Tag Archive - Sicurezza

Cryptolocker e la sua variante italiana (in aggiornamento)

Ieri mattina ho visto spuntare fuori un aggiornamento di stato su Facebook, poi un altro su Twitter, un altro ancora su entrambi e via andare così per svariate ore, è evidentemente stata una giornata “piena“. Mail scritte in italiano corretto, manca giusto qualche simbolo ma si tratta di sciocchezze perché l’occhio viene facilmente ingannato dalla scorrevolezza del testo e dal “possibile contenuto” dato che si parla di ordini, fatture e rimborsi, terreno fertile è la tipica azienda italiana più che il privato cittadino (ma non fa eccezione). Fate attenzione a questo articolo riepilogativo, cercherò di riportare tutti i dati che vi servono per riconoscere le mail con a bordo Cryptolocker prima che sia troppo tardi.

Cryptolocker

Di cosa si tratta

Sarò breve perché non è la parte che interessa “ai più“. Cryptolocker è un software di tipo ransomware, prendono in ostaggio i vostri file crittografandoli con una chiave privata che non potrete avere a meno di versare una cifra stabilita (da loro) entro un tetto massimo di ore (variabili) oltre le quali i file sono da considerarsi definitivamente persi. Volete approfondire? Qui trovate la definizione di Ransomware (in inglese) di e qui Michele ne parlava lo scorso dicembre su ilSoftware. Sul forum di BleepingComputer si parla delle nuove varianti in più lingue (e in questo caso il messaggio in italiano non è così perfetto).

Dettaglio da non sottovalutare: il software è in grado di modificare e impedire l’utilizzo dei file sul vostro PC tanto quanto quelli presenti nei dischi di rete qualora questi dovessero essere per voi accessibili in lettura e scrittura, il danno potrebbe essere potenzialmente devastante.

Le mail che possono arrivare

Sono di diverso tipo e -come detto inizialmente- scritte in italiano tutto sommato corretto e fluente, i dettagli “errati” (e neanche tanto) sono pochi, pochissimi, praticamente appigli inesistenti per l’utente di base (o quasi).

Cryptolocker

Non dovrei dirlo ma quel file (un %Nome a caso sempre variabile%.CAB, per la cronaca) non dovrete mai aprirlo. È una ovvietà ma le telefonate arrivate in HelpDesk (in ufficio da me) non sono state poche, fortunatamente parecchi utenti del gruppo sanno benissimo che possono girare questo tipo di comunicazioni e sanno altrettanto bene che vanno immediatamente cestinate senza pensarci su due volte. Sono rari i casi in cui vengono inoltrate “as-is” all’indirizzo dell’assistenza per una ulteriore verifica. Non è così per tutti, è importante che facciate attenzione a ciò che andate ad aprire spesso “con troppa spensieratezza. Un amico e collega di mestiere è arrivato ad affermare che con i propri clienti è diventato più semplice chiedere di pagare piuttosto che debellare la minaccia e recuperare i file, spesso mancano i backup (soprattutto quando si tratta di privati che pensano di essere al di sopra delle più banali norme di sicurezza e protezione dei dati) e non esistono ancora metodi sicuri per rimuovere l’infezione e rimuovere la crittografia applicata ai propri documenti. Allo stato attuale delle cose ci sono alcuni antivirus che ancora faticano a rilevare Cryptolocker e le sue varianti più giovani.

Qui il report di VirusTotal su un file CAB infetto: virustotal.com/it/file/cd02630a9b1ae5c224a3aa264190fabff449b3c8922be8d1fb1da28f4ac0b5e4/analysis/1422391692 (1 solo motore antivirus lo rileva senza sapere di preciso di cosa si tratta, tanto per farvi capire quanto può essere pericoloso e apparentemente innocuo).

È di solo 48 ore fa (circa) la discussione nella Mailing List di Sikurezza.org riguardo questo nuovo attacco verso gli indirizzi di posta italiani, consiglio ai più curiosi di dare un’occhiata: mail-archive.com/ml@sikurezza.org/msg04940.html

Incollo un’ulteriore mail che -come noterete- assomiglia parecchio alla prima in immagine poco sopra, in allegato il solito file cab :

"Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver 
ricevuto i prodotti restituiti.

