Notizie
Google aggiorna Android e risolve molti buchi di tipo RootKit

La buona notizia nelle patch Android di questo mese è che anche se gli aggiornamenti di Google chiudono numerosi buchi di elevazione del privilegio (EoP), non ci sono bug di esecuzione di codice remoto nella lista.
La cattiva notizia, naturalmente, è che i bug EoP che portano direttamente all’accesso root, senza alcun segno rivelatore, rendono facile per le app senza scrupoli succhiare più dati e spiare più aspetti della vostra vita online, che potreste mai aspettarvi.
Con il codice escalation-to-root exploit nascosto all’interno, anche un app altrimenti perfettamente utile ma apparentemente di base, che offre funzionalità come una torcia o una semplice bussola o una qualsiasi delle migliaia di altre “storie di copertura” dall’aspetto innocente, potrebbe finire per essere una copertura per spyware o uno strumento di registrazione dei dati.
Sfortunatamente, anche il tanto decantato Play Store di Google non può sempre mantenere gli utenti liberi da malware, con applicazioni inaffidabili che regolarmente si intrufolano attraverso i processi di controllo automatico che dovrebbero rilevare il software che supera egregiamente il limite quando si tratta di privacy, sicurezza o entrambi.
Tuttavia, se si va fuori mercato, le cose possono diventare molto più pericolose, anche perché ci sono molti negozi non ufficiali di applicazioni Android là fuori dove praticamente tutto va, compresi alcuni repository di applicazioni che deliberatamente si propongono come un luogo pratico per ottenere software che Google “non vuole che tu abbia“.
Chi lo farebbe?
Per inciso, si potrebbe pensare che nessuno cercherebbe deliberatamente applicazioni che chiaramente non sarebbero permesse su Google Play, o che sono già state respinte da Google.
Ma i criminali informatici possono anche volgere “questa app non è nel Play Store” a loro vantaggio, come SophosLabs ha riportato nel caso dei truffatori di CryptoRom.
Questi criminali solitamente conoscono le loro vittime online, spesso iniziando su siti di incontri.
I truffatori non hanno intenzione di iniziare storie d’amore fasulle, ma semplicemente di fare “amicizia” con cui presto iniziano a parlare di investimenti in criptovalute fino a convincere le loro vittime a installare un’app di investimento in criptovalute completamente fraudolenta.
Queste app sono quasi sempre fuori mercato, ma i truffatori lo ritraggono come un punto di forza, non come una debolezza, con le app presentate come “esclusive” proprio perché non sono disponibili per essere scaricate da chiunque.
I rischi del root
Di solito, le app Android sono bloccate in modo che ogni app venga eseguita come se fosse un utente completamente separato sul dispositivo, nello stesso modo in cui è possibile avere più login su un portatile con il fine di condividerlo con la vostra famiglia.
Questo limita esplicitamente i file e i servizi a cui ogni app può accedere, in modo che un’app difettosa o che si comporta male non possa accedere facilmente ai dati appartenenti ad altre app, nello stesso modo in cui non si possono leggere le home directory di altri utenti su un portatile condiviso, e in modo che le app non abbiano accesso a nessuno dei file e dei dati del sistema operativo.
Con ogni app in esecuzione nella propria sandbox di permessi di accesso, un’app compromessa non può semplicemente vagare intorno a tutti i vostri file a volontà, curiosando su qualsiasi cosa voglia, il che limita il rischio.
Inoltre, e a differenza di dispositivi Windows, Mac o Linux, Google Android si riserva l’accesso all’account di root, o admininstrator, per se stesso.
Su un computer portatile è possibile rovistare nei file di altri utenti se si hanno i privilegi di amministratore, ma su Android, non puoi farlo perché, per impostazione predefinita, semplicemente non puoi ottenere quei privilegi, anche se lo desideri.
Alcuni dispositivi Android, in particolare i telefoni Pixel di Google, consentono di sbloccare il dispositivo per installare qualsiasi sistema operativo o software che si desidera, come una versione di Android non-Google in cui gli utenti sono autorizzati a richiedere e ricevere l’accesso root, proprio come possono su un normale computer portatile. Ma è necessario l’accesso fisico al dispositivo per impostarlo in modalità “rootabile“, e ogni volta che si attiva o disattiva questa impostazione, i dati già presenti sul dispositivo vengono cancellati. Questo vi impedisce di “rootare” un telefono Google Android esistente e di recuperare i dati protetti che si trovavano lì prima, e impedisce di preparare un substrato pre-rootato su cui stratificare una versione apparentemente bloccata di Android in seguito.
