mercoledì 21 maggio 2014

Kaspersky Lab lancia nuova soluzione di sicurezza virtuale Light Agent


Kaspersky Lab annuncia una nuova soluzione di sicurezza nel campo della virtualizzazione, che offre una protezione avanzata per le piattaforme virtuali VMware, Citrix e Microsoft. Kaspersky Security For Virtualization - Light Agent si aggiunge alla già esistente soluzione di sicurezza agentless per la virtualizzazione di Kaspersky Lab, leader nel settore, per gli utenti VMware e vSphere, che continuerà ad essere offerta con il nome di Kaspersky Security for Virtualization - Agentless.

La nuova tecnologia light agent è la prima soluzione di sicurezza di Kaspersky Lab ottimizzata per i clienti di Microsoft Hyper-V e Citrix XenServer e fornirà ai clienti VMware la possibilità di scegliere tra la protezione agentless o light agent. La soluzione light agent di Kaspersky Lab offre il "meglio dei due mondi" oltre ai modelli di sicurezza virtuale agentless già esistenti o quelli agent-based. 

I dati in breve
• Kaspersky Security for Virtualization | Light Agent è la prima soluzione di Kaspersky Lab specificamente progettata per le piattaforme di virtualizzazione Citrix e Microsoft
• Sia il nuovo Light Agent che la soluzione già esistente Agentless saranno offerte ai clienti attraverso l’acquisto di una singola licenza del prodotto Kaspersky Security for Virtualization
• La nuova soluzione Light Agent di Kaspersky Lab offre funzioni di sicurezza aggiuntive, tra cui i controlli degli applicativi e l'applicazione delle policy di utilizzo del web per ambienti virtuali
• Il prodotto Kaspersky Security for Virtualization sarà offerto in pacchetti di licenze flessibili, rendendo più facile alle aziende in crescita la possibilità di rendere sicuri i futuri sviluppi

I vantaggi delle performance del Light Agent
Costruire e mantenere una rete virtuale richiede software specializzati e competenze che differiscono notevolmente dagli strumenti e dalla formazione necessaria per gestire una rete fisica di endpoint e di server. Troppo spesso però, le aziende utilizzano il software di sicurezza pensato per le macchine fisiche per la loro rete virtuale con conseguenze negative. Nella migliore delle ipotesi questa protezione "agent-based" porta ad uno spreco di risorse informatiche - problematica a cui cerca di dare una soluzione la virtualizzazione - e può ridurre il rapporto di consolidamento di macchine virtuali e il ROI globale di un progetto di virtualizzazione. 

Mentre gli utenti lamentano un rallentamento delle prestazioni sui loro desktop virtuali, non sanno che nella rete si nasconde una vera e propria minaccia per le macchine virtuali, un "Instant On Gap". Ovvero una finestra di tempo che si crea dopo che una macchina virtuale è stata creata e prima che gli ultimi aggiornamenti di sicurezza vengano scaricati dall'agente di sicurezza su ogni macchina virtuale.

Mentre questi aggiornamenti vengono elaborati, la macchina virtuale è vulnerabile e la durata della vulnerabilità varia a seconda del numero di utenti che stanno scaricando contemporaneamente gli aggiornamenti sulle singole VM e dei giorni necessari all’elaborazione degli stessi. Mentre questo processo di aggiornamento dei database di sicurezza sui desktop virtuali va avanti, le risorse dei server virtuali risulteranno “stanche” con conseguenti scarse prestazioni della rete e un minor rendimento degli investimenti di virtualizzazione della società. Kaspersky Security for Virtualization | Light Agent offre dei benefici che garantiscono diversi vantaggi rispetto all’approccio tradizionale agent-based. 

Nel modello light agent, quasi tutti i processi di sicurezza ad alta intensità di risorse vengono eseguiti da un dispositivo virtuale dedicato ad un livello di hypervisor. Incanalando il traffico di rete virtualizzato e i file attraverso questo dispositivo aggiornato, le VM sono completamente protette da aggiornamenti di sicurezza nello stesso istante in cui questi vengono creati e questo fa si che non sia più necessario produrre, per ogni VM, copie ridondanti di database anti-malware attraverso la rete. La scansione intelligente di Kaspersky Lab garantisce anche che lo stesso file non venga analizzato più volte, liberando le risorse aggiuntive di sistema.


Vantaggi della protezione Light Agent 
L’approccio light agent oltre ad offrire prestazioni migliori rispetto ad un approccio "agent-based", offre anche una maggiore protezione di sicurezza rispetto ad un modello "agentless". I modelli di sicurezza agentless, a livello di prestazioni, offrono il vantaggio di far svolgere il 100% delle attività di sicurezza alla macchina virtuale e ad un dispositivo virtuale dedicato, ma questo, allo stesso tempo, limita la capacità del software di eseguire attività di gestione di sicurezza avanzate e di protezione della rete sugli endpoint virtuali.

Un sistema di sicurezza agentless protegge efficacemente l'attività basata su file ma non può garantire protezione contro i nuovi malware del web, come i worm o le altre minacce avanzate in grado di penetrare i processi del sistema degli endpoint virtuali e diffondersi attraverso una rete. Questo dimostra come un approccio light agent sia in grado di fornire l'equilibrio ideale tra prestazioni e protezione. 

Kaspersky Security for Virtualization - Light Agent include un piccolo software agent su ogni macchina virtuale, molto diverso dai software di risorse monopolizzati che si trovano nel modello tradizionale agent-based. Questo piccolo agente consente grandi funzionalità di sicurezza, consentendo al Kaspersky Security for Virtualization - Light Agent di disporre di tutte le competenze nel campo della sicurezza di cui dispone Kaspersky Lab per il controllo di una rete virtuale, e la possibilità di essere distribuito senza la necessità di riavviare. Le tecnologie di protezione avanzate messe a disposizione da una soluzione light agent comprendono:

• Controlli sugli applicativi
• Controlli del dispositivo
• Policy di utilizzo del web
• Host-based Intrusion Prevention Systems (HIPS) e Firewall 

Kaspersky Security for Virtualization | Light Agent include anche tutte le funzionalità di sicurezza presenti nella soluzione agentless di Kaspersky Lab, compresa l'analisi euristica dei file e la cloud-assisted intelligence tramite il Kaspersky Security Network per le informazioni in tempo reale sulle minacce emergenti e le applicazioni dannose. Kaspersky Lab continuerà ad offrire Kaspersky Security for Virtualization | Agentless - attualmente disponibile solo per gli ambienti VMware - come soluzione efficace per i data center, i server che non accedono a Internet e quelle situazioni in cui la protezione automatica di ogni nuova VM sono di primaria importanza. 

"Spinti dalla ricerca dei nostri esperti di sicurezza la nostra missione è quella di educare le imprese sui possibili rischi della sicurezza virtuale e fornire delle valide opzioni per proteggere la propria rete" ", ha dichiarato Nikolay Grebennikov, Chief Technology Officer di Kaspersky Lab ."Non c'è soluzione che vada bene per tutte le reti, per questo Kaspersky Lab offre una combinazione di opzioni di sicurezza valide per le tre principali piattaforme virtuali del mondo cosi che i nostri clienti siano protetti e allo stesso tempo ottengano il massimo dai loro investimenti di virtualizzazione." 

Maggiori dettagli su Kaspersky Security for Virtualization | Light Agent, sono disponibili su B2B Security Blog

Gestione e Licenze
I prodotti per la sicurezza virtuale di Kaspersky Lab offrono una combinazione di tecnologie e sicurezza oltre che una facilità di gestione della piattaforma che nessun altro fornitore riesce a garantire. Utilizzando la console di amministrazione di Kaspersky Security Center, Kaspersky Security for Virtualization, si può gestire dalla stessa interfaccia delle soluzioni di sicurezza di Kaspersky Lab per le macchine fisiche.

