Nov 292016
 

Buongiorno,
sperando di fare utile prevenzione, vi segnalo un pericolo al momento presente sulla rete.

E’ notizia di questa settimana che le piattaforme Facebook e Linkedin sono oggetto di un attacco volto alla diffusione, attraverso immagini via chat, del temuto Ransomware Locky.
Sebbene non sia stata ancora dichiarata la vulnerabilità dalle piattaforme, si sono verificati già numerosi casi nel mondo di persone che si sono viste inviare da amici o sconosciuti delle immagini, prima attraverso svg files, ora anche jpg, che una volta aperte innescano l’esecuzione del ransomware fino al completamento della cifratura dei file del malcapitato.

Si tratta di immagini compromesse e che non vengono automaticamente aperte nel browser ma per le quali si richiede l’apertura dell’immagine stessa dopo il download.

Vi invito quindi a porre attenzione in caso riceveste files di questo tipo e a verificare con il mittente l’eventuale autenticità del file.

Per chi volesse approfondire l’argomento:

Beware! Malicius JPG Images on Facebook Messenger Spreading Locky Ransomware

Locky

Feb 102016
 

Buongiorno,
globalmente stiamo assistendo ad un notevole incremento degli attacchi informatici veicolati tramite allegati a email apparentemente lecite.
Sempre più spesso arrivano messaggi di posta elettronica riportanti sedicenti scansioni di file, modulistica da compilare, archivi zip da aprire, bollette errate.

Il Servizio ICT vi invita ad eliminare immediatamente qualsiasi email il cui mittente sia sconosciuto, e a porre particolare attenzione anche quando il mittente sembra un utente legale del dipartimento: è purtroppo insita nel protocollo di posta elettronica la possibilità di impersonare il mittente e spesso questa opportunità viene sfruttata dai malintenzionati per superare la barriera psicologica naturale che ci porta a diffidare di chi non conosciamo, e a fidarci di chi invece conosciamo.

Valutate sempre se la comunicazione ricevuta ha un senso in relazione al mittente, ed in caso di dubbio NON scaricate e NON aprite allegati, il fenomeno allarmante del RansomWare (virus che si appropriano dei vostri documenti che possono essere riottenuti solo pagando un riscatto, e in realtà nemmeno pagando…) è in forte espansione e gli strumenti antivirus fanno ciò che possono, ma non esiste la garanzia al 100% che una email sia effettivamente esente da virus o trojan.

Invitiamo anche a verificare periodicamente che l’antivirus sia installato, attivo e aggiornato (al momento usiamo McAfee VirusScan, ora acquisito da Intel Security) per garantirvi la maggior protezione possibile. Rammentiamo anche che i vari servizi di cloud storage non garantiscono al 100% l’integrità dei documenti in caso di attacchi tipo “CryptoLocker”, e il rischio di perdere gran parte dei documenti resta elevato.

Siamo a disposizione per qualsiasi ulteriore chiarimento,
grazie della collaborazione.

Nov 142012
 

A partire dal 14 Novembre 2012, non è più consentito l’uso del TCP Port Forwarding sul server pianeta tramite ssh. Questa restrizione si è resa necessaria per evitare a priori la possibilità di abuso del server nel momento in cui la password di un utente viene carpita ed usata per spedire spam-mail.

Eventuali eccezioni devono essere chiaramente motivate e sottoscritte, posto che lo strumento è ormai reso obsoleto dalla presenza della VPN Dipartimentale che fornisce una valida alternativa.

ing. Rabellino

Jun 012012
 

Cari Colleghi, vi chiedo due minuti di attenzione.

Nel mondo dello spam, e della lotta allo spam, si manifestano le seguenti tendenze:
1. Aumento vertiginoso del mercato, e quindi dei volumi di spam che gli spammer immettono in rete.
2. Aumento della sofisticazione delle tecniche hacker per ottenere che macchine “pulite” inviino spam “senza saperlo”.
3. Aumento della sofisticazione delle tecniche che permettono di individuare macchine fonte di spam, e pubblicazione di blacklist di tali macchine.
4. A fronte di questi tendenze, i gestori di posta di internet provider o di siti pubblici e privati inseriti in blacklist, invece che ripulire le loro macchine ed essere rimossi dalle blacklist, rimuovono semplicemente i messaggi di avvertimento del rifiuto di messaggi a causa di blacklist (che vengono inviati dai siti che rifiutano posta da macchine in blacklist).
5. Aumento considerevole dei casi in cui i server di nostri interlocutori, anche istituzionali come università italiane e statunitensi, vengono messi in blacklist ma non avvertono del fatto i loro utenti.

Il rifiuto di posta da macchine di questo genere sta diventando causa di inconvenienti per noi, che diventano inaccettabili in situazioni in cui si deve cooperare velocemente ed efficacemente, per esempio per preparare proposte per bandi competitivi.

Di fronte all’n-esima protesta in tal senso ho quindi deciso, a partire da  venerdì 10/02/2012, di cambiare la politica antispam del nostro server.

La politica è ora la seguente: nessun rifiuto di connessione a causa di blacklist; nessun greylisting (ritardo nella consegna del “primo messaggio” che aveva causato qualche problema in passato); controllo antispam, con Spam Assassin, con quarantena e messaggio giornaliero di notifica dei messaggi in quarantena.

Con questa politica ci si può attendere un aumento del carico della macchina, un aumento dei messaggi messi in quarantena, un aumento dei messaggi di spam che che vi vengono consegnati.

È quindi importante che:
1. Attivate il controllo antispam sul client di posta (e se non ce lo ha è ora che cambiate client!)
2. Attivate l’apprendimento dell’antispam (e se non ce lo ha …): quindi non cancellate i messaggi di spam, ma li marcate come spam, e lì cancellate dopo
3. Collaborate all’apprendimento di Spam Assassin segnalando la mail come spam o come non spam sull’ apposita pagina su pianeta (https://www.di.unito.it/SpamEngine/)
4. Verificate con attenzione i messaggi di notifica delle quarantene, che saranno più lunghi di prima.

Spero che non ci siano proteste per aumento di spam, perché questa riduzione delle difese è richiesta per aumentare la vostra efficienza comunicativa.

Il direttore del dipartimento
Franco Sirovich

May 262011
 

AVVISO VIRUS:
The Pinkslipbot worm (aka Qakbot, Akbot, Qbot) is capable of spreading over network shares, downloading files, and updating its software. Additionally, it is capable of receiving back door commands from its IRC command and control center. It attempts to steal user information and upload it to FTP sites.

Many Pinkslipbot infections had been reported to be propagated by exploiting web related vulnerabilities.

Pinkslipbot is known to spread over open shares such as C$ and ADMIN$. If an open network share is found, Pinkslipbot related files are copied over to the share and executed remotely.

Further information about the worm, its propagation, mitigation, and remediation are available in KnowledgeBase article PD22960:
https://kc.mcafee.com/corporate/index?page=content&id=PD22960.

Invitiamo pertanto ad AGGIORNARE i sistemi antivirus, soprattutto delle macchine che vengono usate raramente.