Cosa è stato corretto?
Gli aggiornamenti di Google sono enumerati nel suo bollettino di sicurezza del 2022 aprile, che elenca numerose falle EoP nel quadro delle applicazioni Android (le sottostanti librerie di programmazione di sistema su cui si basano altre applicazioni), e alcune nel sistema stesso.
Questo mese, Google sta offrendo ai venditori di telefoni due diversi livelli di aggiornamento, soprannominato 2022-04-01, che apparentemente corregge i bug più pressanti, e 2022-04-05, che include correzioni per ulteriori buchi di sicurezza.
Come dichiara la società, “[il] bollettino di questo mese ha due livelli di patch di sicurezza in modo che i partner Android abbiano la flessibilità di correggere un sottoinsieme di vulnerabilità che sono simili in tutti i dispositivi Android più rapidamente“, il che sembra suggerire che Google preferirebbe avere molti o la maggior parte dei fornitori che correggono almeno alcuni bug piuttosto che avere solo alcuni fornitori che correggono tutti i bug.
Tuttavia, Google chiarisce che una patch completa è di gran lunga preferibile: “I partner Android sono incoraggiati a risolvere tutti i problemi in questo bollettino e ad utilizzare l’ultimo livello di patch di sicurezza“.
Il livello di patch 2022-04-01 corregge otto bug EoP in totale, sette nelle librerie di programmazione Android e uno nel sistema stesso.
L’azienda nota che questi bug “potrebbero portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione. L’interazione dell’utente non è necessaria per lo sfruttamento“.
Il più rigoroso livello di patch 2022-04-05 aggiunge la protezione contro altri quattro bug EoP, tra cui una vulnerabilità a livello di sistema con un avvertimento che, se senza patch, il buco “potrebbe portare a un’escalation locale dei privilegi dall’account Guest senza ulteriori privilegi di esecuzione necessari. L’interazione dell’utente non è necessaria per lo sfruttamento“.
Cosa fare?
Gli utenti dei telefoni Pixel di Google possono aggiornare subito, senza aspettare il loro turno nella coda di consegna automatica degli aggiornamenti, andando subito in Impostazioni > Sicurezza > Aggiornamento sicurezza.(Abbiamo appena aggiornato il nostro Pixel 4a; l’aggiornamento stesso è stato elencato come un misero download di 11.4MB, ma il processo di installazione ha richiesto quasi un’ora una volta che il download quasi istantaneo è stato completato, quindi non perdete la fiducia se aggiornate e ci vuole più tempo di quanto vi aspettavate!)
I proprietari di altri telefoni potrebbero non ricevere l’aggiornamento immediatamente; quando lo riceverete, il vostro livello di aggiornamento di sicurezza dopo l’aggiornamento (e il suo riavvio obbligatorio) dovrebbe apparire come 1 aprile 2022 o come 5 aprile 2022, a seconda del livello di patch selezionato dal vostro fornitore.
- E’ possibile controllare la tua versione di Android andando nella pagina Impostazioni > Versione di Android.
- Controllare che le app siano aggiornate aprendo l’app Play Store, toccando l’icona del tuo account (il piccolo cerchio) nell’angolo in alto a destra dello schermo, e accedendo alla schermata Gestisci app e dispositivo.
A proposito, nonostante le imperfezioni di Google Play, Sophos consiglia vivamente di attenersi ad esso se puoi anche se Google non riesce sempre a contenere la presenza di malware, il Play Store ha un processo di controllo che tutte le app devono passare, così come è munito di un meccanismo per mantenere le app installate aggiornate in modo affidabile che è molto meglio di un app store “alternativo” sconosciuto aperto a chiunque per presentare qualsiasi app che gli piaccia, comprese le app che sono già state rifiutate da Google stesso.
Notizie
BumbleBee rilevato dall’intelligenza artificiale di Darktrace

La società di sicurezza informatica Darktrace ha annunciato giovedì che la sua tecnologia AI è stata utilizzata da un importante rivenditore del Regno Unito per bloccare un attacco informatico da parte di “BumbleBee“, un nuovo caricatore di malware noto per essere utilizzato dai criminali informatici russi.
Da quando è stata adottata, l’intelligenza artificiale ad autoapprendimento di Darktrace ha stabilito una comprensione in evoluzione della “normalità” per le operazioni del rivenditore, che ha 20 anni, in modo da poter rilevare deboli indicatori di crimini informatici emergenti.
