Blog

In evidenza

CryptoLocker: alcune cose da sapere

Un numero sempre crescente di persone quando sente il nome Cryptolocker sa già di cosa stiamo parlando in troppe, purtroppo, in quanto vittime di questo ransomware ( un tipo di malware che chiede un riscatto per sanare il suo operato). Questo trojan fa la sua prima comparsa nel 2013 e si è evoluto negli anni… ed oggi, nel 2020 come si presenta?

Questo trojan fa la sua prima comparsa nel 2013 e si è evoluto negli anni… ed oggi, nel 2020 come si presenta?

Possiamo dire che ha moltissime varianti e che quindi, in questo articolo, ci limiteremo a fornire alcune informazioni basilari che possono essere approfondite nel corso di una consulenza.

Semplificando e generalizzando al massimo possiamo definire il CryptoLocker come un virus che lavora in due fasi:

Nella prima fase il malware cripta, ovvero che codifica rendendo di fatto illeggibili determinate tipologie di files prefissate come obiettivo

Nella seconda fase viene chiesto un riscatto per poterli decriptare ovvero per renderli di nuovo accessibili all’utente o all’azienda.

     Premesse veloce ma fondamentale: il fatto di pagare il riscatto non garantisce che i cybercriminali, (i criminali informatici che stanno dietro ad attacchi come questi), effettivamente poi diano la chiave o il programma per decriptare i dati.

Senza entrare nel dettaglia andiamo a vedere alcuni aspetti fondamentali da conoscere di questo malware:

Come viene infettato il nostro sistema? Sono a rischio?

Poiché la sicurezza informatica al cento per cento non esiste, siamo potenzialmente tutti a rischio.

Escludendo i casi di attacchi mirati, ovvero quando un hacker od un cybercriminale vi ha preso di mira e quindi opera con l’intenzione di colpire proprio voi, la tendenza è quella di attaccare quanti più obiettivi possibili cercando di trovare sistemi non o mal protetti o di sfruttare un errore umano.

Un veicolo molto usato per diffondere il CryptoLocker è attraverso campagne di phishing o email maligne camuffate da notifiche di tracking di spedizioni.

Vi sono poi casi di siti web compromessi, banner pubblicitari aventi codice malevolo ed è accaduto che computer già compromessi siano poi stati successivamente infettati anche da questa tipologia di malware.

Come possiamo difenderci?

Ricordando che in ambito informatico la sicurezza al cento per cento non esiste la cosa migliore è quella di fare una consulenza specifica per mitigare i rischi, tuttavia vi sono delle cose che tutti dovrebbero fare per ridurre un po’ il rischio.

Ecco la lista di quello che si dovrebbe fare (è solo un punto di partenza, questo non è sufficiente ad essere adeguatamente protetti ):