Questo dà ai responsabili IT una visione completa sia della rete fisica che di quella virtuale per la gestione delle sfide alla sicurezza e delle attività quotidiane di amministrazione, senza la necessità di alternare diverse interfacce. Sia tramite Kaspersky Security for Virtualization | Agentless che tramite Kaspersky Security for Virtualization | Light Agent - o la combinazione di entrambe le applicazioni - i responsabili IT possono controllare la soluzione di sicurezza Kaspersky Lab da una console di gestione realmente unificata e gestire facilmente qualsiasi migrazione da fisico a virtuale, o da una piattaforma virtuale ad un’altra. 

Kaspersky Lab offre una licenza unificata per i suoi prodotti di sicurezza dedicati alla virtualizzazione, così le aziende che acquistano una licenza per Kaspersky Security for Virtualization avranno accesso ad entrambi i modelli Kaspersky Security for Virtualization | Agentless e Kaspersky Security for Virtualization | Light Agent. Le opzioni di licenza flessibili consentono alle aziende di acquistare licenze "per virtual machine" - che necessitano di conoscere l'esatta quantità di server virtuali e le licenze desktop necessarie - o "per core", in base al numero di core CPU nell'hardware di virtualizzazione del cliente, che permette alle imprese di espandere la propria rete, qualora fosse necessario.   

Requisiti di sistema
Kaspersky Security for Virtualization | Light Agent opera sul VMware ESXi 5.1 e gli hypervisor 5.5; hypervisor Microsoft Hyper-V Server 2008 R2 / 2012 e hypervisor Citrix XenServer 6.0.2 / 6.1. Un elenco completo dei sistemi operativi supportati per tipo di hypervisor, è disponibile visitando la pagina dedicata al prodotto Kaspersky Security for Virtualization | Light Agent. Fonte: Kaspersky



martedì 20 maggio 2014

Italia è seconda in Europa per numero di attacchi malware finanziari


L'Italia è seconda in Europa per numero di attacchi finanziari. Nel 2013 il numero di malware di questo tipo è aumentato del 20,49% rispetto all'anno precedente. Secondo il "Financial cyber threats 2013", uno studio condotto da Kaspersky Lab, i cybercriminali puntano sempre più ad accedere ai conti online degli utenti. L'anno scorso, infatti, il numero di attacchi informatici preposti al furto di dati finanziari è aumentato del 27,6% rispetto al 2012 raggiungendo i 28 milioni di attacchi.

Operazione mondiale contro Blackshades, pc zombie per rubare dati


Una serie di Botnet, ovvero reti di pc zombie che, all'insaputa dei legittimi proprietari, venivano utilizzate per compiere attacchi informatici e rubare informazioni e dati sensibili. E' la scoperta fatta dai cyber-detective del Servizio polizia postale e delle comunicazioni (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche), che a conclusione dell'operazione denominata "blackshades" - dal nome del malware usato per propagare l'infezione - hanno identificato e denunciato a piede libero 13 hacker, "tutte persone altamente preparate dal punto di vista tecnico-informatico".

Accesso abusivo a sistema informatico, detenzione abusiva di codici di accesso, diffusione di programmi diretti a danneggiare o interrompere un sistema informatico e intercettazione di comunicazioni telematiche sono i reati contestati dal procuratore aggiunto Nello Rossi e dal pubblico ministero Eugenio Albamonte. Tra gli indagati c'è anche un ventenne siciliano che è stato in grado di infettare circa 500 macchine e sul cui hard disk è stata riscontrata la presenza di numerose directory contenenti file relativi alla cattura di immagini tramite le webcam dei pc colpiti.

L'operazione è stata condotta in diverse città italiane con l'ausilio dei compartimenti della Polizia Postale e delle comunicazioni di Roma, Firenze, Napoli, Palermo, Catania, Milano, Venezia, Trento e Trieste, ed il coinvolgimento delle sezioni di Latina, Messina, Vicenza, Bergamo, Enna, Bolzano, Gorizia e Frosinone, si legge nella nota della polizia postale. L'indagine italiana del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia Postale è il frutto dell'attività di collaborazione con FBI ed Europol.

Oltre agli Usa, infatti, altre quindici nazioni, attraverso i loro organi di polizia, hanno svolto oggi circa 300 perquisizioni domiciliari che hanno portato al sequestro di 1000 dispositivi e all'identificazione di 81 persone (tra denunciate e arrestate). Più di 100 persone in tutto il mondo sono state arrestate a seguito di un giro di vite legato allo "strumento di amministrazione remota". L'operazione, iniziata nel 2010, è frutto di una collaborazione internazionale con l'FBI ed Europol. Nel 2012, un'operazione dell'FBI ha portato all'arresto di 24 persone coinvolte nel programma. 

I paesi che hanno intrapreso l'azione contro i creatori, i venditori e gli utenti di malware includono i Paesi Bassi, Belgio, Francia, Germania, Regno Unito, Finlandia, Austria, Estonia, Danimarca, Italia, Croazia, Stati Uniti d'America, il Canada, il Cile, la Svizzera e la Moldavia. Tre riunioni di coordinamento si sono tenute presso l'Eurojust prima dei giorni di azione, cui hanno partecipato la maggior parte dei paesi coinvolti. Durante i giorni di azione, un centro di coordinamento è stato istituito presso l'Eurojust, assistendo i vari paesi, fornendo una panoramica dello stato di avanzamento dei paesi coinvolti, oltre a fornire assistenza giudiziaria. 


I rappresentanti di Eurojust, Europol e l'FBI erano presenti presso il centro di coordinamento. Lodewijk van Zwieten, procuratore dell'ufficio del pm olandese, e Koen Hermans, assistente del membro nazionale per i Paesi Bassi, hanno commentato il successo ottenuto: "L'Operazione BlackShades è un ottimo esempio di cooperazione giudiziaria transfrontaliera in pratica. Internet non è un ambiente sicuro per i criminali. Questo caso, che coinvolge tanti Stati membri e Stati terzi, con l'obiettivo comune di fermare ulteriori attacchi informatici, mostra il potenziale di azioni congiunte in tutto il mondo e indica la strada ai futuri sforzi comuni. Siamo molto soddisfatti del risultato".

Gli hacker di casa nostra (come sono stati definiti, ma sarebbero cracker), secondo i primi accertamenti, agivano ciascuno per proprio conto e potrebbero aver danneggiato numerosi enti pubblici. Gli indagati, infatti, si sarebbero procurati un malware denominato "BlackShades" Remote Administration Tool (RAT). Questo insidioso software viene venduto in internet e pubblicizzato come prodotto che consente di avere il controllo dei pc di una rete, con lo scopo di facilitare l'attività di amministrazione degli stessi.

In realtà, oltre alle funzioni che potrebbero essere lecite se finalizzate all'amministrazione di una rete di computer, il programma, che può essere reso invisibile agli antivirus tramite cifratura, dà la possibilità di acquisire il pieno controllo dei pc di ignari utenti, attivarne le webcam, i microfoni fino ad intercettare ciò che viene digitato sulle tastiere attraverso tecniche di keylogging, realizzando in tal modo vere e proprie botnet, ovvero reti di computer zombie controllate da un amministratore occulto, il Bootmaster, utilizzate per effettuare attacchi informatici di varia natura.

