martedì 30 aprile 2013

Yarix vs ransomware di nuova generazione cripta file e cancella backup


Yarix ha dichiarato guerra al nuovo ransomware che cripta i file e cancella i backup di sistema allo scopo di estorcere denaro ai possessori del pc. Il tutto accompagnato dalla minaccia di segnalare alle autorità il possesso di materiale pedopornografico da parte dell’utente ricattato. 

Da anni ormai i cosiddetti ransomware mettono a dura prova le capacità dei più tenaci specialisti con ingenti richieste di denaro per riavere in cambio i file che riescono a prendere in ostaggio per poi crittografarli con algoritmi sempre più complessi e difficili da espugnare. Tutto ciò ha spesso obbligato migliaia di utenti a cedere alle richieste di organizzazioni criminali che continuano a prosperare indisturbate. 

Stavolta si tratta di una minaccia ancora più complessa, che ha iniziato nelle ultime settimane a diffondersi molto rapidamente per andare a colpire soprattutto le reti aziendali, in particolare tra reti di imprese gestite da Windows Server e sfruttando le debolezze del sistema per stabilire connessioni remote. Identificato con il nome Trojan.ArchiveLock.20, una volta inserito nel sistema rimane invisibile e viene risvegliato a distanza. 

Attivato è in grado di cifrare numerosi file attraverso password dall’elevato livello di sicurezza per poi mostrare attraverso una schermata (che blocca l’interfaccia) cosa sta succedendo al pc e le istruzioni per riavere i propri dati in cambio di un notevole esborso di denaro. Oltre a ciò il ransomware arriva a cancellare gli eventuali backup presenti nel sistema minacciando in taluni casi di rivelare alle autorità il possesso di materiale pedopornografico contenuto all’interno del pc. 

“Sono ormai numerosi i casi dei quali siamo a conoscenza - dichiara Marco Zanovello, CTO di Yarix - una vera e propria ondata massiccia che attualmente non è quantificabile con precisione, anche perché alcuni non vengono denunciati. Ma possiamo tranquillamente affermare che sono diverse decine solo nella sola area triveneta. Ed in costante aumento”. 

Emblematico è il caso di un privato che ha deciso di non farsi estorcere denaro e si è rivolto a Yarix per risolvere il problema: attraverso una falla nel sistema i cracker hanno depositato all’interno del pc un programma che ha cifrato tutti i dati utilizzando una password di circa un centinaio di caratteri. I dati originali sono stati cancellati sovrascrivendo più volte lo spazio libero del server al fine di rendere irriconoscibili eventuali frammenti di informazione. 

“In questo modo - continua Zanovello - il recupero dei dati è praticamente impossibile: o si trova il sistema di risalire alla password usata oppure servirebbero anni per provare l’intera gamma delle combinazioni possibili. Sfortuna ha voluto che siano stati colpiti anche i backup, lasciando l’utente completamente privo di risorse”. 

Come intervenire? “La strada per trovare una soluzione reale a questo tipo di attacchi sembra ancora lunga - spiega Zanovello - anche perché questi cracker sono abilissimi professionisti del crimine. Siamo comunque intervenuti tempestivamente per evitare che il problema si propagasse agli altri pc della rete e grazie al nostro Forensic Lab siamo riusciti a ripristinare parte dei file. Successivamente abbiamo affidato i dati ai nostri team di ricerca e sviluppo che, utilizzando tecnologie particolari quali, ad esempio, lo sfruttamento dei chipset delle schede video, potrebbero essere in grado di recuperare la totalità dei dati”. 

“Se esiste una morale che possiamo trarre da questo episodio - dichiara l’Amministratore Delegato di Yarix Mirko Gatto - è l’assoluta necessità di una cultura della sicurezza informatica. Si tratta di capire che una volta attivata una protezione è necessario seguirne e verificarne costantemente la tenuta, allo scopo di limitare l’esposizione della macchina ad attacchi esterni. Ma anche l’importanza di un piano di disaster recovery, in mancanza del quale i tempi di ripristino della continuità operativa possono essere assai dilatati, con tutte le conseguenze che ciò comporta per il business dell’azienda. Un accorgimento semplice ma fondamentale che in caso di danno può permettere di recuperare l’attività in due giorni invece che in tre settimane”.

Yarix (www.yarix.com), con sede centrale a Montebelluna, già attiva a livello europeo nell'ambito dell'information security, da oltre un decennio promuove una visione della sicurezza che possa contribuire alla creazione e al consolidamento di una vera e propria cultura informatica, sia fornendo soluzioni adeguate ad ogni tipo di esigenza, sia aiutando il cliente ad affrontare l’incessante evoluzione tecnologica dell’ambiente in cui si trova a operare.


sabato 27 aprile 2013

Dell Quest semplifica la gestione e la sicurezza degli account privilegiati


Al fine di contrastare le violazioni di dati regolarmente riportate delle aziende, Dell Software presenta Quest One Privileged Access Suite per Unix, una soluzione che combina le tecnologie di bridge e root delegation di Active Directory per combattere la gestione inefficace di account privilegiati con una singola interfaccia intuitiva che garantisce la protezione dell’azienda dall’interno. Gli hacker perpetrano attacchi sempre più mirati sulle infrastrutture aziendali. 

Sono numerosi i report che segnalano dipendenti scontenti che utilizzano in maniera inappropriata il proprio accesso privilegiato per sottrarre dati aziendali sensibili e informazioni sui clienti, o causano problemi al sistema informatico aziendale. I sistemi Unix, per loro natura, sono potenzialmente molto vulnerabili, in particolar modo se nelle mani di dipendenti insoddisfatti. Le aziende spesso dispongono di numerosi server Unix e Linux, ognuno dei quali opera in maniera indipendente e richiede una propria gestione dell’account sorgente condiviso. 

Questo non solo risulta in un insieme sconnesso di controlli inaffidabili che si basano fortemente su processi manuali inclini all’errore, ma comporta che l’accesso all’account sorgente per ogni sistema si ottenga attraverso una password spesso condivisa tra il personale IT. Dell Software si è focalizzata sulla sicurezza per stabilire un perimetro che avvolga l’intero ambiente IT, offrendo la salvaguardia da minacce sia interne che esterne. 

Per proteggere l’organizzazione dall’interno, Dell Quest One Privileged Access Suite per Unix unifica e consolida le identità, assegnando responsabilità individuali e consentendo il reporting centralizzato per l’accesso Unix. Quest One Privileged Access Suite per Unix combina tre soluzioni di gestione di account privilegiati all’interno di una console unificata progettata per risolvere le problematiche legate a gestione e sicurezza degli ambienti Unix. 


Authentication Services è la soluzione AD bridge di Dell che estende la sicurezza e la conformità di Active Directory a Unix e Linux - oltre che a Mac e a molte altre applicazioni enterprise - e condivide un’avanzata interfaccia di gestione e una solida integrazione sia con Quest One Privilege Manager per Unix che con Quest One Privilege Manager per Sudo.
Quest One Privilege Manager per Unix è una soluzione sostitutiva per sudo che fornisce controlli granulari, basati su policy per proteggere l’accesso sorgente da potenziali usi scorretti o abusi, e aiuta a definire e a garantire le policy di sicurezza definendo chi può accedere a quali funzioni sorgente, oltre che le modalità e i luoghi in cui è possibile eseguire tali funzioni.
Quest One Privilege Manager per Sudo ottimizza la gestione degli account privilegiati che utilizzano sudo eliminando l’inefficiente e inaffidabile gestione box-by-box. I plug-in unici di Dell possono potenziare sudo 1.8.1 (e versioni successive) con un server di policy centrale, la gestione centralizzata di sudo e del file di policy dei relativi utenti, e il reporting centralizzato sui diritti di accesso e sulle attività degli utenti sudo, così come il keystroke logging di attività eseguite tramite sudo.
Quest One Privileged Access Suite per Unix offre all’IT una soluzione modulare e integrata di gestione degli account privilegiati attraverso una singola sorgente degli accessi unificata per l’intero ambiente Unix/Linux, utilizzando sudo o avanzate funzionalità di delegation che meglio si adattano alle necessità dell’azienda.


