3DA_Blog_Magasine

App Microsoft Outlook - è obbligatorio creare un account outlook.it?

Angelo Domeneghini — Tue, 18 Nov 2025 10:02:00 GMT

E' obbligatorio creare un account outlook.com (.it) ?

No, non è obbligatorio creare un account Outlook.com

, ma è necessario un account Microsoft per usare alcuni servizi, come la versione più recente dell'app di Outlook per Windows o l'installazione di Microsoft 365.

Puoi creare un account Outlook.com gratuito (che è un tipo di account Microsoft) per accedere a tutti i servizi Microsoft.

Se preferisci, puoi usare Outlook senza account di posta elettronica, ma alcune funzionalità saranno limitate.

Account Microsoft

È obbligatorio per accedere a servizi come Windows, Xbox, Microsoft 365, OneDrive e la nuova app di Outlook per Windows.
Offre vantaggi come l'accesso a servizi cloud, la possibilità di salvare file su OneDrive e utilizzare Office su più dispositivi.

Se non vuoi creare un account Microsoft

Puoi creare un account locale (se non l'hai già fatto) per utilizzare il computer e la posta elettronica.
È possibile utilizzare la versione "vecchia" di Outlook senza un account, ma in questo caso non sarà possibile accedere a Internet o ad altri servizi online come la posta

Account Microsoft vs. Outlook.com: Un "account Microsoft" è un account personale utilizzato per accedere a molti servizi Microsoft (Windows, Xbox, OneDrive, Skype, ecc.). Non è necessario che il nome utente di questo account sia un indirizzo @outlook.com. Puoi creare un account Microsoft utilizzando un tuo indirizzo email esistente, ad esempio Gmail o Yahoo.

Utilizzo di Outlook come client email: L'applicazione software (client) Outlook può essere utilizzata con account email di altri provider (come Gmail, Yahoo, ecc.) tramite protocolli standard come POP o IMAP.

Si possono eliminare i windows update?

Angelo Domeneghini — Mon, 17 Nov 2025 16:48:00 GMT

Si possono eliminare i windows update?

Sì, la pulizia di Windows Update si può eliminare per liberare spazio su disco, principalmente tramite l'utility Pulizia Disco o dalle Impostazioni di Sistema.

È generalmente sicuro farlo una volta che gli aggiornamenti sono stati installati e il sistema funziona correttamente, in quanto Windows conserva i file delle versioni precedenti per la disinstallazione, che diventano inutili se non si intende disinstallare gli aggiornamenti.

Utilizzo di Pulizia Disco

Apri la funzione "Pulizia disco" cercandola nel menu Start.
Seleziona l'unità di Windows (solitamente C:) e clicca su "OK".
Clicca su "Pulizia file di sistema" per eseguire una scansione più approfondita.
Dopo la scansione, seleziona la casella "Pulizia di Windows Update" (o "Aggiornamenti non più necessari") e altre voci che vuoi eliminare, poi clicca "OK".
Potrebbe essere necessario confermare l'eliminazione dei file.

Utilizzo delle Impostazioni di Sistema

Vai su Start > Impostazioni > Sistema > Archiviazione.
Seleziona "Suggerimenti per la pulizia" o "File temporanei".
Seleziona gli elementi che vuoi rimuovere, inclusa la voce relativa agli aggiornamenti, e clicca su "Rimuovi file".

Note importanti

Permessi: Per eseguire la Pulizia disco, potresti aver bisogno dei diritti di amministratore. In tal caso, fai clic con il tasto destro sull'icona e seleziona "Esegui come amministratore".

Cache di aggiornamento: Puoi anche svuotare la cache di aggiornamento manualmente eliminando il contenuto della cartella C:\Windows\SoftwareDistribution\Download.

Avviso: Dopo l'eliminazione, il tuo computer potrebbe richiedere un riavvio.

Servizio SPID e suo rinnovo

Angelo Domeneghini — Mon, 27 Oct 2025 13:52:00 GMT

Cos’è lo SPID Personale e a cosa serve?

SPID Personale è l’Identità Digitale indispensabile che permette di accedere in modo rapido e sicuro ai servizi online della Pubblica Amministrazione.

La sicurezza della tua Identità SPID è garantita grazie a 2 livelli di autenticazione (password e OTP) con i quali puoi accedere ai portali della Pubblica Amministrazione con una totale protezione dei dati personali e della tua privacy.

Puoi richiedere SPID Personale (Tipo 1) se sei maggiorenne e hai la cittadinanza italiana oppure il permesso di soggiorno e la residenza in Italia.

SPID Personale

È l’identità digitale con cui una persona maggiorenne può accedere ai propri dati e che permette di interagire con altri soggetti pubblici o privati.

E' possibile:

. Accedere ai servizi Inps e Inail, per avere visione dello stato di una pratica o di una domanda, visionare il proprio cedolino della pensione oppure per la consultazione dell’estratto conto contributivo o previdenziale.
.Accesso ai referti clinici: tramite il Fascicolo Sanitario Elettronico potrai accedere alle tue cartelle cliniche, visualizzare e scaricare prescrizioni, referti di esami diagnostici e altri documenti relativi alla tua salute.
..Accesso ai servizi delle regioni e degli enti locali, come la presentazione di domande per i concorsi pubblici, la richiesta di certificati, l’iscrizione alle scuole e la presentazione delle domande di contributi.

Requisiti e procedura di richiesta di SPID Personale

Requisiti di rilascio SPID per persone senza cittadinanza italiana

Anche se non hai la cittadinanza italiana, i requisiti per richiedere SPID sono gli stessi.

Ti ricordiamo che puoi ottenere la carta di identità o il passaporto italiani se sei regolarmente residente in Italia.

Se sei senza fissa dimora ma possiedi il regolare permesso di soggiorno puoi dichiarare agli uffici del comune un domicilio temporaneo dove ricevere la carta di identità.

Quali sono i requisiti per ottenere un’identità digitale SPID?

Avere un documento di identità italiano valido, come il passaporto o la carta d’identità (va bene anche se non valida per l’espatrio)
Avere una tessera sanitaria o tesserino del codice fiscale in corso di validità. In alternativa, è possibile fornire Certificato di Attribuzione del codice fiscale (emesso da non più di 1 anno) oppure, per i residenti all’estero, l’attestazione Consolare rilasciata dal portale Fast It
Avere un indirizzo email valido, che verrà utilizzato per la conferma dell’identità e ricevere tutte le informazioni necessare all’attivazione
Avere un telefono cellulare con una SIM italiana abilitata alla ricezione di SMS, che verrà utilizzato per la conferma dell’identità
Per richiedere SPID Personale è necessario essere maggiorenne
Connessione a Internet

*3DA rilascia SPID Namirial e Rinnova SPID Namirial*

https://www.facebook.com/share/r/1EJ4NN4o4d/

https://www.instagram.com/reel/DQT2KnajLHj/?utm_source=ig_web_copy_link&igsh=MzRlODBiNWFlZA==

Come disattivare il microfono di Instagram, Facebook e WhatsApp per difendere la privacy

Angelo Domeneghini — Wed, 22 Oct 2025 14:47:00 GMT

Come disattivare il microfono di Instagram, Facebook e WhatsApp per difendere la privacy

I social ascoltano le nostre conversazioni?

La maggior parte delle app sono attente alla privacy, ma cambiando alcune impostazioni si può aumentare la sicurezza

Anche se app come WhatsApp, Instagram e Facebook non ascoltano attivamente le conversazioni, è possibile aumentare la privacy disattivando l’accesso al microfono dalle impostazioni del telefono e gestendo le autorizzazioni direttamente nelle app.

Per una protezione ulteriore, si consiglia di disattivare il riconoscimento vocale di Siri o Google Assistant e di valutare attentamente quali dati personali condividere e conservare sui social.

Gli utenti hanno acquisito, negli ultimi anni, una consapevolezza e una sensibilità maggiore nei confronti della tutela della privacy.

Se da una parte le aziende cercano di offrire soluzioni digitali sempre più sicure e trasparenti, le persone stanno imparando a mettere al sicuro i propri dati e le proprie conversazioni autonomamente, cercando di non esporre informazioni sensibili o fornire troppi dettagli sui propri interessi e le proprie abitudini.

In questo contesto, molti vogliono evitare intrusioni indesiderate, chiedendosi se le app installate sui propri smartphone, in particolare i social network, ascoltino le loro conversazioni.

È bene sottolineare che nessuna delle app più diffuse, tra cui Instagram, Facebook, WhatsApp, ascolta volontariamente le conversazioni effettuate dagli utenti e non raccolgono dati se non quelli che l’utente stesso decide di fornire.

Se, però, si vuole evitare qualsiasi tipo di rischio, si può impedire l’accesso al microfono delle varie applicazioni ed evitare di conservare informazioni personali su di esse.

Come tutelare la propria privacy su WhatsApp, Instagram e Facebook

WhatsApp è l’app di messaggistica istantanea più diffusa e più utilizzata. Imparare a gestire la propria privacy è importante.

L’App riserva un’intera sezione delle Impostazioni di WhatsApp alla gestione della privacy, permettendo di regolare le visualizzazioni degli accessi online, dell’immagine di profilo, dei collegamenti ipertestuali, delle informazioni e delle posizioni.

Un buon modo per evitare che il microfono entri in funzione quando non lo si desidera è evitare che l’app possa avervi accesso. È bene essere consapevoli, però, che questo potrebbe limitare le funzioni di WhatsApp.

Ad esempio, l’accesso al microfono è necessario per poter inviare i messaggi vocali.

In ogni caso, per disattivarlo, occorre accedere alle Impostazioni del telefono e modificare le autorizzazioni, rimuovendo quelle fornite a WhatsApp.

Lo stesso si può fare con Instagram e Facebook.

Anche questo social network permette di avere degli scambi vocali attraverso le chat, quindi potrebbe essere una buona idea ritirare le autorizzazioni per l’accesso al microfono.

Meta permette una gestione personalizzata della privacy delle sue applicazioni; pertanto, si può intervenire su ogni aspetto e rendere la propria esperienza su ogni soluzione dell’azienda adatta alle proprie esigenze.

Altri consigli utili per evitare che le app ascoltino ciò che dici

Oltre a rimuovere le autorizzazioni per l’accesso al microfono alle app social e ad utilizzare le impostazioni specifiche dei social network, ci sono altri modi per tutelare la propria privacy.

È possibile, ad esempio, disattivare il riconoscimento vocaledi Siri, se si utilizza un dispositivo iOS, o Google, se si utilizza Android.

Prima di procedere al ritiro delle autorizzazioni o del riconoscimento vocale è bene riflettere sull’utilizzo che si fa del proprio smartphone e dei social network, per evitare di rinunciare a funzioni utili o, comunque, gradite.

Firefox si aggiorna con una nuova funzionalità

Angelo Domeneghini — Mon, 13 Oct 2025 15:43:00 GMT

Firefox si aggiorna alla concorrenza con una nuova funzionalità

Il browser di Mozilla offrirà un gestore dei profili per separare meglio la navigazione privata da quella professionale.

Firefox consentirà finalmente la creazione e la gestione di profili utente separati.

Meglio tardi che mai, potrebbe dire qualcuno.

A lungo richiesta dagli utenti di Firefox e già adottata da anni dai browser concorrenti, la gestione dei profili farà finalmente il suo arrivo ufficiale sul popolare browser della Mozilla Foundation.

Questa nuova funzionalità, utile per condividere lo stesso browser tra più persone o per separare la navigazione privata da quella professionale, sarà implementata il 14 ottobre, ha annunciato l'editore.

"Mantenendo separati i diversi ruoli online, si spreca meno energia mentale a destreggiarsi tra i contesti ed si evitano spiacevoli sorprese (come i propri programmi per il fine settimana che compaiono in una presentazione di lavoro)", spiega Mozilla.

L'organizzazione presenta lo strumento come progettato pensando alla privacy. Spiega che ogni profilo memorizza i propri dati di navigazione, senza alcuna confusione o rischio di perdite.

Non su dispositivi mobili

In realtà, questa opzione era già disponibile da diversi mesi con l'aggiornamento alla versione 138 di Firefox, ma era nascosta. Era necessario attivare un'impostazione tramite un comando (about:profiles) nella barra degli indirizzi.

A partire dalla data indicata, la gestione dei profili diventerà accessibile a tutti, direttamente dall'interfaccia del browser. Da notare che sarà disponibile solo sulla versione desktop (Windows, macOS, Linux) di Firefox e non su dispositivi mobili (iOS e Android).

Con una quota di mercato inferiore al 3%, Firefox rimane molto indietro rispetto ai suoi principali concorrenti. Google Chrome, che integra Gemini AI, domina con un ampio margine, con circa il 70%, seguito da Safari (circa il 14%) e Microsoft Edge (oltre il 5%).

https://www.20min.ch/fr/story/web-firefox-rattrape-son-retard-sur-la-concurrence-avec-une-nouveaute-103430489

Come "rinominare" un account su Google Authenticator

Angelo Domeneghini — Mon, 01 Sep 2025 14:21:00 GMT

Google Authenticator è un servizio di generazione token realizzato da Google

e distribuito come applicazione mobile per Android, iOS e BlackBerry OS. Implementa gli algoritmi HOTP e TOTP

Per "rinominare" un account su Google Authenticator, scorri verso destra sul codice dell'account e

tocca l'opzione di modifica per aggiornare il nome o l'account Google associato.

In alternativa, se ti riferisci a trasferire l'app su un nuovo telefono, esporta gli account dal vecchio dispositivo tramite "Trasferisci account", poi importa gli account sul nuovo dispositivo scansionando il codice QR generato.

-in breve-

Modificare un account esistente:

Apri l'app Google Authenticator sul tuo dispositivo.
Individua l'account che desideri rinominare.
Scorri verso destra su quel codice per far apparire le opzioni di modifica.
Tocca l'opzione per modificare il nome utente o l'account Google associato.

Trasferire un account su un nuovo telefono:

Sul vecchio telefono: Apri l'app Authenticator, tocca il menu (di solito l'icona hamburger in alto a sinistra) e seleziona "Trasferisci account".
Scegli "Esporta account" e seleziona gli account che vuoi trasferire.
Apparirà un codice QR.
Sul nuovo telefono: Apri l'app Authenticator e seleziona "Inizia impostazione" o "Trasferisci account" > "Importa account".
Utilizza il nuovo telefono per scannerizzare il codice QR generato dal dispositivo originale.

Gli aggiornamenti del sistema operativo comportano un rischio di guasto dell'SSD?

Angelo Domeneghini — Thu, 28 Aug 2025 16:28:00 GMT

Gli aggiornamenti del sistema operativo comportano un rischio di guasto dell'SSD?

possibile ...

I backup regolari su un NAS ASUSTOR garantiscono la sicurezza dei dati

Recentemente, le segnalazioni di problemi conseguenti agli aggiornamenti del sistema operativo sono diventate sempre più diffuse.

Diversi utenti hanno riscontrato la scomparsa delle unità dopo aver eseguito operazioni di scrittura di grandi dimensioni (in particolare scritture continue di quasi 50 GB o quando l'unità è piena oltre il 60%).

Anche dopo il riavvio, l'unità riappare, ma il problema si ripresenta quando si trasferiscono nuovamente file di grandi dimensioni.

Questo bug non solo può causare il danneggiamento dei dati, ma è particolarmente dannoso per gli SSD, poiché i ripetuti tentativi di trasferimento dei file ne accelerano l'usura e la durata in scrittura.

ASUSTOR ricorda nuovamente a tutti di adottare l'abitudine di eseguire backup regolari.

Pixel 10: smartphone pieghevole e intelligenza artificiale a profusione: Google sfida i rivali

Angelo Domeneghini — Mon, 25 Aug 2025 14:41:00 GMT

Pixel 10: smartphone pieghevole e intelligenza artificiale a profusione: Google sfida i rivali

Mercoledì Google ha presentato la gamma Pixel 10, che integra Gemini AI per un'esperienza utente migliorata.

Il Google Pixel 10 Pro Fold presenta uno schermo interno da 8 pollici e uno schermo esterno da 6,4 pollici

Mercoledì a New York Google ha presentato le sue ultime creazioni in fatto di telefoni, orologi e cuffie, concentrandosi sull'integrazione della massima intelligenza artificiale (IA), mentre il gigante americano degli smartphone,

Apple, rimane molto indietro in questo campo.

Ha anche raccolto la sfida del telefono pieghevole, con schermo flessibile, lanciato per la prima volta al mondo sette anni fa da un'azienda cinese, oggi scomparsa.

Il 9 luglio, il gruppo sudcoreano Samsung ha presentato la nuova generazione del suo modello, lo Z Fold7, con l'obiettivo di espandere questo segmento ancora molto limitato.

Ma Google ha sottolineato in particolare la crescente integrazione di Gemini, il suo assistente AI.

L'intelligenza artificiale "dovrebbe semplificarci un po' la vita", ha commentato Rick Osterloh, vicepresidente dei prodotti di Google, durante la presentazione condotta nientemeno che dal conduttore televisivo e celebrità Jimmy Fallon. Il passo successivo è "l'intelligenza personale con un telefono ancora più personale e proattivo", ha aggiunto, annunciando che Google stava lavorando anche su occhiali dotati di Gemini.

Con la nuova gamma di smartphone Pixel 10, "quando gli si dà accesso alla fotocamera, Gemini non solo vede ciò che si vede, ma aiuta anche con suggerimenti ed evidenziando elementi direttamente sullo schermo", ha sottolineato Tyler Kugler, direttore dei prodotti di Google, durante una conferenza stampa prima della presentazione di New York.

Google ha presentato sette nuovi prodotti.

Pixel 10 sarà disponibile a partire dal 28 agosto.

Ad esempio, durante un viaggio all'estero, ha raccontato di essersi sentito confuso nel parcheggiare, di fronte a cartelli sconosciuti e scritti in una lingua straniera.

Temendo una multa, "ho aperto Gemini Live usando la telecamera, mostrando ciò che vedevamo, i cartelli stradali, la segnaletica orizzontale, e ho chiesto cosa fare", ha spiegato Kugler.

Secondo lui, l'assistente "ha capito le normative locali" sulla base di queste osservazioni e "ci ha detto che potevamo parcheggiare gratuitamente per due ore. Super facile".

Secondo Google, Gemini è anche in grado di rilevare lo stato d'animo della persona che glielo chiede (felice, ansioso, ecc.) "per adattare la sua risposta di conseguenza". Inoltre, la fotocamera del nuovo telefono è dotata di un "coach" che fornisce consigli sull'inquadratura e di una funzione "Inspire" che suggerisce quali foto scattare.

Un'altra dimostrazione che ha impressionato il pubblico riunito presso gli Steiner Studios di Brooklyn è stata il "traduttore vocale", che ha tradotto istantaneamente una conversazione telefonica, preservando la voce e l'intonazione di entrambi gli interlocutori: Jimmy Fallon che parlava in inglese e un blogger messicano che parlava in spagnolo.

Mercoledì Google ha presentato sette nuovi prodotti in totale. In particolare, un sistema di ricarica, PixelSnap, che può essere collegato agli accessori MagSafe del suo principale concorrente, Apple.

https://www.20min.ch/fr/story/pixel-10-smartphone-pliant-et-ia-a-gogo-google-defie-ses-rivaux-103401309

Protezione dei minori: un'app per verificare l'età degli utenti testata in 5 paesi

Angelo Domeneghini — Wed, 20 Aug 2025 08:52:00 GMT

Protezione dei minori: un'app per verificare l'età degli utenti testata in 5 paesi

Francia, Danimarca, Grecia, Italia e Spagna sono i primi paesi a testare questa app progettata per proteggere i giovani dai contenuti pericolosi.

L'obiettivo di questa app è verificare l'età degli utenti online e impedire ai bambini di accedere a contenuti pericolosi.

Cinque paesi europei, tra cui la Francia, testeranno un'app che verifica l'età degli utenti online e impedisce ai bambini di accedere a contenuti pericolosi, ha annunciato lunedì la Commissione europea.

"Questa funzionalità consentirà agli utenti di dimostrare facilmente di avere più di 18 anni, il che proteggerà i bambini da contenuti inappropriati", ha spiegato Henna Virkkunen,

Commissaria europea per gli Affari tecnologici. Concretamente, si tratta di un prototipo europeo che ogni Stato membro potrà adattare secondo le proprie regole: ad esempio, a seconda che sia in vigore un divieto di accesso a Internet per i minori di 12, 13 o 15 anni, ecc.

I primi cinque paesi a compiere questo passo sono Francia, Danimarca,

Grecia, Italia e Spagna.

L'Unione Europea in prima linea

Questa proposta è stata particolarmente sostenuta dalla Francia, con la Ministra per gli Affari Digitali, Clara Chappaz, che ha sostenuto la verifica dell'età "a livello europeo" per l'accesso ai social media.

"Grazie a queste linee guida, vietare l'accesso ai social media ai minori di 15 anni diventa possibile. Si tratta di un passo decisivo e atteso da tempo per proteggere i nostri figli", ha dichiarato la signora Chappaz in un comunicato stampa.

"Questa è una vittoria per la protezione dei nostri figli [...] la Francia ci sarà!", ha aggiunto Emmanuel Macron alla rete X.

All'inizio di giugno, il presidente francese si è impegnato a procedere verso un divieto di questo tipo se, "entro pochi mesi", non fosse stato implementato a livello europeo. L'Unione Europea dispone di uno degli arsenali legislativi più severi al mondo per regolamentare i giganti digitali. Tuttavia, tra i 27 Stati membri si stanno moltiplicando le richieste di andare oltre, poiché gli studi dimostrano gli effetti negativi dei social media sulla salute mentale e fisica dei giovani.

Lunedì, la Commissione Europea ha anche pubblicato delle raccomandazioni per i social media destinati ai giovani, ad esempio per facilitare il blocco degli utenti da parte dei minorenni. Queste misure includono anche la rimozione di funzionalità potenzialmente assuefacenti come i "segni di spunta", che indicano che un messaggio è stato letto e possono portare a un'attesa frenetica di risposta. Protezione insufficiente dei minori

Da parte sua, Arcom, l'autorità francese per la protezione dei dati digitali, ha accolto con favore le misure che riecheggiano le sue raccomandazioni "su molti punti" e ha elogiato "l'affermazione inequivocabile dell'obbligo per le piattaforme per adulti (compresi i siti pornografici) di verificare efficacemente l'età dei propri utenti" in tutta l'UE.

Bruxelles sta attualmente conducendo indagini sulle piattaforme di social media Facebook e Instagram, di proprietà del gruppo americano Meta, nonché su TikTok, ai sensi del suo nuovo Regolamento sui Servizi Digitali (DSA).

Queste piattaforme sono criticate per non aver protetto adeguatamente i bambini dai contenuti dannosi.

Alla fine di maggio, la Commissione ha anche avviato un'indagine su quattro siti pornografici (Pornhub, Stripchat, XNXX e XVideos) sospettati di non aver impedito ai bambini di accedere a contenuti per adulti.

https://www.lematin.ch/story/protection-des-enfants-une-appli-pour-verifier-l-age-des-utilisateurs-testee-dans-5-pays-103382368

ASUSTOR Significa Libertà! ASUSTOR Significa 480 TB in un Singolo Volume!

Angelo Domeneghini — Fri, 25 Jul 2025 10:05:00 GMT

ASUSTOR significa libertà! ASUSTOR significa 480 TB in un singolo volume!
Ironwolf Pro da 30 TB ora ufficialmente supportato

Taipei, Taiwan, 17 luglio 2025 –

ASUSTOR Inc. ha annunciato oggi il supporto per il nuovo hard disk aziendale ad alta capacità IronWolf® Pro da 30 TB di Seagate, noto anche come ST30000NT011.

Queste unità adottano la tecnologia Mozaic 3+, aumentando significativamente la densità di archiviazione su una singola unità. Offre alle aziende una soluzione salvaspazio, ad alte prestazioni e altamente durevole per ambienti di archiviazione ad alta intensità di dati.

La serie Lockerstor Gen3 di ASUSTOR basata su Ryzen combina il pieno supporto per unità ad alta capacità con connettività ad alta velocità per soddisfare e/o superare le esigenze di stabilità, compatibilità e prestazioni. Con un massimo di sedici alloggiamenti per unità Serial ATA, le nostre unità NAS a sedici alloggiamenti supportano fino a 480 TB in un singolo volume. ASUSTOR offre la libertà di utilizzare qualsiasi unità o marca compatibile, poiché i dispositivi NAS ASUSTOR non sono bloccati, consentendo di sfruttare appieno il potenziale del vostro NAS ASUSTOR.

Questo offre un'opzione di archiviazione più efficiente ed economica per ambienti ad alta capacità rispetto ai prodotti NAS bloccati.

La serie ASUSTOR Lockerstor Gen3 eccelle in scalabilità, durata ed efficienza operativa.

Nell'ambito dell'impegno di ASUSTOR per offrire libertà ai clienti, i dispositivi NAS ASUSTOR supportano un'ampia gamma di opzioni per dischi rigidi e SSD. Utilizzate gli SSD in un Lockerstor Gen3 per migliorare le prestazioni sia in scenari di accesso casuale che sequenziale, utilizzando gli alloggiamenti SATA per ottenere potenzialmente centinaia di terabyte. Grazie alla connettività 10GbE e USB4, la serie Lockerstor Gen3 gestisce facilmente applicazioni ad alta larghezza di banda e ad alta densità, come la post-produzione video e i file server aziendali. Con l'evoluzione dell'infrastruttura IT aziendale verso un'implementazione decentralizzata, il design hardware flessibile e la piattaforma aperta di un NAS ASUSTOR, che supporta la libertà di utilizzare dischi rigidi e SSD di terze parti, sono diventati la scelta preferita per l'archiviazione edge.

Con l'aumento della densità di archiviazione e l'aumento dei volumi di dati, le aziende stanno ponendo maggiore enfasi su scalabilità, prestazioni e riduzione dei costi di manutenzione a lungo termine nella scelta dell'infrastruttura IT.

Le soluzioni NAS di ASUSTOR continuano a evolversi in risposta a queste esigenze.

Supportando unità ad alta capacità di nuova generazione come il disco rigido IronWolf® Pro da 30 TB per NAS, ASUSTOR è in grado di offrire ad aziende e creatori di contenuti la possibilità di aggiornare il proprio storage al massimo livello possibile senza essere vincolati da restrizioni arbitrarie dei produttori di NAS, garantendo stabilità e longevità a lungo termine.

Questo offre agli utenti aziendali una piattaforma di archiviazione a lungo termine più flessibile e scalabile che un prodotto NAS con un sistema di storage vincolato non potrebbe mai offrire.

https://www.asustor.com/news/news_detail?id=34762

Lasciare riposare il NAS significa maggiore efficienza

Angelo Domeneghini — Mon, 23 Sep 2024 09:25:00 GMT

Lasciare riposare il NAS significa maggiore efficienza

I dispositivi NAS ASUSTOR non sono solo potenti, ma impiegano anche un design a risparmio energetico.

Con bassi consumi e funzioni intelligenti di risparmio energetico, consente una facile gestione sia del NAS che dei dischi rigidi.

ASUSTOR è il primo NAS al mondo a supportare la modalità di sospensione S3.

Quando non è in uso, il NAS può entrare in modalità di sospensione, risparmiando energia e prolungando la durata del dispositivo: una situazione vantaggiosa per tutti.

Il primo passaggio è andare su Preferenze > Hardware > Gestione alimentazione per impostare la modalità di sospensione.

Puoi scegliere di far sì che il NAS vada automaticamente in sospensione dopo 30 minuti, 60 minuti, 90 minuti o 120 minuti o specificare le ore di sospensione, ad esempio dalle 23:00 alle 8:00.

Dopo la configurazione, puoi attivare la modalità di sospensione tramite il desktop ADM, ASUSTOR Control Center, ASUSTOR Portal o sull'app mobile AiMaster.

Per riattivare un NAS in modalità di sospensione, puoi utilizzare Wake on LAN e Wake on WAN. Wake on LAN consente agli utenti di riattivare un NAS inattivo o spento all'interno della stessa rete, mentre Wake On WAN consente agli utenti di riattivare da remoto il NAS tramite Internet.

Utilizzando app mobili ASUSTOR come AiMaster, AiFoto 3, AiMusic o ASUSTOR EZ Connect, è possibile riattivare rapidamente il NAS tramite WOL o WOW, consentendo un rapido accesso ai dati.

Questo approccio aiuta a evitare elevati costi energetici dovuti al mantenimento del NAS acceso per periodi prolungati e riduce il rischio di hacking, offrendo un accesso più flessibile e un'esperienza sicura.

TP-Link KIT EasyMesh WiFi AX1500 per connessioni senza interruzioni

Angelo Domeneghini — Tue, 10 Sep 2024 16:30:00 GMT

TP-Link KIT EasyMesh WiFi AX1500 per connessioni senza interruzioni

KIT EasyMesh WiFi AX1500 per connessioni senza interruzioni

HX141 è un prodotto versatile, utilizzabile sia come Router che come Extender Mesh per realizzare una rete scalabile su misura per ogni ambiente, ideale per eliminare le zone d’ombra Wi-Fi e garantire una copertura stabile ed ininterrotta.

Lo standard WiFi AX1000 consente di raggiungere velocità fino 1201Mbps su 5 GHz e 300Mbps su banda 2.4 GHz. Inoltre, ogni unità HX141 offre 1 porta Gigabit WAN/LAN e 2 porte Gigabit LAN per connettere dispositivi cablati.

La rete EasyMesh può essere gestita configurata in modo semplice tramite Aginet Config e controllata da remoto tramite protocollo TR-369 con ACS, permettendo agli ISP di ridurre tempi e costi operativi.

https://service-provider.tp-link.com/it/home-wifi-system/hx141/

NAS AsusTor: Utilizza in modo efficace gli alloggiamenti inutilizzati delle unità con Drive Utilities

Angelo Domeneghini — Mon, 09 Sep 2024 10:33:00 GMT

Utilizza in modo efficace gli alloggiamenti inutilizzati delle unità con Drive Utilities

Non sprecare gli alloggiamenti inutilizzati delle unità disco rigido. Installa Drive Utilities sul tuo NAS ASUSTOR ora per gestire i dati sugli hard disk di riserva con queste due funzionalità principali:

1. Clonazione completa dei dati

o Se hai due o più alloggiamenti inutilizzati delle unità sul tuo NAS ASUSTOR o unità di espansione, puoi copiare completamente tutti i dati da un hard disk o SSD a un altro hard disk o SSD dello stesso modello e capacità o più grande, assicurando la conservazione o il backup completo dei dati.

o Assicurati che ci siano almeno due alloggiamenti inutilizzati sul NAS.

o Inserisci un hard disk o SSD di origine in uno degli alloggiamenti inutilizzati.

o Inserisci gli hard disk o gli SSD di destinazione in un altro alloggiamento inutilizzato. È possibile inserire più hard disk o SSD come destinazioni, assicurando che le capacità dell'unità di destinazione siano maggiori o uguali alla capacità dell'unità di origine.

2. Eliminazione sicura dei dati dell'unità

o Quando un disco rigido o un SSD non sono più necessari, è possibile utilizzare un alloggiamento inattivo su un NAS ASUSTOR o un dispositivo di espansione per rimuovere in modo sicuro i dati tramite Drive Utilities, contribuendo a prevenire il recupero non autorizzato o la perdita di dati del disco rigido.

o Assicurarsi che ci sia almeno 1 alloggiamento inattivo sul NAS.

o Inserire il disco rigido o l'SSD da rimuovere in modo sicuro in un alloggiamento inattivo.

https://www.asustor.com/online/College_topic?topic=154&lan=&utm_source=BenchmarkEmail&utm_campaign=Newsletter_229_EN&utm_medium=email

TP-Link Soluzioni GPON per reti di accesso in fibra ottica

Angelo Domeneghini — Tue, 27 Aug 2024 06:57:00 GMT

TP-Link

Soluzioni GPON per reti di accesso in fibra ottica

TP-Link propone un'ampia gamma di soluzioni GPON per reti di accesso in fibra ottica, che garantiscono la massima flessibilità di installazione e gestione. Infatti, grazie ai sistemi di management della rete, l'operatore potrà avere pieno controllo di tutti i dispositivi che compongono il network.

Oltre ad essersi diffusa rapidamente nel mondo ISP, questa tecnologia sta avendo un grande impatto anche nel mondo SMB grazie all'ottimizzazione dei costi per un'installazione distribuita. La semplicità di espansione di questa tecnologia consente una versatilità senza precedenti.

Soluzione OLT + Mini ONT + Router WiFi

I prodotti GPON OLT da 1 a 16 porte della gamma TP-Link sono la soluzione ideale per l'installazione anche negli armadi di permutazione degli operatori. Dall'OLT la fibra viene splittata e portata all'interno degli edifici da connettere. In ogni abitazione sarà quindi collegato alla fibra un Mini-ONT, come XZ000-G7 e ad esso si collegherà un Router WiFi, come il modello Gigabit WiFi 6 VoIP EX230v oppure il modello Multi-Gigabit WiFi 6 VoIP con porte 2.5GE EX820V.

Soluzione OLT + GPON HGU

La gamma TP-Link Aginet propone una gamma di GPON HGU con porta Fibra. Una volta cablato l'edificio con la fibra FTTH (fiber-to-the-home) sarà possibile collegare direttamente all'OLT un GPON HGU come i modelli XX830v, con WiFi AX6000, o XC220-G3v con WiFI AC1200.

Inoltre, è possibile realizzare una rete EasyMesh estesa abbinando ai Router delle unità Mesh come HX510 e HC220-G5.

Soluzione OLT Modulare + Modulo SFP XGS-PON + Router WiFi

La tecnologia GPON permette di splittare la fibra per collegare numerose unità abitative. Uno scenario tipico prevede il collegamento dell'OLT tramite fibra splittata verso i diversi appartamenti di un condominio. Ogni appartamento sarà dotato di un Router WiFi, come al esempio il nuovo Router WiFi 7 EB810, in cui sarà inseritp un modulo SFP XGS-PON come XGM10A.

*Presso la 3DA sono disponibili tutte le soluzioni TP-Link*

Arrestato il boss di Telegram: Mosca accusa Parigi di “rifiutarsi di collaborare”

Angelo Domeneghini — Mon, 26 Aug 2024 12:03:00 GMT

Arrestato il boss di Telegram: Mosca accusa Parigi di “rifiutarsi di collaborare”

I diritti di Pavel Durov, di nazionalità francese e russa, devono essere tutelati e gli deve essere garantito l'accesso consolare, chiede l'ambasciata russa a Parigi.

Cinque cose da sapere su Pavel Durov, il boss di Telegram.

Domenica l'ambasciata russa a Parigi ha accusato le autorità francesi di "rifiutarsi di collaborare" con Mosca dopo l'arresto in Francia del capo della società di messaggistica criptata Telegram,

Pavel Durov, di nazionalità francese e russa.

“Abbiamo immediatamente chiesto alle autorità francesi di spiegare le ragioni di questa detenzione e abbiamo chiesto che i suoi diritti fossero tutelati e che gli fosse concesso l’accesso consolare.

La parte francese finora si rifiuta ancora di collaborare su questo tema", ha accusato l'ambasciata russa a Parigi, citata dall'agenzia di stampa Ria Novosti.

La portavoce della diplomazia russa, Maria Zakharova, ha confermato che Mosca ha chiesto l'accesso consolare al miliardario 39enne, precisando che poiché possiede anche la nazionalità francese, “la Francia ritiene che sia la sua nazionalità principale” .

In un precedente messaggio su Telegram, la Zakharova ha affermato che “l’ambasciata russa a Parigi si è immediatamente messa al lavoro, come è consuetudine” in caso di detenzione di cittadini russi all’estero.

Accusato di mancanza di moderazione e collaborazione

Gli investigatori francesi avevano emesso un mandato di perquisizione contro Pavel Durov per diversi reati contenuti nei suoi messaggi crittografati, dalla frode al traffico di droga, al cyberstalking, alla criminalità organizzata, compresa la promozione del terrorismo e della frode, secondo una fonte vicina alla questione.

La giustizia francese lo accusa di non aver agito contro l'uso criminale dei suoi messaggi da parte dei suoi abbonati, in particolare per mancanza di moderazione e di collaborazione con gli investigatori.

Ricordando che diverse ONG internazionali avevano condannato nel 2018 la decisione di un tribunale russo di bloccare Telegram, decisione mai pienamente attuata, la Zakharova ha scherzato: “Pensa che, questa volta, chiederanno il rilascio di Durov, o rimarranno in silenzio?"

Arrestato sabato sera al terminal Bourget, a nord di Parigi, il fondatore di Telegram proveniva da Baku (Azerbaigian) e avrebbe trascorso almeno la serata a Parigi dove aveva programmato di cenare, secondo una fonte vicina alle indagini.

Domenica dovrebbe essere presentato alla giustizia a Parigi.

La commissaria russa per i diritti umani, Tatiana Moskalkova, ha assicurato che il suo arresto è stato “un tentativo di chiudere Telegram, una piattaforma internet dove si può conoscere la verità sugli eventi che accadono nel mondo”.

L'ex presidente russo Dmitri Medvedev, dal canto suo, ha affermato di aver avvertito Pavel Durov, durante un incontro “molto tempo fa”, che avrebbe avuto “seri problemi in tutti i paesi” a causa della sua posizione intransigente sulla privacy degli utenti.

“Ha sbagliato i calcoli. Nonostante tutti i nostri nemici ormai comuni, è russo – e quindi imprevedibile e pericoloso”, ha scritto Medvedev su Telegram, aggiungendo: “Durov dovrebbe finalmente rendersi conto che la patria, come l’epoca, non può essere scelta…”.

https://www.20min.ch/fr/story/patron-de-telegram-arrete-moscou-accuse-paris-de-refuser-de-cooperer-103174214

Manuale Cordless Brondi GALA

Angelo Domeneghini — Mon, 26 Aug 2024 09:34:00 GMT

GALA

Il telefono che rende piacevole ogni chiamata.

Caratteristiche principali:

Grande Display Alfanumerico: Facile da leggere e navigare grazie al menu intuitivo.
ECO DECT: Gestione intelligente della potenza radio per risparmiare energia.
Compatibilità DECT GAP: Collega fino a 5 cordless per maggiore flessibilità.
Alimentatore Switching: Leggero e a basso consumo per una maggiore efficienza energetica.
Sveglia con Snooze: Non solo un telefono, ma anche una sveglia affidabile.
Autonomia: Fino a 7 ore di conversazione e 100 ore in standby.
Rubrica: Memorizza fino a 20 contatti alfanumerici.
Storico Chiamate: Visualizza le ultime 10 chiamate ricevute con nome, data e ora.
Identificativo del chiamante: Supporta FSK/DTMF per riconoscere chi chiama.
Melodie: Scegli tra 5 suonerie standard.
Suoneria Escludibile: Disattiva la suoneria quando necessario.
Volume Regolabile: Adatta il volume della suoneria e dell'ascolto alle tue esigenze.
Blocco Tastiera e Esclusione Microfono: Maggiore sicurezza e privacy durante le chiamate.
Portata: 50 metri in interno e 300 metri in esterno.

Inclusi nella confezione:

Cordless GALA

Caricabatterie con base

Batterie ricaricabili

Manuale d'uso

I modelli GALA di BRONDI sono un'eccellenza consolidata nel tempo, garantendo un’esperienza telefonica di qualità a prezzo competitivo.

Alto volume Volume suoneria e di ascolto regolabile
Auricolari con microfono inclusi No
Autonomia conversazione 7 h
Autonomia standby 100 h
Batteria 2 x AAA (300mAh Ni-MH)
Bluetooth No
Browser Android No
Connettività -
Connettore audio -
Dual Sim No
Dimensioni 159x49x27 mm
Display Grande display alfanumerico con menu intuitivo
3G No
Ricezione e gestione email No
Flip attivo -
Fotocamera No
Frequenza 1880 MHz/ 1900 MHz
GPS -
Grandi tasti No
HSDPA 7.2 Mbit/s, HSUPA 5.76 Mbit/s No
Memoria -
Memoria aggiuntiva -
Micro USB 2.0 No
Modifica immagini, smile detect, HDR, panorama, multiangolo, geotagging -
Multimedia -
Multimedia e microSD Slot No
Annuncio del numero che si sta selezionando No
Portata 50 m in interno / 300m in esterno
Radio FM No
Riconoscimento -
Riproduttore audio -
Rubrica 20 memorie alfanumeriche, Lista ultime 10 chiamate ricevute (nome, data, ora), Lista ultimi 5 numeri chiamati
Scrittura facilitata No
Sensori -
Sistema operativo -
SMS No
Social network No
Suoneria Suoneria escludibile, 5 Melodie standard
Tastiera Blocco tastiera, esclusione microfono
Tasto SOS No
Tecnologia ECO DECT: gestione intelligente della potenza radio
Tethering -
Torcia a LED No
Touchscreen capacitivo multitouch No
USB HOST/OTG storage No
Velocità -
Videocamera No
Videochiamata No
Vivavoce su portatile No
Vivavoce | Vibracall No

Sarà possibile eliminare l'App Store sui dispositivi Apple

Angelo Domeneghini — Fri, 23 Aug 2024 07:52:00 GMT

Sarà possibile eliminare l'App Store sui dispositivi Apple

Per conformarsi alle nuove regole sulla concorrenza dell’UE, Apple consentirà ora la rimozione delle applicazioni installate per impostazione predefinita sui suoi dispositivi.

Apple difende da tempo il suo ecosistema chiuso in nome della sicurezza, affermando che aprirlo lo esporrebbe al rischio di infiltrazione da parte di programmi intrappolati, compromettendo la riservatezza dei dati degli utenti.

Apple consentirà ora agli utenti dei suoi smartphone e tablet nell'Unione europea di eliminare le applicazioni del marchio installate per impostazione predefinita sui suoi dispositivi, come l'App Store o il browser Safari, per conformarsi alle nuove regole di concorrenza dell'UE.

Il produttore di iPhone ha costruito il suo successo in parte sul suo ecosistema chiuso, con strumenti ultracompatibili tra loro su diversi dispositivi.

Gli utenti difficilmente possono bypassare l'App Store per scaricare app mobili tramite altre piattaforme.

"Le app App Store, Messaggi, Fotocamera, Foto e Safari potrebbero essere rimosse per gli utenti dell'UE", ha affermato Apple in una pagina web di supporto per gli sviluppatori.

"Non è possibile eliminare solo le applicazioni Impostazioni e Telefono."

Braccio di ferro

Secondo Apple, gli utenti europei di iPhone o iPad potranno anche gestire le impostazioni predefinite per browser, messaggistica, telefonate e altre funzioni.

Dall’entrata in vigore del Regolamento sui mercati digitali (DMA), un anno fa, Apple e le autorità europee sono state impegnate in una situazione di stallo costellata di procedure e minacce.

"Le regole dell'App Store violano il DMA, impediscono agli sviluppatori di applicazioni di indirizzare i consumatori verso canali di distribuzione alternativi per offerte e contenuti", ha affermato Bruxelles in un "parere preliminare" a giugno, dopo un'indagine.

Ecosistema chiuso

Se queste conclusioni preliminari fossero confermate e se l'azienda americana non modificasse l'App Store in un modo ritenuto soddisfacente dall'UE, potrebbe rischiare una multa fino al 10% del suo fatturato globale - ovvero più di 30 miliardi di euro sulle vendite dell'anno scorso - e addirittura fino al 20% in caso di violazione ripetuta.

"Per garantire la sicurezza degli utenti online, Apple consentirà agli sviluppatori di offrire browser alternativi solo dopo aver soddisfatto criteri specifici e essersi impegnati a rispettare una serie di requisiti di privacy e sicurezza", ha affermato la società nel suo messaggio agli sviluppatori.

Più scelta per i consumatori

Molte aziende, come Epic Games (Fortnite) e Spotify, combattono da anni contro l'ecosistema Apple, che costringe gli editori di applicazioni a passare dall'App Store, e quindi a pagare una commissione ad Apple.

Il gruppo californiano ha promesso il mese scorso di apportare le modifiche necessarie per conformarsi alla DMA. Questo nuovo regolamento è stato introdotto per proteggere l’emergere e la crescita delle start-up in Europa e offrire una scelta più ampia ai consumatori.

https://www.20min.ch/fr/story/technologie-il-sera-possible-de-supprimer-l-app-store-sur-les-appareils-apple-193092938061

Una tecnologia carica uno smartphone in 4 minuti e 30 secondi

Angelo Domeneghini — Thu, 22 Aug 2024 13:34:00 GMT

Una tecnologia carica uno smartphone in 4 minuti e 30 secondi

Il brand cinese Realme ha svelato un sistema di ricarica ultraveloce chiamato SuperSonic Charge.

Realme ha ulteriormente migliorato le sue tecnologie di ricarica superveloce.

Il brand cinese, che aveva già presentato una soluzione da 240W in grado di ricaricare uno dei suoi smartphone in meno di 10 minuti, ha svelato questa settimana una nuova tecnologia ancora più efficiente.

Adesso, infatti, bastano solo 4 minuti e 30 secondi per passare dallo 0 al 100% di carica grazie alla nuova tecnologia recentemente annunciata dal produttore cinese.

Denominato SuperSonic Charge, eroga una potenza di 320W consentendo una ricarica completa in tempi record.

Grazie a questa tecnologia, il produttore è in grado di ricaricare una batteria dallo 0 al 26% in un solo minuto, e dallo 0 al 55% in un minuto e 55 secondi.

Per fare un confronto, il concorrente Xiaomi aveva precedentemente presentato una ricarica rapida da 300 W in grado di ricaricare una batteria da 4100 mAh dallo 0 al 100% in circa 4 minuti e 55 secondi.

Per il momento Realme non ha lanciato sul mercato nessuno smartphone compatibile con questa tecnologia.

https://www.20min.ch/fr/story/mobile-une-technologie-charge-un-smartphone-en-4-minutes-30-secondes-103169741

Il tuo NAS ASUSTOR è il tuo strumento di backup più potente

Angelo Domeneghini — Thu, 22 Aug 2024 09:22:00 GMT

Il tuo NAS ASUSTOR è il tuo strumento di backup più potente

Il 19 luglio 2024, numerosi PC hanno subito un'interruzione di massa a causa di un aggiornamento difettoso di Crowdstrike, un'azienda di sicurezza informatica.

Questo incidente ha interessato circa 8,7 milioni di dispositivi in tutto il mondo, causando cancellazioni di voli, interruzioni di trasmissione, blocchi delle operazioni bancarie e di borsa e altro ancora.

Questa crisi ha sottolineato ancora una volta l'importanza della sicurezza delle informazioni e del backup dei dati.

Che tu sia un giocatore o un utente aziendale, una soluzione di archiviazione stabile ed efficiente è essenziale per prevenire la perdita di dati dovuta a guasti del computer.

I dispositivi NAS ASUSTOR offrono una varietà di opzioni di backup, che includono backup locali, remoti e cloud.

Ciò garantisce che i tuoi file possano essere facilmente ripristinati praticamente in qualsiasi situazione.

Per gli utenti preoccupati di dimenticare di eseguire il backup dei propri dati, i dispositivi NAS ASUSTOR semplificano il compito consentendo di impostare backup programmati per mantenere al sicuro i tuoi dati insostituibili.

Che si tratti di intrattenimento domestico, giochi o gestione dei dati aziendali, i dispositivi NAS ASUSTOR forniscono una soluzione stabile ed efficiente, rendendoli il compagno ideale sia per la vita quotidiana che per il lavoro.

Non aspettare di aver perso i dati: scegli subito un NAS ASUSTOR in 3DA ed offri ai tuoi dati la protezione più completa.

https://www.asustor.com/admv2?type=2&subject=4&sub=12

L'aggiornamento di anteprima di Windows 11 aggiunge nuove opzioni per la modalità di alimentazione

Angelo Domeneghini — Tue, 20 Aug 2024 08:41:00 GMT

L'aggiornamento di anteprima di Windows 11 aggiunge nuove opzioni per la modalità di alimentazione

Windows 11 Build 27686 presenta alcuni miglioramenti degni di nota, come il supporto da 2 TB per l'archiviazione FAT32. Migliora anche Windows Sandbox e offre un maggiore controllo sulle impostazioni HDR, ma c'è una modifica non documentata: la possibilità di impostare la modalità di alimentazione per diversi stati di alimentazione.

Windows 11 ti consentirà finalmente di impostare diverse modalità di alimentazione per quando il tuo PC è collegato e quando funziona a batteria.

Modalità di alimentazione

Ora puoi scegliere la modalità di alimentazione per "collegato" e "a batteria"

In precedenza, potevi scegliere solo una modalità di alimentazione che si applicava a tutti gli stati.

Mentre Windows regolava automaticamente alcune impostazioni di alimentazione a seconda che il dispositivo fosse collegato o alimentato a batteria, l'impostazione specifica "Modalità alimentazione" (come "Prestazioni migliori", "Bilanciato" o "Migliore efficienza energetica") non aveva opzioni separate per questi due stati.

Dopo l'aggiornamento, puoi impostare la Modalità alimentazione per entrambi quando il tuo PC è collegato quando è alimentato a batteria nelle Impostazioni evidenziate sopra.

Quando è collegato, potresti desiderare le massime prestazioni perché la durata della batteria non è un problema. Ma quando funziona a batteria, potresti preferire una modalità di risparmio energetico per estendere la durata della batteria.

Con questo aggiornamento, puoi passare automaticamente da una modalità all'altra a seconda che il tuo PC sia collegato o meno.

https://www.bleepingcomputer.com/news/microsoft/windows-11-preview-update-adds-new-power-mode-options/

Microsoft rimuove il limite di dimensione della partizione FAT32 in Windows 11

Angelo Domeneghini — Tue, 20 Aug 2024 08:35:00 GMT

Microsoft rimuove il limite di dimensione della partizione FAT32 in Windows 11

Microsoft ha rimosso oggi un limite di dimensione arbitrario di 32 GB per le partizioni FAT32 nell'ultima build Canary di Windows 11, consentendo ora una dimensione massima di 2 TB.

"Quando si formattano i dischi dalla riga di comando utilizzando il comando format, abbiamo aumentato il limite di dimensione FAT32 da 32 GB a 2 TB", ha affermato oggi il team di Windows Insider.

In precedenza, nonostante questo limite artificiale di 32 GB, i sistemi Windows potevano comunque leggere file system FAT32 più grandi se creati su altri sistemi operativi o tramite metodi alternativi (ad esempio, da un prompt di Windows PowerShell con privilegi amministrativi o utilizzando app di terze parti che ignoravano questo limite di dimensione artificiale).

Microsoft ha annunciato giovedì che questa modifica verrà introdotta nella build 27686 di Windows 11 Insider Preview per Windows Insider nel canale Canary.

Una volta che raggiungerà il canale stabile e sarà ampiamente disponibile, tutti gli utenti di Windows 11 potranno usare il comando format da un prompt della riga di comando per creare partizioni fino a 2 TB senza dover installare app di terze parti o usare il prompt di PowerShell mentre si è connessi tramite un account amministratore.

Tuttavia, è importante notare che lo strumento di formattazione del disco di Windows basato su GUI avrà comunque lo stesso limite di dimensione artificiale di 32 GB per i file system FAT32.

Formattazione FAT32

Con la build Canary di oggi, Microsoft ha anche introdotto la nuova Windows Sandbox Client Preview, che si aggiorna tramite Microsoft Store e include diverse nuove funzionalità e miglioramenti, come la condivisione delle cartelle e il supporto della riga di comando.

"Come parte di questa anteprima, stiamo introducendo il reindirizzamento degli appunti in fase di esecuzione, il controllo degli input audio/video e la possibilità di condividere cartelle con l'host in fase di esecuzione. Puoi accedervi tramite la nuova icona "..." in alto a destra nell'app", ha aggiunto il team di Windows Insider.

"Inoltre, questa anteprima include una versione super anticipata del supporto della riga di comando (i comandi potrebbero cambiare nel tempo). Puoi usare il comando 'wsb.exe –help' per maggiori informazioni".

Redmond ha anche apportato ottimizzazioni per migliorare la durata della batteria per i sistemi nel Canary Channel che eseguono Build 27686+ e ha corretto un bug che causava la mancata sincronizzazione dell'icona della batteria nella schermata di blocco con il livello della batteria.

A partire da questa build Canary, i dispositivi iscritti al programma Insider eseguiranno anche test di rete in background per inviare dati diagnostici Microsoft, semplificando la valutazione dei futuri miglioramenti delle prestazioni di rete.

"Questi test utilizzeranno una piccola quantità di dati (fino a 10 MB/giorno) e funzioneranno solo su connessioni Ethernet e Wi-Fi che non sono contrassegnate come a consumo. Ciò avverrà solo su PC nel Canary Channel che eseguono Build 27686 e versioni successive", ha spiegato la società.

https://www.bleepingcomputer.com/news/microsoft/microsoft-removes-fat32-partition-size-limit-in-windows-11/

Google corregge lo zero-day del kernel Android sfruttato in attacchi mirati

Angelo Domeneghini — Wed, 07 Aug 2024 07:37:00 GMT

Google corregge lo zero-day del kernel Android sfruttato in attacchi mirati

Gli aggiornamenti di sicurezza Android di questo mese correggono 46 vulnerabilità, tra cui un'esecuzione di codice remoto (RCE) di gravità elevata sfruttata in attacchi mirati.

Lo zero-day, tracciato come CVE-2024-36971, è una debolezza use after free (UAF) nella gestione del percorso di rete del kernel Linux.

Richiede privilegi di esecuzione del sistema per uno sfruttamento riuscito e consente di modificare il comportamento di determinate connessioni di rete.

Google afferma che "ci sono indicazioni che CVE-2024-36971 potrebbe essere sotto sfruttamento limitato e mirato", con gli attori della minaccia che probabilmente sfruttano per ottenere l'esecuzione di codice arbitrario senza interazione dell'utente su dispositivi non patchati.

Clément Lecigne, un ricercatore di sicurezza del Threat Analysis Group (TAG) di Google, è stato etichettato come colui che ha scoperto e segnalato questa vulnerabilità zero-day.

Sebbene Google non abbia ancora fornito dettagli su come viene sfruttato il difetto e quale attore della minaccia si nasconde dietro gli attacchi, i ricercatori di sicurezza di Google TAG identificano e divulgano frequentemente gli zero-day utilizzati negli attacchi software di sorveglianza sponsorizzati dallo stato per colpire individui di alto profilo.

"Le patch del codice sorgente per questi problemi saranno rilasciate nel repository Android Open Source Project (AOSP) nelle prossime 48 ore", spiega l'avviso.

All'inizio di quest'anno, Google ha patchato un altro zero-day sfruttato negli attacchi: un difetto di elevazione dei privilegi (EoP) di gravità elevata nel firmware Pixel, tracciato come CVE-2024-32896 da Google e CVE-2024-29748 da GrapheneOS (che ha trovato e segnalato il difetto).

Le aziende forensi hanno sfruttato questa vulnerabilità per sbloccare i dispositivi Android senza un PIN e ottenere l'accesso ai dati archiviati.

Google ha rilasciato due set di patch per gli aggiornamenti di sicurezza di agosto, i livelli di patch di sicurezza 2024-08-01 e 2024-08-05.

Quest'ultimo include tutte le correzioni di sicurezza del primo set e patch aggiuntive per componenti closed-source e Kernel di terze parti, come una vulnerabilità critica (CVE-2024-23350) in un componente closed-source Qualcomm.

In particolare, non tutti i dispositivi Android potrebbero aver bisogno di vulnerabilità di sicurezza che si applicano al livello di patch 2024-08-05.

I fornitori di dispositivi potrebbero anche dare priorità all'implementazione del livello di patch iniziale per semplificare il processo di aggiornamento. Tuttavia, ciò non indica necessariamente un aumento del rischio di potenziale sfruttamento.

È importante notare che mentre i dispositivi Google Pixel ricevono aggiornamenti di sicurezza mensili subito dopo il rilascio, altri produttori potrebbero richiedere del tempo prima di distribuire le patch. Il ritardo è necessario per testare ulteriormente le patch di sicurezza e garantire la compatibilità con diverse configurazioni hardware.

https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-targeted-attacks/

Ubuntu Touch è il sistema operativo mobile per smartphone e Tablet rispettoso della privacy e della libertà di UBports

Angelo Domeneghini — Wed, 31 Jul 2024 16:17:00 GMT

Ubuntu Touch è il sistema operativo mobile per smartphone e Tablet rispettoso della privacy e della libertà di UBports.

Oggi siamo lieti di annunciare il rilascio di Ubuntu Touch 20.04 OTA-5, una versione di manutenzione della serie 20.04. Ubuntu Touch 20.04 OTA-5 sarà disponibile per i seguenti dispositivi Ubuntu Touch supportati nei prossimi giorni:

* Asus Zenfone Max Pro M1

* F(x)tec Pro1 X

* Fairphone 3 e 3+

* Fairphone 4

* Google Pixel 3a e 3a XL

* JingPad A1

* Oneplus 5 e 5T

* OnePlus 6 e 6T

* Sony Xperia X

* Vollaphone

* Vollaphone X

* Vollaphone 22

* Vollaphone X23

* Xiaomi Poco X3 NFC / X3

Novità?

Ubuntu Touch 20.04 OTA-5 è una versione di manutenzione della serie 20.04 con solo un numero minimo di modifiche. Detto questo, abbiamo ancora alcune modifiche interessanti:

Il sistema di profili di alimentazione è diventato più granulare; può distinguere la modalità sostenuta da quella interattiva sui dispositivi supportati.

Se sei una delle poche persone che utilizza ancora Ubuntu Touch 16.04 OTA, il problema di migrazione delle impostazioni durante l'aggiornamento da Ubuntu Touch 16.04 OTA su determinati dispositivi è stato finalmente risolto.

Il sistema ora avviserà gli utenti se la sincronizzazione del calendario fallisce a causa di un problema di autenticazione. Ciò consente agli utenti di fornire una nuova password, se necessario.

Correzioni di bug generali e aggiornamenti di sicurezza.

L'elenco completo delle modifiche è incluso alla fine di questo post.

Problemi noti:

Per gli utenti dell'app Waydroid Helper, l'icona per la voce dell'app "Waydroid Stop" non funzionerà.

Ciò è dovuto a una modifica interna che richiede che Waydroid Helper segua. Segui questo problema per vedere se Waydroid Helper è stato risolto.

Su alcuni dispositivi (come Pixel 3a), il doppio tocco per riattivare è stato disabilitato a causa di un problema di stabilità. Potremmo riabilitare questa funzionalità in futuro se riusciamo a risolvere il problema di stabilità.

Come ottenere OTA-5

Utenti Ubuntu Touch esistenti

Gli utenti Ubuntu Touch esistenti sul canale Stable (selezionato di default nell'installatore UBports) riceveranno l'aggiornamento OTA-5 tramite la schermata Aggiornamenti delle Impostazioni di sistema.

Ai dispositivi verrà assegnato l'aggiornamento in modo casuale da oggi in poi.

Questa distribuzione serve per darci un po' di respiro per fermare il lancio di qualsiasi aggiornamento non valido (se dovesse mai rendersi necessario) e non per soddisfare alcuna restrizione di larghezza di banda.

Esiste anche la funzione di trasmissione degli aggiornamenti di sistema, che invierà a ogni dispositivo online un messaggio di attivazione.

Se il dispositivo riesce a trovare il suo aggiornamento, verrà scaricato per te e quando tutto sarà pronto, apparirà una notifica e potrai installarlo subito.

Questo funziona solo se hai impostato che gli aggiornamenti possano essere scaricati automaticamente.

Se tuttavia desideri ricevere l'aggiornamento immediatamente, collega il tuo dispositivo a un computer, apri un terminale, attiva l'accesso ADB e digita il seguente comando tramite adb shell:

sudo system-image-cli -v -p 0 --progress dots

Il tuo dispositivo dovrebbe quindi scaricare l'aggiornamento e installarlo.

Questo processo potrebbe richiedere del tempo, a seconda della velocità di download.

Nuovi utenti di Ubuntu Touch

Troverai le istruzioni per installare Ubuntu Touch sul tuo dispositivo su https://devices.ubuntu-touch.io .

"Ho trovato un problema!"

Hai trovato un bug? Vogliamo saperlo! In fretta!

Puoi seguire il nostro documento di segnalazione dei bug per imparare come presentare le informazioni di cui avremo bisogno per confermare e risolvere il tuo problema. Ogni bit è utile.

Il modo migliore per migliorare Ubuntu Touch è usarlo e poi raccontarci l'esperienza.

Dovresti sempre controllare se il tuo bug è già stato segnalato, da ora in poi su ubports/ubuntu-touch su Gitlab ! Vale la pena di dare un'occhiata ai bug aperti, anche se non hai nulla da segnalare.

Ciò garantisce che puoi tenere d'occhio tutti i problemi aperti e contribuire a risolverli fornendo maggiori informazioni." -> Sentiti libero di esplorare i problemi aperti e contribuire a risolverli fornendo maggiori informazioni.

Changelog OTA-5

Changelog di ayatana-indicator-power dal 2024-01-30:

* Aggiungi patch per esporre i livelli della batteria e si sta scaricando su dbus (@mariogrip)

Changelog di click dal 2024-01-30:

* click-service: correggi crash dovuto a ordine di dereferenziazione non corretto (@peat-psuwit)

* test/gimock: non sovrascrivere il precedente LD_PRELOAD (@peat-psuwit)

Changelog di deviceinfo dal 2024-01-30:

* Specifica VibrateDurationExtraMs per PinePhone e PinePhone Pro (@EspiDev)

Changelog di gbinder-python dal 2024-01-30:

* Rilascio upstream v1.1.2 (@deathmist)

Changelog di libhybris dal 2024-01-30:

* Nuovo snapshot git upstream 0.1.0+git20240229+9dea23c (@peat-psuwit)

* debian/patches: aggiungi com.android.i18n apex al percorso della libreria (@peat-psuwit)

Changelog di lomiri dal 2024-01-30:

* debian/session-migration: prova a non sovrascrivere le impostazioni (@peat-psuwit)

* Correggi la sovrascrittura della variabile INCLUDE_DIRECTORIES (@z3ntu)

Changelog di lomiri-content-hub dal 2024-01-30:

* src: aggiungi simboli mancanti nel livello di compatibilità GLib (@peat-psuwit)

Changelog di lomiri-history-service dal 2024-01-30:

* Assicurati che l'elenco dei thread non abbia duplicati (@lduboeuf)

Changelog di lomiri-schemas dal 2024-01-30:

* debian/session-migration: tr

.....

https://ubports.com/en/blog/ubports-news-1/post/ubuntu-touch-ota-5-focal-release-3933#blog_content

Google Chrome aggiunge la crittografia associata alle app per bloccare il malware infostealer

Angelo Domeneghini — Wed, 31 Jul 2024 16:04:00 GMT

Google Chrome aggiunge la crittografia associata alle app per bloccare il malware infostealer

Google Chrome ha aggiunto la crittografia associata alle app per una migliore protezione dei cookie sui sistemi Windows e difese migliorate contro gli attacchi malware che rubano informazioni.

Come ha spiegato Will Harris, ingegnere informatico di Chrome, in un post del blog pubblicato oggi, Chrome attualmente utilizza le tecniche più robuste fornite da ciascun sistema operativo per salvaguardare dati sensibili come cookie e password: servizi Keychain su macOS, kwallet o gnome-libsecret su Linux e Data Protection API (DPAPI) su Windows.

Tuttavia, mentre DPAPI può proteggere i dati a riposo da attacchi cold boot o da altri utenti sui sistemi Windows, non protegge da strumenti o script dannosi progettati per eseguire codice come utente registrato, che è qualcosa che il malware infostealer sfrutta.

"In Chrome 127 stiamo introducendo una nuova protezione su Windows che migliora la DPAPI fornendo primitive di crittografia vincolate all'applicazione (App-Bound)", ha affermato Harris.

"Piuttosto che consentire a qualsiasi app in esecuzione come utente registrato di accedere a questi dati, Chrome può ora crittografare i dati legati all'identità dell'app, in modo simile a come funziona Keychain su macOS".

La crittografia vincolata all'app di Chrome utilizza un nuovo servizio Windows in esecuzione con privilegi "SYSTEM" per confermare l'identità di un'app quando richiede la crittografia. Il servizio codifica l'identità dell'app nei dati crittografati e garantisce che solo l'app desiderata possa decrittografarla, causando il fallimento di altre app quando tentano di decrittografare i dati.

Poiché il servizio funziona con privilegi di sistema, gli aggressori dovrebbero anche ottenere privilegi di sistema o iniettare codice in un'app come Chrome, il che non è un'azione tipica o legittima e rende più facile per il software antivirus rilevare quando il malware viene utilizzato per rubare dati. Crittografia associata alle app di Google Chrome

Crittografia associata alle app di Google Chrome (Google)

Questa funzionalità di protezione migliorata verrà estesa a password, dati di pagamento e altri token di autenticazione persistenti per difendere meglio i dati sensibili degli utenti dagli attacchi malware infostealer.

Si aggiunge anche ad altre recenti iniziative e funzionalità annunciate da Google per proteggere i dati degli utenti, come la protezione dei download di Chrome tramite Navigazione sicura,

Credenziali di sessione associate al dispositivo e rilevamento delle minacce basato sull'account per segnalare l'uso di cookie rubati.

"La crittografia associata alle app aumenta il costo del furto di dati per gli aggressori e rende anche le loro azioni molto più rumorose sul sistema.

Aiuta i difensori a tracciare una linea netta sulla sabbia per ciò che è un comportamento accettabile per altre app sul sistema", ha aggiunto Harris.

"Mentre il panorama del malware si evolve continuamente, siamo ansiosi di continuare a impegnarci con altri nella comunità della sicurezza per migliorare i rilevamenti e rafforzare le protezioni del sistema operativo, come primitive di isolamento delle app più forti, per qualsiasi bypass".

La scorsa settimana, Google ha anche lanciato nuovi avvisi di Chrome quando si scaricano archivi protetti da password e ha implementato avvisi migliorati con maggiori informazioni sui file scaricati potenzialmente dannosi.

https://www.bleepingcomputer.com/news/security/google-chrome-adds-app-bound-encryption-to-block-infostealer-malware/

Una massiccia campagna di furto di SMS infetta i dispositivi Android in 113 paesi

Angelo Domeneghini — Wed, 31 Jul 2024 15:55:00 GMT

Una massiccia campagna di furto di SMS infetta i dispositivi Android in 113 paesi

Una campagna dannosa che prende di mira i dispositivi Android in tutto il mondo utilizza migliaia di bot di Telegram per infettare i dispositivi con malware che ruba SMS e rubare password 2FA (OTP) monouso per oltre 600 servizi.

I ricercatori di Zimperium hanno scoperto l'operazione e la stanno monitorando da febbraio 2022.

Hanno riferito di aver trovato almeno 107.000 campioni di malware distinti associati alla campagna.

I criminali informatici sono motivati dal guadagno finanziario, molto probabilmente utilizzando dispositivi infetti come relay di autenticazione e anonimizzazione.

Il furto di SMS viene distribuito tramite malvertising o bot di Telegram che automatizzano le comunicazioni con la vittima.

Nel primo caso, le vittime vengono indirizzate a pagine che imitano Google Play, segnalando conteggi di download gonfiati per aggiungere legittimità e creare un falso senso di fiducia.

Su Telegram, i bot promettono di fornire all'utente un'applicazione pirata per la piattaforma Android, chiedendo il suo numero di telefono prima di condividere il file APK.

Il bot di Telegram utilizza quel numero per generare un nuovo APK, rendendo possibile il tracciamento personalizzato o futuri attacchi.

Zimperium afferma che l'operazione utilizza 2.600 bot di Telegram per promuovere vari APK Android, che sono controllati da 13 server di comando e controllo (C2).

La maggior parte delle vittime di questa campagna si trova in India e Russia, mentre anche Brasile, Messico e Stati Uniti hanno un numero significativo di vittime.

Zimperium ha scoperto che il malware trasmette i messaggi SMS catturati a uno specifico endpoint API sul sito Web "fastsms.su".

Il sito consente ai visitatori di acquistare l'accesso a numeri di telefono "virtuali" in paesi stranieri, che possono utilizzare per l'anonimizzazione e per l'autenticazione a piattaforme e servizi online.

È molto probabile che i dispositivi infetti siano utilizzati attivamente da quel servizio senza che le vittime lo sappiano.

Le autorizzazioni di accesso Android SMS richieste consentono al malware di catturare le OTP necessarie per la registrazione degli account e l'autenticazione a due fattori.

BleepingComputer ha contattato il servizio Fast SMS per chiedere informazioni sulle scoperte di Zimperium, ma una risposta non è stata disponibile al momento della pubblicazione.

Per le vittime, ciò può comportare addebiti non autorizzati sul loro account mobile, mentre potrebbero anche essere implicate in attività illegali riconducibili al loro dispositivo e numero.

Per evitare l'abuso dei numeri di telefono, non scaricare file APK da fonti diverse da Google Play, non concedere autorizzazioni rischiose ad app con funzionalità non correlate e assicurati che Play Protect sia attivo sul tuo dispositivo.

https://www.bleepingcomputer.com/news/security/massive-sms-stealer-campaign-infects-android-devices-in-113-countries/

WhatsApp sta lavorando per tradurre automaticamente i messaggi in una lingua diversa.