Il Blackshades Remote Access Tool (RAT) consente in particolare ai criminali di rubare le password e credenziali bancarie; hackerare account di social media; accedere ai documenti, foto e altri file del Pc; prendere un pc a scopo di estorsione; e utilizzare il computer in attacchi DDoS. L'operazione in tutto il mondo è arrivata dopo che l'FBI ha ottenuto una lista di clienti del malware W32.Shadesrat. Il software è pubblicizzato sui forum di hacker e le copie venivano venduti a circa 40 dollari, ciascuno su un sito web gestito dagli "Blackshades", hanno detto i funzionari Usa.

L'FBI ha detto che BlackShades è stato acquistato da diverse migliaia di persone da quando è stato creato nel 2010, generando un fatturato di oltre 350,000 dollari. Funzionari Usa hanno detto che più di 500.000 computer in oltre 100 paesi sono stati infettati da BlackShades. Gli esperti di sicurezza hanno legato anche il programma agli attacchi contro i dissidenti siriani nel 2012 e i tentativi di rubare dati da più di una dozzina di organizzazioni francesi. I dettagli dei raid sono stati illustrati in una conferenza stampa da Preet Bharara, procuratore degli Stati Uniti per il Distretto Meridionale di New York.



venerdì 16 maggio 2014

Truffa su Facebook attraverso tag da amici porta a falso plugin Flash


Gli spammer trovano sempre dei nuovi metodi o li aggiornano per diffondere il loro scam su Facebook. Adobe ha appena rilasciato degli importanti aggiornamenti per il suo plugin Flash Player e gli spammer sul social network non hanno perso tempo a raccogliere l'opportunità per sfruttare la situazione. In particolare, una un pericoloso scam, presumibilmente di origine turca, in cui si invita ad aggiornare proprio il Flash Player si sta diffondendo attraverso tag. Potrebbe accadere infatti di essere taggati da un amico in un commento su un post o status condiviso da una pagina. 

Nel post individuato da Protezione Account, si legge in particolare: "The teacher raped ! Without the consent of the girl he raped her without mercy ! Family teacher was put into a coma ! ( Strictly follow ) [link rimosso] My friends and tag everyone, not such things." che tradotto: "L'insegnante violentata! Senza il consenso della ragazza che l'ha violentata senza pietà!  Insegnante di Famiglia è stata messo in coma! (Strictly seguire) [link rimosso] I miei amici e taggate tutti, non queste cose."


Se si clicca sullo short link si viene rimandati ad una pagina esterna a Facebook dove per poter vedere il presunto video si viene invitati a installare un falso plugin Flash Player per Chrome. La particolarità della truffa sta nel fatto che con qualsiasi browser si apra il sito si è obbligati a scaricare l'estensione rogue per il browser di Google. Questo perchè la truffa è veicolata solo attraverso il noto browser.


Ovviamente non esiste alcun presunto video dell'insegnante "violentata". La truffa fa probabilmente riferimento ad una delle tante notizie "vere" che girano nel Web http://goo.gl/vnENES su violenze sessuali accadute in alcune scuole o quella sull'insegnante di matematica di un liceo di Tacoma, nello stato di Washington, che è stata arrestata per sesso e video hot che inviava ai suoi studenti. 


In realtà non viene installato alcun Flash Player ma un plugin malware che effettua delle operazioni automatiche attraverso codici Javascript per nome e per conto dell'utente che lo ha installato. In questo caso dei tag a commento in cui vengono citati un certo numero di amici (oltre la venti amici e l'azione viene ripetuta nel tempo). 


Come nella gran parte delle truffe diffuse su Facebook, gli autori dello scam fanno leva sulla curiosità dell'utente e sul fatto che il tag proviene da un amico presumibilmente "fidato". In 15 ore il post ha raccolto ben oltre 1 milione di commenti ed il sistema di sicurezza antispam di Facebook ha individuato e neutralizzato la truffa, ma la pagina sul social network ed il sito sono ancora online. Inoltre, sul Play Store al momento è ancora attiva, dato che il plugin malware risiede proprio sul negozio online di Google.


Non viene fornito alcun screenshot ma nella descrizione dell'estensione si legge: SmartVideo fornisce un migliore controllo sulle opzioni buffering di YouTube opzioni, qualità e gioco. Caratteristiche: 1 .Funziona con tutti i video di YouTube embedded/HTML5. Che si tratti di un video sul news feed di Facebook o un video direttamente dal sito YouTube . 2. Con preferenze globali, tutti i video di YouTube possono essere impostati per iniziare a vostra scelta non appena viene caricata la pagina (...)".

"(...) Lasciate SmartVideo decidere quando è bene iniziare a giocare. Lo 'smart buffer' di SmartVideo  decide la percentuale di buffer in base alla velocità di download in corso. O semplicemente fare i video di YouTube per avviare il buffering quando la pagina viene caricata . È possibile riprodurre il video ogni volta che si desidera (...)". In realtà esiste un'estensione lecita e si chiama proprio SmartVideo For YouTube™. 

Il plugin è stato caricato sullo store il 10 maggio scorso ed ha un peso di 198 kilobyte. Sebbene in lingua inglese è evidente l'origine turca dell'applicazione come in altre pericolose truffe già viste in passato. Il rischio, oltre all'assumere il controllo dell'account Facebook, è quello di essere bloccati dal social network per presunta attività di spamming. Se avete installato per errore il plugin seguite queste istruzioni per rimuoverlo dal vostro browser.

Il consiglio è sempre quello di prestare attenzione alle installazioni o quando ricevete un messaggio da parte di un amico. Prima di effettuare qualsiasi operazione contattate l'amico per verificare se sia stato lui ad inviarvelo volontariamente. Spesso le operazioni automatiche delle applicazioni rogue vengono effettuate quando l'utente risulta offline. A tal proposito è bene ricordare di non utilizzare codici Javascript su Facebook per ottenere delle funzionalità aggiuntive. Installate il Flash Player esclusivamente dal sito ufficiale di Adobe.

giovedì 15 maggio 2014

Adobe rilascia aggiornamenti di sicurezza per Flash, Reader e Acrobat


Gli amministratori e gli utenti finali sono invitati ad aggiornare i loro sistemi a seguito di una serie di patch rilasciate da Microsoft e Adobe, che riguardano in totale più di 30 falle di sicurezza. Adobe ha dichiarato che il suo aggiornamento mensile include le patch per il suo Flash, Reader e Acrobat piattaforme, nonché un aggiornamento per Illustrator. In totale, l'aggiornamento pone rimedio a 18 vulnerabilità e falle di sicurezza. Pochi utenti hanno Acrobat o Illustrator, ma molti o la maggior parte probabilmente hanno uno o entrambi Flash e Reader. 

La società ha detto che l'aggiornamento include correzioni per i difetti critici che potrebbero consentire l'esecuzione di codice da remoto, e l'aggiornamento di Flash Player dovrebbe essere una priorità assoluta per gli utenti e gli amministratori. Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player 13.0.0.206 e versioni precedenti per le versioni precedenti per Windows e Macintosh Linux e Adobe Flash Player 11.2.202.356. Questi aggiornamenti riguardano vulnerabilità che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato.

Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni:  gli utenti di Adobe Flash Player 13.0.0.206 e versioni precedenti per Windows e Macintosh devono aggiornare Adobe Flash Player 13.0.0.214. Gli utenti di Adobe Flash Player 11.2.202.356 e precedenti versioni per Linux devono aggiornare a Adobe Flash Player 11.2.202.359. Adobe Flash Player 13.0.0.206 installato con Google Chrome verrà aggiornato automaticamente alla versione più recente di Google Chrome, che comprenderà Adobe Flash Player 13.0.0.214 per Windows, Macintosh e Linux.