“Gli account privilegiati non gestiti adeguatamente rappresentano una delle più serie minacce alla sicurezza di un’organizzazione. Per questo motivo, l’IT deve estendere la protezione al di là di un singolo punto e garantire la sicurezza sia dall’esterno verso l’interno che viceversa. Quest One Privileged Access Suite per Unix offre una gamma completa di funzionalità di autenticazione, autorizzazione e amministrazione per l’accesso a Unix/Linux che assicurano una protezione completa”, ha commentato John Milburn, Executive Director, Identity and Access Management Solutions, Dell Software.

I numeri delle violazioni
• Ogni giorno un’azienda è vittima di una violazione di dati che si rivela essere molto costosa. Spesso queste vittime credono di disporre delle misure di sicurezza necessarie, purtroppo però vengono pre-identificate per essere attaccate o per vulnerabilità facilmente sfruttabili.
• Nonostante 855 aziende abbiano riportato incidenti e 174 milioni di record compromessi nel solo corso del 2012 , le aziende fanno fatica a difendere il perimetro da questi criminali.
• Una ricerca su 150 responsabili IT senior condotta per conto di Dell Quest Software ha rivelato che: o 46 intervistati possiedono oltre 100 account privilegiati all’interno delle loro organizzazioni.
• Oltre la metà degli intervistati (53%) ha oltre 10 amministratori che devono accedere a questi account e oltre un quarto di questi (27%) condivide le password tra più di 10 amministratori. o Circa due terzi degli intervistati non sono sicuri di poter tracciare le attività eseguite con credenziali condivise fino all’individuazione del singolo amministratore che le ha svolte.

Dell Inc. (NASDAQ: DELL) ascolta i clienti, offrendo tecnologie e servizi innovativi che consentono loro di ottenere di più. Per ulteriori informazioni www.dell.com e www.quest.com.


Fonte: Axicom
Foto: Quest

domenica 21 aprile 2013

Symantec: cresce cyber-spionaggio +42% in 2012, 31% obiettivi è Pmi


Symantec Corp's (Nasdaq: SYMC) Internet Security Threat Report, Volume 18 (ISTR) oggi ha rivelato un aumento del 42 per cento nel corso del 2012 in attacchi mirati rispetto all'anno precedente. Progettato per rubare la proprietà intellettuale, questi attacchi di cyberspionaggio mirati stanno sempre più colpendo il settore manifatturiero, così come le piccole imprese, che sono l'obiettivo del 31 per cento di questi attacchi. Le piccole imprese sono gli stessi obiettivi attraenti e un modo per raggiungere infine le imprese più grandi tramite tecniche di "watering hole". Inoltre, i consumatori rimangono vulnerabili alle minacce ransomware e mobile, in particolare sulla piattaforma Android. 

"L'ISTR di quest'anno mostra che i criminali informatici non stanno rallentando, e continuano a inventare nuovi modi per rubare informazioni da organizzazioni di tutte le dimensioni", ha dichiarato Stephen Trilling, Chief Technology Officer di Symantec. "La sofisticazione degli attacchi accoppiata con le complessità IT di oggi, come la virtualizzazione, mobilità e cloud, richiede alle aziende di rimanere attive e usare  misure di sicurezza 'defense in depth'per stare al passo degli attacchi". Gli attacchi mirati sono in crescita maggiormente tra le imprese con meno di 250 dipendenti. Le piccole imprese sono ora l'obiettivo del 31 per cento di tutti gli attacchi, un aumento di tre volte dal 2011. 

Mentre le piccole imprese possono pensare di essere immuni da attacchi mirati, i criminali informatici sono allettati dalle informazioni bancarie di tali organizzazioni, i dati dei clienti e la proprietà intellettuale. Gli aggressori si perfezionano nelle piccole imprese che spesso mancano delle pratiche di sicurezza adeguate e infrastrutture. Gli attacchi basati sul Web sono aumentati del 30 per cento nel 2012, molti dei quali provenivano dai siti compromessi delle piccole imprese. Questi siti sono stati poi utilizzati in massicci attacchi informatici e attacchi "watering hole".

In un attacco di watering hole, l'attaccante compromette un sito web, come ad esempio un sito web aziendale o piccolo blog, che è noto per essere frequentato dalla vittima per interesse. Quando la vittima successivamente visita il sito Web compromesso, un carico utile di attacco mirato è silenziosamente installato sul proprio computer. Elderwood Gang pioniere di questa classe di attacco, nel 2012 ha infettato con successo 500 organizzazioni in un solo giorno. In questi scenari, l'attaccante sfrutta la sicurezza di una debole attività per aggirare la sicurezza potenzialmente più forte di un altro business.


Il settore manifatturiero e knowledge worker diventano obiettivi primari
Passaggio da parte dei governi, la produzione si è spostata in cima alla lista di settori mirati degli attacchi nel 2012. Symantec ritiene che questo è attribuito a un aumento degli attacchi mirati della filiera - i criminali informatici trovano questi appaltatori e subappaltatori a rischio di attacchi e sono spesso in possesso della proprietà intellettuale di valore. Spesso andando dopo le aziende manifatturiere nella catena di fornitura, gli aggressori hanno accesso a informazioni sensibili di una società più grande. Inoltre, i dirigenti non sono i principali bersagli di scelta. Nel 2012, gli obiettivi più comuni vittime di questi tipi di attacchi di tutti i settori sono stati i lavoratori della conoscenza (27 per cento) con accesso alla proprietà intellettuale, così come quelle delle vendite (24 per cento).

Malware Mobile e siti Web dannosi su consumatori e imprese a rischio
L'anno scorso, il malware mobile è aumentato del 58 per cento, e il 32 per cento di tutte le minacce mobile ha tentato di rubare informazioni, come ad esempio indirizzi di posta elettronica e numeri di telefono. Sorprendentemente, questi aumenti non possono necessariamente essere attribuiti all'aumento del 30 per cento nelle vulnerabilità mobile. Mentre iOS di Apple ha avuto le vulnerabilità più documentate, era stata scoperta solo una minaccia durante lo stesso periodo. Android, invece, ha avuto un minor numero di vulnerabilità, ma più minacce di qualsiasi altro sistema operativo mobile.

La quota di mercato di Android, la piattaforma aperta ed i metodi di maggior distribuzione a disposizione per diffondere applicazioni malevoli, la rendono la piattaforma di go-to per gli attaccanti. Inoltre, il 61 per cento dei siti web malevoli sono in realtà siti legittimi che sono stati compromessi e infettati con malware. Il business, la tecnologia e i siti webdi shopping sono stati tra i primi cinque tipi di siti web che ospitano le infezioni. Symantec attribuisce questo alla vulnerabilità non corrette su siti web legittimi. Negli anni passati, questi siti web sono stati spesso presi di mira per vendere falso antivirus ad ignari consumatori.

Tuttavia, ransomware, un metodo di attacco particolarmente feroce, sta emergendo come il malware di scelta a causa della sua elevata redditività per gli attaccanti. In questo scenario, gli aggressori utilizzano siti avvelenati per infettare gli utenti ignari e bloccare le loro macchine, chiedendo un riscatto per riottenere l'accesso. Un'altra crescente fonte di infezioni sui siti web è malvertisement - questo è quando i criminali comprano spazi pubblicitari su siti web legittimi e li utilizzano per nascondere il loro codice di attacco. Maggiori informazioni sono disponibili all'indirizzo www.symantec.com o collegandosi con Symantec all'indirizzo: go.symantec.com/socialmedia.