L’attacco di BumbleBee è avvenuto in aprile, alle prime ore del mattino.
L’intelligenza artificiale di Darktrace ha rilevato che un dispositivo interno comunicava in modo insolito con più endpoint esterni. L’intelligenza artificiale ha iniziato a indagare sull’attività in tempo reale e il team di sicurezza dell’azienda è stato avvisato dell’attività potenzialmente dannosa, consentendo di mettere offline il dispositivo compromesso prima che il malware potesse diffondersi nell’organizzazione.
“Negli ultimi mesi abbiamo assistito a una pericolosa impennata dell’attività dei payload di malware, in quanto gli aggressori cercano nuove tecniche in grado di evitare i metodi di rilevamento tradizionali”, ha dichiarato Toby Lewis, responsabile globale dell’analisi delle minacce di Darktrace.
Questi strumenti di attacco, in particolare le nuove varianti come BumbleBee, illustrano la necessità di una tecnologia all’avanguardia come l’IA, in grado di comprendere le sfumature di grigio in sistemi molto complessi”.
“I difensori non dovrebbero aspettare il rilascio di indicatori e informazioni sulle minacce prima di essere in grado di rilevare e rispondere a questi attacchi“.
Il libro dei giochi informatici della Russia
La Russia è da tempo associata alla guerra informatica, come dimostra il gruppo di ransomware Conti che in aprile ha avuto accesso a diversi sistemi critici del ministero delle Finanze del Costa Rica.
Si ritiene che BumbleBee abbia sostituito il “BazarLoader” di Conti.
I loader sono in genere il primo stadio di un attacco informatico, in quanto offrono ai criminali informatici la possibilità di distribuire codice dannoso su scala e fungono da testa di ponte nelle reti compromesse per spingere altri malware, compresi i ransomware.
L’efflorescenza dei malfattori di malware ha agito da crogiolo per una nuova industria di sceriffi tecnologici che cercano di portare legge e ordine nel “web selvaggio“.
Notizie
Guerra Cibernetica: l’Ucraina ha una rete di attacchi DDoS automatici

L’esercito non ufficiale di vigilantes informatici dell’Ucraina ha sviluppato un nuovo strumento di attacco automatizzato per aumentare l’efficacia dei suoi attacchi informatici contro i domini russi.
Il suo “bot di automazione degli attacchi” è stato costruito per aiutare un maggior numero di persone a lanciare facilmente attacchi informatici DDoS (Distributed Denial of Service) contro la Russia. Il nuovo strumento incoraggia gli individui a donare le proprie risorse cloud al bot, che è in grado di lanciare un “attacco coordinato da tutti i server disponibili“.
“Per eseguire tutti i nostri attacchi contemporaneamente consigliamo di utilizzare il nostro nuovo bot DDoS“, ha dichiarato il gruppo sul suo sito web. “Tutto ciò che serve è [inviare] le credenziali dei vostri server al nostro bot e controllare come sta andando [l’attacco] tramite il bot Telegram“.
Se lo desiderano, i sostenitori sono anche incoraggiati ad acquistare e condividere le credenziali di nuovi server che possono essere acquistati al solo scopo di rafforzare l’attacco della botnet.
Il gruppo organizzato di persone esperte di informatica che vogliono sostenere attivamente l’Ucraina da lontano è cresciuto di numero dall’inizio del conflitto. Il gruppo è riunito su Telegram e attualmente conta più di 270.000 membri.
I membri del gruppo ricevono quotidianamente istruzioni dai leader, complete di indirizzi IP, porte specifiche e domini web che devono essere presi di mira per disturbare il regime russo mentre la guerra continua.
In passato sono stati presi di mira organizzazioni di media, banche, compagnie aeree e app store.
Gli attacchi informatici russi contro l’Ucraina sono stati ampi e prolungati, iniziati settimane prima dello scoppio del conflitto.
L’alleanza di intelligence Five Eye ha confermato la scorsa settimana di ritenere con un alto grado di certezza che la Russia fosse dietro gli attacchi all’Ucraina nelle prime fasi della guerra.
I governi Five Eyes e degli Stati Uniti confermano finalmente che dietro gli attacchi informatici del governo ucraino e di Viasat c’è la Russia.
Gli attacchi DDoS raggiungono cifre record nel 2022 a seguito della guerra tra Russia e Ucraina
Gli attacchi ai siti web del governo ucraino a gennaio, che hanno comportato anche l’uso del malware distruttivo Whispergate, sono stati attribuiti al servizio di intelligence militare russo, il GRU, così come l’attacco del 24 febbraio alla società di comunicazioni Viasat.
