Nuova versione di Shamoon, il malware che cancella i file e rende impossibile l'avvio del sistema operativo

Qualche giorno fa abbiamo descritto Shamoon, un malware dal potenziale altamente distruttivo: un wiper, nel dettaglio, ovvero un malware pensato per cancellare i file presenti nelle macchine infette. Shamoon inoltre sovrascrive il master boot record (MBR) rendendo impossibile il boot del sistema. La prima versione in diffusione, segnalata il 10 Dicembre proprio dall'Italia, ha preso di mira non soltanto home user, ma anche aziende. Tra queste, il "colpo grosso" è stata la compagnia petrolifera italiana Saipem. 

Per approfondire >> Shamoon, il nuovo malware che cancella i dati. Colpita l'italiana Saipem

La nuova versione

Il 23 Dicembre un utente francese ha caricato sulla piattaforma di scansione VirusTotal una nuova versione di questo malware, che tentava di camuffarsi da tool di ottimizzazione del sistema di una nota società cinese, Baidu. La particolarità è che questo malware è firmato con un certificato digitale della Baidu stessa emesso il 25 Marzo 2015 e ad oggi non più valido, perchè scaduto il 26 Marzo 2016. 

Ondata di phishing bersaglia utenti Apple: i truffatori rubano l'Apple ID e l'identità delle vittime

E' stata segnalata ieri da svariati siti specializzati una campagna di phishing che sta bersagliando utenti Apple. Le email sono confezionate per sembrare conferme di acquisto dall'Apple App Store: contengono un allegato PDF che sembra essere una fattura di pagamento per un app acquistata dall'account dell'utente per 30 dollari statunitensi. Nel testo c'è anche un link da cliccare nel caso in cui la transazione non sia stata autorizzata. Se l'utente fa clic sul collegamento, il danno è fatto. 

La prima segnalazione è di Lawrence Abrams di Bleeping Computer, che ha spiegato di aver ricevuto lo scorso fine settimana svariate segnalazioni tutte molto simili: utenti che segnalavano appunto di aver ricevuto email apparentemente provenienti dall'App Store di Apple contenenti fatture relative ad acquisti che non sapevano di aver effettuato. 

L'email è molto insidiosa: non c'è, come accade solitamente nelle campagne di phishing, alcuna frase che inciti o indichi all'utente di aprire (magari urgentemente) l'allegato. Gli attaccanti si affidano alla vittima stessa, la quale, ricevuta la fattura di un acquisto mai effettuato, aprirà il PDF proprio per sapere di che si tratta. 

Microsoft introduce una funzione di sicurezza: Sandbox Windows

Microsoft sta introducendo una nuova funzione, chiamata Windows Sandbox, che consentirà agli utenti di avviare in sicurezza gli eseguibili in un ambiente virtuale isolato dal resto del sistema operativo. Questa funzionalità sarà disponibile a partire dal prossimo Windows 10 Pro e Enterprise Insider- build 18305. 

E' infatti ormai una tecnica assodata nel mondo del cyber-crimine quella di diffondere programmi che eseguono comportamenti dannosi o che compromettono altri programmi già esistenti nel sistema operativo. Talvolta è molto difficile riconoscerne la pericolosità, perchè questi eseguibili sono presentati come software legittimi. Con la Sandbox di Windows sarà possibile avviare una macchina virtuale che esegue una copia di Windows creata dal sistema operativo installato sulla macchina. Tutto ciò in un ambiente desktop isolato dal normale sistema operativo: qualsiasi azione compiuta nella sandobox quindi non andrà a influire sul sistema operativo reale.

Come funziona la Sandbox di Windows?

Ennesimo bug in Facebook: app di terze parti accedono alle foto di 7 milioni di utenti

Ennesimo guaio in casa Facebook, per quanto riguarda sicurezza e privacy: un bug di programmazione del sito web di Facebook ha accidentalmente dato a oltre 1.500 app di terze parti accesso alle foto non pubblicate di 6.8 milioni di utenti.

Venerdì 14 Dicembre è stato Facebook stesso ad annunciare il bug, pubblicando un comunicato nel quale i tecnici affermano di aver individuato un nuovo bug nell'API del sistema di condivisione delle immagini che ha consentito a oltre 876 sviluppatori l'accesso alle foto private degli utenti, nel dettaglio quelle mai condivise nella timeline, comprese le immagini caricate nelle Storie di Facebook o nel MarketPlace.

"Quando qualcuno concede ad un'app le permissioni per accedere alle proprie foto su Facebook, di norma concediamo l'accesso solo a quelle che le persone hanno condiviso sulla propria timeline. In questo caso, il bug ha permesso potenzialmente ad una serie di sviluppatori di avere accesso anche ad altre foto" si legge nella nota di Facebook.

Shamoon, il nuovo malware che cancella i dati. Colpita l'italiana Saipem

Shamoon è tornato alla carica poco meno di un mese fa e lo ha fatto in grande stile: attualmente è in diffusione in the wild una nuova versione di questo malware wiper, la cui unica funzione è quella di cancellare (wiping) i dati contenuti nelle macchine bersaglio. La prima segnalazione di infezione è arrivata proprio dall'Italia: il 10 Dicembre 2018 è stata caricato il nuovo esemplare su VirusTotal. 

E c'è già una vittima illustre: la compagnia petrolifera italiana Saipem (vedi più avanti). Dopo 3 giorni sono seguite svariate altre segnalazioni provenienti dai Paesi Bassi. Era qualche anno che non si avevano notizie di questo wiper, che debuttò nel 2012 contro la Saudi Aramco, azienda petrolifera che subì la cancellazione dei dati su oltre 35.000 computer. 