Il tuo numero di riferimento è: V27E67848DA82536
Azienda: A.P.TEX. S.A.S.

I seguenti oggetti sono stati rimborsati come richiesto:
=====
1 x CARTUCCIA EPSON NERO MATT X R1900 C13T0878402: 14.14 EUR
1 x TONER SAMSUNG NERO ML-D3470A X SER. 3560-3561: 90.66 EUR
6 x SW NUANCE OMNIPAGE 16 PRO FULL IT: 460.47*6 = 2762.82 EUR
1 x CORLDESS BRONDI DC2080V GRIGIO: 24.39 EUR
1 x FLOPPY LOCK KENSINGTON 3.5: 17.85 EUR
=====
Totale: 2909.86 EUR

Si prega di aprire il file allegato per maggiori informazioni.

=====
Rubens Cotti"

Dubbi o curiosi di sapere ulteriore informazioni? L’area commenti è a vostra totale disposizione. Colgo l’occasione per ringraziare le varie fonti in ordine sparso per le informazioni e parte dei testi e delle immagini (Andrea e Cristian, ma anche gli utenti della lista di Sikurezza.org)

Fate attenzione!

Aggiornamento 30/1 08:30
Altri articoli raccolti sul web:

Aggiornamento 29/1 08:20
Si parla di attacco hacker ma ovviamente non lo è, il classico doppio clic di troppo ed ecco servita la chiusura per due giorni affinché si possano recuperare i dati dal backup e verificare l’integrità di tutto prima di ricominciare a prestare servizio per la clientela:

Quello che Google sa di te (e anche di me)

È uno di quegli articoli sempreverdi che non passa mai di moda, “il lupo nero” che la mamma utilizzava per metterci la giusta dose di paura addosso evitando così di farci mettere le mani sul fuoco o nella presa della corrente elettrica, un metodo da sempre odiato perché preferito alla spiegazione più complessa in stile “non si fa perché“, ma questo è tutt’altro discorso.

sergey-brin-wearing-google-glass-portrait-illustration_Fotor

I dati sono la risorsa più preziosa per il motore di ricerca più importante e conosciuto al mondo, voi siete dati, tutti i giorni, tutto il giorno, una continua cascata nelle loro macchine, nel loro spazio, non ve lo ha mai detto la mamma che nessuno regala niente in realtà? I suoi servizi sono ormai considerati fondamentali e tutti (o quasi) abbiamo una casella di posta GMail o uno smartphone Android (ma anche iOS)ch. Non avete mai avuto la curiosità di sapere cosa sa di voi Google? Ci sono alcuni indirizzi da conoscere per andare a consultare almeno in parte quei dati. Facciamoci insieme un’idea :-)

Una dashboard, tutto il mondo Google

Da qualche tempo ormai big G. ha realizzato e messo a disposizione di noi tutti una grande console attraverso la quale controllare statistiche (ma non solo) di ogni singolo servizio messo a disposizione, è una dashboard dalla quale potrete rilanciare rapidamente ogni sito web connesso all’azienda e al vostro account. Potete dargli un’occhiata (e optare per un reminder mensile che inviterà puntualmente a farlo successivamente) puntando il browser all’indirizzo google.com/settings/dashboard.

Partiamo dai fondamentali: le ricerche

Google è nato come motore di ricerca e come tale nella maggior parte dei casi (per tante persone almeno) viene utilizzato, è giusto quindi partire da quello (fatta eccezione per la Dashboard). Potete consultare la cronologia delle vostre ricerche sia per ciò che riguarda Google (motore principale) che per YouTube, trattandosi di un prodotto della stessa azienda. Rispettivamente potrete far riferimento a google.com/history e youtube.com/feed/history/search_history. Vi ricordo che aprendo una finestra di navigazione anonima (Firefox, Modalità Incognito invece per Chrome) le ricerche non verranno memorizzate all’interno della cronologia.

