La scorsa settimana sono stati rilasciati due nuovi importanti aggiornamenti: quello della versione 77 di Mozilla Firefox e quello di Zoom, che introduce la crittografia end-to-end (ma solo per gli utenti a pagamento)

La scorsa settimana sono stati rilasciati due nuovi importanti aggiornamenti che riguardano il broswer Mozilla Firefox e Zoom, l’app per le videocall, diventata popolare durante la quarantena dovuta al Coronavirius.

Per quanto riguarda Firefox, è stata rilasciata la versione 77 che va a risolvere alcune vulnerabilità classificate “ad alto rischio” che permettevano l’esecuzione di codice da remoto sulle macchine al semplice caricamento di una pagina Web contenente un eventuale exploit.

Le falle di sicurezza risolte sono tre e, in particolare, riguardano la gestione dei JavaScript (CVE-2020-12406) e vari bug che possono portare all’alterazione di memoria, identificati come CVE-2020-12410 e CVE-2020-12411.

L’aggiornamento di Firefox è automatico: la nuova versione verrà scaricata in installata al primo riavvio.

Per quanto riguarda Zoom invece le cose sono un po’ diverse.

Innanzitutto il download dell’aggiornamento non è automatico e va quindi eseguito l’installer.

Questa nuova versione servirà a risolvere importanti bug, come quello che consentiva di avviare l’esecuzione di un codice remoto verso tutte le macchine dei partecipanti a una call (quindi facendo potenzialmente una “strage”, visto che possono connettersi contemporaneamente a una videoconference fino a 500 account), attraverso l’invio in chat di un messaggio di testo specifico (CVE-2020-611) o una GIF animata (CVE-2020-6109).
L’altra importante novità in arrivo con questa versione di Zoom è l’introduzione della crittografia end-to-end nelle chiamate.

La crittografia end-to-end è un sistema di comunicazione cifrato, che fa in modo che le chiavi per accedere ai messaggi che ci si sta scambiando siano visibili soltanto tra chi sta comunicando e non vengano quindi coinvolte terze parti (come gli Internet Service Provider).

L’assenza di tale crittografia era stata scoperta ad inizio aprile ed era ampliamente stata criticata dagli esperti di privacy e sicurezza informatica.

La nota amara della questione è che la crittografia end-to-end verrà rilasciata soltanto agli utenti che hanno un abbonamento a pagamento, chiunque abbia un account gratuito continuerà ad essere scoperto.

Le critiche verso questa scelta sono ovviamente già state mosse e sono molto severe, vedremo se il CEO Eric Yuan rivedrà la sua posizione alzando così il livello di sicurezza globale della sua applicazione.

Immuni è online da pochi giorni e i pirati informatici ne stanno già approfittando: stanno girando infatti alcune mail che consigliano di scaricare l’app e che rimandano a un falso sito della Federazione Farmacisti che contiene un virus denominato FuckUnicorn

Immuni, l’app scelta dal Governo Italiano per tracciare i contatti al fine di limitare il diffondersi del Coronavirus, è stata rilasciata lunedì 1 giugno ed è già utilizzata dai cybercriminali come pretesto per indurre gli utenti a cliccare su finti siti web per far scaricare loro un virus.

A rendere noto questo pericolo è stato un avviso di Cert – Agid, la struttura governativa che si occupa di sicurezza informatica. Nella nota si legge che la campagna malevola è stata veicolata col fine di diffondere un ransomware denominato “FuckUnicorn”.

Per rendere verosimile l’inganno gli hacker hanno utilizzato una tecnica di ingegneria sociale tipica del phishing, e cioè quella di scegliere un target di vittime (in questo caso farmacie, parafarmacie ed Enti coinvolti nell’emergenza sanitaria) e ricreare un sito falso verso cui rimandarli. Per questa campagna è stato infatti creato un sito che impersonava piuttosto fedelmente quello della Federazione dei Farmacisti Italiani (Fofi).
Il nome del dominio scelto per clonare il sito - spiega Agid-Cert nella comunicazione del 25 maggio - è simile a quello reale, con la lettera "L" al posto della "i" (da fofi a fofl).