Analisi tecnica

Individuato in diffusione malware per MAC: combina backdoor e miner

All'inizio della settimana in corso alcuni ricercatori di sicurezza hanno individuato un nuovo malware per Mac che combina due differenti tool open-source: la backdoor EmPyre e il miner di criptovaluta XMRig. Questo malware è attualmente diffuso tramite un applicativo di nome Adobe Zii, un software per "piratare" svariate applicazioni di Adobe. In ogni caso i ricercatori sono piuttosto certi nell'affermare che il software Adobe Zii che diffonde il nuovo malware non sia "l'originale", ma una versione ulteriormente modificata dello stesso: ad esempio i loghi differiscono. 

Come infetta i Mac?

Il Trojan bancario DanaBot sta bersagliando l'Italia

Gli autori del trojan bancario DanaBot hanno aggiornato il malware con nuove funzioni che gli consentono di raccogliere indirizzi email e inviare spam direttamente dalla casella di posta della vittima. 

L'ultima versione trovata in diffusione raggiunge questo scopo iniettando codice Javascript nelle pagine di specifici servizi email web-based. Tra i target ci sono tutti i servizi di posta elettronica basati su Roundcube, Horde e Openx-Xchange. Ciò che è importante specificare è che gli autori di DanaBot hanno scelto l'Europa, come obiettivo, diffondendo il trojan quasi esclusivamente in Italia, Germania, Austria.

Le analisi dei ricercatori di sicurezza hanno rivelato anche che uno degli script usati da danaBot per il web-injection può inviare messaggi dannosi dal proprietario dell'account, come risposta alle email presenti nella Posta in Arrivo. 

Una Botnet di 20.000 siti WordPress infettava altri siti WordPress

Usavano una botnet di oltre 20.000 siti WordPress per attaccare e infettare altri siti WordPress. Una volta compromessi nuovi siti, questi venivano aggiunti alla botnet e usati anch'essi per attaccare altri obiettivi secondo i comandi inviati dagli attaccanti. 

I 20.000 siti WordPress costituivano una botnet finalizzata al brute-forcing delle credenziali di login di siti WordPress in Internet: i dati parlano di circa 5 milioni di tentativi di autenticazione provenienti da questa botnet. Gli attacchi di brute-force sono diretti contro l'implementazione XML-RPC di WordPress e tentano infinite combinazioni fino ad individuare un account sul quale tali credenziali sono valide. XML-RPC è un'implementazione molto utile per alcuni utenti, poichè permette di postare contenuti da remoto su siti WordPress usando WordPress stesso o altre API: si trova nella directory principale di installazione di WordPres, nel dettaglio nel file xmlrpc.php. 

Il vero problema di XML-RPC è che, di default, non prevede alcuna limitazione all'ammontare i richieste API che gli vengono indirizzate: ciò significa, concretamente, che un attaccante può tentare e ritentare diversi nomi utenti e password senza alcuna limitazione e senza che questo comporti nessun tipo di alert per l'utente. L'utente vittima può individuare questi tentativi di accesso solo verificando i log. 

Come funziona questo attacco?

KingMiner attacca i server Windows

I cryptominer sono malware pensati specificatamente per effettuare il mining di criptovaluta, cioè l'estrazione di monete digitali quali Monero, Ethereum, Bitcoin ecc..E' un tipo di minaccia della quale abbiamo parlato abbondantemente perchè, in questo 2018, ha mostrato un incremento esponenziale e una evoluzione continua. 

L'ultimo esemplare individuato si chiama KingMiner e prende di  mira i server Microsoft Windows per estrarre la criptovaluta Monero (XRM): in realtà la prima individuazione risale già al Giugno 2018, ma al tempo era un esemplare veramente rozzo e poco pericoloso. Successivamente ne sono state individuate in-the-wild numerose nuove varianti sempre più avanzate: ad oggi KingMiner si caratterizza principalmente per l'uso di una vasta gamma di tecniche di evasione che lo rendono tra i malware più difficili da individuare. 

Gli obiettivi e le tecniche di infezione

Falsa assistenza online: invece di risolvere i ransomware avevano accordi coi truffatori

Succede molto spesso: si viene colpiti da un ransomware, si cerca nel web per capire se esista o meno una soluzione per la particolare versione di malware che ha infettato il nostro sistema. Oppure si chiede consiglio ad un esperto. In entrambi i casi si corrono comunque dei rischi: ad esempio, la maggior parte dei siti web risultanti nelle prime posizioni delle ricerche sui motori di ricerca più diffusi sono fake pensati solo per indurre le vittime di ransomware a scaricare una serie di software aventi funzioni ben diverse da quelle promesse. 

Non si è del tutto al sicuro neppure contattando esperti: non tutti infatti sono "veri esperti", ma potremmo anche imbatterci in complici degli attaccanti stessi. E' il caso della società russa Dr.Shifro: questa azienda promette assistenza in caso di attacchi ransomware, fornendo tool di risoluzione della criptazione che rimettano in chiaro i file senza dover pagare il riscatto agli attaccanti. Questa di per sé non è un'attività sospetta: sono moltissime le società (noi compresi) che offrono assistenza per i ransomware, un problema piuttosto diffuso e che può avere effetti devastanti, sopratutto per le aziende. Bisogna però insospettirsi (e così è stato nel caso di Dr.Shifro) se vengono offerte soluzioni a ransomware dei quali nessuna società di assistenza è in grado di offrire soluzione. 

Come si è scoperta la truffa?

Uber e Data Breach. Indagine del Garante

di Dott.ssa Matteucci Silvia | Accademia Italiana Privacy

Lo scandalo è scoppiato nel Novembre 2017, quando uno scoop di Bloomberg ha obbligato il management di Uber ad ammettere di aver subito un colossale furto di dati, che l’azienda ha cercato di “insabbiare” pagando un riscatto di 100.000 dollari agli hacker per cancellare i dati rubati. L’azienda aveva nascosto, per più di un anno, la violazione dei suoi sistemi e il furto di dati di circa 57 milioni di account su dipendenti e clienti. Nello specifico, sono state “trafugate le informazioni contenute nella licenza di guida di 600 mila americani e nomi, indirizzi di posta elettronica e numeri di telefono di oltre 50 milioni di iscritti all’applicazione di trasporti (50 milioni sono clienti e 7 milioni sono autisti). Non sarebbero stati coinvolti i dati delle carte di credito o quelli relativi agli spostamenti”. 