L’attacco a Viasat è stato condotto un’ora prima che l’invasione russa dell’Ucraina diventasse ufficiale e in seguito si è scoperto che ha avuto effetti in tutta Europa, dato che anche i parchi eolici e i singoli utenti di Internet al di fuori dell’Ucraina hanno subito interruzioni.
Gli effetti collaterali dell’attacco Viasat sono stati l’esempio più viscerale degli “effetti di ricaduta” che, secondo molti esperti, avrebbero colpito l’Europa nella guerra in corso tra Russia e Ucraina nel cyberspazio.
La Russia ha una storia di attacchi devastanti all’Ucraina che risale a molti anni fa. Alcuni degli incidenti più significativi hanno riguardato l’uso del malware Petya e il ripetuto attacco alla rete elettrica del Paese, prima nel 2015, poi di nuovo nel 2016 e più recentemente nell’aprile 2022.
Notizie
Attacchi DDoS: l’italiana Teamsystem chiede aiuto agli israeliani di HUB

HUB Security ha annunciato oggi che il fornitore italiano di soluzioni software Teamsystem S.p.A. ha firmato un accordo con HUB per il lancio di D.Storm, la piattaforma di simulazione di attacchi DDoS di HUB per lo sviluppo e il test della sua strategia di remediation DDoS.
Attacco DDoS significa “Distributed Denial-of-Service (DDoS)” ed è un crimine informatico in cui l’attaccante inonda un server di traffico internet per impedire agli utenti di accedere ai servizi e ai siti online collegati.
Gli attacchi DDoS riusciti hanno un impatto monetario diretto e significativo sulle operazioni e sulle prestazioni finanziarie dell’azienda bersaglio. Gli attacchi DDoS sono diventati un metodo di attacco preferito, registrando un aumento del volume del 26% solo nel 2021.
Teamsystem è una società di software per la gestione di contabilità, paghe e tasse con 2.500 dipendenti, che serve un’ampia gamma di industrie italiane. Utilizzando D.Storm di HUB, l’azienda può ridurre significativamente la propria esposizione ai rischi informatici e adottare misure correttive per resistere a eventuali attacchi DDoS contro i propri silos di dati.
Molte importanti istituzioni finanziarie europee hanno già adottato la piattaforma D.Storm di HUB in risposta a un volume senza precedenti di attacchi DDoS, che hanno minacciato le organizzazioni di tutto il mondo con costose interruzioni delle loro attività. D.Storm automatizza una serie di simulazioni di attacchi DDoS in un ambiente controllato, consentendo alle aziende di identificare le vulnerabilità della loro infrastruttura informatica utilizzando protocolli di attacco che imitano i metodi reali utilizzati dai criminali informatici. Per saperne di più su D.Storm.
Informazioni su Teamsystem S.p.A.
TeamSystem è un’azienda tecnologica italiana leader nella fornitura di soluzioni di gestione digitale del business per aziende e professionisti (commercialisti, consulenti, avvocati, amministratori di condominio). Nel 2021 il Gruppo ha registrato un fatturato di 545 milioni di euro. TeamSystem ha una rete di oltre 550 software partner e uffici diretti, che servono oltre 1,7 milioni di clienti che operano su piattaforme digitali proprietarie e su Cloud.
TeamSystem impiega più di 2500 persone, costantemente impegnate nella ricerca, per sviluppare soluzioni avanzate e all’avanguardia secondo le più recenti norme e variazioni di legge.
-
Editoriali3 settimane fa
Guerra Cibernetica: gli “attacchi” Russi che smentiscono ancora la stampa italiana
-
DeFi3 settimane fa
Altro furto nella blockchain. 15 milioni sottratti a Deus Finance
-
DeFi3 settimane fa
L’esperimento bitcoin di El Salvador non riscuote il successo sperato
-
DeFi3 settimane fa
Prestiti flash: come gli hacker truffano la DeFi per miliardi di dollari l’anno
-
DeFi2 settimane fa
Continuano le truffe “milionarie” DeFi nell’infallibile blockchain
-
Editoriali2 settimane fa
Se vi dicessi che nei riguardi di Orsini è in essere uno stupro di gruppo?
-
Inchieste2 settimane fa
Cina attacca militari del Sud Est Asiatico con l’APT OverridePanda
-
Inchieste1 settimana fa
KillNet ed il suo battaglione Legion ostile alla NATO. Intervista esclusiva agli hacker russi che hanno colpito l’Italia