Angelo Domeneghini — Thu, 18 Jul 2024 14:04:00 GMT

WhatsApp sta lanciando un nuovo aggiornamento attraverso il programma Beta di Google Play, portando la versione fino alla 2.24.15.12.

Cosa c'è di nuovo in questo aggiornamento?

WhatsApp sta lavorando a una funzionalità per tradurre automaticamente i messaggi in una lingua diversa e sarà disponibile in un futuro aggiornamento!

TRADURRE MESSAGGIO

Nell'articolo sull'aggiornamento beta di WhatsApp per Android 2.24.15.9, abbiamo annunciato che WhatsApp stava lavorando su una funzionalità per tradurre tutti i messaggi di chat.

Questo sviluppo segna un miglioramento significativo poiché WhatsApp sta esplorando un'opzione per consentire agli utenti di decidere se l'app dovrà tradurre automaticamente tutti i messaggi di chat in futuro.

Questa funzionalità è ancora in fase di sviluppo, ma sembra che WhatsApp si stia ora concentrando sul perfezionamento ulteriore dell’esperienza di traduzione, con l’obiettivo di migliorare la comunicazione tra lingue diverse.

Grazie all'ultimo aggiornamento WhatsApp beta per Android 2.24.15.12, disponibile su Google Play Store, abbiamo scoperto che WhatsApp sta lavorando su una funzionalità per tradurre automaticamente i messaggi in un'altra lingua!

WhatsApp sta attualmente implementando il processo di traduzione dei messaggi da una lingua all'altra, il cui rilascio è previsto in un futuro aggiornamento.

Gli utenti potranno tradurre un messaggio selezionato, con la possibilità di automatizzare questo processo per tutti i nuovi messaggi. Dopo aver selezionato la lingua in cui desidera tradurre il messaggio,

WhatsApp chiederà all'utente di scaricare il pacchetto linguistico necessario per la traduzione. Una volta tradotto il contenuto del messaggio, verrà visualizzata una nuova etichetta all'interno del fumetto del messaggio, a indicare che il messaggio è stato tradotto correttamente.

Questa etichetta aiuterà gli utenti a distinguere tra messaggi originali e tradotti, garantendo una comunicazione chiara e riducendo potenziali malintesi.

L'implementazione di questa funzionalità si basa ancora sulla tecnologia interna di WhatsApp, garantendo che le traduzioni dei messaggi vengano sempre elaborate interamente sul dispositivo.

Ciò significa che la crittografia end-to-end viene preservata e la privacy dell'utente viene preservata poiché nessun messaggio viene condiviso esternamente. Il supporto iniziale sarà limitato a lingue come inglese, arabo, spagnolo, portoghese (Brasile), russo e hindi, con altre lingue che verranno potenzialmente aggiunte nei futuri aggiornamenti.

Riteniamo che questa funzionalità miri a migliorare l'esperienza dell'utente fornendo traduzioni migliorate e istantanee, facilitando conversazioni migliorate in diverse lingue in futuro.

Una funzionalità per tradurre automaticamente i messaggi in una lingua diversa è in fase di sviluppo e sarà disponibile in un futuro aggiornamento.

https://wabetainfo.com/whatsapp-beta-for-android-2-24-15-12-whats-new/

Microsoft annuncia nuovi aggiornamenti cumulativi "checkpoint" di Windows

Angelo Domeneghini — Thu, 18 Jul 2024 13:53:00 GMT

Microsoft annuncia nuovi aggiornamenti cumulativi "checkpoint" di Windows

Microsoft introdurrà aggiornamenti cumulativi dei checkpoint a partire dalla fine del 2024 per i sistemi che eseguono dispositivi che eseguono Windows Server 2025 e Windows 11, versione 24H2 o successiva.

Questo nuovo tipo di aggiornamento fornirà correzioni di sicurezza e nuove funzionalità tramite differenziali incrementali più piccoli che includono solo le modifiche aggiunte dal precedente aggiornamento cumulativo del checkpoint.

L'obiettivo è risparmiare la larghezza di banda degli utenti Windows, lo spazio sul disco rigido e, cosa ancora più importante, il tempo impiegato per installare nuovi aggiornamenti cumulativi ogni mese.

"Ciò significa che l'aggiornamento dei dispositivi Windows comporterà file di aggiornamento più piccoli, risultando in un'esperienza di aggiornamento più rapida ed efficiente", ha spiegato Redmond.

"Inizierai a ricevere automaticamente gli aggiornamenti cumulativi dei checkpoint, senza che sia richiesta alcuna azione da parte tua."

Una volta introdotti, Microsoft afferma che prevede di rilasciare periodicamente aggiornamenti cumulativi come punti di controllo. Gli aggiornamenti successivi saranno costituiti da file del pacchetto di aggiornamento associati ai checkpoint e da nuovi file del pacchetto di aggiornamento con differenziali binari incrementali rispetto all'ultimo checkpoint.

L'azienda eseguirà questo processo più volte per ogni versione di Windows, generando così più checkpoint durante il suo ciclo di vita.

A partire da Windows 11 24H2, lo stack di manutenzione sarà in grado di unire tutti questi checkpoint per garantire che solo il contenuto mancante venga scaricato e installato sul dispositivo.

Agli amministratori che gestiscono gli aggiornamenti con Windows Update, Windows Update for Business, Windows Autopatch o Windows Server Update Services (WSUS) non sarà richiesto di intraprendere alcuna azione in seguito all'introduzione degli aggiornamenti cumulativi del checkpoint.

"Appariranno semplicemente come un normale aggiornamento mensile, solo migliorato. Potrai continuare a utilizzare gli stessi strumenti e processi che utilizzi attualmente per l'approvazione e la distribuzione degli aggiornamenti", ha aggiunto Microsoft.

Coloro che desiderano provare questa nuova funzionalità possono unirsi al canale Insider Dev e installare Windows Insider Preview Build 26120.1252.

L'annuncio arriva cinque anni dopo che Microsoft ha interrotto la produzione degli aggiornamenti Delta ed Express di Windows 10 (forniti tramite il catalogo Microsoft Update) il 9 aprile 2019.

https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-new-windows-checkpoint-cumulative-updates/

La spunta blu di “X” è ingannevole, la denuncia della UE

Angelo Domeneghini — Mon, 15 Jul 2024 14:53:00 GMT

L’Unione Europea accusa “X” di violare il Digital Services Act con il sistema della spunta blu di Elon Musk, ritenuto ingannevole e carente in trasparenza. Possibili multe significative.

L’Unione Europea denuncia “X” per il suo sistema di verifica con la spunta blu,

l’UE ritiene che il nuovo sistema delle spunte blu introdotto da Elon Musk violi le norme previste dal Digital Services Act (DSA).

Secondo l’UE, il meccanismo è ingannevole per gli utenti e contrario alle pratiche industriali consolidate.

L’indagine condotta sulla piattaforma ha inoltre evidenziato che “X” non rispetta gli obblighi di trasparenza in relazione alla pubblicità e alla fornitura di dati pubblici.

Questa segnalazione è la prima occasione in cui un’azienda viene formalmente accusata di violare il DSA durante la fase preliminare delle indagini dell’UE. Ora “X” ha l’opportunità di presentare la sua difesa.

Twitter spunta blu a pagamento come funziona

La UE denuncia X per la spunta blu

Nel suo comunicato stampa, l’UE sostiene che le modifiche apportate al sistema di badge blu di “X” — che permettono a qualsiasi utente di pagare per ottenere una “verifica” — impediscono agli utenti di determinare l’autenticità degli account con cui interagiscono.

Secondo le conclusioni dell’UE, ci sono anche prove che dei malintenzionati stiano sfruttando il sistema per ingannare consapevolmente gli utenti.

il responsabile della concorrenza dell’UE, ha dichiarato:

“Secondo la nostra valutazione, ‘X’ non rispetta il DSA nelle aree chiave della trasparenza, utilizzando schemi opachi e quindi ingannando gli utenti, non fornendo un archivio pubblicitario adeguato e bloccando l’accesso ai dati per i ricercatori.

La trasparenza è al centro del DSA, e siamo determinati a garantire che tutte le piattaforme, inclusa ‘X’, rispettino la legislazione UE.”

“In passato, le spunte blu identificavano fonti affidabili di informazioni.

Ora, con X, la nostra conclusione preliminare è che le spunte blu inganiano gli utenti e violano il DSA.

Inoltre, riteniamo che l’archivio pubblicitario di X e le condizioni per l’accesso ai dati da parte dei ricercatori non siano in linea con i requisiti di trasparenza del DSA. X ha ora il diritto di difesa, ma se la nostra visione fosse confermata, imporremo multe e richiederemo cambiamenti significativi”, ha detto Thierry Breton, Commissario per il Mercato Interno

Cosa rischia X

Se “X” non dovesse rispondere alle tre accuse mosse dalla Commissione Europea, l’azienda potrebbe dover far fronte a sanzioni formali e multe fino al sei percento del suo fatturato globale.

Poiché “X” è una società privata, acquisita da Elon Musk per 44 miliardi di dollari nell’ottobre 2022, non è chiaro a quanto potrebbero ammontare le pene finanziarie. “X” è considerata una Very Large Online Platform (VLOP) ai sensi del DSA, poiché raggiunge più di 45 milioni di utenti attivi mensilmente nell’UE e quindi i suoi obblighi sono commisurati al ruolo che svolge nel mondo digitale.

La Commissione Europea indaga su X

La Commissione ha avviato un’indagine DSA a tutto campo su “X” il 18 dicembre 2023.

Oltre a esaminare le pratiche ingannevoli, trasparenza pubblicitaria e accesso ai dati per i ricercatori — oggetto delle conclusioni attuali — l’indagine sta anche valutando la diffusione di contenuti illegali sulla piattaforma e le sue pratiche di moderazione all’indomani della guerra Israele-Hamas.

La Commissione afferma che per questa parte l’indagine è ancora in corso.

L’inasprimento delle regole su “X” avviene mentre l’UE intensifica l’applicazione delle sue rigide normative per le grandi aziende tecnologiche. Sono state, per esempio, avviate altre indagini DSA per valutare se Meta abbia adottato misure adeguate per moderare contenuti politici, ingannevoli o illegali su Facebook e Instagram, nonché per proteggere i minori che utilizzano queste piattaforme.

https://www.digitalic.it/social-network/la-spunta-blu-di-x-e-ingannevole-la-denuncia-della-ue

GitLab: bug critico consente agli aggressori di eseguire pipeline come altri utenti

Angelo Domeneghini — Thu, 11 Jul 2024 14:21:00 GMT

GitLab: bug critico consente agli aggressori di eseguire pipeline come altri utenti

*è ha consigliato a tutti gli amministratori di aggiornare immediatamente tutte le installazioni.*

GitLab ha avvertito oggi che una vulnerabilità critica nelle edizioni GitLab Community ed Enterprise del suo prodotto consente agli aggressori di eseguire processi di pipeline come qualsiasi altro utente.

La piattaforma GitLab DevSecOps conta oltre 30 milioni di utenti registrati ed è utilizzata da oltre il 50% delle aziende Fortune 100, tra cui T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia e UBS.

Il difetto presente nell'aggiornamento di sicurezza di oggi viene registrato come CVE-2024-6385 e ha ricevuto un punteggio di gravità di base CVSS pari a 9,6 su 10.

Ha effetto su tutte le versioni GitLab CE/EE dalla 15.8 alla 16.11.6, dalla 17.0 alla 17.0.4 e dalla 17.1 alla 17.1.2. In determinate circostanze che GitLab deve ancora rivelare, gli aggressori possono sfruttarlo per attivare una nuova pipeline come utente arbitrario.

Le pipeline GitLab sono una funzionalità di sistema di integrazione continua/distribuzione continua (CI/CD) che consente agli utenti di eseguire automaticamente processi e attività in parallelo o in sequenza per creare, testare o distribuire modifiche al codice.

L'azienda ha rilasciato le versioni GitLab Community ed Enterprise 17.1.2, 17.0.4 e 16.11.6 per risolvere questa grave falla di sicurezza e ha consigliato a tutti gli amministratori di aggiornare immediatamente tutte le installazioni.

"Raccomandiamo vivamente che tutte le installazioni che eseguono una versione interessata dai problemi descritti di seguito vengano aggiornate alla versione più recente il prima possibile", avverte. "GitLab.com e GitLab Dedicated stanno già eseguendo la versione con patch."

Difetto di acquisizione dell'account sfruttato attivamente negli attacchi

GitLab ha corretto una vulnerabilità quasi identica (tracciata come CVE-2024-5655) alla fine di giugno, che potrebbe anche essere sfruttata per eseguire pipeline come altri utenti.

Un mese prima, aveva risolto una vulnerabilità di elevata gravità (CVE-2024-4835) che consente agli autori di minacce non autenticate di prendere il controllo degli account negli attacchi cross-site scripting (XSS).

Come avvertito CISA a maggio, gli autori delle minacce stanno sfruttando attivamente anche un’altra vulnerabilità GitLab zero-click (CVE-2023-7028) corretta a gennaio. Questa vulnerabilità consente agli aggressori non autenticati di prendere il controllo degli account tramite la reimpostazione della password.

Sebbene Shadowserver abbia rilevato oltre 5.300 istanze GitLab vulnerabili esposte online a gennaio, meno della metà (1.795) sono ancora raggiungibili oggi.

Gli aggressori prendono di mira GitLab perché ospita vari tipi di dati aziendali sensibili, tra cui chiavi API e codice proprietario, con un impatto significativo sulla sicurezza a seguito di una violazione.

Ciò include attacchi alla catena di fornitura se gli autori delle minacce inseriscono codice dannoso negli ambienti CI/CD (Continuous Integration/Continuous Deployment), compromettendo i repository dell'organizzazione violata.

https://www.bleepingcomputer.com/news/security/gitlab-warns-of-critical-bug-that-lets-attackers-run-pipelines-as-an-arbitrary-user/

Windows MSHTML zero-day utilizzato negli attacchi malware per oltre un anno

Angelo Domeneghini — Thu, 11 Jul 2024 14:07:00 GMT

Windows MSHTML zero-day utilizzato negli attacchi malware per oltre un anno

Microsoft ha risolto una vulnerabilità zero-day di Windows che è stata attivamente sfruttata negli attacchi per diciotto mesi per lanciare script dannosi aggirando le funzionalità di sicurezza integrate.

Il difetto, segnalato come CVE-2024-38112, è un problema di spoofing MHTML di elevata gravità risolto durante gli aggiornamenti di sicurezza del Patch Tuesday di luglio 2024.

Haifei Li di Check Point Research ha scoperto la vulnerabilità e l'ha comunicata a Microsoft nel maggio 2024.

Tuttavia, in un rapporto di Li, il ricercatore osserva di aver scoperto campioni che sfruttano questo difetto già nel gennaio 2023.

Internet Explorer non c'è più, ma non proprio

Haifei Li ha scoperto che gli autori delle minacce distribuiscono file di collegamento Internet di Windows (.url) per falsificare file dall'aspetto legittimo, come i PDF, ma che scaricano e avviano file HTA per installare malware in grado di rubare password.

Un file di collegamento Internet è semplicemente un file di testo che contiene varie impostazioni di configurazione, ad esempio quale icona mostrare, quale collegamento aprire quando si fa doppio clic e altre informazioni. Una volta salvato come file .url e fatto doppio clic, Windows aprirà l'URL configurato nel browser Web predefinito.

Tuttavia, gli autori delle minacce hanno scoperto che potevano forzare Internet Explorer ad aprire l'URL specificato utilizzando il gestore mhtml: URI nella direttiva URL, come mostrato di seguito.

MHTML è un file di "incapsulamento MIME di documenti HTML aggregati", una tecnologia introdotta in Internet Explorer che incapsula un'intera pagina Web, comprese le relative immagini, in un unico archivio.

Quando l'URL viene avviato con mhtml: URI, Windows lo avvia automaticamente in Internet Explorer anziché nel browser predefinito.

Secondo il ricercatore di vulnerabilità Will Dormann, l'apertura di una pagina Web in Internet Explorer offre ulteriori vantaggi agli autori delle minacce, poiché vengono visualizzati meno avvisi di sicurezza durante il download di file dannosi.

"In primo luogo, IE ti consentirà di scaricare un file .HTA da Internet senza preavviso," ha spiegato Dormann su Mastodon.

"Successivamente, una volta scaricato, il file .HTA vivrà nella directory INetCache, ma NON avrà esplicitamente un MotW. A questo punto, l'unica protezione a disposizione dell'utente è un avviso che "un sito web" vuole aprire il contenuto web utilizzando un programma sul computer."

"Senza dire di quale sito si tratta. Se l'utente ritiene di fidarsi di "questo" sito, è in quel momento che avviene l'esecuzione del codice."

In sostanza, gli autori delle minacce approfittano del fatto che Internet Explorer è ancora incluso per impostazione predefinita in Windows 10 e Windows 11.

Nonostante Microsoft abbia annunciato il suo ritiro circa due anni fa e Edge lo abbia sostituito in tutte le funzioni pratiche, il browser obsoleto può ancora essere invocato e sfruttato per scopi dannosi.

Check Point afferma che gli autori delle minacce stanno creando file di collegamenti Internet con indici di icone per farli apparire come collegamenti a un file PDF.

Quando si fa clic, la pagina Web specificata si aprirà in Internet Explorer, che tenterà automaticamente di scaricare quello che sembra essere un file PDF ma in realtà è un file HTA.

Tuttavia, gli autori delle minacce possono nascondere l'estensione HTA e far sembrare che venga scaricato un PDF riempiendo il nome del file con caratteri Unicode in modo che l'estensione .hta non venga visualizzata, come mostrato di seguito.

Quando Internet Explorer scarica il file HTA, ti chiede se desideri salvarlo o aprirlo. Se un utente decide di aprire il file pensando che sia un PDF, poiché non contiene il Marchio del Web, verrà avviato solo con un avviso generico relativo all'apertura del contenuto da un sito web.

Poiché la destinazione prevede di scaricare un PDF, l'utente può fidarsi di questo avviso e il file può essere eseguito.

Check Point Research ha dichiarato a BleepingComputer che consentire l'esecuzione del file HTA installerebbe sul computer il malware Atlantida Stealer che ruba la password.

Una volta eseguito, il malware ruberà tutte le credenziali archiviate nel browser, i cookie, la cronologia del browser, i portafogli di criptovaluta, le credenziali di Steam e altri dati sensibili.

Microsoft ha risolto la vulnerabilità CVE-2024-38112 annullando la registrazione dell'URI mhtml: da Internet Explorer, quindi ora si apre invece in Microsoft Edge.

CVE-2024-38112 è simile a CVE-2021-40444, una vulnerabilità zero-day che abusava di MHTML e che gli hacker nordcoreani hanno sfruttato per lanciare attacchi contro i ricercatori di sicurezza nel 2021.

https://www.bleepingcomputer.com/news/security/windows-mshtml-zero-day-used-in-malware-attacks-for-over-a-year/

Kaspersky KVRT analizza gratuitamente i sistemi Linux

Angelo Domeneghini — Tue, 04 Jun 2024 16:37:00 GMT

Kaspersky KVRT analizza gratuitamente i sistemi Linux

KVRT scansiona sistemi Linux alla ricerca di malware, adware e altri contenuti malevoli e li elimina gratuitamente.

Si chiama KVRT (Kaspersky Virus Removal Tool) il nuovo strumento realizzato da Kaspersky per analizzare i sistemi Linux e rimuovere gratuitamente sia malware che altre minacce note. KVRT non fa prevenzione né protezione in tempo reale, ma scansiona in automatico la memoria di sistema, gli oggetti di avvio, i settori di avvio e tutti i file di tutti i formati, inclusi quelli archiviati, rilevando malware, adware, programmi legittimi abusati per scopi dannosi e altre minacce note, e offre all’utente la possibilità di eliminarli.

KVRT richiede una connessione Internet attiva per funzionare e supporta solo sistemi a 64 bit. Ne è stata testata l’efficacia con le distribuzioni Red Hat Enterprise Linux, CentOS, Linux Mint, Ubuntu, SUSE, openSUSE e Debian; non è da escludere che possa funzionare anche con altre distribuzioni.

Il file eseguibile può essere scaricato dal sito ufficiale di Kaspersky, quindi avviato come root per ottenere la massima funzionalità. Le istruzioni dettagliate sulla configurazione sono pubblicate in questa pagina.

L’esecuzione può avvenire sia tramite interfaccia grafica che in riga di comando.

Le copie dei file dannosi che vengono eliminati sono archiviate in una directory di quarantena in '/var/opt/KVRT2024_Data/Quarantine' (per gli utenti root).

Perché è utile uno strumento come KVRT? Gli utenti Linux sono diffusamente convinti che i loro sistemi siano intrinsecamente sicuri.

Questo era vero in passato, oggi non lo è più e sono numerosi gli episodi che lo testimoniano, non ultimo la recente backdoor di XZ Utils.

Come evidenziato più volte in questo sito, i malware per Linux sono cresciuti sensibilmente negli ultimi tre anni, per non parlare degli attacchi mirati contro i sistemi Linux, fra cui numerose backdoor APT.

Questo perché le macchine virtuali e i dispositivi IoT sono fra gli obiettivi più rilevanti dei cyber criminali, così come gli ambienti multi-cloud. Tutte situazioni in cui Linux è il sistema operativo più comune.

https://www.securityopenlab.it/news/3726/kaspersky-kvrt-analizza-gratuitamente-i-sistemi-linux.html?_gl=1*7zi9eg*_up*MQ..*_ga*MTkzODg3OTMxNS4xNzE3NTE4ODQ0*_ga_LS982XR9JP*MTcxNzUxODg0My4xLjAuMTcxNzUxODg0My4wLjAuMA..

Firmare i referendum online con SPID

Angelo Domeneghini — Tue, 04 Jun 2024 16:23:00 GMT

Firmare i referendum online con SPID

Tra le varie azioni che si possono compiere usando SPID c’è anche la sottoscrizione online di un referendum.

Si tratta di un’importante novità che in Italia è stata introdotta soltanto negli ultimi anni, grazie a un intervento legislativo che ha portato i vantaggi della tecnologia digitale in uno dei principali ambiti di svolgimento della vita democratica di un Paese.

E che in poco tempo ha letteralmente rivoluzionato il tradizionale modo in cui per decenni i comitati referendari hanno dovuto organizzare e gestire la raccolta delle firme e il loro deposito in Cassazione.

Per i referendum la raccolta di firme con SPID non elimina, ma si aggiunge alla tradizionale raccolta cartacea, che continua a essere valida.

Tuttavia, il canale digitale velocizza e semplifica di molto tutte le procedure, sia per i comitati promotori che per i singoli cittadini, che possono scegliere di firmare semplicemente usando il proprio dispositivo e la propria identità digitale, senza doversi spostare per mettersi alla ricerca del tradizionale banchetto in piazza.

Inoltre, va tenuto sempre presente che la raccolta dele firme è una cosa diversa dal voto per il referendum, e che SPID e le altre identità digitali possono essere usate soltanto per raccogliere le 500mila firma minime che servono per poter indire un referendum.

Il voto vero e proprio, invece, non si può ancora esprimere online, ma si svolge sempre nella classica modalità fisica, che prevede di recarsi al seggio elettorale e di apporre con una matita la propria scelta sulla scheda elettorale cartacea.

Indice dei contenuti

Firma referendum, dai banchetti a SPID
Piattaforma pubblica al palo, ci si affida alle private
Quali sono le raccolte firme online passate
Qual è la raccolta firme online attiva nel 2024

Firma referendum, dai banchetti a SPID

Se oggi è possibile firmare i referendum online con SPID è grazie anche alla spinta con cui l’Unione Europea ha esortato i Paesi Membri a digitalizzare i processi elettorali e sperimentare il voto elettronico.

Tra gli obiettivi fissati entro il 2030 dal cosiddetto Digital Compass c’è quello di rendere la vita democratica accessibile a tutti, comprese le persone con disabilità, anche attraverso il voto elettronico, così da avere una maggiore partecipazione dei cittadini alla vita democratica.

Inoltre, una pietra miliare è rappresentata dalla storica decisione con cui nel 209 il Comitato diritti umani dell’Onu (nel caso Staderini-De Lucia vs Italy) aveva rilevato delle irragionevoli restrizioni nella raccolta firme cartacea prevista dalla legge italiana sui referendum.

Il richiamo del Comitato Onu ha quindi spinto l’Italia a introdurre la possibilità di raccogliere online le firme per i referendum con la Legge di Bilancio 2021.

La legge ha istituito un fondo di 100mila euro annui a partire dal 2021, destinato alla realizzazione di una piattaforma digitale pubblica per la raccolta delle firme online.

Inizialmente la piattaforma era stata pensata solo per la raccolta di firme online da parte dei diversamente abili, in un’ottica di inclusione sociale. Poi, un emendamento approvato alla Camera ha esteso a tutte le cittadine e i cittadini italiani la possibilità di firmare tramite SPID, CIE o CNS per i referendum abrogativi, costituzionali e relativi a modifiche nell’assetto di Regioni, Province e Comuni. Inoltre, la raccolta firme online vale anche per i progetti di legge di iniziativa popolare per cui la Costituzione prevede la firma di almeno 50mila elettori.

Piattaforma pubblica al palo, ci si affida alle private

Nonostante i cospicui stanziamenti annuali previsti sin dal 2021, purtroppo resta ancora ferma al palo la piattaforma pubblica per la raccolta online delle firme per i referendum.

Prevista inizialmente entro il 31 dicembre 2021, di essa si sono perse le tracce e, al momento in cui scriviamo, il sito dedicato firmereferendum.gov.it risulta inaccessibile.

A sopperire ai ritardi del pubblico ci hanno pensato i privati.

Sono diverse, infatti, le piattaforme per la raccolta delle firme referendarie realizzate da aziende informatiche e già impiegate in diverse campagne referendarie.

Quali sono le raccolte firme online passate

La prima volta in cui in Italia è stato possibile firmare online per i referendum usando SPID (o anche la CIE e la CNS) è stato con la raccolta firme del 2021 relativa a 8 referendum su giustizia, eutanasia e cannabis, promossi da una serie di associazioni e partiti. Il successo fu tale che i comitati promotori dei diversi referendum raggiunsero la fatidica soglia delle 500mila firme per ogni singolo referendum in pochi giorni e principalmente grazie proprio alle firme raccolte online. Il referendum sulla cannabis, ad esempio, superò le 500mila firme in soli 7 giorni, raccogliendone ben 100mila nelle prime 24 ore. Delle 612.632 firme finali raccolte, solo 5.753 erano cartacee, mentre ben 606.879 erano state raccolte online.

Un altro caso si è avuto con la raccolta firme online nel 2023 per 14 referendum su cannabis, immigrazione, politica, maternità surrogata, decreto rave, case di piacere e trasporto privato NCC.

Anche in quel caso il Comitato referendario 2024 (composto da comuni cittadini) lanciò i referendum avvalendosi di una piattaforma digitale messa a disposizione da un soggetto privato.

Qual è la raccolta firme online attiva nel 2024

Attualmente è attiva in Italia una raccolta firme per 4 referendum sul lavoro promossi dalla CGIL. La raccolta è partita lo scorso 25 aprile. È possibile firmare online i referendum con SPID (o con CIE o CNS) attraverso la pagina https://www.cgil.it/referendum.

TP-Link risolve il bug RCE critico nel popolare router da gioco C5400X

Angelo Domeneghini — Wed, 29 May 2024 07:52:00 GMT

TP-Link risolve il bug RCE critico nel popolare router da gioco C5400X

Si consiglia agli utenti di scaricare l'aggiornamento del firmware dal portale di download ufficiale di TP-Link o di utilizzare il pannello di amministrazione del router per eseguire l'aggiornamento.

Il router da gioco TP-Link Archer C5400X è vulnerabile a difetti di sicurezza che potrebbero consentire a un utente malintenzionato remoto non autenticato di eseguire comandi sul dispositivo.

Il TP-Link Archer C5400X è un router da gioco tri-band di fascia alta progettato per fornire prestazioni robuste e funzionalità avanzate per i giochi e altre applicazioni impegnative e, in base al numero di recensioni degli utenti che il prodotto ha nei negozi online, sembra essere una scelta popolare tra i giocatori.

L'esecuzione arbitraria di comandi sui router può portare al dirottamento dei router, all'intercettazione dei dati, alla modifica delle impostazioni DNS e alla potenziale violazione delle reti interne.

Dettagli sulla vulnerabilità

Il difetto sul TP-Link Archer C5400X è tracciato come CVE-2024-5035 (punteggio CVSS v4: 10.0, "critico") ed è stato identificato dagli analisti di OneKey attraverso l'analisi statica binaria.

I ricercatori hanno scoperto che il binario “rftest” espone un servizio di rete vulnerabile all’iniezione di comandi e agli overflow del buffer sulle porte TCP 8888, 8889 e 8890.

Il servizio "rftest" esegue un ascoltatore di rete su queste porte per eseguire l'autovalutazione dell'interfaccia wireless e le attività correlate.

Un utente malintenzionato che utilizza metacaratteri della shell può inviare messaggi appositamente predisposti a queste porte, ottenendo potenzialmente l'esecuzione arbitraria di comandi con privilegi elevati.

I metacaratteri della shell sono caratteri speciali come punto e virgola, e commerciale e pipe utilizzati per un migliore controllo delle funzioni sulle shell della riga di comando. Tuttavia, possono anche essere utilizzati in modo improprio per l'esecuzione di comandi quando l'input dell'utente non è adeguatamente disinfettato per impedire azioni non autorizzate.

Correzione disponibile

Poiché le porte menzionate sono aperte e utilizzate attivamente dal servizio "rftest" nella configurazione predefinita del router, hanno un impatto su tutti gli utenti del dispositivo che utilizzano le versioni firmware vulnerabili, fino alla 1.1.1.6.

Gli analisti di OneKey hanno riferito i loro risultati al PSIRT di TP-Link il 16 febbraio 2024, mentre il fornitore aveva una patch beta pronta entro il 10 aprile 2024.

Infine, l'aggiornamento di sicurezza è arrivato alla fine della scorsa settimana, il 24 maggio 2024, con il rilascio di Archer C5400X(EU)_V1_1.1.7 Build 20240510, che risolve effettivamente CVE-2024-5035.

La soluzione implementata è stata quella di scartare qualsiasi comando contenente metacaratteri della shell, in modo che questi vengano filtrati in tutti i messaggi in arrivo.

https://www.bleepingcomputer.com/news/security/tp-link-fixes-critical-rce-bug-in-popular-c5400x-gaming-router/

Su Google Play sono state trovate oltre 90 app Android dannose con 5,5 milioni di installazioni

Angelo Domeneghini — Wed, 29 May 2024 07:42:00 GMT

Su Google Play sono state trovate oltre 90 app Android dannose con 5,5 milioni di installazioni

Sono state trovate oltre 90 app Android dannose installate più di 5,5 milioni di volte tramite Google Play per diffondere malware e adware, con il trojan bancario Anatsa che ha registrato un recente aumento di attività.

Anatsa (noto anche come "Teabot") è un trojan bancario che prende di mira oltre 650 applicazioni di istituti finanziari in Europa, Stati Uniti, Regno Unito e Asia. Tenta di rubare le credenziali di e-banking delle persone per eseguire transazioni fraudolente.

Nel febbraio 2024, Threat Fabric ha riferito che dalla fine dello scorso anno Anatsa aveva raggiunto almeno 150.000 infezioni tramite Google Play utilizzando varie app esca nella categoria dei software di produttività.

Oggi, Zscaler riferisce che Anatsa è tornata nell'app store ufficiale di Android ed è ora distribuita tramite due applicazioni esca: "Lettore PDF e File Manager" e "Lettore QR e File Manager".

Al momento dell'analisi di Zscaler, le due app avevano già accumulato 70.000 installazioni, dimostrando l'alto rischio che app dropper dannose riuscissero a sfuggire al processo di revisione di Google.

Una cosa che aiuta le app dropper Anatsa a eludere il rilevamento è il meccanismo di caricamento del payload in più fasi che prevede quattro passaggi distinti:

L'app Dropper recupera la configurazione e le stringhe essenziali dal server C2

Il file DEX contenente codice dropper dannoso viene scaricato e attivato sul dispositivo

Viene scaricato il file di configurazione con l'URL del payload Anatsa

Il file DEX recupera e installa il payload del malware (APK), completando l'infezione

Il file DEX esegue anche controlli anti-analisi per garantire che il malware non venga eseguito su sandbox o ambienti di emulazione.

Una volta che Anatsa è attivo e funzionante sul dispositivo appena infetto, carica la configurazione del bot e i risultati della scansione dell'app, quindi scarica le iniezioni che corrispondono alla posizione e al profilo della vittima.

Altre minacce di Google Play

Zscaler riferisce che negli ultimi due mesi ha scoperto anche oltre 90 applicazioni dannose su Google Play, che sono state installate complessivamente 5,5 milioni di volte.

La maggior parte delle app dannose si spacciavano per strumenti, app di personalizzazione, utilità per la fotografia, app per la produttività e per salute e fitness.

Le cinque famiglie di malware che dominano la scena sono Joker, Facestealer, Anatsa, Coper e vari adware.

Sebbene Anatsa e Coper rappresentino solo il 3% del totale dei download dannosi da Google Play, sono molto più pericolosi degli altri, in grado di commettere frodi sul dispositivo e di rubare informazioni sensibili.

Quando installi nuove app su Google Play, rivedi le autorizzazioni richieste e rifiuta quelle associate ad attività ad alto rischio come il servizio di accessibilità, gli SMS e l'elenco dei contatti.

I ricercatori non hanno rivelato i nomi delle oltre 90 app e se sono state segnalate a Google per la rimozione.

Tuttavia, al momento in cui scriviamo, le due app dropper Anatsa scoperte da Zscaler sono state rimosse da Google Play.

https://www.bleepingcomputer.com/news/security/over-90-malicious-android-apps-with-55m-installs-found-on-google-play/

Wangiri, la Truffa dello squillo

Angelo Domeneghini — Tue, 21 May 2024 07:59:00 GMT

Wangiri, cos'è e come difendersi

In gergo tecnico queste chiamate sono chiamate "Wangiri" e possono costare diverse decine di euro ai più incauti.

Ecco come ci si difende

Chiamata da numero sconosciuto

La parola "Wangiri" probabilmente non è nota ai più, ma altrettanto probabilmente moltissime persone sono incappate almeno una volta in un tentativo di Wangiri.

Si tratta infatti di una delle truffe telefoniche più diffuse al mondo, che ormai è anche abbastanza vecchia visto che i primi casi sono stati segnalati nel lontano 2002.

Eppure, a quanto pare, è ancora abbastanza redditizia tanto che negli ultimi anni non è affatto tramontata, anzi: i casi di questa tipologia di truffa telefonica si moltiplicano e, purtroppo, anche le sue vittime.

Ma cosa è esattamente un Wangiri e perché è così pericoloso? E, soprattutto, c'è modo di difendersi e mettersi al riparo dai rischi di questa truffa telefonica?

In caso di risposta affermativa, sarà possibile evitare di farsi truffare da sconosciuti e risparmiare decine, se non centinaia, di euro. Se si dovesse cadere nella trappola dei cybertruffatori, infatti, si rischia di veder crescere in maniera esorbitante il conto telefonico.

Wangiri: cosa è esattamente

Il Wangiri è la truffa dello squillo telefonico: riceviamo un solo squillo, proveniente di solito da un numero estero, e se chiamiamo tale numero per capire chi fosse si attiva una segreteria telefonica, oppure non sentiamo nulla dall'altro capo del telefono.

Però ci costa, e anche parecchio, perché il numero internazionale che abbiamo chiamato è in realtà un numero a tariffazione speciale che può arrivare anche a diverse decine di euro al minuto.

Il Wagiri classico costa circa 1,5 euro ogni dieci o quindici secondi, un vero salasso.

Ci sono varianti di Wangiri ancora più pericolose, che invece di svuotarci il conto telefonico subito attivano a nostra insaputa servizi in abbonamento. In questo modo ci accorgiamo di essere stati truffati solo in un secondo momento ed è assai difficile capire chi è il colpevole.

Wangiri: quali sono i prefissi pericolosi

Partendo dal presupposto che tutti i Wangiri prevedono uno squillo da un numero estero, in realtà dovremmo stare attenti a tutte le chiamate ricevute da prefissi non italiani. Anche perché, a meno che non abbiamo parenti all'estero, chi mai dovrebbe chiamarci?

Esistono, però, dei prefissi internazionali usati più di frequente dai truffatori: Moldavia (+373), Kosovo (+383), Tunisia (+216).

Il numero di telefono vero e proprio, invece, cambia sempre perché non è reale ma randomizzato tramite appositi software. D'altronde non c'è alcun operatore fisico dall'altra parte, è tutto automatizzato (tecnicamente si chiamano "robocall", cioè chiamate robot) e questo spiega anche perché i Wangiri sono così diffusi: farli costa pochissimo.

Wangiri: come difendersi

Per difendersi da un Wangiri c'è un solo metodo efficace e, tra l'altro, anche facile: non richiamare il numero che ci ha fatto lo squillo.

Teniamo a bada la curiosità, o la pagheremo molto cara.

È invece molto difficile evitare di ricevere gli squilli truffa, perché non provengono mai dallo stesso numero.

Chi gestisce queste attività, infatti, usa centinaia (se non migliaia) di numeri random diversi ed è quasi impossibile ricevere due squilli dallo stesso numero.

Anche bloccando un numero di telefono, quindi, non bloccheremo il prossimo tentativo di truffa proveniente da un numero diverso.

Difendersi dai Wangiri bloccando i prefissi esteri

C'è una opzione un po' drastica da tenere in conto se subiamo spesso tentativi di Wangiri: bloccare tutte le chiamate provenienti da un prefisso straniero. In questo modo tutte le chiamate in ingresso con un prefisso non italiano non verranno nemmeno ricevute.

In questo modo, però, non riceveremo neanche le chiamate legittime e non rischiose.

Bisogna chiedersi quante chiamate vere dall'estero riceviamo ogni anno e decidere per un eventuale blocco totale.

Altri modi per difendersi dai Wangiri

Ci sono anche metodi meno estremi, ma allo stesso tempo meno efficaci, per difendersi dalle truffe dello squillo telefonico.

Uno, ad esempio, è quello di usare app come Truecaller o le tante alternative simili.

Si tratta di app basate su una blacklist, che bloccano tutte le chiamate in entrata provenienti da un numero in lista nera.

La loro efficacia è ridotta dal fatto che i numeri dei truffatori cambiano in continuazione, ma alcune di queste app possono essere settate per bloccare tutte le chiamate provenienti da un determinato prefisso, anche internazionale. In questo modo avremo un filtro meno rigido rispetto all'opzione di bloccare tutte le chiamate internazionali, ma abbastanza efficace.

Android 15 e Google Play Protect ottengono nuove funzionalità antimalware e antifrode

Angelo Domeneghini — Fri, 17 May 2024 07:43:00 GMT

Android 15 e Google Play Protect ottengono nuove funzionalità antimalware e antifrode

Oggi, Google ha annunciato nuove funzionalità di sicurezza in arrivo su Android 15 e Google Play Protect che aiuteranno a bloccare truffe, frodi e app malware sui dispositivi degli utenti.

Annunciate al Google I/O 2024, le nuove funzionalità sono progettate non solo per aiutare gli utenti finali ma anche per avvisare gli sviluppatori quando le loro app sono state manomesse.

"Oggi annunciamo nuove funzionalità di protezione da frodi e truffe in arrivo negli aggiornamenti di Android 15 e dei servizi Google Play entro la fine dell'anno per aiutare a proteggere meglio gli utenti di tutto il mondo", si legge in un post sul blog di Google di Dave Kleidermacher, VP Engineering, Android Security e Privacy.

"Stiamo anche condividendo nuovi strumenti e policy per aiutare gli sviluppatori a creare app più sicure e a proteggere i propri utenti."

Protezione da spyware e malware bancario

Google sta introducendo numerose nuove funzionalità in Android 15 che mirano a impedire a trojan bancari e spyware di rubare le tue informazioni.

I trojan bancari Android vengono utilizzati per rubare le credenziali bancarie degli utenti visualizzando falsi overlay di accesso, rubando codici MFA da notifiche/messaggi e consentendo agli autori delle minacce di controllare in remoto i dispositivi.

Nel corso degli anni, i ricercatori hanno illustrato come il malware Android comunemente rubi passcode monouso da messaggi e notifiche.

L’anno scorso, una nuova versione del malware Xenomorph per Android ha fatto un ulteriore passo avanti consentendo il furto dei codici MFA da Google Authenticator.

Google ha annunciato nuove funzionalità di sicurezza che fanno sì che i passcode monouso vengano nascosti dalle notifiche in modo che il malware non possa rubarli.

L’azienda sta inoltre espandendo la sua funzionalità di impostazioni limitate per includere autorizzazioni aggiuntive che gli utenti devono concedere esplicitamente alle app per impedire loro di rubare dati.

Google afferma che stanno introducendo anche nuove funzionalità che proteggono dagli attacchi di condivisione dello schermo condotti tramite ingegneria sociale.

Quando Android è in modalità di condivisione dello schermo, il sistema operativo bloccherà automaticamente la visualizzazione delle informazioni sensibili nelle notifiche in modo che non possano essere rubate da autori di minacce remote.

"Durante la condivisione dello schermo, il contenuto delle notifiche private verrà nascosto, impedendo agli spettatori remoti di vedere i dettagli nelle notifiche di un utente", spiega Kleidermacher.

"Le app che pubblicano OTP nelle notifiche verranno automaticamente protette dagli spettatori remoti durante la condivisione dello schermo, aiutando a contrastare i tentativi di furto di dati sensibili."

Questa nuova funzionalità impedirà inoltre che il tuo schermo venga mostrato agli aggressori quando inserisci credenziali e informazioni sulla carta di credito durante una sessione di condivisione dello schermo.

Una funzionalità che verrà lanciata entro la fine dell'anno mostrerà indicatori più evidenti quando la condivisione dello schermo è attiva.

Infine, Google sta implementando notifiche che ti avvisano quando sei connesso a una rete cellulare non crittografata per bloccare gli attacchi Stingray.

"Ti avviseremo se la tua connessione di rete cellulare non è crittografata, esponendo potenzialmente il traffico vocale e SMS all'intercettazione radio e potenzialmente visibile ad altri.

Questo può aiutare ad avvisare gli utenti se vengono presi di mira da criminali che stanno cercando di intercettare il loro traffico o inserire un SMS fraudolento", ha inoltre condiviso Kleidermacher.

"Aiuteremo gli utenti a rischio come giornalisti o dissidenti avvisandoli se una potenziale stazione base cellulare falsa o uno strumento di sorveglianza sta registrando la loro posizione utilizzando un identificatore del dispositivo."

Portare l'intelligenza artificiale su Google Play

Google afferma che stanno introducendo una nuova funzionalità chiamata rilevamento delle minacce in tempo reale di Google Play Protect, che utilizza l'intelligenza artificiale sul dispositivo per rilevare quando un'app Android esegue comportamenti sospetti.

L'app viene quindi rimandata a Google per la revisione e gli utenti vengono avvisati di disabilitarla finché non viene determinato se è dannosa.

Per gli sviluppatori, Google ha aggiornato la sua API Play Integrity per consentire agli sviluppatori di verificare se le app vengono eseguite in ambienti sicuri.

L'API è stata ora aggiornata per consentire agli sviluppatori di controllare i seguenti segnali in-app:

Rischio derivante dall'acquisizione dello schermo o dall'accesso remoto: gli sviluppatori possono verificare se sono in esecuzione altre app che potrebbero acquisire lo schermo, creare sovrapposizioni o controllare il dispositivo. Ciò è utile per le app che desiderano nascondere informazioni sensibili ad altre app e proteggere gli utenti dalle truffe.
Rischio derivante da malware noto: gli sviluppatori possono verificare se Google Play Protect è attivo e il dispositivo dell'utente è privo di malware noto prima di eseguire azioni sensibili o gestire dati sensibili. Ciò è particolarmente utile per le app finanziarie e bancarie, poiché aggiunge un ulteriore livello di sicurezza per proteggere le informazioni dell’utente.
Rischio derivante da dispositivi anomali: gli sviluppatori possono anche scegliere di ricevere l'attività recente del dispositivo per verificare se un dispositivo sta effettuando troppi controlli di integrità, il che potrebbe essere un segno di un attacco.

https://www.bleepingcomputer.com/news/google/android-15-google-play-protect-get-new-anti-malware-and-anti-fraud-features/

Exploit PoC rilasciato per RCE zero-day nei router D-Link EXO AX4800

Angelo Domeneghini — Wed, 15 May 2024 09:46:00 GMT

Exploit PoC rilasciato per RCE zero-day nei router D-Link EXO AX4800

Il router D-Link EXO AX4800 (DIR-X4860) è vulnerabile all'esecuzione di comandi remoti non autenticati che potrebbero portare all'acquisizione completa del dispositivo da parte di aggressori con accesso alla porta HNAP.

Il router D-Link DIR-X4860 è un router Wi-Fi 6 ad alte prestazioni in grado di raggiungere velocità fino a 4800 Mbps e funzionalità avanzate come OFDMA, MU-MIMO e BSS Coloring che migliorano l'efficienza e riducono le interferenze.

Il dispositivo è particolarmente popolare in Canada e, secondo il sito Web di D-Link, viene venduto nel mercato globale ed è ancora attivamente supportato dal venditore.

Oggi, il team di ricercatori SSD Secure Disclosure ha annunciato di aver scoperto difetti nei dispositivi DIR-X4860 che eseguono l'ultima versione del firmware, DIRX4860A1_FWV1.04B03, che consente l'esecuzione di comandi remoti (RCE) non autenticati.

"Le vulnerabilità della sicurezza in DIR-X4860 consentono agli aggressori remoti non autenticati che possono accedere alla porta HNAP di ottenere privilegi elevati ed eseguire comandi come root", si legge nella divulgazione di SSD.

"Combinando un bypass di autenticazione con l'esecuzione di comandi, il dispositivo può essere completamente compromesso."

L'accesso alla porta HNAP (Home Network Administration Protocol) sul router D-Link DIR-X4860 è relativamente semplice nella maggior parte dei casi, poiché di solito è HTTP (porta 80) o HTTPS (porta 443) accessibile tramite l'interfaccia di gestione remota del router.

Processo di sfruttamento

Gli analisti SSD hanno condiviso istruzioni dettagliate sullo sfruttamento dei problemi scoperti, rendendo ora disponibile pubblicamente un exploit proof-of-concept (PoC).

L'attacco inizia con una richiesta di accesso HNAP appositamente predisposta all'interfaccia di gestione del router, che include un parametro denominato "PrivateLogin" impostato su "Nome utente" e un nome utente "Admin".

Il router risponde con un challenge, un cookie e una chiave pubblica e questi valori vengono utilizzati per generare una password di accesso valida per l'account "Admin".

Una richiesta di accesso successiva con l'intestazione HNAP_AUTH e la LoginPassword generata viene inviata al dispositivo di destinazione, ignorando essenzialmente l'autenticazione.

Con l'accesso autenticato, l'aggressore sfrutta quindi una vulnerabilità di command injection nella funzione "SetVirtualServerSettings" tramite una richiesta appositamente predisposta.

La funzione vulnerabile "SetVirtualServerSettings" elabora il parametro "LocalIPAddress" senza un'adeguata sanificazione, consentendo l'esecuzione del comando inserito nel contesto del sistema operativo del router.

SSD afferma di aver contattato D-Link tre volte per condividere i suoi risultati con il produttore del router negli ultimi 30 giorni, ma tutti i tentativi di avvisarli non hanno avuto successo, lasciando i difetti attualmente irrisolti.

Anche BleepingComputer ha contattato D-Link con una richiesta correlata e stiamo ancora aspettando un commento.

Fino a quando non sarà reso disponibile un aggiornamento del firmware di sicurezza, gli utenti del DIR-X4860 dovrebbero disabilitare l'interfaccia di gestione dell'accesso remoto del dispositivo per impedirne lo sfruttamento.

https://www.bleepingcomputer.com/news/security/poc-exploit-released-for-rce-zero-day-in-d-link-exo-ax4800-routers/

Correzione del backport di Apple per gli zero-day sfruttati negli attacchi agli iPhone più vecchi

Angelo Domeneghini — Tue, 14 May 2024 16:07:00 GMT

Correzione del backport di Apple per gli zero-day sfruttati negli attacchi agli iPhone più vecchi

Apple ha effettuato il backport delle patch di sicurezza rilasciate a marzo sugli iPhone e iPad più vecchi, correggendo un zero-day iOS contrassegnato come sfruttato negli attacchi.

Negli avvisi sulla sicurezza pubblicati oggi, Apple ha affermato ancora una volta di essere a conoscenza di rapporti secondo cui questa vulnerabilità "potrebbe essere stata sfruttata attivamente".

La falla è un problema di corruzione della memoria nel sistema operativo in tempo reale RTKit di Apple che consente agli aggressori con capacità di lettura e scrittura arbitraria del kernel di aggirare le protezioni della memoria del kernel.

L'azienda non ha ancora attribuito la scoperta di questa vulnerabilità di sicurezza a un ricercatore di sicurezza.

Il 5 marzo, l’azienda ha risolto la vulnerabilità zero-day (tracciata come CVE-2024-23296) per i nuovi modelli di iPhone, iPad e Mac.

Oggi, Apple ha eseguito il backport degli aggiornamenti di sicurezza di marzo per risolvere questa falla di sicurezza su iOS 16.7.8, iPadOS 16.7.8 e macOS Ventura 13.6.7 con una migliore convalida dell’input.

L'elenco dei dispositivi aggiornati oggi include iPhone 8, iPhone 8 Plus, iPhone X, iPad di quinta generazione, iPad Pro da 9,7 pollici e iPad Pro da 12,9 pollici di prima generazione.

Tre zero-day sfruttati negli attacchi corretti nel 2024

Apple deve ancora rivelare chi ha rivelato lo zero-day o se è stato scoperto internamente, e non ha fornito informazioni sulla natura degli attacchi che lo sfruttano in natura.

Anche se Apple non ha rilasciato dettagli sullo sfruttamento CVE-2024-23296, gli zero-day iOS sono comunemente utilizzati negli attacchi spyware sponsorizzati dallo stato contro individui ad alto rischio, inclusi giornalisti, dissidenti e politici dell'opposizione.

Sebbene questo zero-day sia stato probabilmente utilizzato solo in attacchi mirati, è altamente consigliabile installare gli aggiornamenti di sicurezza odierni il prima possibile per bloccare potenziali tentativi di attacco se si utilizza un modello di iPhone o iPad meno recente.

Dall’inizio dell’anno Apple ha fissato tre zero-day: due a marzo (CVE-2024-23225 e CVE-2024-23296) e uno a gennaio (CVE-2024-23222).

A gennaio, Apple ha anche eseguito il backport di patch per due WebKit zero-day (CVE-2023-42916 e CVE-2023-42917), che sono state patchate a novembre per i dispositivi più recenti.

Con l'aggiornamento iOS 17.5 di oggi, Apple ha anche aggiunto il supporto per gli avvisi di tracciamento indesiderati (Google ha lanciato la stessa funzionalità sui dispositivi Android 6.0+).

Questi avvisi avviseranno gli utenti se i dispositivi di localizzazione Bluetooth (AirTag, accessorio Trova il mio o altro localizzatore Bluetooth compatibile con le specifiche del settore) vengono utilizzati per tracciare la loro posizione.

https://www.bleepingcomputer.com/news/apple/apple-backports-fix-for-zero-day-exploited-in-attacks-to-older-iphones/

Google risolve il quinto zero-day di Chrome sfruttato negli attacchi quest'anno

Angelo Domeneghini — Fri, 10 May 2024 15:41:00 GMT

Google risolve il quinto zero-day di Chrome sfruttato negli attacchi quest'anno

Google ha rilasciato un aggiornamento di sicurezza per il browser Chrome per correggere la quinta vulnerabilità zero-day sfruttata dall'inizio dell'anno.

Il problema di elevata gravità tracciato come CVE-2024-4671 è una vulnerabilità "user after free" nel componente Visuals che gestisce il rendering e la visualizzazione del contenuto nel browser.

CVE-2024-4671 è stato scoperto e segnalato a Google da un ricercatore anonimo, mentre la società ha rivelato che probabilmente viene sfruttato attivamente.

"Google è a conoscenza dell'esistenza di un exploit per CVE-2024-4671", si legge nell'avviso senza fornire ulteriori informazioni.

I difetti di utilizzo after-free sono difetti di sicurezza che si verificano quando un programma continua a utilizzare un puntatore dopo che la memoria a cui punta è stata liberata, in seguito al completamento delle sue operazioni legittime su quella regione.

Poiché la memoria liberata potrebbe ora contenere dati diversi o essere utilizzata da altri software o componenti, l'accesso potrebbe causare perdita di dati, esecuzione di codice o arresto anomalo.

Google ha risolto il problema con il rilascio di 124.0.6367.201/.202 per Mac/Windows e 124.0.6367.201 per Linux, con gli aggiornamenti in uscita nei prossimi giorni/settimane.

Per gli utenti del canale "Extended Stable", le correzioni saranno rese disponibili nella versione 124.0.6367.201 per Mac e Windows, anche per essere implementate successivamente.

Chrome si aggiorna automaticamente quando è disponibile un aggiornamento di sicurezza, ma gli utenti possono confermare che stanno utilizzando la versione più recente andando su Impostazioni > Informazioni su Chrome, lasciando terminare l'aggiornamento e quindi facendo clic sul pulsante "Riavvia" per applicarlo.

Aggiornamento

Quest'ultimo difetto risolto in Google Chrome è il quinto quest'anno, con altri tre scoperti durante il concorso di hacking Pwn2Own del marzo 2024 a Vancouver.

L'elenco completo delle vulnerabilità zero-day di Chrome risolte dall'inizio del 2024 include anche quanto segue:

CVE-2024-0519: un punto debole di accesso alla memoria fuori dai limiti di elevata gravità all'interno del motore JavaScript Chrome V8, che consente agli aggressori remoti di sfruttare la corruzione dell'heap tramite una pagina HTML appositamente predisposta, portando all'accesso non autorizzato a informazioni sensibili.
CVE-2024-2887: un difetto di confusione di tipo di elevata gravità nello standard WebAssembly (Wasm). Potrebbe portare a exploit RCE (Remote Code Execution) che sfruttano una pagina HTML creata appositamente.
CVE-2024-2886: una vulnerabilità use-after-free nell'API WebCodecs utilizzata dalle applicazioni Web per codificare e decodificare audio e video. Gli aggressori remoti lo hanno sfruttato per eseguire letture e scritture arbitrarie tramite pagine HTML predisposte, portando all'esecuzione di codice in modalità remota.
CVE-2024-3159: una vulnerabilità di elevata gravità causata da una lettura fuori dai limiti nel motore JavaScript V8 di Chrome. Gli aggressori remoti hanno sfruttato questa falla utilizzando pagine HTML appositamente predisposte per accedere ai dati oltre il buffer di memoria allocato, provocando un danneggiamento dell'heap che potrebbe essere sfruttato per estrarre informazioni sensibili.

https://www.bleepingcomputer.com/news/security/google-fixes-fifth-chrome-zero-day-vulnerability-exploited-in-attacks-in-2024/

Microsoft Phi-3, l’Intelligenza artificiale leggera

Angelo Domeneghini — Tue, 07 May 2024 09:41:00 GMT

Microsoft Phi-3 è una nuova Ai leggera, ideale per dispositivi con risorse limitate, capace di generare contenuti creativi e adattarsi velocemente, enfatizzando privacy e sicurezza

Arriva Microsoft Phi-3, il Gigante di Redmond ha lanciato il suo nuovo modello di intelligenza artificiale generativa, chiamato appunto Phi-3.

Questo innovativo sistema rappresenta un passo avanti significativo nel campo dell’IA, grazie alla sua combinazione di potenza e leggerezza, si può dire che rientri in quella che viene definita AI frugale.

Microsoft Phi-3: caratteristiche tecniche

1. Architettura avanzata: Phi-3 è basato su un’architettura neurale profonda che combina reti neurali convoluzionali (CNN) e reti neurali ricorrenti (RNN). Questa architettura ibrida consente di gestire compiti complessi con efficienza.

2. Peso ridotto: A differenza di molti modelli di IA che richiedono risorse computazionali pesanti, Phi-3 è progettato per funzionare su dispositivi con risorse limitate. Ciò lo rende ideale per applicazioni su dispositivi mobili, robotica e IoT.

3. Generazione creativa: Phi-3 eccelle nella generazione di contenuti creativi, come testi, immagini e musica. Può creare opere d’arte originali, scrivere poesie e comporre melodie coinvolgenti.

4. Apprendimento rapido: Grazie a un algoritmo di apprendimento rapido, Phi-3 può adattarsi rapidamente a nuovi compiti e dati. Questa flessibilità lo rende adatto per una vasta gamma di applicazioni.

5. Privacy e sicurezza: Microsoft ha posto grande enfasi sulla privacy e sulla sicurezza dei dati con Phi-3. Il modello è stato progettato per proteggere le informazioni sensibili e rispettare le normative sulla privacy.

Microsoft Phi-3: come è nato

Come suggerisce il nome stesso, rispetto ai LLM (modelli di linguaggio di grandi dimensioni), gli SLM (modelli di linguaggio di piccole dimensioni) sono piccoli, almeno secondo gli standard dell’AI. Phi-3-mini ha “solo” 3,8 miliardi di parametri – un’unità di misura che si riferisce ai “regolatori” algoritmici di un modello che aiutano a determinarne l’output. In confronto, i modelli di linguaggio di grandi dimensioni sono molte volte più grandi.

I grandi progressi nell’AI generativa introdotti dai modelli di linguaggio di grandi dimensioni erano in gran parte considerati abilitati proprio dalla loro enorme dimensione.

Tuttavia, il team di Microsoft è stato in grado di sviluppare modelli di linguaggio di piccole dimensioni che possono fornire risultati eccellenti partendo da dimensioni compatte.

Questa svolta è stata resa possibile da un approccio altamente selettivo ai dati di addestramento.

Fino ad oggi, il modo standard di addestrare i modelli di linguaggio di grandi dimensioni è stato quello di utilizzare enormi quantità di dati provenienti da Internet.

Si pensava che questo fosse l’unico modo per soddisfare il grande bisogno di contenuti di questo tipo di modello, che necessita per “imparare” a comprendere le sfumature del linguaggio e generare risposte intelligenti alle richieste degli utenti.

Ma i ricercatori di Microsoft hanno avuto un’idea diversa.

“Invece di addestrare solo su dati grezzi del web, perché non cercare dati di altissima qualità?” si è chiesto Sebastien Bubeck, vicepresidente di Microsoft per la ricerca sull’AI generativa, che ha guidato gli sforzi dell’azienda nello sviluppo di modelli di linguaggio di piccole dimensioni più capaci.

Ma su cosa concentrarsi?

Ispirati dalla routine serale di lettura di Eldan con sua figlia, i ricercatori di Microsoft hanno deciso di creare un set di dati discreto partendo da 3.000 parole – includendo un numero approssimativamente uguale di sostantivi, verbi e aggettivi.

Poi hanno chiesto a un LLM di creare una storia per bambini utilizzando un sostantivo, un verbo e un aggettivo dalla lista – un suggerimento ripetuto milioni di volte per diversi giorni, generando milioni di piccole storie per bambini.

Hanno chiamato il set di dati risultante “TinyStories” e lo hanno utilizzato per addestrare modelli di linguaggio molto piccoli di circa 10 milioni di parametri.

Con loro sorpresa, quando è stato chiesto al piccolo modello di linguaggio addestrato su TinyStories di creare le proprie storie, ha generato narrazioni fluenti con una grammatica perfetta.

Successivamente, hanno alzato il livello. Questa volta un gruppo più numeroso di ricercatori ha utilizzato dati pubblici selezionati con cura che erano stati filtrati in base al valore educativo e alla qualità del contenuto per addestrare Phi-1.

Dopo aver raccolto le informazioni pubblicamente disponibili in un set di dati iniziale, hanno utilizzato una formula di prompting ispirata a quella usata per TinyStories, ma hanno compiuto un ulteriore passo in avanti rendendola più sofisticata, in modo che potesse catturare uno spettro più ampio di dati.

Per garantire l’alta qualità, hanno ripetutamente filtrato il contenuto risultante prima di reinserirlo in un LLM per ulteriori sintesi.

In questo modo, nel corso di diverse settimane, hanno costruito un corpus di dati abbastanza ampio per addestrare un SLM.

“Molta cura viene impiegata nella produzione di questi dati sintetici”, ha detto Bubeck, riferendosi ai dati generati dall’IA, “rivedendoli, assicurandosi che abbiano senso, filtrandoli. Non prendiamo tutto ciò che produciamo.”

Hanno chiamato questo set di dati “CodeTextbook.”

I ricercatori hanno ulteriormente migliorato il set di dati avvicinandosi alla selezione dei dati come un insegnante che semplifica i concetti difficili per uno studente.

“Perché l’AI sta leggendo materiale simile a un libro di testo, da documenti di qualità che spiegano le cose molto, molto bene”, ha detto Bubeck, “in questo modo si rende più semplice il compito di leggere e comprendere il materiale”.

Distinguere tra informazioni di alta e bassa qualità non è difficile per un essere umano, ma ordinare più di un terabyte di dati che i ricercatori di Microsoft hanno determinato di aver bisogno per addestrare il loro SLM sarebbe impossibile senza aiuto da un LLM.

“La potenza della generazione attuale di grandi modelli di linguaggio è davvero un fattore abilitante che non avevamo precedentemente in termini di generazione di dati sintetici”, ha detto Ece Kamar, vicepresidente di Microsoft che dirige il Microsoft Research AI Frontiers Lab, dove è stato sviluppato il nuovo approccio.

Partire con dati selezionati con cura aiuta a ridurre la probabilità che i modelli restituiscano risposte indesiderate o inappropriate, ma non è sufficiente a proteggere contro tutte le potenziali sfide in termini di sicurezza.

Microsoft Phi-3: utilizzi

– Assistenza virtuale: Phi-3 può essere integrato in chatbot e assistenti virtuali per rispondere alle domande degli utenti e fornire supporto personalizzato.

– Generazione di testo creativo: Phi-3 può essere utilizzato per generare testo creativo, come poesie, storie o canzoni. La sua capacità di seguire istruzioni specifiche lo rende adatto per creare contenuti originali.

– Automazione: Phi-3 può automatizzare compiti ripetitivi, come l’analisi di dati o la classificazione di immagini.

– Medicina: Nell’ambito medico, Phi-3 può aiutare nella diagnosi precoce di malattie o nell’analisi di immagini mediche.

– Assistenza alla scrittura: Gli scrittori possono utilizzare Phi-3 per ottenere suggerimenti, correzioni grammaticali e idee per migliorare i loro testi.

– Supporto per la programmazione: Phi-3 è addestrato su una vasta gamma di testi tecnici e può aiutare gli sviluppatori a risolvere problemi di programmazione, fornendo esempi di codice o spiegazioni dettagliate.

– Chatbot e assistenti virtuali: Phi-3 può essere integrato in chatbot o assistenti virtuali per rispondere alle domande degli utenti o per automatizzare alcune attività.

– Traduzione automatica: Utilizzando Phi-3, è possibile creare sistemi di traduzione automatica che convertono testi da una lingua all’altra.

– Analisi del linguaggio naturale: Phi-3 può essere utilizzato per estrarre informazioni significative dai testi, come l’identificazione delle emozioni o l’estrazione di entità (nomi, date, luoghi) da documenti.

– Generazione di contenuti multimediali: Phi-3 può essere utilizzato per creare descrizioni di immagini o video, generare didascalie o scrivere articoli su argomenti specifici.

– Ricerca semantica: Phi-3 può essere utilizzato per migliorare la ricerca semantica su piattaforme web o per creare motori di ricerca più intelligenti.

https://www.digitalic.it/tech-news/microsoft-phi-3-intelligenza-artificiale-leggera

FRITZ!Box Ripristinare le impostazioni di fabbrica con un telefono

Angelo Domeneghini — Tue, 07 May 2024 07:52:00 GMT

FRITZ!Box Ripristinare le impostazioni di fabbrica con un telefono

Ripristinare le impostazioni di fabbrica con un telefono

Non è possibile utilizzare telefoni IP, ad esempio FRITZ!App Fon, per inviare al FRITZ!Box i comandi da tastiera. Pertanto, non è possibile caricare le impostazioni di fabbrica con un telefono IP.

Configurare la tastiera nel telefono

Le sequenze di comando dal tastierino sono sequenze di caratteri e cifre con le quali è possibile attivare e disattivare diverse funzioni.

Su un telefono registrato sulla stazione base del FRITZ!Box (ad esempio, FRITZ!Fon C5) è possibile utilizzare direttamente le sequenze di comando.

Su un telefono cordless che non è registrato sulla stazione base del FRITZ!Box è innanzitutto necessario configurare la funzione delle sequenze di comando:

Impostare il telefono in modo che sia possibile inviare sequenze da tastiera (combinazioni di simboli e numeri come *121#) e selezionare caratteri speciali come * e #.

In molti telefoni è possibile configurare questa funzione tramite il menu "Impostazioni > Telefonia > Tipo di selezione".

Ripristinare le impostazioni di fabbrica

Digitare al telefono #991*15901590* e premere il tasto di chiamata (sollevare la cornetta).

Riagganciare dopo circa 3 secondi.

Durante la procedura, tutti i LED lampeggiano una volta. Il caricamento alle impostazioni di fabbrica è concluso non appena il LED WLAN resta acceso fisso.

Microsoft: gli aggiornamenti di aprile di Windows Server causano errori di autenticazione NTLM

Angelo Domeneghini — Fri, 03 May 2024 09:38:00 GMT

Microsoft: gli aggiornamenti di aprile di Windows Server causano errori di autenticazione NTLM

Microsoft ha confermato le segnalazioni dei clienti relative a errori di autenticazione NTLM e carico elevato dopo l'installazione degli aggiornamenti di sicurezza di Windows Server del mese scorso.

Secondo una nuova voce aggiunta martedì al dashboard di integrità di Windows, questo problema noto interesserà solo i controller di dominio Windows nelle organizzazioni con molto traffico NTLM e pochi controller di dominio primari.

L'elenco delle versioni di Windows interessate e degli aggiornamenti di sicurezza con errori include Windows Server 2022 (KB5036909), Windows Server 2019 (KB5036896), Windows Server 2016 (KB5036899), Windows Server 2012 R2 (KB5036960), Windows Server 2012 (KB5036969), Windows Server 2008 R2 (KB5036967) e Windows Server 2008 (KB5036932).

"Dopo aver installato l'aggiornamento di sicurezza di aprile 2024 sui controller di dominio (DC), potresti notare un aumento significativo del traffico di autenticazione NTLM", afferma Microsoft.

"È probabile che questo problema interessi le organizzazioni che hanno una percentuale molto piccola di controller di dominio primari nel proprio ambiente e un traffico NTLM elevato."

Microsoft non ha ancora fornito informazioni sulla causa principale di questo problema noto e sta ancora lavorando a una soluzione.

Tuttavia, ha consigliato ai clienti di piccole e grandi imprese che necessitano di aiuto di contattare il portale "Support for Business".

Correzione temporanea non ufficiale

Sebbene non sia disponibile una soluzione alternativa finché Microsoft non fornisce una soluzione, gli amministratori di Windows possono disinstallare gli aggiornamenti di sicurezza per risolvere temporaneamente i problemi di autenticazione NTLM.

"Per rimuovere LCU dopo aver installato il pacchetto combinato SSU e LCU, utilizzare l'opzione della riga di comando DISM/Remove-Package con il nome del pacchetto LCU come argomento. È possibile trovare il nome del pacchetto utilizzando questo comando: DISM /online /get- pacchetti", spiega Microsoft.

È inoltre importante notare che gli ultimi aggiornamenti cumulativi includono tutte le correzioni di sicurezza rilasciate questo mese.

Pertanto, la rimozione della LCU rimuoverà anche tutte le correzioni per le vulnerabilità di sicurezza risolte questo mese.

Due mesi fa, Microsoft ha rilasciato aggiornamenti di emergenza fuori banda per risolvere un problema che causava arresti anomali del controller di dominio Windows a causa di perdite di memoria causate dagli aggiornamenti di sicurezza di Windows Server di marzo 2024.

Redmond ha risolto ulteriori problemi di arresto anomalo di Windows Server nel dicembre 2022 dopo che gli aggiornamenti di sicurezza di novembre 2022 hanno introdotto un'altra perdita e nel marzo 2022 quando gli amministratori di Windows hanno segnalato riavvii diffusi dei controller di dominio.

Martedì, Microsoft ha anche rivelato che gli aggiornamenti di sicurezza di Windows di aprile 2024 stanno interrompendo le connessioni VPN sui sistemi Windows 11, Windows 10 e Windows Server.

https://www.bleepingcomputer.com/news/microsoft/microsoft-april-windows-server-updates-cause-ntlm-auth-failures/

Diritto alla riparazione approvato nell’Unione Europea, cosa cambia

Angelo Domeneghini — Tue, 30 Apr 2024 13:08:00 GMT

Diritto alla riparazione approvato nell’Unione Europea, cosa cambia

L’UE ha approvato la direttiva sul diritto alla riparazione, promuovendo consumi sostenibili e riducendo i rifiuti. Consumatori e produttori affrontano cambiamenti: servizi di riparazione economici, trasparenza informativa e estensione della garanzia. Promette un’economia più circolare e responsabile.