Adobe Flash Player 13.0.0.206 installato con Internet Explorer 10 sarà automaticamente aggiornato alla versione più recente di Internet Explorer 10, che comprenderà Adobe Flash Player 13.0.0.214 per Windows 8.0. Adobe Flash Player 13.0.0.206 installato con Internet Explorer 11 sarà automaticamente aggiornato alla versione più recente di Internet Explorer 11, che comprenderà Adobe Flash Player 13.0.0.214 per Windows 8.1.Gli utenti di Adobe AIR SDK 13.0.0.83 e versioni precedenti devono aggiornare a Adobe AIR SDK 13.0.0.111.

Gli utenti di Adobe AIR SDK 13.0.0.83 & Compiler e versioni precedenti devono aggiornare a Adobe AIR SDK 13.0.0.111 & Compiler. Per verificare la versione di Adobe Flash Player installato sul proprio sistema, accedere alla pagina Informazioni su Flash Player http://adobe.ly/QNfjv1, oppure fare clic destro sul contenuto eseguito in Flash Player e selezionare "Informazioni su Adobe (o Macromedia) Flash Player" dal menu. Se si utilizzano più browser, eseguire la verifica per ogni browser installato sul proprio sistema. 


Questi aggiornamenti risolvono una vulnerabilità use-after free che potrebbe provocare l'esecuzione di codice arbitrario (CVE-2014-0510). Questi aggiornamenti risolvono una vulnerabilità che potrebbe essere utilizzato per aggirare la same origin policy (CVE-2014-0516). Questi aggiornamenti risolvono vulnerabilità di bypass di sicurezza (CVE-2014-0517CVE-2014-0518CVE-2014-0519CVE-2014-0520). Per verificare la versione di Adobe AIR installata sul proprio sistema, seguire le istruzioni della nota tecnica di Adobe AIR.

Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Reader e Acrobat XI (11.0.06) e versioni precedenti per Windows e Macintosh. Questi aggiornamenti riguardano vulnerabilità che potrebbero causare un crash e potenzialmente consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Adobe consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni: gli utenti di Adobe Reader XI (11.0.06) per Windows e Macintosh devono aggiornare a Adobe Reader XI (11.0.07). 

Per gli utenti di Adobe Reader X (10.1.9) e versioni precedenti per Windows e Macintosh, che non possono aggiornare a Adobe Reader XI (11.0.07), Adobe ha reso disponibile l'aggiornamento di Adobe Reader X (10.1.10). Gli utenti di Adobe Acrobat XI (11.0.06) per Windows e Macintosh devono aggiornare a Adobe Acrobat XI (11.0.07). Per gli utenti di Adobe Acrobat X (10.1.9) e versioni precedenti per Windows e Macintosh, che non possono aggiornare a Adobe Acrobat XI (11.0.07), Adobe ha reso disponibile l'aggiornamento di Adobe Acrobat X (10.1.10). 

Questi aggiornamenti risolvono una vulnerabilità di heap overflow che potrebbe provocare l'esecuzione di codice (CVE-2014-0511). Questi aggiornamenti risolvono un errore di convalida dell'input che potrebbe portare ad un bypass di sicurezza (CVE-2014-0512). Questi aggiornamenti risolvono una vulnerabilità nell'implementazione di API JavaScript che potrebbe causare la divulgazione di informazioni (CVE-2014-0521). Questi aggiornamenti risolvono vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2014-0522CVE-2014-0523CVE-2014-0524CVE-2014-0526).

Questi aggiornamenti risolvono una vulnerabilità nel modo in cui Reader gestisce alcune chiamate API alla memoria mappata che potrebbero provocare l'esecuzione di codice (CVE-2014-0525). Questi aggiornamenti risolvono una vulnerabilità-use-after libero che potrebbe provocare l'esecuzione di codice (CVE-2014-0527). Questi aggiornamenti risolvono una vulnerabilità-double free che potrebbe provocare l'esecuzione di codice (CVE-2014-0528).Questi aggiornamenti risolvono una vulnerabilità di buffer overflow che potrebbe portare all'esecuzione di codice (CVE-2014-0529).

La terza patch, considerata di priorità inferiore, affronta una vulnerabilità di codice in modalità remota in Illustrator CS6. Adobe ha rilasciato un hotfix di sicurezza per Adobe Illustrator (CS6) per Windows e Macintosh. Questa correzione risolve una vulnerabilità che potrebbe essere sfruttata per ottenere l'esecuzione di codice in modalità remota sul sistema interessato. Questi aggiornamenti risolvono una vulnerabilità di overflow dello stack che potrebbe provocare l'esecuzione di codice arbitrario (CVE-2014-0513). Adobe consiglia agli utenti di aggiornare le installazioni del software seguendo queste istruzioni.

Microsoft Patch day maggio: 8 aggiornamenti chiudono 13 vulnerabilità


Dopo l'aggiornamento out-of-band che ha risolto la vulnerabilità 0-day di IE anche su Windows XP, Microsoft ha reso disponibile in occasione del Patch Day di maggio 8 bollettini, sei critici e due importanti, che risolvono 13 vulnerabilità di sicurezza (incluso il security bullettin MS14-021) relativi a Windows, Internet Explorer, Office ed al pacchetto .NET Framework. Inoltre, il Security Advisory 2871997 riguarda un aggiornamento per Windows 8 e Windows Server 2012 che migliora la protezione delle credenziali e domain authentication controls per ridurre i furti di credenziali. Mentre Adobe ha rilasciato degli aggiornamenti di sicurezza che risolvono alcuni bug in Flash, Illustrator, Reader e Acrobat. Di seguito i bollettini sulla sicurezza di maggio in ordine di gravità.

MS14-029 - Aggiornamento per la protezione di Internet Explorer (2962482). Questo aggiornamento "critico" per la protezione risolve due vulnerabilità in Internet Explorer segnalate privatamente. Queste vulnerabilità possono consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web appositamente predisposta con Internet Explorer. Sfruttando queste vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, i clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Vulnerabilità: CVE-2014-0310CVE-2014-1815

• MS14-022 - Alcune vulnerabilità in Microsoft SharePoint Server possono consentire l'esecuzione di codice in modalità remota (2952166). Questo aggiornamento "critico" per la protezione risolve diverse vulnerabilità segnalate privatamente nel software di produttività e in Microsoft Office Server. La più grave di queste vulnerabilità può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato autenticato invia contenuti di pagina appositamente predisposti a un server SharePoint di destinazione. L'aggiornamento per la protezione risolve le vulnerabilità correggendo il modo in cui SharePoint Server e Web Applications eseguono la purificazione dei contenuti di pagina appositamente predisposti. Vulnerabilità: CVE-2014-0255CVE-2014-0256

MS14-023 - Alcune vulnerabilità in Microsoft Office possono consentire l'esecuzione di codice in modalità remota (2961037) - Questo aggiornamento "importante" per la protezione risolve due vulnerabilità segnalate privatamente in Microsoft Office. La vulnerabilità più grave può consentire l'esecuzione di codice in modalità remota se un utente apre un file di Office situato nella stessa directory di rete di un file della libreria appositamente predisposto. Sfruttando questa vulnerabilità, un utente malintenzionato può ottenere gli stessi diritti utente dell'utente corrente. Pertanto, i clienti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a quelli che operano con privilegi di amministrazione. Vulnerabilità: CVE-2014-1756CVE-2014-1808

MS14-025 - Una vulnerabilità nelle preferenze Criteri di gruppo può consentire l'acquisizione di privilegi più elevati (2962486). Questo aggiornamento per la protezione risolve una vulnerabilità "importante" divulgata pubblicamente in Microsoft Windows. La vulnerabilità CVE-2014-1812 può consentire l'acquisizione di privilegi più elevati se si utilizzano le preferenze Criteri di gruppo Active Directory per distribuire le password all'interno del dominio; questa procedura può consentire a un utente malintenzionato di recuperare e decrittografare la password memorizzata con le preferenze Criteri di gruppo. L'aggiornamento per la protezione risolve la vulnerabilità eliminando la possibilità di configurare e distribuire password che utilizzano determinate estensioni di preferenze Criteri di gruppo.