L’utilizzo di domini internet con nomi molto simili ad altri è chiamato typosquatting.

Quando l’utente cliccava quindi sul link riportato nella mail (per altro scritta in un italiano corretto), veniva rimandato al sito truffaldino in cui trovata un file presentato come la prima versione beta dell’app Immuni e denominato appunto “IMMUNI.exe”, rendendolo quindi facilmente confondibile con la nuova applicazione.

Una volta eseguito il file veniva mostrato un finto pannello di controllo che presentava dei finti risultati dell’andamento della pandemia da Covid-19.

Nel frattempo il malware provvedeva a cifrare i file presenti sul sistema Windows della vittima e a rinominarli assegnando l'estensione ".fuckunicornhtrhrtjrjy". Infine, veniva mostrato un file di testo, sempre scritto in italiano corretto ma questa volta in versi, con le istruzioni per il riscatto: il pagamento di 300 euro in bitcoin per liberare i file cifrati.

L’unico modo per avere indietro i propri dati infatti, dopo l’attacco di un ransomware, è quello di cedere al pagamento di un riscatto.

Cert-Agid ha prontamente avvertito la Polizia Postale che ha già avviato un’indagine.

Da oggi è possibile attivare su IrideWeb, il portale dei servizi online degli Ordini Professionali, l’accesso attraverso SPID, il Sistema Pubblico di Identità Digitale. Vediamo cos’è

Da oggi è possibile attivare su IrideWeb, il portale dei servizi online degli Ordini Professionali, l’accesso attraverso SPID, il Sistema Pubblico di Identità Digitale, vale a dire un sistema di riconoscimento con il quale si può accedere a una serie di servizi online della pubblica amministrazione con un unico nome utente e un’unica password.

 

Cos’è SPID

Lo SPID, come detto, è una “credenziale digitale” assegnata ad ogni cittadino italiano (o straniero, residente in Italia, in possesso di un valido documento di soggiorno), maggiorenne, che ne fa richiesta. Queste credenziali permettono di accedere a svariati portali, come ad esempio i siti web, di moltissime pubbliche amministrazioni, per usufruire di diversi servizi online, eliminando i tempi della burocrazia e dando certezza alle PA dell’identità di chi usufruisce del servizio.

 

Come si attiva SPID

L’identità SPID può essere rilasciata da alcune strutture accreditate AGID (come ad esempio Namirial, Poste Italiane e Aruba) sul cui sito è possibile trovare l’intero elenco.

Il primo passo da fare è quindi quello di scegliere il fornitore dopodiché è necessario seguire le seguenti fasi:

1. Inserisci i tuoi dati anagrafici
2. Crea le tue credenziali personalizzate
3. Effettua il riconoscimento

Il processo è piuttosto veloce e, in alcuni casi che vedremo più avanti, può essere effettuato anche da casa.

 

Cosa serve per attivare SPID

Come dicevamo per attivare l’identità digitale SPID si può scegliere tra diversi provider. Indipendentemente da quello con cui decidete di portare avanti la procedura, i documenti necessari per l’attivazione sono sempre gli stessi e, più precisamente:

 

Se risiedi in Italia	Se risiedi all’estero
Un indirizzo email valido Il numero di un cellulare che usi normalmente La tessera sanitaria col codice fiscale Un documento di identità valido, a scelta tra: carta di identità, patente e passaporto	Un indirizzo email valido Il numero di un cellulare che usi normalmente La tessera sanitaria col codice fiscale Un documento di identità valido, a scelta tra: carta di identità, patente e passaporto

Il documento di identità e il codice fiscale dovranno inoltre essere scannerizzati su due file distinti, fronte e retro, e allegati alla domanda.

(!) Attenzione: il file generato non dovrà contenere nel nome caratteri speciali come , ; . - ! ? ecc.