Il diritto alla riparazione deve essere garantito per i cittadini europei, a fronte di questo diretto, scattano gli obblighi per i produttori, in particolare quelli di dispositivi tecnologici, i più difficili oggi da far riparare.

In una società che si fa sempre più ecosostenibile e attenta all’ambiente, l’Unione Europea ha fatto un significativo passo avanti nel garantire un futuro più verde ai suoi cittadini.

Martedì scorso, il Parlamento Europeo ha votato con grande favore la nuova direttiva sul “diritto alla riparazione”, un passo rivoluzionario che promette di ridurre i rifiuti eccessivi e di sostenere il settore delle riparazioni.

Con 584 voti favorevoli, è evidente che l’Europa non solo accoglie ma incoraggia questo cambiamento di paradigma.

Che cos’è il diritto alla riparazione?
Obbligo di diritto alla Riparazione approvato nell’Unione Europea, cosa cambia
Che cos’è il diritto alla riparazione?
Obbligo di riparazione e informazione
Prezzi accessibili e promozione del settore
Diritto alla riparazione, cosa cambia
Per i consumatori
Per i produttori

Che cos’è il diritto alla riparazione?

Il diritto alla riparazione si colloca in un contesto di consumo più consapevole, dove i beni non sono più visti come oggetti da sostituire ciclicamente, ma come risorse il cui ciclo di vita può e deve essere prolungato. Le nuove norme stabiliscono l’obbligo per i fabbricanti di rendere le riparazioni dei prodotti non solo possibili ma anche economicamente accessibili e trasparenti per i consumatori. Un modulo europeo di informazione sarà offerto ai consumatori per aiutarli a valutare e confrontare i servizi di riparazione (specificando la natura del difetto, il prezzo e la durata della riparazione). Per facilitare il processo di riparazione, verrà creata una piattaforma online europea con sezioni nazionali per aiutare i consumatori a trovare facilmente negozi di riparazione locali, venditori di beni ricondizionati, acquirenti di articoli difettosi o iniziative di riparazione gestite dalla comunità, come i repair café (caffè delle riparazioni).

Obbligo di diritto alla Riparazione approvato nell’Unione Europea, cosa cambia

Il diretto alla riparazione deve essere garantito per i cittadini europei, a fronte di questo diretto, scattano gli obblighi per i produttori, in particolare quelli di dispositivi tecnologici, i più difficili oggi da far riparare.

In una società che si fa sempre più ecosostenibile e attenta all’ambiente, l’Unione Europea ha fatto un significativo passo avanti nel garantire un futuro più verde ai suoi cittadini. Martedì scorso, il Parlamento Europeo ha votato con grande favore la nuova direttiva sul “diritto alla riparazione”, un passo rivoluzionario che promette di ridurre i rifiuti eccessivi e di sostenere il settore delle riparazioni. Con 584 voti favorevoli, è evidente che l’Europa non solo accoglie ma incoraggia questo cambiamento di paradigma.

Che cos’è il diritto alla riparazione?

Obbligo di riparazione e informazione

Sotto la nuova legislazione, i fabbricanti devono mettere a disposizione dei consumatori servizi di riparazione rapida e a costi contenuti. Inoltre, vi è un impegno a informare adeguatamente i consumatori sui loro diritti e sulle possibilità di riparazione. Per i prodotti sotto garanzia legale, vi sarà un’estensione di un anno, un incentivo non indifferente per preferire la riparazione di un bene, piuttosto che la sua sostituzione. La nuova legge UE obbliga i fabbricanti di prodotti al consumo a fornire servizi di riparazione tempestivi ed economici e a informare i consumatori sul loro diritto alla riparazione. Le merci in garanzia legale beneficeranno di un’ulteriore estensione di un anno, incentivando ulteriormente il consumatore a scegliere la riparazione anziché la sostituzione.

Una volta scaduta la garanzia legale, il produttore sarà comunque tenuto a intervenire sui prodotti domestici più comuni, che sono tecnicamente riparabili ai sensi della normativa UE, come lavatrici, aspirapolvere e smartphone. L’elenco delle categorie di prodotti potrà in seguito essere ampliato. I consumatori potranno anche prendere in prestito un dispositivo mentre il loro è in riparazione o, in alternativa, optare per un apparecchio ricondizionato.

Il mercato delle riparazioni è stato spesso trascurato e ostacolato da pratiche come l’obsolescenza programmata, ma la nuova direttiva impone ai produttori di fornire i pezzi di ricambio necessari e di non introdurre barriere ingiustificate alle riparazioni, come l’impedimento all’uso di parti di seconda mano o stampate in 3D.

Prezzi accessibili e promozione del settore

Per abbattere ulteriormente le barriere, ogni Stato membro implementerà strategie per favorire il settore delle riparazioni. Questo potrebbe includere incentivi come buoni d’acquisto, fondi per la riparazione o iniziative educative che aiutino i cittadini a riparare autonomamente i propri beni o a usufruire di spazi comunitari dedicati alla riparazione.

Come avverrà l’implementazione del diritto alla riparazione

Entro due anni entrogli Stati membri dell’UE dovranno recepire le disposizioni della direttiva all’interno delle proprie legislazioni nazionali. Questo è il periodo in cui vedremo prendere forma un nuovo mercato, più giusto e sostenibile, con ripercussioni positive sulla riduzione dei rifiuti e sulla consapevolezza dei consumatori.

Il diritto alla riparazione rappresenta un valido strumento nella lotta contro il consumo insostenibile e la cultura dello scarto. Con questa mossa, l’Europa si posiziona come pioniere nel cambiamento verso un’economia circolare, un modello che, si spera, troverà seguaci a livello globale.

Diritto alla riparazione, cosa cambia

La recente approvazione della direttiva sul “diritto alla riparazione” da parte dell’Europa segna un cambiamento significativo sia per i consumatori sia per i produttori all’interno dell’Unione Europea. Questa nuova legge ha lo scopo di ridurre i rifiuti, incentivare un consumo più sostenibile e rendere la riparazione dei prodotti più accessibile ed economica. Esaminiamo i principali cambiamenti e obblighi introdotti da questa direttiva.

Per i consumatori

1. Maggiore accessibilità alle riparazioni: I consumatori avranno diritto a servizi di riparazione più tempestivi ed economici. Ciò significa che sarà più facile e conveniente riparare un prodotto piuttosto che sostituirlo.

2. Informazioni chiare sui servizi di riparazione: Sarà fornito un modulo europeo di informazione per aiutare i consumatori a valutare e confrontare i servizi di riparazione, specificando la natura del difetto, il prezzo e la durata della riparazione.

3. Estensione della garanzia legale: La legge prevede un’ulteriore estensione di un anno della garanzia legale sui prodotti, incoraggiando i consumatori a optare per la riparazione di un bene piuttosto che per la sua sostituzione.

Per i produttori

1. Obbligo di fornire servizi di riparazione: I fabbricanti di prodotti al consumo saranno tenuti a fornire servizi di riparazione tempestivi ed economici e a informare i consumatori sul loro diritto alla riparazione.

2. Disponibilità di pezzi di ricambio e strumenti: I produttori dovranno garantire la fornitura di pezzi di ricambio e strumenti ad un prezzo ragionevole per un periodo di tempo prestabilito, assicurandosi che i prodotti possano essere riparati e mantenuti in funzione per un periodo più lungo[1].

3. Non impedimento alle riparazioni: Sarà vietato ai produttori adottare clausole contrattuali o tecniche hardware o software che ostacolino le riparazioni. Ciò include la proibizione di impedire l’uso di pezzi di ricambio di seconda mano o stampati in 3D da parte di riparatori indipendenti, o di rifiutare di riparare un prodotto per motivi economici o perché è stato precedentemente riparato da terzi.

Queste nuove norme rappresentano un importante passo avanti verso un’economia più circolare nell’UE, incoraggiando pratiche di consumo sostenibile e responsabile.

Per i consumatori, ciò significa accesso a servizi di riparazione più convenienti e trasparenti, che prolungano la vita dei prodotti riducendo allo stesso tempo i rifiuti.

Per i produttori, questi cambiamenti comportano l’adeguamento ai nuovi obblighi e il sostegno a una cultura del riutilizzo e della riparabilità.

https://www.digitalic.it/tech-news/diritto-alla-riparazione-cosa-cambia-eu

WhatsApp permette di allegare note ai contatti

Angelo Domeneghini — Mon, 22 Apr 2024 15:24:00 GMT

WhatsApp permette di allegare note ai contatti

WhatsApp sta sviluppando una nuova funzione per consentire agli utenti di allegare note ai loro contatti, è in test sulla versione Web.

Il team di sviluppo di WhatsApp è, a quanto pare, inarrestabile, continuando a lavorare praticamente senza sosta a nuove funzioni da rendere disponibili agli utenti.

È notizia delle ultime ore, infatti, quella dell’introduzione di una nuova feature che permette di aggiungere note ai contatti.

WhatsApp: si possono aggiungere note ai contatti

Andando più in dettaglio, la redazione di WABETAInfo riferisce che WhatsApp sta sviluppando una nuova funzione per consentire agli utenti di allegare note ai propri contatti, al fine di fornire un sistema comodo per aggiungere informazioni personalizzate su contatti specifici.

All’interno della schermata delle informazioni sulla chat è disponibile un nuovo campo di testo per consentire agli utenti di inserire alcune informazioni da aggiungere come note, impostate per il rilascio in un futuro aggiornamento di WhatsApp.

Attraverso le note, inoltre, le aziende saranno facilmente in grado di ricordare informazioni specifiche riguardanti i loro clienti, come interazioni passate, preferenze specifiche, dettagli sui pagamenti o altre informazioni critiche di follow-up.

La funzione, è però bene precisarlo, è stata scovata su WhatsApp Web ed è attualmente in fase di sviluppo.

Al momento, non è dato sapere quando, di preciso, la funzione potrà essere accessibile a tutti gli utenti, ma a meno che non ci siano intoppi particolari non dovrebbe essere necessario attendere ancora a lungo.

Ricordiamo che nei gironi scorsi sono state annunciate e/o scoperte altre interessanti novità in arrivo sulla famosa piattaforma di messaggistica, come i filtri delle chat, la generazione di immagini AI in tempo reale e il Mi piace per rispondere agli stati.

https://www.punto-informatico.it/whatsapp-permette-di-allegare-note-ai-contatti/

Protocollo RDP sfruttato nel 90% degli attacchi

Angelo Domeneghini — Fri, 19 Apr 2024 07:17:00 GMT

Protocollo RDP sfruttato nel 90% degli attacchi

Gli esperti di Sophos che si occupano di Incident Response lanciamo l’allarme: nella maggior parte dei casi, il primo accesso viene ottenuto mediante lo sfruttamento del protocollo RDP.

Tecnologie/Scenari

Nel 90% degli attacchi sferrati nel 2023, i cybercriminali hanno sfruttato a proprio vantaggio il protocollo RDP (Remote Desktop Protocol).

Il dato è contenuto nella analisi Active Adversary dal titolo It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024 pubblicata da Sophos sulla base dell’esame di oltre 150 casi di Incident response (IR) gestiti dal team Sophos X-Ops nel 2023.

Dai dati emerge inoltre che i servizi remoti esposti come l’RDP sono stati il vettore più comune attraverso il quale gli attaccanti sono riusciti a violare le reti, rappresentando la via di accesso iniziale nel 65% dei casi IR del 2023.

Questo nonostante dai tempi della pandemia gli esperti di cybersecurity sottolineino i rischi legati all’RDP e la necessità di proteggerne l’uso mediante soluzioni di cybersecurity.

La situazione in realtà peggiora nel tempo anziché migliorare, dato che quello attuale è il dato peggiore dal 2021 a oggi.

È quindi spiegato il motivo per il quale gli attaccanti continuano a sfruttare i servizi remoti esterni come il metodo di accesso iniziale più frequente.

E il motivo per il quale i difensori hanno il dovere di prioritizzare la gestione di questi servizi nella valutazione dei rischi aziendali.

Lo sfruttamento di un RDP esposto è solo il primo anello della catena di attacco, a cui seguono poi i movimenti laterali, l’escalation dei privilegi, l’eventuale esfiltrazione dei dati e altre attività malevole, fra cui le più frequenti sono l’installazione di malware, la disabilitazione delle difese informatiche e la cifratura dei dati (in caso di ransomware).

Una questione di credenziali

La genesi del problema è nella scarsa protezione delle credenziali di accesso e nella mancata adozione delle best practice per la gestione degli accessi.

Sophos ricorda infatti che da diversi mesi le credenziali compromesse hanno superato lo sfruttamento delle vulnerabilità quanto a causa di attacco più comune e anzi sono la principale causa primaria di attacchi di sempre, dato che riguardando quasi un terzo di tutti i casi IR.

Come andrebbero protette le credenziali?

Partendo dalle regole di base di cyber hygiene: attivazione dell’autenticazione multi-fattore (assente nel 43% delle casistiche IR del 2023), utilizzo di password lunghe, complesse e uniche, cambiate spesso. Una adeguata protezione EDR dei sistemi usati per accedere alle risorse aziendali, l’adozione di una filosofia Zero Trust per regolamentare l’accesso alle risorse aziendali.

*Protezioni Kaspersky e WatchGuard di 3DA*

https://3da.it/kaspersky.html

https://3da.it/watchguard.html

https://www.securityopenlab.it/news/3562/protocollo-rdp-sfruttato-nel-90-degli-attacchi.html

IT-Wallet e IA

Angelo Domeneghini — Wed, 17 Apr 2024 16:32:00 GMT

L’IT Wallet, introdotto dal decreto Pnrr, è un sistema di portafoglio digitale che consente di conservare documenti digitali come tessera sanitaria e patente sull’app IO.

Disponibile dalla metà del 2024, offrirà versioni pubblica e privata, migliorando comodità, sicurezza e interazione con servizi online. L’innovazione posiziona l’Italia come leader europeo nell’identità digitale.

Come si usa IT Wallet, app IO

l’IT Wallet avrà due versioni ovvero quella pubblica accessibile a tutti i cittadini e gratuita e quella privata per servizi offerti da aziende private.

Alla parte pubblica si accede via app IO, a sua volta usabile con Spid o Cie.

I cittadini potranno utilizzare l’IT Wallet per mostrare i documenti durante un controllo (di persona o via internet) o per accedere a servizi online (es. noleggio auto, attivazione di un servizio).

Entro l’estate i tre documenti saranno caricabili sull’app IO, ma solo per usi “off-line”.

A fine anno o inizio 2025 l’app IO potrà essere utilizzata per operazioni e transazioni online.

I vantaggi sono la comodità derivante dal non aver bisogno di portare con sé i documenti cartacei; la sicurezza visto che i documenti digitali sono protetti da furti o smarrimento e l’efficienza del sistema che semplifica l’accesso a servizi online e l’interazione con la pubblica amministrazione.

La parte pubblica dell’IT Wallet sarà gratuita per i cittadini.

I costi per lo Stato saranno di 102 milioni di euro l’anno dal 2024 al 2026.

L’accesso all’app IO potrà avvenire tramite SPID o CIE, ma ci si aspetta che i servizi più “critici” saranno accessibili solo con CIE.

I tempi

I tempi non sono chiarissimi. Si legge che i dettagli del funzionamento saranno in un decreto (del presidente del Consiglio dei ministri ovvero dell’Autorità politica delegata in materia di innovazione tecnologica, ove nominata) con linee guida adottate entro 60 giorni dall’entrata in vigore di questo decreto. Altri dettagli, come le tempistiche complete, saranno in un ulteriore decreto.

Informazioni che arrivano dal dipartimento innovazione ai media riferiscono che quest’estate dovrebbe uscire la prima versione di IT Wallet; verso fine 2024-inizi 2025 una versione più matura.

IT Wallet: Italia apripista in Europa: Eu Wallet

La distinzione e l’innovazione significativa consistono nel fatto che questo sarà il primo portafoglio digitale con valore legale sia in Italia che in Europa.

L’Italia anticipa quindi il percorso europeo che dovrebbe terminare tra il 2026 e il 2028 e si pone come avanguardia nel percorso di adozione dell’IT Wallet.

Secondo quanto stabilito dal decreto, i documenti presenti in questo portafoglio avranno quindi pieno valore legale, sia per un utilizzo personale che attraverso internet.

Cie e spid con Eu Wallet

CIE e SPID rappresenteranno la piattaforma abilitante per l’accesso al futuro IT Wallet, che costituirà l’implementazione dell’EU Wallet voluto dall’Unione Europea. Un Wallet, in questo contesto, è concepito come un “portafoglio” capace di contenere una serie di elementi, tra cui:

Dati del cittadino (attributi): Questi sono gestiti direttamente dal cittadino, che controlla l’accesso agli stessi.

Documenti digitalizzati: Ad esempio, patente, tessera sanitaria, tessera elettorale.

Metodi di pagamento.

L’ecosistema SPID, originariamente concepito come gestore di attributi, si presta bene al modello di gestione dati dell’IT Wallet.

Durante l’autenticazione con SPID, vengono trasmessi al servizio i vari attributi del cittadino, fornendo una base solida per la gestione dei dati nell’IT Wallet.

Gli attributi possono essere sia pubblici (come l’ISEE) che privati (forniti da entità private connesse all’ecosistema). Per quanto riguarda i metodi di pagamento, il loro inserimento nell’IT Wallet è agevolato dal cashback, un progetto promosso da PagoPA S.p.A. e dall’allora Governo Conte per incentivare l’adozione dei pagamenti digitali.

L’app IO si configura come il naturale candidato per l’IT Wallet, trasformandosi da una semplice applicazione per le notifiche della Pubblica Amministrazione a un portafoglio per la gestione dei dati degli italiani.

A oggi, l’app IO è stata scaricata ben 37 milioni di volte.

L’EUDI Wallet

Come detto, l’It Wallet è un progetto interamente italiano che anticipa l’EUDI Wallet, un portafoglio elettronico che contiene tutti i documenti digitali per riconoscere e dimostrare l’identità dei cittadini europei.

L’European Digital Identity Wallet, delineato nella bozza di revisione 2.0 del regolamento eIDAS rilasciata a giugno 2021 e attualmente in fase conclusiva di trilogo tra Commissione,

Consiglio e Parlamento europei, costituisce un fondamentale sforzo della Commissione per plasmare nuovi ecosistemi di identità digitale. Questi ecosistemi si distinguono per il completo controllo dei cittadini sui propri dati e per l’interoperabilità tra i paesi dell’Unione Europea, una tematica rilevante alla luce dei 35 schemi di identità esistenti.

In questo scenario, assume rilevanza la partecipazione delle Big Tech americane, che sempre più si propongono come partner tecnologici e facilitatori di tali portafogli digitali a tutti i livelli.

La Commissione Europea, inoltre, ha l’obiettivo di mitigare le posizioni dominanti delle suddette aziende, assicurando nel contempo la centralità della privacy degli utenti e promuovendo l’adozione diffusa di wallet solidamente europei.

Conclusioni

L’IT Waller comincia a muovere i primi passi anche legislativi definendosi sempre di più. Iniziando dai documenti digitalizzati dovrebbe espandersi per permettere di verificare il possesso di titoli, permessi o altri dati di un cittadino, i cui dettagli saranno chiariti da futuri decreti e permetteranno sempre più al cittadino di avere il controllo dei propri dati e della loro condivisione rispetto ad oggi.

https://www.agendadigitale.eu/cittadinanza-digitale/identita-digitale/it-wallet-i-nostri-documenti-nellapp-io-ecco-come-funziona/

Cisco mette in guardia contro attacchi brute-force su larga scala contro i servizi VPN

Angelo Domeneghini — Wed, 17 Apr 2024 16:23:00 GMT

Cisco mette in guardia contro attacchi brute-force su larga scala contro i servizi VPN

Cisco mette in guardia contro una campagna di forzatura bruta delle credenziali su larga scala che prende di mira i servizi VPN e SSH sui dispositivi Cisco, CheckPoint, Fortinet, SonicWall e Ubiquiti in tutto il mondo.

Un attacco di forza bruta è il processo mediante il quale si tenta di accedere a un account o dispositivo utilizzando molti nomi utente e password finché non viene trovata la combinazione corretta. Una volta che hanno accesso alle credenziali corrette, gli autori delle minacce possono utilizzarle per dirottare un dispositivo o ottenere l'accesso alla rete interna.

Secondo Cisco Talos, questa nuova campagna di forza bruta utilizza un mix di nomi utente di dipendenti validi e generici relativi a organizzazioni specifiche.

I ricercatori affermano che gli attacchi sono iniziati il 18 marzo 2024, mentre tutti gli attacchi provengono da nodi di uscita TOR e da vari altri strumenti e proxy di anonimizzazione, che gli autori delle minacce utilizzano per eludere i blocchi.

"A seconda dell'ambiente preso di mira, attacchi riusciti di questo tipo possono portare ad accessi non autorizzati alla rete, blocchi degli account o condizioni di negazione del servizio", avverte il rapporto Cisco Talos.

"Il traffico relativo a questi attacchi è aumentato con il tempo ed è probabile che continui ad aumentare."

Alcuni servizi utilizzati per condurre gli attacchi includono TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy e Proxy Rack.

I ricercatori di Cisco riferiscono che i seguenti servizi sono attivamente presi di mira da questa campagna:

VPN firewall sicuro Cisco
Punto di controlloVPN
VPN Fortinet
VPN SonicWall
Servizi Web Desktop remoto
Miktrotik
Draytek
Ubiquiti

L’attività dannosa non si concentra specificatamente su particolari settori o regioni, suggerendo una strategia più ampia di attacchi casuali e opportunistici.

Il team di Talos ha condiviso un elenco completo di indicatori di compromissione (IoC) per questa attività su GitHub, inclusi gli indirizzi IP degli aggressori da includere nelle blocklist e l'elenco di nomi utente e password utilizzati negli attacchi di forza bruta.

Possibili collegamenti ad attacchi precedenti

Alla fine di marzo 2024, Cisco ha avvertito di un’ondata di attacchi di password spraying mirati ai servizi Remote Access VPN (RAVPN) configurati sui dispositivi Cisco Secure Firewall.

Gli attacchi di password spraying sono più efficaci contro le politiche di password deboli, prendendo di mira molti nomi utente con un piccolo set di password comunemente utilizzate invece di forzare brute di dizionari di grandi dimensioni.

Il ricercatore di sicurezza Aaron Martin ha attribuito questi attacchi a una botnet malware chiamata "Brutus", in base ai modelli di attacco osservati e all'ambito di targeting.

Non è ancora stato verificato se gli attacchi di cui Cisco mette in guardia oggi siano la continuazione di quelli visti in precedenza.

BleepingComputer ha contattato Cisco per chiarire se le due attività sono collegate, ma non è stato immediatamente disponibile un commento.

https://www.bleepingcomputer.com/news/security/cisco-warns-of-large-scale-brute-force-attacks-against-vpn-services/

Problemi di Windows 11 con l'aggiornamento KB5036893: installazione non riuscita, schermata bianca e altro per alcuni utenti

Angelo Domeneghini — Mon, 15 Apr 2024 12:54:00 GMT

Problemi KB5036893 di Windows 11: installazione non riuscita, schermata bianca e altro per alcuni utenti

Problemi di Windows 11 con l'aggiornamento KB5036893

Secondo i rapporti ricevuti da Windows Latest, per alcune persone con 0x800705b9, 0x800f0823 l'installazione di Windows 11 KB5036893 potrebbe non riuscire e causare altri problemi.

Come sempre, più persone hanno contattato Windows Latest per evidenziare i loro problemi con gli aggiornamenti mensili di Windows 11.

Questa volta parliamo del Patch Tuesday di aprile 2024.

Microsoft ha lanciato Windows 11 KB5036893 il 9 aprile per le versioni 23H2 e 22H2 con tantissime correzioni di bug e Windows 11 Moment 5 attivato per impostazione predefinita.

Tuttavia, più utenti hanno comunicato a Windows Latest di non essere in grado di installare l'aggiornamento Patch Tuesday di aprile 2024 a causa di vari messaggi inutili:

0x800705b9

0x800f0823

0x8007007e

0x800f081f

0x8000ffff

0x800f0984

0x80073701

Questi messaggi di errore non aiutano nessuno a trovare la causa principale del problema.

Non vedo questo errore di installazione sul mio dispositivo, ma ho riscontrato lo stesso problema con l'aggiornamento opzionale del mese scorso, il che potrebbe spiegare perché alcuni utenti vedono gli errori con la patch di aprile 2024.

Sul mio dispositivo sono riuscito a risolvere il problema di installazione di Windows 11 semplicemente scaricando lo strumento di creazione multimediale dal sito Web di Microsoft, eseguendo lo strumento e selezionando

"Aggiorna questo PC" mantenendo file e app personali. Ciò risolverà i tuoi problemi di installazione senza eliminare nulla sul tuo PC

Se non riesci a installare l'aggiornamento KB5036893 di Windows 11, ti consiglio di provare i passaggi precedenti. Puoi anche scaricare il file .msu (programma di installazione offline) dell'aggiornamento di sicurezza dal catalogo degli aggiornamenti di Microsoft per installarlo manualmente.

KB5036893 schermo bianco e altri problemi

Ho riscontrato uno strano bug su Windows 11 versione 23H2 durante l'installazione dell'aggiornamento di aprile 2024. Dopo aver applicato l'aggiornamento cumulativo, ero bloccato su una schermata simile a OOBE senza testo, immagini o pulsanti.

Non è uno "schermo bianco della morte" ma un lento processo OOBE, probabilmente correlato a Microsoft Edge o promozioni simili.

Ho disconnesso Internet e sono riuscito ad avviare il desktop.

Il problema non si è presentato al secondo riavvio e non sono l'unico a riscontrare il problema.

Come descritto da persone sui forum Microsoft e Reddit, anche altre persone hanno riscontrato problemi di schermo bianco sui propri PC dopo aver installato l'aggiornamento KB5036893.

“Spegnere Internet ha funzionato. Ho anche provato a disabilitare una serie di servizi Windows casuali in modalità provvisoria; anche quello ha funzionato, ma non ho idea di quale sia il responsabile di questo problema", ha osservato uno degli utenti interessati.

Ci sono molti altri problemi minori nell’aggiornamento di aprile 2024 di Windows 11. Ad esempio, alcuni non sono in grado di modificare le impostazioni del proprio account, mentre altri riscontrano problemi di prestazioni.

"Si è verificato un problema con Windows 11 KB5036893 quando si apportano modifiche al proprio account utente. Sono andato ad apportare modifiche al mio account nelle impostazioni del PC, ho scelto un file come sempre e mi ha impedito di modificare l'immagine.

È comparso un errore che non ricordo in quel momento, ma queste erano le stesse immagini che uso sempre, quindi non c'è problema di formato; si tratta di un problema di aggiornamento", ha dichiarato a Windows Latest uno degli utenti interessati.

Oltre al lettore di Windows Latest, un altro utente su Reddit ha sottolineato di non essere in grado di modificare l'avatar dell'account utente a causa di un errore 0x80070520.

“Per qualche strano motivo, l'aggiornamento a W11 (build 22631.3447) comporta l'impossibilità di modificare l'avatar del profilo. Qualsiasi tentativo di modificare l'avatar si traduce in un errore 0x80070520", ha osservato un utente.

"Da quando è stato installato KB5036893, quando riattivo il computer dalla modalità di sospensione, nessuno dei miei due monitor si riaccende. Devo spegnere il sistema con il pulsante di accensione e quindi riavviarlo. Ho provato a scollegare e ricollegare i cavi DisplayPort e a utilizzare un solo monitor, ma nulla fa riaccendere i miei monitor. Inoltre, i movimenti del cursore sullo schermo sono molto nervosi, quasi come se non catturassero tutti i movimenti del mouse", ha descritto un altro utente.

Oltre a tutti i problemi sopra menzionati, ecco un elenco di altri bug nell'aggiornamento KB5036893:

Alcuni utenti hanno segnalato problemi di prestazioni in cui il loro dispositivo è diventato inutilmente lento dopo l'aggiornamento di Windows 11 KB5036893 di aprile 2024, con problemi come un utilizzo elevato della CPU da parte di lsass.exe e scritture eccessive del disco su registri di sistema specifici.

Altri hanno riscontrato un "errore di installazione - 0x800705b9" persistente nonostante diversi tentativi di installazione, inclusi aggiornamenti manuali tramite il catalogo Microsoft e installazioni di riparazione utilizzando un file .iso di Windows 11.

Sembra che potrebbe essere necessaria un'installazione pulita dopo aver fallito nel risolvere il problema dopo 8 ore di risoluzione dei problemi.

Diversi utenti hanno notato che DDW, utilizzato quotidianamente da anni, ora visualizza solo una pagina vuota con un messaggio che dice: "L'utente corrente non ha accesso ai dati diagnostici locali", accompagnato da un errore dell'applicazione in svchost.exe_DiagTrack al primo avvio dopo l'aggiornamento.

Un altro problema comune riguarda i laptop che si bloccano durante l'avvio o entrano in modalità di risoluzione dei problemi.

Alcuni hanno riferito che explorer.exe provoca la disconnessione del sistema molto lentamente se un controller USB è stato collegato o disconnesso.

Ciò si verifica su diversi sistemi, incluso uno con un'installazione pulita.

Sono stati segnalati casi di PC che occasionalmente si bloccano dopo l'installazione di KB5036893, in cui il mouse si muove ancora ed è possibile fare clic sul menu di avvio, ma altre funzionalità come audio e video si bloccano, richiedendo uno spegnimento per essere risolte.

Se riscontri problemi, puoi aggiornare l'installazione di Windows 11 eseguendo Media Creation Tool o

disinstallare manualmente l'aggiornamento utilizzando Impostazioni, Prompt dei comandi o PowerShell.

https://www.windowslatest.com/2024/04/14/windows-11-kb5036893-fails-to-install-causes-white-screen-for-some/

Google lancia la sua rete di localizzazione degli oggetti smarriti o rubati

Angelo Domeneghini — Wed, 10 Apr 2024 08:03:00 GMT

Google lancia la sua rete di localizzazione degli oggetti smarriti o rubati

Con l'implementazione ufficiale di "Trova il mio dispositivo" su Android, Google prepara il terreno per un potenziale rivale interno dell'AirTag, il localizzatore di oggetti di Apple, ma anche dello SmartTag di Samsung.

La rete “Trova il mio dispositivo” si affida ai tanti dispositivi Android in circolazione per localizzare un dispositivo smarrito o rubato.

Trovare uno smartphone o un tablet Android smarrito o rubato diventerà più semplice.

Lunedì Google ha finalmente iniziato ufficialmente a implementare la sua rete "Trova il mio dispositivo".

In sviluppo da diversi anni e annunciato alla conferenza annuale degli sviluppatori Google I/O nel maggio 2023, era atteso da molto tempo.

Secondo The Verge, il suo lancio è stato ritardato a causa di Apple, mentre l'azienda Apple ha integrato protezioni di tracciamento nel suo sistema mobile iOS in risposta alle preoccupazioni sulle molestie.

La risposta di Google alla rete “Locate” del suo grande rivale Apple, “Find My Device”, consente di localizzare uno smartphone smarrito o rubato, senza connessione mobile o Wi-Fi o GPS, basandosi su milioni di dispositivi Android in circolazione.

Questi formano una rete decentralizzata e funzioneranno come beacon di geolocalizzazione in grado di rilevare il segnale Bluetooth di un cellulare smarrito o rubato che si trova nelle vicinanze e di inviare automaticamente la sua ultima posizione ai server di Google.

La rete “Trova il mio dispositivo” sarà in grado di localizzare anche uno smartphone la cui batteria è completamente scarica. Al momento, solo i modelli Pixel 8 possono essere individuati spenti.

Una funzionalità che ricorda quella offerta dalla rete “Locate” per i possessori di iPhone.

Presto un tracker Bluetooth di Google?

La rete "Trova il mio dispositivo" verrà lanciata prima negli Stati Uniti e in Canada, prima di un lancio globale nel prossimo futuro, ha annunciato Google.

È compatibile con i cellulari con Android 9 minimo, sistema operativo disponibile dal 2018.

Da maggio funzionerà anche con i tracker Bluetooth prodotti dalle aziende Chipolo e Pebblebee, consentendo agli utenti di trovare più facilmente gli oggetti a lui collegati, come le chiavi .

La strada è chiara per il lancio da parte di Google del proprio concorrente diretto dei tracker Bluetooth AirTags di Apple, ma anche di SmartTag, un prodotto simile di Samsung.

Infine, Google annuncia che le cuffie JBL, Sony e altri marchi riceveranno presto un aggiornamento per essere compatibili con la sua rete “Trova il mio dispositivo”.

5 modi per inviare messaggi che si autodistruggono

Angelo Domeneghini — Mon, 08 Apr 2024 10:37:00 GMT

Ecco cinque servizi, dall’email alla messaggistica istantanea, che consentono di inviare messaggi che si autodistruggono.

In molti oggi vogliono inviare messaggi che si autodistruggono: c’è qualcosa di misterioso e attraente in un messaggio che scompare dopo averlo letto e questo tipo di comunicazione può essere anche utile, permettendoti di condividere messaggi privati o immagini stupide senza lasciare traccia dei dati.

Ecco cinque servizi, dalla posta elettronica alla messaggistica istantanea, che consentono di inviare messaggi che si autodistruggono.

Inviare messaggi che si autodistruggono:

1. Gmail

2. Telegram Messenger

3. Confide

4. Facebook Messenger

5. Snapchat

1. Gmail

Come parte del suo recente rinnovamento,

Gmail ha aggiunto una nuova modalità riservata, che consente di dare ai tuoi messaggi inviati una data di scadenza.

Per fare ciò, invece di lanciare le email su un altro server, Google le ospita sui propri server, dove può eliminarle dopo un determinato periodo di tempo.

Se sia il mittente che il destinatario utilizzano Gmail, questo processo funziona perfettamente: i messaggi in arrivo hanno l’aspetto di una tipica email, ma quando arriva la data di scadenza, il corpo del messaggio scompare (anche se l’e-mail stessa e l’intestazione dell’oggetto rimarrà nella posta in arrivo del destinatario).

Tuttavia, se il tuo contatto si basa su un diverso servizio di posta elettronica, non sarà in grado di visualizzare normalmente il tuo messaggio.

Invece, Gmail invierà loro un’email contenente un link e un messaggio di posta elettronica o di testo separato, protetto da un passcode; gli utenti possono, quindi, seguire il link e inserire il passcode per sbloccare ilmessaggio, ma questo link smetterà di funzionare dopo la data di scadenza.

Per ora, si può accedere alla funzione solo tramite il sito web di Gmail, non con le app mobili.

Quando sei pronto a inviare un messaggio che si autodistrugge, vai sul sito, accedi e inizia a creare un messaggio come di consueto: fai clic su Scrivi nell’angolo in alto a sinistra della pagina e scrivi il tuo messaggio, successivamente fai clic sul pulsante della modalità riservata, che assomiglia a un’icona a forma di lucchetto, nella parte inferiore della finestra di composizione, poi scegli quando la tua email dovrebbe scadere e cancellarsi: un giorno, una settimana, un mese, tre mesi o cinque anni.

Se stai inviando a un utente non Gmail, questo è il punto in cui decidi se inviare il passcode via email o SMS; per quest’ultima opzione, è necessario inserire un numero di cellulare; infine, fai clic su Invia.

Anche prima della data di scadenza, il mittente può eliminare il messaggio in qualsiasi momento: basta trovare l’email nella cartella di posta inviata e fare clic sull’opzione per rimuovere l’accesso per cancellare immediatamente il testo del corpo o disabilitare il collegamento al messaggio.

inviare messaggi che si autodistruggono

2. Telegram Messenger

L’app per le comunicazioni gratuita Telegram Messenger (per Android, iOS e sul web) enfatizza la sicurezza e la semplicità delle sue funzioni.

Come parte di questo obiettivo, consente agli utenti di inviare e ricevere messaggi che si autodistruggono dando loro date di scadenza.

Per impostare tali limiti, è necessario creare una nuova chat in modalità “segreto”. Telegram Messenger protegge le chat segrete con la crittografia end-to-end. I destinatari non possono inoltrarle e i mittenti possono impostarle per autodistruggersi.

Tieni presente che, a differenza dei messaggi standard di Telegram, le chat segrete non si sincronizzeranno tra dispositivi diversi, quindi scompariranno se cambi telefono o disinstalli l’app. Questa soluzione è ideale se stai discutendo con un contatto, ma non vuoi che rimangano tracce di tali chat.

Inizia creando una chat segreta, che puoi avviare all’interno delle app mobili, ma non sul sito web, tocca l’icona per comporre un nuovo messaggio: in Android, appare nell’angolo in basso a destra e in iOS, in alto a destra; quindi, scegli l’opzione per una nuova chat segreta dall’elenco, seleziona il contatto che desideri e inizia la conversazione.

Poiché Telegram Messenger non applica l’opzione di l’autodistruzione per impostazione predefinita, è necessario eseguire alcuni passaggi aggiuntivi: dopo aver creato la chat segreta, tocca l’icona del timer, che appare in alto a sinistra in Android e in basso a destra in iOS, quindi determina per quanto tempo i messaggi debbano rimanere visibili: puoi conservarli per qualsiasi periodo da un secondo a una settimana.

Non appena il destinatario controlla un messaggio nella chat, il timer inizia a ticchettare; trascorso tale periodo, tutto, incluse le foto e i memo vocali, scompariranno. Puoi anche disattivare la funzione toccando ancora una volta l’icona del timer: ricordati di farlo se stai per inviare qualcosa di importante che vorresti rivedere in seguito.

inviare messaggi che si autodistruggono

3. Confide

Confide (per Windows, macOS, Android e iOS) offre funzionalità come la crittografia end-to-end e la possibilità di condividere diversi tipi di media (inclusi testo, foto, video, documenti e messaggi vocali).

A differenza delle altre opzioni in questo elenco, tuttavia, gli sviluppatori hanno creato questo programma appositamente per inviare e ricevere messaggi che si autodistruggono ed è, quindi, la specialità di Confide e offre una protezione più completa.

Ad esempio, invece di lasciarti impostare un timer di scadenza, questa app cancella i messaggi per sempre non appena il destinatario li legge. Inoltre, disattiva gli screenshot sui dispositivi mobili mentre l’app è aperta e, per i veri paranoici, l’app rivela solo una riga di un messaggio alla volta, quindi anche se qualcuno dovesse scattare foto allo schermo con una fotocamera diversa, ogni immagine mostrerebbe solo parte del messaggio.

Sia il mittente che il destinatario devono utilizzare l’app Confide: se invii un messaggio a qualcuno che non l’ha ancora installata, riceveranno un’email con un link per scaricarla.

Le interfacce dell’app variano leggermente a seconda della piattaforma, ma si può seguire lo stesso procedimento base su tutte le versioni: crea un nuovo messaggio, scegli un contatto o fornisci un indirizzo email, quindi componi il testo e allega qualsiasi media che vuoi includere; quando arriva un nuovo messaggio in Confide, puoi aprirlo per leggere il testo e visualizzare gli allegati; dopo aver chiuso il messaggio, o essere passati a un’altra app o dopo essere usciti dalla finestra di conversazione, il messaggio si cancella automaticamente.

Sebbene l’app sia gratuita, si può eseguire l’upgrade al piano Plus per accedere a funzionalità extra, come ad esempio allegati illimitati e la possibilità di annullare l’invio di messaggi.

4. Facebook Messenger

La popolare app di chat Facebook Messenger (per Android e iOS) ha anche una funzione di autodistruzione dei messaggi. Il suo più grande vantaggio è la sua onnipresenza: scegli questa opzione se usi già l’app regolarmente per rimanere in contatto con i tuoi contatti.

Come con Telegram Messenger, è necessario innanzitutto avviare una conversazione segreta, protetta da crittografia end-to-end. Sebbene sia possibile aggiungere allegati multimediali all’interno di chat segrete, come al solito, non è possibile includere un gruppo di persone e deve trattarsi di una conversazione uno ad uno.

Su iOS, tocca sul pulsante per inviare un nuovo messaggio in alto a destra, seleziona l’opzione di segretezza e scegli un contatto.

Su Android, tocca il pulsante Nuovo messaggio in basso a destra, attiva l’interruttore della conversazione segreta in alto a destra e scegli un contatto. Infine, tocca l’icona del timer all’interno del campo del messaggio per impostare un tempo di scadenza, che può essere compreso tra cinque secondi e un giorno.

Non appena qualcuno avrà visualizzato il messaggio in tale periodo di tempo, non sarà più in grado di visualizzare il testo. (ciò significa anche che il tuo messaggio potrebbe diventare invisibile per te prima che scompaia per il tuo destinatario.)

Il limite di tempo rimarrà in vigore per tutti i messaggi successivi, finché non lo cambierai o lo spegnerai.

5. Snapchat

Snapchat (per Android e iOS) originariamente si era imposto per foto e video che scomparivano, portando una nuova modalità temporanea ai social media. Adesso, l’applicazione ha esteso questa pratica anche ai messaggi istantanei.

Se invii testo, foto o video direttamente a un contatto, questi contenuti si autodistruggono per impostazione predefinita dopo che sono stati visualizzati.

Tuttavia, chiunque in una conversazione Snapchat può salvare una riga di testo, immagine o video con una pressione prolungata su di essa. Si possono anche conservare conversazioni con screenshot.

Non puoi disabilitare questa funzione, il che significa che se qualcuno vuole salvare qualcosa che hai detto in Snapchat, può farlo molto facilmente.

A causa di questo difetto, Snapchat è più adatto per i messaggi che si autodistruggono quando ti fidi dei contatti all’altro capo della conversazione.

Per inviare un messaggio temporaneo, apri l’app e scorri verso destra dallo schermo della fotocamera per trovare l’elenco dei tuoi amici.

Tocca il pulsante del nuovo messaggio nell’angolo in alto a destra, inserisci il nome di uno o più contatti ed avvia la chat. Nella finestra successiva, puoi digitare un messaggio o premere il pulsante circolare della fotocamera per inviare una foto o un video. Una volta che il destinatario controlla il tuo messaggio, il contenuto svanirà e il thread della conversazione ricomincerà dall’inizio.

https://www.digitalic.it/tech-news/inviare-messaggi-che-si-autodistruggono

Microsoft avverte che Gmail blocca alcune email di Outlook come spam

Angelo Domeneghini — Wed, 03 Apr 2024 09:44:00 GMT

Microsoft avverte che Gmail blocca alcune email di Outlook come spam

Microsoft ha confermato che alcuni utenti di Outlook.com riscontrano problemi con i messaggi di posta elettronica bloccati e contrassegnati come spam quando tentano di inviare messaggi di posta elettronica agli account Gmail.

Questo problema noto colpisce solo gli utenti con domini nazionali di Outlook.com, secondo un documento di supporto pubblicato da Redmond martedì.

Agli utenti di Outlook interessati viene detto nelle e-mail di follow-up dai server di Gmail che i loro messaggi erano sospetti e che è stato impedito loro di raggiungere la casella di posta del destinatario.

"Messaggio restituito dal server remoto rilevato come spam [..].

Gmail ha rilevato che questo messaggio è probabilmente sospetto a causa della pessima reputazione del dominio mittente.

Per proteggere al meglio i nostri utenti dallo spam, il messaggio è stato bloccato," la risposta. dal server di posta di Gmail (mx.google.com)

Il sito web di supporto di Google afferma che è molto probabile che solo un sottoinsieme di questi messaggi venga bloccato perché hanno "una forte probabilità di essere spam".

Soluzione temporanea disponibile

Fino a quando il team di Outlook.com non sarà in grado di risolvere questo problema appena riconosciuto, Microsoft consiglia agli utenti interessati di aggiungere un alias di Outlook.com ai propri account e di inviare email ai contatti Gmail utilizzando tale alias.

Gli alias di Outlook sono indirizzi e-mail aggiuntivi associati al tuo account Outlook.com e utilizzano la stessa casella di posta, elenco contatti e impostazioni dell'account dell'indirizzo e-mail principale.

Gli utenti possono accedere ai propri account Outlook.com con qualsiasi alias perché utilizzano tutti le stesse credenziali.

Per aggiungere un nuovo alias, fai clic su "Aggiungi un alias" e accedi al tuo account Microsoft, se necessario.

Nella sezione "Aggiungi un alias", crea un nuovo indirizzo email di Outlook.com e designalo come alias o aggiungi un indirizzo email esistente come alias, quindi fai clic su "Aggiungi alias".

Dopo aver creato il nuovo alias Outlook.com, segui queste istruzioni su come inviare e-mail da un indirizzo e-mail diverso o modificare l'alias principale.

Le nuove linee guida anti-spam di Google

Sebbene Microsoft non abbia condiviso la causa principale dietro cui le e-mail di Outlook.com vengono contrassegnate e bloccate come spam, Google suggerisce che Redmond dovrebbe rivedere le sue nuove linee guida per i mittenti di massa per migliorare la consegna delle e-mail di Outlook agli account Gmail.

Google sta ora bloccando le email inviate da mittenti di massa che non seguono soglie di spam più rigorose e non autenticano i loro messaggi come richiesto dalle nuove linee guida progettate per rafforzare le difese contro spam e attacchi di phishing.

"A partire dall'aprile 2024, inizieremo a rifiutare il traffico non conforme. Il rifiuto sarà graduale e avrà impatto solo sul traffico non conforme", afferma la società in un documento di supporto recentemente aggiornato.

"Raccomandiamo vivamente ai mittenti di utilizzare il periodo temporaneo di applicazione degli errori per apportare le modifiche necessarie per diventare conformi."

A giugno, Google inizierà ad applicare questi nuovi requisiti per impedire a spam, tentativi di phishing e malware di raggiungere le caselle di posta dei suoi utenti.

https://www.bleepingcomputer.com/news/microsoft/microsoft-warns-gmail-blocks-some-outlook-email-as-spam-shares-fix/

Red Hat avvisa della presenza di backdoor negli strumenti XZ utilizzati dalla maggior parte delle distribuzioni Linux

Angelo Domeneghini — Wed, 03 Apr 2024 09:35:00 GMT

Red Hat avvisa della presenza di backdoor negli strumenti XZ utilizzati dalla maggior parte delle distribuzioni Linux

Oggi, Red Hat ha avvertito gli utenti di smettere immediatamente di usare i sistemi che eseguono versioni di sviluppo e sperimentali di Fedora a causa di una backdoor trovata negli ultimi strumenti e librerie di compressione dati di XZ Utils.

"SI PREGA DI INTERROMPERE IMMEDIATAMENTE L'UTILIZZO DI QUALSIASI ISTANZA FEDORA 41 O FEDORA RAWHIDE per lavoro o attività personale", ha avvertito Red Hat venerdì.

"Nessuna versione di Red Hat Enterprise Linux (RHEL) è interessata.

Abbiamo rapporti e prove delle iniezioni create con successo nelle versioni xz 5.6.x create per Debian unstable (Sid). Anche altre distribuzioni potrebbero essere interessate."

Il team di sicurezza di Debian ha anche emesso un avviso avvertendo gli utenti del problema.

L'avviso afferma che nessuna versione stabile di Debian utilizza i pacchetti compromessi e che XZ è stato ripristinato al codice upstream 5.4.5 sulle distribuzioni Debian testing, unstable e sperimentali interessate.

Anche Kali Linux, openSUSE e Arch Linux hanno pubblicato avvisi di sicurezza e versioni invertite nelle versioni successive interessate.

Gli amministratori Linux possono verificare quale versione di XZ è installata interrogando il proprio gestore pacchetti o eseguendo il seguente script di shell condiviso dal ricercatore di sicurezza informatica Kostas.

for xz_p in $(type -a xz | awk '{print $NF}' | uniq); esegui le stringhe "$xz_p" | grep "xz (XZ Utilis)" || echo "Nessuna corrispondenza trovata per $xz_p";

Lo script precedente eseguirà il comando 'strings' su tutte le istanze dell'eseguibile xz e restituirà la sua versione incorporata. L'utilizzo di questo comando consente di determinare la versione senza eseguire l'eseguibile backdoor.

Se utilizzi le versioni 5.6.0 o 5.6.1, ti consigliamo di eseguire immediatamente il downgrade alle versioni precedenti che non contengono il codice dannoso.

L'ingegnere del software Microsoft Andres Freund ha scoperto il problema di sicurezza mentre indagava sugli accessi SSH lenti su un box Linux che esegue Debian Sid (la versione di sviluppo progressivo della distribuzione Debian).

Tuttavia, non ha trovato lo scopo esatto del codice dannoso aggiunto alla libreria di compressione dati liblzma nelle versioni XZ 5.6.0 e 5.6.1 dal collaboratore Jia Tan (JiaT75).

"Non ho ancora analizzato con precisione cosa viene controllato nel codice inserito, per consentire l'accesso non autorizzato.

Dato che viene eseguito in un contesto di pre-autenticazione, sembra probabile che consenta qualche forma di accesso o altra forma di esecuzione di codice remoto, ", ha detto Freund.

"Inizialmente l'avvio di sshd al di fuori di systemd non ha mostrato rallentamenti, nonostante la backdoor sia stata richiamata brevemente.

Questo sembra essere parte di alcune contromisure per rendere più difficile l'analisi."

Red Hat ritorna a XZ 5.4.x in Fedora Beta

Red Hat sta ora monitorando questo problema di sicurezza della supply chain come CVE-2024-3094, gli ha assegnato un punteggio di gravità critica di 10/10 ed è tornato alla versione 5.4.x di XZ in Fedora 40 beta.

Il codice dannoso è offuscato e può essere trovato solo nel pacchetto di download completo, non nella distribuzione Git, dove manca la macro M4, che attiva il processo di creazione della backdoor.

Se la macro dannosa è presente, gli artefatti della seconda fase trovati nel repository Git vengono inseriti durante la fase di compilazione.

"La build dannosa risultante interferisce con l'autenticazione in sshd tramite systemd. SSH è un protocollo comunemente utilizzato per la connessione remota ai sistemi e sshd è il servizio che consente l'accesso", ha affermato Red Hat.

"Nelle giuste circostanze questa interferenza potrebbe potenzialmente consentire a un utente malintenzionato di violare l'autenticazione sshd e ottenere accesso non autorizzato all'intero sistema da remoto."

CISA ha inoltre pubblicato oggi un avviso che avvisa gli sviluppatori e gli utenti di eseguire il downgrade a una versione XZ senza compromessi (ovvero, 5.4.6 Stabile) e di cercare qualsiasi attività dannosa o sospetta sui loro sistemi.

https://www.bleepingcomputer.com/news/security/red-hat-warns-of-backdoor-in-xz-tools-used-by-most-linux-distros/

Il malware TheMoon infetta il servizio Proxy di 6.000 router ASUS in 72 ore.

Angelo Domeneghini — Wed, 27 Mar 2024 14:03:00 GMT

Il malware TheMoon infetta il servizio Proxy di6.000 router ASUS in 72 ore.

Una nuova variante della botnet malware "TheMoon" è stata individuata mentre infettava migliaia di router SOHO (piccoli uffici e uffici domestici) e dispositivi IoT obsoleti in 88 paesi.

TheMoon è collegato al servizio proxy "Faceless", che utilizza alcuni dei dispositivi infetti come proxy per instradare il traffico per i criminali informatici che desiderano rendere anonime le loro attività dannose.

I ricercatori di Black Lotus Labs che monitorano l’ultima campagna TheMoon, iniziata all’inizio di marzo 2024, hanno osservato 6.000 router ASUS presi di mira in meno di 72 ore.

Gli analisti delle minacce riferiscono che le operazioni malware come IcedID e SolarMarker utilizzano attualmente la botnet proxy per offuscare la loro attività online.

TheMoon è stato individuato per la prima volta nel 2014 quando i ricercatori hanno avvertito che il malware stava sfruttando le vulnerabilità per infettare i dispositivi LinkSys.

L'ultima campagna del malware è stata vista infettare quasi 7.000 dispositivi in una settimana, con Black Lotus Labs che afferma di prendere di mira principalmente i router ASUS.

"Attraverso la visibilità della rete globale di Lumen, Black Lotus Labs ha identificato la mappa logica del servizio proxy Faceless, inclusa una campagna iniziata nella prima settimana di marzo 2024 che ha preso di mira oltre 6.000 router ASUS in meno di 72 ore", avvertono Black Lotus Ricercatori dei laboratori.

I ricercatori non specificano il metodo esatto utilizzato per violare i router ASUS, ma dato che i modelli dei dispositivi presi di mira sono ormai giunti al termine del loro ciclo di vita, è probabile che gli aggressori abbiano sfruttato le vulnerabilità note nel firmware.

Gli aggressori possono anche forzare le password degli amministratori o testare credenziali predefinite e deboli.

Una volta che il malware riesce ad accedere a un dispositivo, verifica la presenza di ambienti shell specifici ("/bin/bash", "/bin/ash" o "/bin/sh"); in caso contrario, interrompe l'esecuzione.

Se viene rilevata una shell compatibile, il caricatore decodifica, elimina ed esegue un payload denominato ".nttpd" che crea un file PID con un numero di versione (26 attualmente).

Successivamente, il malware imposta le regole di iptables per eliminare il traffico TCP in entrata sulle porte 8080 e 80 consentendo al contempo il traffico da intervalli IP specifici.

Questa tattica protegge il dispositivo compromesso da interferenze esterne.

Il malware tenta quindi di contattare un elenco di server NTP legittimi per rilevare ambienti sandbox e verificare la connettività Internet.

Infine, il malware si connette al server di comando e controllo (C2) scorrendo una serie di indirizzi IP codificati e il C2 risponde con le istruzioni.

In alcuni casi, il C2 può istruire il malware a recuperare componenti aggiuntivi, come un modulo worm che scansiona server web vulnerabili sulle porte 80 e 8080 o file ".sox" che inoltrano il traffico sul dispositivo infetto.

Campione Sox che comunica con Faceless C2

Faceless è un servizio proxy per il crimine informatico che instrada il traffico di rete attraverso dispositivi compromessi per i clienti che pagano esclusivamente in criptovalute. Il servizio non utilizza un processo di verifica "conosci il cliente", rendendolo disponibile a chiunque.

Per proteggere la propria infrastruttura dalla mappatura dei ricercatori, gli operatori Faceless assicurano che ogni dispositivo infetto comunichi con un solo server per tutta la durata dell'infezione.

Black Lotus Labs riferisce che un terzo delle infezioni dura più di 50 giorni, mentre il 15% si risolve in meno di 48 ore.

Nonostante la chiara connessione tra TheMoon e Faceless, le due operazioni sembrano essere ecosistemi di criminalità informatica separati, poiché non tutte le infezioni malware diventano parte della botnet proxy Faceless.

Per difenderti da queste botnet, utilizza password amministratore complesse e aggiorna il firmware del tuo dispositivo alla versione più recente che risolve i difetti noti.

Se il dispositivo ha raggiunto l'EoL, sostituiscilo con un modello supportato attivamente.

Segni comuni di infezione da malware su router e IoT includono problemi di connettività, surriscaldamento e modifiche sospette delle impostazioni.

https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/

app VPN gratuite su Google Play trasformano i telefoni Android in proxy

Angelo Domeneghini — Tue, 26 Mar 2024 17:17:00 GMT

app VPN gratuite su Google Play hanno trasformato i telefoni Android in proxy

Sono state trovate oltre 15 app VPN gratuite su Google Play che utilizzavano un kit di sviluppo software dannoso che trasformava i dispositivi Android in proxy residenziali inconsapevoli, probabilmente utilizzati per la criminalità informatica e i bot per gli acquisti.

I proxy residenziali sono dispositivi che instradano il traffico Internet attraverso dispositivi situati nelle case di altri utenti remoti, facendo apparire il traffico legittimo e meno probabile che venga bloccato.

Sebbene abbiano usi legittimi per ricerche di mercato, verifica degli annunci e SEO, molti criminali informatici li utilizzano per nascondere attività dannose, tra cui frodi pubblicitarie, spamming, phishing, credential stuffing e password spraying.

Gli utenti possono registrarsi volontariamente sui servizi proxy per ottenere in cambio ricompense monetarie o di altro tipo, ma alcuni di questi servizi proxy utilizzano mezzi non etici e loschi per installare segretamente i propri strumenti di proxy sui dispositivi delle persone.

Se installati segretamente, le vittime subiranno il dirottamento della larghezza di banda Internet a loro insaputa e rischieranno problemi legali perché appaiono come fonte di attività dannose.

Un rapporto pubblicato oggi dal team di intelligence sulle minacce Satori di HUMAN elenca 28 applicazioni su Google Play che hanno segretamente trasformato i dispositivi Android in server proxy. Di queste 28 applicazioni, 17 sono state spacciate per software VPN gratuite.

Gli analisti di Satori riferiscono che le app incriminate utilizzavano tutte un kit di sviluppo software (SDK) di LumiApps che conteneva "Proxylib", una libreria Golang per eseguire il proxy.

HUMAN ha scoperto la prima app dell'operatore PROXYLIB nel maggio 2023, un'app VPN Android gratuita denominata "Oko VPN".

I ricercatori hanno successivamente trovato la stessa libreria utilizzata dal servizio di monetizzazione delle app Android LumiApps.

"Alla fine di maggio 2023, i ricercatori di Satori hanno osservato attività sui forum di hacker e sulle nuove applicazioni VPN che facevano riferimento a un SDK di monetizzazione, lumiapps[.]io", spiega il rapporto di Satori.

"Dopo ulteriori indagini, il team ha stabilito che questo SDK ha esattamente la stessa funzionalità e utilizza la stessa infrastruttura server delle applicazioni dannose analizzate nell'ambito dell'indagine sulla versione precedente di PROXYLIB. "

Un'indagine successiva ha rivelato un set di 28 app che utilizzavano la libreria ProxyLib per convertire i dispositivi Android in proxy, elencate di seguito:

VPN leggera
Tastiera degli animali
Passo Blaze
VPN Byte Blade
Launcher Android 12 (di CaptainDroid)
Launcher Android 13 (di CaptainDroid)
Launcher Android 14 (di CaptainDroid)
Feed di CaptainDroid
Vecchi film classici gratuiti (di CaptainDroid)
Confronto telefoni (di CaptainDroid)
VPN con volo veloce
VPN Fox veloce
VPN con linea veloce
Divertente animazione di Char Ging
Bordi della limousine
Ok VPN
Avvio app per telefono
VPN a flusso rapido
VPN di esempio
Tuono sicuro
Brilla sicuro
Surf veloce
VPN Swift Shield
Turbo Track VPN
VPN TurboTunnel
VPN Flash Giallo
VPN Ultra
Esegui VPN

LumiApps è una piattaforma di monetizzazione di app Android che afferma che il suo SDK utilizzerà l'indirizzo IP di un dispositivo per caricare pagine Web in background e inviare i dati recuperati alle aziende.

"LumiApps aiuta le aziende a raccogliere informazioni che sono pubblicamente disponibili su Internet.

Utilizza l'indirizzo IP dell'utente per caricare in background diverse pagine Web di siti Web noti", si legge sul sito Web di LumiApps.

"Ciò avviene in un modo che non interrompe mai l'utente e rispetta pienamente il GDPR/CCPA. Le pagine web vengono poi inviate alle aziende, che le utilizzano per migliorare i propri database, offrendo prodotti, servizi e prezzi migliori."

Tuttavia, non è chiaro se gli sviluppatori di app gratuite sapessero che l'SDK stava convertendo i dispositivi dei loro utenti in server proxy che potevano essere utilizzati per attività indesiderate.

HUMAN ritiene che le app dannose siano collegate al fornitore russo di servizi proxy residenziali "Asocks" dopo aver osservato le connessioni effettuate al sito web del fornitore proxy. Il servizio Asocks viene comunemente promosso ai criminali informatici nei forum di hacking.

Nel gennaio 2024, LumiApps ha rilasciato la seconda versione principale del suo SDK insieme a Proxylib v2. Secondo l'azienda, questo ha risolto "problemi di integrazione" e ora supporta progetti Java, Kotlin e Unity.

A seguito del rapporto di HUMAN, Google ha rimosso tutte le app nuove e rimanenti utilizzando l'SDK LumiApps dal Play Store nel febbraio 2024 e ha aggiornato Google Play Protect per rilevare le librerie LumiApp utilizzate nelle app.

Nel frattempo, molte delle app sopra elencate sono ora nuovamente disponibili sul Google Play Store, presumibilmente dopo che i loro sviluppatori hanno rimosso l'SDK incriminato.

A volte venivano pubblicati da diversi account sviluppatore, indicando potenzialmente precedenti divieti di account.

https://www.bleepingcomputer.com/news/security/free-vpn-apps-on-google-play-turned-android-phones-into-proxies/

Microsoft rilascia una soluzione di emergenza per i crash di Windows Server

Angelo Domeneghini — Mon, 25 Mar 2024 15:41:00 GMT

Microsoft rilascia una soluzione di emergenza per i crash di Windows Server

Microsoft ha rilasciato aggiornamenti di emergenza fuori banda (OOB) per risolvere un problema noto che causava l'arresto anomalo dei controller di dominio Windows dopo l'installazione degli aggiornamenti di sicurezza di Windows Server di marzo 2024.

Come riportato da BleepingComputer mercoledì, molti amministratori di sistema hanno avvertito dal Patch Tuesday di questo mese che i server si stanno bloccando e riavviando inaspettatamente a causa di una perdita di memoria nel processo LSASS (Local Security Authority Subsystem Service).

"I nostri sintomi erano un aumento dell'utilizzo della memoria sul processo lsass.exe dopo l'installazione di KB5035855 (Server 2016) e KB5035857 (Server 2022) al punto che tutta la memoria fisica e virtuale veniva consumata e la macchina si bloccava", ha detto a BleepingComputer un amministratore di Windows.

"Dall'installazione degli aggiornamenti di marzo (Exchange così come gli aggiornamenti regolari di Windows Server) la maggior parte dei nostri controller di dominio mostra un utilizzo della memoria lsass in costante aumento (fino alla loro morte)", ha affermato un altro amministratore.

Redmond ha riconosciuto pubblicamente questo problema dopo che BleepingComputer ha chiesto maggiori dettagli, affermando che riguarda tutti i server controller di dominio con gli ultimi aggiornamenti di Windows Server 2012 R2, 2016, 2019 e 2022.

Oggi, Microsoft ha rilasciato i seguenti aggiornamenti cumulativi di emergenza di Windows Server che dovrebbero correggere la perdita di memoria LSASS e impedire l'arresto anomalo e il riavvio dei server interessati

(gli aggiornamenti OOB di Windows Server 2019 verranno rilasciati nei prossimi giorni):

Windows Server 2022: KB5037422
Windows Server 2016: KB5037423
Windows Server 2012 R2: KB5037426

"Questo aggiornamento risolve un problema noto che interessa il servizio LSASS (Local Security Authority Subsystem Service). Potrebbe perdere memoria sui controller di dominio (DC)", spiega l'azienda.

"La perdita si verifica quando i controller di dominio Active Directory locali e basati su cloud elaborano le richieste di autenticazione Kerberos. Questa perdita sostanziale potrebbe causare un utilizzo eccessivo della memoria.

Per questo motivo, LSASS potrebbe smettere di rispondere e i controller di dominio si riavvieranno quando non previsto. "

Per risolvere questo problema noto, gli amministratori devono scaricare gli aggiornamenti OOB dal catalogo di Microsoft Update e installarli sui controller di dominio interessati.

Se hai installato aggiornamenti precedenti di Windows Server, verranno scaricati e installati solo i nuovi aggiornamenti contenuti in questi pacchetti.

Microsoft non ha segnalato alcun problema noto con questi aggiornamenti di emergenza.

Microsoft ha risolto altri problemi di arresto anomalo di Windows Server nel dicembre 2022 dopo che gli aggiornamenti di novembre 2022 avevano introdotto un'altra perdita di dati e nel marzo 2022 quando gli amministratori avevano nuovamente segnalato riavvii diffusi dei controller di dominio.

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-fix-for-windows-server-crashes/

Microsoft conferma il problema di Windows Server dietro l'arresto anomalo del controller di dominio

Angelo Domeneghini — Thu, 21 Mar 2024 14:34:00 GMT

Microsoft conferma il problema di Windows Server dietro l'arresto anomalo del controller di dominio

Microsoft ha confermato che una perdita di memoria introdotta con gli aggiornamenti di sicurezza di Windows Server di marzo 2024 è alla base di un problema diffuso che causa l'arresto anomalo dei controller di dominio Windows.

Come segnalato per la prima volta da BleepingComputer mercoledì e come molti amministratori hanno avvertito nell'ultima settimana, i server interessati si stanno bloccando e riavviando inaspettatamente a causa di una perdita di memoria del processo Local Security Authority Subsystem Service (LSASS) introdotta con gli aggiornamenti cumulativi di questo mese.

Il problema noto interessa tutti i server controller di dominio con gli ultimi aggiornamenti di Windows Server 2012 R2, 2016, 2019 e 2022.

Inoltre, interessa solo i sistemi aziendali che utilizzano la piattaforma Windows Server interessata; gli utenti domestici non sono interessati.

"Dopo l'installazione dell'aggiornamento di sicurezza di marzo 2024, rilasciato il 12 marzo 2024 (KB5035857), il servizio LSASS (Local Security Authority Subsystem Service) potrebbe riscontrare una perdita di memoria sui controller di dominio (DC)", afferma Microsoft.

"Ciò si osserva quando i controller di dominio Active Directory locali e basati su cloud soddisfano le richieste di autenticazione Kerberos. Perdite di memoria estreme possono causare l'arresto anomalo di LSASS, che attiva un riavvio non pianificato dei controller di dominio sottostanti (DC)."

Microsoft ha identificato la causa principale e sta lavorando a una soluzione, che verrà rilasciata a breve.

Soluzione temporanea

Fino a quando Microsoft non rilascerà una soluzione per questo grave problema di perdita di memoria e se non sono disposti a monitorare l'utilizzo della memoria dei sistemi interessati e a riavviarli quando necessario,

si consiglia agli amministratori di Windows di rimuovere gli aggiornamenti fastidiosi dai loro controller di dominio.

"Il supporto Microsoft ci ha consigliato di disinstallare l'aggiornamento per il momento", ha detto lo stesso amministratore a BleepingComputer.

Per rimuovere questi aggiornamenti difettosi, apri un prompt dei comandi con privilegi elevati dal menu Start digitando "cmd", facendo clic con il pulsante destro del mouse sull'applicazione Prompt dei comandi, quindi facendo clic su "Esegui come amministratore".

Successivamente, a seconda dell'aggiornamento installato sui controller di dominio interessati, esegui uno dei seguenti comandi:

wusa /uninstall /kb:5035855

wusa /uninstall /kb:5035849

wusa /uninstall /kb:5035857

Nel dicembre 2022, Microsoft ha risolto un'altra perdita di memoria LSASS che interessava i controller di dominio. Dopo aver installato gli aggiornamenti di Windows Server rilasciati durante il Patch Tuesday di novembre 2022, i server interessati si bloccavano e si riavviavano.

Inoltre, nel marzo 2022, Microsoft ha risolto un altro arresto anomalo del sistema LSASS che causava riavvii imprevisti dei controller di dominio Windows Server.

https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-windows-server-issue-behind-domain-controller-crashes/

Oracle avverte che l'aggiornamento macOS 14.4 interrompe Java sulle CPU Apple

Angelo Domeneghini — Thu, 21 Mar 2024 14:15:00 GMT

Oracle avverte che l'aggiornamento macOS 14.4 interrompe Java sulle CPU Apple

Oracle ha avvertito i clienti Apple di ritardare l'installazione dell'ultimo aggiornamento macOS 14.4 Sonoma perché interromperà Java sulle CPU Apple in silicio.

Questo problema causa frequentemente e in modo intermittente l'interruzione del processo Jave senza preavviso sui Mac interessati con processori M1, M2 e M3.

Interessa tutte le versioni Java, da Java 8 alle ultime build ad accesso anticipato di JDK 22, e al momento non sono disponibili soluzioni alternative.

"Non è disponibile alcuna soluzione alternativa e poiché non esiste un modo semplice per ripristinare un aggiornamento macOS, gli utenti interessati potrebbero non essere in grado di tornare a una configurazione stabile a meno che non dispongano di un backup completo dei loro sistemi prima dell'aggiornamento del sistema operativo", ha avvertito Aurelio Garcia. -Ribeyro, Direttore senior della gestione del prodotto presso Oracle.

Ciò è causato dal modo in cui macOS in esecuzione sul silicio Apple risponde quando un processo JAVA tenta di accedere alla memoria nelle aree di memoria protette. Nelle versioni precedenti di macOS, il sistema operativo inviava un segnale SIGBUS o SIGSEGV al processo e gli lasciava decidere come continuare.

Tuttavia, in macOS 14.4, il sistema operativo ora risponde con un segnale SIGKILL che termina il processo che tenta di accedere alla memoria protetta. Secondo Garcia-Ribeyro, poiché la Java Virtual Machine utilizza la generazione di codice dinamico e accede alla memoria in aree di memoria protette per garantire correttezza e prestazioni, il suo processo verrà interrotto dopo la distribuzione dell'aggiornamento macOS 14.4.

Oracle ha già avvisato i clienti, Apple e i loro partner OpenJDK e consiglia agli utenti Apple di ritardare l'aggiornamento finché il problema non verrà risolto.

