Sicurezza Informatica
KDE Frameworks 5.110: supporto aggiunto per il formato immagine QOI in tutte le app KDE
Tempo di lettura: 2 minuti. Mentre il progetto KDE continua a evolversi, l’ultimo aggiornamento di KDE Frameworks porta con sé miglioramenti significativi e supporto esteso, promettendo un’esperienza utente più ricca e integrata.
Il progetto KDE ha lanciato l’aggiornamento mensile KDE Frameworks 5.110, una suite di software open-source per il desktop Plasma che comprende oltre 80 librerie aggiuntive per Qt, fornendo funzionalità comuni. Mentre gli sviluppatori KDE stanno lavorando intensamente alla massiccia serie di ambienti desktop KDE Plasma 6, prevista per il lancio nel febbraio 2024, il KDE Frameworks 5.110 sembra essere un aggiornamento minore che introduce alcune novità, tra cui il supporto per il formato immagine QOI in tutte le app KDE.
Novità introdotte con KDE Frameworks 5.110
In questa release, è stato aggiunto anche il supporto per libavif 1.0, oltre a un’opzione per disabilitare l’installazione di temi per il desktop, il supporto per il formato immagine XFC v12 e il miglioramento del provider di ricerca Ask Jeeves.
Il KDE Frameworks 5.110 introduce anche il supporto per le festività pubbliche in Benin, migliora l’affidabilità con file symlinked o hard-linked su condivisioni Samba quando vengono aperti in app KDE che utilizzano KIO, e aggiunge il supporto per le festività in Tanzania per le app KDE che utilizzano il framework KHolidays.
Tra le altre cose, questa release aggiunge un’icona “bookmarks-bookmarked” riempita al tema delle icone Breeze, introduce il supporto per il rilevamento dei filesystem NTFS3 in KFileSystemType e migliora i nomi norvegesi del Giorno Nazionale Sámi in KHolidays.
Disponibilità e aggiornamenti
Il KDE Frameworks 5.110 è attualmente in fase di distribuzione nelle principali distribuzioni GNU/Linux, quindi è consigliabile tenere d’occhio i repository software stabili per i nuovi pacchetti. Dovrebbe arrivare presto nei repository software di Arch Linux, KDE neon, openSUSE Tumbleweed, tra gli altri.
Si raccomanda agli utenti di KDE Plasma e a coloro che utilizzano le app KDE senza utilizzare il desktop Plasma di aggiornare a questa nuova release di KDE Frameworks il prima possibile. Per ulteriori dettagli sulle modifiche incluse in questo nuovo aggiornamento di KDE Frameworks, è possibile consultare il changelog completo sulla pagina dell’annuncio di rilascio.
Sicurezza Informatica
Oltre 5,5 milioni di utenti a rischio: malware trovato in App popolari per Android
Tempo di lettura: 4 minuti. Scoperto malware in oltre 90 app popolari per Android, mettendo a rischio 5,5 milioni di utenti: scopri le misure di sicurezza necessarie.
Un recente rapporto della società di cybersecurity Zscaler ha rivelato una significativa violazione della sicurezza sul Google Play Store. Oltre 90 app malevole, camuffate da strumenti e utilità legittime, sono riuscite a bypassare il processo di verifica di Google e a infiltrarsi nell’app store ufficiale. Queste app hanno accumulato collettivamente oltre 5,5 milioni di download, sollevando serie preoccupazioni sull’efficacia delle misure di sicurezza di Google e mettendo in luce le tattiche sempre più sofisticate dei cybercriminali.
Le profondità ingannevoli di TeaBot
Trojan sofisticato
Tra le minacce identificate, spicca un trojan particolarmente sofisticato chiamato Anatsa, noto anche come TeaBot, per le sue tecniche astute. TeaBot impiega una strategia di dropper, mascherando le sue intenzioni malevole dietro utilità apparentemente innocue. Le categorie popolari sfruttate da TeaBot includono:
- Lettori PDF e Scanner QR Code: Questi strumenti quotidiani appaiono affidabili e offrono un punto di ingresso conveniente per gli utenti ignari. Due di queste app, “PDF Reader and File Manager” di Tsarka Watchfaces e “QR Reader and File Manager” di risovanul, hanno ottenuto oltre 70.000 download ciascuna prima di essere rimosse.
- App di Fotografia: Queste app possono attirare utenti interessati agli strumenti di fotografia mobile, compromettendo potenzialmente i loro dispositivi.
- Tracker di Salute e Fitness: Mirando agli utenti focalizzati sulla salute e il benessere, queste app sfruttano un segmento di mercato in crescita mentre iniettano malware nel sistema.