 

Quali sono i provider che rilasciano SPID

Esistono 9 provider accreditati per rilasciare le credenziali SPID. Nonostante forniscano tutti la stessa cosa, funzionano in modi un po‘ diversi tra loro e alcuni sono a pagamento.
Le differenze sostanziali tra i diversi fornitori stanno soprattutto nel livello di sicurezza del servizio offerto e nella possibilità di effettuare il riconoscimento con procedure “a distanza” e cioè senza doversi recare fisicamente in un ufficio.

I provider attualmente attivi sono: Aruba, InfoCert, Intesa, Lepida, Namirial, Poste Italiane, SIELTE, Register e TIM.

 

Quale provider scegliere

Dipende. Come accennato ognuno dei fornitori offre un servizio diverso e questo potrebbe essere decisivo per la scelta di appoggiarsi a uno anziché all’altro senza contare che, alcuni di loro, offrono procedure semplificate per chi è già loro cliente (come ad esempio le Poste).

In generale i criteri da considerare sono: il livello di sicurezza delle procedure desiderato, se siete o non siete cittadini italiani (alcuni provider offrono il servizio solo ai cittadini italiani), se volete procedere col riconoscimento a distanza (soprattutto in questo periodo di semilockdown dovuto al Coronavirus – e in questo caso vi potrebbe servire una webcam) e se volete pagare o meno per effettuare la procedura.

Trovate qui una comoda tabella con tutte le informazioni sui vari provider. 

 

Cos’è il riconoscimento

Il riconoscimento è l’ultimo passaggio necessario per l’attivazione di SPID e può avvenire in tre modi diversi:

• Di persona
• A distanza attraverso webcam
• Online con Carta di identità elettronica, firma digitale o carta Nazionale dei Servizi (qui un tutorial di AGID che spiega questa ultima procedura)

Fare il riconoscimento di persona può essere molto scomodo perché non tutti i provider hanno molti uffici nel territorio nazionale ed è comunque spesso necessario prendere appuntamento.

Il riconoscimento a distanza è comodo poiché avviene direttamente da casa. È ovviamente necessario possedere una webcam e una connessione internet funzionante.

Nel terzo caso, come spiegato nel video, servono i documenti richiesti, la firma digitale e un lettore elettronico di smartcard.

 

Ma, praticamente, come si fa ad attivare SPID?

Innanzitutto collegatevi al sito https://www.spid.gov.it/ e cliccate sul bottone “Richiedi SPID”.

Scendete infondo alla pagina e cliccate sul fornitore scelto per l’attivazione.

Si aprirà un menu a tendina con tutte le informazioni. Leggete attentamente i dettagli e, una volta scelto il provider, cliccate su “Registrati con…”.

Verrete rindirizzati sul sito del provider per procedere con la fase 1, in cui dovrete inserire tutti i vostri dati anagrafici.

Appena terminata questa fase vi verrà richiesto di scegliere una mail da associare al vostro profilo e il numero di cellulare che usate abitualmente e di inserire quella che sarà la vostra password.

Stando a quanto dichiarato sul sito SPID queste operazioni richiedono tra i 5 e i 20 minuti, a seconda che abbiate già pronti i documenti e abbiate più o meno dimestichezza con gli strumenti informatici (la procedura è comunque molto semplice).

Attenzione, la password deve essere lunga almeno 8 caratteri, contenere maiuscole, minuscole, almeno un numero e almeno un carattere speciale. Vi consigliamo di non utilizzare una password che state utilizzando già per altri servizi.

Il numero di cellulare che decidete di inserire deve essere associato ad un dispositivo che non deve necessariamente essere intestato a voi ma che utilizzate normalmente. A questo numero vi arriverà infatti il codice OTP, necessario per verificare la vostra identità.

L’OTP è un livello di sicurezza ulteriore rispetto al semplice username e password e consiste nell’invio di un codice numerico via sms, email o attraverso una app sul cellulare, in questo modo se qualcuno provasse ad accedere con il vostro profilo, dovrebbe comunque avere accesso anche al vostro telefono per completare la procedura.

