Rassegna mensile: i migliori post di maggio

Durante il mese di maggio, abbiamo pubblicato un sacco di articoli sulle ultime novità nel campo della sicurezza informatica. Se avete perso qualche notizia, non vi preoccupate! Abbiamo raccolto i migliori post dell’ultimo mese e li abbiamo messi in un unico articolo per offrirvi una panoramica su tutti gli ultimi fatti e misfatti.

Durante il mese di maggio, abbiamo pubblicato un sacco di articoli sulle ultime novità nel campo della sicurezza informatica, nonché consigli e storie. Dai pericoli di Facebook alle ultime partnership di Kaspersky Lab: se avete perso qualche notizia, non vi preoccupate! Abbiamo raccolto i migliori post dell’ultimo mese e li abbiamo messi in un unico articolo per offrirvi una panoramica su tutti gli ultimi fatti e misfatti nel campo della cybersicurezza.

 

I 5 errori principali che commettiamo su Facebook

I social network sono senza dubbio uno strumento prezioso, comodo e divertente. Nonostante ciò sono piattaforme in un certo senso ancora nuove e se non le sappiamo usare possono portarci a perdere denaro, mettere a rischio la nostra reputazione o perdere delle amicizie. Quindi evitate di pubblicare la vostra biografia in formato pubblico, specialmente se contiene la data di nascita. Inoltre, quando pubblicate qualcosa, fate in modo che lo stato degli aggiornamenti sia visibile solo ai vostri amici e assicuratevi che questi amici siano “amici reali”. Quando condividete gli aggiornamenti, evitate di divulgare la localizzazione dato che questo dato potrebbe aiutare i cybercriminali. Ed infine, assicurati di usare u8na password complicata e unica per ridurre il rischio di attacchi.

 

Studio: la maggioranza delle Smart Home sono vulnerabili

Le “smart home” sono esattamente quello che dicono di essere: case intelligenti. Pensate agli “smart” phone, alle “smart” TV, alle “smart” auto. Oramai tutto è “intelligente”: sistemi di riscaldamento e raffreddamento o aria condizionata, sistemi di illuminazione, rilevatori di fumo e chiusure delle porte. Tutti questi sistemi sono connessi alla rete di casa – e naturalmente a Internet – insieme a computer, telefoni, tablet e qualsiasi altro dispositivo collegato al Web. Alcuni ricercatori hanno riscontrato vulnerabilità in molti sistemi di sicurezza intelligenti come porte elettroniche e rilevatori di fumo (e tutto quello che è collegato a Internet). I nostri colleghi di AV-Test.org hanno testato il funzionamento di sette “smart kit” per “case intelligenti” e hanno scoperto che quattro di loro sono poco sicuri. Tuttavia i dispositivi che, secondo questo studio, sono vulnerabili possono essere sfruttati durante attacchi, sia interni che – in certi casi – esterni. Questi attacchi possono essere diretti contro la rete di casa e i computer ad essa connessi, oppure possono avere come obiettivo la casa stessa e gli oggetti ivi contenuti. I laboratori di AV-Test si sono concentrati su: (1) se le comunicazioni tra dispositivi fossero criptate, o se (2) i kit richiedessero un’autenticazione attiva di default (accesso Web o fisico attraverso password) e se (3) siano vulnerabili a un attacco in remoto. In parole povere, un hacker può manipolare i sistemi con connessione e causare grandi danni, ma dato che la maggior parte degli hacker cercano principalmente soldi, gli attacchi più probabili saranno quelli che sfruttano le debolezze di questi sistemi per ottenere dati di valore immagazzinati sulla rete domestica. Tuttavia, ci sono anche buone notizie: AV-Test ritiene che se gli sviluppatori di questi prodotti iniziassero a sviluppare un solido concetto di sicurezza applicato ai loro prodotti (e non si preocuppassero solo di vendere), sarebbe possibile creare sistemi smart home sicuri. Ma le buone notizie di oggi sono due. Se state considerando l’idea di comprare uno di questi sistemi intelligenti per la vostra casa, AV-Test vi da un consiglio. Scegliete i sistemi che richiedono sempre l’autenticazione e che criptano sempre le comunicazioni.

Kaspersky Lab aiuta gli sviluppatori di Watch_Dogs

La privacy e la vigilanza invasiva sono problemi che interessano un numero sempre maggiore di persone, ben oltre la comunità informatica. La maggior parte dei cittadini non ha molte armi a disposizione per combattere la diffusione della vigilanza costante attraverso le nuove tecnologie, per lo meno nella vita reale. Tuttavia, il nuovo videogioco di Ubisoft, Watch_Dogs, dà l’opportunità ai propri giocatori di sfruttare le onniscienti tecnologie di sorveglianza per i propri scopi, attraverso le avventure di Aiden Pierce. Il gioco, sviluppato e migliorato seguendo i suggerimenti degli esperti di sicurezza di Kaspersky Lab, ha come protagonista Pierce, un hacker dal passato burrascoso. Le operazioni di hackeraggio costituiscono una parte importante della storia, per questo Ubisoft ha inviato ai ricercatori di Kaspersky Lab una copia del copione del gioco chiedendo loro di controllare la veridicità degli attacchi hacker. Il copione è arrivato quindi nelle mani di Vitaly Kamluk, uno dei ricercatori più importanti di Kaspersky Lab, che si è occupato di questo compito. “Ho solo dato un paio di suggerimenti”, ha affermato Kamluk lo scorso aprile durante un’intervista negli uffici di Ubisoft di San Francisco in occasione della preview di Watch_Dogs. “Hanno fatto davvero un ottimo lavoro. È stata aggiunta veridicità al gioco senza togliere divertimento”, aggiunge. Molto spesso la gente non vuole che la realtà si intrometta nella fantasia nel mondo dei videogiochi. Tuttavia, in Watch_Dogs si vedono momenti di hackeraggio realistici che si integrano perfettamente nello svolgimento del gioco. In definitiva, “non si vedono operazioni di hackeraggio in stile hollywoodiano. È tutto molto realistico”.