MS14-026 - Una vulnerabilità in .NET Framework può consentire l'acquisizione di privilegi più elevati (2958732) - Questo aggiornamento "importante" per la protezione risolve una vulnerabilità di Microsoft .NET Framework che è stata segnalata privatamente. La vulnerabilità CVE-2014-1806 può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato non autenticato invia dati appositamente predisposti a una workstation o a un server interessato che utilizza .NET Remoting. Solo le applicazioni personalizzate specificatamente designate per l'uso di .NET Remoting potrebbero esporre un sistema alla vulnerabilità. L'aggiornamento per la protezione risolve la vulnerabilità assicurando che .NET Framework applichi correttamente i controlli di protezione per la memoria dell'applicazione.

MS14-027 - Una vulnerabilità legata al gestore della shell di Windows può consentire l'acquisizione di privilegi più elevati (2962488). Questo aggiornamento "importante" per la protezione risolve una vulnerabilità di Microsoft Windows che è stata segnalata privatamente. La vulnerabilità CVE-2014-1807 può consentire l'acquisizione di privilegi più elevati se un utente malintenzionato esegue un'applicazione appositamente predisposta che utilizza ShellExecute. Per sfruttare la vulnerabilità, è necessario disporre di credenziali di accesso valide ed essere in grado di accedere al sistema in locale. L'aggiornamento per la protezione risolve la vulnerabilità correggendo il modo in cui l'API ShellExecute gestisce le associazioni di file in determinate circostanze. 

•  MS14-028 - Una vulnerabilità in iSCSI può consentire un attacco di tipo Denial of Service (2962485). Questo aggiornamento "importante" per la protezione risolve due vulnerabilità segnalate privatamente in Microsoft Windows. Le vulnerabilità possono consentire un attacco di tipo Denial of Service se un utente malintenzionato invia grandi quantità di pacchetti iSCSI appositamente predisposti sulla rete di destinazione. Questa vulnerabilità interessa solo i server per i quali è stato attivato il ruolo di destinazione iSCSI. L'aggiornamento per la protezione risolve le vulnerabilità modificando il modo in cui i sistemi operativi interessati gestiscono le connessioni iSCSI. Vulnerabilità: CVE-2014-0255CVE-2014-0256

•  MS14-024 - Una vulnerabilità in un controllo comune Microsoft può consentire l'elusione della funzione di protezione (2961033). Questo aggiornamento "importante" per la protezione risolve una vulnerabilità segnalata privatamente in un'implementazione della libreria dei controlli comuni MSCOMCTL. La vulnerabilità CVE-2014-1809 può consentire l'elusione della funzione di protezione ASLR se un utente visualizza una pagina Web appositamente predisposta in un browser Web in grado di creare istanze di componenti COM. L'elusione della funzione di protezione non consente da sola l'esecuzione di codice arbitrario. Tuttavia, un utente malintenzionato potrebbe utilizzare questa vulnerabilità in combinazione con un'altra per trarre vantaggio ed eseguire codice arbitrario. 

Microsoft consiglia a coloro che hanno disabilitato l'update automatico, di scaricare le patch manualmente e installarle da Windows Update. A corollario, Microsoft ha rilasciato come di consueto una versione aggiornata dello strumento di rimozione malware giunto alla versione 5.12, per consentire l'eliminazione di software dannosi dai computer che eseguono Windows 8.1, Windows 8, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 o Windows XP. Per tutte le ultime informazioni, è possibile anche seguire il team MSRC su Twitter all'indirizzo @MSFTSecResponse. Si ricorda che questo strumento non sostituisce un prodotto antivirus. Il prossimo appuntamento con il patch day è fissato per martedì 10 giugno 2014.

mercoledì 14 maggio 2014

Privacy, Corte di Giustizia Ue: Google responsabile dei dati su altri siti


Una sentenza della Corte europea di Giustizia stabilisce che Google debba rispettare il Diritto all'oblio, il diritto di essere dimenticati. Così, nel caso in cui, a seguito di una ricerca effettuata a partire dal nome di una persona, l'elenco di risultati mostra un link verso una pagina Web che contiene informazioni sulla persona in questione, questa può rivolgersi direttamente al gestore oppure, qualora questi non dia seguito alla sua domanda, adire le autorità competenti per ottenere, in presenza di determinate condizioni, la soppressione di tale link dall'elenco di risultati.

lunedì 12 maggio 2014

Privacy Day Forum 2014, le minacce reali vengono dal mondo virtuale


Al CNR di Pisa, gli esperti di privacy puntano il dito verso i social network e chiedono nuove regole per la protezione dei dati.  Nonostante l'approvazione definitiva del regolamento europeo sulla protezione dei dati si faccia attendere da due anni, il 4° Privacy Day Forum organizzato da Federprivacy registra una presenza di 500 addetti ai lavori accorsi da tutta Italia nella città della torre pendente per fare il punto della situazione ed orientarsi in vista dei prossimi sviluppi normativi, che promettono una svolta epocale con l'entrata in vigore di nuove regole che saranno identiche e direttamente applicabili in tutti e 28 stati membri UE.

giovedì 8 maggio 2014

Symantec presenta nuovo sistema avanzato di protezione da minacce‏


Symantec (Nasdaq: SYMC) ha annunciato un nuovo approccio avanzato alla protezione delle minacce (Advanced Threat Protection), svelando una roadmap di soluzioni integrate che dimostra l’alto livello di innovazione nell’ambito sicurezza che solo essa può offrire. Questo approccio è supportato da due nuove soluzioni: Symantec Managed Security Services-Advanced Threat Protection e Symantec Advanced Threat Protection Solution, che combinano avvisi e intelligence all’interno di diverse tecnologie di sicurezza per offrire una prevenzione completa agli attacchi. 

La metodologia olistica di Symantec aumenta la propria efficacia quando le tecnologie di sicurezza lavorano insieme, trasformando la lotta contro le minacce in una funzione gestibile, offrendo una protezione più forte e maggior valore per le imprese clienti. Le tecnologie innovative di sicurezza di Symantec e la global intelligence di cui è dotata (che già rappresentano elementi di forte protezione avanzata dalle minacce) costituiranno il patrimonio di base per sviluppare le nuove tecnologie di difesa per proteggersi da attacchi sempre più sofisticati. 

I nuovi ATP dell’azienda utilizzeranno inoltre quanto Symantec ha appreso in merito alle minacce avanzate dalle oltre 200 milioni di postazioni che adottano le sue soluzioni di endpoint,  dalle sue soluzioni di posta elettronica e sicurezza web che esaminano oltre 8,4 miliardi di email e 1,7 miliardi di richieste web al giorno. “Il mercato necessita di soluzioni per una maggiore protezione dalle minacce e molti vendor non hanno gli strumenti e l’intelligence necessari per rilevare in maniera adeguata e rispondere efficacemente agli attacchi mirati”, commenta Jon Oltsik, Senior Principal Analyst, Enterprise Security Group (ESG). 

“Symantec ha la capacità di fornire una soluzione avanzata end-to-end delle minacce, integrando tutto il suo portfolio e facendolo distribuire sotto forma di servizio potenziato da un ecosistema avanzato di partner. Sfruttando la sua intelligenza globale e costruendo nuove capacità di risposta agli incidenti, Symantec può realmente affrontare una moltitudine di problemi legati alla cybersecurity”. 