TeaBot è riuscito a bypassare la rilevazione e a colpire un numero significativo di utenti (oltre 650 istituzioni finanziarie secondo il rapporto), utilizzando tecniche avanzate tra cui:
- Offuscamento Avanzato: Il codice di TeaBot è deliberatamente offuscato, rendendo difficile per il software di sicurezza identificare la sua natura malevola.
- Download di Codice Dinamico: Il malware può scaricare codice malevolo aggiuntivo dopo l’installazione, permettendogli di rimanere aggiornato e di sfuggire alla rilevazione.
- Sovrapposizioni di Login False: TeaBot può creare sovrapposizioni di login false che imitano app bancarie legittime. Quando gli utenti inseriscono le loro credenziali, le forniscono inconsapevolmente agli attaccanti.
Panorama oltre TeaBot: minaccia del Malware su Android
Sebbene TeaBot sia il caso più preoccupante, il rapporto di Zscaler dipinge un quadro più ampio di una minaccia complessa rappresentata dal malware sul Google Play Store. Le app malevole identificate coprono diverse categorie, tra cui:
- Strumenti Essenziali: Gestori di file, editor e traduttori – applicazioni considerate cruciali per l’uso quotidiano del telefono – sono state armate per accedere a dati sensibili e potenzialmente compromettere la funzionalità del sistema.
- App di Produttività: Queste app possono mirare a professionisti e studenti, infiltrandosi nei dispositivi utilizzati per il lavoro o lo studio.
- App di Personalizzazione: App che modificano sfondi, suonerie o temi di launcher, apparentemente innocue in superficie, possono essere utilizzate come veicoli di malware.
Preoccupazioni di Sicurezza e la divisione della responsabilità
La presenza di queste app malevole sul Google Play Store solleva serie preoccupazioni sull’efficacia del processo di revisione delle app di Google. Mentre Google ha rimosso le app identificate, l’incidente espone potenziali vulnerabilità che i cybercriminali possono sfruttare. La responsabilità di combattere le minacce del malware non dovrebbe risiedere solo negli app store. Anche gli sviluppatori di app giocano un ruolo cruciale nella sicurezza, implementando pratiche di codifica robuste, cicli di sviluppo sicuri e rimanendo vigili contro le potenziali vulnerabilità del codice.
Consapevolezza degli utenti: la prima linea di Difesa contro il Malware Android
Il rapporto di Zscaler serve come un promemoria per gli utenti Android di esercitare estrema cautela quando scaricano app, anche dal Google Play Store. Ecco alcune pratiche essenziali per proteggere il tuo dispositivo:
- Controllare le Permessi delle App: Diffida delle app che richiedono permessi eccessivi che sembrano non correlati alla loro funzionalità principale.
- Leggere Recensioni e Controllare le Valutazioni: Cerca recensioni degli utenti e valutazioni per valutare la legittimità dell’app.
- Fare Ricerche: Se non sei sicuro di un’app, prenditi del tempo per cercarla online.
- Preferire Sviluppatori Rispettabili: Prioritizza le app di sviluppatori affermati con una storia di creazione di applicazioni affidabili.
- Considerare Alternative: Esplora app alternative con un comprovato track record di sicurezza e privacy degli utenti.
Il paesaggio delle minacce in evoluzione e la necessità di collaborazione
Il rapporto di Zscaler evidenzia un punto critico: la lotta contro il malware mobile è una battaglia continua. I cybercriminali raffinano costantemente le loro tattiche, sviluppando nuovi metodi per bypassare le misure di sicurezza e sfruttare le vulnerabilità degli utenti. Ecco alcune tendenze emergenti da tenere d’occhio:
- Tecniche di Ingegneria Sociale: I sviluppatori di malware stanno sempre più incorporando tattiche di ingegneria sociale nei loro progetti di app.
- Attacchi alla Catena di Fornitura: Una crescente preoccupazione è la potenziale compromissione degli strumenti o dei framework di sviluppo delle app legittime.
- Exploits Zero-Day: I cybercriminali cercano costantemente vulnerabilità nel sistema operativo Android e nelle app popolari.
La necessità di una Difesa Multistrato contro il malware Android
Combattere queste minacce in evoluzione richiede un approccio multistrato che coinvolga la collaborazione tra vari stakeholder:
- Ruolo di Google: Google deve migliorare continuamente il suo processo di revisione delle app.
- Responsabilità degli Sviluppatori di App: Gli sviluppatori di app devono dare priorità alla sicurezza durante tutto il ciclo di sviluppo.
- Educazione e Consapevolezza degli Utenti: Educare gli utenti sui comuni tattiche di malware e le pratiche sicure di download può ridurre significativamente il rischio di infezione.
Il futuro della Sicurezza Mobile
Il crescente numero di app malevole sul Google Play Store sottolinea la necessità di una vigilanza costante e di un approccio proattivo alla sicurezza mobile.