Google
Download @
Google Play
Developer: Google Inc.
Price: Free
YouTube
Download @
Google Play
Developer: Google Inc.
Price: Free

Sei stato per caso dall’amante?

È una vera e propria cronologia delle vostre posizioni, non necessariamente basata sull’utilizzo di Google Maps. Può andare bene uno smartphone, un checkin o qualsiasi altra cosa ricondotta al vostro account. Salvo un’opzione differente stabilita all’interno delle applicazioni di Google presenti sul vostro PC, telefono o tablet. Se siete stati dall’amante vi consiglio di far qualcosa per eliminare quelle posizioni ormai memorizzate e accessibili (ripeto: se non disattivate volutamente nelle applicazioni di Google) all’indirizzo maps.google.com/locationhistory. Vi chiedete se Google è in grado di mandarvi un killer specializzato in caso di necessità? Beh la risposta è davanti ai vostri occhi filtrando gli ultimi 30 giorni di spostamenti, volendo ;-)

Maps
Download @
Google Play
Developer: Google Inc.
Price: Free

Dimmi chi accede a cosa

Ovvero tutte quelle applicazioni, servizi di terze parti e hardware che in qualche modo comunica con il vostro account Google ed a ciascuno dei suoi servizi e siti web annessi. Non preoccupatevi se troverete sconfinate praterie di schifezze in grado di accedere ai vostri dati, da questa stessa schermata potrete revocare ogni singolo accesso conoscendone prima l’accesso dettagliato, vi basterà puntare il vostro browser all’indirizzo security.google.com/settings/security/permissions.

Pubblicità, alla base di tutto

La pubblicità è l’anima del commercio, si parla quindi di Google Ads, con dati basati sul vostro account e sulla vostra navigazione, google.com/settings/ads vi darà accesso ad abitudini, target, età / sesso / dati personali raccolti grazie a voi o per calcoli degli script di Google stesso. Da qui potrete disattivare inoltre disattivare gli annunci basati sui vostri interessi nei siti specifici dei servizi di Google (GMail, Maps, ecc.) e nella semplice ricerca web. Esiste inoltre un componente aggiuntivo che permette di disattivare il tracciamento di Google Analytics da installare direttamente nel vostro browser, potete scoprirne di più visitando la pagina tools.google.com/dlpage/gaoptout?hl=it.

Controllo di sicurezza dell’account

Si tratta della pagina che riassume i dettagli del vostro account, la stessa all’interno della quale vengono riepilogate anche le policy di sicurezza che lo regolano, dalla quale potrete ritoccare il piano dati a disposizione (lo spazio utilizzato da GMail o dal backup delle foto, giusto per capirci), modificare la password e molto altro ancora, un coltellino svizzero da non sottovalutare affatto, si accede tramite  accounts.google.com.

Verifica in due passaggi

È uno di quegli argomenti di cui vi parlo mille volte e che spero sia entrato ormai nel vostro quotidiano. Più che scoprire cosa Google sa di voi in questo caso sarebbe il caso di mettere tra voi e una terza parte qualsiasi (Google compresa, ndr) uno strato di sicurezza in più. Alla pagina google.com/intl/it/landing/2step troverete istruzioni e tour. Nel caso in cui siate già registrati troverete i vostri dettagli, i codici di backup, il numero di cellulare associato e qualsiasi ulteriore dettaglio, ultimo dettaglio curioso è la data dalla quale Google “vi protegge” tramite la verifica in due passaggi.

ICE: In Case of Emergency

È un prendi tutto e scappa, nel caso in cui voleste fare un fagotto per migrare sull’isola che non c’è oppure nel caso in cui vogliate mettere al sicuro tutto ciò che vi riguarda prima di una improbabile ma eventuale apocalisse in casa Google. Accedete a google.com/takeout e richiedete il download di ciò che vi spetta.