"Raccomandiamo agli utenti Java su dispositivi Apple basati su ARM che eseguono macOS 14 di ritardare l'applicazione dell'aggiornamento fino a quando il problema non sarà risolto", ha affermato Garcia-Ribeyro.

Altri problemi causati da macOS 14.4

Gli utenti Mac che hanno già installato macOS 14.4 Sonoma hanno riferito di aver riscontrato anche altri problemi oltre all'arresto inaspettato di Java, come riportato da MacRumors.

Altri problemi di cui gli utenti che desiderano aggiornare a macOS 14.4 dovrebbero essere a conoscenza:

I driver della stampante, soprattutto per le stampanti HP, potrebbero essere rimossi o danneggiati.

Coloro che utilizzano "Ottimizza archiviazione Mac" potrebbero perdere tutte le versioni di file precedentemente salvate se vengono rimosse dalla memoria locale di iCloud Drive.

Alcuni utenti hanno segnalato problemi di connettività con hub USB e monitor con porte USB.

I Mac Apple Silicon con macOS 14.4 potrebbero presentare problemi di compatibilità con i prodotti PACE, incluso iLok License Manager.

Un portavoce di Apple non è stato immediatamente disponibile per un commento quando è stato contattato oggi da BleepingComputer.

https://www.bleepingcomputer.com/news/apple/oracle-warns-that-macos-144-update-breaks-java-on-apple-cpus/

QNAP avverte di un difetto critico di bypass di autenticazione nei suoi dispositivi NAS

Angelo Domeneghini — Tue, 12 Mar 2024 09:38:00 GMT

QNAP avverte di un difetto critico di bypass di autenticazione nei suoi dispositivi NAS

QNAP avverte delle vulnerabilità nei suoi prodotti software NAS, inclusi QTS, QuTS hero, QuTScloud e myQNAPcloud, che potrebbero consentire agli aggressori di accedere ai dispositivi.

Il produttore taiwanese di dispositivi NAS (Network attached storage) ha rivelato tre vulnerabilità che possono portare al bypass dell'autenticazione, all'iniezione di comandi e all'iniezione SQL.

Mentre gli ultimi due richiedono che gli aggressori siano autenticati sul sistema di destinazione, il che riduce significativamente il rischio, il primo (CVE-2024-21899) può essere eseguito in remoto senza autenticazione ed è contrassegnato come "a bassa complessità".

I tre difetti risolti sono i seguenti:

.CVE-2024-21899: meccanismi di autenticazione impropri consentono agli utenti non autorizzati di compromettere la sicurezza del sistema attraverso la rete (da remoto).
.CVE-2024-21900: questa vulnerabilità potrebbe consentire agli utenti autenticati di eseguire comandi arbitrari sul sistema tramite una rete, portando potenzialmente ad accesso o controllo non autorizzati del sistema.
.CVE-2024-21901: questo difetto potrebbe consentire agli amministratori autenticati di iniettare codice SQL dannoso attraverso la rete, compromettendo potenzialmente l'integrità del database e manipolandone i contenuti.

I difetti riguardano varie versioni dei sistemi operativi QNAP, tra cui QTS 5.1.x, QTS 4.5.x, QuTS hero h5.1.x, QuTS hero h4.5.x, QuTScloud c5.x e il servizio myQNAPcloud 1.0.x.

Si consiglia agli utenti di eseguire l'aggiornamento alle seguenti versioni, che risolvono i tre difetti:

QTS 5.1.3.2578 build 20231110 e successive

QTS 4.5.4.2627 build 20231225 e successive

QuTS hero h5.1.3.2578 build 20231110 e successive

QuTS hero h4.5.4.2626 build 20231225 e successive

QuTScloud c5.1.5.2651 e versioni successive

myQNAPcloud 1.0.52 (24/11/2023) e versioni successive

Per QTS, QuTS hero e QuTScloud, gli utenti devono accedere come amministratori, accedere a

"Pannello di controllo > Sistema > Aggiornamento firmware"

e fare clic su "Verifica aggiornamenti" per avviare il processo di installazione automatica.

Per aggiornare myQNAPcloud, accedere come amministratore, aprire 'App Center', fare clic sulla casella di ricerca e digitare "myQNAPcloud" + INVIO.

L'aggiornamento dovrebbe apparire nei risultati. Fare clic sul pulsante "Aggiorna" per iniziare.

I dispositivi NAS spesso archiviano grandi quantità di dati preziosi per aziende e privati, comprese informazioni personali sensibili, proprietà intellettuale e dati aziendali critici.

Allo stesso tempo, non vengono monitorati attentamente, rimangono sempre connessi ed esposti a Internet e potrebbero utilizzare sistemi operativi/firmware obsoleti.

Per tutti questi motivi, i dispositivi NAS sono spesso presi di mira per furti di dati ed estorsioni.

Alcune operazioni ransomware precedentemente note per prendere di mira i dispositivi QNAP sono DeadBolt, Checkmate e Qlocker.

Questi gruppi hanno lanciato numerose ondate di attacchi contro gli utenti NAS, a volte sfruttando exploit zero-day per violare dispositivi dotati di patch complete.

Il miglior consiglio per i possessori di NAS è di mantenere sempre aggiornato il software e, ancora meglio, di non esporre questi tipi di dispositivi a Internet.

https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-auth-bypass-flaw-in-its-nas-devices/

Finta app Crypto su Apple App Store

Angelo Domeneghini — Tue, 12 Mar 2024 09:27:00 GMT

Finta app Crypto su Apple App Store

Gli sviluppatori del portafoglio di criptovaluta Leather stanno avvertendo di un'app falsa sull'App Store di Apple, con gli utenti che segnalano che si tratta di un svuota portafoglio che ha rubato le loro risorse digitali.

I svuota-portafogli sono app o script dannosi che inducono gli utenti a inserire le loro passphrase segrete o a eseguire transazioni dannose consentendo agli aggressori di rubare tutte le risorse digitali, inclusi NFT e criptovaluta, dai portafogli degli utenti.

I svuotatori di portafogli (noti anche come crypto drainers) sono diventati sempre più comuni nell'ultimo anno, con gli autori di minacce che hackerano account di social media con molti follower per promuovere siti di phishing contenenti siti dannosi o pubblicando annunci per indirizzare i visitatori verso siti che inducono gli utenti a entrare nel loro account. frase di recupero dei portafogli.

Il "business" del svuotamento di portafogli è diventato così redditizio che gli autori delle minacce hanno creato servizi di cripto-phishing, consentendo a qualsiasi aspirante attore delle minacce di partecipare ad attività illegali.

App Finta Pelle sull'Apple App Store

La settimana scorsa, il portafoglio Leather ha avvertito la sua comunità di una versione falsa del suo portafoglio sull'App Store di Apple, chiarendo che l'azienda non offre ancora un'app iOS.

La piattaforma ha consigliato a coloro che hanno inserito la propria passphrase segreta nell'app falsa di trasferire immediatamente la propria criptovaluta su un nuovo portafoglio.

Questo perché una volta inserita nel portafoglio fasullo, la passphrase è stata probabilmente inviata agli autori della minaccia, che possono utilizzarla per svuotare il portafoglio di tutte le risorse.

L'app rimane disponibile sull'App Store nonostante la segnalazione di Leather ad Apple più di una settimana fa.

Sfortunatamente, le persone hanno già segnalato di aver perso fondi inserendo la propria passphrase nel finto portafoglio Leather, con utenti che hanno segnalato una perdita di fondi negli ultimi giorni e anche oggi.

Al momento in cui scrivo, l'app dannosa è ancora presente sull'App Store, pubblicata da "LetalComRu" e utilizza il vero logo Leather.

In particolare, l'app ha una valutazione di 4,9 su 5,0, con la maggior parte delle recensioni inviate dagli utenti che appaiono false poiché utilizzano nomi casuali ma simili e il testo è quasi identico.

Poiché l'App Store non riporta il numero di download, il numero di persone che hanno scaricato questa app per il drenaggio di criptovalute è sconosciuto.

BleepingComputer ha contattato Apple in merito alla presenza dell'app svuota portafoglio sull'App Store, ma non è stato immediatamente disponibile un commento.

Sebbene Apple sia nota per mantenere elevati standard di qualità e sicurezza sull’App Store, i truffatori hanno trovato il modo di aggirare i controlli cruciali.

All'inizio di febbraio 2024, sull'App Store è stata pubblicata un'app falsa denominata "LassPass", che imitava la popolare app di gestione delle password LastPass.

LastPass ha segnalato l'app fraudolenta ad Apple tramite la procedura consigliata ed è stata rimossa dall'App Store poche ore dopo la nostra pubblicazione per aver violato le linee guida sulle app imitatrici.

Nel caso di Leather, l'app falsa non tenta di falsificarne un'altra, ma sfrutta invece l'indisponibilità di un'app iOS da parte della vera piattaforma di gestione del portafoglio.

Ciò dovrebbe comunque applicarsi a una controversia sui contenuti, poiché la proprietà intellettuale di Leather viene utilizzata per promuovere lo scolapiatti, ma fino a quando l'app non verrà rimossa, si consiglia agli utenti di essere cauti.

Infine, questo è un buon promemoria del motivo per cui è più sicuro navigare tra le app sugli App Store utilizzando i collegamenti dai siti Web ufficiali di questi progetti, purché venga prima confermata l'autenticità di tali siti. In questo caso, il vero sito web di Leather è su Leather.io.

Aggiornamento 12/3 - Un portavoce di Apple ha confermato a BleepingComputer la rimozione dell'app dannosa per il drenaggio di criptovalute dall'App Store, che era attiva da poco più di due settimane.

Inoltre, lo sviluppatore dell'app verrà rimosso dal Programma per sviluppatori di Apple.

https://www.bleepingcomputer.com/news/security/fake-leather-wallet-app-on-apple-app-store-is-a-crypto-drainer/

Microsoft risolve il bug Outlook che non si sincronizza con Exchange ActiveSync

Angelo Domeneghini — Sat, 02 Mar 2024 08:04:00 GMT

Microsoft risolve il bug Outlook che non si sincronizza con Exchange ActiveSync

Microsoft ha risolto un problema che causava l'interruzione della connessione ai server di posta elettronica tramite Exchange ActiveSync da parte dei client desktop Outlook di alcuni utenti Microsoft 365.

Exchange ActiveSync (EAS) è un protocollo di sincronizzazione utilizzato da Microsoft Exchange per consentire agli utenti di accedere alla posta elettronica, al calendario, ai contatti e alle attività.

EAS utilizza HTTP e XML per comunicare e sincronizzare i dati tra il server Exchange e i dispositivi mobili. Per impostazione predefinita, EAS è abilitato sulle cassette postali dei nuovi utenti e la sua disattivazione può impedire agli utenti di sincronizzare le proprie cassette postali con i dispositivi mobili.

"Dobbiamo utilizzare Activesync per connetterci al nostro server di posta elettronica ospitato nel cloud. Altre sincronizzazioni potrebbero non essere influenzate", ha affermato un utente.

Il problema noto influisce solo sugli utenti di Outlook per Microsoft 365 che hanno aggiornato i propri client alla versione 2401 build 17231.20182.

Microsoft afferma che il problema noto è stato risolto nella versione 2402 Build 17328.20068 e successive e chiede ai clienti di installare l'aggiornamento facendo clic su "Aggiorna ora" in File > Account Office > Opzioni di aggiornamento.

Prima di risolvere il problema, Redmond ha anche fornito una soluzione temporanea agli utenti interessati per ripristinare i propri client desktop Outlook, che richiedeva il ripristino delle installazioni Click-to-Run di Office M365 su una build di Office non interessata (la build suggerita è la versione 2312 Build 17126.20132) o il passaggio a un canale Office che non presentava questo problema di sincronizzazione.

"Se hai risolto il problema ripristinando la build precedente, riattiva gli aggiornamenti selezionando File > Account Office > Opzioni di aggiornamento > Abilita aggiornamenti", ha affermato oggi la società.

Microsoft sta inoltre attualmente esaminando un problema che attiva avvisi di sicurezza in Outlook quando si tenta di aprire file di calendario .ICS dopo l'installazione degli aggiornamenti di sicurezza di Patch Tuesday Office di dicembre 2023.

Il mese scorso, Microsoft ha risolto un altro problema noto di Outlook, che causava problemi di connessione per i client di posta elettronica desktop e mobili che utilizzavano account Outlook.com.

A dicembre, Microsoft ha risolto due ulteriori bug: uno causava problemi di invio di e-mail per gli utenti con molte cartelle, mentre l'altro causava il blocco di Outlook durante l'invio di e-mail da account Outlook.com.

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-clients-not-syncing-over-exchange-activesync/

Skype apre tutti i link in Edge? Come risolvere

Angelo Domeneghini — Wed, 28 Feb 2024 17:57:00 GMT

Skype apre tutti i link in Edge? Come risolvere

Se anche tu stai facendo i conti con l'apertura automatica nel browser Edge dei link condivisi nelle chat di Skype, prova questa soluzione.

Chi scrive ha notato un comportamento anomalo nella gestione dei link condivisi nella chat di Skype su desktop (nel mio caso Windows 11), a partite da oggi: l’apertura avviene sempre all’interno di Edge, anche se il browser impostato come predefinito è un altro. Entrambi i software, lo ricordiamo, sono sviluppato e gestiti da Microsoft.

Perché i link di Skype ora si aprono in Edge?

La versione dell’app installata sul mio PC è l’ultima rilasciata, la 8.113.0.210.

Non sembra esserci alcuna opzione, all’interno delle impostazioni, per evitare che questo avvenga.

Come vedremo a breve, fortunatamente una soluzione c’è, anche se somiglia molto a una sorta di workaround e non è affatto l’ideale.

È stata sufficiente una ricerca tra i forum di Microsoft per trovare una discussione intavolata da chi ha incontrato lo stesso problema.

L’autore ha scritto: "A partire dal 28 febbraio 2024, tutti i miei link si aprono in Edge, anche se Chrome è predefinito".

Altri thread simili sono comparsi su Reddit.

La prima replica è quella di un moderatore, che fa riferimento ciò che viene definito bug-by-design. In altre parole, non c’è alcun modo per evitarlo, se non ricorrendo a un piccolo trick: "Sfortunatamente, al momento non ci sono opzioni per disabilitare questa nuova caratteristica, Microsoft ne è informata e sta indagando il problema".

Dunque, qual è la soluzione? Semplicemente, consiste nell’effettuare un click con il pulsante centrale del mouse sul link, anziché con quello sinistro come da prassi.

Non si tratta certo del metodo più intuitivo, ma sembra funzionare, anche se a quanto pare non per tutti.

La palla passa ora nelle mani di Microsoft, chiamata a risolvere una situazione che per molti potrebbe diventare parecchio fastidiosa.

Considerando come il comportamento anomalo sia stato innescato proprio da un aggiornamento rilasciato dalla software house, l’attesa potrebbe non essere breve.

L’alternativa è recuperare una vecchia versione di Skype (come la 8.112.0.210 per Windows, dai server del sito ufficiale) e installarla dopo aver eliminato quella più recente.

https://www.punto-informatico.it/skype-apre-link-edge-come-risolvere/

Python: Il Giappone avverte dei pacchetti PyPi dannosi creati dagli hacker nordcoreani

Angelo Domeneghini — Wed, 28 Feb 2024 17:45:00 GMT

Python: Il Giappone avverte dei pacchetti PyPi dannosi creati dagli hacker nordcoreani

Il Computer Security Incident Response Team giapponese (JPCERT/CC) avverte che il famigerato gruppo di hacker nordcoreano Lazarus ha caricato quattro pacchetti PyPI dannosi per infettare gli sviluppatori con malware.

PyPI (Python Package Index) è un repository di pacchetti software open source che gli sviluppatori software possono utilizzare nei loro progetti Python per aggiungere funzionalità aggiuntive ai loro programmi con il minimo sforzo.

La mancanza di controlli rigorosi sulla piattaforma consente agli autori delle minacce di caricare pacchetti dannosi come malware che rubano informazioni e backdoor che infettano i computer degli sviluppatori con malware quando aggiunti ai loro progetti.

Questo malware consente al gruppo di hacker di accedere alla rete dello sviluppatore, dove commettono frodi finanziarie o compromettono progetti software per condurre attacchi alla catena di fornitura.

Lazarus aveva già sfruttato PyPI per distribuire malware nell'agosto 2023, quando gli hacker sponsorizzati dallo stato nordcoreano avevano inviato pacchetti camuffati da modulo connettore VMware vSphere.

I nuovi pacchetti PyPi di Lazarus

Oggi, JPCERT/CC avverte che Lazarus ha nuovamente caricato pacchetti su PyPi che installeranno il caricatore di malware "Comebacker".

I quattro nuovi pacchetti che JPCERT/CC attribuisce a Lazarus sono:

pycryptoenv – 743 download
pycryptoconf – 1344 download
quasarlib – 778 download
swapmempool – 392 download

I nomi dei primi due pacchetti creano un falso collegamento al legittimo progetto "pycrypto" (Python Cryptography Toolkit), una raccolta di funzioni hash sicure e vari algoritmi di crittografia scaricati 9 milioni di volte al mese.

Nessuno dei quattro pacchetti è attualmente disponibile su PyPI, poiché sono stati rimossi dal repository solo ieri.

Tuttavia, la piattaforma di monitoraggio delle statistiche di download PePy riporta un conteggio totale di installazioni di 3.252, quindi migliaia di sistemi sono stati compromessi dal malware Lazarus.

I pacchetti dannosi condividono una struttura di file simile, contenente un file "test.py" che non è realmente uno script Python ma un file DLL con codifica XOR eseguito dal file "__init__.py", anch'esso incluso nel pacchetto.

L'esecuzione di test.py attiva la decodifica e la creazione di file DLL aggiuntivi che appaiono falsamente come file di database,

L'agenzia giapponese per la sicurezza informatica afferma che il payload finale (IconCache.db), eseguito in memoria, è un malware noto come "Comebacker", identificato per la prima volta dagli analisti di Google nel gennaio 2021, che hanno riferito che era stato utilizzato contro i ricercatori di sicurezza.

Il malware Comebacker si connette al server di comando e controllo (C2) dell'aggressore, invia una richiesta HTTP POST con stringhe codificate e attende che ulteriore malware Windows venga caricato in memoria.

Sulla base di vari indicatori, JPCERT/CC afferma che quest'ultimo attacco è un'altra ondata della stessa campagna segnalata da Phylum nel novembre 2023 che coinvolgeva cinque pacchetti npm a tema crittografico.

Lazarus ha una lunga storia di violazioni delle reti aziendali per commettere frodi finanziarie, solitamente per rubare criptovaluta.

Precedenti attacchi attribuiti a Lazarus includono il furto di Ethereum per un valore di 620 milioni di dollari dal bridge di rete Ronin di Axie Infinity e altri furti di criptovalute su Harmony Horizon, Alphapo, CoinsPaid e Atomic Wallet.

A luglio, GitHub aveva avvertito che Lazarus stava prendendo di mira gli sviluppatori di società di blockchain, criptovalute, giochi d'azzardo online e sicurezza informatica utilizzando repository dannosi.

https://www.bleepingcomputer.com/news/security/japan-warns-of-malicious-pypi-packages-created-by-north-korean-hackers/

Gli aggiornamenti di Windows 11 di febbraio 2024 non vengono installati con errori 0x800F0922

Angelo Domeneghini — Wed, 28 Feb 2024 17:34:00 GMT

Gli aggiornamenti di Windows 11 di febbraio 2024 non vengono installati con errori 0x800F0922

Microsoft afferma che gli aggiornamenti di febbraio 2024 non vengono installati sui sistemi Windows 11 22H2 e 23H2, con errori 0x800F0922 e download interrotti al 96%.

Gli utenti che riscontrano questo problema noto vedranno probabilmente una nuova voce nel Visualizzatore eventi di Windows con un codice di errore 0x800F0922.

Il seguente messaggio verrà visualizzato sui sistemi interessati dopo che l'installazione degli aggiornamenti di sicurezza non è riuscita:

"Qualcosa non è andato come previsto. Non preoccuparti: annulla le modifiche. Tieni il computer acceso."

"I dispositivi Windows 11 che tentano di installare l'aggiornamento di sicurezza di febbraio 2024, rilasciato il 13 febbraio 2024 (KB5034765) potrebbero riscontrare errori di installazione e il sistema potrebbe smettere di rispondere al 96%", ha affermato Microsoft in una nuova voce aggiunta al dashboard sull'integrità della versione di Windows.

"Stiamo lavorando a una soluzione per questo problema e forniremo un aggiornamento in una prossima versione."

Fino a quando non sarà disponibile una soluzione,

Redmond fornisce una soluzione temporanea per i clienti interessati,

richiedendo loro di eliminare la cartella nascosta "C:\$WinREAgent".

Dopo aver eliminato questa cartella, potrebbe essere necessario riavviare il sistema interessato affinché gli aggiornamenti di sicurezza di febbraio 2024 vengano installati correttamente.

Probabilmente causato da un problema di WinRE

Anche se Microsoft non ha fornito dettagli sulla causa di questi problemi di installazione degli aggiornamenti, la soluzione condivisa lunedì suggerisce che potrebbe essere collegata a un problema dell'ambiente ripristino Windows (WinRE).

WinRE era anche dietro l'aggiornamento di Windows 10 KB5034441 di gennaio 2024 che falliva con errori 0x80070643 con "Si sono verificati alcuni problemi durante l'installazione degli aggiornamenti, ma riproveremo più tardi". messaggi.

L'azienda sta inoltre lavorando a una soluzione permanente per i problemi di installazione dell'aggiornamento di gennaio dopo aver condiviso gli script di PowerShell che aiutano a risolvere il problema.

"L'errore potrebbe anche significare che non c'è abbastanza spazio libero nella partizione riservata del sistema. Potresti riuscire a risolvere questo problema utilizzando software di terze parti per aumentare la dimensione della partizione riservata del sistema", come spiega anche Microsoft in questo documento di supporto.

"Questo errore potrebbe significare che il tuo PC non è riuscito a connettersi ai server Windows Update. Se stai utilizzando una connessione VPN per connetterti a una rete aziendale, disconnettiti dalla rete e disattiva il software VPN (se applicabile) e prova ad aggiornare Ancora."

https://www.bleepingcomputer.com/news/microsoft/windows-february-2024-updates-fail-to-install-with-0x800f0922-errors/

Joomla corregge i difetti XSS che potrebbero esporre i siti ad attacchi RCE

Angelo Domeneghini — Fri, 23 Feb 2024 10:51:00 GMT

Joomla corregge i difetti XSS che potrebbero esporre i siti ad attacchi RCE

Sono state scoperte cinque vulnerabilità nel sistema di gestione dei contenuti Joomla che potrebbero essere sfruttate per eseguire codice arbitrario su siti Web vulnerabili.

Il fornitore ha risolto i problemi di sicurezza, che incidono su più versioni di Joomla, e le correzioni sono presenti nelle versioni 5.0.3 e anche 4.4.3 del CMS.

CVE-2024-21722: le funzionalità di gestione MFA non terminavano correttamente le sessioni utente esistenti quando i metodi MFA di un utente venivano modificati.
.CVE-2024-21723: l'analisi inadeguata degli URL potrebbe comportare un reindirizzamento aperto.
CVE-2024-21724: una convalida inadeguata dell'input per i campi di selezione dei media porta a vulnerabilità di cross-site scripting (XSS) in varie estensioni.
CVE-2024-21725: L'escape inadeguato degli indirizzi di posta porta a vulnerabilità XSS in vari componenti
CVE-2024-21726: filtraggio dei contenuti inadeguato all'interno del codice del filtro che porta a più XSS

L'avviso di Joomla rileva che CVE-2024-21725 è la vulnerabilità con il rischio di gravità più elevato e ha un'alta probabilità di sfruttamento.

Rischio di esecuzione di codice in modalità remota

Un altro problema, un XSS tracciato come CVE-2024-21726, influisce sul componente filtro principale di Joomla. Ha una gravità e una probabilità di sfruttamento moderate, ma Stefan Schiller, ricercatore di vulnerabilità presso il fornitore di strumenti di ispezione del codice Sonar, avverte che potrebbe essere sfruttato per ottenere l'esecuzione di codice in modalità remota.

"Gli aggressori possono sfruttare il problema per ottenere l'esecuzione di codice in modalità remota inducendo un amministratore a fare clic su un collegamento dannoso", ha affermato Schiller.

Le falle XSS possono consentire agli aggressori di inserire script dannosi nei contenuti forniti ad altri utenti, in genere consentendo l'esecuzione di codice non sicuro attraverso il browser della vittima.

Lo sfruttamento del problema richiede l'interazione dell'utente. Un utente malintenzionato dovrebbe indurre un utente con privilegi di amministratore a fare clic su un collegamento dannoso.

Sebbene l’interazione dell’utente riduca la gravità della vulnerabilità, gli aggressori sono abbastanza intelligenti da escogitare esche adeguate. In alternativa, possono lanciare i cosiddetti attacchi "spray-and-pray", in cui un pubblico più vasto viene esposto ai collegamenti dannosi con la speranza che alcuni utenti facciano clic su di essi.

Sonar non ha condiviso alcun dettaglio tecnico sulla falla e su come può essere sfruttata, per consentire a un numero maggiore di amministratori di Joomla di applicare gli aggiornamenti di sicurezza disponibili.

"Anche se non forniremo dettagli tecnici in questo momento, vogliamo sottolineare l'importanza di un'azione tempestiva per mitigare questo rischio", afferma Schiller nell'avviso, sottolineando che tutti gli utenti di Joomla dovrebbero aggiornarsi all'ultima versione.

https://www.bleepingcomputer.com/news/security/joomla-fixes-xss-flaws-that-could-expose-sites-to-rce-attacks/

Svuotare Automaticamente la cartella Posta eliminata in Outlook

Angelo Domeneghini — Tue, 13 Feb 2024 09:29:00 GMT

Svuotare Automaticamente la cartella Posta eliminata in Outlook

Outlook può essere configurato per svuotare automaticamente la cartella Posta eliminata oppure è possibile svuotare manualmente la cartella in qualsiasi momento.

Svuotare manualmente la cartella Posta eliminata

Nell'elenco delle cartelle fare clic con il pulsante destro del mouse sulla cartella Posta eliminata o cestino e quindi scegliere Svuota cartella.

Svuotare automaticamente la cartella Posta eliminata

Selezionare opzioni >file.

Selezionare Avanzate, quindi in Outlook Start and Exit selezionare la casella di controllo Svuota la cartella Posta eliminata all'uscita.

Per ricevere una notifica prima che la cartella Posta eliminata venga svuotata automaticamente,

scorrere verso il basso nella schermata

Opzioni avanzate

fino alla sezione Altro e selezionare la casella di controllo

Richiedi conferma prima di eliminare definitivamente gli elementi.

Falso gestore di password LastPass individuato sull'App Store di Apple

Angelo Domeneghini — Fri, 09 Feb 2024 16:11:00 GMT

Falso gestore di password LastPass individuato sull'App Store di Apple

LastPass avverte che una copia falsa della sua app è stata distribuita sull'App Store di Apple, probabilmente utilizzata come app di phishing per rubare le credenziali degli utenti.

L'app falsa utilizza un nome simile all'app autentica, un'icona simile e un'interfaccia a tema rosso realizzata per apparire vicina al design autentico del marchio.

Tuttavia, il nome dell'app falsa è "LassPass" anziché "LastPass" e l'editore è "Parvati Patel".

Inoltre c'è una sola valutazione (l'app reale ne ha oltre 52mila), con solo quattro recensioni che avvertono che è falsa.

Poiché LastPass viene utilizzato per archiviare informazioni molto sensibili, come segreti e credenziali di autenticazione (nome utente/e-mail e password), è probabile che l'app sia stata creata per fungere da app di phishing e rubare credenziali.

BleepingComputer non ha testato l'app, quindi non conosciamo il suo funzionamento interno, il potenziale processo di phishing o qualsiasi altro dettaglio sulla sua funzionalità.

Il vero LastPass ha avvisato dell'esistenza dell'app clone tramite un avviso sul suo sito web per attirare l'attenzione dei clienti sul rischio di perdita di dati.

"Abbiamo incluso l'URL dell'app fraudolenta e il collegamento alla nostra app legittima in modo che i clienti possano verificare che stanno scaricando l'applicazione LastPass corretta fino a quando l'app fraudolenta non verrà rimossa", si legge nell'avviso di LastPass.

"State tranquilli,

LastPass sta lavorando attivamente per rimuovere questa applicazione il prima possibile e continuerà a monitorare eventuali cloni fraudolenti delle nostre applicazioni e/o violazioni della nostra proprietà intellettuale."

L'inclusione di un'app così palesemente fraudolenta nell'App Store di Apple è un caso molto raro, grazie al rigoroso processo di revisione delle app dell'azienda, che garantisce che il software nell'App Store soddisfi standard elevati di privacy, sicurezza e contenuti.

Questo processo include controlli automatizzati e revisione manuale da parte del team Apple per garantire il rispetto di una serie dettagliata di linee guida che gli sviluppatori devono seguire. Eppure, in qualche modo, questo clone di LastPass è stato accettato.

Inoltre, quando Apple viene a conoscenza di un'app che viola le sue linee guida, in genere agisce rapidamente per rimuoverla dall'App Store e bannarne lo sviluppatore. Tuttavia, il falso LastPass rimane disponibile sull'Apple App Store al momento della pubblicazione di questa storia.

Lo stesso sviluppatore ha un'altra app sull'App Store che sembra legittima, quindi non è da escludere la possibilità che il suo account sia stato violato da malintenzionati.

Se hai installato la falsa app LastPass, dovresti rimuoverla immediatamente e modificare la password su lastpass.com. Per sicurezza, ti consigliamo quindi di eseguire l'arduo compito di reimpostare tutte le password archiviate nella tua cassaforte LastPass.

BleepingComputer ha contattato Apple in merito alla falsa app LastPass, ma la risposta non è stata immediatamente disponibile.

Aggiornamento 9/2 - Apple ha confermato a BleepingComputer che l'app fraudolenta LastPass è stata rimossa dall'App Store per aver violato le loro linee guida sulle app copione. Inoltre, lo sviluppatore dell'app è stato rimosso dall'Apple Developer Program.

Il portavoce di Apple ha inoltre osservato che la società dispone di un processo di controversia sui contenuti per gli sviluppatori che ritengono che un altro progetto violi i loro diritti di proprietà intellettuale, confermando di aver ricevuto una controversia sul marchio da LastPass riguardante l'app copycat.

https://www.bleepingcomputer.com/news/security/fake-lastpass-password-manager-spotted-on-apples-app-store/

AnyDesk afferma che gli hacker hanno violato i suoi server di produzione, reimpostare le password!!!

Angelo Domeneghini — Mon, 05 Feb 2024 09:31:00 GMT

AnyDesk afferma che gli hacker hanno violato i suoi server di produzione: fare reset delle password!

AnyDesk ha confermato oggi di aver subito un recente attacco informatico che ha consentito agli hacker di accedere ai sistemi di produzione dell'azienda.

BleepingComputer ha appreso che il codice sorgente e le chiavi di firma del codice privato sono stati rubati durante l'attacco.

AnyDesk è una soluzione di accesso remoto che consente agli utenti di accedere in remoto ai computer tramite una rete o Internet. Il programma è molto popolare tra le aziende, che lo utilizzano per il supporto remoto o per accedere a server co-localizzati.

Il software è popolare anche tra gli autori di minacce che lo utilizzano per l'accesso persistente a dispositivi e reti violati.

L'azienda riferisce di avere 170.000 clienti, tra cui 7-Eleven, Comcast, Samsung, MIT, NVIDIA, SIEMENS e le Nazioni Unite.

AnyDesk è stato violato

In una dichiarazione condivisa con BleepingComputer nel tardo pomeriggio di venerdì, AnyDesk afferma di aver appreso dell'attacco per la prima volta dopo aver rilevato indicazioni di un incidente sui propri server di produzione.

Dopo aver condotto un audit di sicurezza, hanno stabilito che i loro sistemi erano compromessi e hanno attivato un piano di risposta con l'aiuto della società di sicurezza informatica CrowdStrike.

AnyDesk non ha condiviso i dettagli sull'eventuale furto dei dati durante l'attacco.

Tuttavia, BleepingComputer ha appreso che gli autori della minaccia hanno rubato il codice sorgente e i certificati di firma del codice.

La società ha anche confermato che il ransomware non era coinvolto ma non ha condiviso molte informazioni sull'attacco oltre a dire che i loro server erano stati violati, concentrandosi principalmente sul modo in cui hanno risposto all'incidente.

Come parte della loro risposta, AnyDesk afferma di aver revocato i certificati relativi alla sicurezza e di aver riparato o sostituito i sistemi secondo necessità.

Hanno inoltre rassicurato i clienti che AnyDesk era sicuro da usare e che non c'erano prove che i dispositivi degli utenti finali fossero stati interessati dall'incidente.

"Possiamo confermare che la situazione è sotto controllo ed è sicuro utilizzare AnyDesk. Assicurati di utilizzare la versione più recente, con il nuovo certificato di firma del codice", ha affermato AnyDesk in una dichiarazione pubblica.

Sebbene la società affermi che non è stato rubato alcun token di autenticazione, per cautela AnyDesk revoca tutte le password sul proprio portale web e suggerisce di modificare la password se viene utilizzata su altri siti.

"AnyDesk è progettato in modo tale che i token di autenticazione della sessione non possano essere rubati. Esistono solo sul dispositivo dell'utente finale e sono associati all'impronta digitale del dispositivo.

Questi token non toccano mai i nostri sistemi ", ha detto AnyDesk a BleepingComputer in risposta alle nostre domande sull'attacco .

"Non abbiamo alcuna indicazione di un dirottamento della sessione poiché, a nostra conoscenza, ciò non è possibile."

L'azienda ha già iniziato a sostituire i certificati di firma del codice rubati, con Günter Born di BornCity che ha riferito per primo di utilizzare un nuovo certificato in AnyDesk versione 8.0.8, rilasciato il 29 gennaio.

L'unica modifica elencata nella nuova versione è che l'azienda è passata a un nuovo certificato di firma del codice e revocherà presto quello vecchio.

BleepingComputer ha esaminato le versioni precedenti del software e gli eseguibili più vecchi sono stati firmati con il nome "philandro Software GmbH" con il numero di serie 0dbf152deaf0b981a8a938d53f769db8. La nuova versione è ora firmata sotto "AnyDesk Software GmbH", con un numero di serie 0a8177fcd8936a91b5e0eddf995b0ba5, come mostrato di seguito.

Di solito i certificati non vengono invalidati a meno che non siano stati compromessi, ad esempio rubati durante attacchi o esposti pubblicamente.

Sebbene AnyDesk non avesse condiviso quando si è verificata la violazione, Born ha riferito che AnyDesk ha subito un'interruzione di quattro giorni a partire dal 29 gennaio, durante i quali la società ha disabilitato la possibilità di accedere al client AnyDesk.

"my.anydesk II è attualmente in fase di manutenzione, che dovrebbe durare per le prossime 48 ore o meno", si legge nella pagina dei messaggi di stato di AnyDesk.

"Puoi comunque accedere e utilizzare normalmente il tuo account. L'accesso al client AnyDesk verrà ripristinato una volta completata la manutenzione."

Ieri l'accesso è stato ripristinato, consentendo agli utenti di accedere ai propri account, ma AnyDesk non ha fornito alcun motivo per il mantenimento negli aggiornamenti di stato.

Tuttavia, AnyDesk ha confermato a BleepingComputer che questa manutenzione è correlata all'incidente di sicurezza informatica.

Si consiglia vivamente a tutti gli utenti di passare alla nuova versione del software, poiché il vecchio certificato di firma del codice verrà presto revocato.

Inoltre, sebbene AnyDesk affermi che le password non sono state rubate durante l’attacco, gli autori delle minacce hanno ottenuto l’accesso ai sistemi di produzione, quindi è fortemente consigliato a tutti gli utenti AnyDesk di cambiare le proprie password. Inoltre, se utilizzano la password AnyDesk su altri siti, dovrebbero essere modificate anche lì.

Ogni settimana sembra di venire a conoscenza di una nuova violazione ai danni di aziende rinomate.

Ieri sera, Cloudflare ha rivelato di essere stato violato il giorno del Ringraziamento utilizzando chiavi di autenticazione rubate durante l'attacco informatico Okta dell'anno scorso.

La settimana scorsa, Microsoft ha anche rivelato di essere stata attaccata da hacker sponsorizzati dallo stato russo di nome Midnight Blizzard, che hanno attaccato anche HPE a maggio.

https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/

Microsoft risolve il problema di connessione che interessa le app di posta elettronica di Outlook

Angelo Domeneghini — Fri, 02 Feb 2024 18:07:00 GMT

Microsoft risolve il problema di connessione che interessa le app di posta elettronica di Outlook

Microsoft ha risolto un problema noto che causava l'impossibilità di connettersi ai client di posta elettronica desktop e mobili quando si utilizzavano account Outlook.com.

"Il team di Outlook.com ha implementato le modifiche al servizio il 31 gennaio 2024 per risolvere i problemi di connessione con richieste di autenticazione impreviste", ha affermato Microsoft.

"Per Outlook 2013 e Outlook 2016, se continui a visualizzare richieste di autenticazione, assicurati di aver abilitato la verifica in due passaggi e di creare una password per l'app.

Utilizza la password per l'app al posto della normale password quando Outlook richiede l'autenticazione."

Maggiori dettagli su come utilizzare le password delle app con app senza supporto per la verifica in due passaggi sono disponibili in questo documento di supporto.

I clienti colpiti da questi problemi di accesso hanno iniziato martedì scorso a condividere rapporti sulle piattaforme della community di Microsoft e su altri social network come Reddit.

Gli utenti interessati hanno visualizzato popup che richiedevano loro di inserire la password del proprio account e di fornire loro l'opzione "Ricorda le mie credenziali".

Tuttavia, anche per coloro che hanno inserito le credenziali corrette, la finestra di accesso veniva comunque visualizzata quando l'app tentava di connettersi all'account Outlook.com.

"Dall'inizio del 23/01/24 gli utenti hanno segnalato problemi di connessione con Outlook 2013, Outlook 2016, Outlook per Microsoft 365, Thunderbird e app di posta elettronica mobile durante la connessione con connessioni POP, IMAP ed Exchange", ha affermato Microsoft riconoscendo per la prima volta la notizia. problema.

"Alcuni utenti hanno segnalato che l'accesso con una password per l'app funziona per connettersi ma successivamente torna in uno stato disconnesso."

Correzioni per altri problemi di Outlook

Negli ultimi mesi gli utenti di Outlook.com hanno riscontrato altri problemi che hanno impedito loro di cercare il contenuto della posta elettronica o causato l'arresto anomalo dei client di posta elettronica.

Due mesi fa, il team di Outlook ha risolto un altro problema noto che causava l'arresto anomalo dei client desktop di Outlook durante l'invio di e-mail dagli account Outlook.com nella versione 2311 build 17029.20068.

Dopo aver risolto il bug, Microsoft ha consigliato agli utenti che avevano disabilitato gli aggiornamenti automatici di fare clic su

"Aggiorna ora" in File > Account Office > Opzioni di aggiornamento per ottenere la correzione.

A luglio Redmond ha inoltre risolto un problema che causava errori di eccezione 401 per gli utenti di Outlook.com e interrompeva le ricerche di posta elettronica.

Prima di ciò, a giugno, diversi servizi Microsoft, tra cui Outlook.com, OneDrive e il portale Azure, erano stati interrotti da attacchi DDoS successivamente rivendicati da un attore di minacce noto come Anonymous Sudan, ritenuto avere collegamenti con la Russia.

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-connection-issue-affecting-outlook-email-apps/

TeamViewer usato per diffondere ransomware

Angelo Domeneghini — Fri, 19 Jan 2024 12:06:00 GMT

TeamViewer usato per diffondere ransomware

Gli autori del ransomware utilizzano nuovamente TeamViewer per ottenere l'accesso iniziale agli endpoint dell'organizzazione e tentano di implementare crittografi basati sul builder di ransomware LockBit trapelato.

TeamViewer è uno strumento di accesso remoto legittimo ampiamente utilizzato nel mondo aziendale, apprezzato per la sua semplicità e capacità.

Sfortunatamente, lo strumento è apprezzato anche dai truffatori e persino dagli autori di ransomware, che lo utilizzano per ottenere l'accesso ai desktop remoti, eliminando ed eseguendo file dannosi senza ostacoli.

Un caso simile è stato segnalato per la prima volta nel marzo 2016, quando numerose vittime hanno confermato nei forum di BleepingComputer che i loro dispositivi erano stati violati utilizzando TeamViewer per crittografare i file con il ransomware Surprise.

All'epoca, la spiegazione di TeamViewer per l'accesso non autorizzato era il credential stuffing, il che significa che gli aggressori non sfruttavano una vulnerabilità zero-day nel software ma utilizzavano invece le credenziali trapelate dagli utenti.

"Poiché TeamViewer è un software molto diffuso, molti criminali online tentano di accedere con i dati di account compromessi per scoprire se esiste un account TeamViewer corrispondente con le stesse credenziali", ha spiegato all'epoca il fornitore del software.

"Se è così, è probabile che possano accedere a tutti i dispositivi assegnati per installare malware o ransomware."

TeamViewer ha preso nuovamente di mira

Un nuovo rapporto di Huntress mostra che i criminali informatici non hanno abbandonato queste vecchie tecniche, continuando a prendere il controllo dei dispositivi tramite TeamViewer per provare a distribuire ransomware.

I file di registro analizzati (connections_incoming.txt) mostravano in entrambi i casi connessioni dalla stessa fonte, indicando un aggressore comune.

Nel primo endpoint compromesso, Huntress ha riscontrato nei registri molteplici accessi da parte dei dipendenti, indicando che il software veniva utilizzato attivamente dal personale per attività amministrative legittime.

Nel secondo endpoint rilevato da Huntress, attivo dal 2018, non è stata rilevata alcuna attività nei log negli ultimi tre mesi, il che indica che veniva monitorato meno frequentemente, il che forse lo rendeva più attraente per gli aggressori.

In entrambi i casi gli aggressori hanno tentato di distribuire il payload del ransomware utilizzando un file batch DOS (PP.bat) posizionato sul desktop, che eseguiva un file DLL (payload) tramite il comando rundll32.exe.

Il file PP.bat utilizzato per eseguire la crittografia ransomware

Fonte: BleepingComputer

L'attacco al primo endpoint è riuscito ma è stato contenuto. Nel secondo, il prodotto antivirus ha interrotto il tentativo, costringendo a ripetuti tentativi di esecuzione del payload senza successo.

Anche se Huntress non è stata in grado di attribuire gli attacchi con certezza a nessuna banda di ransomware conosciuta, notano che è simile ai crittografi LockBit creati utilizzando un builder LockBit Black trapelato.

Nel 2022, il costruttore di ransomware per LockBit 3.0 è trapelato, con le bande Bl00dy e Buhti che hanno lanciato rapidamente le proprie campagne utilizzando il costruttore.

Il builder trapelato consente di creare diverse versioni del crittografo, incluso un eseguibile, una DLL e una DLL crittografata che richiede una password per essere avviata correttamente.

Sulla base degli IOC forniti da Huntress, gli attacchi tramite TeamViewer sembrano utilizzare la DLL LockBit 3 protetta da password.

Anche se BleepingComputer non è riuscito a trovare il campione specifico visto da Huntress, ne abbiamo trovato un altro caricato su VirusTotal la settimana scorsa.

Questo campione viene rilevato come LockBit Black ma non utilizza la nota standard del ransomware LockBit 3.0, indicando che è stato creato da un altro gruppo di ransomware utilizzando il builder trapelato.

Anche se non è chiaro come gli autori delle minacce stiano ora prendendo il controllo delle istanze di TeamViewer, l'azienda ha condiviso con BleepingComputer la seguente dichiarazione sugli attacchi e sulla messa in sicurezza delle installazioni.

"In TeamViewer prendiamo estremamente sul serio la sicurezza e l'integrità della nostra piattaforma e condanniamo inequivocabilmente qualsiasi forma di utilizzo dannoso del nostro software.

La nostra analisi mostra che la maggior parte dei casi di accesso non autorizzato comportano un indebolimento delle impostazioni di sicurezza predefinite di TeamViewer.

Ciò spesso include l'uso di password facilmente indovinabili, cosa possibile solo utilizzando una versione obsoleta del nostro prodotto.

Sottolineiamo costantemente l'importanza di mantenere solide pratiche di sicurezza, come l'utilizzo di password complesse, autenticazione a due fattori, elenchi di autorizzazioni e aggiornamenti regolari alle ultime versioni del software. Questi passaggi sono fondamentali per la protezione da accessi non autorizzati.

Per supportare ulteriormente i nostri utenti nel mantenere operazioni sicure, abbiamo pubblicato una serie di best practice per l'accesso automatico sicuro, reperibili in [Best practices for secure unattended access - TeamViewer Support].

https://www.bleepingcomputer.com/news/security/teamviewer-abused-to-breach-networks-in-new-ransomware-attacks/

Gli script iShutdown possono aiutarti a rilevare lo spyware iOS sul tuo iPhone

Angelo Domeneghini — Fri, 19 Jan 2024 11:53:00 GMT

Gli script iShutdown possono aiutarti a rilevare lo spyware iOS sul tuo iPhone

I ricercatori di sicurezza hanno scoperto che le infezioni con spyware di alto profilo Pegasus, Reign e Predator potrebbero essere scoperte su dispositivi mobili Apple compromessi controllando Shutdown.log, un file di registro di sistema che memorizza gli eventi di riavvio.

Kaspersky ha rilasciato script Python per automatizzare il processo di analisi del file Shutdown.log e riconoscere potenziali segni di infezione da malware in un modo che sia facile da valutare.

Shutdown.log viene scritto al riavvio del dispositivo e registra il tempo necessario per terminare un processo e il relativo identificatore (PID).

Il malware che ha un effetto misurabile sul riavvio del dispositivo a causa dell'iniezione di processo e della manipolazione che esegue, lascia artefatti forensi digitali che convalidano la compromissione.

Rispetto alle tecniche standard come l'esame di un backup iOS crittografato o del traffico di rete, il file Shutdown.log fornisce un metodo di analisi molto più semplice, dicono i ricercatori.

Kaspersky ha pubblicato tre script Python chiamati iShutdown che consentono ai ricercatori di controllare i dati di riavvio dal file di registro di spegnimento di iOS:

iShutdown_detect.py: analizza l'archivio Sysdiagnose che contiene il file di registro
iShutdown_parse.py: estrae gli artefatti Shutdown.log dall'archivio tar
iShutdown_stats.py: estrae le statistiche di riavvio dal file di registro

Poiché il file Shutdown.log può scrivere dati contenenti segni di infezione solo se viene eseguito un riavvio dopo la compromissione, Kaspersky consiglia di riavviare spesso il dispositivo infetto.

"Quanto spesso, potresti chiedere? Beh, dipende! Dipende dal profilo di minaccia dell'utente; ogni poche ore, ogni giorno o forse in occasione di "eventi importanti"; lasceremo questa domanda come una domanda a risposta aperta" - Kaspersky

Il repository GitHub di Kaspersky contiene istruzioni su come utilizzare gli script Python e anche output di esempio.

Tuttavia, per valutare correttamente i risultati è necessaria una certa familiarità con Python, iOS, output del terminale e indicatori di malware.

L'output evidenzia in rosso i processi che ritardano il processo di riavvio

Processi di evidenziazione dell'output che ritardano il processo di riavvio (Kaspersky)

I file Sysdiagnose sono archivi .tar.gz da 200-400 MB utilizzati per la risoluzione dei problemi dei dispositivi iOS e iPadOS, contenenti informazioni sul comportamento del software, sulle comunicazioni di rete e altro ancora.

Inizialmente Kaspersky ha utilizzato questo metodo per analizzare gli iPhone infettati dallo spyware Pegasus e ha ricevuto l'indicatore dell'infezione nel registro, confermato utilizzando lo strumento MVT sviluppato da Amnesty International.

"Poiché abbiamo confermato la coerenza di questo comportamento con le altre infezioni di Pegasus analizzate, riteniamo che fungerà da strumento forense affidabile per supportare l'analisi delle infezioni" - Kaspersky

I ricercatori notano che il loro metodo fallisce se l'utente non riavvia il dispositivo il giorno dell'infezione.

Un'altra osservazione è che il file di registro registra quando un riavvio viene ritardato, come nel caso di un processo correlato a Pegasus che impedisce la procedura.

Sebbene ciò possa verificarsi su telefoni non infetti, i ricercatori di Kaspersky ritengono che più di quattro ritardi, considerati eccessivi, costituiscano un'anomalia del registro che dovrebbe essere indagata.

Testando il metodo su un iPhone infetto dallo spyware Reign, i ricercatori hanno notato che l'esecuzione del malware proveniva da "/private/var/db/", lo stesso percorso utilizzato nel caso di Pegasus.

Un percorso simile visibile nel file di registro di Shurdown viene spesso utilizzato anche dallo spyware Predator che prendeva di mira legislatori e giornalisti.

Sulla base di ciò, i ricercatori di Kaspersky ritengono che l'utilizzo del "file di registro potrebbe essere in grado di aiutare a identificare le infezioni da parte di queste famiglie di malware", a condizione che l'obiettivo riavvii il telefono con una frequenza sufficiente.

https://www.bleepingcomputer.com/news/security/ishutdown-scripts-can-help-detect-ios-spyware-on-your-iphone/

Oltre 150.000 siti WordPress a rischio di acquisizione tramite plugin vulnerabili

Angelo Domeneghini — Sat, 13 Jan 2024 10:14:00 GMT

Oltre 150.000 siti WordPress a rischio di acquisizione tramite plugin vulnerabili

Due vulnerabilità che colpiscono il plug-in POST SMTP Mailer WordPress, uno strumento di consegna della posta elettronica utilizzato da 300.000 siti Web, potrebbero aiutare gli aggressori ad assumere il controllo completo dell'autenticazione di un sito.

Il mese scorso, i ricercatori sulla sicurezza di Wordfence Ulysses Saicha e Sean Murphy hanno scoperto due vulnerabilità nel plugin e le hanno segnalate al fornitore.

Il primo, segnalato come CVE-2023-6875, è un difetto critico di bypass dell'autorizzazione derivante da un problema di "giocolazione dei tipi" sull'endpoint REST dell'app di connessione. Il problema riguarda tutte le versioni del plugin fino alla 2.8.7

Un utente malintenzionato non autenticato potrebbe sfruttarlo per reimpostare la chiave API e visualizzare informazioni di registro sensibili, comprese le e-mail di reimpostazione della password.

Nello specifico, l'aggressore può sfruttare una funzione relativa all'app mobile per impostare tramite una richiesta un token valido con valore zero per la chiave di autenticazione.

Successivamente, l'aggressore attiva una reimpostazione della password per l'amministratore del sito e quindi accede alla chiave dall'interno dell'applicazione, modificandola e bloccando l'accesso dell'utente legittimo all'account.

Con i privilegi di amministratore, l'aggressore ha pieno accesso e può installare backdoor, modificare plugin e temi, modificare e pubblicare contenuti o reindirizzare gli utenti verso destinazioni dannose.

La seconda vulnerabilità è un problema di cross-site scripting (XSS) identificato come CVE-2023-7027 che deriva da un'insufficiente sanificazione dell'input e dall'escape dell'output.

La falla colpisce POST SMPT fino alla versione 2.8.7 e potrebbe consentire agli aggressori di inserire script arbitrari nelle pagine web del sito interessato.

Wordfence ha contattato per la prima volta il fornitore in merito al difetto critico l'8 dicembre 2023 e, dopo aver inviato il rapporto, ha fatto seguito a un exploit proof-of-concept (PoC) il 15 dicembre.

Il problema XSS è stato segnalato il 19 dicembre 2023 e il giorno successivo è stato condiviso un PoC.

Il fornitore del plugin ha pubblicato il 1° gennaio 2024 la versione 2.8.8 di POST SMPT che include correzioni di sicurezza per entrambi i problemi.

Secondo le statistiche di wordpress.org, ci sono circa 150.000 siti che eseguono una versione vulnerabile del plugin inferiore alla 2.8.

Della restante metà che ha installato la versione 2.8 e successive, migliaia sono probabilmente anch'esse vulnerabili se si considera che la piattaforma riporta circa 100.000 download dal rilascio della patch.

https://www.bleepingcomputer.com/news/security/over-150k-wordpress-sites-at-takeover-risk-via-vulnerable-plugin/

Windows 10: una novità per la schermata di blocco

Angelo Domeneghini — Sat, 13 Jan 2024 10:08:00 GMT

Windows 10: una novità per la schermata di blocco

Una novità per la schermata di blocco del sistema operativo, già vista su W11, fa ora il suo debutto anche sul predecessore Windows 10.

Microsoft dimostra, ancora una volta, di non aver interrotto il proprio impegno sul fronte Windows 10.

Lo ha appena fatto annunciando l’intenzione di portare sul vecchio sistema operativo una funzionalità già avvistata sul successore Windows 11 (con la build 23612 distribuita la scorsa settimana nel canale Canary).

Era già accaduto con l’assistente Copilot, questa volta è invece relativa alla schermata di blocco.

Nulla di rivoluzionario, sia chiaro, ma un’ennesima conferma di come la piattaforma non sia stata abbandonata.

Schermata di blocco: Windows 10 come W11

Si tratta di un widget relativo alle condizioni meteo.

È mostrato nella parte centrale e inferiore dell’interfaccia, aggiornato in tempo reale con i dati inerenti alla località in cui ci si trova.

È quello visibile nello screenshot allegato qui sotto, pubblicato in origine dalla redazione del sito Neowin. Un click sull’elemento apre maggiori informazioni, lanciando una scheda dedicata all’interno del browser Edge.

Stando a quanto reso noto dalla software house, la distribuzione della novità prenderà il via nel corso delle prossime settimane.

La nuova lock screen di Windows 10 con il widget del meteo

Il perché dell’impegno ancora profuso da Microsoft sul fronte Windows 10, nonostante manchi ormai poco più di un anno e mezzo alla termine del supporto ufficiale (fissato nel 14 ottobre 2025), è presto spiegato.

Secondo i numeri rilevati da StatCounter e aggiornati a fine dicembre, quasi sette PC su dieci tra quelli in circolazione sono ancora fermi a questa versione del sistema operativo.

Per la precisione il 67,42%. Tra la quota restante, solo il 26,54% ha già effettuato il passaggio al successore Windows 11.

L’integrazione del widget per le condizioni meteo è stato annunciato con il post condiviso sulle pagine del blog ufficiale e relativo al rilascio della build 19045.3992 (KB5034203) per gli Insider presenti nel canale Preview di W10 22H2.

L’aggiornamento, come di consueto, porta con sé anche un lungo elenco di bugfix, in modo da intervenire sui problemi individuati nelle release precedenti.

https://www.punto-informatico.it/windows-10-novita-schermata-blocco/

Data Act in vigore: la legge europeasui dati

Angelo Domeneghini — Sat, 13 Jan 2024 10:01:00 GMT

Entra in vigore la legge europea sui dati, che introduce nuove norme per un'economia dei dati equa e innovativa

Oggi entra in vigore la legge europea sui dati. Le nuove norme definiscono i diritti di accesso e utilizzo dei dati generati nell'UE in tutti i settori economici e faciliteranno la condivisione dei dati, in particolare dei dati industriali.

European Data Act enters into force, putting in place new rules for a fair and innovative data economy

La normativa sui dati garantirà l'equità nell'ambiente digitale chiarendo chi può creare valore dai dati e a quali condizioni. Stimolerà inoltre un mercato dei dati competitivo e innovativo sbloccando i dati industriali e fornendo chiarezza giuridica per quanto riguarda l'uso dei dati.

Margrethe Vestager, Vicepresidente esecutiva per Un'Europa pronta per l'era digitale, ha dichiarato:

Oggi segna una pietra miliare nel nostro percorso di trasformazione digitale. Attraverso una legislazione ben definita in materia di dati, mettiamo l'utente nel controllo della condivisione dei dati generati dai suoi dispositivi connessi, garantendo nel contempo la protezione dei segreti commerciali e salvaguardando il diritto fondamentale europeo alla vita privata.

Thierry Breton, Commissario per il Mercato interno, ha dichiarato:

L'entrata in vigore della legge sui dati è una pietra miliare nei nostri sforzi per plasmare lo spazio digitale. Promuoverà una fiorente economia dei dati dell'UE, innovativa e aperta, alle nostre condizioni. I cittadini e le imprese europei beneficeranno della ricchezza di dati industriali che diventa disponibile, attivando nuove applicazioni basate sui dati, in particolare nel settore dell'intelligenza artificiale.

Misure per promuovere l'economia dei dati dell'UE

Negli ultimi anni si è registrata una rapida crescita dei dispositivi connessi sul mercato europeo. L'uso di oggetti connessi (o l'Internet delle cose) genera quantità crescenti di dati. Ciò rappresenta un enorme potenziale per l'innovazione e la competitività nell'UE.

Le nuove norme consentono agli utenti dei prodotti connessi di accedere ai dati generati da tali dispositivi e di condividere tali dati con terzi. Ad esempio, il proprietario di un'automobile connessa o l'operatore di una turbina eolica potrà chiedere al costruttore di condividere determinati dati generati dall'uso di tali prodotti connessi con un servizio di riparazione di sua scelta. Ciò darà maggiore controllo ai consumatori e agli altri utenti di prodotti connessi e stimolerà i servizi post-vendita e l'innovazione. Saranno preservati gli incentivi per i fabbricanti a investire in prodotti e servizi generatori di dati e i loro segreti commerciali rimarranno protetti.

Gli enti pubblici potranno accedere ai dati detenuti dal settore privato e utilizzarli per contribuire a rispondere a emergenze pubbliche quali inondazioni e incendi boschivi, o quando attuano un mandato giuridico qualora i dati richiesti non siano prontamente disponibili con altri mezzi.

La legge sui dati protegge inoltre le imprese europee dalle clausole contrattuali abusive nei contratti di condivisione dei dati che una parte contraente impone unilateralmente all'altra. Ciò consentirà in particolare alle piccole e medie imprese (PMI) di partecipare più attivamente al mercato dei dati.

Inoltre, la legge sui dati consentirà ai clienti di passare senza soluzione di continuità (e in ultima analisi gratuitamente) tra diversi fornitori di servizi cloud. Tali misure promuoveranno la concorrenza e la scelta sul mercato, evitando nel contempo la dipendenza dai fornitori. Ad esempio, qualsiasi impresa europea potrebbe combinare servizi di dati di diversi fornitori di servizi cloud ("multi-cloud") e beneficiare delle vaste opportunità offerte dal mercato cloud dell'UE. Inoltre ridurrà drasticamente i costi per le imprese e le amministrazioni che trasferiscono i loro dati e le loro applicazioni a un altro fornitore di servizi cloud.

La legge sui dati prevede inoltre garanzie contro le richieste illecite da parte delle autorità di paesi terzi di trasferire dati non personali detenuti nell'UE o di accedervi, garantendo un ambiente di trattamento dei dati più affidabile e sicuro.

Infine, la legge sui dati introduce misure volte a promuovere lo sviluppo di norme di interoperabilità per la condivisione dei dati e per i servizi di trattamento dei dati, in linea con la strategia di normazione dell'UE.

https://digital-strategy.ec.europa.eu/it/news/european-data-act-enters-force-putting-place-new-rules-fair-and-innovative-data-economy

Google lancia il suo modello AI Gemini in competizione con GPT-4 di OpenAI

Angelo Domeneghini — Wed, 06 Dec 2023 17:51:00 GMT

Google lancia il suo modello AI Gemini in competizione con GPT-4 di OpenAI

Presentando il suo ultimo modello linguistico destinato a competere con i suoi migliori concorrenti, il colosso del web spera di prendere il comando nella corsa all'intelligenza artificiale.

Grazie a Gemini, il chatbot Bard di Google dovrebbe aumentare di capacità.

Mercoledì Google inizierà a implementare Gemini, il suo nuovo modello di intelligenza artificiale (AI) che dovrebbe consentirgli di competere meglio con OpenAI (il creatore di ChatGPT) e Microsoft, nelle applicazioni per il grande pubblico con capacità informatiche per le aziende.

“È il nostro modello di intelligenza artificiale più coerente, più talentuoso e anche più generale”, ha assicurato Eli Collins, vicepresidente di Google DeepMind, il laboratorio di ricerca sull’intelligenza artificiale del gruppo californiano, durante una presentazione alla stampa. Ha poi diffuso un video in cui un utente mostra oggetti, disegni e video ai Gemelli. Il sistema di intelligenza artificiale commenta oralmente ciò che “vede”, identifica oggetti, riproduce musica e risponde a domande che richiedono un certo grado di analisi, giustificando il suo “ragionamento”.

Ad esempio, di fronte all’immagine di una papera di gomma che deve scegliere tra due percorsi – quello di sinistra che porta a un’altra papera disegnata sul foglio e quello di destra che porta a un orso dall’aspetto minaccioso – Gemini suggerisce il percorso a sinistra perché “è meglio farsi degli amici piuttosto che dei nemici”.

Il video dimostra anche che i Gemini possono riconoscere riferimenti con pochissimo contesto, come una scena del film "The Matrix" interpretata da una persona che finge di schivare i proiettili al rallentatore.

Ragionamento

Il nuovo modello è “multimediale fin dalla sua creazione, ha capacità di ragionamento sofisticate e può codificare a un livello avanzato”, ha spiegato Eli Collins. Secondo lui,

Gemini è il primo modello di intelligenza artificiale a superare gli esperti umani in un test standard del settore, il "MMLU", che viene utilizzato per valutare le capacità di questi programmi informatici di ragionare in diversi campi, dalla matematica alla scienza, alla storia e al diritto. .

Dal lancio di ChatGPT un anno fa, i colossi della Silicon Valley sono impegnati in una corsa sfrenata alla cosiddetta AI generativa, che permette di ottenere testi, immagini o righe di codice di livello equivalente a quelli prodotti dagli esseri umani , su semplice richiesta nel linguaggio quotidiano. Google, leader dell’intelligenza artificiale, colto di sorpresa dal fenomenale successo di ChatGPT, ha risposto in particolare con il proprio chatbot, Bard.

Ma tutto si gioca a livello dei modelli, dei sistemi informatici su cui si fondano queste applicazioni, prima riempiti di testi raccolti online, e ora alimentati con ogni tipo di dati per elaborare richieste contenenti immagini e discutere oralmente con i suoi utenti.

OpenAI ha dichiarato a settembre di aver dotato ChatGPT di funzionalità vocali e visionarie per renderlo "più intuitivo".

“Miglior collaboratore”

Gemini, “questo è un ulteriore passo verso la nostra visione: offrirvi il miglior collaboratore di intelligenza artificiale al mondo”, da parte sua ha sottolineato mercoledì Sissie Hsiao, vicepresidente di Google responsabile di Bard. Bard dovrà prendere posto da mercoledì, ma sempre con richieste scritte, e solo in inglese.

Dovrai aspettare fino al 2024 per altre funzioni e formati, come l'aiuto avanzato nella risoluzione dei problemi di matematica.

Meno conosciuto di ChatGPT, Bard ha l'occasione di provare a riconquistare terreno sul rivale, vittima del suo successo: a metà novembre, sopraffatta dalla domanda,

OpenAI ha infatti sospeso gli abbonamenti alla versione a pagamento. Il 13 dicembre Google fornirà inoltre l'accesso a una prima versione di Gemini ai suoi clienti nel cloud (elaborazione remota), compresi gli sviluppatori che utilizzano la sua piattaforma Vertex AI per creare le proprie applicazioni AI.

In questo ambito il colosso di Internet è in diretta concorrenza con Microsoft, il principale investitore di OpenAI e il numero 2 mondiale del cloud, dietro Amazon.

I due gruppi americani hanno trascorso l'anno aggiungendo strumenti di intelligenza artificiale generativa ai rispettivi software (motore di ricerca, software per ufficio e produttività, piattaforma cloud, ecc.)

https://www.lematin.ch/story/google-lance-son-modele-dia-gemini-concurrent-de-gpt-4-dopenai-670651805822

Il malware Android SpyLoan su Google Play è stato scaricato 12 milioni di volte

Angelo Domeneghini — Tue, 05 Dec 2023 16:15:00 GMT

Il malware Android SpyLoan su Google Play è stato scaricato 12 milioni di volte

Più di una dozzina di app di prestito dannose, genericamente denominate SpyLoan, sono state scaricate più di 12 milioni di volte quest'anno da Google Play, ma il numero è molto più elevato poiché sono disponibili anche su negozi di terze parti e siti Web sospetti.

Le minacce SpyLoan Android rubano dal dispositivo i dati personali che includono un elenco di tutti gli account, informazioni sul dispositivo, registri delle chiamate, app installate, eventi del calendario, dettagli della rete Wi-Fi locale e metadati dalle immagini. I ricercatori affermano che il rischio si estende anche all’elenco dei contatti, ai dati sulla posizione e ai messaggi di testo.

Si presentano come servizi finanziari legittimi per i prestiti personali che promettono "un accesso rapido e facile ai fondi". Tuttavia, inducono gli utenti ad accettare pagamenti con interessi elevati e quindi l’autore della minaccia ricatta le vittime affinché paghino i soldi.

Dall'inizio dell'anno, la società di sicurezza informatica ESET, membro dell'App Defense Alliance dedicata al rilevamento e all'eliminazione di malware da Google Play, ha scoperto 18 app SpyLoan.

Google ha reagito alla segnalazione di ESET e ha rimosso 17 app dannose, mentre una di queste è ora disponibile con un diverso set di autorizzazioni e funzionalità e non viene più rilevata come minaccia SpyLoan.

Ascesa di SpyLoan

Le app SpyLoan sono state viste per la prima volta nel 2020, ma a partire dallo scorso anno sono diventate più diffuse sia sui sistemi Android che su iOS, secondo ESET, Lookout, Zimperium e Kaspersky.

ESET afferma che gli attuali canali di distribuzione includono siti Web fraudolenti, software su app store di terze parti e Google Play.

Sulla base dei dati di ESET, il rilevamento di SpyLoan è aumentato nel corso del 2023, con la minaccia più evidente in Messico, India, Tailandia, Indonesia, Nigeria, Filippine, Egitto, Vietnam, Singapore, Kenya, Colombia e Perù.

Per infiltrarsi in Google Play, queste app vengono inviate con politiche sulla privacy conformi, seguono gli standard KYC (Know Your Customer) richiesti e hanno richieste di autorizzazione trasparenti.

In molti casi, le app fraudolente si collegano a siti Web che sono palesi imitazioni di siti aziendali legittimi, mostrando persino foto di dipendenti e uffici per creare un falso senso di autenticità.

Rischi multiformi

Le app SpyLoan violano la politica sui servizi finanziari di Google riducendo unilateralmente la durata dei prestiti personali a pochi giorni o qualsiasi altro periodo arbitrario e minacciando l'utente di ridicolo e di denuncia se non si conformano.

Inoltre, ciò che viene menzionato nelle politiche sulla privacy è ingannevole e presenta ragioni apparentemente legittime per ottenere autorizzazioni rischiose.

Ad esempio, si suppone che l’autorizzazione della fotocamera sia necessaria per consentire il caricamento di dati fotografici per KYC e l’accesso al calendario dell’utente per programmare date di pagamento e promemoria, ma queste sono pratiche estremamente invadenti.

Inoltre, le app SpyLoan richiedono autorizzazioni che non dovrebbero essere affatto necessarie, come l'accesso ai registri delle chiamate e agli elenchi dei contatti, che utilizzano per estorcere agli utenti quando si oppongono a richieste di pagamento assurde.

"Sebbene queste app SpyLoan rispettino tecnicamente i requisiti di una politica sulla privacy, le loro pratiche vanno chiaramente oltre l'ambito della raccolta dei dati necessaria per fornire servizi finanziari e conformarsi agli standard bancari KYC", spiega ESET.

"Crediamo che il vero scopo di queste autorizzazioni sia spiare gli utenti di queste app e molestare e ricattare loro e i loro contatti", aggiungono i ricercatori.

Per difendersi dalla minaccia SpyLoan, fidati solo di istituti finanziari affermati, esamina attentamente le autorizzazioni richieste al momento dell'installazione di una nuova app e leggi le recensioni degli utenti su Google Play, che spesso contengono indizi sulla natura fraudolenta dell'app.

https://www.bleepingcomputer.com/news/security/spyloan-android-malware-on-google-play-downloaded-12-million-times/

Il falso avviso di sicurezza di WordPress spinge il plug-in backdoor

Angelo Domeneghini — Tue, 05 Dec 2023 16:07:00 GMT

Il falso avviso di sicurezza di WordPress spinge il plug-in backdoor

WordPress

Agli amministratori di WordPress vengono inviati via email falsi avvisi di sicurezza di WordPress per una vulnerabilità fittizia tracciata come CVE-2023-45124 volta a infettare i siti con un plugin dannoso.

La campagna è stata catturata e segnalata dagli esperti di sicurezza di WordPress di Wordfence e PatchStack, che hanno pubblicato avvisi sui loro siti per aumentare la consapevolezza.

Aggiornamento WordPress falso

Le e-mail fingono di provenire da WordPress, avvertendo che sul sito dell'amministratore è stato rilevato un nuovo difetto critico di esecuzione del codice remoto (RCE) nella piattaforma, esortandoli a scaricare e installare un plug-in che presumibilmente risolve il problema di sicurezza.