Kaspersky Lab, spam a marzo: spammer si concentrano su Hugo Chavez


Dopo un rapido incremento del volume di spam a febbraio, il primo mese di primavera ha visto la stabilizzazione del flusso di email spazzatura, che si è attestato ad un 70,1%. Nonostante questa riduzione, gli utenti sono stati comunque bersaglio di allegati nocivi, che sono incrementati dell’1,2% a marzo con una media del 4%. La morte del presidente del Venezuela Hugo Chavez ha generato molto flusso di spam. C’è stata una reazione immediata alla notizia e di seguito è apparsa in numerosi mailing di massa. 

Il primo esempio riguardava il capo dell’autorità aeroportuale del Venezuela, che apparentemente cercava aiuto per una perdita di denaro che coinvolgeva il Sudan. All’inizio i cyber criminali non promettevano somme di denaro, mentre successivamente hanno iniziato a promettere una ricompensa. Un altro mailing di massa è stato inviato in maniera fraudolenta per conto del capo della sicurezza di Hugo Chavez. 

Come al solito, l’immaginazione dei cyber criminali non conosce limiti: la persona coinvolta avrebbe avuto accesso ad una non precisata somma di denaro lasciata dal presidente e il fortunato destinatario della mail avrebbe potuto entrare in possesso del 25% di questa, in cambio di assistenza nel trasferire il denaro fuori dal paese. I cyber criminali hanno inoltre iniziato a mandare notifiche false di presunte prenotazioni online.


Nel mese di marzo, il Trojan-Spy.html.Fraud.gen (6,9%) è rimasto il programma maligno più diffuso inviato tramite e-mail, nonostante il fatto che la sua quota è diminuita di 4,1 punti percentuali rispetto a febbraio. Questo programma maligno viene visualizzato sotto forma di pagine HTML che imitano i moduli di registrazione delle banche ben note o sistemi di e-pay che vengono utilizzati dai phisher per rubare le credenziali utente per sistemi di online banking. Il Trojan.win32.Bublik.aknd è arrivato 2° nel rating. 

Questo programma malizioso raccoglie le password utente password per FTP, le credenziali e certificati dei servizi di posta elettronica da computer infetti. Può setacciare form in Mozilla Firefox e Google Chrome in cerca di login e password salvate prima di trasmettere i dati rilevati ai truffatori. Il terzo posto è occupato da Email-Worm.Win32.Bagle.gt. Worm di posta sono una caratteristica costante nella Top 10, come la loro funzionalità principale è quella di auto-proliferare tra gli indirizzi nella rubrica della vittima. 

I worm della famiglia Bagle possono anche contattare il centro di comando e scaricare altri programmi dannosi sul computer di un utente. I 10 programmi di Marzo includono anche malware appartenenti alla famiglia Trojan-Ransom, che sono progettati per estorcere denaro agli utenti per accedere nuovamente al sistema operativo o le applicazioni (di solito l'utente è tenuto ad inviare un sms a pagamento). 

Gli esperti di Kaspersky Lba hanno rilevato le modifiche del Trojan-Ransom.Win32.Blocker che blocca il lavoro del sistema operativo e di visualizzare un banner contenente le condizioni per lo sblocco sul desktop. Si ricorda agli utenti che non devono essere ricattati per pagare soldi a questi criminali informatici. In qualsiasi momento possono utilizzare la soluzione gratuita di Kaspersky: http://support.kaspersky.com/us/viruses/solutions?qid=208285998

Il Kaspersky WindowsUnlocker utility è progettato per disinfettare i registri di tutti i sistemi operativi installati sul computer (inclusi i sistemi operativi installati su partizioni diverse o in diverse cartelle su una partizione) e disinfettare gli alberi del registro utenti. Kaspersky WindowsUnlocker non esegue alcuna azione con i file (per disinfettare i file è possibile utilizzare Kaspersky Rescue Disk https://support.kaspersky.com/viruses/rescuedisk).

A marzo, gli esperti di Kaspersky Lab hanno registrato un mailing di massa che sembrava provenire dal servizio di prenotazioni Atlantic Hotel: in questo caso, il manager dell’hotel informava il destinatario che era atteso in hotel il 20 marzo 2013. La mail conteneva in allegato un trojan che, quando aperto, infettava il computer sottaendo informazioni finanziarie e personali dell’utente. 


A marzo, i paesi da cui è partito il maggior numero di spam sono stati gli Stati Uniti e la Cina. Lo scorso mese la battaglia era stata vinta dall Cina, che aveva battuto il record di mail spazzatura (+11,4%). Allo stesso tempo, dagli Stati Uniti la distribuzione è aumentata leggermente (+0,4%), attestandosi al secondo posto. L’Italia, che a febbraio era salita al primo posto nella classifica di rilevamenti anti virus, a marzo è stata sostituita dagli Stati Uniti (13,6%). 

La Germania si è posizionata al secondo posto ancora una volta (11,1%), seguita dall’Australia (7%), il cui contributo è cresciuto dell’1,3% salendo dalla quinta alla terza posizione. A marzo, la percentuale di email di phishing nel traffico totale di email è raddoppiato rispetto al mese precedente, con una media dello 0,006%. I siti di social networking hanno continuato ad essere molto interessanti per i cyber criminali. 

“Marzo è stato un mese stabile per quello che riguarda lo spam. Gli Stati Uniti e la Cina hanno guidato la classifica, producendo il 43% del totale dello spam”, ha commentato Tatyana Shcherbakova, senior spam analyst di Kaspersky Lab. “L’aumento del numero di email di phishing significa che gli utenti devono prestare ancora più attenzione quando aprono le email o quando utilizzano i siti di social networking”. La versione completa dello spam report è consultabile su http://www.securelist.com/en/analysis/204792289/Spam_in_March_2013

venerdì 19 aprile 2013

Email security, Fortinet FortiMail 5.0: sistema operativo next-generation


Fortinet® (NASDAQ: FTNT), tra i leader mondiali nella fornitura di soluzioni per la sicurezza di rete ad alte prestazioni, ha annunciato il sistema operativo next-generation per la famiglia di appliance di email security FortiMail, che offre nuovi e importanti miglioramenti a livello di sicurezza, per una maggiore protezione contro le sempre più dannose minacce introdotte attraverso i messaggi. Progettato per MSSP, ISP e per le aziende, il nuovo SO FortiMail 5.0, compatibile con la famiglia di apparecchiature di email security FortiMail, vanta importanti miglioramenti che comprendono nuove funzionalità groupware, oltre a funzioni complete di web filtering e content protection. 

Il nuovo sistema operativo offre inoltre miglioramenti studiati espressamente per gli MSSP che desiderano arricchire il proprio portafoglio di soluzioni di sicurezza oltre il firewall, nonché per servizi VPN e ISP. "L'email continua ad essere un facile punto di ingressoper hacker e cybercriminali che prendono di mira impiegati interni all’azienda", ha commentato Chris Rodriguez, Senior Industry Analyst presso Frost & Sullivan. "Mentre MSSP e service provider continuano a offrireprotezione delle email, devono poter disporre di strumenti e risorse, come quelli offerti da Fortinet, che supportino e integrino al meglio le loro offerte di servizi". 