  1. Avere un piano di disaster recovery e business continuity. Questo permette all’azienda o al singolo di poter ripristinare i propri dati e continuare a lavorare in caso di un’infezione.
    Attenzione ad un errore diffuso: fare i backup su dischi NAS connessi alla stessa LAN o su dischi usb direttamente accessibili può permettere al Cryptolocker di criptare anche i nostri backup.
  2. Essere molto diffidenti quando si riceve una mail, verificare accuratamente che non sia una mail malevola, (uno dei servizi che offro è una formazione in merito).  Prestare attenzione che vi sono criminali informatici che sanno camuffare molto bene le email in modo da farle sembrare provenire da un mittente noto e/o affidabile, utilizzano la grafica originale delle aziende ecc.  Tramite una mail malevola i cybercriminali possono diffondere il virus mediante allegati (con o senza la doppia estensione), link esterni o codice inserito direttamente nel corpo della email (le email infatti possono essere in codice HTML e quindi includere al loro interno del codice malevolo che si attiva semplicemente tramite l’anteprima)
  3. Scegliere un sistema antivirus ed antispam valido e ben configurato che lavori lato server, ovvero che vada ad analizzare le mail prima che arrivino al nostro dispositivo. In base alla configurazione di questi servizi avremmo un risultato diverso (il più comune è quello che le email malevole vengono automaticamente spostate nella casella di posta indesiderata, tuttavia dipende dalla configurazione e dal servizio adottato ; inoltre ci possono essere casi falsi positivi, ovvero email legittime classificate come spam oppure casi in cui email malevole non vengono identificate come tali e che quindi ci arrivano senza filtri).
  4. Tenere il sistema operativo, i firmware, i software ecc sempre aggiornati all’ultima versione.
  5. Usare un account utente con privilegi standard o comunque strettamente limitati alle funzioni richieste. Non usare un account amministrativo può ridurre il danno che il ransomware è in grado infliggere; inoltre adottare opportune policy dove ogni utente può accedere solo ai files a cui è autorizzato riduce i documenti a cui la versione base del virus può accedere, ( tuttavia non sempre questo è sufficiente, infatti esistono versioni più evolute che fanno un privilege escalation acquisendo quindi diritti più elevati dell’utente oppure versioni che usano exploit noti per bypassare le restrizioni).
  6. Prestare attenzione alla cartella TEMP:  alcuni ransomware copiano in questa cartella i files di cui necessitano per funzionare, il bloccare l’esecuzione dei files da questo percorso ci aiuta nel proteggerci da alcune tipologie di questo malware. Dobbiamo però tenere conto che molti software legittimi utilizzano questa cartella per funzionare, dobbiamo quindi configurare le dovute eccezioni per evitare che applicativi di cui abbiamo bisogno incorrano in problemi di funzionamento.
  7. Adottare una soluzione antivirus che abbia una tecnologia antiramsoware
  8. Adottare un firewall hardware di ultima generazione opportunamente configurato possa fornire un primo livello di protezione contro ransomware, bot, worm, hacking, APT ecc
    Alcuni firewall offrono al possibilità di inviare automaticamente in cloud i files sospetti per essere analizzati con strumenti automatizzati, fare scansioni dei files usando più di un motore antivirus, protezione IPS, intercettare gli exploit noti, isolare automaticamente la macchine infette, bloccare gli ip dei server command and control e via discorrendo.
    Ovviamente oltre ad un prodotto di alta qualità è fondamentale la sua configurazione in quanto un errore di quest’ultima può ridurre drasticamente la protezione offerta.

Questi sono solo alcuni dei primi passi per mitigare il rischio connesso a questa tipologia di malware.

Cosa fare se si viene infettati?

Se purtroppo siete stati infettati…

Come prima cosa bisogna isolare quanto prima il computer infetto.

Sappiate che potrebbe esserci stato un Data breach  nel qual caso dovete fare quanto previsto dal GDPR e richiesto dal garante. Vi consiglio di farvi consigliare da un esperto in materia del GDPR su come procedere.

Per recuperare i dati avete due possibilità:

  1. Se avete un buon piano di disaster recovery e business continuity potete ripristare i dati attraverso i vostri backup
  2. Se non avete i backup potete provare a vedere se siete fortunati e se il virus non ha intaccato le shadow copy dei vostri files
  3. Se il virus ha criptato anche queste possiamo vedere se il malware è una variante i cui files possono essere decriptati attraverso strumenti come quelli che troviamo in questo sito web https://www.nomoreransom.org/it/prevention-advice.html o altri siti affini affidabili (affidatevi ad un esperto).
  4. Se ancora non avete risolto il problema…  valutate il da farsi con un consulente specializzato.

Come per tutti i miei post vi rammento che è solo un’infarinatura veloce di argomenti su cui vi è molto da dire, se volete saperne di più vi invito a contattarmi per una consulenza o per una formazione, anche online, su questo o altri argomenti.

Vi rammento inoltre che l’informatica è in continua evoluzione, quindi in linea generale un post ha una valenza limitata nel tempo, dopo qualche mese potrebbe essere obsoleto e non più coerente con l’effettivo stato delle cose. Ecco perché le consulenze vanno fanno ciclicamente in modo da essere sempre aggiornati.

