venerdì 23 febbraio 2018

Certificati SSL : il prodotto di "lusso" che scoraggia gli hacker



I certificati SSL rappresentano uno dei tanti prodotti venduti all'interno del mercato nero appetiti dagli hacker. Acquistandone uno è possibile riuscire a far passare inosservato il malware agli occhi del sistema di sicurezza del terminale preso di mira. Sebbene il mercato sia florido, una ricerca recente ha dimostrato che il prezzo di questi certificati è molto alto, fattore che sembra aver scoraggiato numerosi hacker. 

E' risaputo che il malware più difficile da individuare è quello che apparentemente presenta una firma riconducibile ad aziende ben conosciute e certificate. Quello che però si è sempre ritenuto, più o meno a ragione, è che gli hacker avessero messo le mani sui certificati attraverso il furto di quest'ultimi a danni dell'azienda stessa, dei loro partner o delle stesse CAs (le autorità certificate). 

La maggior parte dei certificati non viene hackerata, viene comprata
Secondo quanto emerge da una nuova ricerca pubblicata di recente, il quadro che si presenterebbe agli esperti della sicurezza è ben diverso da quello a cui erano abituati. Andrei Barysevich, direttore dell' Advanced Collection at Recorded Future, sostiene infatti che i cyber-criminali sarebbero riusciti a mettere le mani sulla maggior parte dei certificati grazie ad una vendita fraudolenta e non attaccando la rete di una CA. 
Barysevich ha insistito molto su quest'ultimo aspetto, evidenziando la differenza tra ciò che si pensava abitualmente e quale invece sia la realtà dei fatti: "siamo abituati a pensare che i certificati di cui dispongono gli hacker siano stati rubati per compiere azioni illecite: in realtà questi non sono che dei prodotti confezionati su misura appropriandosi delle credenziali delle aziende certificate e successivamente rivenduti all'interno di un mercato codificato. 

Come funziona la compravendita
All'interno di un altro dossier, Barysevich ha tracciato una panoramica di come funziona l'acquisto di questi certificati. Il procedimento è molto semplice in realtà: i criminali agiscono attraverso shop online. Una volta ricevuto l'ordine del cliente, il proprietario dello shop cercherà di ottenere il certificato richiesto da parte ad una CA con la scusa di utilizzarlo per un app o un sito web, ovviamente falsi. Per ottenere il certificato si avvarrà delle credenziali rubate di un'aziena o dei suoi impiegati. 

Sempre secondo Barysevich, i legittimi proprietari delle aziende sarebbero all'oscuro di quanto succeda  e di come i loro dati siano potenzialmente al centro di azioni illegali. 
Ancora più eclatante è il risultato a cui sono arrivati gli esperti: i criminali sarebbero riusciti infatti ad ottenere i certificati da CA molto famose quali Comodo, Thawte, and Symantec. 

Una volta completata la vendita del certificato al "cliente", quest'ultimo è in grado di utilizzarlo per criptare il traffico HTTPS o per apporre la propria firma su applicazioni che vengono spacciate poi come provenienti da fonti sicure e autorevoli. 

Un mercato in espansione dal 2015
I primi shop online sono stati scoperti nel 2015. Da quel momento la Recorded Future ha monitorato quattro venditori, due che operavano singolarmente e due che agivano come gruppo. Ad oggi risulta che due di questi abbiano cessato la loro attività. I prezzi dei certificati si attestano tra i 299 e i 1799 dollari, offendo anche prodotti di prima fascia come i certificati EV (Extended Validation), in assoluto i più sicuri.   



Detto questo, sebbene il mercato mostri segni di crescita, la loro popolarità sembrerebbe limitata tra gli sviluppatori di malware a motivo del prezzo elevato del prodotto che scoraggerebbe molti hacker facendoli propendere per l'acquisto di altri strumenti fraudolenti come i crypter, più economici e ad oggi ancora efficaci.  

Concludendo, al netto di questa maggioranza ancora titubante, Barysevich sostiene che esiste una fetta minoritaria composta di attori più esigenti che continuerà ad usufruire di questi "servizi", non curanti del prezzo praticato.

giovedì 22 febbraio 2018

Il trojan per Mac Coldroot è in diffusione da un anno, ma gli antivirus non lo rilevano.