L'architettura esclusiva di FortiMail offre capacità di ispezione e blocco in tempo reale per contrastare le minacce che possono essere introdotte attraverso le email, con il minimo impatto possibile sulle risorse, spesso a livello di connessione. L'architettura elimina inoltre l'esigenza di accodamento della posta se il mail server di destinazione è disponibile, offrendo significativi miglioramenti delle performance rispetto alle soluzioni concorrenti. FortiMail ha dimostrato di soddisfare i requisiti di molti dei più grandi vettori del mondo ed è risultata la soluzione di email security più performante del settore, in grado di fornire protezione per oltre 28 milioni di messaggi all'ora in una singola apparecchiatura. Ulteriori fattori di differenziazione di FortiMail rispetto alla concorrenza includono: 

• Performance dei filtri: maggiori potenzialità disponibili per implementare a catena ed eseguire un numero elevato di tecniche antispam innovative, quali filtro degli URL e rilevamento delle newsletter sospette, ottenendo coerentemente la certificazione con il VBSpam award di Virus Bulletin. 
• Ampia e ricca gamma di funzionalità: FortiMail concentra numerosi servizi di posta in un'unica piattaforma, ad esempio crittografia, quarantena, archiviazione, filtro per contenuti/AV/AS, controllo della frequenza di email in ingresso/uscita, gestione e reporting. 
• Continuità del servizio: le esclusive opzioni di clustering attivo-passivo e attivo-attivo di FortiMail offrono il failover diretto e la continuità del business. Non solo viene sincronizzata la configurazione, ma è possibile replicare anche i dati relativi alla posta. FortiMail offre inoltre capacità di accodamento ineguagliate. In caso di inattività del mail server, FortiMail è in grado di conservare un numero elevato di email per coprire più giorni/settimane di mancata disponibilità. 


Nuove funzionalità di FortiMail 5.0 
FortiMail 5 offre tre nuovi e interessanti set di funzionalità: 
• Funzionalità groupware: sono state aggiunte funzioni per calendario e rubrica che consentono l'implementazione di apparecchiature FortiMail come mail server completamente funzionali con sicurezza integrata. Il nuovo SO consente inoltre il funzionamento delle appliance FortiMail in modalità trasparente e/o gateway, sia come CPE (Customer Premise Equipment) che nel cloud, per offrire ai clienti la più ampia flessibilità di implementazione.

• Completa protezione di contenuti e web filtering per categorie FortiGuard®: concepite per proteggere i clienti da contenuti impropri o indesiderati, le categorie del FortiGuard URL Database si basano sul concetto di idoneità di visualizzazione dei contenuti Web. Integrata in FortiMail 5.0, questa funzione offre aggiornamenti in tempo reale per consentire agli amministratori di applicare criteri con un livello di estrema granularità, che filtrano l'accesso Web in base a 79 categorie di contenuti Web e oltre 100 milioni di siti Web classificati. Gli aggiornamenti continui vengono forniti tramite la rete di distribuzione globale FortiGuard. 

• Miglioramenti specifici per MSSP: le appliance FortiMail che eseguono il nuovo SO FortiMail 5.0 offrono una soluzione email multi-tenant, altamente scalabile e gestita a livello centrale per gli MSSP interessati a servizi di messaggistica sicuri a valore aggiunto, che possano essere distribuiti rapidamente con costi minimi in termini di investimento di capitale (CAPEX) e operativi. Le nuove funzionalità consentono inoltre una protezione e un partizionamento delle risorse più ampi, mettendo a disposizione degli MSSP analisi più dettagliate per migliorare la fatturazione ai clienti e l'uso delle risorse. 

Oltre a soddisfare le esigenze di email security degli MSSP, le apparecchiature FortiMail dotate del nuovo sistema operativo FortiMail 5.0 sono ideali per gli ISP che devono filtrare lo spam in uscita, per evitare che la propria infrastruttura IP sia "blacklisted" e garantire la soddisfazione dei clienti. Le apparecchiature FortiMail offrono la protezione da malware per i messaggi email critici tramite funzioni di scansione della posta bidirezionali e ad alte prestazioni. Con il lancio di FortiMail 5.0, Fortinet presenta inoltre due piattaforme diemail security: 

FortiMail-200D, destinato alle PMI, e FortiMail-3000D, progettato per carrier, service provider e grandi realtà aziendali. "Sia per i service provider che per le aziende, i sistemi di email security sono fondamentali per la soddisfazione dei clienti e la produttività organizzativa", ha commentato John Maddison, Vice Presidente Marketing di Fortinet. "È per questo motivo che l'introduzione di FortiMail 5.0, e delle nostre nuove piattaforme di email security FortiMail, costituisce un risultato importante. I provider di servizi che desiderano servizi di security email a valore aggiunto, possono sfruttare l'estrema versatilità di implementazione offerta dei nostri nuovi prodotti FortiMail, mentre le aziende possono compiere un importante passo avanti per la sicurezza della propria infrastruttura di messaggistica con impatto e costi minimi". 

Disponibilità Il sistema operativo FortiMail 5.0 è attualmente disponibile come aggiornamento gratuito per tutti i clienti attuali con un contratto di manutenzione valido. Le apparecchiature FortiMail-3000D e FortiMail-200D sono già disponibili. Fortinet è leader mondiale nella fornitura di apparecchiature per la sicurezza di rete e leader di mercato nel campo delle soluzioni UTM (Unified Threat Management). I prodotti e i servizi in abbonamento di Fortinet offrono una protezione ampia, integrata e ad alte prestazioni contro le minacce dinamiche alla sicurezza, semplificando al contempo l'infrastruttura di sicurezza IT. 


Fonte: Rock Communications

sabato 13 aprile 2013

Kaspersky Lab, anello di cybercrime attacca società di gaming per anni


Il team di esperti di Kaspersky Lab ha pubblicato un report dettagliato che analizza la campagna di spionaggio informatico condotta dall'organizzazione criminale nota come "Winnti". Secondo il report di Kaspersky Lab, il gruppo Winnti attacca le aziende del settore del gaming online dal 2009 ed è ancora attivo. Gli obiettivi del gruppo sono i certificati digitali creati dai produttori di software legittimi e il furto della proprietà intellettuale, incluso il codice sorgente dei progetti per i giochi online. Il primo incidente risale all’autunno del 2011, quando un trojan venne rilevato su un numero di computer di utenti localizzati in tutto il mondo. 

Il legame tra i computer infetti era l’utilizzo di un particolare e molto diffuso gioco online. Poco dopo l'incidente, è emerso che il programma nocivo che aveva infettato i computer degli utenti era inserito all’interno un aggiornamento legittimo del server ufficiale della società proprietaria del gioco. Il malware era stato installato per spiare gli utenti infetti e i membri della community online. Successivamente è emerso che il programma nocivo è stato installato sui computer dei giocatori per puro caso, mentre i criminali informatici avevano come obiettivo la società di videogiochi. 

In risposta, l'editore del gioco proprietario dei server da cui sono partiti i trojan, ha chiesto a Kaspersky Lab di analizzare il programma nocivo. Il trojan si è rivelato una library DLL compilata per un ambiente Windows a 64 bit che utilizzava un disco rigido ufficiale. Il Remote Administration Tool (RAT) ha offerto poi la possibilità ai criminali informatici di controllare i computer delle vittime senza che l’utente lo venisse a sapere. Questa scoperta è particolarmente importante, in quanto questo trojan è stato il primo programma nocivo a 64 bit di Microsoft Windows 7 con una firma digitale valida. 


La DLL si fa passare per una delle librerie standard di Windows, Winmm.dll o apphelp.dll. Dal momento che nella stragrande maggioranza dei casi i campioni rilevati sono travestiti da winmm.dll, si suppone che la  maggior parte delle librerie dannose sono sotto questo nome nel resto del documento analizzato dagli esperti di Kasperksy Lab. Winmm.dll è una libreria di sistema di Windows che fornisce funzioni multimediali. Si trova nella cartella% WINDIR% \ System32. Ad esempio, Winmm.dll viene caricato da explorer.exe, che viene lanciato durante l'avvio del sistema operativo.

Se una DLL maligna di nome winmm.dll si trova nella stessa cartella del programma che dipende dalla libreria di sistema di questo nome, la DLL maligna verrà caricata quando questo programma viene eseguito al posto della libreria originale che si trova in% WINDIR% \ System32 \ Winmm.dll. Approfittando del loro controllo su un computer infetto, i criminali informatici mettono una libreria dannosa nella cartella% WINDIR%. La stessa cartella ospita anche il programma explorer.exe.