Facendo clic sul pulsante "Scarica plug-in" dell'e-mail, la vittima viene indirizzata a una pagina di destinazione falsa su "en-gb-wordpress[.]org" che sembra identica al sito legittimo "wordpress.com".

La voce relativa al plug-in falso mostra un numero di download probabilmente gonfiato pari a 500.000, insieme a numerose recensioni di utenti fasulli che spiegano come la patch abbia ripristinato il sito compromesso e li abbia aiutati a contrastare gli attacchi degli hacker.

La stragrande maggioranza delle recensioni degli utenti sono recensioni a cinque stelle, ma vengono inserite recensioni a quattro, tre e una stella per farle sembrare più realistiche.

Al momento dell'installazione, il plug-in crea un utente amministratore nascosto denominato "wpsecuritypatch" e invia informazioni sulla vittima al server di comando e controllo degli aggressori (C2) su "wpgate[.]zip".

Successivamente, il plugin scarica un payload backdoor con codifica base64 dal C2 e lo salva come "wp-autoload.php" nella webroot del sito web.

La backdoor è dotata di funzionalità di gestione dei file, un client SQL, una console PHP e un terminale a riga di comando e mostra agli aggressori informazioni dettagliate sull'ambiente del server.

Il plugin dannoso si nasconde dall'elenco dei plugin installati, quindi per rimuoverlo è necessaria una ricerca manuale nella directory principale del sito.

Al momento, l’obiettivo operativo del plugin rimane sconosciuto.

Tuttavia, PatchStack ipotizza che potrebbe essere utilizzato per inserire annunci pubblicitari su siti compromessi, reindirizzare i visitatori, rubare informazioni sensibili o persino ricattare i proprietari minacciando di far trapelare i contenuti del database del loro sito web.

https://www.bleepingcomputer.com/news/security/fake-wordpress-security-advisory-pushes-backdoor-plugin/

Il nuovo malware proxy prende di mira gli utenti Mac tramite software piratato

Angelo Domeneghini — Tue, 05 Dec 2023 15:52:00 GMT

Il nuovo malware proxy prende di mira gli utenti Mac tramite software piratato

I criminali informatici stanno prendendo di mira gli utenti Mac con un nuovo malware trojan proxy in bundle con il popolare software macOS protetto da copyright offerto sui siti warez.

Il malware trojan proxy infetta i computer, trasformandoli in terminali di inoltro del traffico utilizzati per rendere anonime attività dannose o illegali come hacking, phishing e transazioni di beni illeciti.

La vendita dell'accesso ai proxy è un business redditizio che ha dato vita a enormi botnet, e i dispositivi Mac non sono stati risparmiati da questa attività diffusa.

L'ultima campagna che spinge malware proxy è stata scoperta da Kaspersky, che riporta che il primo invio del payload su VirusTotal risale al 28 aprile 2023.

In bundle con il popolare warez

La campagna sfrutta la volontà delle persone di rischiare la sicurezza del proprio computer per evitare di pagare per app premium.

Kaspersky ha trovato 35 strumenti di editing di immagini, compressione e editing di video, recupero di dati e scansione di rete collegati al trojan proxy per adescare gli utenti alla ricerca di versioni gratuite di software commerciale.

I più popolari tra i software trojanizzati coinvolti in questa campagna sono:

4K Video Donwloader Pro
Aissessoft Mac Data Recovery
Aiseesoft Mac Video Converter Ultimate
AnyMP4 Android Data Recovery for Mac
Downie 4
FonePaw Data Recovery
Sketch
Wondershare UniConverter 13
SQLPro Studio
Artstudio Pro

Kaspersky afferma che, a differenza dei software legittimi, che vengono distribuiti come immagini disco, le versioni contenenti trojan vengono scaricate come file PKG.

Rispetto ai file immagine disco, che sono il mezzo di installazione standard per questi programmi, i file PKG sono molto più rischiosi poiché possono eseguire script durante l'installazione dell'app.

Poiché i file di installazione vengono eseguiti con diritti di amministratore, tutti gli script eseguiti ottengono le stesse autorizzazioni quando si eseguono azioni pericolose, inclusa la modifica dei file, l'esecuzione automatica dei file e l'esecuzione dei comandi.

In questo caso, gli script incorporati vengono attivati dopo l'installazione del programma per eseguire il trojan, un file WindowServer, e farlo apparire come un processo di sistema.

WindowServer è un processo di sistema legittimo in macOS responsabile della gestione dell'interfaccia utente grafica, quindi il trojan mira a fondersi con le operazioni di sistema di routine ed eludere il controllo dell'utente.

Il file incaricato di avviare WindowServer all'avvio del sistema operativo si chiama "GoogleHelperUpdater.plist", imitando, ancora una volta, un file di configurazione di Google, con l'obiettivo di essere trascurato dall'utente.

Al momento del lancio, il trojan si connette al suo server C2 (comando e controllo) tramite DNS-over-HTTPS (DoH) per ricevere comandi relativi al suo funzionamento.

Kaspersky non ha potuto osservare questi comandi in azione, ma attraverso l'analisi ha dedotto che il client supporta la creazione di connessioni TCP o UDP per facilitare il proxying.

Oltre alla campagna macOS che utilizza PKG, la stessa infrastruttura C2 ospita payload trojan proxy per architetture Android e Windows, quindi gli stessi operatori probabilmente prendono di mira un'ampia gamma di sistemi.

https://www.bleepingcomputer.com/news/security/new-proxy-malware-targets-mac-users-through-pirated-software/

Arriva l’euro digitale: L’Unione Europea vuole lanciare una moneta virtuale

Angelo Domeneghini — Mon, 27 Nov 2023 10:43:00 GMT

Arriva l’euro digitale: L’Unione Europea vuole lanciare una moneta virtuale

La Banca Centrale Europea si muove per una versione digitale dell’euro che consentirebbe ai cittadini di effettuare pagamenti elettronici in modo sicuro.

L’euro digitale, una versione virtuale della moneta europea, potrebbe essere a breve disponibile sul mercato.

La Banca Centrale Europea, che sta seguendo il progetto, ha dichiarato che dal 1° novembre 2023 inizierà una fase di preparazione di due anni per l’euro digitale, durante la quale metterà a punto le regole, sceglierà i partner del settore privato e farà alcuni test e sperimentazioni.

Quella che sarà una sorta di criptovaluta comunitaria avrà il valore, a tutti gli effetti, di un qualsiasi portafoglio o conto bancario online, ma sarà gratuito e garantito dalla BCE anziché da una società privata, il che lo renderà più sicuro.

L’istituto dell’Unione Europea sostiene che l’euro digitale creerà concorrenza nel mercato dei pagamenti, dominato dalle società statunitensi di carte di credito. Tuttavia ci sono anche preoccupazioni riguardo la novità che potrebbe rivoluzionare il mercato finanziario.

Euro digitale: la proposta della BCE

Quello che può essere soprannominato il bitcoin dell’Europa è già stato presentato sul sito dell’ente con sede a Francoforte. Per introdurre la novità, la BCE usa ancora il condizionale, dato che non è ancora certa la sua produzione.

“Un euro digitale sarebbe una forma digitale di contante: un mezzo di pagamento al dettaglio elettronico emesso da noi.

Come forma di denaro pubblico, sarebbe disponibile gratuitamente per tutti nell’area dell’euro, per qualsiasi pagamento digitale” si legge.

La criptovaluta potrebbe essere utilizzata per tutti i pagamenti digitali, proprio come il contante può essere utilizzato per i pagamenti fisici.

Offrirebbe un altro modo per pagare nei negozi o negli shop online, o per inviare denaro a parenti e amici. Come le banconote e le monete, un euro digitale sarebbe un bene pubblico, il che significa che tutti nel continente sarebbero in grado di pagare in euro digitale gratuitamente.

Euro digitale disponibile offline

A differenza di bitcoin e altre monete virtuali diventate famose di recente, un euro digitale non sarebbe un cripto-asset.

I cripto-asset non sono supportati o gestiti da un’istituzione centrale, il che li rende rischiosi e instabili; non si ha alcuna garanzia di poter scambiare i propri cripto-asset con contante quando se ne ha bisogno. Inoltre, la cripto comunitaria è in grado di effettuare i pagamenti anche senza connessione a internet ed è sicura e privata “Non avremmo mai accesso ai tuoi dati personali o li conserveremmo, garantendo così il massimo livello di privacy. Quando paghi offline, sarebbe quasi come utilizzare contanti in termini di standard di privacy. Un euro sarà sempre un euro: un euro digitale varrebbe sempre esattamente la stessa quantità di un euro in moneta” spiega la BCE.

Euro digitale pro e contro

Argomenti e motivazioni per l’introduzione di un euro digitale includono il mantenimento del ruolo del denaro attraverso la banca centrale come ancoraggio monetario per il sistema di pagamento, la possibilità di fornire accesso gratuito a un valido mezzo di pagamento digitale nell’Eurozona, l’espansione delle opzioni di pagamento contribuendo alla disponibilità e all’inclusione finanziaria. Una delle principali lamentele è che una moneta digitale potrebbe facilitare la corsa alle banche commerciali in tempi di crisi, offrendo pochi miglioramenti rispetto ai conti esistenti.

Secondo i dati della Commissione europea, i pagamenti elettronici nell’UE sono cresciuti da 184,2 trilioni di euro nel 2017 a 240 trilioni di euro nel 2021, accelerati dalla pandemia COVID-19. I cittadini sono sempre più propensi a fare acquisti online e usare un portafoglio virtuale, per questo l’introduzione di una moneta digitale avallata dalle istituzioni potrebbe portare maggiore sicurezza.

https://www.digitalic.it/tech-news/euro-digitale-unione-europea

WhatsApp usato per installare trojan bancari

Angelo Domeneghini — Fri, 24 Nov 2023 10:00:00 GMT

WhatsApp usato per installare trojan bancari

Microsoft ha osservato l'attività in corso di campagne trojan bancari mobili che prendono di mira gli utenti in India con messaggi sui social media progettati per rubare informazioni degli utenti a fini di frode finanziaria.

Utilizzando piattaforme di social media come WhatsApp e Telegram, gli aggressori inviano messaggi progettati per indurre gli utenti a installare un'app dannosa sul proprio dispositivo mobile impersonando organizzazioni legittime, come banche, servizi governativi e servizi pubblici.

Una volta installate, queste app fraudolente esfiltrano vari tipi di informazioni sensibili degli utenti, che possono includere informazioni personali, dettagli bancari, informazioni sulle carte di pagamento, credenziali dell'account e altro ancora.

Pur non essendo una minaccia nuova, le infezioni da malware mobile rappresentano una minaccia significativa per gli utenti mobili, come l'accesso non autorizzato alle informazioni personali, perdite finanziarie dovute a transazioni fraudolente, perdita di privacy, problemi di prestazioni del dispositivo dovuti al malware che consuma risorse di sistema e furto di dati o corruzione. In passato, abbiamo osservato campagne simili di trojan bancari che inviavano collegamenti dannosi che portavano gli utenti a scaricare app dannose, come dettagliato nel nostro blog Rewards plus: false app di premi bancari mobili attirano gli utenti a installare RAT che ruba informazioni sui dispositivi Android.

Le attuali campagne attive sono incentrate sulla condivisione di file APK dannosi direttamente con gli utenti mobili situati in India.

La nostra indagine si è concentrata su due applicazioni dannose che si presentano falsamente come app bancarie ufficiali.

Lo spoofing e l'imitazione di banche, istituti finanziari e altri servizi ufficiali legittimi è una tattica comune di ingegneria sociale per il furto di informazioni da parte di malware.

È importante sottolineare che le stesse banche legittime non sono colpite direttamente da questi attacchi e l’esistenza di questi attacchi non è correlata alle autentiche app di mobile banking e al livello di sicurezza delle banche legittime.

Detto questo, i criminali informatici spesso prendono di mira i clienti di grandi istituti finanziari mascherandosi da entità legittima.

Questa minaccia evidenzia la necessità per i clienti di installare applicazioni solo da app store ufficiali e di diffidare delle false lusinghe.

https://www.microsoft.com/en-us/security/blog/2023/11/20/social-engineering-attacks-lure-indian-users-to-install-android-banking-trojans/

WhatsApp per iPhone introduce una funzione di verifica via e-mail

Angelo Domeneghini — Fri, 24 Nov 2023 09:42:00 GMT

WhatsApp per iPhone introduce una funzione di verifica via e-mail

Nell'articolo sull'aggiornamento WhatsApp beta per iOS 23.23.1.77, abbiamo annunciato una nuova funzionalità che consentirà agli utenti di associare un indirizzo email al proprio account, dove potranno ottenere un codice di 6 cifre. Infatti,

WhatsApp sta ora introducendo un metodo di accesso aggiuntivo alla propria piattaforma, consentendo agli utenti di accedere ai propri account in situazioni in cui potrebbero incontrare difficoltà temporanee nel ricevere il codice a 6 cifre tramite SMS.

Nelle scorse ore WhatsApp ha rilasciato su App Store l'aggiornamento 23.24.70 per iOS.

Attualmente, il registro delle modifiche ufficiale non fornisce informazioni utili su quali nuove funzionalità siano disponibili in questa versione ed è spesso obsoleto.

Tuttavia, abbiamo appena scoperto che WhatsApp sta implementando ampiamente questa funzionalità!

Il registro delle modifiche ufficiale menziona ancora che un bug che causava il rallentamento dell'app per alcuni utenti è stato risolto, anche se la natura del bug è attualmente sconosciuta.

Tuttavia, anche se non è menzionato nel log delle modifiche ufficiale sull'App Store, possiamo anche confermare che WhatsApp sta rilasciando la possibilità di associare il tuo indirizzo email al tuo account WhatsApp.

Apri le Impostazioni di WhatsApp > Account per sperimentare questa funzionalità oggi stesso.

Si tratta di un metodo di accesso alternativo nel caso in cui gli utenti non siano temporaneamente in grado di ottenere il codice a 6 cifre tramite SMS, ma devono comunque utilizzare un numero di telefono per creare un account e l'accesso con un numero di telefono rimane ancora un'opzione.

È importante notare che WhatsApp non sostituirà i numeri di telefono con indirizzi e-mail, poiché questa funzionalità fornisce semplicemente agli utenti un metodo di accesso aggiuntivo.

Se non disponi di questa funzionalità, tieni presente che alcuni account potrebbero riceverla nelle prossime settimane, sebbene non sia stato indicato nel changelog ufficiale.

Tieniti aggiornato aggiornando regolarmente WhatsApp dall'App Store e dall'app TestFlight per ottenere questa funzionalità in futuro nel caso in cui non la disponi dopo aver installato questo aggiornamento.

È anche importante ricordare che molti utenti potrebbero ottenere un'interfaccia ridisegnata con un nuovo colore verde, che abbiamo annunciato con l'aggiornamento WhatsApp per iOS 23.21.72.

Una funzionalità che consente agli utenti di associare un indirizzo email ai propri account è disponibile per gli utenti iOS che installano l'ultimo aggiornamento di WhatsApp dall'App Store.

Assicurati di installare questo aggiornamento per godere di un'esperienza utente migliore.

https://wabetainfo.com/whatsapp-for-ios-23-24-70-whats-new/

Canali Wi-Fi vietati

Angelo Domeneghini — Thu, 16 Nov 2023 08:32:00 GMT

Perché non è possibile usare il canale 14 del Wi-Fi

Negli Stati Uniti e in Europa il canale 14 del Wi-Fi è bloccato per legge. Ecco quali sono i motivi e cosa si rischia a utilizzare il canale 14.

Avere una rete Wi-Fi in casa o in ufficio è una cosa praticamente scontata ormai in molti paesi del mondo.

Anche se negli ultimi anni ha iniziato a diffondersi il Wi-Fi con frequenza a 5 GHz, la gran parte dei router oggi installati è compatibile solo con il precedente standard Wi-Fi a 2,4 GHz e molti router a 5 GHz vengono comunque configurati per funzionare alla frequenza inferiore, che è più performante se la casa è grande o i muri sono molto spessi.

Il Wi-Fi a 2,4 Ghz, per standard internazionale, è un segnale radio formato da 14 bande di frequenza, ma non negli USA: negli Stati Uniti, infatti, è illegale usare il canale 14 del Wi-Fi e ci sono forti limitazioni nell'uso dei canali 12 e 13. Di conseguenza, una normale connessione Wi-Fi in America ha a disposizione solo 11 canali su 14.

Perché alcuni canali sono illegali negli USA?

Per rispondere a questa domanda dobbiamo prima analizzare come funzionano i canali del Wi-Fi, precisando che stiamo parlando del Wi-Fi a 2,4 GHz (cioè le trasmissioni radio in standard 802.11a, 802.11b e 802.11g) e non anche del Wi-Fi a 5 GHz (standard 802.11n e 802.11ac).

Cosa sono i canali Wi-Fi

La connessione Wi-Fi da 2,4 GHz funziona trasmettendo dati tramite onde radio che hanno una frequenza standard (media) di, appunto, 2,4 GHz. In realtà, però, questa frequenza è divisa in 14 canali caratterizzati da sottofrequenze diverse: dai 2,412 GHz del canale 1 ai 2,484 GHz del canale 14. Tra un canale e l'altro ci sono pochi MHz di differenza e il limite superiore della frequenza di un canale coincide con il limite inferiore della frequenza del canale immediatamente successivo.

Ciò vuol dire che le frequenze dei 14 canali che compongono il Wi-Fi a 2,4 GHz in parte si sovrappongono.

E quando due trasmissioni usano la stessa frequenza nascono le interferenze.

Per questo, quando si devono far convivere più reti Wi-Fi nello stesso appartamento (o in due appartamenti molto vicini), per evitare fastidiose interferenze è sempre meglio impostare i due router affinché utilizzino due canali distanti tra loro, o comunque "saltando" almeno un canale.

Perché i canali 12 e 13 in USA sono legali solo in Low Power Mode

I tecnici di rete che configurano ogni giorno i router sul territorio degli Stati Uniti lo sanno benissimo: su molti router i canali 12 e 13 sono disattivati di fabbrica.

In realtà, però, questi due canali non sono illegali negli USA e potrebbero essere utilizzati per la propria rete Wi-Fi domestica.

Ma solo in Low Power Mode, cioè usando una potenza del segnale molto bassa, che renderebbe troppo scarse le prestazioni della rete.

Ciò è dovuto al fatto che le frequenze dei canali 12 e 13, cioè 2,467 GHz e 2,472 GHz, sono molto vicine a quelle usate da una azienda privata: Globalstar Inc, che offre sul territorio americano un servizio di telefonia satellitare basato su satelliti a bassa orbita. Usare i canali 12 e 13 del Wi-Fi a piena potenza, quindi, potrebbe creare interferenze ai cellulari satellitari di Globalstar, che ha paga fior di quattrini per la licenza a trasmettere su quelle frequenze radio già dal 1995.

Perché il canale 14 del Wi-Fi è illegale negli USA

A differenza dei canali 12 e 13, che negli USA si possono usare ma con pesanti limitazioni, il canale 14 è assolutamente vietato.

E non solo in USA: anche in Europa e Giappone è vietato (in Francia, a dirla tutta, sono consentiti solo i canali 10 e 11). Come mai? Il perché non è di dominio pubblico, ma nel tempo sono state fatte due ipotesi principali. La prima è che la banda usata dal canale 14 (cioè 2,484 GHz) possa interferire con il funzionamento dei forni a microonde, che sono sul mercato da ben più tempo rispetto ai router Wi-Fi.

Questa ipotesi cozza però con il fatto che, in teoria, i forni a microonde dovrebbero funzionare a 2,450 GHz, cioè a una frequenza a cavallo tra i canali 8 e 10. Una seconda ipotesi, di gran lunga più attendibile rispetto alla prima, è che i 2,484 GHz siano usati dai militari per le comunicazioni radio via satellite e, di conseguenza, non è tollerabile avere milioni di dispositivi che potrebbero fare interferenza su quella frequenza.

L'affollamento delle frequenze e le multe dell'FCC

Negli Stati Uniti l'uso delle frequenze radio per le trasmissioni voce e dati è strettamente regolamentato dalla Federal Communications Commission (FCC), mentre in Italia questo lavoro spetta al Ministero dello Sviluppo Economico (che da qualche anno ha inglobato il Ministero delle Telecomunicazioni che se ne occupava in precedenza).

Lo spettro complessivo delle frequenze di trasmissione è stato diviso dall'FCC in tantissimi segmenti, ognuno dedicato ad un uso specifico: radioamatori, trasmissioni satellitari, trasmissioni aeree, navali, militari, radio AM e FM e anche per le reti Wi-Fi domestiche ed aziendali. Il controllo dell'FCC sulle trasmissioni è molto rigido: visto l'affollamento delle frequenze e il fatto che alcune di loro servono per scopi molto importanti, chiunque "sconfini" in una frequenza non permessa viene sanzionato con una multa salata e subisce il sequestro dell'attrezzatura di trasmissione.

Whatsapp, come leggere i messaggi che sono stati eliminati (con un clic recuperi tutto)

Angelo Domeneghini — Tue, 14 Nov 2023 13:28:00 GMT

Whatsapp, come leggere i messaggi che sono stati eliminati (con un clic recuperi tutto)

Recuperare i messaggi eliminati su Whatsapp è possibile, ma solamente con questo trucco infallibile ed estremamente semplice da applicare.

Whatsapp è da sempre una piattaforma molto attenta al rispetto della privacy dei propri utenti, nonché nell’ esaudire le possibili esigenze degli stessi.

Sebbene l’opzione “Cancella messaggi” sia ottima per eliminare chat indesiderate che non vogliamo più avere nel telefono, o ancora più importante, eliminare anche per gli altri quei messaggi inviati per errore (o ripensamento), è bene sapere che esiste un trucco per “tornare indietro”.

Tenere chat compromettenti nel proprio telefono può essere un problema, ma anche inviare un messaggio alla persona sbagliata d’altronde.

Tuttavia, può capitare che, per un motivo o per l’altro, si scelga di rivolere indietro ciò che abbiamo gettato nel cestino.

Ecco perché esiste un metodo infallibile per recuperare intere conversazioni con un solo click, ma in pochi ne sono a conoscenza.

Whatsapp: come recuperare i messaggi eliminati

Prima di capire come fare per recuperare i messaggi cancellati da Whatsapp, è bene sapere che è estremamente importante aver attivato precedentemente la voce “Chat, Backup delle chat “, che consente di salvare periodicamente le conversazioni nella piattaforma.

Questo sistema, infatti, ha la funzione di conservare nel nostro account i messaggi, anche se decidiamo di cambiare dispositivo.

Per attivare l’opzione, è necessario entrare nelle impostazioni e scegliere la modalità di frequenza, che può essere: “quotidiano “, “settimanale” e “mensile “.

Più frequente sarà la periodicità con cui abbiamo scelto di salvare i messaggi, più probabilità ci saranno di recuperare quelli di nostro interesse.

Arrivati a questo punto, è il momento di capire come recuperare messaggi o intere conversazioni dal dispositivo. Innanzitutto, sia che siate in possesso di Android che iOS, per poter procedere al recupero dei messaggi o delle chat eliminate su WhatsApp bisogna disinstallare l’applicazione e poi reinstallarla.

Nel momento in cui sarà installato nuovamente Whatsapp, ci verrà chiesto di ripristinare lo storico dei messaggi dal file di backup.

Se desideriamo recuperare i messaggi, ci basterà cliccare nella voce “Ripristina” e tutto ciò che era presente nel nostro account, ossia dall’ultimo backup, tornerà visibile sul nostro dispositivo.

In questo caso, dunque, la cosa più importante quando si disinstalla e si reinstalla l’app, è quella di non ignorare il messaggio di ripristino.

Ad ogni modo, è bene sapere che nel momento in cui si attua questa metodologia, sarebbe buona norma attivare un backup periodico, in modo da non perdere alcun messaggio dal proprio account.

https://www.sulmonaoggi.it/2023/11/13/whatsapp-come-leggere-i-messaggi-che-sono-stati-eliminati-con-un-clic-recuperi-tutto/

WhatsApp ha confermato il probabile arrivo di annunci pubblicitari nell'app. Ecco come funzionerà

Angelo Domeneghini — Tue, 14 Nov 2023 13:20:00 GMT

WhatsApp ha confermato il probabile arrivo di annunci pubblicitari nell'app. Ecco come funzionerà

In un'intervista, il capo di WhatsApp Will Cathcart ha ammesso che l'azienda sta valutando la possibilità di introdurre annunci pubblicitari all'interno dell'app di messaggistica.

Si tratta di una novità importante, considerando che in passato WhatsApp si era impegnata a mantenere la piattaforma privata di pubblicità.

Cathcart ha però precisato che, qualora decidessero di implementare degli annunci pubblicitari, questi non apparirebbero mai nella casella di posta principale degli utenti.

"Quando le persone leggono le chat e i messaggi in arrivo, non vogliono vedere la pubblicità" ha dichiarato. Gli annunci potrebbero invece essere introdotti in luoghi come lo Stato o i Canali.

Ad esempio, i proprietari di canali potrebbero decidere di mostrare annunci pubblicitari come forma di monetizzazione.

La possibilità di inserire pubblicità su WhatsApp era già stata presa in considerazione nel 2018, con l'intento di monetizzare la sezione Stato dell'app. Tuttavia, dopo le numerose critiche ricevute, Meta aveva fatto marcia indietro. Ora però sembra che i piani stanno riprendendo forma, anche se in maniera più cauta.

WhatsApp conferma che gli annunci pubblicitari potrebbero arrivare sull'app, ma non nelle chat

L'introduzione della pubblicità su WhatsApp rappresenterebbe un'importante svolta nel modello di business della piattaforma, che attualmente non prevede alcuna forma di monetizzazione. Con oltre 2 miliardi di utenti attivi, WhatsApp costituisce un'enorme opportunità pubblicitaria per Meta. Tuttavia, la decisione potrebbe non essere accolta positivamente da tutti gli utenti, molti dei quali apprezzano WhatsApp proprio per la sua natura privata di annunci pubblicitari.

Non è ancora chiaro in che modo gli annunci verrebbero targettizzati, considerando che WhatsApp utilizza la crittografia end-to-end per proteggere le conversazioni private. L'azienda dovrà trovare il giusto equilibrio tra monetizzazione e rispetto della privacy degli utenti.

Cathcart non ha fornito una tempistica precisa sull'implementazione degli annunci pubblicitari, limitandosi a confermare che l'azienda ci sta lavorando. È probabile che la novità non arriverà prima del 2024. Nel frattempo, WhatsApp continuerà a introdurre nuove funzionalità come i messaggi che si autodistruggono e il supporto multi-dispositivo, con l'obiettivo di migliorare l'esperienza degli utenti.

https://www.hwupgrade.it/news/web/whatsapp-ha-confermato-il-probabile-arrivo-di-annunci-pubblicitari-nell-app-ecco-come-funzionera_121616.html

SPID • Sistema Pubblico di Identità Digitale

Angelo Domeneghini — Tue, 07 Nov 2023 14:59:00 GMT

Cos’è SPID e a cosa serve

SPID è l’acronimo di Sistema Pubblico d’Identità Digitale (o electronic identity, eID) e rappresenta lo strumento gratuito per semplificare l’uso dei servizi online per cittadini e imprese.

L’Identità Digitale SPID è tutto quello che ti serve per comunicare e accedere ai siti della Pubblica Amministrazione: per rispondere alle tue necessità con scuola, INPS, sanità, Agenzia delle Entrate e molto altro!

Usalo per richiedere il Bonus Vacanze tramite l’App IO, per attivare il tuo Fascicolo Sanitario Elettronico, o per richiedere il Bonus Cultura con 18App o con la Carta del Docente.

Come ottenere SPID

Scopri quali tipologie di SPID puoi richiedere se hai la cittadinanza italiana, oppure il permesso di soggiorno e la residenza in Italia.

. SPID di persona presso l' ufficio della 3D.A.

3D.A. è RAO (Registration Authority Office)

ovvero siamo incaricati alla verifica dell’identità personale di tutti coloro che vogliono dotarsi di SPID, Firma Digitale Remota e di tutti gli altri servizi digitali indispensabili per accedere ai portali della Pubblica Amministrazione o per svolgere qualsiasi attività lavorativa.

3D.A. Office effettua l’identificazione dell’utente accertando l’identità del richiedente tramite la verifica di un documento di riconoscimento in corso di validità,

munito di fotografia e di firma autografa,

assicurandosi che tutti i dati forniti siano corretti e completi.

Inoltre, monitora il corretto utilizzo dei servizi da parte degli utenti, fornisce assistenza in caso di necessità e garantisce la massima sicurezza nell’utilizzo dei servizi digitali.

. SPID con Video ID

Attiva SPID 24 ore su 24,

anche sabato e domenica!

Ti basta una connessione a internet e lo smartphone o una webcam.

https://3da.it/spid.html

Archivio Messaggi Posta in Windows 10

Angelo Domeneghini — Tue, 31 Oct 2023 15:19:00 GMT

Posta in Windows 10: directory e file dove è conservata la posta

Posta (già Windows Mail) è un client di posta elettronica e newsgroup creato da Microsoft ed incluso nel sistema operativo Windows Vista, Windows 8, Windows 8.1 , Windows 10.e Windows 11

La sua funzione principale è l'invio e la ricezione di e-mail.

È il successore di Outlook Express, incluso o disponibile per Windows 3.0 e versioni successive.

Le e-mail ora sono immagazzinate in singoli file anziché in un singolo database.

Un nuovo motore utilizza un database transazionale per migliorare la stabilità e l'affidabilità dei dati memorizzati e permettere ricerche istantanee sia dentro il programma che nella shell di Windows Vista.

In caso di danneggiamento, gli indici possono essere ricostruiti dai file delle mail.

A partire da Windows 10 è conosciuta nella versione italiana con il nome di Posta.

Essa ha configurazioni server predefinite per Outlook.com, Microsoft 365, Gmail, iCloud, Yahoo!, AOL Mail,

così come altri account Exchange Server e IMAP possono ancora essere aggiunti e il supporto POP3 è stato ripristinato.

Posta e Calendario sono ancora app di Windows universali e si trovano nello stesso contenitore di app.

Ma il loro terzo "fratello", Contatti, viene rimosso da questo "contenitore" ed è un'app autonoma.

Gli utenti possono impostare in Posta il tema del sistema o scegliere un colore personalizzato, un'immagine di sfondo e una preferenza chiaro/scuro.

Possiede il supporto multi-finestra e può aprire i messaggi e-mail in una nuova finestra.

Le e-mail sono elencate nella jumplist di Posta.

Posta utilizza un pannello delle impostazioni, strumenti di ordinamento della posta elettronica nel secondo riquadro e una barra degli strumenti nel riquadro di visualizzazione.

Come la versione di Vista, i controlli importanti di questa versione sono facilmente visibili.

Gli account possono essere raggruppati e rietichettati e le cartelle personalizzate possono essere create, modificate o eliminate all'interno dell'app.

Come Microsoft Outlook, Posta consente agli utenti di impostare azioni rapide,

come Elimina, Imposta flag e Archivia, per rispondere ai messaggi dalle notifiche di sistema e dai gesti di scorrimento.

*A partire da dicembre 2019, l'app visualizza annunci non rimovibili per l'app mobile di Microsoft Outlook.*

i Messaggi si trovano nel seguente percorso:

C:\Users\\AppData\Local\Comms\Unistore\data

la sotto cartella che contiene i messaggi è la 3

It-Alert, il messaggio truffa

Angelo Domeneghini — Wed, 18 Oct 2023 09:45:00 GMT

Il falso messaggio di It-Alert che ti svuota il conto corrente: occhio alla truffa

I ricercatori di D3Lab hanno individuato la diffusione di un malware Android, veicolato tramite un sito fasullo di It-Alert

Un virus che mima le notifiche di It-Alert. Il team di ricercatori di D3Lab ha rilevato la diffusione di un malware su Android che riproduce il sistema di allarme pubblico che dirama ai telefoni cellulari messaggi utili in caso di gravi emergenze o catastrofi imminenti.

Gli hacker avrebbero realizzato un dominio ad hoc, con un template grafico molto accattivante in cui si afferma:

“A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale.

Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita".

Gli utenti Android sarebbero quindi invitati a scaricare il file IT-Alert.apk, che installa sullo smartphone un malware della famiglia SpyNote. Si tratta di un virus che prende di mira, in particolare, gli istituti finanziari.

Come funziona il malware

Una volta avviato, l'app richiede all’utente l'esecuzione in background, in modo da avere il pieno controllo dello smartphone attraverso i servizi di accessibilità.

"Così facendo - spiegano da D3Lab -, il malware sarebbe in grado di monitorare, gestire e modificare le risorse e le funzionalità del dispositivo insieme alle funzionalità di accesso remoto".

SpyNote utilizza i servizi di accessibilità per rendere difficile agli utenti disinstallare l’applicazione, aggiornare quelle già installate o installarne di nuove.

"Senza alcuna interazione da parte dell’utente - continuano i ricercatori in un blog post -, può cliccare sui pulsanti delle applicazioni (es. login, recupera password, ecc) grazie ai servizi di accessibilità; ma è anche in grado di accedere alla fotocamera del dispositivo e di inviare video o foto direttamente al server Command-and-Control (C&C), così da poter estrarre le informazioni personali dal dispositivo infetto; in questo modo l’aggressore ha il controllo completo del dispositivo e può spiare l’utente".

Potendo leggere tutte le informazioni, comprese le password salvate, i criminali cercano di spostare somme di denaro dai conti personali ai propri, prima che l'utente se ne accorga.

I ricercatori lanciano un appello:

"Invitiamo come di consueto gli utenti a prestare attenzione e a non installare nuove applicazioni che non provengono dagli store ufficiali".

https://www.today.it/tech/finto-messaggio-it-alert-svuota-conto-bancario.html

17 funzioni nascoste di iOS 17

Angelo Domeneghini — Mon, 16 Oct 2023 16:07:00 GMT

Apple iOS 17: tutte le nuove funzioni

Apple ha appena rilasciato la nuova versione del suo sistema operativo, iOS 17, che porta con sé numerose novità e miglioramenti rispetto alla precedente versione, iOS 16.

Apple è intervenuta su 3 app fondamentali: telefono, Messaggi e Facetime.

iOS 17 Design e interfaccia utente

La prima cosa che salta all’occhio in iOS 17 è il nuovo design e l’interfaccia utente.

Apple ha introdotto un nuovo tema scuro che può essere attivato in tutte le app di sistema, oltre a nuove icone e animazioni. Inoltre, la schermata Home è stata ridisegnata per rendere più facile l’accesso alle app preferite.

iOS 17 app telefono

Componente fondamentale dell’iPhone, l’app Telefono è stata aggiornata con i Contact Posters, che offrono agli utenti un nuovo modo di esprimere per essere visualizzati.

L’utente può personalizzare il modo in cui appare nelle chiamate in arrivo. In pratica quando si riceve una chiamata si vedrà a tutto schermo l’immagine che il contatto avrà scelto con tanto di scritte, emoticon,

Memoji, oltre a stili e colori di font personalizzabili. I Contact Posters saranno disponibili anche nelle le app per telefonare sviluppate da terzi.

Per creare il proprio Poster bisogna andare nell’App nell’app Contatti, toccare “La mia scheda”; selezionare foto e poster del contatto; toccare “modifica” e poi “Crea nuovo”. Qui si può scegliere cosa visualizzare tra Fotocamera, Foto, Memoji o Monogramma per selezionare la funzione principale del poster.

Un’altra funzione aggiunta è Live Voicemail che consente all’utente di vedere la trascrizione in tempo reale dei messaggi vocali mentre vengono lasciati in segreteria, offrendo la possibilità di rispondere durante la registrazione del messaggio.

Le chiamate identificate come spam non appariranno come Live Voicemail, ma saranno rifiutate all’istante. Grazie al Neural Engine interno, le trascrizioni di Live Voicemail vengono gestite sul dispositivo e rimangono private.

iOS 17 FaceTime

Ora FaceTime supporta i messaggi vocali e video, così quando l’utente chiama una persona che non è disponibile, può lasciare un messaggio da guardare o ascoltare in un secondo momento.

Le chiamate FaceTime diventano anche più espressive con l’introduzione delle Reactions: cuori, palloncini, fuochi d’artificio, raggi laser, pioggia e tanto altro. I nuovi effetti possono essere attivati tramite semplici gesti, e sono disponibili anche per le app di videochiamata di terze parti.

FaceTime arriva ora anche sul grande schermo di casa. Grazie alla fotocamera Continuity, sarà possibile avviare una videochiamata direttamente da Apple TV o farla partire da iPhone e passarla poi su Apple TV per vedere amici, amiche e parenti sul televisore.

iOS 17 Messaggi

L’app Messaggi è stata aggiornata in modo sostanziale con iOS 17: tra le novità ci sono le novità degli adesivi per le emoji e la possibilità di creare Live Stickers a partire dalle proprie foto, separando i soggetti dallo sfondo. Si possono anche aggiungere degli effetti ai Live Stickers per animarli, e un nuovo slot della tastiera raggruppa tutti gli adesivi in un unico posto.

Apple Check In

Messaggi introduce anche Check In, un’importante funzione che permette di avvisare amici, amiche e parenti che si è giunti sani e salvi a destinazione. Dopo aver avviato un Check In, la persona prescelta riceverà in automatico una notifica non appena l’utente arriva. Se l’utente non procede verso la destinazione prevista, il contatto riceverà temporaneamente utili informazioni, come la posizione precisa del dispositivo, il livello di carica della batteria e lo stato del servizio cellulare. Tutte le informazioni condivise sono protette dalla crittografia end-to-end.

AirDrop e NameDrop

Con iOS 17 AirDrop offre più modalità di condivisione. NameDrop, ad esempio, consente di condividere i propri contatti semplicemente avvicinando il proprio iPhone a quello dell’altra persona, o tra iPhone e Apple Watch.1 Con lo stesso gesto, l’utente può anche condividere contenuti o avviare SharePlay per ascoltare musica, guardare un film o giocare a un gioco con altri iPhone nelle vicinanze.

StandBy informazioni a colpo d’occhio

iOS 17 introduce StandBy, che offre all’utente un’esperienza a tutto schermo con informazioni a colpo d’occhio pensate per essere visibili a distanza quando per esempio l’l’iPhone è in carica sul comodino. L’opzione StandBy è perfetta quando l’iPhone è appoggiato su un supporto notturno e può essere personalizzata scegliendo cosa vedere tra un’ampia gamma di stili di orologio, foto preferite o widget, tra cui Smart Slacks che mostra i widget giusti al momento giusto. Con il supporto per Attività in tempo reale, Siri, chiamate in arrivo e notifiche più grandi, StandBy rende iPhone ancora più utile quando si trova a una certa distanza. Durante la ricarica via MagSafe, StandBy ricorda la vista preferita dell’utente. Per far apparire le informazioni con StandBy basta toccare lo schermo, mentre su iPhone 14 Pro con display always-on sono sempre visibili.

Apple-iOS-17-StandBy

iOS 17 Journal

Journal è una nuova app che aiuta l’utente a riflettere tenendo un diario, questo tipo di attività è stato dimostrato che è utile per migliorare il benessere generale. Usando il machine learning del dispositivo, possono essere forniti dei suggerimenti personalizzati come spunti di scrittura per aiutare l’utente a trovare l’ispirazione. I suggerimenti sono selezionati in modo intelligente in base all’attività recente, che può riguardare anche foto, persone e luoghi, così è più semplice iniziare a scrivere un pensiero nel diario. Inoltre, le notifiche programmate possono contribuire a creare una routine di scrittura giornaliera. Journal protegge la privacy dell’utente grazie alla possibilità di bloccare l’app, all’utilizzo dell’elaborazione on-device e alla crittografia end-to-end, e garantisce che nessuno, inclusa Apple, possa accedere ai contenuti dell’utente.

Benessere mentale

L’app Salute offre nuove funzioni per il benessere mentale. L’utente può registrare i propri stati d’animo nel corso della giornata e le emozioni momentanee, vedere cosa potrebbe contribuire al suo stato, e accedere a valutazioni relative a depressione e ansia spesso usate negli ospedali, oltre ad avere accesso risorse disponibili nella propria zona.

Vista

Se si aumenta la distanza alla quale si guarda il telefono, si contribuisce a ridurre il rischio di miopia per bambini e bambine e si permette a chi è adulto di limitare la stanchezza visiva. Distanza dallo schermo in Tempo di utilizzo usa la fotocamera TrueDepth per incoraggiare l’utente ad allontanare ulteriormente il dispositivo quando viene tenuto a meno di 30 cm dal volto per un periodo prolungato.

Mappe Offline

Mappe offre ora le mappe offline: l’utente può scaricare quella di un’area specifica e accedere al navigatore, vedere il tempo di arrivo stimato, trovare luoghi nell’app e molto altro offline. Con Mappe è ancora più facile scoprire migliaia di sentieri nei parchi (ora per gli Stati Uniti), e chi usa l’auto elettrica può trovare informazioni in tempo reale sulla disponibilità dei punti di ricarica.

iOS 17 Siri e Intelligenza Artificiale

Siri in iOS 17 è ancora più intelligente grazie all’introduzione di nuove funzionalità di Intelligenza Artificiale. Ora Siri è in grado di capire il contesto della conversazione e di fornire risposte più precise. Inoltre, è stata introdotta una nuova funzione di traduzione in tempo reale che consente di comunicare con persone che parlano lingue diverse.

iOS 17 Privacy e sicurezza

Apple ha sempre fatto della privacy e della sicurezza una priorità assoluta, e iOS 17 non fa eccezione. La nuova versione del sistema operativo introduce numerose funzionalità di sicurezza, come la crittografia end-to-end per le chiamate FaceTime e i messaggi, e il controllo delle autorizzazioni delle app per garantire che le app non accedano a dati sensibili senza il consenso dell’utente.

Multitasking e produttività

iOS 17 introduce nuove funzionalità di multitasking e produttività che rendono più facile l’utilizzo di più app contemporaneamente. La nuova funzione di Split View consente di visualizzare due app contemporaneamente sullo schermo, mentre la funzione Picture-in-Picture consente di visualizzare un video in una finestra ridotta mentre si utilizzano altre app.

Conclusioni

In conclusione, iOS 17 è un importante aggiornamento del sistema operativo di Apple che introduce numerose novità e miglioramenti rispetto alla precedente versione. Il nuovo design e l’interfaccia utente, insieme alle nuove funzionalità di Siri, alla sicurezza e alla produttività, rendono iOS 17 un sistema operativo ancora più completo e avanzato. Se sei un utente Apple, non puoi perderti questo aggiornamento!

https://www.digitalic.it/hardware-software/apple-ios-17-nuove-funzioni

Alcuni iPhone si spengono improvvisamente di notte: la colpa è di iOS 17.0.3?

Angelo Domeneghini — Thu, 12 Oct 2023 13:55:00 GMT

Alcuni modelli di iPhone si spengono misteriosamente di notte

Sembra che ci sia un fenomeno curioso che sta causando lo spegnimento temporaneo di alcuni modelli di iPhone durante la notte, il che può interrompere gli allarmi e altre funzionalità di ‌iPhone‌.

In un thread su Reddit, un utente si lamenta del fatto che due allarmi separati di ‌iPhone‌ nella sua casa non si sono attivati.

Anche molti altri utenti sono intervenuti con problemi simili e si scopre che alcuni dei problemi potrebbero essere collegati allo spegnimento dell'‌iPhone‌ durante la notte.

Da Reddit:

Dirottamento del commento principale.

Controlla le impostazioni della batteria e vedi se c'è un intervallo durante la notte.

Ieri molti iPhone sono rimasti spenti per qualche ora durante la notte.

Nel mio caso il telefono si è riacceso 1 minuto prima della sveglia

Alcune altre persone hanno notato di dover inserire i propri codici di accesso al mattino, indicando che l'‌iPhone‌ si è riavviato o si è spento durante la notte.

9to5Mac ha evidenziato questi problemi all'inizio di questa settimana e abbiamo riscontrato il problema anche qui su MacRumors, così come diversi utenti sui forum MacRumors.

Da MacRumors:

Quindi il mio iPhone 15 Pro Max con iOS 17.0.3 si è riavviato spontaneamente ieri sera (10 ottobre intorno all'01:00 CET).

Lo stesso è successo a 3 miei amici con lo stesso iPhone e lo stesso iOS, e a qualcun altro con un iPhone 13 Mini, anche lui sullo stesso iOS.

Puoi verificare se il tuo ‌iPhone‌ si è spento di notte aprendo l'app Impostazioni, accedendo a Batteria e controllando lo stato di carica nelle ultime 24 ore.

Se c'è un intervallo, l'‌iPhone‌ è stato spento per un periodo di tempo.

Il problema riguarda i modelli iPhone 15, ma colpisce anche altri dispositivi, suggerendo che si tratti di iOS 17.

Non tutti gli utenti riscontrano problemi di spegnimento, né sembra che si verifichi ogni notte.

Non è ancora chiaro cosa stia succedendo e Apple non ha commentato.

https://www.macrumors.com/2023/10/11/iphone-models-turning-off-at-night/

Con questa opzione WhatsApp Non è necessario ripetere un messaggio

Angelo Domeneghini — Thu, 12 Oct 2023 13:45:00 GMT

La popolare app di comunicazione istantanea sta testando la possibilità di appuntare i messaggi per evidenziarli nelle conversazioni.

Non è necessario ripetere un messaggio con questa opzione WhatsApp

La popolare app di comunicazione istantanea sta testando la possibilità di appuntare i messaggi per evidenziarli nelle conversazioni.

Sempre alla ricerca delle novità in arrivo da WhatsApp,

il sito specializzato WaBetaInfo ha scoperto questa settimana una nuova opzione in una delle ultime versioni in anteprima dell'app di messaggistica istantanea del gruppo Meta.

La versione beta 2.23.21.4 contiene infatti un'opzione che mira a semplificare la vita agli utenti:

la possibilità di fissare un messaggio all'inizio di una conversazione, in modo da evidenziarlo.

In pratica questa opzione è disponibile dopo aver premuto a lungo su un messaggio.

Ciò aiuterà gli utenti a evitare di ripetere lo stesso messaggio più volte in una discussione di gruppo e a rendere sempre visibili le informazioni importanti,

come le domande frequenti.

Ad esempio, in una conversazione di gruppo per organizzare un compleanno può essere utile appuntare l'indirizzo del luogo dell'evento e il codice di accesso in modo che rimanga sempre visibile.

Durata temporanea

Tuttavia, questi messaggi non rimarranno fissati per tutta la vita.

WhatsApp offre la possibilità di scegliere tra tre durate temporanee: 24 ore, 7 giorni o 30 giorni.

Trascorso il tempo scelto, il messaggio verrà automaticamente sbloccato dalla parte superiore della conversazione.

Sarà ovviamente possibile farlo anche manualmente, prima della scadenza del periodo prescelto.

Attualmente in fase di test con un numero limitato di primi utenti, questa nuova funzionalità potrebbe essere implementata nelle prossime settimane, o anche più tardi.

Si aggiunge alle varie novità lanciate o in fase di lancio di recente, come i canali, un feed equivalente alle reti Facebook o X (ex Twitter) o l'aggiunta dell'intelligenza artificiale generativa per creare adesivi personalizzati.

https://www.20min.ch/fr/story/meta-pas-besoin-de-repeter-un-message-avec-cette-option-de-whatsapp-359475636088

I 10 errori più comuni sulla sicurezza segnalati da NSA e CISA

Angelo Domeneghini — Mon, 09 Oct 2023 16:12:00 GMT

I 10 errori più comuni sulla sicurezza segnalati da NSA e CISA

Ecco i 10 errori più comuni sulla sicurezza:

errori di configurazione della sicurezza identificati da NSA e CISA e come porvi rimedio.

Le agenzie per la sicurezza nazionale USA danno una lista di consigli, da seguire.

Sono 10 gli errori più comuni sulla sicurezza: in un recente annuncio congiunto, l’Agenzia di Sicurezza Nazionale degli Stati Uniti (NSA) e l’Agenzia per la Sicurezza delle Infrastrutture e della Sicurezza Cibernetica (CISA) hanno rivelato i 10 principali errori di configurazione della sicurezza in una vasta gamma di organizzazioni.

Attraverso anni di analisi e simulazioni di attacchi, questi team hanno identificato una serie di debolezze sistemiche che espongono le organizzazioni a rischi di sicurezza.

Gli analisti della NSA e della CISA hanno investito anni di ricerca nel tentativo di comprendere come i cyber criminali possano ottenere accesso, muoversi lateralmente e “prendere di mira sistemi e dati sensibili” sia a livello nazionale che locale.

Nella loro ricerca hanno esaminato “molte reti” appartenenti al Dipartimento della Difesa (DoD), al ramo esecutivo civile federale, ai governi statali, locali e territoriali (SLTT), nonché le reti del settore privato, alla ricerca di problemi di configurazione errata.

Ecco i 10 principali errori di configurazione della sicurezza identificati da NSA e CISA.

Configurazioni predefinite di software e applicazioni: Le impostazioni predefinite spesso forniscono l’accesso con le credenziali più basse, creando opportunità per gli attacchi cybernetici.

Separazione impropria dei privilegi utente/amministratore: Gli utenti con accesso alla verifica e controllo possono accidentalmente introdurre rischi nella rete.

Monitoraggio interno della rete insufficiente: Senza un adeguato controllo, le attività sospette possono passare inosservate.

Mancanza di segmentazione della rete: La segmentazione della rete è vitale per limitare la distribuzione di malware o di attacchi informatici.

Scarsa gestione delle patch e degli aggiornamenti: Software non aggiornati possono avere vulnerabilità note agli aggressori.

Elusione dei controlli di accesso al sistema: Se non adeguatamente bloccati, i tentativi di eludere i controlli di accesso possono portare a violazioni della sicurezza.

Metodi deboli o configurati in modo errato dell’autenticazione multifattoriale (MFA): Una MFA inadeguata può rendere un sistema vulnerabile.

Liste di controllo degli accessi (ACL) insufficienti su condivisioni di rete e servizi: Le ACL difettose o inappropriate possono permettere inutilmente un accesso esteso.

Scarso controllo delle credenziali: Una gestione disattenta delle credenziali può facilmente portare a violazioni e accessi non autorizzati.

Esecuzione di codice non limitata: Se abilitata senza restrizioni, si corre il rischio di esecuzione di script di attacco.

Come evitare gli errori più comuni sulla sicurezza

Queste errate configurazioni mostrano un pericoloso trend di “debolezze sistemiche in molte grandi organizzazioni”. Per questo motivo, la NSA e la CISA stanno incoraggiando i “difensori” delle reti e gli amministratori IT a implementare le raccomandazioni e le mitigazioni segnalte, riducendo così il rischio di essere presi di mira con successo dai criminali informatici.

La nota emessa da NSA e Cisa afferma che gli amministratori IT dovrebbero rimuovere le password predefinite e rendere più sicure le configurazioni, disabilitare i servizi non utilizzati e implementare controlli più severi. Inoltre, dovrebbero essere attuate pratiche di patching regolari e automatizzate, soprattutto per le vulnerabilità note. Gli account amministrativi e i privilegi dovrebbero essere ridotti, limitati, monitorati e regolarmente verificati.

La CISA sta anche evidenziando le pratiche IT “urgenti” che i produttori di software devono adottare per minimizzare gli errori più comuni sulla sicurezza, tra cui l’eliminazione delle password predefinite, un approccio alla sicurezza by design nella realizzazione di software, fornendo “log di audit di alta qualità” ai clienti, rendendo l’autenticazione a più fattori (MFA) una funzione predefinita piuttosto che opzionale, e altro ancora. L’agenzia sta anche promuovendo la sua recente campagna nazionale ‘Secure Our World‘, che illustra modi semplici ma efficaci per le persone per proteggere se stesse, le loro famiglie e le aziende dalle minacce online.

La sicurezza informatica richiede un’attenzione costante. Prestando attenzione a queste configurazioni e ai 10 errori più comuni sulla sicurezza , le organizzazioni possono proteggersi meglio dai rischi cybernetici.

https://www.digitalic.it/hardware-software/cyber-security/errori-piu-comuni-sulla-sicurezza

Configurare il FRITZ!Box come Mesh repeater

Angelo Domeneghini — Fri, 06 Oct 2023 13:54:00 GMT

Configurare il FRITZ!Box come Mesh repeater

È possibile configurare il proprio FRITZ!Box come Mesh repeater e integrarlo via Wi-Fi

oppure tramite un cavo di rete alla rete Mesh del proprio FRITZ!Box dotato di accesso a Internet (Mesh master), in modo da aumentare la portata della propria rete locale in modo semplice ed efficiente.

Il FRITZ!Box, in qualità di Mesh repeater, adotta quindi automaticamente tutte le impostazioni necessarie del Mesh master (ad esempio, dati di accesso Wi-Fi, accesso ospite, timer)

e crea un'ulteriore rete Wi-Fi tramite la quale i propri dispositivi si possono connettere alla rete locale. Inoltre, i numeri di telefono registrati nel Mesh master possono essere abilitati e utilizzati con i dispositivi di telefonia collegati al Mesh repeater.

Non appena il Mesh repeater è integrato nella rete Mesh, viene visualizzato nell'interfaccia utente del Mesh master con il simbolo Mesh :

Panoramica del Mesh master con un FRITZ!Box come Mesh repeater

Requisiti / Limitazioni

Sul Mesh master è installato FRITZ!OS 7 o più recente.

Nota:Tutte le indicazioni sulle funzioni e le impostazioni in questa guida fanno riferimento al FRITZ!OS attuale del FRITZ!Box.

1 Ripristinare le impostazioni di fabbrica del Mesh repeater

Per poter eseguire le seguenti operazioni come descritto, è necessario che il FRITZ!Box che deve essere configurato come Mesh repeater si trovi alle impostazioni di fabbrica:

Cliccare nell'interfaccia utente del FRITZ!Box su "Sistema".

Cliccare nel menu "Sistema" su "Backup".

Cliccare sulla scheda di registro "Impostazioni di fabbrica".

Cliccare sul pulsante "Caricare le impostazioni di fabbrica".

2 Connettere il Mesh repeater al Mesh master via LAN

Per poter accedere all'interfaccia utente del FRITZ!Box ed effettuare la configurazione, eseguire queste operazioni anche se si desidera in seguito connettere il Mesh repeater al Mesh master tramite Wi-Fi:

Utilizzare un cavo di rete per collegare una porta LAN del FRITZ!Box che deve essere configurato come Mesh repeater a una porta LAN del Mesh master.

Importante:Non utilizzare la porta WAN del FRITZ!Box. Questa è configurata per il collegamento di un modem esterno e può essere configurata come porta LAN aggiuntiva solo dopo aver configurato il Mesh repeater.

3 Includere il Mesh repeater nella rete Mesh premendo un tasto

L'integrazione nella rete Mesh avviene premendo un tasto. In questa situazione, non importa se si preme prima il tasto sul Mesh master o quello sul Mesh repeater. Consigliamo di seguire questo ordine:

Premere il tasto Connect del Mesh repeater e tenerlo premuto fino a quando il LED Connect non lampeggia. È possibile che anche altri LED inizino a lampeggiare.

Premere entro 2 minuti il tasto Connect del Mesh master e tenerlo premuto fino a quando il LED Connect

(vedi tabella) non si accende. È possibile che anche altri LED si accendano.

Modello di FRITZ!Box Tasto Connect LED Connect

FRITZ!Box 6690, 4060 Connect Connect

FRITZ!Box 7590 (AX), 7530 (AX), 7520, 7510, 6890, 6850, 6660, 5590, 5530 Connect / WPS Connect / WPS

FRITZ!Box 6591, 6590 Connect / WPS WLAN / DECT

FRITZ!Box 7490, 7430, 5491, 5490 WLAN WPS WLAN / Info

FRITZ!Box 6490, 6430 WLAN WPS WLAN / DECT

FRITZ!Box 7560, 7362 SL WLAN WLAN / DECT

FRITZ!Box 7583, 7582, 7581, 7580 WPS WLAN / Info

FRITZ!Box 6820, 4040, 4020, 3490 WPS WLAN

La procedura è conclusa non appena il Mesh master mostra il Mesh repeater nella panoramica della rete Mesh con il simbolo Mesh .

4 Configurare il Mesh repeater come ponte Wi-Fi

Eseguire queste operazioni solo se il Mesh repeater deve essere connesso in seguito al Mesh master via Wi-Fi:

Cliccare nell'interfaccia utente del FRITZ!Box su "Rete locale".

Cliccare nel menu "Rete locale" su "Mesh".

Cliccare sulla scheda di registro "Impostazioni della rete Mesh".

Attivare l'opzione "via Wi-Fi".

Selezionare nelle tabelle la rete Wi-Fi a 2,4 GHz e a 5 GHz del Mesh master. Se vengono mostrate più voci per la rete Wi-Fi, selezionare la voce adatta in base all'indirizzo MAC.

Nota:Gli indirizzi MAC del Mesh master vengono mostrati nella sua interfaccia utente sotto "Wi-Fi > Rete wireless" nella sezione "Ulteriori informazioni sulla rete Wi-Fi".

Inserire nel campo "Chiave di rete Wi-Fi" la chiave di rete Wi-Fi del Mesh master.

Cliccare su "Applica" per salvare le impostazioni.

Il Mesh repeater è ora configurato automaticamente come ponte Wi-Fi. È ora possibile rimuovere il cavo di rete dal Mesh master e utilizzare il Mesh repeater nel luogo desiderato. Per informazioni sul posizionamento, consultare la guida Posizionare il Mesh repeater in modo ottimale.

5 Configurare la telefonia nella rete Mesh

I telefoni IP possono essere sempre configurati come dispositivo di telefonia nel Mesh master anche quando i telefoni sono connessi al Mesh repeater. Se si utilizzano anche altri telefoni con il Mesh repeater:

Configurare la telefonia nella rete Mesh.

https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-7590/3354_Configurare-il-FRITZ-Box-come-Mesh-repeater/

Proprietà industriale, tramonta il “professor’s privilege”

Angelo Domeneghini — Wed, 04 Oct 2023 15:28:00 GMT

Tech Transfer

Proprietà industriale, tramonta il “professor’s privilege”

E’ finalmente arrivato a conclusione l’iter legislativo iniziato mesi fa per l’approvazione delle riforme al Codice della Proprietà industriale con l’obiettivo di snellire il trasferimento tecnologico e dare dinamismo al sistema innovazione. Approvato anche il superamento del meccanismo del cosiddetto Professor’s Privilege

Era l’aprile del 2022 quando parlavamo della approvazione da parte del CDM del disegno di legge per l’approvazione del nuovo Codice della Proprietà Industriale, inserito all’interno del Piano strategico di riforma del sistema della proprietà industriale del ministro dello sviluppo economico Giancarlo Giorgetti

(valore 30 milioni di euro del PNRR), e salutato con favore anche da Tech Italian Alliance.

Ora, a un anno e mezzo circa di distanza, si giunge al passo finale, la formalizzazione della firma del decreto interministeriale congiunto emanato dal Ministero delle Imprese e del Made in Italy (MIMIT) e dal Ministero dell’Università e della Ricerca (MUR), riguardante l’implementazione delle direttive prescritte dall’articolo 65 del nuovo Codice della Proprietà Industriale.

La riforma della legislazione sulla proprietà industriale è stata realizzata attraverso l’approvazione di una legge di modifica al Codice della Proprietà Industriale (Legge n. 102 del 24 luglio 2023), accompagnata dall’emissione di strumenti attuativi connessi, quali quattro circolari esplicative e le linee guida appena sottoscritte dai Ministri Adolfo Urso e Anna Maria Bernini.

Urso aveva nel corso di questi mesi sottolineato come l’approvazione del nuovo codice della proprietà industriale sia ”maturato’ in oltre 10 anni di tentativi e sia oggi molto importante anche ai fini del PNRR. Il nuovo codice agevola l’accesso al sistema della proprietà industriale e rafforza l’importanza dei brevetti, dei marchi e dei disegni all’interno del tessuto produttivo. Inoltre snellisce i processi di trasferimento tecnologico grazie all’abolizione del cosiddetto professor privilege.

Cosa cambia con il nuovo Codice

Il provvedimento in questione porta con sé una serie di importanti cambiamenti nel panorama della proprietà industriale in Italia. Di seguito, sono elencati i principali punti salienti:

1. Titolarità dei Brevetti: il provvedimento stabilisce che i brevetti derivanti dalla ricerca condotta da ricercatori presso università, enti pubblici di ricerca e istituti di ricovero e cura a carattere scientifico saranno di titolarità delle rispettive strutture. Ciò semplificherà notevolmente i processi di trasferimento tecnologico e la valorizzazione delle invenzioni.

2. Invenzioni Finanziate dalle Imprese: l’articolo 65 del provvedimento regolamenta le invenzioni generate tramite finanziamenti da parte delle imprese. Questo sarà fatto con l’obiettivo di massima flessibilità nei rapporti tra le imprese e le istituzioni universitarie. I criteri specifici saranno definiti entro 60 giorni dal Ministero delle Imprese e del Made in Italy in collaborazione con il Ministero dell’Università e della Ricerca.

3. Protezione dei Disegni e dei Modelli: la riforma introduce la possibilità di ottenere una protezione specifica per i disegni e i modelli presentati in fiere nazionali ed internazionali.

4. Lotta alla Contraffazione: il provvedimento prevede misure per contrastare la contraffazione, tra cui la possibilità di sequestrare prodotti contraffatti esposti in fiere.

5. Tutela delle Indicazioni Geografiche: si rafforza il sistema di tutela delle indicazioni geografiche, particolarmente importante per l’Italia. Si ampliano le situazioni in cui è possibile opporsi all’uso di marchi che imitano le Denominazioni di Origine Protetta (DOP), patrimonio di grande valore del Made in Italy.

6. Flessibilità nei Pagamenti: una novità rilevante è l’introduzione della possibilità di pagare le tasse di deposito dei brevetti non solo al momento della presentazione della domanda, ma anche in un secondo momento. Questo aspetto è di particolare interesse per le imprese e potrebbe contribuire ad attirare investimenti.

In conclusione, il provvedimento mira a rendere il sistema di proprietà industriale italiano più flessibile, inclusivo e in linea con le esigenze delle imprese e delle istituzioni di ricerca. Le modifiche apportate avranno un impatto significativo sulla gestione e la protezione delle invenzioni nel paese.

Cos’è il professor’s privilege

Il professor’s privilege è stato introdotto in Italia con la legge 383 del 18 ottobre 2001, titolata anche

“Primi interventi per il rilancio dell’economia” (rilancio che non decolla mai…).

Questa norma voleva essere una risposta alla incapacità delle università e di altri istituti di ricerca pubblici di trarre valore dalla proprietà intellettuale (PI) da loro creata.

Tuttavia, non ha portato ai risultati sperati, trasformandosi anzi in un elemento critico nei processi di trasferimento tecnologico e sicuramente anche in controtendenza rispetto al resto dei Paesi europei.

L’Italia ora pone fine a questo esperimento ventennale di “privilegio del professore”, una norma che attribuiva agli accademici, anziché alle università, la proprietà dei brevetti da loro creati. Sebbene la regola sia seguita molto raramente, e si sia spesso ricorsi nella prassi e escamotage contrattuali per aggirarla, attraverso la riforma possiamo dire che il privilegio del professore sia tramontato per si scorga l’alba di una fase di modernizzazione e snellimento dell trasferimento tecnologico nelle università del Paese.

Cosa prevedeva il privilegio del professore

La normativa riguardante le invenzioni sviluppate da ricercatori universitari, come definita nel già citato articolo 65 del Codice della Proprietà Industriale (CPI) pre-riforma, stabiliva che la titolarità e i diritti patrimoniali derivanti dalla brevettazione di tali invenzioni fossero assegnati direttamente ai ricercatori stessi, anziché all’Università in qualità di loro datore di lavoro, come previsto invece nell’articolo 64 del CPI per le invenzioni dei dipendenti.

Nel caso, frequente, di invenzioni di equipe, i diritti derivanti dall’invenzione appartenevano a tutti gli inventori in parti uguali (salvo diversi accordi).

All’ente, datore di lavoro, spetta una quota percentuale di sfruttamento dell’invenzione (non inferiore al 30%), determinabile autonomamente dall’ente purché resti comunque in capo all’inventore almeno il 50% dei proventi di tale sfruttamento.

Questa distinzione ha reso l’ordinamento italiano notevolmente differente rispetto alla prassi comune in paesi come la Germania, la Danimarca, l’Austria, la Norvegia, ecc.

In virtù di questa riforma, la titolarità viene trasferita alla struttura di appartenenza dell’inventore, consentendo al ricercatore di presentare autonomamente la domanda di brevetto solo in caso di inattività da parte della suddetta struttura.

Questo cambiamento consentirà alle strutture di ricerca di iniziare efficacemente processi di valorizzazione delle innovazioni e trasferimento tecnologico, contribuendo al miglioramento della competitività del nostro Paese. L’obiettivo principale è di allineare l’Italia alle principali nazioni occidentali e di rendere concreta la collaborazione tra il mondo della ricerca pubblica e quello produttivo, con riflessi positivi sulla promozione delle nuove tecnologie.

In sintesi, questa riforma valorizza la cooperazione tra università, enti di ricerca pubblici e IRCSS (Istituti di Ricovero e Cura a Carattere Scientifico) e le imprese.

È da notare che il decreto è attualmente in fase di pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana, rendendo così la nuova legislazione ufficialmente operativa.

https://www.startupbusiness.it/proprieta-industriale-tramonta-il-professors-privilege/126297/

MacOs Sonoma: le nuove funzionalità entusiasmanti

Angelo Domeneghini — Tue, 03 Oct 2023 13:31:00 GMT

Apple ha lanciato la sua nuova versione di sistema operativo macOS Sonoma, introducendo alcune funzionalità entusiasmanti.

Arriva MacOS Sonoma con molte funzionalità inedite.

Apple ha rilasciato il nuovo sistema operativo macOS 14 Sonoma e si tratta di un aggiornamento gratuito disponibile per una vasta gamma di prodotti Apple, anche se potrebbe non essere supportato su alcuni modelli più vecchi. I modelli compatibili includono MacBook Air, MacBook Pro, Mac Mini dal 2018 in avanti, iMac dal 2019, iMac Pro dal 2017, Mac Pro dal 2019 e Mac Studio dal 2022.

macOS Sonoma introduce una serie di nuove funzionalità progettate per migliorare l’esperienza dell’utente.

Queste comprendono widget interattivi sul desktop, per permettere un accesso più immediato alle informazioni, e miglioramenti alla funzione di condivisione dello schermo durante le videochiamate, per una più semplice condivisione dei contenuti: nuovi effetti video per le conferenze, per una maggiore personalizzazione delle chiamate, e nuove funzioni di sicurezza per il browser Safari.

Un’altra funzionalità è la modalità Gioco, specifica per titoli che richiedono grande potenza grafica.

C’è poi l’aggiunta di nuovi screensaver e di ulteriori funzioni di accessibilità completano le nuove caratteristiche.

Vediamo nel dettaglio le nuove funzionalità di MacOS 14 Sonoma

MacOs Sonoma: le nuove funzionalità

macOS Sonoma è ora disponibile per il download e l’ultimo sistema operativo Apple offre una serie di nuove funzionalità per i computer mac, desktop e portatili, dai widget interattivi, ai nuovi strumenti per videoconferenze, miglioramenti a Safari e altro ancora.

Qui, esaminiamo le funzionalità più importanti, se la tua macchina è supportata e come scaricare il nuovo software.

MacOs Sonoma: compatibilità

MacOS Sonoma, o macOS 14, è un aggiornamento gratuito per l’hardware Apple, ma potrebbe non essere supportato dai dispositivi più datati. Ecco un elenco di tutti i modelli che possono far girare eseguire macOS 14 Sonoma:

MacBook Air: 2018 e successivi

MacBook Pro: 2018 e successivi

Mac Mini: 2018 e successivi

iMac: 2019 e successivi

iMac Pro: 2017 e successivi

Mac Pro: 2019 e successivi

Mac Studio: 2022 e successivi

Come installare macOS Sonoma

Prima di installare macOS Sonoma, è importante eseguire il backup del Mac.

Si può fare effettuando il backup con Time Machine o archiviando i file in iCloud.

Per scaricare il software del sistema operativo MacOS 14 Sonoma, basta fare clic sul menu Apple nell’angolo in alto a sinistra dello schermo.

Quindi clic su Impostazioni di sistema > Generale > Aggiorna software > Aggiorna ora (o Aggiorna).

Il Mac inizierà a scaricare e installare macOS Sonoma.

MacOs Sonoma: Widget

Apple-macOS-Sonoma-Widgets

Apple ha introdotto i widget nel Centro notifiche sui Mac con macOS Big Sur: basta fare clic sull’angolo destro del display per vedere, ad esempio, i dettagli dalle app come Meteo, Note e News. Ora c’è la possibilità di visualizzare questi widget direttamente sul desktop. Per evitare che i widget tolgano spazio si integrano con lo sfondo quando c’è un’app aperta.

Sono interattivi quindi si possono riprodurre o mettere in pausa i media, controllare i dispositivi collegati al sistema di casa intelligente, prendere appunti, controllare i promemoria e tenere traccia degli appuntamenti, tutto direttamente dal desktop. Se poi si ha un iPhone, si possono portare i widget di iOS sul desktop, se il telefono è collegato alla stessa rete Wi-Fi o nelle vicinanze.