20/01/2020 : scoperta una nuova falla su Internet Explorer

Le ragioni per cui viene ancora usato sono molteplici, vuoi per abitudine, per preferenze personali o, forse il caso più comune, per un mantenere la compatibilità con determinati device o software sta di fatto che seppur ormai datato vi è ancora chi usa questo vecchio browser.

Personalmente consiglio di utilizzare sempre un browser recente ed aggiornato tuttavia se siete obbligati ad usare Internet Explorer sappiate che Microsoft stessa in data 17 Gennaio 2020 ha pubblicato un avviso relativo ad un problema di sicurezza. Andiamo a vedere di cosa si tratta:

Avviso di sicurezza: CVE-2020-0674

Sommariamente queste sono le versioni coinvolte (qui nel dettaglio):

  • Internet Explorer 9 eseguito su Windows Server 2008 SP2
  • Internet Explorer 10 eseguito su Windows Server 2012
  • Internet Explorer 11 eseguito su Windows 10, Windows 8.1, Windows RT 8.1, Windows 7 Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2, Windows Server 2008 SP2 ,Windows Server 2008 R2 SP1              

In breve, qual è questo problema di sicurezza?

Visitando una pagina web compromessa, anche senza un’ulteriore iterazione dell’utente, può essere eseguito del codice malevolo che sfruttando la vulnerabilità potrebbe consentire all’ attaccante l’esecuzione di altro codice da remoto utilizzando gli stessi privilegi dell’utente loggato, (ovvero come se fosse l’utente stesso ad eseguire il codice).

E’ già pronta un patch?

Al momento in cui sto scrivendo questo articolo, ovvero il 20 gennaio 2020 mi risulta che Microsoft stia già lavorando a risolvere questa vulnerabilità ma che non ci sia ancora una patch scaricabile.

Alcune mitigazioni possono essere adottate, potete contattarmi per una consulenza in merito.

Il DNS cosa è e come funziona

L’argomento DNS seppur molti lo possano dar per scontato è in realtà vasto motivo per cui in quest’articolo il mio scopo è solo quello di introdurlo e far capire a grandi linee cosa sia.

Dopo questa doverosa premessa andiamo a spiegare cosa è il servizio DNS.

La sigla DNS sta per Domain Name System (tradotto è sistema dei nomi di dominio) e permette la traduzione di un nome di un dominio (ad esempio www.ascybersec.com ) o di un nodo della rete nel corrispondente indirizzo IP; infatti cosa non nota a tutti è che quando noi andiamo su un qualunque browser ,(il browser è il software usato per navigare in internet, ad esempio Chrome, Firefox, Safari, Edge, Opera, ecc. ), e digitiamo nella barra degli indirizzi un sito web in realtà quest’ultimo è raggiungibile mediante il suo indirizzo IP; è come quando fate una chiamata al telefono ed usate la rubrica telefonica, in quest’ultima avete un nome al quale è associato il numero di telefono ma a voi probabilmente è più semplice ricordare il nominativo di chi volete chiamare rispetto al suo numero, sarà poi la rubrica del vostro telefono a tradurlo nel numero associato, analogamente il DNS si comporta come un’immensa rubrica che converte il nome del sito web che volete visitare nel suo corrispondente indirizzo IP.

Questo procedimento avviene anche quando vogliamo raggiungere un determinato device all’interno di una LAN, abbiamo quindi che un server DNS è un database i cui record sono l’associazione tra un dominio (o un device di una rete) ed il corrispondente indirizzo IP.

Abbiamo la possibilità di gestire un DNS locale il quale ci permette di trovare gli altri device (PC, scanner, stampanti, IoT, ecc.) della nostra rete ed anche, con opportune soluzioni, di fare una cache degli indirizzi IP dei domini web (ovvero siti internet) che usiamo più spesso potenzialmente velocizzando la nostra navigazione Internet / Intranet.