Gli attacchi mirati, nello specifico, sono in aumento, i criminali informatici sono più spietati che mai e l’equazione richiesta per la protezione contro queste minacce è diventata più difficile. Mentre la promessa di soluzioni basate sulla sicurezza di rete guadagna maggiore attenzione, i dipartimenti IT sono ancora lasciati alle prese con enormi quantità di incidenti, troppi falsi positivi e una lunga lista di processi manuali da affrontare, lasciando così le aziende esposte e vulnerabili. 

“Per difendersi con successo contro le tipologie di attacchi mirati a cui stiamo assistendo oggi, è necessario espandere il focus, dalla prevenzione al rilevamento della risposta”, commenta Antonio Forzieri, esperto di Sicurezza di Symantec. “La sicurezza di rete da sola non sta andando a risolvere il problema. Gli avversari stanno prendendo di mira tutti i punti di controllo, dal gateway, alle email, all’endpoint. Le aziende hanno necessità di sicurezza di tutti questi punti di accesso per sconfiggere i cattivi. Symantec sta cosi dando al mercato un potente arsenale”. 

Un servizio gestito risolve i problemi di rilevazione e le sfide di risposta 
Disponibile da giugno 2014, il prossimo pezzo nell’approccio ATP di Symantec è Symantec Managed Security Services-Advanced Threat Protection (MSS-ATP), un servizio gestito che riduce significativamente il tempo necessario per il rilevamento, per la prioritarizzazione e la risposta ad incidenti di sicurezza, producendo integrazione tra la sua sicurezza endpoint e prodotti di sicurezza di vendor di terze parti. Questo dato consente ai clienti di contenere, indagare e risolvere rapidamente ed efficacemente sia gli attacchi sconosciuti, che gli zero day, che eludono le tradizionali soluzioni di sicurezza. 

Con la prioritarizzazione delle minacce reali, oltre ai falsi positivi, le aziende IT possono ottimizzare le spese operative del personale di sicurezza e assicurarsi che siano protette contro le minacce più significative. L’Advanced Threat Protection Alliance di Symantec è un ecosistema di partner di sicurezza di rete che attualmente include Check Point Software Technologies, Palo Alto Networks e Sourcefire (ora parte di Cisco). Attraverso questo ecosistema, il rilevamento e la correlazione tra attività di rete ed attività di endpoint dannose aiutano a ridurre in maniera sostanziale i falsi allarmi individuando gli incidenti importanti e consentendo ai clienti di rispondere più velocemente agli incidenti più critici. 

“L’offerta di Palo Alto Networks, WildFire, è una soluzione cloud collaudata e altamente efficace per individuare e prevenire le APT che minacciano oggi le reti dei clienti”, ha dichiarato Chad Kinzelberg, Senior Vice President di Business and Corporate Development di Palo Alto Networks. “L’integrazione di WildFire con la prossima generazione di Managed Security Services, Security Intelligence e Endpoint Protection di Symantec, offre una potente combinazione per sconfiggere le minacce informatiche più avanzate”.

Potente risposta agli incidenti e gestione dei servizi dei nemici
Entro i prossimi sei mesi, Symantec introdurrà due servizi chiave. Il primo è un servizio interamente nuovo di Incident Response, che fornisce ai clienti con un accesso immediato alle funzionalità critiche, conoscenze e set di abilità durante scenari di risposta agli incidenti. Il secondo è un nuovo servizio di Intelligence, che fornisce visibilità e analisi delle minacce senza eguali, offrendo feed di dati e servizi basati sull’Intelligence, cosi come il Managed Adversary Information che fornisce report avanzati sugli attori della minaccia per una visibilità senza precedenti circa le tipologie di attacchi che possono colpire un’azienda.

La nuova soluzione Advanced Threat Protection integra tutti i punti di controllo
Symantec porterà sul mercato una nuova soluzione di Advanced Threat Protection, che legherà insieme tutti questi aspetti della tecnologia. La nuova soluzione dovrebbe essere in fase di beta test entro sei mesi e disponibile entro i prossimi 12. Questa innovativa soluzione end-to-end consentirà di offrire un’avanzata protezione dalle minacce, integrando endpoint, email e gateway per fornire ai clienti capacità di rilevamento e risposta critiche in ogni rispettivo punto di controllo. 

Due tecnologie nuove, innovative e organicamente sviluppate rafforzeranno la capacità di rilevamento e di risposta della soluzione: Dynamic Malware Analysis Service di Symantec, un ambiente sandbox basato sul cloud dove l’analisi del comportamento di un contenuto attivo può essere usato per massimizzare rapidamente l’identificazione delle minacce e Synapse™, che consente la comunicazione fluida tra endpoint, email e gateway per facilitare una migliore risposta.

L’ATP di Symantec sfrutta la sua ampia competenza in tema di sicurezza e la Global Intelligence
Il portfolio di soluzioni integrate ATP di Symantec è alimentato dal Symantec Global Intelligence Network (GIN) e da un team di oltre 550 ricercatori in tutto il mondo. La piattaforma GIN di Symantec raccoglie tutto il giorno la telemetria anonima presentata da centinaia di milioni di clienti e sensori. Symantec utilizza questi dati - più di 3700 miliardi di righe in crescita di telemetria di sicurezza - per scoprire automaticamente nuovi attacchi, per monitorare le reti di attacco e sviluppare tecnologie predittive e proattive che garantiscano una protezione avanzata delle minacce senza eguali per i clienti di Symantec.

venerdì 2 maggio 2014

Microsoft chiude vulnerabilità 0-day in Internet Explorer anche su XP


Microsoft rilascerà a breve un aggiornamento di sicurezza out-of-band per affrontare il difetto che interessa Internet Explorer (IE) che è stato primo discussa nel Security Advisory 2963983. Questo aggiornamento è completamente testato e pronto per il rilascio di tutte le versioni interessate di il browser. Lo comunica la società in una nota sul blog del Microsoft Security Response Center (MSRC). La vulnerabilità consente ai cyber criminali di eseguire da remoto il codice arbitrario sul computer target dal momento in cui l'utente visita un sito Web malevolo.

giovedì 1 maggio 2014

IBM lancia nuova soluzione per prevenire danni da frodi e cybercrime


IBM ha annunciato una nuova soluzione integrata che, grazie alle nuove capacità in ambito Big Data e Analytics, consente di affrontare il tema delle frodi e dei crimini finanziari, responsabili ogni anno di perdite stimabili intorno ai 3,5 trilioni di dollari. IBM, con oltre 500 consulenti nel campo, 290 brevetti correlati a ricerche sulle frodi e 24 miliardi di dollari investiti dal 2005 in acquisizioni software e sviluppo di servizi, schiera con questa offerta tutte le proprie competenze, nazionali e internazionali, per aiutare le aziende pubbliche e private a prevenire, identificare e indagare le attività fraudolente. 

Il ritmo di tali minacce è in continua evoluzione, anche a causa del fatto che vengono utilizzati tutti i canali digitali - come dispositivi mobili, social network e piattaforme cloud - per sondare punti deboli e vulnerabilità; tanto che - ad esempio - nel 2012 le frodi d'identità hanno interessato più di 12 milioni di persone con furti quantificabili in circa 21 miliardi di dollari, o ancora ogni giorno il settore sanitario statunitense perde circa 650 milioni di dollari per richieste di rimborso e pagamenti fraudolenti. 