Un CryptoLocker per Android?

Una nuova variante di questo ransomware sta colpiendo i dispositivi Android. Questa minaccia si relazione in qualche modo con Cryptolocker, un ransomware in grado di criptare i file importanti del computer e poi chiedere alle sue vittime un riscattato per riaverli indietro decriptati. Nel caso di quest’ultimo ransomware, un gruppo di criminali (conosciuto come Raveton) responsabile di una grande varietà di ransomware lo sta “pubblicizzando” come un malware CryptoLocker in grado di attaccare i dispositivi mobili Android.Un noto ricercatore di sicurezza, che opera sotto lo pseudonimo di “Kaffeine”, ha fatto alcune scoperte e ha scritto un articolo sul suo blog dal titolo “Malware don’t need Coffee“. Il ricercatore ha riscontrato che quando le vittime si collegavano con i loro dispositivi a un dominio infettato dal malware, venivano redirezionati a siti pornografici che utilizzavano tecniche di ingegneria sociale per spingere gli utenti verso un’applicazione contenente un malware.Spesso questo malware lo installiamo noi stessi senza accorgecene. Per questa ragione, se facciamo attenzione, potremmo evitarlo. Ecco perché raccomandiamo sempre agli utenti di installare solo applicazioni originali provenienti dal Google Play.l modo in cui questo ransomware sia relazionato con il noto Cryptolocker non è chiaro. Pare che i criminali abbiano approffittato del successo del vecchio Cryptolocker per realizzare una scam propria. Questo è interessante perché dimostra che i cybercriminali copiano idee e cercano di massimizzare i profitti… ma questa è un’altra storia.

OpenID VulnerabilitàKeep calm e fate attenzione: OpenID e OAuth sono vulnerabili

Solo un paio di settimane dopo il preoccupante bug conosciuto come Heartbleed, un utente di Internet ha scoperto una nuova e a quanto pare diffusa vulnerabilità, anche questa non facile da  risolvere. Il problema è stato riscontrato all’interno dei popolari protocolli Internet OpenID e OAuth. Il primo protocollo viene utilizzato quando si cerca di accedere a un sito web usando le credeziali già create per i servizi di Google, Facebook o LinkedIn. Il secondo viene utilizzato quando si autorizza un sito web, una app o alcuni servizi con Facebook, Google+, ecc… senza rivelare di fatto la password e le credenziali a siti esterni. Questi due metodi vengono spesso usati insieme e, a quanto pare, potrebbero permettere ai cybercriminali di mettere mano sulle informazioni degli utenti. Su Threatpost sono disponibili maggiori informazioni tecniche sul bug e un link alla ricerca originale, in inglese.In primo luogo, affinché si verifichi il problema, un utente dovrebbe visitare un sito di phishing dannoso dotato del tipico “Accedi con Facebook”. Poi il vero Facebook, Google +  o LinkedIn lancia una popup che invita l’utente a inserire le credenziali di login e la password per autorizzare i servizi appena menzionati (e in teoria “rispettabili”) e permettere all’utente di accedere. Nell’ultima fase, l’autorizzazione a usare il profilo viene inviata a un sito diverso (di phishing), “redirezionando” le informazioni in forma impropria. Ai più cauti, suggeriamo di smettere di usare per alcuni mesi OpenID e quei pratici bottoni come “Accedi con Facebook”. Per non dover memorizzare decine o forse centinaia di credenziali diverse per ogni servizio a cui vi siete iscritti, vi consigliamo di utilizzare un password manager, un programma che vi aiuterà a gestire e memorizzare le vostre password. Tuttavia, se state pensando di continuare a usare OpenID, non andrete incontro a nessun pericolo immediato. Dovete essere solo molto attenti e evitare ogni truffa o frode di phishing che in genere inizia con qualche mail fastidiosa nel vostra casella di posta elettronica contenente qualche link a Facebook o a un altro social network. Se realizzerete il login a qualche servizio usando Facebook, i servizi di Google o un altro servizio di questi tipo, assicuratevi di aver aperto il sito digitandolo direttamente sulla barra dell’indirizzo. In questo modo eviterete di visitare strani siti e di accedere a nuovi servizi con OpenID, a meno che non siate sicuri al 100% che la pagina che avete aperto è affidabile ed è quella corretta.Infine, vi consigliamo di usare una soluzione che vi aiuti a navigare in totale sicurezza come Kaspersky Internet Security ― Multi-Device che fa in modo che il vostro browser non incorra in qualche sito pericoloso, tra cui le pagine web di phishing.

 

Consigli