In questo modo gli attaccanti al fine di garantire che la DLL maligna venga caricato all'avvio del sistema: explorer.exe carica la Winmm.dll maligna dalla cartella% windir% non appena si lancia all'avvio del sistema. Ma come può un programma che dipende dalla libreria originale funzionare correttamente se una winmm.dll dannosa viene caricata al posto della libreria originale? Gli autori di malware hanno una risposta a questo: la libreria maligna è progettata per caricare la Winmm.dll originale dalla cartella% WINDIR% \ System32.

I criminali informatici non si sono preoccupati di sviluppare qualcosa di proprio per assicurare che la Winmm.dll originale venga caricata. Invece, hanno usato il noto programma AheadLib. Questo programma, che è stato progettato per facilitare l'analisi delle librerie dannose, è stato creato da uno sviluppatore cinese impiegato da un fornitore di antivirus. Il programma accetta una DLL come input e genera il codice C che aggancia le funzioni incluse nella libreria. Il codice C può essere compilato di nuovo in una DLL, che può quindi essere utilizzata per analizzare il comportamento dei file dannosi.

Gli esperti di Kaspersky Lab hanno iniziato ad analizzare la campagna del gruppo Winnti e hanno scoperto che più di 30 aziende del settore dei giochi online erano state infettate; la maggior parte di queste si trovano nel Sud Est Asiatico. Il gruppo Winnti ha colpito anche aziende presenti in Germania, Stati Uniti, Giappone, Cina, Russia, Brasile, Perù e Bielorussia. Oltre allo spionaggio industriale, gli esperti di Kaspersky Lab hanno individuato tre principali sistemi di monetizzazione che potrebbero essere stati utilizzati dal gruppo Winnti per generare profitto: 

• Gestire il flusso di moneta generato dai giochi online, come ad esempio "rune" o "oro" che viene utilizzato dai giocatori per convertire il denaro virtuale accumulato in denaro reale;
• Utilizzare il codice sorgente rubato dai server di gioco online per individuare la vulnerabilità all'interno dei giochi e velocizzare il processo di accumulo e manipolazione del denaro senza creare sospetti;
• Utilizzare il codice sorgente rubato dai server di giochi online per realizzare i propri server pirata.


Nei campioni Winnti che sono stati rilevati e analizzati, gli esperti di Kaspersky Lab hanno trovato 36 domini unici C & C. Molto probabilmente, questa è solo una piccola parte di tutti i doimini esistenti Winnti C & C. Ciò non sorprende dal momento che questi programmi dannosi sono utilizzati per eseguire attacchi mirati, quindi non sono disponibili informazioni su molti casi di infezione, per questo motivo, gli esperti di Kapersky Lab non hanno modo di ottenere campioni di malware utilizzato in questi attacchi non dichiarati.

La flessibilità di questi strumenti permette di personalizzare le logiche di un'applicazione dannosa durante l'analisi e il sovraccarico del codice funzioni per fornire un output di debug. Alcuni codici possono essere aggiunti per visualizzare i parametri delle funzioni intercettate al fine di scoprire quali valori vengono passati alle funzioni originali quando vengono chiamate. Questo metodo viene utilizzato nella cosiddetta analisi dinamica di applicazioni dannose. Ironia della sorte, gli autori di malware hanno scoperto che questa è l'applicazione ideale per la creazione di librerie maligne.

Attualmente il gruppo Winnti è ancora attivo e l’indagine di Kaspersky Lab è in corso. Il team di esperti dell’azienda sta collaborando con organizzazioni attive nel gioco online e con le autorità competenti per identificare ulteriori server infetti. Per leggere i post della ricerca Kaspersky Lab e il rapporto completo, visitare il sito Securelist. I prodotti Kaspersky Lab sono in grado di rilevare e neutralizzare i programmi nocivi e le relative varianti utilizzate dal gruppo Winnti, classificate come Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti e Rootkit.Win64.Winnti.

venerdì 12 aprile 2013

Salute, bufala: cipolla assorbe virus influenza e maionese uccide batteri


Una notizia definita da molti "interessante" continua a fare il giro delle pagine su Facebook e di siti e blog su Internet. Nei post corredati da foto, si spiega che la cipolla avrebbe delle particolari caratteristiche che permetterebbero alla stessa di "assorbire" il virus dell'influenza. Proprio per queste presunte caratteristiche "antisettiche" non si dovrebbe mangiare una cipolla dopo che è trascorso molto tempo da quando è stata tagliata, perché avrebbe "assorbito i batteri dannosi". Anche i cani non dovrebbero mangiare cipolle perchè non riuscirebbero a metabolizzarle. La storia risalirebbe al 1919 e nei post si legge testualmente:

«"Non te lo dicono perchè devi restare ignorante e arricchire le case farmaceutiche!
Veramente interessante. Ognuno dovrebbe leggerla !
NON AVEVO MAI SENTITO TUTTO QUESTO SULLE CIPOLLE. SI PREGA DI LEGGERE FINO ALLA FINE, PERCHE’ E’ MOLTO IMPORTANTE. 
Nel 1919, quando l'influenza ha ucciso 40 milioni di persone c'era questo medico che ha visitato i molti agricoltori per vedere se poteva aiutarli a combattere l'influenza ...Molti degli agricoltori e delle loro famiglie avevano contratto la malattia e molti morirono. 

Il medico venne presso un contadino e con sua grande sorpresa, constatò che tutti in famiglia erano molto sani. Quando il medico chiese cosa stesse facendo l'agricoltore perché in famiglia erano tutti sani, la moglie rispose che aveva messo una cipolla non sbucciata in un piatto nelle stanze della casa, (probabilmente solo due camere allora). Il dottore non riusciva a crederci e gli chiese se poteva avere una delle cipolle per esaminarla al microscopio. Il contadino diede al dottore una di quelle cipolle e, guardando al microscopio il medico trovò il virus dell’influenza nella cipolla, la quale aveva assorbito i virus mantenendo la famiglia sana. Ora, ho sentito quest’altra storia dal mio parrucchiere. 

Diversi anni fa, molti dei suoi dipendenti erano giù per avere preso l'influenza, e così molti dei suoi clienti. L'anno successivo ha disposto diverse ciotole con cipolle in giro nel suo negozio. Con sua sorpresa, nessuno del suo staff si è ammalato. Si deve lavorare. Provate e vedrete cosa succede. Lo abbiamo fatto l'anno scorso e non abbiamo mai avuto l'influenza. Ora ho mandato uno scritto ad un amico in Oregon, che collabora regolarmente con me mandandomi materiale sanitario. Lui mi ha risposto con questa esperienza più interessante sulle cipolle: Grazie per avermelo ricordato. Io non so la storia del contadino ... ma, so che ho contratto la polmonite, e, manco a dirlo, sono stato molto male ... 

Mi sono imbattuto in un articolo che diceva di tagliare entrambe le estremità di una cipolla, metterla in un barattolo vuoto e posizionare il vaso accanto al paziente malato di notte. Ha detto che la cipolla sarebbe diventata la mattina dopo nera di germi ... di sicuro è successo proprio così ... la cipolla era un disastro e io ho cominciato a stare meglio. Un'altra cosa che ho letto in questo articolo è che le cipolle e l'aglio disposti intorno alla stanza hanno salvato molti dalla peste nera, alcuni anni fa. Hanno potenti antibatterici, proprietà antisettiche. Adesso parliamo del perché, a volte, le cipolle fanno male. Un sacco di volte, quando abbiamo problemi di stomaco non sappiamo a cosa dare la colpa. Forse la colpa è della cipolla. 