A distanza di quasi un anno, scopriamo che la strategia difensiva della piattaforma di noleggio auto con conducente non ha convinto nessuno, nemmeno il Procuratore Generale di New York. Difatti, la punizione, decisamente pesante, è arrivata.

125 milioni di euro...

Riconoscimento biometrico: cosa è e perchè è un utile strumento in funzione del GDPR

Attualmente, col termine "biometria" si indica una vasta tipologia di tecnologie pensate per verificare l'identità di un soggetto analizzando e misurando le caratteristiche fisiche/comportamentali dell'utente. Per fare qualche esempio, sono tecnologie di riconoscimento biometrico quelle che riconoscono un soggetto a partire dai tratti somatici del volto, oppure dalle impronte digitali (fingerprint) o dall'iride o della retina ecc...

In concreto, il riconoscimento biometrico si basa su due componenti:

1.  la componente hardware, che acquisisce il dato biometrico (sensori e scanner...)
2.  la componente software che consente, tramite l'impiego di algoritmi matematici, di analizzare i dati raccolti e confrontarli con quelli acquisiti in precedenza: si riconduce così il dato raccolto ad una specifica persona e la si riconosce proprio da tali informazioni. 

Per fare qualche esempio...

Prima sanzione GDPR in Germania: multata piattaforma di chat

La piattaforma di chat in questione si chiama knuddels.de ed ha subito un duro hacking che ha comportato la fuoriuscita di 808.000 indirizzi email e oltre 1 milione di username e password: per questo la società di social network che gestisce questa piattaforma si è vista infliggere una sanzione di 20.000 Euro dalla Baden-Württemberg Data Protection Authority.

Il furto dei dati è avvenuto nel Luglio di questo anno e le informazioni sottratte sono state pubblicate in chiaro online. Un membro dello staff ha confermato, qualche giorno dopo, che la violazione aveva riguardato tutti gli utenti registrati sulla piattaforma prima del 20 Luglio 2018.

Per stimare l'impatto dell'attacco sono stati verificati oltre 330.000 indirizzi email trapelati: la gran parte sono stati ritrovati esposti su Pastebin e Mega Cloud. La notizia peggiore è arrivata invece qualche mese dopo: il sito web in questione non applicava alcuna misura di protezione per informazioni sensibili come le password, che finivano memorizzate sui server come normalissimo testo.

Zorro Ransomware: in distribuzione da 2 mesi e oggi, finalmente, sconfitto!

E' stata individuata qualche tempo fa una nuova variante di un ransomware tutt'altro che nuovo: parliamo di Zorro Ransomware, la nuova versione di quello che, in passato, è stato chiamato Aurora Ransomware. Aurora ha avuto, nei fatti, scarsi risultati ed è da considerarsi il prototipo del ben più pericoloso Zorro Ransomware: quest'ultima versione è in diffusione già dall'Estate del 2018, ma il vero picco di diffusione è stato toccato qualche giorno fa, il 25 Novembre. 

Al momento non è del tutto chiaro il metodo di diffusione di questo ransomware, ma molti utenti colpiti (e le analisi dei ricercatori stanno confermando questa versione) spiegano di aver subito l'attacco su computer che eseguono servizi di Desktop Remoto esposti in Internet. L'attacco pare quindi iniziare con un classico brute force delle credenziali degli account RDP, ottenute le quali gli attaccanti ottengono l'accesso alla macchina e quindi la possibilità di installare il ransomware. 

La buona notizia è che i ricercatori Michael Gillespie e Francesco Muroni hanno individuato una via

3 mesi: oltre 70.000 attacchi. Ecco il nuovo trojan mobile Rotexy

Inizialmente era solo uno spyware, poi è stato trasformato in un trojan bancario con funzionalità da ransomware. Quindi è stato usato in più di 70.000 attacchi in tre mesi circa. 

Un pò di storia...

Il nome di questa nuova minaccia informatica è Rotexy, conosciuto un tempo come SMSthief perchè, agli inizi, si limitava a spiare il contenuto dei messaggi ricevuti e inviati sul dispositivo infetto. Dal 2016 però ha cambiato comportamento, scegliendo come obiettivo il furto dei dati delle carte di credito tramite pagine di phishing. In seguito, gli sviluppatori hanno aggiunto una pagina HTML che riproduce un form di login di una banca legittima, bloccando lo schermo dell'utente finchè questo non inserisce le credenziali necessarie. Per rendere ancora più credibile la truffa, il malware stesso offre una tastiera virtuale spacciata come "sistema anti keylogging". Infine è in uso anche un pò di ingegneria sociale: la pagina HTML infatti invita a inserire le credenziali per poter accettare un trasferimento di denaro (ovviamente inesistente) in favore della vittima. 

Canali di comunicazione multipli

Attacco su larga scala in Italia: colpite 500.000 caselle di posta PEC.

Il 12 Novembre si è verificata una interruzione del servizio che aveva interessato alcuni tribunali e altri enti della Pubblica Amministrazione. Un incidente piuttosto comune, che non ha sollevato troppa attenzione. Fino a quando Roberto Baldoni, Vicedirettore Generale responsabile del settore Cyber del DIS (Dipartimento delle Informazioni per la Sicurezza) non ha tracciato un bilancio ben diverso e allarmante dell'evento. L'attacco infatti ha preso di mira in maniera diretta un fornitore dei servizi di Posta Elettronica Certificata, la famosa PEC non limitandosi a provocare il blocco e quindi il down dei sistemi, ma sottraendo perfino le credenziali di accesso a oltre 500.000 caselle di posta. 