Nuovi salvaschermo

In MacOs Sonoma sono disponibili nuove opzioni per gli screensaver, con video a rallentatore dei luoghi più belli di tutto il mondo. Il prompt di accesso si è anche spostato nella parte inferiore dello schermo, quindi non interferisce più con l’immagine sul display. I nuovi salvaschermo in slow-motion con splendidi panorami da tutto il mondo fanno un figurone sull’ampio display del Mac. E quando fai login, l’ultimo fotogramma diventa lo sfondo della tua Scrivania

MacOs Sonoma: effetti video

Apple ha aggiunto una serie di strumenti appositamente studiati per videoconferenze (sempre più diffuse). Ma è importante notare che le funzioni sono disponibili solo sui Mac alimentati dai processori Apple (non sulle macchine Intel).

Un nuovo effetto chiamato Presenter Overlay mostra lo schermo che vuoi condividere accanto alla testa, quasi come un meteorologo che sta davanti a una mappa del tempo.

Ora puoi scegliere tra una piccola sovrapposizione (dove il tuo viso appare come una piccola bolla spostabile davanti alla presentazione) o una sovrapposizione più grande (che permette di rimanere al centro dell’attenzione mentre lo schermo condiviso è incorniciato e accanto a te).

MacOs Sonoma offre maggiore controllo sulla fotocamera integrata del Mac (purché abbia un chip serie M).

Si può regolare l’intensità del filtro Studio Light (una funzione che scurisce lo sfondo e illumina il viso) all’interno di qualsiasi app di videoconferenza o regolare la quantità di sfocatura dello sfondo in Modalità Ritratto.

MacOs Sonoma: privacy in Safari

Apple ha aggiunto ulteriori funzionalità di sicurezza alla navigazione privata esistente in Safari (che impedisce al browser di salvare la cronologia). Ora, invece di chiudere le schede quando ci si allontana, si possono bloccare le finestre in navigazione privata ogni volta che ti allontani dal dispositivo.

Con il nuovo Safari c’è la possibilità di creare un profilo per il lavoro e un altro per la tua vita personale. In questo modo il browser separa la cronologia, le estensioni, i cookie, i Gruppi di schede e i Preferiti, ed è facile passare da un profilo all’altro.

Con il nuovo safari in MacOs Sonoma i siti preferiti possono essere trasformati in web-app, non servirà quindi navigare, ma semplicemente aprire l’app sul desktop per avere un sito che si comporta come un’app.

Per evitare che le persone visualizzino involontariamente immagini sensibili nei messaggi, in AirDrop, nei messaggi FaceTime e nelle app di terze parti, gli utenti hanno ora la possibilità di abilitare un avviso di contenuto sensibile. In questo modo, le foto e i video contenenti nudità saranno sfocati, con l’opzione di vederli e la possibilità di bloccare il contatto che li ha inviati. Ampliando le funzioni di sicurezza nelle per bambini già presenti in iOS 15, ora i genitori possono sficare i video sensibili (oltre alle foto) che i figli inviano o ricevono. Questo sistema di scurezza funziona anche con l’app Foto quando viene aperta all’interno dei Messaggi.

Modalità gioco in MacOs Sonoma

Apple ha introdotto la funzione Game Mode per trarre il meglio dai titoli graficamente più complessi. La nuova modalità garantisce che il Mac dia alta priorità alla CPU e alla GPU mentre stai giocando, offrendo un’esperienza più fluida con frame-rate costanti. La modalità inedita riduce anche la latenza dell’audio quando si utilizzano gli AirPods e riduce la latenza dell’input con i controller PlayStation e Xbox supportati.

MacOs Sonoma: Condivisione dello schermo più semplice

Condividere lo schermo durante le riunioni di lavoro è comodo, specialmente quando stai presentando, ma spesso non è intuitivo. MacOs Sonoma rende tutta l’operazione un po’ più facile.

All’interno di un nuovo menu video, si può vedere quando si sta condividendo lo schermo attraverso l’etichetta “Attualmente condiviso”, insieme a un’anteprima di ciò che gli altri stanno vedendo.

C’è anche un nuovo pulsante di condivisione dello schermo che permette di iniziare a condividere da qualsiasi app in cui ci si trovi basta fare clic sul pulsante “Schermo intero” e all’interno della finestra e apparirà un menu a discesa con l’opzione per condividere con l’app specifica di videoconferenza che si sta utilizzando. Si può anche condividere una singola finestra, più finestre o più app contemporaneamente.

I Mac Apple con chipset serie M hanno poi una nuova modalità nell’app Condivisione schermo che consente di avere accesso remoto al MacBook quando si è da un’altra parte.

Altre funzioni aggiuntive

Promemoria: Metti insieme una lista della spesa? Promemoria ordinerà automaticamente gli elementi che aggiungi in base alle categorie. Ricorderà anche le tue preferenze ogni volta che modifichi il raggruppamento degli elementi. E una nuova Vista colonna organizza le sezioni in colonne sullo schermo.

Dov’è il mio: ora si possono aggiungere fino a cinque altre persone e chiunque sia aggiunto sarà in grado di seguire l’oggetto sulla mappa o riprodurre un suono per aiutare a individuare l’oggetto.

I giorni di “Hey Siri” sono finiti ora basta dire:”Siri” per attivare l’assistente vocale. Questa funzione è disponibile solo per i Mac in con chip serie M.

Foto: Oltre a riconoscere le persone, l’app Foto può (finalmente) riconoscere automaticamente gatti e cani.

Visual Lookup: Con lo strumento Look Up, è possibile ottenere ulteriori informazioni sull’oggetto di una foto. Ad esempio, se si tratta di una foto di cibo, è possibile utilizzare la funzione per trovare ricette per piatti simili. Si può anche utilizzare Visual Lookup anche in fotogrammi di video in pausa.

https://www.digitalic.it/hardware-software/macos-sonoma-nuove-funzionalita

“Mamma, ho cambiato numero”, la truffa WhatsApp che ruba soldi ai parenti

Angelo Domeneghini — Sat, 30 Sep 2023 14:53:00 GMT

“Mamma, ho cambiato numero”, la truffa WhatsApp che ruba soldi ai parenti

E’ ancora attivamente diffusa la truffa che circola via WhatsApp, con la quale ci si finge parente della vittima in emergenza e gli si fa perdere i soldi del proprio conto corrente, con il convincimento nell’ effettuare operazioni bancarie a favore del criminale, mascherato proprio dietro il nuovo numero telefonico del parente.

«Ciao papà, questo è il mio nuovo numero di telefono.

Lo potresti salvare e mandarmi un messaggio sul Whatsapp quando lo hai letto!»

L'arrivo di un messaggio del genere non può che far nascere dubbi: cosa mai sarà successo?

In questo caso, i genitori erano ad Asti e il figlio alla Giornata Mondiale della Gioventù a Lisbona, in Portogallo. Mezzo milione di giovani stipati in una città lontana giorni di viaggio.

«Magari ha perso il cellulare e ne ha comprato un altro» pensa il padre ad alta voce.

«Si, ma con quali soldi?» risponde pragmaticamente la madre.

Nel mentre il cellulare del figlio chiamato al numero vecchio squilla ma nessuno risponde.

«Che si fa?» si domandano i due.

«Magari è successo qualcosa – dice la mamma - prova a chiamare il numero nuovo».

Un attimo prima di riattaccare una voce conosciuta risponde: «Ciao, che succede?». Cori, urla, schiamazzi e grida divertite di giovani fanno da cornice alla voce del figlio.

«Hai cambiato il cellulare?». «No, assolutamente!». «Tutto bene?». «Si, ora vi lascio che dobbiamo andare». Risate sullo sfondo a Lisbona e sollievo a Asti.

«Hanno fatto bene a non rispondere a quel messaggio – spiegano dalla polizia Postale – potrebbe essere stato un tentativo di phishing: l'estate è il periodo in cui si moltiplicano».

Il «phishing» è una truffa telematica in cui i malviventi cercano di carpire i dati sensibili degli utenti per poi usarli.

«La risposta al messaggio avrebbe fornito ai malviventi i dati di cui necessitano – spiegano dalla Postale – magari con tentativi di carpire poi somme di denaro con messaggi creati a arte o provare a "craccare" i nostri dispositivi informatici: non bisogna mai rispondere a questi messaggi e sempre segnalare alle autorità, senza vergognarsi».

" width="0" height="0">

Non è un caso isolato.

Altri genitori hanno ricevuto messaggi simili, ma sembra che al momento nessuno abbia risposto e la truffa sia morta sul nascere.

«Non bisogna vergognarsi, nessuna vittima di truffa è sciocca – chiarisce il questore di Asti, Marina Di Donato – sono persone che hanno a che fare con professionisti che sanno gestire modi e tempi per perpetrare l'inganno». Nel mirino tutti quanti.

«Le truffe non colpiscono gli anziani – dice Di Donato – colpiscono le persone». Possono caderci tutti. L’età non conta. «Nessuno si deve sentire colpevole o sminuito – sottolinea il questore – gli unici colpevoli sono i truffatori che giocano cinicamente con i sentimenti delle persone».

https://www.vestinda.com/?via=3da

Due avvistamenti nei cieli di Milano: il racconto del testimone

Angelo Domeneghini — Thu, 28 Sep 2023 13:10:00 GMT

Due avvistamenti nei cieli di Milano: il racconto del testimone

"Ho visto gli oggetti volanti non identificati dal balcone della mia abitazione"

Milano – Due avvistamenti nei cieli di Milano: è quanto ha segnalato a ilfarooonline.it Giovanni Carrino.

“Il 19 giugno scorso all’01:30 di notte – racconta Giovanni – ero affacciato alla finestra della mia abitazione per il caldo, quando ho notato 2 velivoli.

Erano diversi tra loro e sorvolavano lentamente l’area.

Mi trovavo a Milano, zona Barona.

Ancora incredulo sono riuscito a fotografare la scena con il cellulare a distanza. I due oggetti volanti non identificati stazionavano fermi, senza far rumore o altro.

Partendo da questo, – conclude Giovanni – ho fatto effettuare a delle mie conoscenze le analisi forensi e da esse si deduce che non siano arei o altro”.

https://www.ilfaroonline.it/2023/09/28/due-avvistamenti-nei-cieli-di-milano-il-racconto-del-testimone/536598/

VPN con FRITZ! - VPN IPSec oppure VPN WireGuard

Angelo Domeneghini — Thu, 28 Sep 2023 12:35:00 GMT

VPN con FRITZ!

Una Virtual Private Network (VPN) consente di stabilire connessioni criptate a prova di intercettazione con il FRITZ!Box e con tutti i dispositivi della rete locale tramite Internet.

È possibile stabilire connessioni VPN al FRITZ!Box su qualsiasi smartphone, tablet o computer, oppure collegare due FRITZ!Box in luoghi diversi. Il FRITZ!Box supporta due diverse soluzioni VPN:

Il protocollo IPSec è supportato direttamente da molti sistemi operativi e consente anche connessioni VPN tra il FRITZ!Box e una VPN aziendale.

Il moderno WireGuard rende la configurazione della connessione VPN particolarmente facile e veloce. Su smartphone e tablet, ad esempio, è sufficiente effettuare la scansione di un codice QR.

1 Configurare la VPN IPSec

VPN con MyFRITZ!App

Con MyFRITZ!App è possibile stabilire connessioni IPSec in Android in modo particolarmente semplice. È sufficiente installare la MyFRITZ!App per Android sul proprio smartphone o tablet, effettuare l'accesso al proprio FRITZ!Box e configurare con un solo clic la connessione VPN nelle impostazioni della app.

Successivamente è possibile stabilire in qualsiasi momento da remoto una connessione VPN con il proprio FRITZ!Box dal menu "Rete locale" nella MyFRITZ!App. Non appena viene stabilita la connessione, è possibile accedere tramite link diretto nella MyFRITZ!App al proprio FRITZ!Box e ad altri dispositivi dotati di una propria interfaccia web, ad esempio un sistema NAS.

Connettere via VPN singoli dispositivi con il FRITZ!Box

Su Android, iOS, macOS e Linux è possibile stabilire connessioni IPSec al FRITZ!Box con la soluzione inclusa nel sistema operativo senza software aggiuntivo. Eseguire le operazioni della guida corrispondente:

Configurare una VPN IPSec al FRITZ!Box con Android

Configurare una VPN IPSec al FRITZ!Box con iPhone o iPad

Configurare una VPN IPSec al FRITZ!Box con Linux

Configurare una VPN IPSec al FRITZ!Box con macOS

Con Windows, invece, non è possibile stabilire una connessione VPN IPSec utilizzando le soluzioni contenute nel sistema operativo.

Per Windows, si consiglia di utilizzare WireGuard. Sui computer con Windows 10 / 8 / 7, è possibile utilizzare in alternativa il programma FRITZ!VPN:

Configurare una VPN IPSec al FRITZ!Box con Windows

Connettere le reti locali di due FRITZ!Box tramite VPN

Oltre all'accesso di singoli dispositivi, con IPSec è possibile accoppiare le reti locali di due FRITZ!Box diversi che si trovano in luoghi differenti (accoppiamento LAN-LAN), in modo che i dispositivi di ciascuna rete locale possano accedere a tutti i dispositivi dell'altra rete locale:

Configurare una VPN IPSec tra le reti di due FRITZ!Box

Connettere il FRITZ!Box a una VPN aziendale

A seconda delle soluzioni VPN utilizzate dall'azienda, è eventualmente possibile stabilire connessioni IPSec con il server VPN aziendale. Anche se è possibile utilizzare una connessione di questo tipo per accedere ai dispositivi della rete aziendale, l'accesso dalla rete aziendale ai dispositivi nella propria rete locale non è possibile.

Connettere il FRITZ!Box a una VPN aziendale (IPSec)

2 Configurare la VPN WireGuard

Connettere via VPN singoli dispositivi con il FRITZ!Box

Su smartphone, tablet e computer, è possibile utilizzare la app WireGuard per stabilire in modo rapido e semplice connessioni VPN al FRITZ!Box. Eseguire le operazioni della guida corrispondente:

Configurare una VPN WireGuard con il FRITZ!Box su uno smartphone o tablet

Configurare una VPN WireGuard con il FRITZ!Box su un computer

Connettere la rete locale del FRITZ!Box a un'altra rete tramite VPN

Con WireGuard è possibile collegare il FRITZ!Box a un altro FRITZ!Box o a un router compatibile con WireGuard di un altro produttore (accoppiamento LAN-LAN) e accedere così a tutti i dispositivi dell'altra sede con tutti i dispositivi:

Configurare una VPN WireGuard tra le reti di due FRITZ!Box

Configurare una VPN WireGuard tra il FRITZ!Box e un altro router

Connettere il FRITZ!Box a un provider VPN

Con WireGuard è possibile stabilire una connessione VPN tramite il FRITZ!Box anche a un servizio di anonimizzazione Internet (provider VPN), a condizione che questo supporti le connessioni WireGuard. Tutti i dispositivi della rete locale accederanno quindi a Internet tramite la connessione al provider VPN:

Connettere il FRITZ!Box a un provider VPN tramite WireGuard

https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-7590/3448_VPN-con-FRITZ/

WhatsApp per iPAD - iOS 23.19.1.71

Angelo Domeneghini — Tue, 26 Sep 2023 08:21:00 GMT

WhatsApp Beta per iOS 23.19.1.71: cosa c'è di nuovo?

Molti utenti di WhatsApp chiedono da anni una versione compatibile con iPad.

In passato abbiamo anche pubblicato notizie su WhatsApp per iPad condividendo i dettagli su X, ma non si conosceva una data di rilascio poiché la modalità complementare non era una soluzione perfetta e non era pronta su iOS.

Per testare la modalità complementare, WhatsApp ha rilasciato un'app nativa creata con Mac Catalyst in modo che gli utenti potessero già iniziare a testare la funzionalità e l'app.

Finalmente, dopo un'attesa molto lunga, siamo lieti di annunciare che ora è possibile installare una versione beta compatibile con iPad tramite l'app TestFlight per tutti i beta tester che possono già utilizzare l'app beta sui propri dispositivi mobili.

Per configurare WhatsApp sul tuo iPad, dovrai avere la versione beta iOS dell'app installata sul tuo iPhone e iPad. Fatto ciò, devi utilizzare WhatsApp sul tuo iPhone e aprire Impostazioni WhatsApp > Dispositivi collegati > “Collega un dispositivo” per poter scansionare il codice QR utilizzando il tuo iPad. Dopo aver collegato il tuo iPad al tuo iPhone, potrai utilizzare WhatsApp sul tuo iPad in autonomia, senza bisogno che il telefono sia connesso a Internet, il che è una grande comodità per chi lavora sul tablet.

La nuova modalità complementare fa anche sì che tutti i messaggi inviati o ricevuti sul tuo iPad verranno sincronizzati con il tuo telefono, indipendentemente dal fatto che sia un dispositivo iOS o Android: in questo modo non perderai nessun messaggio importante mentre utilizzi l'iPad quando spegni il tuo dispositivo mobile.

Inoltre, i tuoi messaggi e le tue chiamate sono comunque protetti con crittografia end-to-end quando utilizzi la modalità complementare, quindi nessuno può leggere i tuoi messaggi personali e ascoltare le tue chiamate private.

Tieni presente che questa è una versione beta e la modalità complementare è ancora in beta, quindi alcune funzionalità potrebbero ancora non funzionare correttamente, come la possibilità di visualizzare e pubblicare aggiornamenti di stato e alcune funzionalità relative alla posizione live. WhatsApp prevede di risolvere questi problemi introducendo correzioni di bug e numerosi miglioramenti in un futuro aggiornamento dell'app.

Chiunque abbia accesso al programma iOS beta di WhatsApp può installare l'app sul proprio iPad a partire da oggi. Nel caso in cui non disponi della versione beta di WhatsApp su TestFlight, ti preghiamo di pazientare finché non verrà rilasciata sull'App Store.

Purtroppo non abbiamo una data di rilascio per la disponibilità dell'app WhatsApp per iPad sull'App Store, ma ti faremo sapere quando potrai ottenerla.

Rimani aggiornato sulle novità di WhatsApp seguendo WABetaInfo su X. Puoi anche scoprire altre nuove funzionalità per WhatsApp beta per Android, iOS, Web/Desktop e Windows.

https://wabetainfo.com/whatsapp-beta-for-ios-23-19-1-71-whats-new/

iPhone15 Vs iPhone14

Angelo Domeneghini — Mon, 25 Sep 2023 10:14:00 GMT

Confronto iPhone 15 Vs iPhone 14: l’iPhone 15 offre fotocamere migliori e la presa USB-C, ma in cosa è davvero diverso dal modello precedente?

iPhone 15 VS iPhone 14, cosa cambia? È la prima domanda che gli utenti si sono fatti appena Apple ha annunciato il nuovo iPhone 15 durante il suo evento Wonderlust, presentandolo insieme al nuovissimo Apple Watch Serie 9.

Molti hanno ironizzato sul fatto che l’iPhone 15 non sia altro che un iPhone 14 con la presa Usb-C che Apple è stata costretta ad inserire per ordine della Comunità Europea.

iPhone 15 VS iPhone 14 confronto

iPhone 15 VS iPhone 14: Usb-C

Ogni modello della nuova serie iPhone 15 è dotato di una porta USB-C e abbandona la tacca superiore a favore della funzione Dynamic Island. I telefoni premium, cioè iPhone 15 Pro e 15 Pro Max, sono dotati del nuovo chip A17 Pro, un Pulsante Azione, e velocità di trasferimento di 10Gbps.

iPhone 15 VS iPhone, il prezzo

Prima di vedere i dettagli tecnici, probabilmente dovremmo affrontare una delle differenze più significative tra i vari modelli: il prezzo.

L’iPhone 14 da 6,1 pollici è sceso a 879 euro, mentre l’iPhone 15 parte da 979. L’iPhone 14 Plus e l’iPhone 15 Plus vanno per 979 euro e 1.129 euro rispettivamente, entrambi dotati di un display più grande da 6,7 pollici.

Dall’altre l’iPhone 15 Pro da 6,1 pollici parte da 1.239 euro, mentre l’iPhone 15 Pro Max da 6,7 pollici parte da $1.489. Insieme a funzionalità aggiuntive di i modelli Pro offrono un’opzione di archiviazione da 1TB, che i modelli entry-level di iPhone 14 e 15 non dispongono.

iPhone 15 VS iPhone 14: Display e design

Quest’anno, Apple ha sostituito la tacca presente sugli iPhone 14 e 14 Plus di fascia bassa con la Dynamic Island. Inizialmente riservato solo per i modelli premium di iPhone 14, la funzione agisce essenzialmente come un ritaglio mobile a forma di pillola, che visualizza notifiche, avvisi e attività in tempo reale.

Parlando di cambiamenti nel display, ogni modello della serie iPhone 15 presenta uno schermo più luminoso rispetto all’iPhone 14, con una luminosità di picco di 2.000 nit.

Teoricamente, questo significa che il display dovrebbe essere più facile da visualizzare quando si è all’aperto. Oltre a Dynamic Island, iPhone 15 Pro e Pro Max presentano anche un display sempre attivo (Always on), cosa che manca nei modelli di iPhone 14 e 15 di fascia bassa.

Ci sono anche alcune differenze di design da conoscere. Solo iPhone 15 e Pro Max presentano un corpo in titanio che dovrebbe rendere gli smartphone sia più resistenti e allo stesso tempo più leggeri. I modello pro sono anche gli unici telefoni Apple a presentare il Pulsante “Action”, che essenzialmente sostituisce il pulsante per silenziare la suoneria e può essere personalizzato per creare scorciatoie, avviare la fotocamera e svolgere una serie di altre attività ( se si rinuncia alla funzionalità silenzioso).

iPhone 15 VS iPhone 14: batteria

Come prevedibile, l’USB-C è forse uno degli aggiornamenti più notevoli di quest’anno. Ogni telefono della serie iPhone 15 ora presenta una porta USB-C sul fondo al posto del connettore Lightning proprietario Apple, che rimane sulla serie iPhone 14. Il passaggio, da lungo tempo ipotizzato, dovrebbe consentire una ricarica più veloce e velocità di trasferimento dati più elevate, e questo vale in particolare per il modello iPhone 15 Pro, che Apple dice essere il primo telefono a offrire velocità di trasferimento da 10Gbps..

Per quanto riguarda la durata della batteria, sia l’iPhone 14 che l’iPhone 15 raggiungono un massimo di 20 ore, mentre l’iPhone 15 Pro Max dovrebbe durare di più, ovvero fino a 29 ore. Entrambi i modelli Plus offrono fino a 26 ore di riproduzione video, ma stranamente, l’iPhone 15 Pro raggiunge un massimo di 23 ore.

iPhone 15 VS iPhone 14: Fotocamera

Per quanto riguarda le fotocamere, i modelli entry-level dell’ iPhone 14 e iPhone 15 condividono un sistema di doppia fotocamera che include un obiettivo ultra grandangolare da 12 megapixel.

Quest’anno, tuttavia, l’iPhone 15 e 15 Plus offrono una migliorata fotocamera principale da 48 megapixel – più specificamente, la stessa fotocamera principale ad alta risoluzione trovata nei modelli Pro. Al contrario, l’iPhone 14 ha una fotocamera principale a risoluzione inferiore: da 12 megapixel.

La nuova linea iPhone 15 porta anche alcuni aggiornamenti alla modalità notturna e ritratto, quest’ultima funzionerà in automatico quando il telefono riconosce che la foto riguarda persone o animali.

Tutti i modelli di fascia bassa non dispongono della tripla serie di fotocamere presente nei modelli premium di iPhone 15 ovvero i modelli Pro, il include un ulteriore teleobiettivo da 12 megapixel. L’iPhone 15 Pro Max ha poi un nuovo zoom tetraprism 5x con una lunghezza focale di 120mm, più potente anche di quello a lunghezza focale 77mm e zoom 3X montato sull’iPhone 15 Pro.

Nel confronto iPhone 15 VS iPhone 14 ci sono anche miglioramenti per quanto riguarda la registrazione video. Tutti i telefoni presentano una modalità cinematografica in grado di registrare a risoluzione 4K e 30fps e 4K a 24fps. Tuttavia, i modelli 15 Pro sono anche in grado di catturare “video spaziali”, che sono essenzialmente video 3D che possono essere visualizzati con l’headset Vision Pro di Apple. Sarà possibile anche girare video 4K60 ProRes e, grazie al supporto USB-C, permettono di registrare video su dispositivi di esterni.

iPhone 15 VS iPhone 14: potenza di calcolo

Per quanto riguarda le prestazioni, l’iPhone 14 e l’iPhone 14 Plus utilizzano il chipset A15 Bionic vecchio di due anni. Tuttavia, è probabile che sia meno reattivo dell’A16 presente nei modelli entry-level di iPhone 15 e probabilmente più sensibilmente più lento rispetto ai telefoni premium.

Dopotutto, l’iPhone 15 Pro e Pro Max si basano sul nuovo chip A17 Pro, che Apple sostiene essere uno dei chip più veloci attualmente disponibili.

iPhone 15 VS iPhone 14 confronto GPU

Apple afferma che i nuovi smartphone sono particolarmente adatti per compiti impegnativi, tra cui i videogame contemporanei.

Parlando di chip,

l’iPhone 15 è dotato di un chip ultra wideband di seconda generazione come il nuovo Apple Watch Series 9.

Questo chip consente un tracciamento più preciso quando si utilizza la funzione “Trova il mio…” di Apple, rendendo così più facile trovare amici e familiari che utilizzano un iPhone 15.

Dovrebbe anche migliorare la connettività ad altri dispositivi con lo stesso chip e rendere la ricerca dell’iPhone o dell’Apple watch più rapida e precisa, come Apple ha mostrato nella presentazione.

Software

Infine, per quanto riguarda il software, la linea iPhone 15 è fornita con iOS 17. In realtà un aggiornamento minore che porta nuove funzionalità divertenti come Live Voicemail, la nuova app Journal e la modalità StandBy. Quest’ultima trasforma lo schermo in un display intelligente che rimane visibile mentre il telefono è in carica in modalità landscape (in orizzontale). Va notato, tuttavia, che tutti gli utenti di iPhone 14 possono scaricare iOS 17 e avere le stesse funzioni.

I numeri

Ci sono altre piccole differenze di cui essere consapevoli. Tutti i telefoni supportano il 5G, ma solo i modelli 15 Pro includono il supporto Wi-Fi 6E. Ciò li rende pronti per il futuro e nel presente consente prestazioni wireless più veloci.

Questo è solo un breve riassunto di alcune delle principali differenze tra la linea di iPhone 15 e iPhone 14, però. Puoi approfondire le differenze più dettagliate nella tabella sottostante, dove abbiamo raccolto tutte le specifiche rilevanti.

https://www.digitalic.it/hardware-software/iphone-15-vs-iphone-14-il-confronto

FIBRA 2,5 GIGA è disponibile

Angelo Domeneghini — Thu, 21 Sep 2023 08:18:00 GMT

FIBRA 2,5 GIGA è arrivata

La fibra corre, cresce, si espande.

E noi la seguiamo ovunque: per ogni passaggio, per ogni evoluzione, noi ci siamo. Anche con la 2,5 Giga.

La rete in fibra ottica italiana continua a migliorare e diventa sempre più accessibile, come le proposte commerciali.

Questa connessione FTTH è il nostro top di gamma: velocità massima di 2,5 Giga e ben 1 Giga in upload.

Pensata per chi vuole il massimo sul lavoro o per il relax,

è già disponibile in alcune aree ed è prevista una continua espansione.

FIBRA OTTICA

Se la tua zona è coperta da Fibra ottica FTTH (Fiber To The Home) attiveremo la tua linea con questa tecnologia e potrai navigare

fino a 2,5 Giga in download e 1 Giga in upload su rete NGA e 500 mega su rete OpenFiber

Controlla se la tua zona è coperta

Impossibile accedere all'interfaccia utente del FRITZ!Box

Angelo Domeneghini — Thu, 21 Sep 2023 07:59:00 GMT

Impossibile accedere all'interfaccia utente del FRITZ!Box

Che cosa fare quando non si apre l'interfaccia utente del proprio FRITZ!Box dopo aver digitato fritz.box?

Se non è possibile accedere all'interfaccia utente dal proprio computer, tablet o smartphone, la maggior parte delle volte è dovuto a impostazioni non corrette del FRITZ!Box o del dispositivo di rete.

Eseguire le operazioni qui descritte una dopo l'altra. Verificare dopo ogni operazione se è possibile accedere all'interfaccia utente.

1 Connettere il dispositivo al FRITZ!Box

Assicurarsi che il dispositivo sia connesso al FRITZ!Box. L'accesso a Internet non è necessario:

Connettere il dispositivo al FRITZ!Box via Wi-Fi oppure tramite un cavo di rete (non tramite accesso ospite).

2 Disattivare la connessione di rete mobile in Android

Su smartphone o tablet Android, l'accesso all'interfaccia utente di un FRITZ!Box con una connessione Internet disturbata è solitamente possibile solo una volta disattivata la connessione alla rete mobile:

Attivare sul dispositivo Android la modalità aereo per disconnettere tutte le connessioni.

Attivare solo la rete Wi-Fi sul dispositivo Android per stabilire la connessione al FRITZ!Box.

Dopo l'accesso all'interfaccia utente con il dispositivo Android, disattivare nuovamente la modalità aereo sul dispositivo Android.

3 Richiamare l'indirizzo completo

Indirizzo completo nella barra degli indirizzi del browser

Alcuni browser, ad esempio Google Chrome via Google, eseguono una ricerca in Internet quando si digita un indirizzo sconosciuto o incompleto. Per impedire ciò, è necessario digitare l'indirizzo completo http://fritz.box/.

4 Cancellare i dati di navigazione (cache)

Cancellare sui computer con Windows o macOS la memoria temporanea (cache) del browser:

Premere contemporaneamente sulla tastiera "Ctrl + Maiusc + Canc" oppure per Safari "CMD + Alt + E".

Cliccare nella nuova finestra su "Cancella" oppure premere il tasto Invio.

5 Disattivare la connessione VPN

Se si utilizza un servizio di anonimizzazione di Internet (ad esempio Nord VPN) o un software di sicurezza con VPN integrata (ad esempio McAfee Total Protection), non è possibile accedere all'interfaccia utente del FRITZ!Box perché tutto il traffico dati viene instradato al provider VPN tramite la connessione VPN:

Disattivare la connessione VPN per poter accedere all'interfaccia utente.

6 Riavviare il FRITZ!Box

Staccare il FRITZ!Box dalla corrente per 5 secondi.

Nota:Le impostazioni del FRITZ!Box restano memorizzate. Il riavvio richiede circa 2 minuti. Nel frattempo non è possibile accedere al FRITZ!Box.

7 Impostare il dispositivo in modo che ottenga automaticamente le impostazioni IP

Impostazioni IP scorrette del dispositivo di rete possono impedire l'accesso all'interfaccia utente:

Impostare il dispositivo in modo che ottenga automaticamente le impostazioni IP tramite DHCP.

8 Accedere all'interfaccia utente attraverso l'indirizzo "IP fisso"

Verificare se è possibile accedere all'interfaccia utente tramite l'IP di emergenza http://169.254.1.1.

Nel caso in cui non sia possibile accedere all'interfaccia utente, collegare un dispositivo con una porta LAN del FRITZ!Box e tentare di nuovo.

Nel caso in cui sia possibile accedere all'interfaccia utente, eseguire le operazioni contenute nella nostra guida Perché è possibile accedere all'interfaccia utente del FRITZ!Box solo tramite l'IP di emergenza?.

Nel caso in cui si apra l'interfaccia utente di un Mesh repeater, scollegare tutte le connessioni LAN e Wi-Fi dei Mesh repeater al FRITZ!Box e riprovare.

Nel caso in cui non sia mai possibile accedere all'interfaccia utente, procedere con l'operazione successiva.

9 Testare un altro dispositivo

Verificare se è possibile accedere all'interfaccia utente da un altro dispositivo.

Nel caso in cui sia possibile accedere all'interfaccia utente, utilizzare l'altro dispositivo per accedere all'interfaccia utente.

Le impostazioni del primo dispositivo non sono corrette oppure il dispositivo non lavora correttamente.

Nel caso in cui non sia possibile accedere all'interfaccia utente, ripristinare il FRITZ!Box utilizzando il programma di ripristino. Il FRITZ!Box si trova in uno stato di errore.

https://it.avm.de/assistenza/banca-dati-informativa/dok/FRITZ-Box-7490/245_Impossibile-accedere-all-interfaccia-utente-del-FRITZ-Box/

Il sottosistema Windows per Linux ottiene la nuova modalità di rete "mirroring".

Angelo Domeneghini — Tue, 19 Sep 2023 09:52:00 GMT

Il sottosistema Windows per Linux ottiene la nuova modalità di rete "mirroring".

Microsoft ha rilasciato Windows Subsystem for Linux (WSL) 2.0.0 con una serie di nuove funzionalità sperimentali opt-in, tra cui una nuova modalità di rete e la pulizia automatizzata della memoria e delle dimensioni del disco.

Per cominciare, la funzionalità di "ricupero automatico della memoria" appena aggiunta riduce dinamicamente l'impronta di memoria della macchina virtuale (VM) WSL mentre viene utilizzata recuperando la memoria memorizzata nella cache.

Un'altra aggiunta degna di nota in questa versione è la funzionalità "Sparse VHD", che, come descritto in precedenza, riduce automaticamente le dimensioni del disco rigido virtuale WSL (VHD).

Inoltre, questo aggiornamento WSL introduce la "rete in modalità mirroring", una nuova modalità di rete che non solo offre nuove funzionalità ma migliora anche la compatibilità di rete.

Tra i vantaggi derivanti dall'abilitazione della rete con mirroring in WSL vi sono il supporto IPv6 e multicast, una migliore compatibilità di rete per le VPN e la possibilità di connettersi alla VM WSL dalla rete locale (LAN) e ai server Windows dall'interno della VM Linux.

Il Program Manager WSL di Microsoft, Craig Loewen, ha dichiarato lunedì che WSL 2.0.0 incorpora anche il "DNS Tunneling", una funzionalità che cambia il metodo utilizzato da WSL per risolvere le richieste DNS per migliorare la compatibilità di rete.

"Questo ci consente di risolvere la richiesta del nome DNS senza inviare un pacchetto di rete, il che ti consentirà di ottenere una migliore connettività Internet anche se disponi di una VPN, di una configurazione firewall specifica o di altre configurazioni di rete", ha affermato Loewen.

"Questa funzionalità dovrebbe migliorare la compatibilità di rete, rendendo meno probabile la mancanza di connessione di rete all'interno di WSL."

WSL ora dispone anche di una funzionalità Hyper-V Firewall che applicherà le regole del firewall di Windows e offrirà opzioni avanzate di gestione del firewall per la VM WSL. Inoltre, la funzionalità "autoProxy" recentemente introdotta garantisce che WSL utilizzi perfettamente le informazioni proxy di Windows, migliorando ulteriormente la compatibilità di rete.

Alcune di queste funzionalità sperimentali (ad esempio, modalità di rete con mirroring, tunneling DNS e firewall Hyper-V) vengono distribuite solo ai Windows Insider nel canale di anteprima di rilascio che eseguono Windows 11 22H2 che hanno installato Windows 11 Build 22621.2359 (KB5030310).

Un elenco completo di tutte le nuove funzionalità e correzioni di bug introdotte con WSL 2.0.0 è disponibile nella pagina GitHub del progetto.

Il rilascio di oggi arriva dopo che Microsoft ha annunciato a novembre che WSL è generalmente disponibile per i clienti Windows 10 e 11 tramite Microsoft Store.

Microsoft ha introdotto WSL nel marzo 2018 come livello di compatibilità progettato per consentire agli utenti di eseguire i binari Linux in modo nativo sui propri computer Windows tramite PowerShell o un prompt dei comandi di Windows 10.

Nel maggio 2019, Redmond ha rilasciato WSL 2, un aggiornamento significativo che ha apportato notevoli miglioramenti alle prestazioni del file system e un supporto esteso per la completa compatibilità delle chiamate di sistema.

WSL 2 raggiunge questo obiettivo incorporando un kernel Linux all'interno di una macchina virtuale (VM) leggera.

Inoltre, WSL 2 ha introdotto anche il supporto per le applicazioni Linux con interfacce utente grafiche (GUI), una funzionalità nota come WSLg, abbreviazione di Windows Subsystem for Linux GUI. WSLg ha iniziato a implementare Windows 10 Insiders nel maggio 2021.

https://www.bleepingcomputer.com/news/microsoft/windows-subsystem-for-linux-gets-new-mirrored-network-mode/

È ufficiale: la NASA svela finalmente il suo primo rapporto "serio" sugli UFO

Angelo Domeneghini — Tue, 19 Sep 2023 09:41:00 GMT

È ufficiale: la NASA svela finalmente il suo primo rapporto "serio" sugli UFO

In risposta a un nuovo rapporto di un gruppo indipendente, la NASA afferma di aver nominato un direttore responsabile della ricerca sugli UFO – ora noti come fenomeni anomali non identificati, o UAP – e lavorerà con altre agenzie per ampliare la rete per la raccolta di dati UAP.

"Questa è la prima volta che la NASA intraprende azioni concrete per esaminare seriamente l'UAP", ha affermato oggi l'amministratore della NASA Bill Nelson durante una conferenza stampa presso la sede della NASA a Washington.

La NASA inizialmente ha tenuto nascosto il nome del suo direttore della ricerca UAP, ma più tardi nel corso della giornata, l'agenzia lo ha identificato come Mark McInerney, che in precedenza ha servito come collegamento della NASA con il Dipartimento della Difesa sulla questione UAP.

Nelson ha minimizzato l’idea che dietro tutti i fenomeni anomali registrati fino ad oggi ci fossero gli alieni, ma si è impegnato a mantenere una mente aperta.

"Penso che sia importante che tu ascolti questa parola parola per parola", ha detto. "Il gruppo di studio indipendente della NASA non ha trovato alcuna prova che gli UAP abbiano un'origine extraterrestre, ma non sappiamo cosa siano questi UAP. La missione della NASA è scoprire l'ignoto. L'ho detto più volte nei miei commenti qui oggi noi della NASA trattiamo apertamente e saremo trasparenti su questo."

Quando gli è stato chiesto se la NASA avrebbe effettivamente condiviso qualche prova di una causa extraterrestre, ha risposto: "Ci puoi scommettere che lo faremo".

In un comunicato stampa, Nelson ha affermato che McInerney lavorerà all'implementazione della visione dell'agenzia per la ricerca sull'UAP, "incluso l'utilizzo dell'esperienza della NASA per lavorare con altre agenzie per analizzare l'UAP e applicare l'intelligenza artificiale e l'apprendimento automatico per cercare anomalie nei cieli".

La cooperazione tra agenzie e l’uso dell’intelligenza artificiale per dare un senso agli avvistamenti di UAP sono state tra le principali raccomandazioni contenute nel rapporto del gruppo indipendente, che ha fatto seguito a mesi di accertamento dei fatti. Il gruppo di 16 membri ha anche affermato che la NASA potrebbe creare nuovi strumenti per raccogliere rapporti di avvistamento da parte del pubblico.

"Il comitato ha immaginato una struttura che sfrutta il crowdsourcing, possibilmente tramite applicazioni per smartphone, per acquisire uno spettro più ampio di dati, garantendo più occhi e orecchie sul campo", ha affermato il presidente del comitato, David Spergel, fisico e presidente della Simons Foundation.

Il comitato ha affermato che il sistema di reporting sulla sicurezza aerea della NASA potrebbe essere sfruttato per raccogliere dati civili sugli UAP, in parallelo con un sistema di reporting militare creato dall’All-domain Anomaly Risoluzione Office del Pentagono, o AARO.

Il Pentagono ha assunto il ruolo guida sulla questione UAP in parte a causa delle preoccupazioni che almeno alcuni avvistamenti – ad esempio, l’incidente del pallone spia cinese che ha catturato l’attenzione nazionale all’inizio di quest’anno – possano sollevare preoccupazioni di sicurezza nazionale totalmente terrestri.

Il rapporto odierno invita ad ampliare la portata della ricerca dei fenomeni anomali. In futuro, i dati provenienti dai telescopi, incluso l’Osservatorio Vera C. Rubin, potrebbero essere analizzati per individuare eventuali segni di UAP nel più ampio sistema solare, afferma il rapporto. L’Osservatorio Rubin, finanziato dal governo federale, che ha sede in Cile, dovrebbe iniziare un’indagine grandangolare del cielo a metà degli anni 2020.

Un sistema satellitare di osservazione della Terra noto come Geostationary Extended Observations, o GeoXO, potrebbe fornire dati aggiuntivi che potrebbero essere rilevanti per gli studi UAP, afferma il rapporto.

Il rapporto rileva che molti rapporti UAP risultano spiegabili una volta esaminati. Ha citato l'esempio del video "GoFast", che ha registrato un incontro del 2015 tra un aereo da caccia della Marina e un oggetto aereo non identificato. Sembrava che l'oggetto viaggiasse a una velocità incredibile, ma un'analisi dettagliata del video ha stabilito che più probabilmente stava semplicemente fluttuando a causa dei venti ad alta quota e che la sua velocità era stata valutata erroneamente a causa di un effetto di parallasse.

Un interlocutore del briefing di oggi ha chiesto della recente testimonianza al Congresso di un ex ufficiale dell'intelligence statunitense che ha affermato di essere stato informato di prove di artefatti extraterrestri e campioni biologici. In risposta, Nelson fece riferimento a uno show televisivo degli anni '50 chiamato "Dragnet", con Jack Webb nei panni di un immaginario detective della polizia di Los Angeles di nome Joe Friday.

"Diceva: 'Solo i fatti'", ha detto Nelson. "Solo i fatti. Mostrami le prove."

Nicola Fox, amministratore associato della direzione delle missioni scientifiche della NASA, ha rifiutato di dire quanto la NASA sta stanziando specificamente per la ricerca UAP. Ha anche detto che la NASA non avrebbe fornito il nome del direttore della ricerca UAP, una posizione che è stata successivamente ribaltata.

Dan Evans, il funzionario della NASA che ha supervisionato il lavoro del panel, ha affermato che il tema degli UAP è ancora circondato da stigmatizzazione. Ha notato che i relatori hanno ricevuto una quantità preoccupante di messaggi di odio.

"Non solo alcune delle cose che i membri del nostro panel hanno ricevuto nel corso di questo studio erano semplici trolling, alcune di esse si sono trasformate in vere e proprie minacce", ha detto durante il briefing. "Noi della NASA prendiamo estremamente sul serio la sacralità del processo scientifico e la sicurezza del nostro team. E sì, questo è in parte il motivo per cui non pubblicheremo il nome del nostro nuovo direttore là fuori."

Ore dopo, la NASA ha aggiornato il suo comunicato stampa per identificare McInerney, un meteorologo pluripremiato, come direttore della ricerca UAP. Dal 1996, McInerney ha ricoperto vari incarichi presso il Goddard Space Flight Center della NASA, la National Oceanic and Atmospheric Administration e il National Hurricane Center.

"Dato l'interesse, condivido che la NASA ha scelto Mark McInerney direttore della ricerca UAP", ha detto Fox in un post su X/Twitter. "Mentre continuiamo a digerire il rapporto e i risultati del gruppo di studio, vi preghiamo di trattarlo con rispetto in questo ruolo fondamentale per aiutarci a comprendere meglio scientificamente l'UAP."

https://www.sciencealert.com/its-official-nasa-finally-unveils-its-first-serious-report-on-ufos

https://youtu.be/A7AL5Fv156Y

IT-alert: 19 settembre Test in Lombardia

Angelo Domeneghini — Mon, 18 Sep 2023 10:19:00 GMT

In Lombardia il 19 settembre alle ore 12 il test It-alert

Martedì 19 settembre alle ore 12 i telefoni cellulari in Lombardia saranno raggiunti da un messaggio di test IT-alert, il nuovo sistema di allarme pubblico nazionale.

Tutti i dispositivi agganciati a celle di telefonia mobile in regione suoneranno contemporaneamente, emettendo un suono distintivo diverso da quello delle notifiche a cui siamo abituati.

Del nuovo sistema di allarme pubblico in fase di test ne ha parlato oggi in conferenza stampa a Palazzo Lombardia l’assessore regionale alla Sicurezza e Protezione Civile, Romano La Russa. Presenti anche il direttore generale della protezione civile Fabrizio Cristalli e il dirigente Andrea Zaccone.

lombardia it alert

Assessore La Russa: il 19 settembre sperimentazione in Lombardia, IT alert utile per informare tempestivamente popolazione

“Il sistema è molto utile – dichiara l’assessore Romano La Russa – poiché diventa sempre più importante informare tempestivamente la popolazione in caso di calamità naturali. Regione Lombardia ha messo a disposizione tutte le strutture collaborando a realizzare questo strumento prezioso. Una volta terminata la fase di sperimentazione, IT-alert potrà essere impiegato al servizio di tutti i cittadini”.

Chi riceve il messaggio di test non ha nulla da temere, e non dovrà fare nulla tranne leggere il messaggio. L’invito per tutti, che abbiano ricevuto correttamente il messaggio o meno, è ad andare sul sito it-alert.it e rispondere al questionario. Le risposte degli utenti, infatti, consentiranno di migliorare lo strumento.

Entro 2023 fine fase sperimentale IT alert

La fase sperimentale è stata già avviata in alcune regioni italiane ed entro il 2023 sarà completata.

Info in caso di emergenze imminenti

Superata la fase di test, IT-alert consentirà di informare direttamente la popolazione in caso di gravi emergenze imminenti o in corso, in particolare rispetto a sei casistiche di competenza del Servizio nazionale di protezione civile: in caso di maremoto (generato da un terremoto), collasso di una grande diga, attività vulcanica (per i vulcani Vesuvio, Campi Flegrei, Vulcano e Stromboli), incidenti nucleari o emergenze radiologiche, incidenti rilevanti in stabilimenti industriali o precipitazioni intense. È importante sottolineare che IT-alert e non sostituirà le modalità di informazione e comunicazione già in uso a livello regionale e locale, ma andrà a integrarle.

Nessuna applicazione da scaricare per il messaggio di IT alert in Lombardia

Ogni dispositivo mobile connesso alle reti degli operatori di telefonia può ricevere un messaggio ‘IT-alert’. Non è infatti necessario iscriversi né scaricare nessuna applicazione. Il servizio è anonimo e gratuito per gli utenti. Attraverso la tecnologia cell-broadcast i messaggi IT-alert possono essere inviati a un gruppo di celle telefoniche geograficamente vicine, delimitando un’area il più possibile corrispondente a quella interessata dall’emergenza. Ci sono ovviamente dei limiti tecnologici. Un messaggio indirizzato a un’area può raggiungere anche utenti che si trovano al di fuori dell’area stessa. Oppure in aree senza copertura può capitare che il messaggio non venga recapitato. La capacità di ricevere i messaggi dipenderà anche dal dispositivo e dalla versione del sistema operativo installata sul cellulare. I test serviranno a verificare tutte le eventuali criticità per ottimizzare il sistema.

https://www.it-alert.it/it/

IT-Alert torna ad attivarsi a settembre 2023 per i nuovi test in tutta Italia

Angelo Domeneghini — Tue, 12 Sep 2023 12:33:00 GMT

IT-alert il sistema nazionale di allarme pubblico

IT-alert è un nuovo sistema di allarme pubblico per l'informazione diretta alla popolazione, che dirama ai telefoni cellulari presenti in una determinata area geografica messaggi utili in caso di gravi emergenze o catastrofi imminenti o in corso. IT-alert è attualmente in fase di sperimentazione.

Quando sarà operativo, per determinati eventi emergenziali, il Servizio Nazionale della protezione civile con IT-alert integrerà le modalità di informazione e comunicazione già previste per informare la popolazione, allo scopo di favorire l’adozione delle misure di autoprotezione in rapporto alla specifica tipologia di rischio e al contesto di riferimento.

IT-alert, infatti, si affianca ai sistemi di allarme già esistenti anche a livello locale, non è salvifico in sé, ma è finalizzato, rispetto a un determinato evento avvenuto o imminente, a consentire la diramazione rapida delle prime informazioni sulle possibili situazioni di pericolo.

Il messaggio IT-alert viene ricevuto da chi si trovi nella zona interessata dall'emergenza o dall'evento calamitoso e abbia un cellulare attivo.

Il servizio IT-alert è conforme allo standard internazionale "Common Alerting Protocol" (CAP) per garantire la completa interoperabilità con altri sistemi, nazionali e internazionali, di divulgazione di allerte, allarmi di emergenza e avvisi pubblici.

IT-alert

12 settembre: test in Campania, Friuli-Venezia Giulia e Marche

https://www.it-alert.it/it/

Google risolve un altro bug zero-day di Chrome sfruttato negli attacchi

Angelo Domeneghini — Tue, 12 Sep 2023 12:21:00 GMT

Google risolve un altro bug zero-day di Chrome sfruttato negli attacchi

Google ha rilasciato aggiornamenti di sicurezza di emergenza per correggere la quarta vulnerabilità zero-day di Chrome sfruttata negli attacchi dall'inizio dell'anno.

"Google è a conoscenza dell'esistenza di un exploit per CVE-2023-4863", ha rivelato la società in un avviso di sicurezza pubblicato lunedì.

La nuova versione è attualmente in fase di distribuzione agli utenti nei canali Stabile ed Esteso e si stima che raggiungerà l'intera base di utenti nei prossimi giorni o settimane.

Si consiglia agli utenti Chrome di aggiornare il proprio browser Web alla versione 116.0.5845.187 (Mac e Linux) e 116.0.5845.187/.188 (Windows) il prima possibile, poiché corregge la vulnerabilità CVE-2023-4863 su Windows, Mac e Sistemi Linux.

Questo aggiornamento è stato immediatamente disponibile quando BleepingComputer ha controllato la presenza di nuovi aggiornamenti tramite il menu Chrome > Guida > Informazioni su Google Chrome.

Il browser Web verificherà inoltre la presenza di nuovi aggiornamenti e li installerà automaticamente senza richiedere l'interazione dell'utente dopo il riavvio.

Google Chrome 116.0.5845.187

Dettagli dell'attacco non ancora disponibili

La vulnerabilità critica zero-day (CVE-2023-4863) è causata da una debolezza di overflow del buffer heap WebP il cui impatto varia da arresti anomali all'esecuzione di codice arbitrario.

Il bug è stato segnalato da Apple Security Engineering and Architecture (SEAR) e The Citizen Lab presso la Munk School dell'Università di Toronto lo scorso mercoledì 6 settembre.

I ricercatori di sicurezza di Citizen Lab hanno spesso trovato e divulgato bug zero-day utilizzati in attacchi spyware altamente mirati da parte di autori di minacce sostenuti dal governo che prendono di mira individui ad alto rischio come politici dell'opposizione, giornalisti e dissidenti in tutto il mondo.

Giovedì, Apple ha patchato due zero-day contrassegnati da Citizen Lab come sfruttati in attacchi come parte di una catena di exploit nota come BLASTPASS per infettare iPhone dotati di patch complete con lo spyware mercenario Pegasus di NSO Group.

Sebbene Google abbia affermato che lo zero-day CVE-2023-4863 sia stato sfruttato in modo selvaggio, la società non ha ancora condiviso ulteriori dettagli su questi attacchi.

"L'accesso ai dettagli e ai collegamenti dei bug potrebbe essere limitato fino a quando la maggior parte degli utenti non verrà aggiornata con una correzione", ha affermato Google. "Manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono in modo simile altri progetti, ma che non è stato ancora risolto."

Ciò significa che gli utenti di Chrome possono aggiornare i propri browser per contrastare gli attacchi prima del rilascio di specifiche tecniche aggiuntive, che potrebbero consentire a più autori di minacce di creare i propri exploit e distribuirli in libertà.

https://www.bleepingcomputer.com/news/google/google-fixes-another-chrome-zero-day-bug-exploited-in-attacks/

Exploit iMessage zero-click di Apple utilizzato per infettare gli iPhone con spyware

Angelo Domeneghini — Fri, 08 Sep 2023 07:34:00 GMT

Exploit iMessage zero-click di Apple utilizzato per infettare gli iPhone con spyware

Citizen Lab afferma che due zero-day fissati oggi da Apple negli aggiornamenti di sicurezza di emergenza sono stati attivamente abusati come parte di una catena di exploit zero-click per distribuire lo spyware commerciale Pegasus di NSO Group su iPhone completamente patchati.

I due bug, identificati come CVE-2023-41064 e CVE-2023-41061, hanno consentito agli aggressori di infettare un iPhone con tutte le patch dotate di iOS 16.6 e appartenente a un'organizzazione della società civile con sede a Washington DC tramite allegati PassKit contenenti immagini dannose.

"Ci riferiamo alla catena di exploit come BLASTPASS. La catena di exploit è stata in grado di compromettere gli iPhone con l'ultima versione di iOS (16.6) senza alcuna interazione da parte della vittima", ha affermato Citizen Lab.

"L'exploit coinvolgeva allegati PassKit contenenti immagini dannose inviate da un account iMessage dell'aggressore alla vittima."

Citizen Lab ha inoltre esortato i clienti Apple ad aggiornare immediatamente i propri dispositivi e ha incoraggiato coloro che sono a rischio di attacchi mirati a causa della loro identità o professione ad attivare la modalità Lockdown.

I ricercatori di sicurezza di Apple e Citizen Lab hanno scoperto i due zero-day nei framework Image I/O e Wallet.

Sfruttamento BLASTPASS

CVE-2023-41064 è un buffer overflow attivato durante l'elaborazione di immagini dannose, mentre CVE-2023-41061 è un problema di convalida che può essere sfruttato tramite allegati dannosi.

Entrambi consentono agli autori delle minacce di ottenere l'esecuzione di codice arbitrario su dispositivi iPhone e iPad senza patch.

Apple ha risolto i difetti di macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2 migliorando la logica e la gestione della memoria.

L'elenco dei dispositivi interessati include:

*iPhone 8 e successivi

*iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi e iPad mini di quinta generazione e successivi

*Mac con macOS Ventura

*Apple Watch Serie 4 e versioni successive

Dall’inizio dell’anno, Apple ha risolto un totale di 13 zero-day sfruttati per colpire dispositivi con iOS, macOS, iPadOS e watchOS, tra cui:

due giorni zero (CVE-2023-37450 e CVE-2023-38606) a luglio

tre giorni zero (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) a giugno

altri tre zero-day (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) a maggio

due giorni zero (CVE-2023-28206 e CVE-2023-28205) ad aprile

e un altro WebKit zero-day (CVE-2023-23529) a febbraio

https://www.bleepingcomputer.com/news/security/apple-zero-click-imessage-exploit-used-to-infect-iphones-with-spyware/

Le lampadine intelligenti TP-Link possono consentire agli hacker di rubare la tua password WiFi

Angelo Domeneghini — Tue, 22 Aug 2023 09:19:00 GMT

Le lampadine intelligenti TP-Link possono consentire agli hacker di rubare la tua password WiFi

Ricercatori italiani e britannici hanno scoperto quattro vulnerabilità nella lampadina intelligente TP-Link Tapo L530E e nell'app Tapo di TP-Link, che potrebbero consentire agli aggressori di rubare la password WiFi del loro obiettivo.

TP-Link Tapo L530E è una lampadina intelligente più venduta su più mercati, incluso Amazon. TP-link Tapo è un'app di gestione dei dispositivi intelligenti con 10 milioni di installazioni su Google Play.

I ricercatori dell'Università di Catania e dell'Università di Londra hanno analizzato questo prodotto per la sua popolarità.

Tuttavia, l’obiettivo del documento è quello di sottolineare i rischi per la sicurezza nei miliardi di dispositivi IoT intelligenti utilizzati dai consumatori, molti dei quali seguono una trasmissione di dati rischiosa e garanzie di autenticazione poco brillanti.

Difetti della lampadina intelligente

La prima vulnerabilità riguarda l'autenticazione impropria su Tapo L503E, consentendo agli aggressori di impersonare il dispositivo durante la fase di scambio della chiave di sessione.

Questa vulnerabilità di elevata gravità (punteggio CVSS v3.1: 8,8) consente a un utente malintenzionato adiacente di recuperare le password degli utenti Tapo e manipolare i dispositivi Tapo.

Anche il secondo difetto è un problema di elevata gravità (punteggio CVSS v3.1: 7,6) derivante da un breve segreto condiviso con checksum codificato, che gli aggressori possono ottenere tramite forzatura bruta o decompilando l'app Tapo.

Il terzo problema è un difetto di media gravità riguardante la mancanza di casualità durante la crittografia simmetrica che rende prevedibile lo schema crittografico.

Infine, un quarto problema deriva dalla mancanza di controlli sull'aggiornamento dei messaggi ricevuti, mantenendo le chiavi di sessione valide per 24 ore e consentendo agli aggressori di riprodurre i messaggi durante quel periodo.

Scenari di attacco

Lo scenario di attacco più preoccupante è l’imitazione di bulb e il recupero dei dettagli dell’account utente Tapo sfruttando le vulnerabilità 1 e 2.

Quindi, accedendo all'app Tapo, l'aggressore può estrarre l'SSID WiFi e la password della vittima e ottenere l'accesso a tutti gli altri dispositivi collegati a quella rete.

Il dispositivo deve essere in modalità di configurazione affinché l'attacco funzioni. Tuttavia, l'aggressore può annullare l'autenticazione della lampadina, costringendo l'utente a configurarla nuovamente per ripristinarne la funzione.

Un altro tipo di attacco esplorato dai ricercatori è l'attacco MITM (Man-In-The-Middle) con un dispositivo Tapo L530E configurato, che sfrutta la vulnerabilità 1 per intercettare e manipolare la comunicazione tra l'app e la lampadina e catturando le chiavi di crittografia RSA utilizzate per successivi scambio di dati.

Gli attacchi MITM sono possibili anche con dispositivi Tapo non configurati sfruttando ancora una volta la vulnerabilità collegandosi al WiFi durante la configurazione, collegando due reti e instradando i messaggi di rilevamento, recuperando infine password Tapo, SSID e password WiFi in formato codificato base64 facilmente decifrabile.

Infine, la vulnerabilità 4 consente agli aggressori di lanciare attacchi replay, replicando i messaggi che sono stati precedentemente sniffati per ottenere modifiche funzionali nel dispositivo.

Divulgazione e correzione

I ricercatori universitari hanno responsabilmente divulgato i loro risultati a TP-Link e il fornitore li ha riconosciuti tutti e li ha informati che presto avrebbero implementato le correzioni sia sull’app che sul firmware della lampadina.

Tuttavia, il documento non chiarisce se queste correzioni siano già state rese disponibili e quali versioni rimangano vulnerabili agli attacchi.

BleepingComputer ha contattato TP-Link per saperne di più sugli aggiornamenti di sicurezza e sulle versioni interessate e aggiornerà questo post non appena riceveremo risposta.

Come consiglio generale per la sicurezza IoT, si consiglia di mantenere questi tipi di dispositivi isolati dalle reti critiche, utilizzare gli ultimi aggiornamenti firmware disponibili e le versioni delle app complementari e proteggere gli account con MFA e password complesse.

https://www.bleepingcomputer.com/news/security/tp-link-smart-bulbs-can-let-hackers-steal-your-wifi-password/

WhatsApp, più account su un dispositivo!

Angelo Domeneghini — Fri, 11 Aug 2023 10:56:00 GMT

WhatsApp, più account su un dispositivo: ci siamo

Una delle funzionalità più richieste dagli utenti di WhatsApp fa la sua comparsa nella beta per Android:

la gestione di più account.

Il team di Meta al lavoro su WhatsApp sembra aver ascoltato le richieste giunte dagli utenti e aver accelerato i tempi con l’obiettivo di implementare una delle funzionalità più desiderate dalla community:

si tratta della possibilità di gestire più account su un solo dispositivo. Del suo presunto arrivo abbiamo già scritto su queste pagine a metà giugno, all’inizio della fase di sviluppo, con la comparsa delle prime informazioni in merito.

Più account WhatsApp sullo stesso dispositivo

La caratteristica, identificata come multi-account, dopo un primo test limitato agli iscritti Business, è stata ora individuata dalla sempre attenta redazione del sito WABetaInfo (da cui arriva lo screenshot visibile qui sotto) nella versione beta 2.23.17.8 dell’applicazione per Android distribuita a tutti.

Al momento, l’accesso è chiuso ed è previsto un rollout graduale nel corso delle prossime settimane.

La possibilità di gestire più account WhatsApp sullo stesso dispositivo Android

L’aggiunta dei profili da gestire sullo stesso smartphone è piuttosto semplice. All’interno delle impostazioni, vicino all’icona che genera un codice QR da impiegare per condividere il proprio contatto, ne compare una inedita. Premendola, è possibile eseguire l’operazione oppure effettuare lo switch tra quelli configurati.

Una funzionalità di questo tipo tornerà utile, ad esempio, per mantenere separate le conversazioni relative al lavoro da quelle private. Così, non sarà più necessario ricorrere all’utilizzo parallelo di due smartphone. Potrà beneficiarne anche la privacy. Questo perché le informazioni relative alla propria attività (permanenza online, ultimo accesso, stati condivisi) saranno resi visibili, ad esempio, ai contatti personali e non a quelli professionali.

Come sempre accade in questi casi, potrebbe trascorrere del tempo prima che la novità compaia nella versione definitiva di WhatsApp.

Al momento, Meta non ha reso nota alcuna tempistica.

Nei giorni scorsi, il servizio ha introdotto la condivisione dello schermo durante le videochiamate.

È un’altra funzionalità che strizza l’occhio a coloro che si affidano alla piattaforma per le attività nell’ambito professionale.

https://www.punto-informatico.it/whatsapp-un-dispositivo-piu-account/

E' possibile utilizzare un numero VoIP per registrarsi nell'applicazione WhatsApp Business?

Angelo Domeneghini — Tue, 25 Jul 2023 12:59:00 GMT

E' possibile utilizzare un numero VoIP per registrarsi nell'applicazione WhatsApp Business?

Come registrarsi nell'applicazione WhatsApp Business

Requisiti

Puoi registrare solo un numero di telefono cellulare o un numero fisso che ti appartiene.
Devi poter ricevere chiamate o SMS sul numero di telefono che stai cercando di registrare.
Assicurati di usare un numero di telefono supportato. Non è possibile registrare su WhatsApp numeri di telefono non supportati, tra cui:
VoIP
numeri verdi
numeri a sovrapprezzo
numeri ad accesso universale (UAN)
numeri personali

Devi aver disabilitato qualsiasi impostazione, app e task killer che blocchi le chiamate.
Se effettui il processo di registrazione con il telefono cellulare, devi avere una connessione a Internet (dati o Wi-Fi) funzionante. Se sei in roaming o il segnale è debole, la registrazione potrebbe non andare a buon fine. Prova ad aprire la pagina https://www.whatsapp.com/business/ nel browser del telefono per verificare la connessione a Internet.
Se ti stai registrando con il telefono fisso, scegli Chiamami per richiedere una chiamata con il codice di registrazione.

Come registrarsi

Inserisci il tuo numero di telefono:

scegli il tuo Paese dalla lista a comparsa e verrà automaticamente inserito il prefisso internazionale nella casella sulla sinistra

inserisci il tuo nuovo numero nella casella di destra: non inserire lo 0 prima del numero

Tocca OK per ricevere il codice di registrazione. Se richiesto, seleziona Chiamami per ricevere il codice tramite chiamata.

Inserisci il codice di registrazione a 6 cifre che ricevi tramite SMS o chiamata.

Nota: se il portachiavi iCloud è attivato e hai registrato questo numero in precedenza, la registrazione potrebbe avvenire automaticamente senza ricevere un nuovo codice SMS.

Utilizzo di numeri interni/diretti per il numero fisso

Non è possibile utilizzare numeri fissi con interni/diretti per completare il processo di registrazione. Per registrare il tuo numero, usa un numero di telefono fisso senza interno. Per motivi di sicurezza, il codice di registrazione a sei cifre può essere inviato solo al numero fisso che vuoi utilizzare per il tuo account business.

Se non ricevi il codice a sei cifre tramite SMS

Attendi che la barra di avanzamento finisca e riprova. L'attesa potrebbe durare anche 10 minuti.

Non tirare a indovinare il codice o non potrai proseguire per un periodo di tempo.

Se il tempo dovesse scadere prima che tu riceva il codice per la registrazione, comparirà l'opzione per richiedere una chiamata. Seleziona l'opzione Chiamami per richiedere una chiamata. Quando risponderai alla chiamata, una voce automatica ti comunicherà il codice a 6 cifre per la registrazione, inseriscilo nell'applicazione WhatsApp Business.

Nota: a seconda del tuo gestore telefonico, potresti ricevere un addebito per SMS e chiamate telefoniche.

Ricorda: non condividere mai con nessuno il tuo codice di registrazione a 6 cifre.

Passaggi per la risoluzione dei problemi

Se riscontri problemi con la registrazione, prova a fare quanto segue:

spegni il telefono, attendi 30 secondi, quindi riaccendilo
elimina e reinstalla la versione più recente di WhatsApp Business da qui
controlla la qualità della ricezione inviando un SMS da un altro telefono al numero di telefono che stai tentando di registrare. Inserisci il numero di telefono esattamente come lo hai inserito in WhatsApp Business, prefisso internazionale compreso

Nota: per motivi di sicurezza, non possiamo inviare il codice di registrazione in altro modo

https://faq.whatsapp.com/1344487902959714#:~:text=Non%20%C3%A8%20possibile%20registrare%20su%20WhatsApp%20numeri%20di,app%20e%20task%20killer%20che%20blocchi%20le%20chiamate

Sistemi Linux sotto attacco, arriva la protezione specifica per loro (embedded Kaspersky)

Angelo Domeneghini — Tue, 25 Jul 2023 08:10:00 GMT

Sistemi Linux sotto attacco, arriva la protezione specifica per loro (embedded Kaspersky)

La preoccupante crescita dei malware e degli exploit per Linux è la chiara indicazione del fatto che l’interesse dei cyber criminali per questa piattaforma è in netta crescita, quindi urge allestire una difesa efficace per i sistemi basati su Linux.

Per questo motivo Kaspersky ha aggiunto il supporto per Linux a Kaspersky Embedded Systems Security.

I dati supportano la scelta del vendor: secondo un recente report di Fortune Business Insights, nel 2021il mercato globale di Linux valeva 5,33 miliardi di dollari, entro il 2029 raggiungerà 22,15 miliardi di dollari, con un tasso di incremento annuo composito del 19,8%. Merito della popolarità di Linux tra i sistemi embedded commerciali delle grandi aziende e delle infrastrutture critiche, tra cui banche, punti vendita al dettaglio e strutture sanitarie.

I cyber criminali, sempre attenti alle tendenze, hanno notato questa evoluzione e hanno iniziato rapidamente a sviluppare e diffondere nuovi malware specializzati per queste piattaforme: nella prima metà del 2023 Kaspersky ha registrato più di 14,5 milioni di attacchi automatici network-based su Linux. Si tratta per lo più di attacchi che sfruttano malware auto-distribuiti che si diffondono attraverso la rete e che sfruttano le vulnerabilità interne dei sistemi embedded.

Nello stesso periodo, Kaspersky ha scoperto 260.000 nuovi file unici malevoli, pari a una media di oltre 1.400 nuovi file distribuiti dagli hacker ogni giorno.

Appurato che è mandatorio proteggere i sistemi Linux, per farlo Kaspersky propone una soluzione adattabile e multi-livello che offre una protezione ottimizzata per sistemi, dispositivi e ambienti integrati basati su Linux, in conformità con gli standard normativi spesso applicabili a questi sistemi.

L’approccio di protezione multilivello consente di modificare l’implementazione in base a configurazioni e scenari specifici, ottimizzando le prestazioni con protezione su misura per gli scenari di minaccia rilevanti per ogni caso d'uso specifico.

Il rischio di attacchi con infezione diretta su dispositivi accessibili al pubblico è contrastato da funzionalità di autoprotezione e di Integrity Monitoring.

Inoltre, gli Application e Device Control prevengono gli attacchi basati sull’uso di periferiche e applicazioni non richieste e l’esecuzione di strumenti illegali. L’Integrity Monitoring, insieme alla gestione centralizzata degli eventi e all’integrazione di capacità SIEM di terze parti, aiuta le aziende che lavorano con dati finanziari e personali preziosi e sensibili a soddisfare i requisiti di compatibilità e responsabilità imposti da normative come PCI/DSS, SWIFT CSCF HIPAA, ecc.

https://www.securityopenlab.it/news/2766/sistemi-linux-sotto-attacco-arriva-la-protezione-specifica-per-loro.html

Google Bard: cos’è, come funziona e come usarlo in Italia

Angelo Domeneghini — Mon, 24 Jul 2023 09:24:00 GMT

Google Bard: cos’è, come funziona e come usarlo in Italia

Cos’è Google Bard? È la nuova intelligenza artificiale rilasciata da Google, disponibile ora anche in Italia. Si tratta di uno strumento pensato per aiutare le persone a dare forma alla propria creatività in un modo sicuro, personalizzato e rispettoso dei dati personali.

Google Bard cos'è e come funziona

Indice dei contenuti

Google Bard, cos’è

Google Bard, come funziona

Google Bard è ora internazionale

Come usare Bard in Italia

Quali sono i limiti di Bard?