A questo punto, a seconda della modalità scelta, si passerà alla fase di riconoscimento.

Se ad esempio decidete di procedere col riconoscimento di persona con le Poste, avete 30 giorni di tempo per recarvi in ufficio postale e completare la procedura.

 

Cosa posso fare con SPID?

SPIP può essere utilizzato per accedere a diversi servizi delle Pubbliche Amministrazioni.

Può servire, ad esempio, per accedere ai servizi dedicati alla famiglia, al proprio fascicolo sanitario elettronico, ai vari servizi INAIL e INPS ma anche per consultare il registro elettronico dei propri figli o per accedere ai servizi online di alcune Università (per iscrivervi agli esami, ad esempio).

In questo particolare periodo il servizio sarà anche necessario per richiedere il “bonus monopattino” e i 600 euro riservati alle partite iva che hanno subito un calo degli introiti a causa del Coronavirus, ma anche per iscriversi ai concorsi pubblici.

Qui trovate un elenco di tutto quello che potete fare con SPID. 

Se sei un professionista iscritto a un Ordine Professionale inoltre, da oggi, sarà per te possibile accedere a tutti i servizi offerti dal tuo Ordine, attraverso la piattaforma IrideWeb, senza l’obbligo di doverti recare fisicamente negli uffici per stampare il certificato di iscrizione o per iscriverti a un evento. 

Windows ha rilasciato il “Patch Tuesday” di maggio, il mega aggiornamento cumulativo di Windows 10. Questo aggiornamento è molto importante poiché va a risolvere oltre 100 falle di sicurezza, di cui 2 fondamentali

Martedì 12 maggio Windows ha rilasciato, puntualissima, il “Patch Tuesday”, il mega aggiornamento cumulativo di Windows 10. Questo aggiornamento (identificato con la sigla KB4556799) è molto importante poiché va a risolvere oltre 100 falle di sicurezza, di cui 2 risultano essere fondamentali.

Questo rilascio non prevede nuove funzionalità, per le quali si dovrà aspettare il May 2020 Update, previsto per la fine mese, ma introduce una serie di bugfix correlati alla sicurezza dei dispositivi.

Queste vulnerabilità non riguardano soltanto il sistema operativo ma anche tutti i software presenti su Windows 10, come .NET Frameworks, il broswer Edge e Visual Studio.

Apparentemente sembra non ci siano falle di tipo “zero day” (cioè quei bug mai segnalati e i cui attacchi non vengono quindi bloccati dagli antivirus).

Tra i 100 bug che questo aggiornamento va a risolvere ce ne sono due di particolare importanza: il primo riguarda il lettore PDF di Edge, il broswer di Windows. Il lettore infatti consentirebbe di eseguire file PDF corrotti (quindi contenenti codici malevoli). Utilizzando questa vulnerabilità, gli hacker possono corrompere le celle di memoria occupate dal documento e sfruttare questa “testa di ponte” per ottenere i permessi di amministrazione sul dispositivo.

Il secondo bug importante è relativo al sistema operativo e consentirebbe agli hacker di accedere alla memoria della macchina e di eseguire del codice malevolo da remoto. In questo modo sarebbe quindi per i malintenzionati installare dei virus sui pc degli utenti, senza che sia necessario scaricare file infetti. Ovviamente questa falla è molto pericolosa in quanto permetterebbe a terzi di impossessarsi della macchina come amministratori di sistema.

Come installare gli aggiornamenti di sicurezza di Windows 10

Nel caso in cui non l’abbiate già fatto, è necessario installare subito questo nuovo aggiornamento.

Per farlo cliccate sul tasto Start e poi sull’icona a forma di ingranaggio, che vi riporterà alle impostazioni del Sistema Operativo. Scorrete infondo e l’ultima voce che troverete nel menu è “Aggiornamento di Sicurezza”.

A questo potrete verificare quando è stato installato l’ultimo aggiornamento sul vostro pc. Cliccate poi su “Verifica disponibilità aggiornamenti”.