Tra le vittime del cyber attacco si registrano soggetti "altamente sensibili": 98.000 account tra quelli violati appartengono a magistrati, militari e funzionari del Comitato Interministeriale per la sicurezza della Repubblica. Parliamo, per intendersi, di un organo che comprende i Ministeri della Giustizia, degli Interni, dell'Economia e dello Sviluppo Economico, la Presidenza del consiglio dei Ministri, della Difesa. i più colpiti sono comunque stati i tribunali, che hanno dovuto interrompere le proprie attività per il down dei sistemi di comunicazione dei vari distretti della Corte d'Appello disseminati nell'intero territorio nazionale. 

Quali rischi?

In diffusione una nuova versione del famigerato trojan bancario Trickbot

E' stata individuata una nuova versione, molto particolare, di TrickBot, noto trojan bancario: questa versione infatti, oltre ovviamente a prendere di mira le credenziali bancarie/finanziarie della vittima, cerca anche i dati riguardanti l'affidabilità del sistema Windows e le informazioni sulle prestazioni. Microsoft infatti esegue un RAC (Reliability Analysis Component) sui sistemi operativi Windows per fornire informazioni sull'affidabilità del sistema enumerando dettagli riguardo le installazioni software, gli aggiornamenti, gli errori del sistema operativo e delle applicazioni, nonché i problemi hardware. 

Per tale scopo TrickBot usa le operazioni pianificate di RACagent su base oraria e scarica tutti i dati in una cartella locale. E' possibile disabilitare l'utilità di Pianificazione, ma non si otterrà più l'indice di stabilità del sistema.

La diffusione di Trickbot

Fatturazione elettronica: che cosa cambia dal 1° Gennaio 2019

La Finanziaria 2018 estende l'obbligo della fatturazione elettronica (fino ad oggi necessaria solo nei rapporti tra privati e Pubblica Amministrazione) anche per gli scambi tra privati: dal 1° Gennaio 2019 cioè la fatturazione elettronica diviene obbligatoria per chiunque possieda una partita IVA, riguardando tutte le fatture emesse tra imprese, professionisti, artigiani ecc.. residenti in Italia.

Che cosa è la fatturazione elettronica?

Stiamo parlando di un sistema digitale di emissione, trasmissione e conservazione delle fatture. Il nuovo formato con cui le fatture elettroniche devono essere prodotte, trasmesse, archiviate e conservate è l'eXtensible Markup Language (XML), un tipo di linguaggio che consente di controllare e definire in dettaglio gli elementi contenuti in un documento, valutandone così la conformità ai fini di legge.

Il sistema in breve...

Siti WordPress sotto attacco: i bug in un plugin per il GDPR

La vicenda è stata segnalata da moltissimi utenti e attraverso una serie di report sui forum ufficiali di WordPress: cyber attaccanti stanno sfruttando un bug presente in un plugin, piuttosto diffuso, per la compliance al GDPR. Il plugin in questione si chiama WP GDPR Compliance ed è un componente aggiuntivo che dovrebbe aiutare gli admin dei siti Internet a rispettare le norme che il nuovo Regolamento Europeo prevede in difesa della privacy e dei dati. Il problema è che questo plugin ha dei bug sfruttando i quali è possibile modificare le impostazioni del sito da remoto fino a prenderne il controllo. 

WordFence ha pubblicato un apposito report su questa problematica nel quale si specifica che le vulnerabilità sfruttate dai cyber criminali in questi giorni sono in realtà due: se sfruttate con successo concedono di creare un account amministratore o installare backdoor sui siti dove è presente il plugin in questione. 

Il primo exploit: creare l'account admin

In crescita i malware su Android...nonostante le rassicurazioni di Google

G Data ha pubblicato il report con i dati delle rilevazioni malware del terzo trimestre 2018 e lo scenario che ne emerge è tutt'altro che rassicurante. Nei soli 90 giorni di riferimento sono comparse 3.2 milioni di nuove app dannose per Android (una media di 12.000 nuove app dannose/compromesse al giorno). Parliamo, nei fatti, di una impennata del 40% circa anno su anno di app dannose per Android. E la situazione, spiegano da G Data, è resa ancora più grave dell'assenza di aggiornamenti. 

I dati confermano anzitutto che, se per quanto riguarda i PC Windows resta il sistema operativo più attaccato, per il mondo mobile Android resta il S.O più appetibile per i cyber attacchi.  Android infatti ha due pecche che lo rendono particolarmente adatto a cyber attacchi di successo: un sistema di aggiornamenti che potremmo definire "a geometrie variabili" (cosa che lascia assai spesso gli utenti scoperti rispetto a vulnerabilità nuove) e market differenziati e poco controllati (compreso quello ufficiale). 

Nuovo ransomware in diffusione: cripta l'intero hard-disk con Diskcryptor

E' stato individuato un nuovo ransomware che installa DiskCryptor sul computer infetto, quindi riavvia il sistema. Al riavvio, le vittime visualizzano una nota di riscatto personalizzata che spiega che l'hard disk è stato criptato e che, per ottenere i file di nuovo in chiaro, occorre pagare un riscatto: seguono istruzioni su come effettuare il pagamento. DiskCyrptor è un programma per la criptazione che cripta l'intero disco, quindi visualizza un prompt agli utenti chiedendo una password per il reboot. Questo prompt di inserimento password viene visualizzato prima dell'avvio di Windows, quindi l'utente deve necessariamente inserire la password per decriptare il disco e avviare il normale processo di boot del sistema. 

Individuato dal MalwareHunterteam, questo ransomware viene eseguito manualmente o richiamato tramite alcuni script, dato che richiede un argomento da passare al programma, da usare come password per DiskCryptor. Si sospetta che l'infezione sia diffusa manualmente, tramite hacking dei servizi di desktop remoto: ottenuto l'accesso al sistema tramite RDP, il ransomware viene installato manualmente. 

Aspetti giuridici dei dati personali ai sensi del GDPR

 

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Inutile negare che, dal 25 Maggio 2018, con la definitiva scadenza del termine per l’adeguamento al GDPR (General Data Protection - Regolamento Europeo n. 679/2016), si sono presentate per le aziende e la Pubblica Amministrazione nuove criticità dovute al riconoscimento di una serie di diritti e prerogative agli “interessati” vale a dire gli utenti i cui dati personali, per disposizione di legge o per loro volontà, sono nella disponibilità di soggetti terzi che dovranno trattarli, conservarli, custodirli e non divulgarli.