Infatti le cipolle assorbendo i batteri sono così brave da impedirci di prendere raffreddori e influenze, ed è proprio questa la ragione per cui non si deve mangiare una cipolla dopo troppo tempo da che è stata tagliata, perché ha assorbito i batteri dannosi. Ho avuto il privilegio di un meraviglioso tour tra i prodotti alimentari Mullins, Makers di maionese. Ho posto delle domande sulle intossicazioni alimentari, e voglio condividere quello che ho imparato da un chimico. La nostra guida è un mago della chimica degli alimenti. Durante il tour, qualcuno gli ha chiesto se abbiamo davvero bisogno di preoccuparsi della maionese. Le persone sono sempre preoccupate che la maionese potesse guastarsi. La risposta vi sorprenderà. Egli ha detto che tutte le maionesi in commercio sono completamente sicure. 

"Le maionesi non hanno nemmeno bisogno di essere refrigerate anche se non c’è nulla di male a metterle in frigorifero." Ha spiegato che il pH nella maionese si trova ad un punto che i batteri non possono sopravvivere in questo ambiente. Ha poi parlato del pic-nic estivo, con la ciotola di insalata di patate sul tavolo, e di come tutti accusano la maionese quando qualcuno si ammala. Egli afferma che, quando succede un'intossicazione alimentare, la prima cosa che i medici dovrebbero cercare è se le vittime abbiano mangiato cipolle, quando le hanno mangiato e se tali cipolle provengono da un’insalata con patate. Egli dice che non è la maionese ad aver procurato l’intossicazione, ma probabilmente le cipolle, e se non le cipolle affettate da troppo tempo , magari le patate. 


Ha spiegato che le cipolle sono un enorme magnete per i batteri, in particolare le cipolle cotte. Non si dovrebbe mai conservare una parte di una cipolla affettata , perché non è sicura nemmeno se la metti in un sacchetto a chiusura lampo e dentro al frigorifero. La cipolla e' già abbastanza contaminata solo per essere stata fuori per un po' dopo essere stata tagliata, e può essere un pericolo per te (e doppiamente attenzione per chi le cipolle le mette in hotdog al parco di baseball!). La nostra guida dice ancora che se si prende la cipolla rimanente e la si cuoce molto, probabilmente è tutto bene, ma se metti nel panino una cipolla tagliata da tempo, sei in cerca di guai.

Quando vai in panineria, non fare mettere cipolle nel panino. Sia le cipolle che le patate umide in una insalata di patate attireranno e faranno crescere i batteri più velocemente di qualsiasi maionese commerciale. Inoltre, i cani non devono mai mangiare cipolle. I loro stomaco non riesce a metabolizzare le cipolle. Si prega di ricordare che è pericoloso tagliare una cipolla e cercare di utilizzarla per cucinare il giorno dopo, diventa altamente tossica anche per una sola notte e crea batteri tossici che possono causare infezioni dello stomaco negativi a causa delle secrezioni biliari in eccesso e anche intossicazioni alimentari. Invia questo messaggio a tutti quelli che ami e si preoccupano.»

In realtà, come scrive Urban Legends, non c'è alcuna base scientifica per questo racconto, che risale almeno al 1500, quando si credeva che la distribuzione di cipolle agli abitanti d'un paese proteggesse dalla peste bubbonica. Questo accadeva molto tempo prima che venissero scoperti i germi, e la teoria prevalente riteneva che le malattie contagiose  venissero diffuse dai miasmi o "aria nociva." Il (falso) presupposto era che le cipolle, le cui qualità assorbenti erano ben nota fin dall'antichità, purificassero l'aria intrappolando gli odori nocivi. Non vi è, naturalmente, alcuna base più scientifica sulla convinzione che le cipolle possano assorbire tutti i germi in una stanza.

Per quanto riguarda la maionese, come riporta Snopes, uno studio condotto da ricercatori della University of Food Research Institute del Wisconsin alla fine del 1980 e all'inizio del 1981 (risultati pubblicati nel Journal of Food Protection nel mese di febbraio 1982) ha mostrato che la maionese ha effettivamente inibito la crescita di alcuni batteri nel cibo. Il suo alto contenuto di acido, dovuto all'aceto e al succo di limone nel prodotto, rallenta la crescita batterica. "Quando si aggiunge la maionese all'insalata, si diminuisce il PH che possiede l'insalata. Rende un ambiente più ostile per i batteri", ha detto Michael P. Dolyle, un assistente professore di agricoltura e scienze della vita all'università. Il sale nel condimento funziona anche per impedire il deterioramento.

Tuttavia, come spiega l'Asl 2 Liguria,  la maionese è un alimento deperibile e dopo l'acquisto o la preparazione non dovrebbe mai rimanere a temperatura ambiente per più di 2 ore e dovrebbe essere consumata subito o messa in frigo. La maionese fatta in casa, che è fatta da uova crude, rappresenta la minaccia di avvelenamento da salmonella. Per quanto riguarda le cipolle dannose per i cani, come scrive Wondir, "la cipolla contiene un elemento altamente tossico, che ha il nome di tiosolfato, un particolare tipo di sodio che può causare l'anemia emolitica, sia nei cani che nei gatti". Anche durante la cottura l'elemento chimico permane, e quindi è "vietato utilizzarla in ogni caso: cruda o cotta, fresca, congelata o in polvere, e non va assolutamente usata per il brodo, che diventa un veleno". 

Adobe, rilasciati aggiornamenti critici per Flash, Shockwave e ColdFusion


Adobe, in concomitanza del patch day di Microsoft, ha rilasciato le versioni aggiornate di Flash Player, Adobe Air, Shockwave Player e ColdFusion. Le patch, distribuite nelle scorse ore, affrontano una serie di problemi in Adobe Flash Player, una vulnerabilità di integer overflow e un difetto di corruzione della memoria che permette di eseguire codice. E' stata corretta una separata vulnerabilità di corruzione della memoria causata da Flash Player che inizializza in modo improprio dei puntatori array di memoria consentendo al codice di essere eseguito.

Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player 11.6.602.180 e versioni precedenti per Windows e Macintosh, Adobe Flash Player 11.2.202.275 e versioni precedenti per Linux, Adobe Flash Player 11.1.115.48 e versioni precedenti per Android 4.x, e Adobe Flash Player 11.1.111.44 e versioni precedenti per Android 3.xe 2.x. Questi aggiornamenti di vulnerabilità potrebbero causare un crash e potenzialmente consentire a un utente malintenzionato di assumere il controllo del sistema interessato.

Gli utenti di Adobe Flash Player 11.6.602.180 e versioni precedenti per Windows e Macintosh devono aggiornare ad Adobe Flash Player 11.7.700.169. Gli utenti di Adobe Flash Player 11.2.202.275 e versioni precedenti per Linux devono aggiornare ad Adobe Flash Player 11.2.202.280. Adobe Flash Player 11.6.602.180 installato con Google Chrome verrà automaticamente aggiornato alla versione più recente di Google Chrome, che include Adobe Flash Player 11.7.700.179 11.7.700.169 per Windows e per Macintosh e Linux. 

Adobe Flash Player 11.6.602.180 installato con Internet Explorer 10 verrà automaticamente aggiornato alla più recente versione di Internet Explorer 10, che comprende Adobe Flash Player 11.7.700.169 per Windows 8. Gli utenti di Adobe Flash Player 11.1.115.48 e versioni precedenti sui dispositivi Android 4.x devono aggiornare ad Adobe Flash Player 11.1.115.54. Gli utenti di Adobe Flash Player 11.1.111.44 e versioni precedenti per Android 3.xe 2.x devono aggiornare Flash Player alla versione 11.1.111.50.