In conclusione

Penso sia importante conoscere il più possibile ciò che ci riguarda e che seminiamo -volenti o nolenti- sul web, soprattutto quando si parla di servizi così importanti come quelli messi a disposizione da Google. La maggior parte di quanto esposto nell’articolo è riassunto nella pagina ufficiale di Google all’indirizzo google.com/goodtoknow/online-safety/security-tools dove troverete inoltre ulteriori informazioni, e nel caso in cui aveste altri suggerimenti per includere altre voci beh, fatevi avanti nei commenti! :-)

Antivirus in fase di boot: le possibili scelte (bootable images)

SuperMario-big_booÈ una di quelle cose che potreste necessitare nei casi più estremi, quelli per i quali la macchina sembra irrecuperabile perché al boot di Windows cominciano ad uscire fuori finestre da qualsiasi punto dello schermo, errori irreversibili per DLL apparentemente danneggiate, programmi che si aprono in automatico e chissà cos’altro. Il vostro sistema operativo privo ormai di difese immunitarie funzionanti potrebbe aver esalato l’ultimo respiro. C’è però un’ultima speranza prima della morte certa e della necessaria formattazione.

Si chiamano immagini di boot, le vecchie ma sempreverdi “live” che un tempo si masterizzavano su CD e oggi si portano in giro facilmente su chiave USB, e così come quelle che utilizzo per cambiare una password di amministratore o clonare un disco fisso possono avere a bordo software di ogni tipo, antivirus compreso.

Mi sono ritrovato nella classica situazione irrecuperabile e per aiutare un amico ho deciso di mettere alla prova una di queste immagini. Mi sono affidato a ESET che -come molti di voi sapranno- tira le fila del famoso NOD32, l’ho usato molto in passato e non mi ha mai deluso. L’azienda mette a disposizione un piccolo tool che è in grado di scaricare una ISO live e masterizzarla su CD o su chiave USB (preparandola in modalità boot all’avvio del PC), non dovrete pensare ad altro, si chiama SysRescue e si scarica gratuitamente da eset.com/int/download/utilities/detail/family/239

ESET SysRescue

Il sistema è basato su Linux e una volta caricato in RAM basterà lanciare un update delle definizioni dell’antivirus e lanciare in seguito una scansione (di qualsiasi tipo vogliate, dalla più tradizionale alla custom personalizzabile). Le due istruzioni basilari che ho appena riportato nell’articolo fanno parte dello sfondo del Desktop del sistema live, così sarete sicuri di non dimenticarle ;-)

Oltre ad ESET anche altre grandi aziende del settore mettono a vostra disposizione i propri tool ed immagini live, vi riporto qualche collegamento interessante in una lista pubblica: delicious.com/gioxx/Antivirus%3A%20Bootable%20Images%20%28ISO%2FTools%29

Tra i grandi nomi compaiono anche Kaspersky, Sophos, Comodo, Trend Micro e molti altri, anche Microsoft che mette a disposizione una live del suo Security Essentials che attualmente utilizzo sulla maggior parte delle macchine della mia famiglia dove Windows 7 la fa da padrone ;-)

In ogni caso fate attenzione a chi avrà necessità di una connessione e chi no, chi potrà essere masterizzato / inserito su chiavetta senza ulteriori interventi e chi invece necessita di particolari procedure un pelo più complesse. Si tratta di strumenti sempre molto utili ma non longevi per ovvi motivi, ricordate quindi di ricreare il vostro supporto (CD/USB) di tanto in tanto prima di riutilizzarlo, conviene chiaramente munirsi di CD riscrivibile se ancora preferite la “vecchia scuola“, diversa è la questione in caso si utilizzi un PC non molto anziano in grado di far partire anche un supporto USB.