I principi AI di Google

Google Bard, cos’è

Google Bard è un’intelligenza artificiale che aiuta le persone a trovare informazioni su Internet. È un motore di ricerca che utilizza l’intelligenza artificiale per aiutare gli utenti a trovare informazioni rilevanti su Internet. Bard è un modello di apprendimento automatico che utilizza un algoritmo di intelligenza artificiale chiamato Transformer. I Transformer sono un tipo di rete neurale che sono stati dimostrati essere molto efficaci per la traduzione automatica, il riepilogo di testi e altre attività che richiedono la comprensione del linguaggio naturale.

Bard è stato addestrato su un enorme set di dati di testo e codice. Questo set di dati include libri, articoli, codice e altri tipi di testo. Bard utilizza questo set di dati per imparare le relazioni tra parole e frasi. Questo gli consente di generare testo, tradurre lingue, scrivere diversi tipi di contenuti creativi e rispondere alle tue domande in modo informativo.

Google Bard, come funziona

Bard può generare testo, tradurre lingue, scrivere diversi tipi di contenuti creativi e rispondere alle tue domande in modo informativo. È ancora in fase di sviluppo, ma ha già imparato a svolgere molti tipi di attività, tra cui:

• Seguire le tue istruzioni e completare le tue richieste .

• Usare le sue conoscenze per rispondere alle tue domande in modo completo e informativo, anche se sono aperte, impegnative o strane.

• Generare diversi formati di testo creativi, come poesie, codice, script, brani musicali, e-mail, lettere, ecc.

Google ha introdotto alcune nuove funzionalità per rendere Bard ancor più utile:

Ascoltare le risposte: Ora è possibile ascoltare le risposte di Bard, una funzionalità particolarmente utile per sapere la pronuncia corretta di una parola o se si desidera ascoltare una poesia o un racconto.

Risposte multiple: Ora è possibile personalizzare il tono e lo stile delle risposte di Bard in base a cinque opzioni diverse: semplice, lunga, corta, professionale o informale.

Fissare, organizzare e modificare le conversazioni: Con questo nuovo aggiornamento potrai salvare e rinominare le tue conversazioni con Bard.

Utilizzo delle immagini nei prompt: Se desideri più informazioni su una foto, o trovare ispirazione per una didascalia, ora puoi caricare immagini nei prompt e Bard le analizzerà per aiutarti.

Condivisione delle risposte: Ora è più semplice condividere le interazioni con Bard attraverso i link condivisibili.

Google Bard è ora internazionale

Il gigante della tecnologia ha annunciato la più grande espansione di Bard fino a questo momento. Bard è disponibile nella maggior parte del mondo e nelle lingue più diffuse, includendo così anche l’Italia e l’italiano. Inoltre, Google Bard si arricchisce di nuove funzionalità per aiutare gli utenti a personalizzare meglio la propria esperienza.

Google Bard è ora disponibile in più di 40 lingue, tra cui – oltre all’italiano – arabo, cinese, tedesco, hindi e spagnolo. Bard è ora accessibile in molti più Paesi, inclusi il Brasile e tutta l’Europa.

Come usare Bard in Italia

Per usare Bard basta andare all’indirizzo https://bard.google.com/ . Il funzionamento è simile a quello di ChatGTP.

1. Accedi a Google Bard

Il primo passo, naturalmente, è accedere a Google Bard. Puoi farlo visitando il sito Bard e facendo clic su “Inizia a usare Bard”. Se hai già un account Google, puoi accedere con quello. Altrimenti, sarai invitato a crearne uno.

2. Inserisci il tuo Prompt

Una volta entrato, vedrai una grande casella di testo in cui puoi scrivere il tuo prompt.

Un prompt può essere qualsiasi cosa tu voglia: una domanda, una frase per iniziare un racconto, un problema di matematica o di programmazione. Ad esempio, potresti scrivere “Inizia un racconto di fantascienza con un alieno di nome Zorg”.

3. Genera una Risposta

Dopo aver inserito il tuo prompt, fai clic sul pulsante “Invia” o premi invio per generare una risposta. Google Bard utilizzerà il suo modello AI per creare una risposta che si basa sul tuo prompt iniziale.

Potresti ottenere qualcosa del genere: “Zorg era un alieno proveniente da una galassia lontana. Aveva la pelle verde, occhi grandi e neri e un sorriso contagioso. Tuttavia, a differenza degli altri della sua specie, Zorg era affascinato dagli umani…”.

4. Modifica la Risposta e Genera di Nuovo

Se la risposta non corrisponde a ciò che avevi in mente o se vuoi sviluppare ulteriormente l’idea, puoi modificare sia il prompt che la risposta generata da Bard e cliccare di nuovo su “Invia” per ottenere una nuova risposta.

5. Salva il tuo Lavoro

Quando ottieni una risposta o un insieme di risposte che ti piacciono, assicurati di salvarle. Puoi farlo facendo clic sull’icona del dischetto nella parte superiore della schermata. Il tuo lavoro sarà salvato nel tuo account Google e potrai accedervi in qualsiasi momento.

6. Sperimenta con le Impostazioni di Bard

Bard offre anche un numero di impostazioni che puoi usare per personalizzare l’esperienza. Per esempio, puoi variare la lunghezza della risposta, oppure puoi impostare il ‘Livello di Creatività’ per controllare quanto le risposte di Bard deviano dal tuo prompt originale.

7. Esplora le opzioni avanzate

Per gli utenti più avanzati, ci sono anche alcune caratteristiche più sofisticate disponibili come il tema scuro, l’esportazione a Colab, l’integrazione con altre piattaforme come Replit, e la possibilità di citare fonti con precisione. Queste caratteristiche sono disponibili nelle impostazioni di Bard.

Quali sono i limiti di Bard?

Bard è ancora in fase di sviluppo, quindi ha alcuni limiti. Ad esempio, Bard può a volte commettere errori, soprattutto quando viene chiesto di generare testo su argomenti di cui non ha familiarità. Inoltre, Bard può essere lento, soprattutto quando viene chiesto di generare testo di grandi dimensioni.

I principi AI di Google

“Riteniamo che il nostro approccio all’intelligenza artificiale debba essere al tempo stesso audace e responsabile – ha scritto James Manyika Senior Vice President, Research, Technology & Society di Google -. Per noi, questo significa sviluppare l’IA in modo da massimizzare i benefici per la società e affrontarne al tempo stesso le sfide, guidati dai nostri principi per l’IA. Sebbene esista una tensione naturale tra i due aspetti, riteniamo che sia possibile, anzi cruciale, accettare questa tensione in modo produttivo. L’unico modo per essere veramente audaci nel lungo periodo è essere responsabili fin dall’inizio. Stiamo applicando l’IA con audacia nei nostri prodotti, nei nostri progressi scientifici e nel contributo che forniamo per affrontare le sfide della società”.

https://www.digitalic.it/tech-news/google-bard-cos-e-come-funziona-usarlo-in-italia

KENA TIM VISION ESTATE PROMO 2023

Angelo Domeneghini — Thu, 20 Jul 2023 16:03:00 GMT

3DA Dal 17 Luglio, offre Kena TimVision Promo Estate fino al 31/08,

poi 19,99€/mese per 4 mesi, poi 29,99€/mese

e il costo di Attivazione è GRATIS.

L’Offerta ha un Costo di 29,99€/mese, addebitato nello stesso giorno del mese in cui è stata attivata,

se il Credito Residuo della SIM è sufficiente.

Non è previsto il Costo di Attivazione.

L’Offerta include:

TIMVISION del valore di 6,99€/mese (incluso discovery+ Sport solo per i primi 6 mesi): film, sport, tutto l’intrattenimento di Discovery+, Serie TV, produzioni originali, cartoni, i canali del digitale terrestre, la Replay TV degli ultimi 7 giorni di Mediaset, Viacom e Discovery+.

DAZN del valore di 39,99€/mese: tutta la Serie A TIM per un totale di 10 partite a giornata (7 in esclusiva e 3 in co-esclusiva), tutta la Serie BKT con 380 match stagionali, oltre a play off e play out, fino al 2024, il grande calcio internazionale con LaLiga, la Copa Libertadores e i canali tematici di Inter e Milan. Oltre al calcio, tutti gli appassionati in Italia potranno godere di un’offerta multisport completa con NFL, UFC, Matchroom, GGG e Golden Boy per la boxe, Indycar e freccette. A ciò si aggiungono i canali Eurosport 1 HD e 2 HD.

Infinity+ del valore di 7,99€/mese: il meglio del cinema, delle serie tv e del grande calcio europeo. Potrai avere le prossime tre stagioni della UEFA Champions League, con 104 big match disponibili per la prossima stagione. Migliaia di contenuti tra film, serie tv e cartoni animati, da vedere dove e quando vuoi, disponibili anche in 4k. Inoltre ogni settimana, un grande film in anteprima con Premiere.

1GB/mese di Traffico Internet 4G a scatti anticipati di 1KB con una velocità in download fino a 60 Mbps e in upload fino a 30 Mbps sul territorio nazionale, disponibile anche nei Paesi UE. All’Estero la velocità di connessione 4G dipende dalla Rete dell’Operatore.

L’Offerta è sottoscrivibile acquistando e attivando una nuova SIM Kena Mobile.

UFO Filmati a Caserta, Genova e Cagliari

Angelo Domeneghini — Thu, 20 Jul 2023 15:04:00 GMT

UFO Filmati a Caserta, Genova e Cagliari

UFO A CASERTA IL 26 GIUGNO 2023, ORE 21,00

STRANO FENOMENO LUMINOSO.

In questo articolo, vi presentiamo un avvistamento curioso e interessante allo stesso tempo. Una luce intensissima ed accecante nei cieli di Caserta, avvistata e filmata il 26 giugno 2023, alle ore 21,00.

Ecco il testo dell’email di segnalazione inviata presso il nostro indirizzo e mail centroufologicomediterraneo2@gmail.com:

“Salve, mi chiamo Toni. In data di ieri (26 giugno 2023), alle ore 21:00, dal balcone del mio appartamento sito in Caserta, ho notato un oggetto luminoso che si ergeva velocemente da dietro un monte con una perfetta traiettoria verticale “stazionando” ad una certa altezza per poi scomparire.

Di quanto sopra ho fatto un video con il mio cellulare. Io e altri miei conoscenti a cui ho inoltrato il video escludiamo possa trattarsi della tipica lanterna cinese per i seguenti motivi: 1) non ha quel tipico colore rosso causato dalla fiamma bensì il suo bagliore risulta essere chiaro e brillante; 2) le lanterne non si fermano in un determinato punto ma vagano trasportate dal vento. Poi comunque gli esperti siete voi, ci mancherebbe. Vi invio il video in questione affinché possiate fare chiarezza su questo anomalo avvistamento. Mi scuso per la qualità non ottimale del video. Grazie per il tempo dedicatomi. Cordiali saluti, Toni”. Ovviamente, ci siamo messi subito in azione ed abbiamo acquisito tutti i possibili elementi utili alle indagini.

DATI DELL’AVVISTASMENTO FORNITI DAL TESTIMONE

Così come già specificato nel messaggio precedente, alle ore 21:00 di lunedì 26 giugno 2023, mentre mi trovavo fuori al balcone del mio appartamento situato al quinto e ultimo piano di un palazzo ubicato al centro del comune di Caserta (CE), notavo un oggetto di forma sferica che brillava di luce chiara, molto intensa, ergersi con una veloce e perfetta traiettoria verticale da dietro un monte (corrispondente alla zona di Valle di Maddaloni (CE), distante una decina di km da Caserta) e poi si è fermato, stazionando ad una determinata altezza, non saprei quantificarla, sopra lo stesso monte, per poi scomparire dopo un paio di minuti. Sono stato l’unico testimone di quanto sopra descritto dato che ero da solo in casa.

Non saprei riferire se altre persone (vicini compresi), abbiano visto ciò che ho appena descritto e che ho prontamente ripreso con il mio cellulare modello Samsung Galaxy A22 5G (perciò confermo che il video è stato fatto dal sottoscritto).

Condizioni meteo al momento dell’avvistamento: cielo sereno, terso; visibilità buona; precipitazioni assenti; vento assente; temperatura: 25 gradi circa. Non saprei riferire in merito ai seguenti dati richiesti: dimensioni/rumori emessi/quota stimata dell’oggetto in questione essendo questi a diversi km di distanza.

Alle ore 23:30 circa (due ore e mezza dell’avvistamento), è venuta a mancare la corrente in città per ben tre volte nell’arco temporale di una mezz’ora. Una mia conoscente mi ha riferito che la corrente è venuta a mancare anche durante la notte, mentre mia madre, che abita in un palazzo distante dal mio ma sempre nel comune di Caserta, mi ha riferito che la mattina del 27 giugno, dunque la mattina seguente al mio avvistamento, il timer del suo frigorifero si era completamente azzerato. Per qualsiasi altra cosa, resto a sua disposizione. Grazie ancora per l’interessamento, Cordiali saluti, Toni.

COSA HA AVVISTATO TONI

Cominciamo col dire cosa non poteva essere. Aereo: non poteva esserlo, in quanto ha un moto del tutto diverso da tale tipo di velivolo e non ha alcuna luce di posizione lampeggiante. Non si può nemmeno pensare al faro anteriore di un aereo, perché ad un certo punto la fortissima luminosità si attenua, addirittura, fino a spegnersi. Inoltre, l’oggetto volante non identificato, prima di fermarsi in aria, si è letteralmente sollevato, velocemente, in verticale, come raccontato dal testimone.

Elicottero:non si osservano luci intermittenti di elicotteri e poi non si spiega come mai l’oggetto letteralmente scompare. Drone: anche i droni hanno luci di posizione e non ci sembra di vederle, inoltre, l’oggetto scompare all’improvviso. Lanterna cinese: ci sembra di poterlo escludere, in quanto le lanterne cinesi non stazionano in aria e sono in balia delle correnti atmosferiche ed, in genere, hanno quel caratteristico colore rossastro.

Escludiamo ovviamente, astri o fenomeni naturali conosciuti, in quanto l’oggetto è stato visto salire di quota dal testimone. Anche l’ipotesi volatile ci sembra alquanto azzardata, in quanto la luminosità del fenomeno è fortissima ed il testimone ne è rimasto molto impressionato e poi perché è sparito?

E poi, che dimensioni doveva avere?

Anche ammettendo che il sole riflettesse sull’oggetto, questo vale per tutte le ipotesi, come mai all’improvviso l’oggetto scompare?

IL VIDEO

Il video, dalle analisi, è risultato autentico, anche con programmi forensi e dura 14 secondi. Si osserva, nettamente, la luce bianca di cui parliamo, che si staglia sopra le colline sullo sfondo del paesaggio. SI vedono alberi, case, colline ed il cielo azzurro. Vi sono quindi, punti di riferimento che, nei video, sono molto preziosi ed aiutano non poco le analisi e le stime. Comunque, l’oggetto appare , considerando anche l’alone, molto grande e luminosissimo e, dal vivo, sarà stato un vero spettacolo, anche in considerazione del fatto che nei video gli oggetti appaiono molto più piccoli rispetto a quanto percepisce l’occhio umano dal vivo.

CONCLUSIONI

Il testimone ha visto diverse volte volare velivoli ed ha escluso, anche da colloqui avuti con lui, decisamente tale possibilità.

Un qualche tipo di razzo di segnalazione, un fuoco d’artificio? Potrebbe anche darsi, ma non siamo riusciti ad averne notizia. I razzi di segnalazione, utilizzano la tecnologia LED che produce segnali di luce rossa a intermittenza per 5 secondi, poi una pausa seguita dal segnale di SOS. Anche un fuoco d’artificio che resti fermo in cielo per tanti secondi ci sembra improbabile.

Un elicottero o un drone che poi cambiano posizione e virano, per cui non riflettono più la luce del sole? Mah, dove sono le luci intermittenti o se volete le classiche luci di segnalazione di tali velivoli? Parlare di astri, volatili, sky lantern appare quantomeno inverosimile. Un fenomeno naturale sconosciuto? Può darsi. Per noi, allo stato, il fenomeno resta inspiegato, per cui possiamo definirlo come un uap.

UFO A GENOVA IL 26 GIUGNO 2023, ORE 21,00

Un intrigante avvistamento è stato fatto a Genova il 26 giugno 2023, alle ore 21 circa e, l’aspetto che lo rende interessante, è che la strana luminosità, forse un uap, transita nel campo visivo del cellulare, proprio mentre un aereo decolla.

Ma, veniamo all’email di contatto. Ecco cosa ha scritto Gonzalo nella citata e mail: “Buongiorno, sono Patricio, vi scrivo da Genova. Il giorno 26 giugno 2023, alle ore 21,00, sono andato all’aeroporto di Genova, di fronte al quartiere di Sestri Ponente, insieme a mia moglie e mio figlio per prendere un gelato e, siccome ci piace riprendere gli aerei, abbiamo filmato un aereo mentre decollava. Siccome ci piacciono gli aerei, quando siamo tornati a casa, abbiamo visto il video per osservare la bellezza dell’aereo quando, al secondo 32 circa del video è comparso un oggetto grigiastro velocissimo, quando l’aereo era a poche centinaia di metri di quota. Mi sono rivolto a voi, prestigioso Centro Ufologico, per sapere cosa ne pensate e per avere un’analisi in quanto siete molto competenti ed ottimi ricercatori”.

ALCUNI DATI SULL’AVVISTAMENTO

Dunque, questa è l’email di Patricio, anche appassionato di ufo che, non a caso, è originario dell’Ecuador, paese dell’America del sud, che confina con la Colombia, il Perù e l’Oceano Pacifico.

In quel del Sudamerica l’ufologia è quasi una religione, tanto è vero che per i convegni si riempiono addirittura i palasport.

In Sudamerica vedere ufo è quasi la normalità, tanto è vero che vi sono i famosi vigilantes, gente che gira armata di fotocamere e videocamere proprio per fotografare e riprendere gli uap. Lo stesso Patricio, in vita sua, in Ecuador ha visto diverse volte gli ufo fin da bambino, proprio nei pressi della sua abitazione, dove una volta, insieme alla sua famiglia ha visto un enorme oggetto bianco, lungo decine di metri, che sembrava girare con e con una forma che non saprebbe definire.

La distanza era di qualche chilometro, secondo lui.

ALCUNI DATI DELL’AVVISTAMENTO

Condizioni meteo: tempo sereno ed assenza di vento nel luogo da cui riprendeva. Si vede solo una nuvola sulla sinistra del campo visivo.

Testimoni: 3 persone, madre, padre e figlia.

Anomalie nei dintorni o su apparecchiature: nessuna che avessero notato.

Tipo di apparecchio utilizzato: Iphone.

Gonzalo, non ha ripreso l’oggetto da dietro un vetro, non ha visto l’ufo ad occhio nudo, ma solo riguardando il video.

Quota dell’oggetto: stima di qualche centinaio di metri.

Colore: grigiastro

Forma: osservandolo a grandezza naturale, come appare nel video, sembra discoidale, ma, zoomando l’immagine, l’oggetto appare quasi di una forma non regolare, ma che tale non è.

Suoni,rumori, sibili: non ne ha uditi, ma era, forse impossibile percepirli, per i rumori di fondo dell’ambiente, specie per l’aereo che si vede decollare nel video.

Forma dell’uap: indefinita, ma assimilabile, osservando bene, ad una forma discoidale.

IL VIDEO

Il video mostra una parte della pista dell’aeroporto “Cristoforo Colombo”, mentre decolla un aereo, filmato da Gonzalo che, ad un certo momento, utilizza lo zoom. Immagini molto belle.

Al secondo 32 del video, che in tutto ne dura 35, sbuca dalla destra del campo visivo dell’osservatore, una “luce” velocissima, che attraversa lo schermo in una piccolissima frazione di secondo. E’ di colore bianco azzurrognolo, quasi evanescente.

L’oggetto passa, chiaramente, tra il palo in primo piano e quello dietro e lascia una scia dovuta probabilmente non alla propulsione ma alla velocità che per l’obiettivo del cellulare non riesce a fermare senza la scia stessa.

Dall’analisi dei frames, si evince chiaramente che l’oggetto è di forma discoidale ed è di dimensioni apparentemente piuttosto piccole.

Forse una sonda aliena? L’oggetto procede in orizzontale.

Ma come mai è sfrecciato quando è decollato l’aereo? Un caso? Oppure non era lì per caso?

L’ovni, vista la dinamica, somiglia un po’ a quello di Mondragone il 19 dicembre 2018, quando, alle 22,39, un oggetto velocissimo rossastro, venne filmato da un drone e anche in questo caso il testimone se ne accorse solo riguardando le immagini. Un avvistamento che fece scalpore.

CONCLUSIONI

Resta dunque da stabilire cosa ha filmato Gonzalo.

Limitiamoci alle sole ipotesi più verosimili. Forse era un riflesso? Mah, la vediamo davvero dura. Nell’affollata casistica di avvistamenti del CUFOM, non ci risulta che i riflessi si comportino in questo modo. Aggiungiamo che il cellulare, in pratica, è tenuto fermo, salvo qualche piccolo movimento che non ci sembra giustifichi la presenza di un riflesso.

Lo escludiamo anche se non del tutto. Forse si tratta di un volatile sul cui piumaggio batte il sole, vista la bella giornata di sole? Anche ad un’analisi più approfondita, ci sentiamo di escludere un volatile, per l’assoluta mancanza di evidenza di battito di ali e poi la forma. Per noi a Genova, il 26 giugno 2023, alle ore 21, è stato filmato un ufo, fino a prova contraria certa.

UFO A CAGLIARI IL 30 NOVEMBRE 2022, ORE 15,40

Un avvistamento ufo-uap molto interessante, ci è stato segnalato da Cagliari, da quella Sardegna che negli ultimi anni si sta rivelando come terra di ufo.

Basti, per tutti, il celebre avvistamento ufo di Iglesias del 2014 che tanto scalpore ha suscitato e che potete trovare qui.

Iniziamo con la segnalazione da parte del testimone: “Buonasera, seguo da un po’ di tempo la vostra pagina facebook, volevo quindi condividere con voi la mia esperienza relativa ad un avvistamento di un oggetto volante non identificato (almeno così mi è sembrato), di colore del metallo, quindi lucente, avvenuto il 30/11/22 presso il parco di Molentargius a Cagliari intorno alle ore 15.40.

Portavo il cane a fare una passeggiata, quando, ad un certo punto, la mia attenzione è stata catturata da un oggetto volante proveniente dalla mia sinistra e diretto verso di me.

Specifico che la giornata era serena e la luce ottimale: non erano quindi presenti fenomeni temporaleschi. L’oggetto era molto distante e inizialmente pensavo ad un drone (ma, in tale zona, essendo l’area protetta, per via della possibilità di incendi, l’uso dei droni credo sia vietato).

Man mano che l’oggetto si avvicinava, mi sono reso subito conto che non si trattava di un drone, né di un altro oggetto volante da me conosciuto. L’oggetto che, ripeto, era argenteo e mi sembrava di consistenza metallica, procedeva senza emettere alcun rumore, non aveva eliche e sembrava fluttuare nell’ aria. Il presunto ufo emanava degli intensi bagliori, in maniera irregolare, tanto da dare l’impressione di ribollire.

Osservandolo, tuttavia, più attentamente, ho potuto constatare che non si trattava di luci artificiali, ma di riflessi emessi dal materiale di cui era esso era fatto.

Il suo movimento era regolare ma, almeno due volte, è sembrato sparire per poi riapparire più avanti (ma, forse, potrebbe anche essere stato un effetto ottico).

L’ oggetto, poi, ha sorvolato proprio la porzione di cielo sulla mia verticale, tanto che ho potuto osservarlo in maniera più dettagliata, anche se a causa dell’intensità della luce riflessa che emanava, risultava difficoltoso scorgere la sagoma in maniera precisa.

L’ oggetto, infine, si è allontanato progressivamente verso il Poetto (cioè verso il mare) fino a scomparire dalla mia vista.

C’erano altre due persone, che, osservandolo, hanno detto che forse era un pallone, ma si sono spaventate: non le conoscevo e non le ho più viste. Purtroppo sono riuscito a scattare solo poche foto ed a ricavare un breve video, in quanto dallo schermo del cellulare, risultava difficoltoso seguire l’oggetto ed ho quindi preferito proseguire con l’osservazione diretta.

Ciononostante, sono riuscito a scattare due fotografie dell’oggetto: una dal basso, quando era proprio sopra la mia verticale riuscendo, quindi, ad osservarne la forma; un’altra, in cui si può osservare il bagliore emesso dall’ oggetto da me prima descritto.

Inoltre, con mia sorpresa, mi sono reso conto di aver girato, involontariamente (probabilmente tenendo premuto più del dovuto il tasto di scatto), un video di otto secondi in cui si può vedere il presunto ufo (non si vedono i contorni precisi, in quanto esso era troppo distante, ma si può osservare la modalità di volo e la tipologia di riflessi emessi).

Durante la visione del video, si possono scorgere almeno altri due oggetti, simili a quello da me avvistato, che si trovano più in lontananza e che dal vivo non avevo notato. Vi invio le foto che sono riuscito a scattare ed, inoltre, un ingrandimento da me effettuato in modo artigianale; un rallentamento del video per poter vedere meglio i dettagli (perché la durata di otto secondi è davvero troppo corta); infine, uno zoom in video sull’ oggetto. Cordiali Saluti. Vincenzo”.

Dunque, cerchiamo di capire cosa ha visto Vincenzo, servendoci anche di altri elementi forniti dall’intervista, dal modulo avvistamenti e anche delle immagini, come al solito, non eccelse di qualità.

Premettiamo ancora che il testimone dichiara sotto la sua responsabilità, di aver fornito dichiarazioni veritiere e di non aver effettuato manipolazioni delle immagini, ferme restando le nostre analisi.

Data dell’avvistamento: 30 novembre 2022; ore 15,40; località Cagliari; n. 3 testimoni totali; l’oggetto emetteva riflessi irregolari e dava al testimone la sensazione di “ribollire”; tipo di movimento: rettilineo uniforme; grandezza percepita: pallone da calcio; direzione verso cui si muoveva: dal punto di osservazione presso il Parco delle emozioni (Parco di Molentargius Cagliari) si dirigeva verso il Poetto (spiaggia); l’ufo, dall’altezza in gradi (bisogna però considerare anche la prospettiva) di circa 45 gradi, è arrivato sulla verticale del testimone come, come schematizzato di seguito; condizioni meteo buone e con assenza di vento; nella zone vi sono diversi tipi di volatili quali Fenicotteri, cornacchie, passeri, gabbiani,falchi; assenza totale di rumori, sibili o suoni provenienti dall’oggetto.

Le condizioni meteo erano quasi perfette, salvo qualche sparuta nuvola e non c’era vento. La quota era difficile da valutare e posso stimare che fosse grande come una utilitaria, ma molto approssimativamente. Quando è passato sulla testa del testimone, vedeva l’oggetto della grandezza di una palla da calcio. Il testimone ha dichiarato che nella parte alta l’oggetto aveva la forma piramidale L’avvistamento sarà durato 3 o 4 minuti circa, anche se è difficile dirlo. Alla destra del testimone c’era il Poetto, in pratica la parte dove c’è il mare.

COSA POTEVA ESSERE?

Le immagini non ci aiutano un molto, però, sulla base dell’intervista col testimone e degli elementi ora riportati possiamo trarre qualche ragionevole conclusione.

Cominciamo a dire, come è nostra prassi, cosa poteva non essere. Osservando la forma, sinceramente, la prima possibilità che ci è venuta in mente è che si trattasse di un pallone ad elio lanciato in occasione del compimento degli 8 anni di un bambino o comunque una cerimonia che festeggiava l’ottavo anno di un qualche avvenimento (es. matrimonio o altra celebrazione).

Tuttavia, l’ipotesi non trova riscontro per diverse considerazioni: il testimone ha visto transitare l’oggetto proprio sopra la sua testa; era talmente luminoso che non riusciva a definire bene i contorni e la sagoma, insomma una luminosità accecante.

Ha definito i riflessi tantissimi ed irregolari, per cui qualcosa di particolare doveva certamente essere. Abbiamo visto volare palloni anche di giorno, ma che fossero talmente luminosi da diventare accecanti nel guardarli, ci lascia alquanto perplessi, per cui sembrerebe di poter escludere palloni ad elio. Il fatto che fosse a forma di un “8”, non significa che fosse necessariamente un pallone per celebrazioni. Il testimone ha escluso assolutamente e categoricamente che si trattasse di un pallone di qualsiasi genere, anche perchè li ha visti volare in passato.

Il moto era abbastanza regolare e Vincenzo non ha sentito alcun rumore/sibilo/suono, fluttuava, c’era silenzio intorno e questo porta ad escludere che si trattasse id un drone, anche in considerazione del fatto che l’oggetto sembrava fluttuare ed i droni non danno questa sensazione. Per noi è un ufo, fino a prova contraria certa.

Infine, in collegamento con CUFOMCHANNEL, uno dei nostri canali di youtube (l’altro è CUFOMTV), eccovi il videotrailer, assolutamente splendido e da non perdere. godetevelo:

https://www.centroufologicomediterraneo.it/wp/ufo-tre-ufo-files-indagati-dal-c-ufo-m-uap-filmati-a-caserta-genova-e-cagliari-uno-mentre-un-aereo-decolla-video/

https://youtu.be/aAWXV1QxeYE

Intelligenza artificiale: il chatbot medico di Google supera un esame medico

Angelo Domeneghini — Mon, 17 Jul 2023 14:57:00 GMT

Intelligenza artificiale: il chatbot medico di Google supera un esame medico

Google ha presentato a dicembre il suo strumento di intelligenza artificiale dedicato alle questioni mediche, chiamato Med-PaLM. Riuscì a superare la visita medica negli Stati Uniti.

Google non ha aperto al pubblico il suo strumento di intelligenza artificiale Med-PaLM.

Il chatbot medico di intelligenza artificiale di Google ha superato l'esame medico negli Stati Uniti, ma i suoi risultati sono ancora inferiori a quelli degli umani, afferma uno studio pubblicato mercoledì su "Nature".

L'anno scorso, il rilascio di ChatGPT, il cui sviluppatore OpenAI è supportato dal rivale di Google Microsoft, ha scatenato una gara tra i giganti della tecnologia nel fiorente campo dell'intelligenza artificiale.

L'assistenza sanitaria è un settore in cui la tecnologia ha già mostrato progressi tangibili, con alcuni algoritmi che si sono dimostrati in grado di leggere le scansioni mediche meglio degli umani. Google aveva svelato il suo strumento di intelligenza artificiale dedicato alle questioni mediche, chiamato Med-PaLM, in un articolo pre-pubblicazione a dicembre.

A differenza di ChatGPT, non è stato rilasciato al pubblico in generale.

Risultati “incoraggianti”.

Google afferma che Med-PaLM è stato il primo modello di linguaggio di grandi dimensioni, una tecnica di intelligenza artificiale addestrata su grandi quantità di testo generato dall'uomo, a superare l'USMLE (US Medical Licensing Examination).

Il superamento di questo esame consente di esercitare la professione medica negli Stati Uniti. Per raggiungere questo obiettivo, è necessario ottenere un punteggio di circa il 60%. A febbraio, uno studio ha rivelato che ChatGPT si è comportato abbastanza bene durante l'esame.

In un nuovo studio peer-reviewed pubblicato mercoledì sulla rivista Nature, i ricercatori di Google hanno affermato che Med-PaLM ha ottenuto un punteggio del 67,6% quando ha risposto a domande a scelta multipla in stile USMLE.

Questi risultati sono "incoraggianti, ma comunque inferiori a quelli degli esseri umani", afferma lo studio.

Ridurre le "allucinazioni"

Per identificare e ridurre le cosiddette "allucinazioni" - la parola per una risposta ovviamente sbagliata offerta da un modello di intelligenza artificiale - Google ha affermato di aver sviluppato un nuovo benchmark. Karan Singhal, ricercatore di Google e autore principale del nuovo studio, ha dichiarato ad AFP che il suo team ha testato una versione più recente del modello.

Secondo quanto riferito, Med-PaLM 2 ha ottenuto l'86,5% all'esame USMLE, superando la versione precedente di quasi il 20%, secondo uno studio pubblicato a maggio che non è stato sottoposto a revisione paritaria. Secondo il "Wall Street Journal", Med-PaLM 2 è in fase di test presso il prestigioso ospedale di ricerca americano Mayo Clinic da aprile.

Qualsiasi test eseguito con Med-PaLM 2 non sarà "clinico, rivolto al paziente o suscettibile di danneggiare i pazienti", ha assicurato Karan Singhal.

Invece, il modello sarà testato per "compiti amministrativi che possono essere automatizzati in modo relativamente semplice, con una posta in gioco bassa", ha aggiunto.

https://www.lematin.ch/story/le-chatbot-medical-de-google-reussit-un-examen-de-medecine-841709474304

Plugin AIOS di WordPress utilizzato da 1 milione di siti con password registrate in chiaro.

Angelo Domeneghini — Mon, 17 Jul 2023 14:45:00 GMT

Plugin AIOS di WordPress utilizzato da 1 milione di siti con password registrate in chiaro.

È stato scoperto che il plug-in di sicurezza WordPress All-In-One Security (AIOS), utilizzato da oltre un milione di siti WordPress, registrava password in chiaro dai tentativi di accesso degli utenti al database del sito, mettendo a rischio la sicurezza dell'account.

AIOS è una soluzione all-in-one sviluppata da Updraft, che offre firewall per applicazioni Web, protezione dei contenuti e strumenti di sicurezza dell'accesso per i siti WordPress, promettendo di fermare i bot e prevenire attacchi di forza bruta.

Circa tre settimane fa, un utente ha segnalato che il plug-in AIOS v5.1.9 non solo registrava i tentativi di accesso degli utenti alla tabella del database aiowps_audit_log, utilizzata per tenere traccia di accessi, disconnessioni ed eventi di accesso non riusciti, ma registrava anche la password inserita.

L'utente ha espresso preoccupazione per il fatto che questa attività viola diversi standard di conformità della sicurezza, tra cui NIST 800-63 3, ISO 27000 e GDPR.

Tuttavia, l'agente di supporto di Updraft ha risposto affermando che si trattava di un "bug noto" e fornendo una vaga promessa sulla disponibilità di una correzione nella prossima versione.

Dopo aver realizzato la criticità del problema, il supporto ha offerto build di sviluppo della prossima versione agli utenti interessati due settimane fa. Tuttavia, coloro che hanno tentato di installare le build di sviluppo hanno segnalato problemi con il sito Web e che i registri delle password non sono stati rimossi.

Correzione ora disponibile

Alla fine, l'11 luglio, il fornitore AIOS ha rilasciato la versione 5.2.0, che include una correzione per impedire il salvataggio di password in chiaro e cancellare le vecchie voci.

"La versione 5.2.0 di AIOS e gli aggiornamenti più recenti hanno corretto un bug nella 5.1.9 che comportava l'aggiunta delle password degli utenti al database di WordPress in testo semplice", si legge nell'annuncio di rilascio.

"Questo sarebbe un problema se gli amministratori [dannosi] del sito dovessero provare quelle password su altri servizi in cui i tuoi utenti potrebbero aver utilizzato la stessa password."

Se i dettagli di accesso delle persone esposte non sono protetti dall'autenticazione a due fattori su queste altre piattaforme, gli amministratori non autorizzati potrebbero facilmente impossessarsi dei loro account.

A parte lo scenario di amministrazione dannoso, i siti Web che utilizzano AIOS dovrebbero affrontare un rischio elevato di violazioni degli hacker, poiché un malintenzionato che ottiene l'accesso al database del sito potrebbe esfiltrare le password degli utenti in forma di testo normale.

Al momento in cui scriviamo, le statistiche di WordPress.org mostrano che circa un quarto degli utenti AIOS ha applicato l'aggiornamento alla 5.2.0, quindi più di 750.000 siti rimangono vulnerabili.

Sfortunatamente, con WordPress un obiettivo comune per gli attori delle minacce, c'è la possibilità che alcuni dei siti che utilizzano AIOS siano già stati compromessi e, considerando che il problema è circolato online da tre settimane, gli hacker hanno avuto molte opportunità di approfittare di la risposta lenta del creatore del plugin.

Inoltre, è un peccato che in nessun momento durante il periodo di esposizione Updraft abbia avvertito i propri utenti dell'elevato rischio di esposizione, consigliandoli sulle azioni da intraprendere.

**I siti Web che utilizzano AIOS dovrebbero ora aggiornarsi all'ultima versione e chiedere agli utenti di reimpostare le proprie password.**

https://www.bleepingcomputer.com/news/security/wordpress-aios-plugin-used-by-1m-sites-logged-plaintext-passwords/

Apple conferma che gli aggiornamenti di sicurezza di WebKit interrompono la navigazione su alcuni siti

Angelo Domeneghini — Wed, 12 Jul 2023 08:18:00 GMT

Apple conferma che gli aggiornamenti di sicurezza di WebKit interrompono la navigazione su alcuni siti.

Apple ha confermato oggi che gli aggiornamenti di sicurezza di emergenza rilasciati lunedì per risolvere un bug zero-day sfruttato negli attacchi interrompono anche la navigazione su alcuni siti web. Presto ne verranno rilasciati di nuovi per risolvere questo problema noto, afferma la società.

Sebbene Apple non abbia spiegato perché ai siti Web interessati è stato impedito di eseguire correttamente il rendering, secondo quanto riferito, ciò è accaduto dopo che il rilevamento dell'agente utente di alcuni servizi (ad esempio Zoom, Facebook e Instagram) si è interrotto e ha causato l'inizio della visualizzazione di errori in Safari su patch. dispositivi.

Ad esempio, dopo aver applicato gli aggiornamenti RSR su un dispositivo iOS, il nuovo agente utente contenente una stringa "(a)" è "Mozilla/5.0 (iPhone; CPU iPhone OS 16_5_1 come Mac OS X) AppleWebKit/605.1.15 (KHTML, come Gecko) Version/16.5.2 (a) Mobile/15E148 Safari/604.1", che impedisce ai siti Web di rilevarlo come una versione valida di Safari, visualizzando così i messaggi di errore del browser non supportato.

"Apple è a conoscenza di un problema in cui le recenti risposte rapide di sicurezza potrebbero impedire la corretta visualizzazione di alcuni siti Web", afferma la società in un documento di supporto rilasciato martedì.

"Rapid Security Responses iOS 16.5.1 (b), iPadOS 16.5.1 (b) e macOS 13.4.1 (b) saranno presto disponibili per risolvere questo problema."

La società consiglia ai clienti che hanno già applicato gli aggiornamenti di sicurezza difettosi di rimuoverli se riscontrano problemi durante la navigazione sul Web.

Sui dispositivi iPhone o iPad, puoi farlo toccando "Rimuovi risposta di sicurezza" e quindi toccando "Rimuovi" per confermare da Impostazioni > Informazioni > Versione iOS.

Gli utenti Mac possono rimuovere gli aggiornamenti RSR aprendo il menu  e facendo clic su Ulteriori informazioni in "Informazioni su questo Mac".

Una volta lì, devi fare clic sul pulsante Info (i) accanto al numero di versione in macOS, quindi fare clic su "Rimuovi" e "Riavvia".

macOS 13.4.1 (a) patch RSR

Il difetto zero-day (tracciato come CVE-2023-37450) è stato trovato nel motore del browser WebKit di Apple e consente agli aggressori di ottenere l'esecuzione di codice arbitrario inducendo gli obiettivi ad aprire pagine Web contenenti contenuti creati in modo dannoso.

"Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato sfruttato attivamente", ha affermato la società negli avvisi iOS e macOS che descrivono la vulnerabilità CVE-2023-37450 corretta negli aggiornamenti di sicurezza di emergenza di ieri.

"Questa risposta rapida alla sicurezza fornisce importanti correzioni di sicurezza ed è consigliata a tutti gli utenti", ha avvertito Apple ai clienti sui dispositivi in cui sono state consegnate le patch RSR.

Dall'inizio dell'anno, Apple ha corretto un totale di dieci difetti zero-day sfruttati in natura per hackerare iPhone, Mac o iPad.

Ad esempio, all'inizio di questo mese, Apple ha affrontato tre zero-days (CVE-2023-32434, CVE-2023-32435 e CVE-2023-32439) sfruttati in attacchi per installare lo spyware Triangulation su iPhone tramite exploit zero-click di iMessage.

Prima di allora, la società ha anche patchato:

Altri tre giorni zero (CVE-2023-32409, CVE-2023-28204 e CVE-2023-32373) a maggio, i primi segnalati dai ricercatori di Amnesty International Security Lab e Google Threat Analysis Group e probabilmente utilizzati per installare spyware mercenario.

Altri due zero-day (CVE-2023-28206 e CVE-2023-28205) ad aprile sono stati utilizzati come parte di catene di exploit di falle zero-day e n-day di Android, iOS e Chrome per distribuire spyware su dispositivi appartenenti a -obiettivi di rischio.

e un altro WebKit zero-day (CVE-2023-23529) a febbraio, sfruttato per ottenere l'esecuzione di codice su iPhone, iPad e Mac vulnerabili.

https://www.bleepingcomputer.com/news/security/apple-confirms-webkit-security-updates-break-browsing-on-some-sites/

WhatsApp semplifica il trasferimento delle conversazioni su un nuovo cellulare

Angelo Domeneghini — Wed, 05 Jul 2023 15:27:00 GMT

WhatsApp semplifica il trasferimento delle conversazioni su un nuovo cellulare

L'app di messaggistica ha svelato una nuova funzionalità che permette, quando si cambia dispositivo, di recuperare messaggi e dati senza eseguire prima un backup.

Mark Zuckerberg ha svelato lui stesso una demo del nuovo metodo di trasferimento.

In un post su Facebook alla fine della scorsa settimana, Mark Zuckerberg ha svelato una nuova funzionalità per l'app WhatsApp.

Semplifica il passaggio da un vecchio a un nuovo smartphone.

Una nuova opzione ti consentirà di trasferire l'intera cronologia chat senza dover eseguire il backup su Google Drive per il ripristino sul nuovo dispositivo.

Più veloce, il nuovo metodo consiste semplicemente nello scansionare un codice QR con il nuovo smartphone. Per visualizzarlo sul vecchio dispositivo, vai su Impostazioni > Chat > Trasferisci chat.

Per attivare il trasferimento, il wi-fi deve essere attivato su entrambi gli smartphone. Devono utilizzare lo stesso numero di telefono ed essere nelle vicinanze

Il processo di migrazione è inoltre pensato per essere più sicuro rispetto alle app di terze parti, assicura Meta, società madre di WhatsApp, Facebook e Instagram. Infatti, i dati, crittografati durante il trasferimento, vengono condivisi solo tra i due dispositivi.

Da Android ad Android o da iPhone a iPhone

Tuttavia, eseguire un backup della cronologia di WhatsApp può comunque essere utile.

Ad esempio se il vecchio smartphone è andato smarrito o se si vuole passare da un sistema operativo all'altro. Il nuovo metodo funziona solo da Android ad Android o da iPhone a iPhone.

Oltre ai messaggi di pagamento peer-to-peer e alla cronologia delle chiamate, "la funzione di trasferimento della chat trasferisce tutte le informazioni dell'account, inclusi tutti i messaggi personali, le foto, i video, i documenti, ecc." , spiega sul suo sito WhatsApp, che ha anche recentemente lanciato un opzione per disattivare l'audio delle chiamate da estranei, tra le altre funzionalità pianificate.

https://www.20min.ch/fr/story/whatsapp-simplifie-le-transfert-de-conversations-vers-un-nouveau-mobile-197769675764

Come rimuovere un IP dalla Blacklist di Microsoft

Angelo Domeneghini — Mon, 03 Jul 2023 08:00:00 GMT

Come rimuovere un IP dalla Blacklist di Microsoft

Microsoft ha le proprie blacklist interne che vengono utilizzate per rifiutare le e-mail provenienti da indirizzi IP specifici.

Tutti gli IP elencati nella Blacklist di Spamhaus sono anche nella lista Blacklist di Microsoft. Per quanto ne sappiamo, questa è l’unica Blacklist esterna (basata su DNS) utilizzata da Microsoft. Il resto degli IP nella Blacklist si basa sui criteri di Microsoft.

Questi elenchi non sono molto trasparenti e sfortunatamente includono una grande quantità di falsi positivi.

Esistono due Blacklist distinte che Microsoft utilizza, ciascuna per piattaforme diverse.

Una è utilizzata da outlook.com, hotmail.com, live.com e msn.com. L’altra è utilizzata da Office365.

Se ricevi un messaggio di errore da Microsoft quando invii e-mail da un server che hai con noi, controlla il messaggio di errore per scoprire in quale lista nera si trova l’IP. Assicurati che il tuo server non stia inviando spam e che il tuo IP non sia elencato in nessuna blacklist basata su DNS. Assicurati inoltre che le tue e-mail siano conformi alle politiche, alle pratiche e alle linee guida Microsoft trovate sul loro sito Web: http://mail.live.com/mail/policies.aspx

Dopo averlo fatto, puoi seguire le istruzioni di seguito per rimuovere il tuo IP dalla Blacklist.

OUTLOOK

Se un IP è elencato nella lista nera di Outlook, le email provenienti da quell’IP verranno rifiutate con il seguente messaggio di errore:

550 5.7.1 Unfortunately, messages from [x.x.x.x] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3140). You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors.

Per rimuovere gli IP da questa lista nera, compila il seguente modulo:

http://go.microsoft.com/fwlink/?LinkID=614866&clcid

Una volta compilato il modulo, dovresti ricevere una risposta automatica che conferma la tua richiesta. A volte sono necessari solo pochi minuti per ottenere questa risposta automatica, ma possono essere necessarie anche alcune ore.

Se l’IP non viene rimosso, chiedi ulteriori informazioni. Quando lo fai, il ticket verrà intensificato e un membro effettivo dello staff di Microsoft esaminerà il tuo IP.

Nella maggior parte dei casi, rimuoveranno manualmente l’IP.

OFFICE 365

Se un IP è elencato nella lista nera di Office365, le e-mail provenienti da quell’IP verranno rifiutate con il seguente messaggio di errore:

550 5.7.606 Access denied, banned sending IP [x.x.x.x]. To request removal from this list please visit https://sender.office.com/ and follow the directions. For more information please go to http://go.microsoft.com/fwlink/?LinkID=526655 (AS16012609)

Per rimuovere gli IP da questa lista nera, compila il modulo collegato nel messaggio di errore: https://sender.office.com/

Il messaggio di errore contiene anche un collegamento al flusso di lavoro per rimuovere l’IP dall’elenco: http://go.microsoft.com/fwlink/?LinkID=526655

Se segui le istruzioni, l’IP dovrebbe essere cancellato automaticamente.

Conflitto Watchguard Endpoint con Aggiornamenti KB Microsoft

Angelo Domeneghini — Thu, 29 Jun 2023 10:44:00 GMT

Endpoint Security: Google Chrome non si apre dopo l'installazione delle patch di sicurezza Microsoft KB5027119 e KB5027231

Si applica a

Prodotti: WatchGuard Endpoint Security

Sistema operativo: WatchGuard Endpoint Security

Stato del problema: risolto

Descrizione

Aggiornamento: il 20 giugno 2023, abbiamo distribuito un aggiornamento della conoscenza che ha risolto questo problema. Non è più necessario completare i passaggi della soluzione alternativa. Se hai disattivato la protezione anti-exploit, ti consigliamo di riattivarla.

-------------------------------------------------- -----------------------------------------------

Sui computer Windows 11 con la protezione anti-exploit di WatchGuard Endpoint Security abilitata o senza Google Chrome impostato come browser predefinito, Chrome non si apre dopo aver installato le patch Microsoft KB5027119 e KB5027231.

Soluzione

Soluzione alternativa 1 (consigliata): imposta Chrome come browser predefinito.

Dal computer interessato, apri Google Chrome.

Fai clic sull'icona dei tre puntini nell'angolo in alto a destra.

Seleziona Impostazioni.

Seleziona Browser predefinito e seleziona Chrome.

Soluzione alternativa 2: creare un nuovo profilo delle impostazioni con la protezione anti-exploit disattivata e applicarlo a tutti i computer in cui si verifica questo problema.

Dall'interfaccia utente di gestione di Endpoint Security, selezionare la scheda Impostazioni e fare clic su Aggiungi.

Dal riquadro di sinistra, seleziona Workstation e server.

Espandi la sezione Protezione avanzata e disabilita Protezione anti-exploit.

Salva le impostazioni e aggiungi i destinatari o i computer a cui vuoi applicare il nuovo profilo.

Nota: si consiglia di posticipare l'installazione delle patch di sicurezza Microsoft KB5027119 e KB5027231 finché non sarà disponibile una soluzione a questo problema. Aggiorneremo questo articolo quando il problema sarà risolto.

https://techsearch.watchguard.com/KB?type=Known%20Issues&SFDCID=kA16S000000gDGsSAM&lang=en_US&mkt_tok=NDgzLUtDVy03MTIAAAGMpSQcVunxpLQTZzSZHCr942esLGUJkATqJxC1DbWA1iOsCAG5EVm51LRFriYlX45BeqYZyjpTd7VzGaY58Qus7T109mn-BqhDAROTNg9YQ5bVz0w

Di fronte all'intelligenza artificiale, i doppiatori di voce si stanno mobilitando

Angelo Domeneghini — Thu, 22 Jun 2023 14:05:00 GMT

Di fronte all'intelligenza artificiale, i doppiatori si stanno mobilitando

Le persone che prestano la loro voce a libri o film non accolgono con favore l'arrivo dell'intelligenza artificiale.

L'intelligenza artificiale può creare voci digitali identiche alla voce umana.

“Stiamo combattendo contro un enorme mostro”: doppiatori e narratori di audiolibri si stanno mobilitando in tutto il mondo contro la minaccia dell'intelligenza artificiale (AI) in grado di creare voci digitali identiche alle voci umane.

Una ventina di sindacati e organizzazioni sindacali di Europa, Stati Uniti e America Latina hanno creato l'organizzazione United Voices (UVO), che si batte con lo slogan "non rubare le nostre voci" per una legislazione che armonizzi l'intelligenza artificiale e la creazione umana.

L'uso “indiscriminato e sregolato” dell'IA rischia di estinguere un “patrimonio artistico di creatività (…) che le macchine non possono generare”, avverte l'UVO.

Concorrenza

I doppiatori avevano visto comparire senza troppi timori la concorrenza del Text To Speech (TTS), una tecnologia che permette di trasformare un testo scritto in discorso emesso da una voce umana con la dizione di un robot (metodo utilizzato dagli assistenti vocali virtuali come Alexa o Siri).

Ma l'intelligenza artificiale ha aggiunto il "machine learning" che consente al software di confrontare un campione vocale con milioni di altri. Le piattaforme AI come revoicer.com offrono una vasta gamma di servizi audio a un canone mensile di $ 27, una frazione di quanto addebitato dai professionisti.

"Diritto umano di usare la voce"

Il suo sito web afferma che il servizio "non intende sostituire le voci umane", ma offre un'alternativa economica. "È alimentato dalle voci che creiamo da anni", afferma Dessiree Hernandez, presidente dell'Associazione messicana degli oratori commerciali. "Stiamo parlando del diritto umano di usare la voce e l'interpretazione senza consenso", aggiunge.

Queste aziende tecnologiche continuano ad assumere interpreti, ma sospettano che stiano alimentando un enorme archivio vocale. Questi doppiatori stanno sostenendo leggi per impedirne l'uso, senza la loro approvazione, e l'imposizione di "quote di lavoro umano", afferma il doppiatore colombiano Daniel Söler de la Prada, che ha rappresentato l'OVU alle Nazioni Unite e l'Organizzazione mondiale della proprietà intellettuale .

In Messico, mecca del doppiaggio in America Latina, è stato presentato anche un disegno di legge volto a regolamentare questa tecnologia. In Argentina, una legge limita già il doppiaggio a persone debitamente riconosciute come tali. E una macchina no, osserva Fernando Costa, in lotta con il sindacato degli artisti del doppiaggio contro lo slogan di queste società di voce digitale: "Non fare più con i doppiatori, risparmia".

“Rivoluzione, ma non a qualsiasi prezzo”

Ma l'intelligenza artificiale apre infinite possibilità. In futuro, ad esempio, la vera voce dell'attore Will Smith potrebbe essere interpretata in più lingue, con l'intonazione perfetta che userebbe un doppiatore professionista, spiega il narratore e doppiatore messicano Mario Filio. “Stiamo combattendo contro un mostro enorme”, dice colui che ha prestato la sua voce in spagnolo a Will Smith, e a personaggi come Obi-Wan Kenobi (Star Wars), Winnie the Pooh o Piggy il maiale.

Se vince il pubblico e si conservano i posti di lavoro, gli accordi sono possibili "a patto di essere pagati equamente", dice, sottolineando "la mancanza di tutele" di una professione autonoma.

Clausola "ingiusta".

AFP ha contattato sei di queste società di servizi vocali digitali, ma nessuna ha voluto rispondere alle domande. AFP, tuttavia, ha rilevato una clausola contrattuale che prevede che il trasferimento dei diritti includa "mezzi e modalità che non esistono o non sono noti (...) e che potrebbero apparire in futuro". Clausola contrattuale che gli esecutori considerano "abusiva".

Maclovia Gonzalez, una voce fuori campo messicana per marchi di alto profilo, sta attualmente negoziando con una società di intelligenza artificiale che ha rifiutato di nominare. Prima di impegnarsi, dice che fa molte domande ma ottiene solo risposte parziali, ad eccezione di una promessa di royalties. Dai suoi primi contatti cinque mesi fa, sono stati assunti altri doppiatori. “Voglio far parte di questa rivoluzione, ma non a qualsiasi prezzo”, afferma.

https://www.lematin.ch/story/face-a-lia-les-doubleurs-de-voix-se-mobilisent-377366072986

Gli hacker infettano i server Linux SSH con il malware botnet Tsunami

Angelo Domeneghini — Thu, 22 Jun 2023 13:52:00 GMT

Gli hacker infettano i server Linux SSH con il malware botnet Tsunami

Un attore di minacce sconosciute sta costringendo i server Linux SSH a installare un'ampia gamma di malware, tra cui il bot Tsunami DDoS (Distributed Denial of Service), ShellBot, strumenti di pulizia dei registri, strumenti di escalation dei privilegi e un coin miner XMRig (Monero).

SSH (Secure Socket Shell) è un protocollo di comunicazione di rete crittografato per accedere a macchine remote, supportare il tunneling, il port forwarding TCP, i trasferimenti di file, ecc.

Gli amministratori di rete in genere utilizzano SSH per gestire i dispositivi Linux in remoto, eseguendo attività come l'esecuzione di comandi, la modifica della configurazione, l'aggiornamento del software e la risoluzione dei problemi.

Tuttavia, se questi server sono scarsamente protetti, potrebbero essere vulnerabili agli attacchi di forza bruta, consentendo agli attori delle minacce di provare molte potenziali combinazioni nome utente-password finché non viene trovata una corrispondenza.

Tsunami sul server SSH

AhnLab Security Emergency Response Center (ASEC) ha recentemente scoperto una campagna di questo tipo, che ha violato i server Linux per lanciare attacchi DDoS e minare la criptovaluta Monero.

Gli aggressori hanno scansionato Internet alla ricerca di server SSH Linux esposti pubblicamente e quindi hanno forzato brute coppie nome utente-password per accedere al server.

Dopo aver stabilito un punto d'appoggio sull'endpoint come utente amministratore, hanno eseguito il seguente comando per recuperare ed eseguire una raccolta di malware tramite uno script Bash.

ASEC ha osservato che gli intrusi hanno anche generato una nuova coppia di chiavi SSH pubbliche e private per il server violato per mantenere l'accesso anche se la password dell'utente è stata modificata.

Il malware scaricato su host compromessi include botnet DDoS, strumenti di pulizia dei registri, minatori di criptovalute e strumenti di escalation dei privilegi.

A partire da ShellBot, questo bot DDoS basato su Perl utilizza il protocollo IRC per la comunicazione. Supporta attacchi di scansione delle porte, UDP, TCP e HTTP flood e può anche configurare una shell inversa.

L'altro malware botnet DDoS visto in questi attacchi è Tsunami, che utilizza anche il protocollo IRC per la comunicazione.

La versione particolare vista da ASEC è "Ziggy", una variante Kaiten. Tsunami persiste tra i riavvii scrivendo se stesso su "/etc/rc.local" e usa i tipici nomi dei processi di sistema per nascondersi.

Oltre agli attacchi DDoS SYN, ACK, UDP e random flood, Tsunami supporta anche un ampio set di comandi di controllo remoto, tra cui esecuzione di comandi shell, inversione di shell, raccolta di informazioni di sistema, aggiornamento stesso e download di payload aggiuntivi da una fonte esterna.

Elenco completo dei comandi supportati da Tsunami

Elenco completo dei comandi supportati da Tsunami (ASEC)

Successivamente ci sono MIG Logcleaner v2.0 e Shadow Log Cleaner, entrambi strumenti utilizzati per cancellare le prove di intrusione su computer compromessi, rendendo meno probabile che le vittime si rendano conto rapidamente dell'infezione.

Questi strumenti supportano argomenti di comando specifici che consentono agli operatori di eliminare i registri, modificare i registri esistenti o aggiungere nuovi registri al sistema.

Il malware di escalation dei privilegi utilizzato in questi attacchi è un file ELF (Executable and Linkable Format) che aumenta i privilegi dell'aggressore a quelli di un utente root.

Infine, gli attori delle minacce attivano un minatore di monete XMRig per dirottare le risorse computazionali del server per estrarre Monero su un pool specificato.

Per difendersi da questi attacchi, gli utenti Linux dovrebbero utilizzare password di account complesse o, per una maggiore sicurezza, richiedere chiavi SSH per accedere al server SSH.

Inoltre, disabilita l'accesso root tramite SSH, limita l'intervallo di indirizzi IP autorizzati ad accedere al server e modifica la porta SSH predefinita in qualcosa di atipico che i bot automatici e gli script di infezione perderanno.

https://www.bleepingcomputer.com/news/security/hackers-infect-linux-ssh-servers-with-tsunami-botnet-malware/

Funzionalità di sicurezza "Isolamento app Win32" di Windows 11 ora in anteprima

Angelo Domeneghini — Mon, 19 Jun 2023 14:42:00 GMT

Funzionalità di sicurezza "Isolamento app Win32" di Windows 11 ora in anteprima

Microsoft ha annunciato il lancio in anteprima pubblica dell'isolamento delle app Win32, una nuova funzionalità di sicurezza di Windows 11 progettata per eseguire il sandbox delle applicazioni desktop di Windows utilizzando l'API Win32.

Recentemente annunciato durante la conferenza Build 2023 di Microsoft, l'isolamento delle app Win32 utilizza AppContainer per aumentare la sicurezza mitigando i potenziali danni causati dalle applicazioni compromesse e proteggendo la privacy dell'utente.

Garantisce inoltre che le app vengano eseguite con privilegi bassi e implementa il principio del privilegio minimo per impedire l'accesso non autorizzato alle informazioni dell'utente senza prima chiedere il consenso.

"L'applicazione Win32 viene avviata come un processo a bassa integrità utilizzando AppContainer, riconosciuto come limite di sicurezza da Microsoft", ha dichiarato David Weston, Microsoft VP for Enterprise & OS Security.

"Di conseguenza, il processo è limitato a un set specifico di API di Windows per impostazione predefinita e non è in grado di inserire codice in alcun processo che opera a un livello di integrità superiore."

Se viene sfruttata una vulnerabilità dell'app, l'ambiente di esecuzione di AppContainer garantisce che l'app Win32 rimanga limitata alle risorse concesse all'interno dei suoi confini.

Ciò impedisce alle app dannose di assumere il controllo dell'intero sistema, fornendo un ulteriore livello di difesa e salvaguardando il sistema da potenziali tentativi di compromissione.

Gli sviluppatori di applicazioni possono aggiornare le proprie app Win32 implementando misure di isolamento utilizzando gli strumenti messi a disposizione da Microsoft.

Ciò consente loro di rafforzare la sicurezza complessiva del proprio software e dei dispositivi su cui verrà eseguito, garantendo che non si aggiunga alla superficie di attacco del sistema.

Per indicazioni complete e ulteriori dettagli sull'isolamento delle app Win32, gli sviluppatori possono visitare questa pagina GitHub che fornisce informazioni preziose su come iniziare e gli strumenti necessari per riconfezionare le applicazioni MSIX per l'esecuzione isolata.

"L'isolamento delle app Win32 è un'aggiunta alla famiglia di opzioni sandbox di Windows esistenti, come Windows Sandbox e Microsoft Defender Application Guard", ha affermato David Weston, vicepresidente Microsoft per Enterprise & OS Security.

"Mentre queste opzioni si basano sulla sicurezza basata sulla virtualizzazione, l'isolamento delle app Win32 si basa sulle fondamenta di AppContainer (e altro ancora).

"Gli AppContainer sono specificamente progettati per incapsulare e limitare l'esecuzione dei processi, contribuendo a garantire che operino con privilegi limitati, comunemente indicati come bassi livelli di integrità".

https://www.bleepingcomputer.com/news/microsoft/windows-11-win32-app-isolation-security-feature-now-in-preview/

Western Digital elimna i dispositivi NAS obsoleti da My Cloud

Angelo Domeneghini — Mon, 19 Jun 2023 14:31:00 GMT

Western Digital elimna i dispositivi NAS obsoleti da My Cloud

Western Digital avverte i proprietari dei dispositivi della serie My Cloud che non possono più connettersi ai servizi cloud a partire dal 15 giugno 2023, se i dispositivi non vengono aggiornati all'ultimo firmware, versione 5.26.202.

Il produttore di storage ha deciso di adottare questa misura drastica per proteggere i propri utenti dagli attacchi informatici, poiché l'ultimo firmware risolve una vulnerabilità sfruttabile da remoto che può essere sfruttata per eseguire l'esecuzione di codice non autenticato.

"I dispositivi con firmware inferiore a 5.26.202 non saranno in grado di connettersi ai servizi cloud Western Digital a partire dal 15 giugno 2023 e gli utenti non saranno in grado di accedere ai dati sul proprio dispositivo tramite mycloud.com e l'app mobile My Cloud OS 5 fino a quando aggiornano il dispositivo all'ultimo firmware", spiega un bollettino di supporto di Western Digital.

"Gli utenti possono continuare ad accedere ai propri dati tramite l'accesso locale."

My Cloud è un servizio che collega i dispositivi NAS (Network Attached Storage) al servizio cloud di Western Digital, consentendo agli utenti di archiviare, accedere, eseguire il backup e condividere contenuti multimediali dal Web.

Detto questo, l'accesso non autorizzato ai dispositivi o agli archivi multimediali degli utenti potrebbe comportare gravi violazioni dei dati e della privacy.

Inoltre, l'esecuzione di codice arbitrario può persino portare alla distribuzione di ransomware sui dispositivi, che abbiamo visto colpire i dispositivi NAS più volte nel recente passato.

Western Digital ha avvisato i proprietari che i seguenti dispositivi devono aggiornare il proprio firmware alle versioni designate, altrimenti non possono più accedere a My Cloud:

My Cloud PR2100 – 5.26.202 o successivo
My Cloud PR4100 – 5.26.202 o successivo
My Cloud EX4100 – 5.26.202 o successivo
My Cloud EX2 Ultra – 5.26.202 o successivo
My Cloud Mirror G2 – 5.26.202 o successivo
My Cloud DL2100 – 5.26.202 o successivo
My Cloud DL4100 – 5.26.202 o successivo
My Cloud EX2100 – 5.26.202 o successivo
My Cloud – 5.26.202 o successivo
WD Cloud – 5.26.202 o successivo
My Cloud Home – 9.4.1-101 o successivo
My Cloud Home Duo – 9.4.1-101 o successivo
SanDisk ibi – 9.4.1-101 o successivo

Le versioni del firmware di cui sopra sono state rilasciate il 15 maggio 2023, risolvendo le seguenti quattro vulnerabilità:

CVE-2022-36327: Difetto di attraversamento del percorso di gravità critica (CVSS v3.1: 9.8) che consente a un utente malintenzionato di scrivere file in posizioni arbitrarie del file system, portando all'esecuzione di codice remoto non autenticato (bypass dell'autenticazione) sui dispositivi My Cloud.

CVE-2022-36326: problema di consumo incontrollato delle risorse attivato da richieste appositamente predisposte inviate a dispositivi vulnerabili, che causa DoS. (media gravità)

CVE-2022-36328: difetto di attraversamento del percorso che consente a un utente malintenzionato autenticato di creare condivisioni arbitrarie su directory arbitrarie ed esfiltrare file sensibili, password, utenti e configurazioni del dispositivo. (media gravità)

CVE-2022-29840: Vulnerabilità SSRF (Server-Side Request Forgery) che potrebbe consentire a un server non autorizzato sulla rete locale di modificare il proprio URL in modo che punti al loopback. (media gravità)

Per ulteriori informazioni sull'aggiornamento del firmware sul tuo dispositivo My Cloud, consulta le istruzioni di Western Digital.

https://www.bleepingcomputer.com/news/security/western-digital-boots-outdated-nas-devices-off-of-my-cloud/

Intelligenza artificiale: con l'IA, possiamo ancora fidarci delle nostre orecchie?

Angelo Domeneghini — Thu, 15 Jun 2023 14:03:00 GMT

Intelligenza artificiale: con l'IA, possiamo ancora fidarci delle nostre orecchie?

Nuove truffe telefoniche che utilizzano strumenti di replica vocale AI - facilmente disponibili online - stanno preoccupando le autorità statunitensi.

Il più grande pericolo delle IA, affermano gli esperti, è la loro capacità di cancellare quasi il confine tra realtà e finzione, fornendo ai criminali strumenti efficaci e poco costosi.

La voce di sua figlia ei suoi singhiozzi l'hanno turbata quando un uomo l'ha chiamata chiedendo un riscatto.

Ma le intonazioni sono state riprodotte alla perfezione da un'intelligenza artificiale (AI) per un tentativo di truffa, argomento di preoccupazione che sta emergendo con questa tecnologia in piena espansione.

Il più grande pericolo delle IA, affermano gli esperti, è la loro capacità di cancellare quasi il confine tra realtà e finzione, fornendo ai criminali strumenti efficaci e poco costosi.

"Aiutami, mamma, per favore aiutami", ha sentito al telefono Jennifer DeStefano, una madre che vive in Arizona.

Questa voce, poi, è “al 100%” convinta che sia quella, in grande angoscia, della figlia quindicenne, andata a sciare.

"Era totalmente la sua voce, il modo in cui avrebbe pianto", ha detto la madre a una stazione televisiva locale ad aprile.

"Non ho dubitato per un momento che potesse non essere lei."

Al capolinea, il truffatore che poi parla, da un numero sconosciuto, pretende un milione di dollari.

La sequenza, che si è rapidamente conclusa quando Jennifer DeStefano è riuscita a raggiungere la figlia, è ora oggetto di indagine e ha evidenziato la potenziale appropriazione indebita di IA da parte dei cybercriminali.

"Deepfake avvincenti"

"La replica vocale AI, ora quasi indistinguibile dal linguaggio umano, consente a malintenzionati come i truffatori di estrarre in modo più efficace informazioni e denaro dalle vittime", ha detto ad AFP Wasim Khaled, CEO di Blackbird.AI.

Molte applicazioni, molte delle quali gratuite e disponibili online, consentono all'intelligenza artificiale di replicare la voce reale di una persona da una breve registrazione.

Questo può essere facilmente estratto dai contenuti pubblicati online.

“Con un breve campione audio, un clone vocale AI può essere utilizzato per lasciare messaggi e capsule audio. Può anche essere utilizzato come modificatore vocale dal vivo durante le chiamate", spiega Wasim Khaled.

"I truffatori usano vari accenti e generi, o addirittura imitano il modo di parlare dei tuoi parenti", aggiunge. Questa tecnologia “consente la creazione di deepfake convincenti”.

Secondo un sondaggio condotto su 7.000 persone in nove paesi, inclusi gli Stati Uniti, una persona su quattro è stata oggetto di un tentativo di truffa vocale replicata dall'intelligenza artificiale o conosce qualcuno che lo ha fatto.

Il 70% degli intervistati ha affermato di non essere sicuro di poter distinguere tra una voce reale e una voce clonata, secondo questo sondaggio pubblicato il mese scorso da McAfee Labs.

Le autorità statunitensi hanno recentemente avvertito della crescente popolarità della "truffa dei nonni".

"Ricevi una chiamata, una voce in preda al panico in linea, è tuo nipote. Dice di essere in grossi guai, ha avuto un incidente d'auto ed è finito in carcere. Ma puoi aiutare inviando denaro ", ha avvertito la US Consumer Protection Agency (FTC).

Nei commenti sotto questo avviso FTC, diversi anziani hanno affermato di essere stati ingannati in questo modo.

Vulnerabilità

Un nonno vittimizzato era stato così convinto che si mise a raccogliere fondi, anche considerando di ri-ipotecare la sua casa, prima che lo stratagemma fosse scoperto.

La facilità con cui ora possiamo replicare artificialmente una voce significa che "quasi tutti online sono vulnerabili", ha affermato AFP Hany Farid, professore presso la UC Berkeley School of Information.

"Queste truffe stanno guadagnando terreno"

All'inizio di quest'anno, la startup ElevenLabs ha dovuto ammettere che era possibile utilizzare in modo improprio il suo strumento di replica vocale AI, dopo che gli utenti hanno pubblicato un deepfake online dell'attrice Emma Watson che leggeva "Mein Kampf".