Il dato: diritto indisponibile e merce
Nell’attuale quadro, profondamente difforme da quello della precedente normativa, il principio chiave è la liceità del trattamento dei dati se e in quanto l’interessato abbia manifestato un esplicito consenso al trattamento. In quest’ottica il dato personale assume la funzione e, quindi, la stessa natura di un bene che il titolare del trattamento può utilizzare, valutare, trasmettere nel rispetto dei principi generali di proporzionalità, adeguatezza, pertinenza e non abuso rispetto alle finalità per cui il consenso al trattamento sia stato prestato.

Quando il consenso dell’interessato viene revocato, il dato ripristina la sua natura di diritto indisponibile, rientrando nell’ambito del perimetro dei diritti della persona non più intesa in senso tradizionale (nome, immagine, reputazione ecc..) o come diritto alla privacy, bensì nell’ambito più vasto della rappresentazione pubblica di sè che ha un individuo e che la pubblicità del dato, invece, lede.

Violazioni GDPR: le linee guida sulle sanzioni

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Il regolamento Europeo 679/2016 che ha riformato a livello sovranazionale il sistema di trattamento dei dati personali, ha anche previsto norme rafforzative per i poteri deputati a far rispettare la nuova disciplina. Titolari e responsabili del trattamento hanno maggiori responsabilità che non nel previgente sistema in quanto soggetti demandati alla materiale tutela dei diritti degli interessati che, anche ai fini interpretativi e di comprensione, sono la figura al centro del sistema GDPR. Hanno inoltre un ruolo centrale anche le pesanti sanzioni che possono essere emesse dalle autorità di controllo, cui spettano anche le misure di cui all’art. 58 (richieste di informazioni, potere di indagine, misure interdittive e, addirittura limiti e perfino il divieto di svolgere attività di trattamento).

Consapevole della delicatezza e dell’importanza del ruolo che andranno a svolgere gli organi di vigilanza, il Gruppo dell’art. 29 (organismo consultivo ormai disciolto, composto da rappresentanti delle autorità nazionali) ha predisposto, nell’Ottobre 2017, le linee guida che dovranno essere seguite proprio nell’emissione delle sanzioni.

Il documento programamtico del Gruppo 29

Xopero estende e migliora la tecnologia di disaster recovery

Recentemente sono stati rilasciati due update per le soluzioni di backup in locale di Xopero: stiamo parlando di Xopero Backup&Restore e Xopero QNAP Appliance. Entrambi fanno seguito a studi approfonditi rispetto a come migliorare l'efficienza ed efficacia del piano di disaster recovery. Il risultato di questo lavoro di approfondimento è stato lo Xopero Image Tool, un applicazione stand-alone che consente una rapida conversione delle immagini in qualsiasi altro formato supportato da popolari hypervisor come Hyper-V, VMware, Virtualbox e KVM.

Contemporaneamente il team di Xopero ha anche lavorato per espandere la tecnologia core RD - Smart Recovery -  per la soluzione Xopero Backup&Restore. 

Vediamo i dettagli di questi update....

Xopero Backup&Restore: disaster recovery

Le sanzioni amministrative ai sensi del GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy 

Anche in pubblicazioni di carattere specialistico, è facile leggere che le sanzioni erogate dal Garante per la protezione dei dati personali, sono la conseguenza di una violazione della Privacy. Dobbiamo essere precisi quasi al punto della pignoleria: la violazione della privacy è un’illecita intromissione o interferenza nella sfera privata di una persona e trova le sue sanzioni nella possibilità di chiedere il risarcimento del danno e, nei casi più gravi, l’applicazione dell’art. 612 bis Codice Penale, che punisce gli atti persecutori: il cosiddetto stalking. Quelle che erroneamente vengono definite sanzioni per violazione della privacy ai sensi del GDPR, sono in realtà le conseguenze di una violazione dei doveri derivanti dal trattamento dati personali.

Ferme restando le sanzioni penali nelle ipotesi disciplinate dalle normative nazionali e la possibilità per chiunque abbia subito danni da una gestione non corretta dei dati personali di agire in sede civile, la normativa europea prevede pesanti sanzioni amministrative che si trovano già nei “considerata” iniziali nei quali si specifica come queste misure abbiamo una loro ragione anche per garantire una tutela dati cogente e uniforme nell’intera Unione. In tal senso, al punto 129, si prevede anche che le autorità di controllo dovrebbero (ma forse è più opportuno leggerlo “devono”) avere gli stessi compiti e poteri effettivi sia in attività istruttoria a seguito di segnalazioni, sia nell’erogazione delle sanzioni; tutto meglio indicato nell’art. 58.

L'exploit kit Magnitude sceglie il ransomware GandCrab

Di GandCrab ne abbiamo già diffusamente parlato (rimandiamo qui alla relativa pagina nella nostra Galleria dei Ransomware): si sta diffondendo in lungo e in largo attraverso campagne di spam talvolta massive talvolta più mirate, schemi di ingegneria sociale e campagne di exploit kit. Qualche giorno fa alcuni ricercatori hanno scoperto che Magnitude EK, exploit kit notoriamente "fedele" alla distribuzione di Magniber (ritenuto il successo di Cerber, assunse appunto il posto di Cerber nella distribuzione di Magnitude EK. Leggi qui), è passato alla distribuzione di GanCrab, abbandonando appunto il ransomware Magniber. Magniber infatti è stato sconfitto pochissimi giorni dopo l'avvio della distribuzione, con la pubblicazione di un tool gratuito per la decriptazione.  

La distribuzione di Magnitude EK rimane principalmente localizzata in Corea, ma i ricercatori sono riusciti a infettare una versione inglese di Windows senza troppi intoppi, segno che Magnitude EK può colpire senza alcun problema in larghe parti del mondo. 