Nel caso in cui il nostro server DNS interno non è in grado di trovare nei suoi record quello che stiamo cercando, se è stato correttamente configurato, a sua volta inoltra la richiesta ad un server DNS esterno che può essere quello del nostro ISP, (ovvero il fornitore della nostra connessione internet), oppure uno che abbiamo definito noi.  Se neppure quest’ulteriore server DNS ha modo di trovare quello che stiamo cercando, teoricamente, (si deve sempre tenere conto della sua configurazione), dovrebbe inoltrare la richiesta ad un altro server DNS chiamato “root DNS” altresì chiamato “root nameserver” che dovrebbe essere l’ultimo livello di ricerca prima di restituire un eventuale errore.

Quanto fin qui espresso è solo un’introduzione sommaria sul servizio DNS inidonea alla vera comprensione dell’argomento in quanto c’è ancora molto da dire motivo per cui se volete veramente capire cosa è, come funziona e come configurarlo per migliorare la vostra esperienza vi consiglio di prenotarvi una consulenza specifica.

Alcune anticipazioni? Perché no … ecco alcune cosa di cui si può discutere nella consulenza

  • Approfondimenti su quanto detto sui DNS, su cosa sono e come funzionano; spiegazione di ulteriori concetti non detti quali il “DNS resolver” o il “DNS inverso”, ecc. ecc.
  • Tenete alla vostra privacy? Ecco cosa dovete sapere…
  • Sicurezza: Server DNS che bloccano la navigazione su siti classificati come malevoli o compromessi
  • Velocità: quali sono i server DNS più veloci?

Che cos’è la virtualizzazione e quali vantaggi comporta

La virtualizzazione è una tecnologia che permette l’astrazione delle risorse fisiche (hardware) commutandole in risorse virtuali allocabili e quindi l’utilizzo contemporaneo di sistemi operativi anche differenti.

La macchina fisica ospitante è chiamata “host” e le sue risorse possono essere suddivise in diverse macchine ospiti (guest) che possono, ove vi siano i presupposti, anche lavorare contemporaneamente.
Il principale limite sta quindi nelle risorse disponibili per virtualizzare (ad esempio le CPU, la RAM, lo spazio sul disco , ecc).
Ogni host rende disponibile le proprie risorse fisiche come risorse virtuali; quando si va a configurare una macchina virtuale l’operatore va quindi ad assegnare una parte di queste risorse alla macchina guest. Le risorse complessive disponibili della macchina host vanno quindi a diminuire progressivamente con l’aumentare delle assegnazioni di queste alle macchine guest. Con alcune soluzioni software è possibile modificare l’assegnazione di queste risorse successivamente alla creazione della macchina guest, qui abbiamo poi le versioni più evolute che permettono tale modifica “a caldo” ovvero fin che la macchina è in esecuzione oppure altre che necessitano che la macchina virtuale venga spenta per poter modificare le risorse ad esse allocate.

Spieghiamo con un esempio:

Abbiamo un server con due processori a 4 core fisici e 8 core virtuali, 32GB di RAM e 1TB di spazio su disco.
Su questo server virtualizziamo un Windows server 2016, quindi gli associamo 4 core virtuali, 16 GB di RAM e 512 GB di disco.
Successivamente creiamo una macchina con Windows 10 pro, con 2 core virtuali, 4 GB di RAM e 128 GB di disco.

Noi avremo quindi un server virtuale con Windows server 2016 con 4 vcpu (virtual cpu), 16 GB RAM e 512 GB di hard disk virtuale, un’altra macchina con windows 10 pro con 2vcore, 4GB di RAM e 128 GB di hard disk virtuale.
Restano disponibili ancora delle risorse nella macchina host, noi possiamo associare queste risorse in un secondo momento ad un’altra macchina o potenziare una esistente ove ne sia l’esigenza.

L’esempio sopra era con una macchina relativamente modesta, ma possiamo trovare server equipaggiati con hardware ben superiore e non necessariamente sito in un unico host.
Ad esempio possiamo avere due macchine host con due processori Xeon cadauna aventi 20 core logici ognuno, questo ci dà ben 80 core logici (40 per host) che possiamo associare alle macchine virtuali che andiamo ad implementare; mettiamo poi che ogni host abbia 64GB di RAM e che abbiamo condiviso una SAN con uno spazio complessivo di 10TB.