Sicurezza Informatica
DDOS ai siti web in Olanda durante le Elezioni UE 2024
Tempo di lettura: 3 minuti. Cyber attacchi colpiscono siti politici olandesi durante le elezioni UE 2024, sottolineando l’importanza della sicurezza informatica.
Le elezioni del Parlamento Europeo del 2024 sono iniziate in Olanda il 6 giugno e si estenderanno fino al 9 giugno negli altri 26 paesi membri dell’Unione Europea e questo evento, di grande rilevanza politica, ha visto un incremento degli attacchi informatici, DDOS in particolare, rivolti ai siti web legati alle elezioni e ai partiti politici. In particolare, Cloudflare ha rilevato e mitigato numerosi attacchi DDoS (Distributed Denial of Service) diretti verso vari portali politici nei giorni precedenti e durante il primo giorno di votazioni nei Paesi Bassi.
Aumento degli attacchi DDoS
Attacchi rilevati e mitigati da Cloudflare
Il 5 e 6 giugno 2024, i sistemi di Cloudflare hanno individuato e neutralizzato automaticamente attacchi DDoS che hanno colpito almeno tre siti web legati alla politica o alle elezioni nei Paesi Bassi. Tra questi, due siti sono stati particolarmente presi di mira, subendo attacchi significativi.
Un attacco DDoS mira a sovraccaricare un server con traffico eccessivo, rendendolo inaccessibile agli utenti. Gli attacchi DDoS sono frequentemente accompagnati da altre vulnerabilità e tipi di attacchi simultanei. Il 5 giugno, le mitigazioni DDoS giornaliere nei Paesi Bassi hanno superato 1 miliardo di richieste HTTP, la maggior parte delle quali dirette verso due siti politici. Gli attacchi sono proseguiti il 6 giugno, con un picco di 115 milioni di richieste all’ora su uno dei siti web alle 14:00 UTC (16:00 ora locale), durato circa quattro ore. Un altro sito ha registrato un picco di 65 milioni di richieste all’ora nello stesso momento.
Il 6 giugno, il sito politico maggiormente colpito il giorno precedente è stato nuovamente attaccato per diverse ore, con un picco principale alle 11:00 UTC (13:00 ora locale) di 44 milioni di richieste all’ora.
Il 5 giugno, l’attacco principale su uno dei siti ha raggiunto 73.000 richieste al secondo (rps) alle 14:13 UTC (16:13 ora locale), durato alcune ore. Questo attacco, illustrato dalla linea blu nel grafico, ha mostrato un aumento graduale durante la prima metà della giornata, con una cessazione improvvisa alle 18:06. Il 6 giugno, l’attacco principale sul secondo sito ha raggiunto 52.000 rps alle 11:01 UTC (13:01 ora locale).
Motivazioni Geopolitiche
Le elezioni, i cambiamenti geopolitici e le dispute hanno un impatto significativo anche nel mondo online, spesso accompagnati da cyber attacchi. Il rapporto sulle minacce DDoS per il primo trimestre del 2024 di Cloudflare evidenzia un aumento del 466% degli attacchi DDoS alla Svezia dopo la sua adesione alla NATO, simile a quanto osservato durante l’adesione della Finlandia nel 2023.
Negli ultimi anni, i conflitti reali, le elezioni contestate e le guerre sono sempre stati accompagnati da attacchi informatici. Cloudflare ha riportato un incremento degli attacchi cyber a seguito dell’inizio della guerra tra Israele e Hamas il 7 ottobre 2023. Per proteggersi dagli attacchi DDoS, Cloudflare consiglia una serie di best practice disponibili sul suo sito.
Gli attacchi informatici che hanno colpito i siti politici olandesi durante le elezioni europee del 2024 sottolineano l’importanza della sicurezza informatica in eventi geopolitici di rilievo. Mentre la tecnologia continua a evolversi, la protezione contro queste minacce rimane una priorità per garantire la stabilità e l’integrità delle elezioni.
Sicurezza Informatica
Vulnerabilità critica in PHP: rischio esecuzione codice remoto
Tempo di lettura: 2 minuti. Vulnerabilità critica CVE-2024-4577 in PHP, come sfruttarla e le raccomandazioni per proteggere i server Windows: aggiornamenti e mitigazioni urgenti.
I ricercatori di sicurezza hanno avvertito di una vulnerabilità critica nel linguaggio di programmazione PHP, facilmente sfruttabile per eseguire codice dannoso sui dispositivi Windows. È urgente che chiunque utilizzi PHP prenda provvedimenti prima del fine settimana.
Scansioni e sfruttamento della vulnerabilità
Entro 24 ore dalla pubblicazione della vulnerabilità e della relativa patch, i ricercatori dell’organizzazione di sicurezza non profit Shadowserver hanno segnalato scansioni Internet mirate a identificare server suscettibili agli attacchi. Queste scansioni, combinate con la facilità di sfruttamento, la disponibilità di codice di attacco proof-of-concept, la gravità dell’esecuzione di codice remoto su macchine vulnerabili e la vulnerabilità predefinita della piattaforma XAMPP, hanno spinto i professionisti della sicurezza a esortare gli amministratori a verificare se i loro server PHP sono affetti.