Vedrete quindi la lista di tutti gli aggiornamenti disponibili e comparirà il pulsante “Riavvia ora”.

Riavviando la macchina il processo di update inizierà automaticamente.

 

(!) Attenzione: segnaliamo ai nostri clienti che ci stiamo occupando noi dell’installazione degli aggiornamenti, è quindi importante non forzare questa procedura prima dell’intervento del tecnico.

Il lavoro da casa, reso obbligatorio dall’epidemia di Coronavirus degli ultimi mesi, ha sollevato enormi problemi alla sicurezza informatica: tra dipendenti poco informati e cyber-criminali pronti a colpire, vediamo cosa è successo in questo periodo

A causa dell’epidemia di Coronavirus molte aziende sono state costrette, in questi mesi, ad approcciarsi al cosiddetto “smart working” o, più precisamente, hanno dovuto dare la possibilità ai dipendenti di lavorare da casa.

Questo nuovo approccio lavorativo ha inevitabilmente esposto le reti informatiche a nuovi rischi, in parte perché i dipendenti sono stati poco informati circa i comportamenti da tenere quando ci si connette a una rete aziendale da casa, in parte perché i cyber-criminali non si sono di certo lasciati sfuggire l’opportunità di sfruttare questa situazione di vulnerabilità e hanno aumentato esponenzialmente gli attacchi.

Come stato segnalato nel corso del Security Analyst Summit (edizione digitale) dello scorso 8 aprile 2020 infatti, gli hacker si sono concentrati soprattutto nello sfruttamento delle vulnerabilità delle reti domestiche che, in questa particolare situazione, si sono praticamente trasformate in un’estensione di quelle aziendali, diventando potenzialmente degli ottimi punti di accesso.

Le connessioni di casa spesso non hanno i requisiti di sicurezza di quelle delle aziende. Partendo dai semplici modem che sovente sono antiquati, succede di frequente che gli utenti non cambino la password del loro wifi o ne utilizzino una veramente semplice, senza contare anche tutti i dispositivi connessi alla stessa rete che potrebbero non essere aggiornati e che risulterebbero quindi esposti a numerosi rischi.

Anche il fatto che i vari tecnici ed amministratori di sistema non possano interagire fisicamente con le macchine dell’ufficio è causa di problemi: è stato stimato da Microsoft che almeno 126.000 macchine non siano state aggiornate quando è stata rilasciata la patch per correggere la falla SNMB Ghost, lasciando quindi i pc dell’ufficio pericolosamente scoperti.

Un’altra società di sicurezza, Kaspersky, ha segnalato come i collegamenti da remoto siano il bersaglio preferito dei cyber-criminali. I servizi RDP (Remote Desktop Protocol) hanno infatti registrato un’impennata di attacchi brute forcing (che consistono nel provare tutte le combinazioni di lettere, caratteri speciali e numeri, finché non si individua la password dell’utente), poiché risultano i più efficaci quando si tratta di forzare un sistema che si basa su credenziali semplici come nome utente e password.

Per difendersi da questi attacchi gli esperti consigliano l’utilizzo di una VPN (cioè una rete virtuale privata), sottolineando come invece la scelta di modificare la porta utilizzata per RDP sia inutile.
Se da un lato quindi abbiamo reti scoperte e hacker pronti a colpire, dall’altra abbiamo un’utenza che sembra non essere stata veramente informata circa il funzionamento del lavoro da casa e di come gestirlo a livello di sicurezza.

Secondo una recente ricerca realizzata da Kaspersky, “How Covid-19 changed the way people work”, quasi un dipendente su quattro che sta usufruendo del remote working qui in Italia, per l’esattezza il 73%, non ha ricevuto una guida o una formazione specifica sulla sicurezza informatica.

Dallo studio emerge infatti come non sia stato spiegato ad oltre il 73% dei dipendenti come proteggersi da eventuali attacchi di phishing o che non sia stato chiarito loro quali applicazioni usare per videoconferenze e messaggistica.