Magnitude utilizza ora anche una tecnica fileless (cioè senza salvare alcun file nella memoria locale della macchina bersaglio) per caricare il payload del ransomware: una tecnica di elusione dei controlli antivirus ormai piuttosto diffusa ed efficace, dato che rende molto più difficile l'identificazione della minaccia, ma una novità per quanto riguarda questo exploit kit.

Il Payload

Hacker pubblica su Twitter una grave vulnerabilità zero-day di Windows

Un ricercatore di sicurezza, corrispondente al profilo Twitter SandboxEscaper, ha rilasciato ieri un nuovo proof-of-concept di exploit per una grave e sconosciuta vulnerabilità 0-day di Windows. Sandbox Escaper non è nuovo a tali fatti: due mesi fa pubblicò un exploit 0-day per il Task Scheduler di Windows. 

La nuova vulnerabilità risiede nel Microsoft Data Sharing (dssvc.dll) e consente ad un attaccante di aumentare i privilegi sulla macchina bersaglio. Il Microsoft Data Sharing è un servizio locale che viene eseguito come account LocalSystem con ampi privilegi e consente il data brokering tra le applicazioni. Questa vulnerabilità consente ad un attaccante con ridotti privilegi di elevarne il numero sul sistema bersaglio attraverso un codice exploit.  Il codice di exploit (deletebug.exe) pubblicato dal ricercatore ha funzioni limitate: consente solo a utenti con bassi livelli di autorizzazione di eliminare file di sistema critici. 

Osservazioni sui reati nel GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy 

Il GDPR, il Regolamento Europeo in materia di trattamento dati personali prevede espressamente al n. 149 delle premesse, la possibilità per ogni singolo Stato di stabilire sanzioni penali per le violazioni delle disposizioni in esso contenute, ribadendo così la riserva degli Stati membri in detta materia. Si riporta l’articolo nella sua interezza nella traduzione in italiano sulla quale, peraltro, si avanzano alcune perplessità in quanto il condizionale che si trova nel testo, si ritiene avrebbe dovuto essere inteso, nel senso e nello spirito della norma, come un dovere per ogni Stato e non una mera possibilità.

• Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l'imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia.

Ransomware: qualche aggiornamento sugli ultimi giorni. Dharma e Scarab tornano alla carica

La scorsa settimana (e sopratutto nel fine settimana), sono state messe in diffusione nuove versioni di ransomware che già ben conosciamo, ma che sono costantemente in aggiornamento/rifacimento: nel dettaglio stiamo parlando dei ransomware Dharma e Scarab.

Dharma Ransomware:

Galleria dei Ransomware >> vedi qui tutti i ransomware della famiglia

La nuova versione in diffusione cripta i file secondo lo stesso meccanismo delle precedenti versioni: modifica poi l'estensione dei file criptati in .[mixon.constantine@aol.com].gamma. La nota di riscatto, rilasciata sia informato .html che .txt, si chiama "all your data has been locked us You want to return?" e contiene due email tramite le quali contattare gli attaccanti e ottenere le informazioni necessarie a pagare il riscatto.  

Il Data breach che non ti aspetti: Facebook alla prova del GDPR

 

di Accademia Italiana Privacy

Il mese scorso Facebook ha annunciato la peggiore violazione di sicurezza mai subita, che ha consentito ad un gruppo di sconosciuti cyber attaccanti di rubare i token di accesso per milioni di account: l'attacco poggia su una vulnerabilità nella funzione "Vedi come". Al momento della prima divulgazione, Facebook stimava in circa 50 milioni gli utenti potenzialmente riguardati da questo attacco: un nuovo aggiornamento, pubblicato due giorni fa, ha ridotto le potenziali vittime a circa 30 milioni. Tra questi 30 milioni, 29 sono gli account tramite i quali gli attaccanti sono entrati con successo in possesso di dati personali: Facebook ha però assicurato che i cyber criminali non sono riusciti ad accedere a dati di app di terze parti. 

La classificazione dei dati rubati

[AccademiaItalianaPrivacy] GDPR e avvocati. Un breve memo

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Premessa: il GDPR deve trovare applicazione anche negli studi legali e l’avvocato è Titolare del Trattamento: su questo sussistono pochi dubbi. L’avvocato, come del resto ogni altra azienda o ente, maneggia ogni giorno dati personali sensibili che riceve direttamente dai propri clienti al momento del conferimento dell’incarico, sia da terzi sia attingendoli direttamente presso gli uffici giudiziari. Si pensi al penalista che estrae copia dei risultati di un’indagine che contiene i riferimenti di coimputati, testimoni, vittime, intercettazioni, documenti e altro. Si noti che questi ultimi dati, a differenza di quelli ricevuti dal cliente che li fornisce per l’espletamento del mandato, vengono acquisiti dall’avvocato per una corretta esecuzione dello stesso in forza di una normativa che glielo permette.

Intuitivo come la perdita possa avere conseguenze non indifferenti in caso arrivassero non solo agli organi di stampa ma, ad esempio, usati da qualche hacker per un’estorsione. Allo stesso modo qualcuno potrebbe entrare nei computer di un avvocato che si occupa di divorzi e venire a conoscenza di tradimenti o altre vicende private dei coniugi.

Quali cautele devono essere poste in essere? 

Nuove tecniche di exploit per bypassare i controlli degli antivirus: campagna in corso in Europa!

E' in corso attualmente una campagna malware finalizzata alla diffusione dell'info stealer Agent Tesla (e non solo): la particolarità di questa campagna è che i cyber criminali hanno modificato una catena di exploit conosciuti per diffondere il malware senza attivare il rilevamento dei prodotti antivirus comuni.  

Il gruppo dietro a questa campagna, attualmente non individuato, ha organizzato una precisa infrastruttura per diffondere più famiglie di malware tramite due exploit pubblici per le vulnerabilità di Microsoft Word CVE-2017-0199 e CVE-2017-11882. 

