attaccabile da un malware (e non solo). Meno di un mese fa Kaspersky ha pubblicato un articolo sull’argomento, orientato prevalentemente sul concetto di multi-sicurezza, ciò che nessuno di noi credeva necessario fino ad una manciata di anni fa quando ci si limitava ad acquistare o scaricare un prodotto antivirus adatto alla protezione di un solo client, oggi diventato impensabile (non fosse già per il numero di PC tipicamente ospitati sotto lo stesso tetto).

Si contano circa 4,5 dispositivi connessi al web per ciascuna famiglia (così pochi? nda), tutti questi vengono tipicamente colpiti da attacchi più o meno mirati. Si va dal più classico dei virus per Windows (soprattutto le versioni più vecchie ma non abbandonate in favore delle più recenti) agli escamotage un po’ più complessi per attaccare la robustezza alla quale ci ha abituati OS X per il quale il client antivirus è necessario solo se non basta il buonsenso e l’esperienza dell’utilizzatore, passando obbligatoriamente da Android dove un sistema operativo decisamente più aperto e libero rispetto ad iOS fa da incubatrice per le infezioni nascoste dietro applicazioni apparentemente innocue (giochi, software che promettono di spiare il prossimo e mille altre cose simili) senza dimenticare i metodi “classici” dove il vincolo di infezione diventa il sempreverde SMS e le mille pagine e mail di phishing in qualsiasi salsa e compatibili con qualsiasi device o browser o client di posta pur di arrivare alle vostre credenziali bancarie. Se a questo si aggiunge la facilità nello smarrire lo smartphone capite anche voi quanto sia semplice far la frittata.

Il risultato della statistica e di quanto appena riportato sopra si trasforma in un’infografica:

Kaspersky multi security for multi devices

Vuoi inserire l’infografica sul tuo sito?

Ti basterà copiare e incollare il codice qui di seguito per portarla all’interno del tuo sito web o del tuo blog senza la necessità di caricare l’immagine nel vostro spazio:

<a href="http://gioxx.org/wp-content/uploads/23-10-13-PNG_Kaspersky_Lab_infographics_Multi_security_for_multi-devices-DF.png"><img src="http://gioxx.org/wp-content/uploads/23-10-13-PNG_Kaspersky_Lab_infographics_Multi_security_for_multi-devices-DF.png" alt="Kaspersky multi security for multi devices"></br><a href="http://www.kaspersky.com/it">Kaspersky Lab IT</a> via <a href=" http://gioxx.org/">Gioxx’s Wall</a>

E voi ci pensate alla sicurezza dei vostri dispositivi e del vostro PC? :-)