Ricordiamo che il download accidentale di contenuti malevoli da questo tipo di email può portare all'infezione dei dispositivi e anche alla compromissione dei dati aziendali.

Questo senza contare che c’è stato, in questo periodo, un aumento significativo di campagne malevole a tema Covid-19.

Il Corriere della Sera riporta un articolo molto dettagliato in cui espone quanto rilevato nel rapporto di Leonardo, il colosso pubblico della Difesa, riportiamo qui alcuni esempi di attacchi verificatisi solo negli ultimi due mesi:

1. RAT (Remote Access TOOL): una campagna mail malevola di phishing, il cui allegato (e veicolatore di infezione) era denominato “CoronaVirusSafetyMeasures_pdf.exe2”. una volta aperto il file questo avviva connessioni con un servizio di file sharing.
2. Un sito con lo stesso logo di Windows “Wise Cleaner”, creato per distribuire due diversi malware: il trojan Kpot3 e un nuovo ransomware denominato “Coronavirus”, con lo scopo di individuare tutte le password salvate sul dispositivo infettato.
3. L’infostealer AZORult (un trojan mirato a rubare informazioni e dati dal pc infetto) è stato veicolato sia attraverso siti di false mappe relative alla diffusione del virus sia tramite e-mail di phishing a tema COVID-19.

Le e-mail avevano come target aziende operanti nel settore industriale, finanziario, dei trasporti, farmaceutico e della cosmetica.

Nei giorni scorsi l'app di videochat Zoom ha subito un brutto attacco informatico: oltre 500mila credenziali dei suoi utenti sono state rubate e messe in vendita sul dark web

Nei giorni scorsi l'app di videochat Zoom, diventata popolare in questo periodo di quarantena per la possibilità di fare videochiamate con tanti partecipanti, ha subito un brutto attacco informatico, in cui sono state rubate le credenziali di oltre 500mila utenti. Le credenziali sono poi state messe in vendita, per pochi centesimi, sul darkweb.

A segnalare l'hackeraggio è stata la società di sicurezza informatica Cyble secondo cui gli hacker sono riusciti ad accedere alle password e ai collegamenti Url di mezzo milione di account già ad inizio aprile. I dati sono poi stati messi in vendita sul dark web al prezzo di 0,002 centesimi di dollari ciascuno.

Alcune credenziali sono invece state addirittura regalate per favorire il diffondersi dello "Zoombombing" (un fenomeno che si sta diffondendo e di cui vi avevamo parlato in questo articolo).

Questo attacco informatico ha fatto leva su una pratica chiamata "credential stuffing" e cioè l'utilizzo, da parte degli utenti, delle stesse credenziali per accedere ad applicazioni diverse.

Per quanto infatti sia scomodo avere una password diversa per ogni applicazione è molto importate che le credenziali vengano, di volta in volta, personalizzate e cambiate con cadenza almeno semestrale.

Zoom intanto ha richiesto ai suoi utenti di cambiare urgentemente le password e noi consigliamo, qualora abbiate un account Zoom e abbiate usato come credenziale una password che utilizzate anche su altre applicazioni, di cambiare anche quella nelle alte app.

Zoom ha evidenziato già dagli inizi della sua diffusione diversi problemi di privacy, a cui vanno aggiunti quindi questi hackeraggi e l'accusa, circolata alcuni giorni fa, di violare ulteriormente la privacy degli utenti inviando i loro dati in Cina. A seguito di queste voci alcune istituzioni internazionali (come il Senato USA) e grandi aziende (come Space X e Google), hanno vietato ai propri dipendenti di usarla.

Il CEO di Zoom ha intanto annunciato che sono state arruolate diverse società di intelligence per indagare sull'accaduto e ha deciso di riabilitare la propria immagine affidandosi ad Alex Stamos, ex capo della sicurezza di Facebook ed oggi docente presso la Standford University.

Nel caso in cui voleste sapere se in vostro indirizzo mail è inserito in qualche database di credenziali rubate, uno strumento può essere: pwd query.