Dettagli della Vulnerabilità CVE-2024-4577
La vulnerabilità, tracciata come CVE-2024-4577, deriva da errori nel modo in cui PHP converte i caratteri unicode in ASCII. Una funzionalità di Windows nota come Best Fit permette agli attaccanti di utilizzare una tecnica chiamata injection di argomenti per passare input forniti dall’utente nei comandi eseguiti da un’applicazione, in questo caso PHP. Gli exploit permettono agli attaccanti di bypassare CVE-2012-1823, una vulnerabilità critica di esecuzione di codice patchata in PHP nel 2012.
La vulnerabilità CVE-2024-4577 riguarda PHP solo quando funziona in una modalità nota come CGI, in cui un server web analizza le richieste HTTP e le passa a uno script PHP per l’elaborazione. Anche quando PHP non è configurato in modalità CGI, la vulnerabilità potrebbe essere ancora sfruttabile se gli eseguibili PHP, come php.exe e php-cgi.exe, sono in directory accessibili dal server web. Questa configurazione è impostata di default in XAMPP per Windows, rendendo la piattaforma vulnerabile a meno che non sia stata modificata.
Esempi di sfruttamento
Un esempio fornito dai ricercatori mostra come una richiesta apparentemente innocua come http://host/cgi.php?foo=bar
potrebbe essere convertita in php.exe cgi.php foo=bar
, un comando che verrebbe eseguito dal motore principale di PHP.
Fallimento del Best Fit e Escaping
Il problema del Best Fit si manifesta quando PHP non riesce a convertire correttamente i caratteri di input, come il trattino morbido (unicode 0xAD), in caratteri sicuri. Questo permette agli attaccanti di inserire argomenti di comando aggiuntivi nei processi PHP. I ricercatori hanno dimostrato come l’inserimento di un carattere morbido possa bypassare la protezione e consentire l’esecuzione di codice remoto.
Impatto e raccomandazioni
La vulnerabilità interessa tutte le versioni di PHP che girano su dispositivi Windows, comprese le versioni 8.3 prima della 8.3.8, 8.2 prima della 8.2.20 e 8.1 prima della 8.1.29. Anche i rami di versione 8.0, 7 e 5 sono vulnerabili, ma non essendo più supportati, gli amministratori dovranno seguire i consigli di mitigazione, poiché non sono disponibili patch.
Mitigazioni consigliate
- Aggiornamento del PHP: Chi utilizza versioni supportate di PHP dovrebbe aggiornare alle versioni che incorporano le patch: PHP 8.3.8, PHP 8.2.20 e PHP 8.1.29.
- Rewrite Rules: Per sistemi che non possono essere immediatamente aggiornati, si consiglia di applicare una regola mod_rewrite per bloccare gli attacchi:apacheCopia codice
RewriteEngine On RewriteCond %{QUERY_STRING} ^%ad [NC] RewriteRule .? - [F,L]
- Disabilitazione di PHP CGI in XAMPP: Per chi non ha bisogno della funzionalità PHP CGI, è possibile disattivarla modificando la configurazione del server Apache:apacheCopia codice
# ScriptAlias /php-cgi/ "C:/xampp/php/"
- Migrazione a Soluzioni Moderne: Considerare di migrare a soluzioni più moderne e sicure come FastCGI, PHP-FPM, o Mod-PHP.
La scoperta della vulnerabilità CVE-2024-4577 rappresenta una seria minaccia per i server PHP su Windows. È cruciale che gli amministratori di sistema prendano misure immediate per proteggere i loro server, aggiornando PHP alle ultime versioni o implementando le mitigazioni consigliate.
- Robotica1 settimana fa
Due Fotocamere e AI: sistema innovativo per la sicurezza in Auto
- Economia6 giorni fa
Anche Temu diventa VLOP e affronta regole più rigide in europa
- L'Altra Bolla6 giorni fa
L’Astroturfing Politico su LinkedIn: la denuncia di Pasquale Aiello
- L'Altra Bolla5 giorni fa
X diventa un sito per adulti e sfida OnlyFans
- Economia4 giorni fa
Microsoft accusata di violazione della privacy dei bambini: scarica la colpa sulle scuole
- Economia5 giorni fa
Primo trimestre 2024: Samsung è il più venduto in 38 Paesi
- Economia4 giorni fa
Apple: fabbriche di Chip a Taiwan a rischio per le esercitazioni Militari Cinesi
- Robotica5 giorni fa
PoCo: nuova tecnica per robot multiuso più efficaci