Buon lavoro e buona fortuna per la pulizia delle infezioni che hanno deciso di rovinare la vostra giornata (o quella di un collega, un amico o chiunque altro vi abbia portato il PC come un bimbo malato da curare) :-)

Facebook: la sicurezza del vostro account in 5 passaggi

facebook-128Nonostante tutta la mia buona volontà, ci sono cose dalle quali Adblock Plus e la mia NoFacebookAds non possono proteggervi. Spesso le impostazioni di sicurezza del più noto e utilizzato Social Network del mondo non sono poi tanto chiare, lasciano di default impostazioni quasi invisibili che potrebbero lasciar “scappare via” pezzi della vostra vita che magari non volete rendere pubblici. Articoli su blog specializzati, riviste, forum lasciano il tempo che trovano se non vengono aggiornati. Oggi vorrei provare a raccogliere 5 buoni consigli per proteggere al meglio le vostre informazioni, affinché queste possano raggiungere il pubblico da voi scelto.

Una Timeline accessibile per pochi (forse)

Che poi in realtà è una vostra scelta. Personalmente credo che i soli a poter accedere ai contenuti che pubblico debbano essere gli amici dai quali ho ricevuto la richiesta (o che ho cercato io direttamente). Per poter modificare l’impostazione che regola in maniera predefinita il “chi vede cosa” vi basterà selezionare l’icona lucchetto in alto a destra nella barra superiore di Facebook e scegliere la voce “Chi può vedere le mie cose?“.

Facebook Chi Vede Cosa

A questo punto sotto la voce “Chi può vedere i miei post futuri?” potrete scegliere la categoria alla quale dare accesso a tutto ciò che buttate nel grande calderone di Zuckerberg.

Non è certo finita qui. Avete appena ristretto l’accesso ai futuri post ma non a quelli che sono stati già prodotti in passato. Per questo motivo occorrerà selezionare il menu a tendina subito dopo l’icona lucchetto e scegliere Impostazioni:

Menu Impostazioni Account Facebook

Quindi andare nella voce Privacy per limitare l’accesso ai post passati:

Facebook Limita Post Passati

A questo punto comparirà il pulsante “Solo vecchi post” che vi permetterà di modificare l’accesso ad ogni vostro aggiornamento di stato passato rendendolo accessibile solo agli amici. Un’ultima cosa: questo tipo di modifiche vale anche per le informazioni di base che -tra le varie cose- includono la vostra residenza (città), la data di nascita e molti altri dettagli, date un’occhiata a chi può arrivare a capirle spostandovi nella pagina personale e facendo clic su “Aggiorna Informazioni” (tipicamente visibile sulla vostra fotografia di sfondo / header):

Facebook Pulsante Aggiorna Informazioni

In corrispondenza di ciascuna voce presente nella pagina che si andrà ad aprire potrete scegliere di modificarne il contenuto. Selezionando una voce specifica potrete a questo punto impostarne anche la visibilità verso il vostro “pubblico“:

Facebook Restrizione Informazione di base

Il mio consiglio? Fatevi un giro per ciascuna informazione, è possibile che anche solo una di queste non abbia i diritti di accesso che pensavate o volevate che avesse ;-)

Chi può contattarmi tramite Facebook?

Perché siamo maniacali quando si parla dell’antispam sulla nostra casella di posta elettronica ma lasciamo passare molto più facilmente i messaggi (si legga alla voce: rotture di balle) inviate tramite la posta privata del Social Network? Date un’occhiata alle impostazioni del “Chi può contattarmi?” tramite l’icona di sicurezza (il solito lucchetto, ndr):

Facebook Chi puo contattarmi

E con l’occasione scegliete chi potrà richiedere la vostra amicizia. Nel mio caso ho lasciato passare chiunque (Tutti) ma voi potreste sempre scegliere di far arrivare richieste di persone che abbiano a che fare solo ed esclusivamente con amici già approvati (Amici di amici).

Posso cercarti tramite un contatto che possiedo?

Un diverso modo per dire che stai facendo lavorare un programma di terze parti al quale hai lasciato pieno accesso alla tua rubrica e che ora mi manderai la tua richiesta di amicizia solo perché sei riuscito a trovare il mio indirizzo di posta elettronica (capirai la fatica, ndr). Anche qui si tratta di una vostra personale scelta ma avete la possibilità di modificare il comportamento dalle Impostazioni:

Menu Impostazioni Account Facebook

Quindi -ancora una volta- dal menu Privacy e più precisamente dal blocco in ultima posizione relativo proprio alla vostra ricerca nell’oceano degli utenti disponibili:

Facebook Cercami tramite contatto

Potete limitare ciascuna voce in modo differente -manco a dirlo-, a voi la scelta :-)

Chi accede al mio profilo?