Per affrontare queste complessità, IBM è in grado di fornire una soluzione che consente alle organizzazioni di acquisire una migliore visibilità e adottare un approccio completo e proattivo per contrastare le frodi. Ciò comprende la possibilità di aggregare i Big Data - strutturati e non strutturati - provenienti da svariate fonti interne ed esterne (tra cui dispositivi mobili, social network e web) e applicare funzionalità di analitica sofisticate, che eseguono un monitoraggio continuo per rilevare indicatori fraudolenti. 

Le nuove offerte permettono di comprendere relazioni non evidenti e l’avverarsi di circostanze che possono essere correlate; inoltre - grazie a nuove tecnologie di visualizzazione - è possibile comprendere e collegare modelli in grado di identificare le azioni potenzialmente fraudolente nel momento in cui accadono, alimentando un processo automatico di continuo apprendimento che può prevenire eventuali future frodi. Tutta la soluzione può inoltre includere un sistema completo di sicurezza, basato su IBM Trusteer, in grado di identificare le minacce che sfuggono ai software tradizionali, includendo la difesa degli end-point aziendali e la prevenzione avanzata del malware. 

Secondo le stime degli analisti, la domanda di mercato di soluzioni per la gestione delle frodi e dei rischi è in rapida accelerazione. Secondo Gartner*, entro il 2016 il 25 percento delle grandi aziende globali avrà adottato delle soluzioni integrate in ambito Big Data e Analytics in almeno un caso correlato alla sicurezza o al rilevamento delle frodi (rispetto all’8 percento attuale) e conseguirà un positivo ritorno sull'investimento entro i primi sei mesi dall’implementazione. IDC stima che il mercato delle soluzioni per i crimini finanziari, da solo, toccherà i 4,7 miliardi di dollari nel 2014, con un CAGR del 5,5 percento rispetto al periodo di previsione 2014-2017**. 

"Con l'annuncio di oggi, IBM applica molte tecniche e procedure già utilizzate dalle 'agenzie di intelligence', per aiutare le aziende ad affrontare questo tipo di minacce che mostrano una crescita pervasiva", spiega Robert Griffin, Vice President, IBM Counter Fraud Solutions. "La nostra nuova iniziativa porta i Big Data e gli Analytics nelle mani di chi ha il compito di difendere la propria organizzazione da danni economici, al fine di tutelare il marchio e di fornire un customer service eccezionale". IBM, leader di mercato nel software, servizi e ricerca, aiuta le aziende ad affrontare l’intero spettro delle frodi e dei crimini finanziari: dal riciclaggio di denaro, ai cyber-attacchi, dalle minacce provenienti dall’interno dell’organizzazione fino all’evasione fiscale.

Le nuove offerte possono, ad esempio, rilevare le frodi relative alla multicanalità e prevenire le azioni che abilitano il cyber-crime, come il phishing. Aiutano ad esempio una compagnia di assicurazioni a riesaminare migliaia di richieste di risarcimento in tempo reale, per individuare l’attività potenzialmente fraudolenta, accelerando al contempo l'elaborazione delle richieste legittime; o ancora permettono a una banca globale di rilevare e indagare con più accuratezza le attività di riciclaggio di denaro, per garantire la compliance alla normativa. Il nuovo portafoglio antifrode di IBM si basa sugli ineguagliati investimenti effettuati dall’azienda in ricerca e sviluppo e sulle recenti acquisizioni di Cognos, i2, SPSS, Q1 Labs, Trusteer e SoftLayer.


I nuovi software e servizi comprendono:
Software per la gestione antifrode (Counter Fraud Management Software): un'unica offerta che riunisce funzionalità di Big Data e Analytics per aiutare le organizzazioni ad aggregare i dati provenienti da fonti interne ed esterne e ad applicare soluzioni e algoritmi di analitica sofisticata per prevenire, identificare e indagare su attività sospette. La componente analitica è in grado di cogliere relazioni non evidenti tra entità, mentre la tecnologia di visualizzazione consente di identificare i modelli di frode più diffusi e le funzionalità di apprendimento automatico per prevenire gli eventi futuri sulla base degli attacchi passati. 

Per potenziare queste funzionalità man mano che emergono nuove minacce, IBM ha lanciato inoltre una task force di intelligence antifrode - IBM Red Cell - che lavorerà insieme alla divisione di Ricerca IBM X-Force per eseguire ricerche sui trend, sviluppare strategie e fornire potenziamenti al team di R&S software e servizi. Offerte di servizi antifrode (Counter fraud service offerings): servizi contestualizzati per settore d’industria che riuniscono la consulenza, il software e le competenze tecnologiche di IBM per aiutare le aziende a migliorare i propri programmi antifrode, tra cui: 

• Outcome-based Accelerators: valuta le capacità di un’organizzazione di contrastare le frodi e la sua capacità di fornire una prototipizzazione rapida in grado di portare valore e proteggere ad ampio raggio le attività dell’impresa. 
• Target Operating Model: progetta modelli organizzativi, governance operativa e architettura tecnologica per rilevare al meglio le frodi e rispondere alle esposizioni. 
• Scale and Manage: favorisce l'implementazione di soluzioni antifrode interamente personalizzate per ciascun cliente.

Asset per il rilevamento delle frodi (Fraud discovery asset): un portafoglio di risorse personalizzabili, che utilizzano soluzioni analitiche in grado di scoprire frodi, sprechi, abusi ed errori grazie alla ricerca sviluppata nei settori e nei singoli dipartimenti con alta intensità di dati. In particolare queste risorse analizzano i dati interni dell’organizzazione per verificare un determinato comportamento e, successivamente, confrontano i risultati all’interno di gruppi specifici, per individuare eventuali anomalie relative a un’attività sospetta. Sulla base dei risultati, viene formulata una raccomandazione ovvero un’approfondimento di indagine. Tali asset di rilevamento delle frodi saranno disponibili anche in versione "cloud", grazie al supporto di IBM SoftLayer, con particolare attenzione alle seguenti aree:

• Frodi in ambito finanziario: rilevazione di attività sospette con particolare riguardo per le richieste di risarcimento presentate da fornitori, broker e singoli individui, grazie a Loss Analysis and Warning System (LAWS) di IBM.
• Frodi interne: rilevazione di frodi che si possono verificare in ambito contabilità fornitori, richieste di rimborso viaggi e spese o altri ambiti interni all’azienda. 
• Frodi in ambito fiscale: rilevazione di frodi, da parte degli enti preposti dalla pubblica amministrazione, relative alle attività di evasione fiscale e ad imprecisioni nelle dichiarazioni, grazie a Tax and Audit Compliance System (TACS) di IBM. 
• Frodi in ambito medico: rilevazione di frodi durante la profilazione di fornitori, beneficiari e dipendenti, grazie a Fraud Asset Management System (FAMS) di IBM. 

Antifrode in modalità "as a service" (Counter fraud as a service): IBM offrirà la soluzione in modalità "as a service" sulla base di quattro livelli di funzionalità: Hosting, Application Management, Behavior Modeling & Scoring e Analytics & Referral Generation. Tali servizi saranno disponibili per abbonamento e permetteranno alle aziende di realizzare scelte flessibili e su misura rispetto alle loro esigenze aziendali e ai loro requisiti tecnici. Il Counter Fraud Center of Competency di IBM offre alle aziende l’accesso alle sue competenze internazionali, tra cui esperti del settore antifrode e di analitica, oltre che esperti di implementazione tecnica. 

IBM ha una lunga tradizione di collaborazione in ambito "anti-frode" con centinaia di clienti; tra questi il distretto amministrativo londinese di Camden, nel Regno Unito, che utilizza la tecnologia Big Data-Analytics di IBM per snellire i processi, migliorare i servizi, ridurre le frodi fiscali e aumentare le entrate. Lavorando con IBM, Camden ha potuto creare un "indice dei residenti", che unisce informazioni provenienti da svariati servizi per creare una vista unica dei cittadini comprendente tutti i dati dei residenti e tutti i servizi a cui essi accedono. 