Gli utenti di Adobe AIR 3.6.0.6090 e versioni precedenti per Windows, Macintosh e Android devono aggironare ad Adobe AIR 3.7.0.1530. Gli utenti di Adobe AIR 3.6.0.6090 SDK & Compilator e versioni precedenti devono aggiornare ad Adobe AIR 3.7.0.1530 SDK & Compilator. Gli aggiornamenti risolvono una vulnerabilità di overflow di valori integer che potrebbe provocare l'esecuzione di codice (CVE-2013-2555). Vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2013-1378, CVE-2013-1380).

Infine, una vulnerabilità di corruzione della memoria causata da Flash Player che  in modo improprio inizializza alcuni puntatori array di memoria, potrebbe provocare l'esecuzione di codice (CVE-2013-1379). Per verificare la versione di Adobe Flash Player installata sul vostro sistema, accedere alla pagina Informazioni su Flash Player http://www.adobe.com/software/flash/about/, oppure fare clic destro sul contenuto in esecuzione in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu.


Se si utilizzano più browser, eseguire la verifica per ogni browser installato sul vostro sistema. Per verificare la versione di Adobe Flash Player per Android, vandate in Impostazioni> Applicazioni> Gestisci applicazioni> Adobe Flash Player xx. Per verificare la versione di Adobe AIR installato sul sistema, seguire le istruzioni riportate nella nota tecnica Adobe AIR helpx.adobe.com/air/kb/determine-version-air-runtime.html. Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Shockwave Player 12.0.0.112 e versioni precedenti sui sistemi operativi Windows e Macintosh.

Questo aggiornamento risolve le vulnerabilità che potrebbero consentire a un utente malintenzionato che sfrutti queste vulnerabilità, l'esecuzione di codice dannoso sul sistema interessato. Questo aggiornamento risolve una vulnerabilità di overflow del buffer che potrebbe provocare l'esecuzione di codice (CVE-2013-1383). L'aggiornamento risolve vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2013-1384, CVE-2013-1386).

Adobe consiglia agli utenti di Adobe Shockwave Player 12.0.0.112 e versioni precedenti l'aggiornamento ad Adobe Shockwave Player 12.0.2.122 seguendo le istruzioni fornite nella "Soluzione" di seguito. L'aggiornamento risolve una vulnerabilità di perdita di memoria che potrebbe essere sfruttata per ridurre l'efficacia dell'indirizzo spazio di randomizzazione (CVE-2013-1385).  Adobe consiglia agli utenti di Adobe Shockwave Player 12.0.0.112 e versioni precedenti di eseguire l'aggiornamento alla versione 12.0.2.122, disponibile qui get.adobe.com/shockwave/

Adobe ha rilasciato un hotfix di sicurezza per ColdFusion 10, 9.0.2, 9.0.1 e 9.0 per Windows, Macintosh e UNIX. Adobe consiglia agli utenti di aggiornare la propria installazione del prodotto utilizzando le istruzioni fornite nella "Soluzione" di seguito. Questo hotfix risolve una vulnerabilità che potrebbe essere sfruttata per impersonare un utente autenticato (CVE-2013-1387). Questo hotfix risolve una vulnerabilità che potrebbe essere sfruttata da un utente non autorizzato ad accedere alla console di amministrazione di ColdFusion (CVE-2013-1388). Adobe consiglia ai clienti di ColdFusion aggiornare l'installazione seguendo le istruzioni fornite nel documento tecnico helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb13-10.html

mercoledì 10 aprile 2013

Microsoft Patch Day di aprile: 9 aggiornamenti risolvono dodici vulnerabilità


Come annunciato nella notifica preventiva di sicurezza, Microsoft ha rilasciato 9 aggiornamenti in occasione del quarto Patch Day dell'anno, che risolvono dodici vulnerabilità. Dei nove aggiornamenti di sicurezza, due sono considerati di livello "critico" e cinque "importante" e risolvono vulnerabilità presenti in Windows, Internet Explorer, Office e negli altri software impiegati sulle piattaforme server. La prima patch critica riguarda Internet Explorer ed è valida su tutti i sistemi operativi ancora supportati. Di seguito i bollettini sulla sicurezza di aprile in ordine di gravità.

domenica 7 aprile 2013

Facebook Home, le risposte alle domande sulla privacy della nuova app


Facebook ha presentato la nuova applicazione per Android, Facebook Home, un'interfaccia grafica totalmente personalizzata per un utilizzo semplificato e diretto del social network. In seguito all'annuncio di Facebook molti utenti si sono domandati quale fosse il livello di privacy. "Dal momento dell'annuncio di Home, abbiamo ricevuto alcune domande su come Home funziona con la privacy", si legge nella newsroom di Facebook.

"Home è un software che trasforma il tuo telefono Android in un grande, soggiorno, telefono sociale. Home non cambia tutto ciò che riguarda le impostazioni della privacy su Facebook, ed i controlli sulla privacy funzionano allo stesso modo con Home come fanno ovunque su Facebook. Abbiamo voluto cogliere l'occasione per rispondere ad alcune domande su come funziona Home e i dati da noi raccolti attraverso il servizio".


D: Devo usare Home per accedere a Facebook su Android?
R: No. Home è un nuovo modo di vivere Facebook, ed il social network speria che le persone saranno felici di usarlo. Ma non sarà possibile ottenere Home a meno che non si sceglie di farlo - sia scaricando Home dal negozio di Play Store o con l'acquisto di un telefono con Home preinstallato.

D: Dovete continuare a utilizzare Home dopo che lo avete installato?
R: No. Si può facilmente disattivare Home in Impostazioni Home. Se vi piace Home ma non volete che appaia come schermata di blocco, si ha pure questa opzione. 

D: Quali sono le informazioni che raccoglie Home? 
R: Come altre parti di Facebook, Home raccoglie le informazioni quando si interagisce con il servizio, come ad esempio Like, commenti su un post o invio di un messaggio. Home può anche raccogliere altre informazioni su come lo si utilizza. Per esempio, Facebook mantiene un elenco delle applicazioni che avete nell'applicazione Home launcher. Facebook ha memorizzato queste informazioni in forma identificabile per 90 giorni e utilizzate per fornire il servizio e migliorarne il funzionamento. 

Per i dispositivi che hanno Home preinstallato, Home è in grado di visualizzare le notifiche di sistema, il che significa che mostrerà le notifiche delle applicazioni sul telefono. Dal momento che tali notifiche appaiono in Home, Facebook raccoglie informazioni sulla notifica (ad esempio quali app li sta generando), ma non il contenuto della notifica stessa. Facebook rimuove le informazioni di identificazione da questi dati dopo 90 giorni.

D: Home raccoglie la vostra posizione?
R: Facebook Home non utilizza la posizione in maniera diversa dall'applicazione Facebook già presente sul vostro telefono Android. È possibile conoscere come la posizione funziona su Facebook nella sua politica di uso dei dati e Centro assistenza.


D: È possibile disattivare i servizi di localizzazione del tutto?
R: Sì, proprio come con qualsiasi altra applicazione, è possibile controllare il permesso della posizione nelle impostazioni del telefono.

D: Home raccoglie informazioni su quello che fate nelle non-Facebook app?
R: Home No. Vede soltanto come si interagisce con la stessa Home. Per esempio, Facebook potrebbe vedere che avete lanciato un'applicazione mappa utilizzando il pulsante luncher dell'applicazione, ma Facebook non verrà informato su tutto quelle indicazioni che avete cercatoo qualsiasi altra attività all'interno della stessa applicazione.

Naturalmente, alcune applicazioni sono già Facebook-enabled in modo da poter condividere la vostra attività all'interno della app per tornare a Facebook. Questo tipo di integrazione esisteva molto prima del lancio di Home, e le applicazioni che la possiedono vi diranno se è disponibile.

D: Come fare a saperne di più su come i vostri dati vengono usati?
R: I dati che Facebook riceve attraverso Home sono coperti dalla Politica sull'uso dei dati di Facebook, che le persone possono vedere prima di attivare Home. È inoltre possibile trovare maggiori informazioni su  Home specificamente esaminando la sua Home domande più frequenti, che sono disponibili nel Centro assistenza di Facebook e attraverso la schermata di login iniziale.