Secondo gli analisti di Cisco Talos, la campagna è finalizzata alla diffusione di tre differenti payload: Agent Tesla, Loki e Gamarue. Tutti e tre sono capaci di sottrarre informazioni, ma solo Loki non ha funzionalità di accesso remoto.

Che cosa fanno questi malware?

Ransomware Gandcrab: risolvibile la versione 5. Nuova versione in diffusione

Il ransomware GandCrab sembra essere uno strumento sul quale i cyber criminali stanno investendo. Siamo ormai alla 5° versione in diffusione, senza considerare quelle di test: alcune sono risolvibili, altre no.

Versioni

v.1 .GDCB --> risolvibile

v.2 .crab --> non risolvibile

v.3 .crab --> non risolvibile

v.4 .krab --> non risolvibile

v.5  .[4 caratteri casuali] --> risolvibile

In caso di infezione da ransomware GandCrab, scriveteci alla mail alessandro@nwkcloud.it inviando due file criptati e la richiesta di riscatto. I nostri tecnici provvederanno ad analisi del tipo di infezione e potranno indicarvi una soluzione, se disponibile. Altrimenti i vostri file verranno "archiviati" e sarete ricontattati quando sarà disponibile un tool di decriptazione. Ulteriori info su www.decryptolocker.it

La versione 5 di GandCrab: evoluzione di un ransomware insidioso

Come si sa, il Ransomware GandCrab ha fatto la sua comparsa nel Gennaio di quest'anno, poi ha subito una serie rapida e ravvicinata di aggiornamenti, fino alla versione 5.0.2 apparsa lo scorso mese. Ad oggi è in diffusione la versione 5.0.3.

CoinMiner usa un nuovo trucco per camuffarsi da Installer di Adobe Flash Player

E' in corso una nuova, capillare, campagna di diffusione di miner di criptovaluta: il miner in questa campagna viene diffuso tramite un installer fake di Adobe Flash Player. Ora, se questa non è affatto una novità, la particolarità di questa campagna sta nel fatto che fa di tutto per apparire davvero legittima: non si limita infatti ad installare il miner, ma aggiorna anche realmente Flash Player. 

Come detto, gli installer di Flash Player con miner non sono affatto nuovi, ma nel passato si limitavano esclusivamente a installare il miner quindi aprire il browser al sito web di Adobe Flash Player. In questa nuova campagna malware, individuata dalla Palo Alto Unit 42, questo trojan che si spaccia per l'installer Flash Player, non solo installa il miner XMRig, ma aggiorna automaticamente la versione di Flash Player installata sul sistema bersaglio. E' il trojan stesso a scaricare l'update legittimo dal sito web di Adobe. 

Google+ chiude i battenti: una vulnerabilità ha esposto i dati di oltre 500.000 utenti. Nuove policy privacy in arrivo

di  Accademia Italiana Privacy

Google+ ha all'incirca 7 anni, trascorsi senza troppa gloria raggiungendo la punta massima di 100 milioni di iscritti. Ora Google+ ha deciso di abbandonare l'arena dei social network: lo ha fatto sapere l'azienda stessa. Il comunicato è molto lungo, ma da due notizie principali: la prima è appunto la chiusura di Google+. Non è dato sapere ancora se sia una chiusura definitiva oppure se, al contrario, è solo un passaggio verso un nuovo social targato Google. Il motivo è un da legarsi ad un problema nella gestione dei dati. 

Sotto accusa finiscono le API usate per le applicazioni di terze parti, che hanno permesso agli sviluppatori di ottenere alle quali però non avrebbero dovuto avere accesso. Insomma, stiamo parlando di un vero e proprio data leak che ha colpito circa 500.000 utenti Google+, i cui dati sono finiti nelle mani dei gestori di app di terze parti che non hanno però alcun titolo per trattarli.  

La protezione Ransomware di Windows 10 è bypassabile con una DLL injection

In Windows 10 Microsoft ha aggiunto una nuova funzione di protezione anti ransomware chiamata "Accesso Controllato Cartelle", che può essere usata per impedire modifiche da parte di programmi sconosciuti su file contenuti in cartelle protette. La scorsa settimana però, nell'ambito della conferenza sulla sicurezza informatica DerbyCON, un ricercatore di sicurezza ha mostrato come in realtà questo livello di protezione possa (abbastanza facilmente) essere bypassato da un ransomware grazie ad una DLL injection. 

Come funziona?

La funzione di Accesso Controllato Cartelle consente agli utenti di usufruire di una cartella protetta nella quale è possibile modificare i file contenuti solo ed esclusivamente da parte di programmi specificati chiaramente in una whitelist di software e applicativi: alcuni software consentiti sono previsti di default da Windows, ma l'utente ha la possibilità di aggiungere, eliminare, modificare i software contenuti in questa lista. 

[AccademiaItalianaPrivacy] Il registro dei trattamenti

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

L’articolo 30 del GDPR, il Regolamento Europeo in materia dati personali che ha modificato profondamente la legge 196/2003 e l’intero sistema della privacy per aziende e organizzazioni, prevede espressamente la tenuta dei registri dei trattamenti. Viene infatti stabilito che, al fine di dimostrare la corretta applicazione del Regolamento, e delle leggi nazionali attuative, il titolare del trattamento o il responsabile se nominato, debbano tenere sotto la sua/loro responsabilità un registro delle attività di trattamento. Si tratta anche di un indice di corretta gestione che potrà essere valutato non solo ai fini di applicazione della normativa, ma nell’ipotesi, non certo improbabile, che l’adeguamento al GDPR venga inserito tra i requisiti essenziali per partecipare ad appalti pubblici. L’articolo 30 del Regolamento trova fondamento già nelle premesse: in particolare al n. 60 nel quale, con una traduzione non certo impeccabile, si indica come obbligatoria la tenuta dei registri delle attività di trattamento che dovranno essere messi a disposizione delle Autorità di controllo ai fini del monitoraggio.