Patrick Wardle è un ricercatore di sicurezza di Digita Security: da oltre un anno sta studiando il trojan per Mac Coldroot, che pare a tutt'oggi invisibile agli antivirus. 

Wardle si è imbattuto in questo trojan studiando TCC.db, un database del sistema operativo Apple molto appetitoso per i cyber criminali: solitamente è bersaglio di keylogger che puntano a sottrarre informazioni. TCC.db è infatti un database molto particolare, che contiene le informazioni più sensibili ospitate nel sistema e che è stato recentemente protetto attraverso una specifica funzione di sicurezza, la "System Integrity Protection (SIP), introdotta con OS X El Capitan. Le versioni precedenti restano però vulnerabili ad attacchi contro TCC.db.

Le ricerche di Wardle...

mercoledì 21 febbraio 2018

LockCyrpt: nuovo ransomware in diffusione con attacchi di brute force sulla porta RDP


E' stato individuato un nuovo ransomware chiamato LockCrypt, che viene diffuso attaccando i servizi di desktop remoto. Una volta ottenuto l'accesso al sistema, LockCrypt cripterà i file della vittima aggiungendovi l'estensione .1btc.

Come si diffonde?
In sostanza, gli aggressori cercheranno di attaccare quei computer dove sono presenti Servizi di Desktop Remoto attivi, cercando di individuare le credenziali di accesso con attacchi di Brute Force. Una volta ottenuto l'accesso sul computer bersaglio, gli attaccanti eseguiranno il ransomware su tutti i computer che troveranno accessibili. Gli sviluppatori del ransomware provvederanno successivamente a fornire le informazioni necessarie per il pagamento del riscatto, sia che si tratti di decriptare una singola macchina sia che si tratti invece di recuperarne più di uno.

Come cripta i file?

martedì 20 febbraio 2018

GDPR: i 5 punti sicuri dai quali partire per orientarsi verso la compliance


Come ricordiamo ormai da qualche mese, il 25 Maggio 2018 entrerà definitivamente in vigore il GDPR, il nuovo regolamento europeo per la protezione dei dati, vincolante non solo per le aziende nell'Unione Europea, ma anche molti titolari e responsabili del trattamento fuori dall'UE. L'adeguamento richiede una serie di adempienze e obblighi legali e il tempo necessario per la compliance varia molto da azienda ad azienda. Nonostante le difficoltà però le aziende dovranno adottare piuttosto velocemente il regolamento, pena possibili sanzioni per il mancato adeguamento. Viste le molte problematiche da affrontare, ci concentriamo sui 5 punti più importanti, come primo orientamento più dettagliato per ottenere la compliance.

Da parte nostra, abbiamo creato un nuovo sito dedicato alla piattaforma GDPRlab, vieni a visitarlo per scoprire le nostre proposte e le soluzioni più adatte a te, i tuoi clienti o la tua azienda e tutti i servizi offerti https://gdprlab.it/. Abbiamo anche organizzato un primo corso formativo a riguardo: maggiori informazioni sono disponibili qui.

1. Stabilire il proprio ruolo nell'ambito del GDPR.
  • l'Azienda offre beni o servizi a persone residenti nell'UE?
  • l'azienda monitora i comportamenti (compresi quelli online) di persone residenti nell'UE?
  • l'azienda tratta dati personali di persone residenti nell'UE per conto di una società con sede nell'UE?

Se rispondi si ad almeno 1 di queste domande, significa che la tua azienda molto probabilmente è

lunedì 19 febbraio 2018

Saturn: il nuovo ransomware che "si regala gratuitamente" a chiunque voglia distribuirlo.


Qualche giorno fa è stato individuato un nuovo ransomware, Saturn appunto. Cripta i file e ne modifica l'estensione in .saturn. I dati dimostrano una diffusione non enorme, ma costante, mentre sono poco chiari i metodi di diffusione. Attualmente non è decriptabile. La particolarità è che è già un RaaS, un ransomware as a service, che invita chiunque a diventare distributore del ransomware gratuitamente. 

Come cripta i dati?
Quando il ransomware Saturn infetta un sistema, verificherà per prima cosa se sia in esecuzione o meno in un ambiente virtuale. Se individua una virtual machine, abbandonerà il processo di criptazione.Se non invidividua ambienti virtuali, Saturn eseguirà i seguenti comandi per cancellare le copie shadow di volume, disabiliterà il Windows Startup Repair e cancellerà il catalogo di backup di