L'integrazione di Facebook all'interno del sistema operativo Android è dunque molto radicata ma non invasiva. Non esiste una versione Apple, perché la "chiusura" di iOS ne impedisce l'integrazione. Facebook Home permette agli sviluppatori nuovi modi di esporre i loro contenuti per aiutare le persone a scoprire le loro applicazioni. Sarà disponibile a partire dal 12 aprile sul negozio Google Play, inizialmente soltanto per alcuni modelli che utilizzano Android.

venerdì 5 aprile 2013

McAfee definisce nuovo standard per una protezione da malware completa


McAfee ha annunciato di aver acquisito da LynuxWorks Inc. la tecnologia di “sandboxing” ValidEdge in grado di identificare il malware più sofisticato e complesso da rilevare, nell’ambito dell’ampliamento del suo portafoglio di soluzioni anti-malware e di un ulteriore consolidamento dell’approccio McAfee Security Connected. McAfee ha inoltre annunciato più di 30 ampliamenti alle proprie soluzioni volte a contrastare le minacce informatiche che rafforzeranno la posizione della società nella protezione completa dal malware. 

La tecnologia acquisita fornisce funzionalità avanzate di rilevamento delle minacce mediante l'esecuzione di malware sospetto in una "sandbox", essendo in tal modo in grado di comprendere l'impatto che un campione di malware sospetto può avere su un endpoint. Questa nuova tecnologia rafforza ulteriormente l’attuale offerta anti-malware di McAfee già riconosciuta come una delle migliori nell’individuare attacchi zero day.

A differenza di altre soluzioni di sandboxing, questa nuova tecnologia, una volta integrata con gli altri prodotti anti-malware di McAfee per reti o endpoint, è in grado di bloccare automaticamente i futuri attacchi dei campioni di malware individuati. Inoltre, fornirà le signature in modo che i dispositivi già infetti possano essere ripristinati automaticamente da McAfee ePolicy Orchestrator (McAfee ePO). McAfee prevede di consegnare il primo prodotto che integra la nuova tecnologia di sandboxing nella seconda metà del 2013.

Un approccio basato su singoli prodotti non è in grado di garantire una protezione completa dal malware. L'unico modo per attuare una risposta efficace al vero e proprio assalto di minacce malware che hanno toccato cifre record vicine ai 100.000 esemplari quotidiani[i] è quello di adottare un approccio alla sicurezza integrato e olistico, end-to-end. Perfettamente in linea con tale impostazione, gli oltre 30 ampliamenti apportati da McAfee ai propri prodotti anti malware, includono alcune tra le seguenti caratteristiche:

McAfee Network Security Platform - aggiunge nuove tecnologie di rilevamento delle minacce e di prevenzione "signature-less", che includono analisi approfondita e un potente motore anti-malware in grado di rilevare il malware avanzato su una vasta gamma di protocolli e tipi di file. La soluzione, inoltre, integra una prioritizzazione intelligente degli avvisi che assegna in modo automatico le priorità agli eventi di rete e migliora l'integrazione con McAfee ePO e McAfee Enterprise Security Manager, basandosi su informazioni in tempo reale, cosa che dà agli operatori la visione dell'intero contesto di un attacco, nel momento esatto in cui si verifica.

McAfee Web Protection - estende le funzionalità di emulazione per identificare il malware avanzato che cambia dinamicamente nel browser per non farsi rilevare. La soluzione integra anche una nuova tecnica di rilevamento in uscita che riconosce le infezioni bot che tentano di ricevere ulteriori codici maligni. Nuove funzionalità di reporting includono reportistica fruibile che aiuta a ridurre la vulnerabilità agli attacchi, semplificando il processo di creazione di blacklist nelle soluzioni connesse a McAfee ePO.

Email Protection McAfee - può essere distribuito on-premise, via Cloud, e ora anche integrando le due modalità con un’unica architettura di gestione, riducendo i costi e aumentando l'efficienza, oltre a mantenere il malware al di fuori della rete. La soluzione prevede inoltre un filtro per la “graymail”, ovvero tutti quei messaggi non richiesti che riempiono le caselle di posta elettronica, che migliora la produttività dei dipendenti.

McAfee Enterprise Security Manager - si integra in modo attivo con ePolicy Orchestrator, Network Security Platform e McAfee Vulnerability Manager per automatizzare la quarantena, la scansione e l'esecuzione delle policy - trasformando informazioni fruibili in un’azione intelligente.


McAfee Real Time for ePO - recentemente annunciato, questo nuovo prodotto consente di prendere decisioni di sicurezza sulla base di "ciò che è" invece di "ciò che era" interrogando e identificando in pochi secondi ogni endpoint compromesso all’interno di un’azienda, per ripristinarlo. Si tratta di un sistema che aumenta notevolmente la consapevolezza della situazione e riduce l'esposizione ai rischi e i costi della sicurezza.

McAfee Deep Defender - fornisce una protezione contro i rootkit Master Boot Record (MBR). Qualsiasi driver tenti di scrivere o leggere un MBR viene monitorato da Deep Defender, che opera al di là del sistema operativo ed è abilitato dalla sicurezza hardware avanzata di Intel. La soluzione impedisce ai rootkit MBR di modificare il record di avvio principale in tempo reale.

"Secondo i ricercatori McAfee, il 59% dei professionisti della sicurezza aziendale ritiene di essere stato preso di mira da una minaccia avanzata persistente (APT, advanced persistent threat)," ha dichiarato Tony Prigmore, Senior Analyst di Enterprise Strategy Group. "Per contrastare questo tipo di minacce è necessario un approccio integrato che include rete, endpoint, intelligence sulle minacce e altri aspetti di sicurezza".

La protezione dal malware completa che McAfee è in grado di offrire si basa sulla piattaforma McAfee Security Connected, che aiuta i clienti a migliorare la propria sicurezza, ottimizzandone l’attuazione, mantenendo i costi controllati e la sicurezza allineata con le iniziative di business. McAfee sta portando avanti un approccio coordinato per la protezione contro il malware applicando in modo intelligente le migliori tecnologie al momento giusto e nel posto giusto per analizzare a fondo e rispondere a file sospetti, siti web e messaggi di posta elettronica pericolosi e minacce alle reti.

Al contrario degli approcci best-of-breed o soluzioni di altri vendor, che creano falle nella sicurezza o provocano inutili ritardi. "Da oltre 20 anni McAfee investe in tecnologia per aiutare i clienti a proteggersi dal malware", ha aggiunto Pat Calhoun, senior vice president e general manager network security di McAfee. "Ora stiamo rafforzando la nostra posizione di leadership nella protezione dal malware, continuando a investire in nuovi prodotti e a migliorare i prodotti già esistenti. I singoli prodotti non possono fornire una protezione adeguata contro questi attacchi avanzati, ed è per questo che McAfee offre una soluzione integrata e gestita, a più livelli, che fornisce una protezione completa dal malware per endpoint e reti". Ulteriori informazioni sono disponibili all’indirizzo: www.mcafee.com/cmp.


A proposito di McAfee
McAfee, società interamente controllata da Intel Corporation (NASDAQ:INTC), consente ad aziende, pubbliche amministrazioni e utenti consumer di usufruire dei vantaggi di Internet in modo sicuro. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi, reti e dispositivi mobili in tutto il mondo. Grazie alla strategia Security Connected, a un approccio innovativo nella creazione di soluzioni sempre più sicuri e all’ineguagliato servizio di Global Threat Intelligence, McAfee è impegnata senza sosta a ricercare nuovi modi per mantenere protetti i propri clienti. http://www.mcafee.com


Fonte: Prima Pagina