"Informazioni che un tempo ritenevamo impossibili da ottenere sono ora a portata di mano", spiega Hilary Simpson, Head of ICT Business Partnering del distretto londinese di Camden. "Abbiamo individuato almeno una dozzina di esempi specifici in cui possono essere una valido aiuto gli indici estrapolati grazie alla tecnologia Big Data - Analytics di IBM, tanto che - secondo le nostre stime - la soluzione potrebbe aiutarci a ridurre del 5 percento le frodi legate alle riduzioni sull’imposta locale (council tax) riservate alle persone fisiche, con potenziali risparmi sostanziali per il nostro distretto". 

Per maggiori informazioni sull’iniziativa di lotta alle frodi di IBM, visitare il sito www.ibm.com/smartercounterfraud. Seguire la conversazione su Twitter: #counterfraud Note: *Fonte: Gartner Report: Reality Check on Big Data Analytics for Cybersecurity and Fraud, Gennaio 2014  **Fonte: IDC Financial Insights, Pivot Table: Worldwide IT Spending 2013-2017 - Worldwide Risk IT Spending Guide, 1H13, Doc # FIN240400, Marzo 2013 Link: http://ibm.com/bigdataanalytics Fonte: Ketchum Immagine: Flickr


Kaspersky Lab individua e blocca exploit 0-day in Adobe Flash Player


Il sottosistema di protezione e di rilevazione euristico di Kaspersky Lab ha bloccato gli attacchi mirati ad una vulnerabilità di tipo zero-day nel software di Adobe Flash Player. I ricercatori di Kaspersky Lab hanno scoperto questa falla presa di mira da exploit distribuiti tramite un sito web del governo creato per raccogliere le denunce pubbliche riguardanti le violazioni della legge in Medio Oriente. A metà aprile gli esperti di Kaspersky Lab hanno analizzato i dati provenienti dal http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf e hanno scoperto un exploit mai visto in precedenza. Attraverso un esame più approfondito si è scoperto che l'exploit stava usando una vulnerabilità, anche questa sconosciuta, all’interno del popolare software multimediale Adobe Flash Player. 

La vulnerabilità era presente in Pixel Bender - un vecchio componente progettato per il video e l'elaborazione fotografica. Ulteriori indagini hanno accertato che gli exploit sono stati distribuiti da un sito web creato nel 2011 dal Ministero della Giustizia siriano per consentire alle persone di presentare i reclami inerenti alle violazioni della legge. I ricercatori di Kaspersky Lab credono che l'attacco sia stato progettato per individuare i dissidenti siriani che si lamentavano del governo. Gli esperti di Kaspersky Lab hanno scoperto, in totale, due tipi di exploit con qualche differenza per quanto riguarda lo shellcode.

Lo shellcode è un piccolo pezzo di codice utilizzato come payload quando si sfrutta la vulnerabilità di un software. "Il primo exploit ha mostrato un comportamento piuttosto primitivo di download e esecuzione di payload mentre il secondo ha provato ad interagire con Cisco MeetingPlace Express Add-In, uno speciale plugin di Flash per il co-working che consente una visione congiunta di documenti e immagini sul desktop del PC dell'utente. Questo plugin è del tutto regolare, ma in circostanze particolari come queste potrebbe essere usato come strumento di spionaggio", ha detto Vyacheslav Zakorzhevsky, Vulnerability Research Group Manager di Kaspersky Lab.


"Inoltre abbiamo scoperto che questo 'secondo' exploit funziona solo se sul PC è stata installata una determinata versione di Flash Player e di CMP Add-In. Questo vuol dire che i criminali avevano pensato ad un attacco rivolto ad una lista molto limitata di vittime", ha aggiunto Vyacheslav Zakorzhevsky. Subito dopo aver scoperto il primo exploit, gli specialisti di Kaspersky Lab hanno contattato i rappresentanti di Adobe per informarli della nuova vulnerabilità. Dopo aver esaminato le informazioni fornite da Kaspersky Lab Adobe ha riconosciuto che la vulnerabilità ha uno status zero-day e ha di conseguenza, sviluppato una patch resa disponibile sul sito di Adobe. 

Il numero di questa vulnerabilità è CVE-2014-0515. I browser Chrome e Internet Explorer aggiornano Flash Player automaticamente. "Nonostante siano stati individuati solo un numero limitato di tentativi volti a sfruttare questa vulnerabilità, raccomandiamo vivamente agli utenti di aggiornare la versione del software Adobe Flash Player. E' possibile che una volta che le informazioni su questa vulnerabilità vengano rese note, i criminali possano cercare o di riprodurre questi nuovi exploit o in qualche modo tentare di ottenere le varianti esistenti e utilizzarle in altri attacchi", ha detto Vyacheslav Zakorzhevsky. 

"Anche con una patch disponibile, i criminali informatici si aspettano di trarre profitto da questa vulnerabilità considerato che un aggiornamento a livello mondiale di un software cosi utilizzato come Flash Player richiederà sicuramente un periodo di tempo non breve. Purtroppo questa vulnerabilità sarà pericolosa ancora per un po'", ha concluso Zakorzhevsky. E' possibile trovare ulteriori dettagli su questa vulnerabilità in Adobe Flash qui. E' la seconda volta quest'anno che gli specialisti di Kaspersky Lab scoprono una vulnerabilità di tipo zero-day. Nel mese di febbraio, gli specialisti dell'azienda hanno scoperto CVE-2014-0497 - un'altra vulnerabilità zero-day sempre in Adobe Flash Player, che consentiva ai criminali di infettare il computer della vittima.


Il sottosistema di rilevamento euristico
Il sottosistema di rilevazione euristica è una parte del motore antivirus utilizzato in molteplici prodotti Kaspersky Lab sia per utenti privati che per utenti business, come Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Endpoint Security for Business e altri. Proprio come un antivirus tradizionale, questo sistema utilizza un database di firme per rilevare i software dannosi. Mentre però la tecnologia antivirus di solito richiede una firma per ogni singolo pezzo di malware, non importa quanto strettamente connessi, la rilevazione euristica è in grado di coprire tutto il range di programmi nocivi. 

Per farlo utilizza speciali firme euristiche che rilevano non solo i singoli pezzi di malware ma anche le intere collezioni di programmi dannosi raggruppati in base a un elenco di caratteristiche speciali. La firma euristica che copriva il comportamento del nuovo zero-day exploit in Adobe Flash è stata aggiunta al database di Kaspersky Lab già a gennaio. Inoltre, durante una prova speciale condotta dagli specialisti di Kaspersky Lab si è scoperto che gli exploit che utilizzano CVE-2014-0515 vengono rilevati con precisione per sfruttare la tecnologia Automatic Exploit Prevention di Kaspersky Lab - un altro potente strumento per rilevare tutte quelle minacce non ancora note. 

A novembre del 2013, la stessa tecnologia ha bloccato con successo gli attacchi individuando una vulnerabilità di tipo zero-day nel software di Microsoft Office. All fine del 2012, in modo proattivo, ha bloccato diversi componenti dannose che - come si è scoperto in seguito - appartenevano a Ottobre Rosso, una campagna di cyber- spionaggio su vasta scala rilevato dai ricercatori di Kaspersky Lab nel mese di gennaio 2013.  Gli aggressori di Ottobre Rosso hanno progettato il malware, chiamato anche "Rocra", con un'unica architettura modulare, composta da un codice nocivo, moduli per il furto delle informazioni e backdoor Trojan. Per ulteriori informazioni: www.kaspersky.com/it Fonte: Immediapress