Una di quelle opzioni “mai più senza” che deve assolutamente far coppia con l’autenticazione a doppio fattore della quale vi ho parlato circa un anno fa (l’articolo è ancora valido, ndr), lo dico per il vostro bene ovviamente. Facebook può mandarvi una segnalazione a mezzo posta elettronica o SMS (quest’ultimo solo se configurato e disponibile per il vostro operatore telefonico mobile) nel momento in cui accedete al vostro profilo da una nuova postazione mai utilizzata prima (vale anche da un browser differente dal solito).

Una semplice mail che riporta data e ora della connessione, IP e provenienza, software utilizzato e poco altro ancora, molto simile a questa:

Facebook Accesso nuovo dispositivo

Così facendo sarete in grado di conoscere tempestivamente se qualcuno è entrato in possesso delle vostre credenziali (cosa parecchio difficile se abilitate la 2-Step Authentication) e da quale posizione, potrete così cercare di modificare tempestivamente le vostre credenziali e disconnettere ogni sessione attiva da qualunque postazione nel mondo.

2-Step Authentication

Non so se sono stato chiaro nel precedente paragrafo, abilitate la verifica in due passaggi, ho scritto un articolo ad-hoc circa un anno fa e molti ancora la snobbano come fosse un’inutile perdita di tempo. Si tratta in realtà di un ulteriore strato di sicurezza che potrebbe risparmiarvi grane da risolvere e tempo (tanto) da perdere in seguito ad un attacco andato a buon fine. Vi bastano cinque minuti e il vostro smartphone, date un’occhiata all’articolo e procedete (e commentate se qualcosa non dovesse essere sufficientemente chiara): gioxx.org/2013/07/10/sicurezza-la-2-step-verification-di-facebook

10-fb2step_CodiciBackup

In conclusione

Avete appena investito una manciata di minuti della vostra vita per rendere un pelo più sicuro e riservato qualcosa che riservato e protetto non è affatto, almeno per sua natura. Ora potete tornare a perdere tempo nella vostra Timeline o -se lo ritenete opportuno- lasciare un commento per suggerire nuovi dettagli da includere in questa lista o chiedere delucidazioni in merito a uno dei punti analizzati o magari potete decidere di rendere il vostro account il più sicuro del mondo semplicemente rimuovendolo dal web (sapete, gli estremisti!) ;-)

Grazie a Lee Munson per aver raccolto questi ottimi consigli

Incorporare lo stream CCTV in una pagina web

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

AXIS Datacenter web-cam-picÈ una “pillola” strana, lo so, eppure stava lì nelle bozze del blog senza mai vedere la “luce della pubblicazione“. Questo codice mi è servito diverso tempo fa in ufficio per mostrare le immagini in tempo (quasi) reale catturate da due telecamere di sicurezza poste nel nostro datacenter. Un refresh di un secondo, una pagina web che racchiude svariate informazioni e -appunto- le immagini di due camere di sicurezza Axis che tramite un URL preciso producono un’immagine jpg da poter includere in un HTML tramite codice Javascript, questo:

Dimensioni dell’immagine di output, refresh e URL sono valori modificabili in qualsiasi momento, il nome della funzione ovviamente andrà modificato per ciascuna webcam che intendete includere all’interno della pagina così da poterle gestire con snippet Javascript separati e modificarne i valori. Regolate l’intervallo di aggiornamento in base al consumo di banda e CPU della macchina sulla quale ospiterete la pagina web per evitare strane sorprese (tutto dipende dalla quantità di gente che accede alla pagina stessa, è facile far danni) ed il gioco è fatto! ;-)

Grazie a digitalham.co.uk/web/development/embedding-cctv

Page 1 of 2612345»...Last »