In ogni caso una corretta tenuta del registro appare opportuna anche ai fini dell’analisi del rischio e alla pianificazione dei trattamenti, vale a dire nel rispetto della linea di condotta da tenere in base al principio dell’accountability, cioè il principio che è alla base del GDPR. La corretta tenuta di tali libri sarà uno strumento utile per dimostrare, in caso di ispezioni, di essere conforme nel trattamento dati personali. 

Competenze e requisiti del DPO - Il problema delle certificazioni

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

L’articolo 37 del Regolamento Europeo 679/2016 prevede la nomina del Data Protector Officer, senza però darne né precisa definizione né esaustiva descrizione della figura. I successivi articoli 38 e 39 indicano la posizione che dovrà assumere all’interno della struttura ed i suoi compiti ma, anche qui, non indicano compiutamente quali caratteristiche debba avere e i suoi requisiti, titoli, attestati e quant’altro. Pertanto, ad oggi, quello che è uno dei soggetti principali della nuova normativa europea in materia di trattamento dati personali, non ha una sua tipizzazione normativa, tant’è che non esiste alcun albo o registro dei DPO e neppure sono state emanate (a livello europeo o dei singoli Stati)  norme che contribuiscano a creare la categoria.

L’unica norma del regolamento che indica caratteristiche e competenze del DPO è il comma 5 dell’articolo 37 che testualmente recita:

Bug di Apple: con un link si può bloccare il Mac e riavviare iOS

La falla di sicurezza è in un componente usato da tutti i sistemi Apple: per l'exploit basta creare un sito web con un CSS particolare. Di per sé pare difficile che questa vulnerabilità possa essere sfruttata per attacchi malware, ciò non toglie che possa diventare una scocciatura. Questo per il semplice fatto che questo bug, scoperto dal ricercatore di Wire Sabri Haddouche, richiede pochissime conoscenze tecniche per essere sfruttato e, per quanto magari non produrrà mai gravi danni, può creare fastidi.

Non è la prima volta...

Non sarebbe infatti la prima volta che falle piuttosto deboli, ovvero che non rischiano di compromettere completamente sistema e dati, vengono usate per "tirare brutti scherzi" o per il mero gusto di dare fastidio. 

Il consenso dell'Interessato ai sensi del GDPR

di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Deve premettersi e mai perdersi di vista il concetto essenziale che il Regolamento Europeo 679/ 2016 pone al suo centro l’interessato, vale a dire il soggetto che fornisce i propri dati personali a chi dovrà trattarli. A differenza della previgente normativa nazionale, il Regolamento non solo riconosce questa figura espressamente, ma la individua quale titolare di diritti ben precisi: proprio al fine di poter compiutamente esercitare gli stessi, il consenso al trattamento dati a favore dell’interessato, sia che derivi da contratto che da obbligo di legge, deve essere non solo chiaro, ma avere ben determinate caratteristiche. 

In generale il consenso è identificato in: 

“qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento". 

Già da questa definizione emerge come il consenso non possa in alcun modo essere condizionato o soggetto a controprestazioni che rimangono nell’alveo del rapporto tra le parti. Laddove ciò accadesse il consenso non avrebbe validità con la conseguenza dell’impossibilità per il Titolare di provvedere al trattamento dei dati e, molto probabilmente, non poter eseguire i propri obblighi contrattuali.

Ondata di attacchi contro Linux e Windows: in diffusione il malware XBASH

I ricercatori di sicurezza del team Unit42 di Palo Alto Network hanno rilevato una pericolosa ondata di attacchi in grado di creare gravi disfunzione sui sistemi colpiti. Il malware in diffusione è noto come Xbash, attributo al gruppo di cyber criminali "Iron Group", e presenta caratteristiche di virulenza e capacità di auto propagazione nei sistemi Linux e Windows. E' programmato in Python ed è stato convertito in un eseguibile ELF (Linux) approntato abusando di PyInstaller per la distribuzione. E' molto pericoloso anche perchè ha un tasso di individuazione bassissimo.

Che cosa fa?

L'analisi del codice ha reso chiaro che Xbash ha non poche capacità offensive, prima di tutte la

In diffusione nuova variante del ransomware Dharma: attacca i Remote Desktop Service

Durante il fine settimana è stata messa in diffusione una nuova variante della famiglia ransomware Dharma, riconoscibile perché modifica l'estensione dei file criptati in .brr. Il primo a darne notizia è stato il ricercatore di sicurezza Jakub Kroustek che ha twittato il link ad un campione del ransomware su VirusTotal.

Attualmente non c'è possibilità di decriptare gratuitamente i file attaccati da Brr Dharma Ransomware. 

Come si diffonde
Come ogni membro della famiglia Dharma, anche la variante Brr viene installata manualmente sulla

Nonostante i due anni di vita, il trojan "ruba-password" Loki è ancora una minaccia

Loki è attivo da qualche anno e giusto qualche settimana fa è stato visto di nuovo in azione, diffuso in una campagna di spam mirata contro mailbox aziendali. Nei fatti, nonostante ormai sia "una vecchia conoscenza", bisogna constatare come questo trojan sia ancora una minaccia per la sicurezza informatica. 

Loki-Bot: informazioni di base

Loki-Bot è un malware per il furto di password, avvistato ultimamente in the wild non poche volte. Ha la capacità di sottrarre differenti tipi di credenziali e gode di una componente keylogger che gli conferisce un altissimo tasso di successo. Il malware è in vendita, incluso il server C&C, a circa 70 dollari statunitensi, un prezzo molto conveniente. 

Il codice sorgente della v.1 è trapelato nel 2015 e da quel momento è stato usato da centinaia di cyber criminali: appare ormai del tutto impossibile, quindi, risalire allo sviluppatore originale. Il codice è stato ritoccato e riadattato nel tempo, sia per renderlo più efficace sia per adattarlo alle esigenze del singolo utilizzatore. La maggior parte degli antivirus lo intercetta e, proprio per questo, il grosso delle modifiche è finalizzato all'oscuramento del codice e a misure anti virtual-machine.