Con una soluzione come quella sopra avremo più possibilità rispetto alla prima macchina, si potrebbe infatti bilanciare il carico di lavoro tra i due host facendo sì che se fisicamente uno dei due si rompe automaticamente tutte le macchine virtuali vengono spostate sull’altro host evitando di fatto il blocco dell’attività lavorativa. Per far questo è però importante calcolare bene le risorse utilizzate, infatti la somma delle risorse impegnate dei due host non deve superare il totale di quelle disponibili da un singolo host.
Ciò detto si potrebbero però implementare , ad esempio:
– nr 1 server Windows 2016 con 4vcpu, 16 GB RAM, 5TB disco virtuale (chiamiamo questa macchina “ServerDNS” )
– nr 1 server Windows 2016 con 12vcpu, 32GB RAM, 4TB disco virtuale ( chiamiamo questa macchina “ServerRDP” ).

Ed ecco che possiamo usare la macchina “ServerRDP” per far lavorare diversi utenti che prima lavoravano sul loro pc fisso Windows. Il pc fisso quindi viene sostituito da un thin client il cui costo può essere più contenuto.
I vantaggi di questa soluzione sono:
– riduzione di costi nella sostituzione dei pc fissi degli operatori
– riduzione dei costi nella manutenzione dei pc

Ma questi sono solo alcuni esempi astratti ed i concetti espressi andrebbero spiegati ed approfonditi più nel dettaglio, si deve infatti sempre tener conto delle licenze dei sistemi operativi e delle applicazioni, oltre a molti altri fattori che non ho esposto ma che possono essere spiegati meglio in altra sede.

Oltre a permetterci di ottimizzare in un modo migliore le nostre risorse hardware e di far eseguire più sistemi operativi indipendenti e diversi nella stessa macchina fisica vi sono altri vantaggi interessanti.

Con opportune soluzioni studiate ad hoc si possono creare macchine virtuali e fare il backup frequente,indipendente e completo di queste in modo che se qualcosa andasse a compromettere una o più macchine avremmo la possibilità di ripristinarle garantendo la continuità del nostro business.

Un altro vantaggio della virtualizzazione è che, come ho già accennato, le macchine virtuali possono essere distribuite su più host, quindi, con opportune soluzioni software, configurazioni e hardware possiamo potenzialmente spostare interi server senza dover necessariamente reinstallare e riconfigurare tutto riducendo, (ed alcuni casi azzerando), i tempi di fermo macchina e/o l’interruzione dell’attività per manutenzioni, migrazioni ecc..

Ovviamente tutto quello finora esposto è solo una generalizzazione il cui approfondimento e maggior chiarificazione piò avvenire solo con una consulenza specifica in cui si va ad analizzare le esigenze del cliente e quindi a creare soluzioni ad hoc esponendo di pro ed i contro.
Questi sono solo alcuni aspetti della virtualizzazione, c’è ancora molto da dire e da spiegare e molto cambia in base al contesto in cui la si vuole attuare motivo per cui, se l’argomento vi interessa, vi consiglio di fissare una consulenza in cui si va a spiegare meglio ogni singolo aspetto e come questo può essere applicato alla vostra realtà.

Chi è AS CyberSec

AS CyberSec nasce da una passione per l’informatica coltivata negli anni.
L’informatica è un campo così esteso che nessuno può conoscerla al 100%, c’è sempre qualche cosa da imparare e l’evoluzione è una costante.

Dopo anni di lavoro come IT manager per un’azienda, dove ho avuto modo di apportare grandi innovazioni nell’ IT, ho deciso di mettermi in proprio per condividere le mie competenze anche con altre aziende e/o attività con passione e professionalità.

Come ho premesso il campo informatico è troppo vasto affinché una sola persona possa conoscere tutto, per questa ragione sto selezionando delle aziende partner con cui creare delle collaborazioni per poter dare un miglior servizio ai miei clienti.

AS CyberSec può far la differenza per la sua attività? Prenoti ora un appuntamento e scopriamolo assieme…