"Ci stiamo rapidamente avvicinando al punto in cui non possiamo più fidarci dei contenuti su Internet e in cui dovremo utilizzare le nuove tecnologie per garantire che la persona con cui pensiamo di parlare (al telefono) sia davvero la persona a cui parliamo, "

conclude Gal Tal-Hochberg, dirigente della società di investimenti tecnologici Te

https://www.lematin.ch/story/avec-lia-peut-on-encore-faire-confiance-a-ses-propres-oreilles-971862191896

Le Immagini ISO piratate di Windows 10 installano malware clipper tramite partizioni EFI

Angelo Domeneghini — Thu, 15 Jun 2023 13:53:00 GMT

Gli ISO piratati di Windows 10 installano malware clipper tramite partizioni EFI

Gli hacker stanno distribuendo Windows 10 utilizzando torrent che nascondono i dirottatori di criptovaluta nella partizione EFI (Extensible Firmware Interface) per eludere il rilevamento.

La partizione EFI è una piccola partizione di sistema contenente il bootloader e i relativi file eseguiti prima dell'avvio del sistema operativo. È essenziale per i sistemi basati su UEFI che sostituiscono il BIOS ormai obsoleto.

Ci sono stati attacchi che utilizzano partizioni EFI modificate per attivare malware dall'esterno del contesto del sistema operativo e dei suoi strumenti di difesa, come nel caso di BlackLotus.

Tuttavia, gli ISO piratati di Windows 10 scoperti dai ricercatori di Dr. Web utilizzano semplicemente EFI come spazio di archiviazione sicuro per i componenti del clipper.

Poiché gli strumenti antivirus standard non eseguono comunemente la scansione della partizione EFI, il malware può potenzialmente aggirare i rilevamenti di malware.

Il rapporto di Dr. Web spiega che le build dannose di Windows 10 nascondono le seguenti app nella directory di sistema:

\Windows\Installer\iscsicli.exe (contagocce)

\Windows\Installer\recovery.exe (iniettore)

\Windows\Installer\kd_08_5e78.dll (clipper)

Quando il sistema operativo viene installato utilizzando l'ISO, viene creata un'attività pianificata per avviare un dropper denominato iscsicli.exe, che monta la partizione EFI come unità "M:\". Una volta montato, il dropper copia gli altri due file, recovery.exe e kd_08_5e78.dll, nell'unità C:\.

Viene quindi avviato Recovery.exe, che inietta la DLL del malware clipper nel legittimo processo di sistema %WINDIR%\System32\Lsaiso.exe tramite svuotamento del processo.

Dopo essere stato iniettato, il clipper verificherà se esiste il file C:\Windows\INF\scunown.inf o se sono in esecuzione strumenti di analisi, come Process Explorer, Task Manager, Process Monitor, ProcessHacker, ecc.

Se vengono rilevati, il clipper non sostituirà gli indirizzi del portafoglio crittografico per eludere il rilevamento da parte dei ricercatori di sicurezza.

Una volta che il clipper è in esecuzione, monitorerà gli appunti di sistema per gli indirizzi del portafoglio di criptovaluta. Se ne vengono trovati, vengono sostituiti al volo con indirizzi sotto il controllo dell'aggressore.

Ciò consente agli attori delle minacce di reindirizzare i pagamenti sui loro account, il che, secondo Dr. Web, ha reso loro almeno $ 19.000 di criptovaluta sugli indirizzi del portafoglio che i ricercatori sono stati in grado di identificare.

Questi indirizzi sono stati estratti dalla seguente ISO di Windows condivisa su siti torrent, ma Dr. Web avverte che potrebbero essercene altri là fuori:

Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 di BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 di BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 di BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 di BoJlIIIebnik [RU, EN].iso
Windows 10 Pro 22H2 19045.2913 x64 di BoJlIIIebnik [RU, EN].iso

I download piratati del sistema operativo dovrebbero essere evitati perché possono essere pericolosi, in quanto coloro che creano build non ufficiali possono facilmente nascondere malware persistenti.

https://www.bleepingcomputer.com/news/security/pirated-windows-10-isos-install-clipper-malware-via-efi-partitions/

5 minacce informatiche che i criminali possono generare con l'aiuto di ChatGPT

Angelo Domeneghini — Mon, 12 Jun 2023 10:55:00 GMT

5 minacce informatiche che i criminali possono generare con l'aiuto di ChatGPT

ChatGPT, l'intelligenza artificiale generativa pubblica, annunciata alla fine di novembre 2022, ha sollevato legittime preoccupazioni sul suo potenziale di amplificare la gravità e la complessità delle minacce informatiche.

In effetti, non appena OpenAI ne ha annunciato il rilascio, molti esperti di sicurezza hanno previsto che sarebbe stata solo una questione di tempo perché gli attaccanti iniziassero a utilizzare questo chatbot AI per creare malware o incrementare gli attacchi di phishing.

E non ci è voluto molto perché i loro sospetti fossero confermati, poiché è stato scoperto che i criminali informatici hanno già iniziato a utilizzare questo strumento basato sul modello di linguaggio GPT-3 AI per ricreare ceppi di malware e perpetrare diversi tipi di attacchi. Ai criminali informatici basta semplicemente disporre di un account OpenAI, che possono creare gratuitamente dal sito Web, e quindi effettuare una query.

Cosa possono fare i criminali informatici con ChatGPT?

Gli attaccanti possono sfruttare l'intelligenza artificiale generativa di ChatGPT per creare attività malevole, tra cui:

Phishing:

Gli attori delle minacce possono utilizzare il modello LLM (Large Language Model) del sistema ChatGPT per discostarsi dai copioni universali e automatizzare la creazione di e-mail di phishing o spoofing uniche, scritte con una grammatica perfetta e schemi vocali naturali su misura per ogni target. Ciò significa che gli attacchi e-mail realizzati con l'aiuto di questa tecnologia sembrano molto più convincenti, e questo rende più difficile per i destinatari rilevarli ed evitare di fare clic su collegamenti malevoli che potrebbero contenere malware.

Furto d'identità:

Oltre al phishing, i malintenzionati possono utilizzare ChatGPT anche per impersonare un'istituzione di fiducia, grazie alla capacità dell’AI di replicare il tono e i discorsi aziendali di una banca o di un'organizzazione, e quindi sfruttare questi messaggi sui social media, con SMS o via e-mail per ottenere informazioni private e finanziarie dalle persone. Sfruttando questa capacità, i malintenzionati possono anche scrivere post sui social media fingendosi celebrità.

Altri attacchi di social engineering:

Possono essere sferrati attacchi di social engineering in cui gli attori utilizzano il modello per creare falsi profili sui social media, facendoli sembrare molto realistici, e quindi indurre le persone a fare clic su collegamenti malevoli o persuaderli a fornire informazioni personali.

Creazione di bot malevoli:

ChatGPT può essere utilizzato per creare chatbot, in quanto dispone di un'API che può alimentare altre chat. La sua interfaccia semplice da utilizzare, progettata per scopi benefici, può essere utilizzata per ingannare le persone e attuare truffe persuasive, nonché per diffondere spam o sferrare attacchi di phishing.

Malware

ChatGPT può essere d’aiuto per svolgere attività che generalmente richiedono competenze di alto livello, come creare codice in vari linguaggi di programmazione. Il modello consente ad autori delle minacce con limitate capacità tecniche o che non sanno scrivere codice di sviluppare malware. ChatGPT lo scrive semplicemente sapendo di quali funzionalità dovrebbe disporre il malware.

I criminali informatici più sofisticati potrebbero invece utilizzare questa tecnologia anche per rendere le loro minacce più efficaci o per colmare lacune esistenti. In un caso condiviso da un criminale su un forum,

ChatGPT è stato sfruttato per creare malware utilizzando codice basato su Python in grado di cercare, copiare ed esfiltrare 12 tipi di file comuni, come documenti di Office, PDF e immagini da un sistema infetto. In altre parole, se trova un file di interesse, il malware lo copia in una directory temporanea, lo comprime e lo invia sul web.

Lo stesso autore di malware ha anche mostrato come aveva usato ChatGPT per scrivere codice Java per scaricare il client SSH e telnet PuTTY ed eseguirlo segretamente su un sistema tramite PowerShell.

Le minacce avanzate richiedono soluzioni avanzate

Le minacce informatiche avanzate devono essere affrontate con soluzioni all'altezza del compito. WatchGuard EPDR racchiude in un’unica soluzione funzionalità EPP per la protezione degli endpoint e funzionalità EDR di rilevamento e risposta. Grazie ai suoi nuovi ed emergenti modelli di intelligenza artificiale (AI) per machine learning e deep learning, WatchGuard EPDR protegge da minacce avanzate, minacce persistenti avanzate (APT), malware zero-day, ransomware, phishing, rootkit, vulnerabilità della memoria e attacchi privi di malware, oltre a fornire visibilità completa sugli endpoint e i server, nonché monitoraggio e rilevamento di attività malevole in grado di eludere la maggior parte delle soluzioni antivirus tradizionali.

Inoltre, monitora continuamente tutte le applicazioni e rileva comportamenti dannosi, anche se provengono da applicazioni legittime. In aggiunta, è in grado di orchestrare una risposta automatica e, a sua volta, fornire le informazioni forensi necessarie per indagare a fondo su ogni tentativo di attacco attraverso indicatori avanzati (IoA).

In breve, l'innovazione di uno strumento come ChatGPT può essere positiva per il mondo e cambiare i paradigmi attuali, ma può anche causare gravi danni se cade nelle mani sbagliate. Con la giusta soluzione di sicurezza informatica si può impedire che il lato negativo di strumenti promettenti come questo raggiunga la tua organizzazione attraverso l'uso improprio che i malintenzionati possono farne.

https://www.watchguard.com/it/wgrd-news/blog/5-minacce-informatiche-che-i-criminali-possono-generare-con-laiuto-di-chatgpt?

Determinare l'indirizzo MAC del FRITZ!Box

Angelo Domeneghini — Thu, 08 Jun 2023 13:51:00 GMT

Determinare l'indirizzo MAC del FRITZ!Box

Un indirizzo MAC (Media Access Control) è l'indirizzo hardware di un'interfaccia di rete (ad esempio, Wi-Fi) e consente l'identificazione univoca di un dispositivo in una rete.

L'indirizzo MAC con cui è possibile accedere al FRITZ!Box da un computer o da altri dispositivi dipende se il dispositivo comunica con il FRITZ!Box tramite un cavo di rete o via Wi-Fi.

1 Determinare l'indirizzo MAC wireless

Cliccare nell'interfaccia utente del FRITZ!Box su "Wi-Fi".

Cliccare nel menu "Wi-Fi" su "Rete wireless".

Leggere l'indirizzo MAC nella sezione "Bande di frequenza attive".

2 Determinare l'indirizzo MAC LAN

È possibile determinare l'indirizzo MAC LAN del FRITZ!Box da un computer collegato a una porta LAN del FRITZ!Box. La procedura dipende dal sistema operativo del computer:

Windows

Premere contemporaneamente sul tasto con il simbolo di Windows e sulla R.

Inserire cmd nel campo "Apri" e cliccare su "OK".

Inserire nel prompt dei comandi nslookup fritz.box e premere il tasto Invio.

Leggere l'indirizzo IP del FRITZ!Box vicino alla voce "Address:".

Inserire arp -a [indirizzo IP del FRITZ!Box] premere il tasto Invio.

Esempio:

arp -a 192.168.178.1

Leggere l'indirizzo MAC del FRITZ!Box sotto la voce "Indirizzo fisico".

macOS

Cliccare sul Finder.

Cliccare su "Applicazioni" e poi su "Utility".

Avviare il terminale.

Inserire nel terminale nslookup fritz.box e premere il tasto Invio.

Leggere l'indirizzo IP del FRITZ!Box vicino alla voce "Address:".

Inserire arp [indirizzo IP del FRITZ!Box] premere il tasto Invio.

Esempio:

arp 192.168.178.1

Leggere l'indirizzo MAC del FRITZ!Box.

Linux

Avviare il terminale. Se si utilizza Ubuntu, è possibile aprire il terminale premendo la combinazione di tasti

CTRL + ALT + T.

Inserire nel terminale nslookup fritz.box e premere il tasto Invio.

Leggere l'indirizzo IP del FRITZ!Box vicino alla voce "Address:".

Inserire arp [indirizzo IP del FRITZ!Box] premere il tasto Invio.

Esempio:

arp 192.168.178.1

Leggere l'indirizzo MAC del FRITZ!Box.

Gli hacker di Lazarus sono collegati alla rapina di Atomic Wallet da 35 milioni di dollari

Angelo Domeneghini — Thu, 08 Jun 2023 13:41:00 GMT

Gli hacker di Lazarus sono collegati alla rapina di Atomic Wallet da 35 milioni di dollari

Criptovaluta in calo

Il famigerato gruppo di hacker nordcoreano noto come Lazarus è stato collegato al recente hack di Atomic Wallet, che ha portato al furto di oltre 35 milioni di dollari in criptovalute.

Questa attribuzione proviene dagli esperti di blockchain di Elliptic, che hanno monitorato i fondi rubati e i loro movimenti attraverso portafogli, mixer e altri percorsi di riciclaggio.

L'attacco a Atomic Wallet è avvenuto lo scorso fine settimana quando numerosi utenti hanno riferito che i loro portafogli erano stati compromessi e che i loro fondi erano stati rubati.

Mentre l'indagine sull'incidente era in corso, il cripto-analista ZachXBT ha calcolato che le perdite superavano i 35 milioni di dollari, con la più grande vittima singola che perdeva quasi il 10% del totale rubato.

Ieri, Elliptic ha riferito che la sua analisi indica Lazarus Group come gli attori delle minacce responsabili dell'attacco, rendendo questo il primo grande furto di criptovalute degli hacker per il 2023.

L'anno scorso, l'FBI ha attribuito a Lazarus l'hack di Harmony Horizon Bridge nel giugno 2022, che ha portato al furto di $ 100 milioni, e anche l'hack di marzo 2022 di Axie Infinity, da cui i nordcoreani hanno sottratto $ 620 milioni in criptovalute.

L'ultimo attacco ad Atomic Wallet mostra che gli attori della minaccia rimangono focalizzati sul laser su obiettivi monetari, che secondo gli esperti vengono utilizzati direttamente per finanziare il programma di sviluppo di armi della Corea del Nord.

"In Elliptic, abbiamo identificato un gran numero di portafogli delle vittime, consentendo di rintracciare i fondi rubati nel nostro software", si legge nel rapporto di Elliptic.

"La nostra analisi delle transazioni del ladro ci porta ad attribuire questo hack al Lazarus Group della Corea del Nord, con un alto livello di fiducia".

Tracciare le transazioni

La prima prova che indica il gruppo Lazarus è la strategia di riciclaggio osservata, che corrisponde ai modelli osservati nei precedenti attacchi da parte del particolare attore della minaccia.

Il secondo elemento di attribuzione è l'utilizzo del mixer Sinbad per il riciclaggio dei fondi rubati, che il gruppo di minacce ha utilizzato anche nell'hacking di Harmony Horizon Bridge.

Elliptic ha precedentemente affermato che gli hacker nordcoreani hanno passato decine di milioni di dollari attraverso Sinbad, dimostrando fiducia e fiducia nel nuovo mixer.

La terza e più significativa prova del coinvolgimento di Lazarus nell'hack di Atomic Wallet è che porzioni sostanziali della criptovaluta rubata sono finite in portafogli che detengono i proventi di precedenti hack di Lazarus e si presume appartengano a membri del gruppo.

Come hanno dimostrato gli attacchi dell'anno scorso, il furto riuscito di criptovaluta raggiunge solo metà dell'obiettivo.

L'ascesa delle società di monitoraggio blockchain, unita alle capacità potenziate delle forze dell'ordine, ha notevolmente complicato il processo di riciclaggio e successivamente l'incasso dei beni rubati.

Poiché le vittime notificano gli scambi di indirizzi di portafogli contenenti fondi rubati, impedendo loro di essere scambiati con altre criptovalute o fiat, fa sì che gli hacker si rivolgano a scambi meno scrupolosi che prendono una grossa commissione per riciclare il denaro.

https://www.bleepingcomputer.com/news/security/lazarus-hackers-linked-to-the-35-million-atomic-wallet-heist/

Google corregge il nuovo difetto zero-day di Chrome con exploit in the wild

Angelo Domeneghini — Thu, 08 Jun 2023 13:34:00 GMT

Google corregge il nuovo difetto zero-day di Chrome con exploit in the wild

Google ha rilasciato un aggiornamento di sicurezza per il browser web Chrome per affrontare la terza vulnerabilità zero-day che gli hacker hanno sfruttato quest'anno.

"Google è a conoscenza dell'esistenza di un exploit per CVE-2023-3079", si legge nel bollettino sulla sicurezza.

Dettagli di sfruttamento sconosciuti

La società non ha rilasciato dettagli su come l'exploit e come è stato utilizzato negli attacchi, limitando le informazioni alla gravità del difetto e al suo tipo.

Trattenere le informazioni tecniche è la solita posizione di Google quando viene rilevato un nuovo problema di sicurezza.

Questo per proteggere gli utenti fino a quando la maggior parte di loro non è migrata alla versione sicura, poiché gli avversari potrebbero utilizzare i dettagli per sviluppare ulteriori exploit.

"L'accesso ai dettagli e ai collegamenti del bug può essere limitato fino a quando la maggior parte degli utenti non viene aggiornata con una correzione. Manterremo anche le restrizioni se il bug esiste in una libreria di terze parti da cui dipendono in modo simile altri progetti, ma non sono ancora stati risolti " - Google

CVE-2023-3079 è stato valutato come un problema di gravità elevata ed è stato scoperto dal ricercatore di Google Clément Lecigne il 1 giugno 2023 ed è una confusione di tipo in V8, il motore JavaScript di Chrome incaricato di eseguire il codice all'interno del browser.

I bug di confusione del tipo si verificano quando il motore interpreta erroneamente il tipo di un oggetto durante il runtime, portando potenzialmente a manipolazione dannosa della memoria ed esecuzione di codice arbitrario.

La prima vulnerabilità zero-day che Google ha corretto in Chrome quest'anno è stata CVE-2023-2033, che è anche un bug di confusione di tipo nel motore JavaScript V8.

Pochi giorni dopo, Google ha rilasciato un aggiornamento di sicurezza di emergenza per Chrome per correggere CVE-2023-2136, una vulnerabilità sfruttata attivamente che ha un impatto sulla libreria grafica 2D del browser, Skia.

Le vulnerabilità zero-day sono spesso sfruttate da sofisticati attori delle minacce sponsorizzati dallo stato, che mirano principalmente a figure di alto profilo all'interno del governo, dei media o di altre organizzazioni vitali. Pertanto, si consiglia vivamente a tutti gli utenti di Chrome di installare l'aggiornamento di sicurezza disponibile il prima possibile.

Oltre a correggere un nuovo zero-day, l'ultima versione di Chrome risolve vari problemi scoperti dai controlli interni e dall'analisi del fuzzing del codice.

Google afferma che l'aggiornamento verrà lanciato nei prossimi giorni/settimane, quindi si tratta di una distribuzione graduale che non raggiungerà tutti contemporaneamente.

Aggiorna il browser Chrome

Per avviare manualmente la procedura di aggiornamento di Chrome all'ultima versione che risolve il problema di sicurezza sfruttato attivamente, vai al menu delle impostazioni di Chrome (angolo in alto a destra) e seleziona Guida → Informazioni su Google Chrome.

Per completare l'aggiornamento è necessario riavviare l'applicazione.

Gli aggiornamenti di sicurezza disponibili vengono inoltre installati automaticamente al successivo avvio del browser senza l'intervento dell'utente, quindi controlla la pagina "Informazioni" per assicurarti di eseguire l'ultima versione.

La nuova versione del canale stabile che affronta il difetto che ha un exploit in circolazione è la versione 114.0.5735.110 per Windows e 114.0.5735.106 per Mac e Linux.

https://www.bleepingcomputer.com/news/security/google-fixes-new-chrome-zero-day-flaw-with-exploit-in-the-wild/

Malware Android SpinOk trovato in più app con 30 milioni di installazioni

Angelo Domeneghini — Thu, 08 Jun 2023 13:21:00 GMT

Malware Android SpinOk trovato in più app con 30 milioni di installazioni

Il malware SpinOk è stato trovato in un nuovo gruppo di app Android su Google Play, secondo quanto riferito installato altri 30 milioni di volte.

La scoperta arriva dal team di sicurezza di CloudSEK, che riferisce di aver trovato una serie di 193 app che trasportano l'SDK dannoso, 43 delle quali erano attive su Google Play al momento della loro scoperta la scorsa settimana.

SpinOk su Google Play

SpinOk è stato scoperto per la prima volta da Dr. Web alla fine del mese scorso in un insieme di un centinaio di app che sono state scaricate collettivamente oltre 421 milioni di volte.

Come ha spiegato la società di sicurezza mobile nel suo rapporto,

SpinOk è stato distribuito tramite un attacco alla catena di fornitura dell'SDK che ha infettato molte app e, per estensione, ha violato molti utenti Android.

In superficie, l'SDK offriva minigiochi con ricompense giornaliere legittimamente utilizzate dagli sviluppatori per stuzzicare l'interesse dei propri utenti. Tuttavia, in background, il trojan potrebbe essere utilizzato per rubare file e sostituire il contenuto degli appunti.

CloudSEK ha utilizzato gli IoC forniti nel rapporto di Dr. Web per scoprire più infezioni SpinOk, estendendo l'elenco di app dannose a 193 dopo aver scoperto altre 92 app. Circa la metà di questi erano disponibili su Google Play.

Il più scaricato del nuovo batch è stato HexaPop Link 2248, che ha avuto 5 milioni di installazioni. Tuttavia, è stato rimosso da Google Play da quando CloudSEK ha compilato il suo rapporto.

Altre app popolari che utilizzano SpinOk SDK e che rimangono disponibili per il download tramite Google Play sono:

Macaron Match (XM Studio) – 1 milione di download

Macaron Boom (XM Studio) – 1 milione di download

Jelly Connect (Bling Game) – 1 milione di download

Tiler Master (Tecnologia Zhinuo) – 1 milione di download

Crazy Magic Ball (XM Studio) – 1 milione di download

Happy 2048 (Tecnologia Zhinuo) – 1 milione di download

Mega Win Slot (Jia22) – 500.000 download

CloudSEK segnala che il conteggio collettivo dei download per le app aggiuntive basate su SpinOK supera i 30.000.000.

Va notato che gli sviluppatori di queste app hanno probabilmente utilizzato l'SDK dannoso pensando che fosse una libreria pubblicitaria, ignari del fatto che includesse funzionalità dannose.

L'elenco completo delle applicazioni infette è disponibile nell'appendice del report di CloudSEK.

Questa è una testimonianza della complessità della mappatura completa degli attacchi alla catena di approvvigionamento nelle grandi piattaforme di distribuzione software come il Google Play Store, dove individuare ogni progetto che potrebbe utilizzare un particolare modulo è impegnativo e porta a gravi ritardi nel processo di correzione del rischio.

CloudSEK ha informato Google delle nuove app dannose scoperte venerdì 2 giugno 2023 e BleepingComputer ha contattato il team di Android a riguardo.

Google non ha ancora risposto e molte delle app elencate nel rapporto di CloudSEK sono ancora disponibili su Google Play al momento della scrittura.

Aggiornamento del 6/6 -

Un portavoce di Google ci ha inviato il seguente commento:

La sicurezza di utenti e sviluppatori è al centro di Google Play.

Abbiamo esaminato i rapporti recenti su SpinOK SDK e stiamo intraprendendo le azioni appropriate sulle app che violano le nostre norme.

Gli utenti sono inoltre protetti da Google Play Protect, che avvisa gli utenti delle app note per mostrare comportamenti dannosi sui dispositivi Android con Google Play Services, anche quando tali app provengono da altre fonti.

https://www.bleepingcomputer.com/news/security/spinok-android-malware-found-in-more-apps-with-30-million-installs/

Windows 11 ottiene il supporto nativo per gli archivi 7-Zip, RAR e GZ

Angelo Domeneghini — Thu, 25 May 2023 15:45:00 GMT

Windows 11 ottiene il supporto nativo per gli archivi 7-Zip, RAR e GZ

Microsoft sta aggiungendo il supporto nativo per gli archivi RAR, 7-Zip e GZ a una prossima versione di Windows 11 prevista questa settimana.

Oggi, Microsoft ha annunciato una raffica di novità alla conferenza Build 2023, tra cui l'aggiornamento di Windows 11 Moment 3 di domani e il nuovo Windows Copilot basato sull'intelligenza artificiale.

In un nuovo post sul blog, il Chief Product Officer di Microsoft, Panos Panay, ha descritto queste nuove funzionalità e quando sarebbero diventate disponibili al pubblico in generale.

Come notato per la prima volta da TheVerge,

nascosto in una sezione che discuteva di una nuova funzionalità per sviluppatori di Windows 11 chiamata Dev Home,

Panay ha affermato che Windows 11 avrebbe presto il supporto nativo per gli archivi RAR, 7-Zip e gz.

"Abbiamo aggiunto il supporto nativo per formati di archivio aggiuntivi, inclusi tar, 7-Zip, RAR, gz e molti altri utilizzando il progetto open-source libarchive", spiega Panay nel post sul blog di oggi.

"Ora puoi migliorare le prestazioni della funzionalità di archiviazione durante la compressione su Windows."

Su Windows, ZIP, 7-Zip e RAR sono tutti formati di archivio popolari, con ZIP che è il più utilizzato tra loro.

Microsoft ha integrato il supporto degli archivi ZIP in Windows nel 1998. Tuttavia, per manipolare archivi 7-Zip (.7z), RAR (.rar) o gz (.gz), è necessario installare applicazioni di terze parti.

Sebbene 7-Zip sia gratuito e open source e WinRar offra una prova di 40 giorni che non finisce mai, diventando in qualche modo uno scherzo nel mondo dei tecnici, avere il supporto nativo per questi formati di file sarà molto utile per gli utenti Windows.

Il formato di archivio gz è più comunemente usato in Linux tramite l'utilità GNU Zip (gzip), insieme agli archivi TAR.

Poiché Windows e Linux sono diventati più strettamente integrati, ad esempio il sottosistema Windows per Linux, anche il supporto per i formati di archiviazione Linux comuni come gzip e TAR sarà molto utile.

Poiché Microsoft utilizza il progetto libarchive open source per aggiungere questi formati, è probabile che in futuro vedremo il supporto nativo per altri formati di archivio comuni come TAR e bzip2.

Microsoft ha dichiarato a The Verge che il supporto per questi formati di archivio verrà distribuito agli utenti di Windows 11 nei prossimi giorni in un aggiornamento "work-in-progress".

https://www.bleepingcomputer.com/news/microsoft/windows-11-getting-native-support-for-7-zip-rar-and-gz-archives/

Barracuda ESG (Email Security Gateway) violati tramite falla zero-day

Angelo Domeneghini — Thu, 25 May 2023 15:40:00 GMT

Barracuda mette in guardia contro i gateway di posta elettronica violati tramite falla zero-day

Barracuda, un'azienda nota per le sue soluzioni di sicurezza per la posta elettronica e la rete, ha avvertito i clienti che alcune delle loro appliance ESG (Email Security Gateway) sono state violate la scorsa settimana prendendo di mira una vulnerabilità zero-day ora corretta.

Venerdì 19 maggio è stata scoperta una vulnerabilità nel modulo di scansione degli allegati e-mail. Il problema è stato risolto applicando due patch di sicurezza il 20 e 21 maggio.

Mentre il difetto è stato corretto durante il fine settimana, Barracuda ha avvertito martedì che alcune delle appliance ESG dei suoi clienti sono state compromesse sfruttando il bug di sicurezza ora corretto.

"Sulla base della nostra indagine fino ad oggi, abbiamo identificato che la vulnerabilità ha provocato l'accesso non autorizzato a un sottoinsieme di appliance gateway di posta elettronica", ha affermato la società.

"Gli utenti i cui dispositivi a nostro avviso sono stati interessati sono stati informati tramite l'interfaccia utente ESG delle azioni da intraprendere. Barracuda ha anche contattato questi clienti specifici.

Gli altri prodotti dell'azienda, inclusi i servizi di sicurezza e-mail SaaS, non sono stati interessati da questa vulnerabilità.

I clienti hanno chiesto di controllare le reti per le intrusioni

Barracuda ha affermato che l'indagine si è limitata al suo prodotto ESG e non alle reti aziendali dei clienti. Pertanto, la società consiglia alle organizzazioni interessate di rivedere i propri ambienti per confermare che gli autori delle minacce non si siano diffusi ad altri dispositivi sulla rete.

"Se un cliente non ha ricevuto un avviso da parte nostra tramite l'interfaccia utente ESG, non abbiamo motivo di ritenere che il suo ambiente sia stato influenzato in questo momento e non ci sono azioni da intraprendere per il cliente", ha dichiarato Barracuda a BleepingComputer.

Un portavoce di Barracuda non ha risposto a una successiva e-mail che chiedeva maggiori dettagli sul numero di clienti interessati o se i loro dati sono stati influenzati dopo che i loro dispositivi ESG sono stati violati.

Oggi, Barracuda ha anche risolto un problema di accesso che interessava le appliance EGD (Email Gateway Defense) e una regola di punteggio spam difettosa che portava al blocco errato delle e-mail dei clienti.

Barracuda afferma che le sue soluzioni di sicurezza di livello aziendale sono ora utilizzate da oltre 200.000 organizzazioni in tutto il mondo, tra cui Samsung, Mitsubishi, Kraft Heinz, Delta Airlines e altre aziende di alto profilo.

https://www.bleepingcomputer.com/news/security/barracuda-warns-of-email-gateways-breached-via-zero-day-flaw/

La Cina ha avvertito gli utenti di smettere di acquistare i prodotti Micron, parlando di "gravi rischi per la sicurezza della rete" e potenziali pericoli per le infrastrutture informatiche.

Angelo Domeneghini — Mon, 22 May 2023 13:46:00 GMT

Risultati di Zoom: bene con il Covid, male con la riapertura

Questa settimana verrà pubblicata una raffica di dati economici che potrebbe avere ricadute sul cambio GBP/USD e su altre coppie del dollaro.

Martedì l'indice Flash PMI offrirà uno spaccato dell'economia globale. In più usciranno l'IPC del Regno Unito e i verbali della Fed, che forniranno ulteriori informazioni.

Oggi in arrivo i risultati di Zoom: i nuovi prodotti possono riportare Zoom sulla via della crescita? Ecco che cosa

muove i mercati.

CTLT

Catalent Inc

15,65%

37,17

FTCH

Farfetch

14,75%

4,98

Foot Locker Inc

-27,24%

30,21

CVNA

Carvana Co

-10,20%

10,74

SHY -0,06%

Secondo Ned Davis Research, i tassi dei T-Bill a 3 mesi e a breve termine sono vicini ai massimi degli ultimi anni e superano i rendimenti degli utili delle aziende S&P 500, inducendo gli investitori a valutare i rischi delle azioni rispetto a quelli delle obbligazioni. La determinazione della Fed a ripristinare la stabilità dei prezzi e i colloqui sul tetto del debito hanno provocato incertezza sul mercato azionario.

UNH -0,09%

UnitedHealth è il più grande conglomerato USA del settore sanitario e il prezzo del suo titolo è il più alto tra le aziende Dow e S&P 500. Quasi tutti gli analisti sono rialzisti sul suo andamento futuro (22 su 25 forniscono una raccomandazione "buy").

SPX500 0,22%

BofA consiglia di vendere le azioni USA a causa del rischio di una bolla tecnologica e dell'aumento dei rendimenti. Potrebbero verificarsi ulteriori rialzi dei tassi da parte della Fed. Il punto di vendita suggerito per l'S&P 500 è 4.200, il livello attuale. L'IA è una "mini bolla" che probabilmente scoppierà se la Fed sospenderà i rialzi dei tassi.

MS -2,66%

James Gorman si dimette dalla carica di CEO di Morgan Stanley e il consiglio di amministrazione ha ristretto la ricerca del suo successore a tre candidati interni. Gorman assumerà il ruolo di presidente esecutivo “per un certo periodo” dopo le dimissioni. Ha realizzato una trasformazione efficace della banca acquisendo Smith Barney, E-Trade e Eaton Vance per la raccolta di risparmio tramite promotori finanziari.

La settimana che ci attende

Gli investitori si stanno preparando a un potenziale default USA a causa dello stallo delle trattative sul tetto del debito.

Gli analisti mettono in guardia da possibili sviluppi negativi, tra cui ritardi nei pagamenti e assegnazione di priorità al saldo del debito. UBS avverte che ci potranno essere ripercussioni non lineari e improvvise con il superamento della data X.

Gli occhi saranno puntati sulle dichiarazioni dei membri del comitato della Fed e sui verbali del FOMC. Nvidia, DICK'S Sporting Goods, Lowe's, AutoZone, Gap, Dollar Tree e ASCO pubblicheranno gli utili questa settimana.

Risultati finanziari di Zoom: che cosa aspettarsi

Malgrado l'exploit durante il Covid, il titolo Zoom è laterale da inizio anno.

Le nuove offerte, come gli Zoom Video Webinars, le Zoom Rooms e gli Zoom Phones, possono cambiare le cose e stimolarne la crescita?

Gli analisti prevedono che gli utili di Zoom per il 1o trimestre 2024 diminuiranno del 5% rispetto allo stesso trimestre dell'anno scorso, mentre le spese di gestione sono aumentate dell'8%. I colossi tecnologici Microsoft e Google potrebbero erodere la quota di mercato di Zoom con applicazioni con IA integrata per le postazioni di lavoro.

In arrivo oggi

● Alle 14:00 GMT è attesa la stima flash dell'indice di fiducia dei consumatori dell'eurozona di maggio, che è atteso in aumento a -16. Gli investitori faranno bene a tenere d'occhio i cambi con EUR in attesa di potenziali oscillazioni.

● Risultati finanziari di Zoom e Ryanair

Altre notizie

● La Cina ha avvertito gli utenti di smettere di acquistare i prodotti Micron, parlando di "gravi rischi per la sicurezza della rete" e potenziali pericoli per le infrastrutture informatiche. Non sono stati forniti dettagli.

● Disney si trova di fronte a una decisione delicata riguardo al futuro di ESPN. Deve negoziare con gli operatori e i consorzi di pay TV le condizioni sui diritti relativi a contenuti e streaming per dare forma al servizio di punta per il mondo dello streaming, il che potrebbe comportare caos nel breve termine.

● Ford condividerà con gli analisti di Wall Street i suoi programmi per raggiungere gli obiettivi, tra cui un margine EBIT dell'8% per i veicoli elettrici e una produzione di 2 milioni di pezzi entro il 2026. Gli analisti sono attualmente scettici sul raggiungimento di questi target.

● Per approfondimenti da parte del nostro Market Analyst Gabriel Debach clicca qui.

https://www.etoro.com

Come cambia la ricerca di Google con l’intelligenza artificiale

Angelo Domeneghini — Mon, 22 May 2023 08:33:00 GMT

Google ha annunciato nuove funzioni nel proprio motore di ricerca: dall’intelligenza artificiale ai risultati commerciali, ecco le novità.

Google cambia con l’intelligenza artificiale. Il motore di ricerca più usato al mondo si rinnova con numerose novità che sono state annunciate durante l’evento Google I/O 2023.

L’azienda proprietaria Alphabet afferma di voler rendere le ricerche maggiormente visive, appetibili, personali ed umane; il Ceo Sundar Pichai ha dato un primo assaggio della nuova Search Generative Experience (SGE) nella kermesse a Mountain View.

Si prevede che Google introdurrà le innovative funzioni tra qualche settimana negli Stati Uniti, ma non ci sono tempistiche per gli altri Paesi.

Google ricerca con intelligenza artificiale

La nuova esperienza di ricerca di Google farà visualizzare una risposta generata dall’intelligenza artificiale sopra i risultati in pagina. Google indicherà chiaramente la risposta come prodotta da un Ai generativa sperimentale, seguita da una risposta alla domanda dell’utente. La risposta è racchiusa in un riquadro in cui vengono citati i siti web utilizzati per generare la risposta. Questi siti possono essere cliccati per approfondire ed è successivamente possibile aggiungere un’altra domanda o fare clic sul pulsante in alto a destra per approfondire. “Vedrete un’istantanea alimentata dall’intelligenza artificiale delle informazioni chiave da considerare, con i link per approfondire”, ha spiegato Google nel proprio blog aziendale.

Google novità AI per acquisti ed e-commerce

L’aggiornamento con Ai vale anche per le esperienze di ricerca verticali, come i risultati di Google Shopping: per gli acquisti, infatti, ci saranno suggerimenti di prodotti inseriti dall’intelligenza artificiale. Quando si cerca un prodotto, si otterrà un’immagine dei fattori degni di nota da considerare e degli oggetti che li soddisfano. Inoltre, le descrizioni dei prodotti ora includono recensioni, valutazioni, prezzi e immagini pertinenti e aggiornate. Questo perché la nuova esperienza di acquisto generativa dell’intelligenza artificiale si basa sullo Shopping Graph di Google, che conta più di 35 miliardi di inserzioni di prodotti, il che lo rende il database più completo al mondo di venditori, e-commerce, recensioni e inventari in continua evoluzione. Ogni ora, infatti, più di 1,8 miliardi di inserzioni vengono aggiornate in Shopping Graph per offrire ai clienti risultati freschi e affidabili. “Crediamo che gli annunci siano un elemento fondamentale del funzionamento del web e che aiutino le persone a trovare prodotti e servizi pertinenti. In questa nuova esperienza generativa, gli annunci di ricerca continueranno ad apparire in spazi dedicati all’interno della pagina” si legge nel post di presentazione.

Un controllo costante sull’Ai

L’intelligenza artificiale generativa e i modelli di linguaggio avanzati presentano limitazioni note:

Google vuole provare a evitare errori e pregiudizi nel suo sito più conosciuto e nel nuovo programma Bard. Per questo Pichai ha precisato che Alphabet sta adottando un approccio responsabile e deliberato per introdurre nuove capacità di Ai generativa nel suo motore di ricerca.

“Abbiamo addestrato questi modelli per mantenere l’elevato livello di qualità di Search e continueremo ad apportare miglioramenti nel tempo. I modelli si basano sui nostri sistemi di riferimento, che abbiamo perfezionato per decenni, e abbiamo anche applicato ulteriori protezioni, come la limitazione dei tipi di query in cui appariranno queste funzionalità”.

L’esperimento SGE sarà disponibile su Chrome desktop e sull’app Google (Android e iOS) a breve e potrebbe cambiare i metodi di ricerca per milioni di utenti, nonché le modalità per Seo e Serp usate da chi opera nel marketing.

Con una homepage sempre più intuitiva e veloce grazie all’intelligenza artificiale, il sito maggiormente visitato al mondo è destinato ad attirare ancora più traffico online.

https://www.digitalic.it/tech-news/come-cambia-la-ricerca-di-google-con-intelligenza-artificiale

Alibaba in calo, Netflix cresce.

Angelo Domeneghini — Fri, 19 May 2023 15:30:00 GMT

La grande scommessa su OXY e le vette finanziarie del Giappone

Giornata fiacca in termini di eventi, ma è comunque opportuno tenere d'occhio la fiducia dei consumatori del Regno Unito e l'inflazione IPC di fondo del Giappone prima che prendano avvio le sessioni del G7.

Le vendite omogenee di Walmart sono cresciute più del previsto, mentre Alibaba ha registrato risultati contrastanti. Netflix ha deliziato gli investitori con 5 milioni di abbonati al nuovo piano pubblicitario e Buffett ha aumentato la sua quota in OXY... di nuovo!

SCPL

Sciplay Corp

26,35%

19,66

GRPN

Groupon Inc

22,66%

4,31

NSTG

NanoString Technologies Inc.

-29,02%

6,04

RIGL

Rigel Pharmaceuticals Inc

-28,57%

1,30

META 1,80%

Meta ha progettato chip per computer su misura per migliorare le prestazioni di IA ed elaborazione video. Un'iniziativa che rientra nell'"anno di efficienza" dell'azienda, che prevede tagli dei costi e licenziamenti. Il chip Meta Scalable Video Processor (MSVP) viene usato per elaborare e trasmettere video riducendo il fabbisogno di energia.

BABA -5,46%

Alibaba ha annunciato l'intenzione di scorporare la propria divisione cloud, che diventerà una società quotata indipendente; il fatturato del trimestre è stato peraltro inferiore alle attese. Il titolo è sceso in reazione ai risultati e al progetto di ristrutturazione.

NFLX 9,22%

Netflix ha di recente registrato 5 milioni di utenti attivi al mese a livello globale per il suo abbonamento con pubblicità "Basic with Ads", a sei mesi dal lancio dello stesso. Non sono ancora stati pubblicati i dati sui ricavi e sugli abbonati effettivi. Il dato sugli utenti attivi mensilmente (MAU) può comprendere abbonati che condividono lo stesso account.

WMT 1,30%

Walmart ha registrato ottimi risultati per il 1° trimestre battendo le aspettative, con una crescita delle vendite omogenee e un aumento dei clienti a reddito elevato. L'amministratore delegato Doug McMillon ha dichiarato che è in corso una fase ideale per il commercio e l'azienda ha innalzato le previsioni sull'EPS per l'esercizio in corso.

L'occupazione sotto la lente

La scorsa settimana le prime domande di sussidi di disoccupazione sono calate di 22.000 unità, e ad aprile le vendite di abitazioni esistenti sono scese del 3,4%. Le domande di disoccupazione sono state inferiori alle attese, mentre le vendite di abitazioni esistenti sono scese al di sotto delle previsioni degli economisti. È stato messo a segno il maggior calo settimanale dei sussidi di disoccupazione dal 2021.

Movimenti in Giappone

Le borse azionarie giapponesi hanno vissuto la migliore settimana da ottobre: il Nikkei 225 è salito dello 0,86% e il Topix dello 0,33%. L'inflazione è aumentata ad aprile del 3,4%, superando l'obiettivo della Bank of Japan. Le borse di conseguenza sono salite ai massimi dal 1990.

In arrivo oggi

• Ore 1:30: IPC giapponese (aprile) con una crescita prevista dei prezzi del 3,1% a/a. Attenzione a: cambi di JPY.

• Risultati di Deere e Foot Locker.

• Per approfondimenti da parte del nostro Market Analyst Gabriel Debach clicca qui.

Altre notizie

• Deere sta investendo in tecnologie in orbita per alimentare l'agricoltura di precisione, le apparecchiature autonome e le comunicazioni tra trattori. L'azienda presenterà oggi gli utili insieme a Foot Locker . Foot Locker è in rialzo del 10% da inizio anno, mentre Deere è in calo del 53,77%.

• Berkshire Hathaway punta alto su OXY, avendo di recente acquistato circa 200 milioni di dollari di azioni Occidental Petroleum e aumentato così la propria partecipazione a 12,7 miliardi di dollari.

https://www.etoro.com

Apple ha bloccato 1,7 milioni di app per problemi di privacy e sicurezza nel 2022

Angelo Domeneghini — Wed, 17 May 2023 13:33:00 GMT

Apple ha bloccato 1,7 milioni di app per problemi di privacy e sicurezza nel 2022

Il team dell'App Store di Apple ha impedito transazioni per oltre 2 miliardi di dollari contrassegnate come potenzialmente fraudolente e ha bloccato quasi 1,7 milioni di invii di app per violazione della privacy, della sicurezza e delle norme sui contenuti nel 2022.

Nell'ambito dei suoi continui sforzi per respingere le frodi degli account, la società ha anche chiuso 428.000 account sviluppatore per attività potenzialmente fraudolente, disattivato 282 milioni di account clienti fraudolenti e bloccato 105 milioni di creazioni di account sviluppatore per sospette attività fraudolente.

Lo scorso anno il team dell'App Store ha anche protetto gli utenti Apple da centinaia di migliaia di app non sicure, rifiutando quasi 400.000 app per violazioni della privacy come il tentativo di raccogliere i dati personali dell'utente senza il loro consenso o conoscenza.

Altre 153.000 sono state respinte per aver fuorviato gli utenti e aver copiato app già inviate, mentre a circa 29.000 è stato negato l'accesso all'App Store per l'utilizzo di funzionalità non documentate o nascoste.

"In più di un caso quest'anno, App Review ha rilevato app che utilizzavano codice dannoso con il potenziale per rubare le credenziali degli utenti da servizi di terze parti. In altri casi, il team di App Review ha identificato diverse app che si mascheravano da innocue piattaforme di gestione finanziaria ma aveva la capacità di trasformarsi in un'altra app", ha affermato Apple.

"Quasi 24.000 app sono state bloccate o rimosse dall'App Store per violazioni come queste nel 2022".

Apple ha aggiunto che il team App Store App Review esamina una media di oltre 100.000 invii di app alla settimana, di cui circa il 90% viene esaminato entro 24 ore.

Frodi nei pagamenti dell'App Store nel 2022

Con il blocco di transazioni fraudolente per un valore record di 2,09 miliardi di dollari l'anno scorso, Apple afferma anche di aver vietato a circa 714.000 account fraudolenti di effettuare nuovamente transazioni.

Ha inoltre bloccato l'utilizzo di circa 3,9 milioni di carte di credito rubate per effettuare acquisti fraudolenti sull'App Store.

"Apple prende molto sul serio le frodi con carte di credito e rimane impegnata a proteggere l'App Store e i suoi utenti da questo tipo di stress", ha affermato la società.

"Ad esempio, con Apple Pay, i numeri delle carte di credito non vengono mai condivisi con i commercianti, eliminando così un fattore di rischio nel processo delle transazioni di pagamento".

Ultimo ma non meno importante, Apple ha rimosso oltre 147 milioni di recensioni e valutazioni fraudolente dall'App Store nel 2022 dopo aver elaborato oltre 1 miliardo per rilevare quelle fraudolente.

Apple afferma che l'App Store ha oltre 650 milioni di utenti settimanali medi in tutto il mondo e offre una piattaforma globale di distribuzione di app per oltre 36 milioni di sviluppatori registrati.

https://www.bleepingcomputer.com/news/apple/apple-blocked-17-million-apps-for-privacy-security-issues-in-2022/

I nuovi domini ZIP accendono il dibattito tra gli esperti di sicurezza informatica

Angelo Domeneghini — Wed, 17 May 2023 13:23:00 GMT

I nuovi domini ZIP accendono il dibattito tra gli esperti di sicurezza informatica

I ricercatori di sicurezza informatica e gli amministratori IT hanno sollevato preoccupazioni sui nuovi domini Internet ZIP e MOV di Google, avvertendo che gli attori delle minacce potrebbero utilizzarli per attacchi di phishing e distribuzione di malware.

All'inizio di questo mese, Google ha introdotto otto nuovi domini di primo livello (TLD) che possono essere acquistati per l'hosting di siti Web o indirizzi e-mail.

I nuovi domini sono .dad, .esq, .prof, .phd, .nexus, .foo e, per l'argomento del nostro articolo, i domini di primo livello .zip e .mov.

Sebbene i TLD ZIP e MOV siano disponibili dal 2014, è stato solo questo mese che sono diventati generalmente disponibili, consentendo a chiunque di acquistare un dominio, come bleepingcomputer.zip, per un sito web.

Tuttavia, questi domini potrebbero essere percepiti come rischiosi in quanto i TLD sono anche estensioni di file comunemente condivisi in post di forum, messaggi e discussioni online, che ora verranno automaticamente convertiti in URL da alcune piattaforme o applicazioni online.

La preoccupazione

Due tipi di file comuni visti online sono archivi ZIP e video MPEG 4, i cui nomi di file terminano in .zip (archivio ZIP) o .mov (file video).

Pertanto, è molto comune che le persone pubblichino istruzioni contenenti nomi di file con estensioni .zip e .mov.

Tuttavia, ora che sono TLD, alcune piattaforme di messaggistica e siti di social media convertono automaticamente i nomi di file con estensioni .zip e .mov in URL.

Ad esempio, su Twitter, se invii a qualcuno istruzioni sull'apertura di un file zip e sull'accesso a un file MOV, i nomi di file innocui vengono convertiti in un URL,

Quando le persone vedono gli URL nelle istruzioni, di solito pensano che l'URL possa essere utilizzato per scaricare il file associato e possono fare clic sul collegamento. Ad esempio, collegare i nomi dei file ai download è il modo in cui di solito forniamo istruzioni su BleepingComputer nei nostri articoli, tutorial e forum di discussione.

Tuttavia, se un malintenzionato possedeva un dominio .zip con lo stesso nome di un nome file linkato, una persona potrebbe erroneamente visitare il sito e cadere in una truffa di phishing o scaricare malware, pensando che l'URL sia sicuro perché proviene da una fonte attendibile.

Sebbene sia molto improbabile che gli attori delle minacce registrino migliaia di domini per catturare alcune vittime, è sufficiente che un dipendente aziendale installi erroneamente malware per colpire un'intera rete.

L'abuso di questi domini non è teorico, con la società di intelligence informatica Silent Push Labs che sta già scoprendo quella che sembra essere una pagina di phishing su microsoft-office[.]zip che tenta di rubare le credenziali dell'account Microsoft.

Anche i ricercatori sulla sicurezza informatica hanno iniziato a giocare con i domini, con Bobby Rauch che pubblica una ricerca sullo sviluppo di collegamenti di phishing convincenti utilizzando i caratteri Unicode e il delimitatore userinfo (@) negli URL.

La ricerca di Rauch mostra come gli attori delle minacce possono creare URL di phishing che sembrano URL legittimi per il download di file su GitHub, ma che in realtà ti portano su un sito Web v1.27.1[.]zip quando vengono cliccati, come illustrato di seguito.

https://github.com/kubernetes/kubernetes/archive/refs/tags/@v1.27.1.zip

Opinioni contrastanti

Questi sviluppi hanno scatenato un dibattito tra sviluppatori, ricercatori di sicurezza e amministratori IT, con alcuni che ritengono che i timori non siano giustificati e altri che ritengono che i TLD ZIP e MOV aggiungano rischi inutili a un ambiente online già rischioso.

Le persone hanno iniziato a registrare domini .zip associati ad archivi ZIP comuni, come update.zip, financialstatement.zip, setup.zip, attachment.zip, officeupdate.zip e backup.zip, per visualizzare informazioni sui rischi di ZIP domini, a te RickRoll o per condividere informazioni innocue.

Lo sviluppatore open source Matt Holt ha anche richiesto che il ZIP TLD fosse rimosso dall'elenco dei suffissi pubblici di Mozilla, un elenco di tutti i domini pubblici di primo livello da incorporare nelle applicazioni e nei browser.

Tuttavia, la comunità PSL ha rapidamente spiegato che, sebbene possa esserci un leggero rischio associato a questi TLD, sono ancora validi e non dovrebbero essere rimossi dal PSL in quanto ciò influirebbe sul funzionamento di siti legittimi.

"Rimuovere i TLD esistenti dal PSL per questo motivo sarebbe semplicemente sbagliato. Questo elenco viene utilizzato per molti motivi diversi e, proprio perché queste voci sono dannose per un caso d'uso molto specifico, sono ancora necessarie per (quasi) tutti gli altri, " ha spiegato l'ingegnere del software Felix Fontein.

"Questi sono TLD legittimi nella radice ICP3. Questo non procederà", ha ulteriormente condiviso il manutentore di PSL Jothan Frakes.

"In realtà, le preoccupazioni espresse sono più che altro un lampante esempio di disconnessione tra lo sviluppatore e la comunità della sicurezza e la governance dei nomi di dominio, dove trarrebbero vantaggio da un maggiore coinvolgimento all'interno dell'ICANN".

Allo stesso tempo, altri ricercatori e sviluppatori di sicurezza hanno espresso di ritenere che i timori riguardo a questi nuovi domini siano esagerati.

Quando BleepingComputer ha contattato Google in merito a queste preoccupazioni, ha affermato che il rischio di confusione tra nomi di file e nomi di dominio non è nuovo e che sono in atto mitigazioni del browser per proteggere gli utenti dagli abusi.

"Il rischio di confusione tra nomi di dominio e nomi di file non è nuovo. Ad esempio, i prodotti Command di 3M utilizzano il nome di dominio command.com, che è anche un programma importante su MS DOS e le prime versioni di Windows. Le applicazioni hanno mitigazioni per this (come Google Safe Browsing) e queste mitigazioni saranno valide per TLD come .zip.

Allo stesso tempo, i nuovi spazi dei nomi offrono maggiori opportunità per la denominazione come community.zip e url.zip. Google prende sul serio il phishing e il malware e Google Registry dispone di meccanismi esistenti per sospendere o rimuovere i domini dannosi in tutti i nostri TLD, incluso .zip. Continueremo a monitorare l'utilizzo di .zip e altri TLD e, se emergeranno nuove minacce, adotteremo le misure appropriate per proteggere gli utenti." - Google.

Cosa dovresti fare?

La realtà è che non è necessario fare nulla in più rispetto a quanto si sta già facendo per proteggersi dai siti di phishing.

Come tutti dovrebbero già sapere, non è mai sicuro fare clic su collegamenti di persone o scaricare file da siti di cui non ti fidi.

Come qualsiasi link, se vedi un link .zip o .mov in un messaggio, cercalo prima di cliccarci sopra. Se non sei ancora sicuro che il collegamento sia sicuro, non fare clic su di esso.

Seguendo questi semplici passaggi, l'impatto dei nuovi TLD sarà minimo e non aumenterà significativamente il rischio.

Tuttavia, l'esposizione a questi collegamenti probabilmente aumenterà man mano che più applicazioni trasformeranno automaticamente i nomi di file ZIP e MOV in collegamenti, offrendoti un'altra cosa a cui prestare attenzione quando sei online.

https://www.bleepingcomputer.com/news/security/new-zip-domains-spark-debate-among-cybersecurity-experts/

Toyota: esposti i dati sulla posizione delle auto di 2 milioni di clienti

Angelo Domeneghini — Wed, 17 May 2023 13:14:00 GMT

Toyota: esposti i dati sulla posizione delle auto di 2 milioni di clienti

Toyota vittima di un problema diffuso della cloud security: un database non protetto ha esposto i dati di milioni di veicoli.

La sicurezza in ambito automotive è tornata alla ribalta a seguito dell’esposizione dei dati sulla posizione delle auto Toyota che si è protratta tra il 6 novembre 2013 e il 17 aprile 2023. L’importanza del brand, il fatto che i clienti coinvolti siano oltre due milioni e che l’esposizione dei dati si sia protratta per anni è valso alla notizial’onore delle cronache. Il punto è che non si tratta di un problema di security circoscritto all’ambito automotive. È una questione ben nota, che riguarda qualsiasi settore: l’adeguata protezione dei dati archiviati in cloud.

Toyota Motor Corporation ha infatti ammesso che la violazione dei dati è il risultato di un'errata configurazione cloud che ha permesso a chiunque di accedere ai contenuti senza password. Nell’alert pubblicato dalla casa automobilistica si notifica infatti che “alcuni dei dati che Toyota Motor Corporation affida in gestione a Toyota Connected Corporation (TC) sono stati resi pubblici a causa di una configurazione errata dell'ambiente cloud”.

Non ci sono prove che i dati siano stati utilizzati in modo improprio, ma resta il fatto – gravissimo – che persone non autorizzate avrebbero potuto accedere ai dati storici e verosimilmente alla posizione in tempo reale di 2,15 milioni di veicoli Toyota che si servivano dei servizi T-Connect G-Link, G-Link Lite o G-BOOK.

L'accesso pubblico ai bucket di archiviazione è proprio uno degli errori di configurazione cloud più diffusi, come evidenzia al maggior parte delle aziende di cybersecurity, fra cui per esempio Zscaler. Anche in ambito automotive ci sono dei precedenti simili, per esempio l’esposizione dei dati personali di oltre 3,3 milioni di clienti Volkswagen. La stessa Toyota a ottobre 2022 dovette ammettere l'esposizione di una chiave di accesso al database dei clienti T-Connect su un repository GitHub pubblico.

Ma i casi celebri sono innumerevoli, tanto che oltre all’impostazione di password troppo banali e allo sfruttamento di credenziali compromesse, la mancata protezione dei database online è proprio fra le più comuni cause di esposizione di dati online. Basti pensare che nel 2021 Group-IB aveva identificato 308.000 database pubblicamente accessibili.

Quanto al tempo di esposizione, sempre Group-IB faceva notate che nel primo trimestre del 2022 il proprietario di un database esposto impiegava in media 170 giorni per risolvere il problema. Significa che c’è ancora molto lavoro da fare sulla conformità alle normative, sugli strumenti e le procedure necessari per la gestione dei dati e soprattutto sulla progettazione degli ambienti cloud.

https://www.securityopenlab.it/news/2673/toyota-esposti-i-dati-sulla-posizione-delle-auto-di-2-milioni-di-clienti.html

Android: WhatsApp arriva sugli orologi connessi sotto Wear OS

Angelo Domeneghini — Mon, 15 May 2023 14:58:00 GMT

Android: WhatsApp arriva sugli orologi connessi sotto Wear OS

Google e il servizio di messaggistica Meta hanno annunciato il lancio di una prima applicazione sugli smartwatch che gira sotto il sistema del colosso del web.

Google

All'evento annuale Google I/O a Mountain View, in California, Sameer Samat, vicepresidente della gestione dei prodotti di Google, ha annunciato mercoledì l'arrivo della prima app WhatsApp per il sistema Wear OS.

Sarà lanciato ufficialmente questa estate. I possessori di un Google Pixel Watch, di un Samsung Galaxy Watch 5 o di un altro smartwatch compatibile potranno presto iniziare una nuova conversazione su WhatsApp inviando sms o messaggi vocali, rispondendo a un messaggio o chiamando direttamente dal proprio polso, senza bisogno di disegnare il proprio smartphone .

L'app è infatti già disponibile in versione beta per gli iscritti al programma di test del celebre servizio di messaggistica istantanea del gruppo californiano guidato da Mark Zuckerberg.

Quest'ultimo ha condiviso l'annuncio sul suo account Facebook senza specificare una data di lancio.

https://www.20min.ch/fr/story/whatsapp-arrive-sur-les-montres-connectees-sous-wear-os-733968838809

Oggi in primo piano la bomba a orologeria del debito USA e OpenAI

Angelo Domeneghini — Mon, 15 May 2023 14:47:00 GMT

Oggi in primo piano la bomba a orologeria del debito USA e OpenAI

Settimana relativamente tranquilla in termini di utili e dati.

Tuttavia, meglio tenere d'occhio i risultati di Home Depot e Walmart. Il tetto del debito USA sarà un importante fattore di condizionamento dei mercati nelle prossime settimane. In più, oggi è il termine ultimo per i fondi speculativi per adempiere ai propri obblighi informativi 13F, che faranno conoscere agli investitori le grandi scommesse. Il CEO di OpenAI Sam Altman andrà a Washington.

Le elezioni turche fanno crollare il valore di TRY in prossimità dei minimi a 2 mesi e Newmont acquisisce Newcrest, creando così la più grande compagnia estrattiva aurea del mondo.

USDTRY 0,71%

Mentre i primi conteggi mostrano che Erdogan ha ricevuto meno del 50% dei voti, TRY è sceso toccando quasi il minimo a due mesi. Se nessuno si aggiudica il 50%, tra due settimane si terrà un ballottaggio tra Erdogan e Kilicdaroglu. È possibile che l'attuale fase volatile prosegua.

XLF -0,41%

Nell'arco di due sole settimane questo ETF, che ha un valore complessivo di 29 miliardi di dollari, ha subito prelievi per oltre 2 miliardi di dollari. Il collasso delle azioni è finito o continuerà? Meglio tenere d'occhio questo ETF.

FSLR 26,48%

Il produttore di pannelli solari First Solar ha visto le proprie quotazioni salire alle stelle dopo aver annunciato l'acquisizione del fabbricante europeo di film sottili Evolar. Il titolo ha chiuso venerdì mettendo a segno la miglior performance percentuale dell'indice S&P 500.

NEM 0,13%

Newmont acquisisce Newcrest con un accordo da 19,2 miliardi di dollari, creando così la più grande compagnia estrattiva aurea del mondo. Il nuovo soggetto possiede miniere in America (del Nord e del Sud), Africa, Australia e Papua Nuova Guinea. Si tratta del più grande accordo del settore minerario aureo della storia. Aumenta l'esposizione all'oro e al rame e si prevede che la domanda di rame supererà l'offerta.

I migliori

OUST

4,94

28,65%

FSLR

231,69

26,48%

ARRY

21,97

16,00%

I peggiori

TOP.US

6,42

-29,68%

XELA

5,00

-18,30%

IBRX

2,28

-18,26%

La settimana scorsa:

Venerdì le borse azionarie sono scese con la diffusione dei dati sul calo del sentiment dei consumatori e sull'aumento delle previsioni inflattive. L'indice della fiducia dei consumatori della University of Michigan ha toccato a maggio il minimo storico degli ultimi sei mesi, mentre le aspettative sull'inflazione a cinque anni sono state le più alte da oltre un decennio.

Criptovalute in primo piano

La scorsa settimana BTC ed ETH sono andati incontro a una maggiore volatilità di mercato a causa della mancanza di liquidità derivante da una minore partecipazione dei market maker istituzionali, oltre che della continua vigilanza normativa. La regina delle criptovalute si era inizialmente impennata dopo il rilascio degli ultimi dati IPC, salvo poi cedere i guadagni post-IPC quando i market maker istituzionali hanno ridotto la loro attività per via dell'aumento della vigilanza normativa.

In arrivo oggi:

● Alle 12:30 GMT si prevede un aumento a 11 dello US Empire State Manufacturing Index per il mese di maggio. Attenzione ai cambi USD.

● Utili pubblicati durante la sessione: Danaos Corporation (DAC), Canoo (GOEV), Arrival (ARVL), Cara Therapeutics (CARA), Fortuna Silver Mines (FSM)

Altre notizie:

● Il titolo News Corp è salito dopo che l'azienda ha pubblicato risultati superiori alle aspettative di Wall Street.

● La BCE prevede di mantenere i tassi d'interesse ai massimi per un periodo più lungo; il primo taglio sarebbe previsto per il secondo trimestre 2024. De Guindos ha dichiarato che la BCE si sta avvicinando alla fine del presente ciclo di rialzo dei tassi.

● Per approfondimenti da parte del nostro Market Analyst Gabriel Debach clicca qui.

15/05/2023 Dopo la chiusura del mercato

MUFG

Mitsubishi UFJ Financial Group Inc-ADR

6,41

(-0,31%)

16/05/2023 Prima dell'apertura del mercato

Home Depot Inc

290,47

(0,97%)

https://www.etoro.com

Google inserisce l’intelligenza artificiale in 25 prodotti dalla ricerca alle immagini, inizia la rincorsa a ChatGPT

Angelo Domeneghini — Mon, 15 May 2023 14:36:00 GMT

Google inserisce l’intelligenza artificiale in 25 prodotti dalla ricerca alle immagini, inizia la rincorsa a ChatGPT

Google ha annunciato ben 25 nuovi prodotti basati sull’intelligenza artificiale durante la conferenza annuale degli sviluppatori Google I/O, e cambia anche il suo prodotto principale,

ovvero la ricerca web, che si baserà sull’intelligenza artificiale generativa.

Google annuncia l’intelligenza artificiale

I nuovi strumenti di intelligenza artificiale annunciati da Google

• “Search Generative Experience“, che sposa la ricerca tradizionale con un’esperienza simile a una chat AI (simile a ChatGPT per intenderci), sarà presto disponibile come all’interno di “Search Labs“, quell’area di Google nata per consentire ai clienti di provare prodotti “sperimentali”.

• Google ha presentato il suo modello linguistico di intelligenza artificiale, PaLM 2, che è stato addestrato su documenti di ricerca accademici, testi medici e oltre 100 lingue, e sarà proprio questo modello ad alimentare i tutti i nuovi prodotti ad intelligenza artificiale di Google.

• Il concorrente diretto ChatGPT ovvero Bard sarà disponibile per tutti, e funzionerà su Gemini, un nuovo modello di linguaggio di grandi dimensioni sviluppato da Google DeepMind. Bard.

• Google ha inserito i suoi strumenti di intelligenza artificiale nei prodotti Google Workspace. Ad esempio, i clienti potranno creare immagini dal testo all’interno delle Presentazioni Google e creare fogli di calcolo descrivendo un’attività, come la pianificazione di una vacanza. In un documento Google si potrà scrivere una breve descrizione di ciò che si vuole creare. PaLM 2 scriverà il resto del testo.

• In tutte le sue linee di prodotti, Google ha annunciato nuovi modi per consentire ai programmatori di lavorare con l’intelligenza artificiale per scrivere più rapidamente software e quindi esportarlo in altri strumenti di sviluppo software.

“Con un approccio audace e responsabile, stiamo reinventando tutti i nostri prodotti principali, inclusa la ricerca”, ha affermato il CEO di Google Sundar Pichai sul palco dello Shoreline Amphitheatre dell’azienda.

Google avrebbe potuto, in effetti, rilasciare alcuni di questi prodotti anni fa. L’azienda può contare sui migliori talenti nella programmazione e per l’intelligenza artificiale del settore e può vantare scoperte fondamentali nel campo dell’AI, ma Google aveva deciso di lasciare l’intelligenza artificiale sullo sfondo dei suoi prodotti: in fondo non c’era alcun motivo di accelerare i tempi, la ricerca e tutti i prodotti funzionavano bene, ma poi è arrivata ChatGPT e la voglia di Microsoft di tornare a guidare l’innovazione nel settore della tecnologia e allora Google si è adeguata, rilasciando ciò che in realtà aveva in serbo da molto tempo.

L’intelligenza artificiale di Google

Le persone si sono innamorate di ChatGPT, dell’idea di poter parlare con il software in un linguaggio naturale e ottenere delle risposte chiare. Capire le parole chiave da usare per effettuare una buona ricerca è diventato istantaneamente antiquato. Google quindi aveva solo due scelte: fornire quella la stessa esperienza o rischiare che le persone cercassero altrove.

Esperienza generativa di ricerca

Sebbene sia ancora in fase sperimentale, è chiaro che l'”esperienza generativa di ricerca” annunciata da Google è la direzione in cui si sta dirigendo il core business dell’azienda, ovvero Google Search.

Ma le questioni in gioco sono molte, e riguarda innanzitutto il fatturato. Il nuovo modello di ricerca basato sull’AI si adatterà al modello di business più redditizio di Google? Ovvero gli annunci sponsorizzati a fronte di una ricerca?

“Penso che fintanto che gli utenti vorranno prendere decisioni di acquisto e fintanto che gli utenti vorranno conoscere più opzioni mentre prendono tali decisioni di acquisto, ci sarà sempre un ruolo per gli annunci lì”, ha affermato Cathy Edwards, vicepresidente di Google Search, in un’intervista.

Lo stesso sistema di annunci ora funziona perché Google si sta trattenendo. I suoi modelli di intelligenza artificiale limitano le risposte a un formato molto strutturato che prevede lo spazio per gli annunci da inserire nei risultati.

Google Search e Chat AI separate

Al momento la scelta di Google sull’intelligenza artificiale sembra conservativa, in senso stretto, ovvero mirata a conservare la ricerca così come la conosciamo, mentre Bard sarà un prodotto aggiuntivo, separato

Quando gli utenti desiderano l’esperienza di chat, Google si aspetta che passino a Bard, il suo concorrente ChatGPT, per quell’esperienza di conversazione in piena regola, allucinazioni e tutto il resto.

“In questo momento vediamo che la ricerca e Bard sono due prodotti complementari che fanno cose diverse”, ha detto Edwards. “

https://www.digitalic.it/tech-news/google-annuncia-l-intelligenza

https://youtu.be/nP-nMZpLM1A

Cactus e Akira: ransomware emergenti da tenere d’occhio

Angelo Domeneghini — Fri, 12 May 2023 16:37:00 GMT

Cactus e Akira: ransomware emergenti da tenere d’occhio

Due ransomware esordienti presentano peculiarità uniche.

Le novità non sono da sottovalutare, anzi, è meglio monitorarle con grande attenzione.

Business Vulnerabilità

Un ransomware che si auto crittografa per bypassare gli antivirus e un altro ispirato agli anime anni ’80 sono i nuovi protagonisti degli attacchi con richiesta di (doppio) riscatto. Come sottolineato più volte, il cybercrime evolve continuamente tattiche, tecniche e procedure di attacco per evadere le difese informatiche. Inoltre i gruppi ransomware si espandono, si sciolgono e costituiscono nuove operazioni di continuo, per motivi economici, politici o semplicemente per sfuggire alle forze dell’ordine.

Questi due fattori insieme impongono ai difensori di tenere sempre alta la guardia contro le minacce nuove e sconosciute che nel giro di pochissimo tempo possono diventare predominanti. Proprio fra le new entry rientrano le nuove operazioni ransomware Cactus e Akira.

Akira

Akira è un nome evocativo che molti assoceranno a un gruppo ransomware di vecchia data, con cui il nuovo gruppo non risulta avere nulla in comune. Gli esperti di cybersecurity fanno risalire i primi attacchi ad aprile 2023. Il collettivo si sta facendo riconoscere per le richieste di riscatto milionarie. Il gruppo rivendica attacchi contro 16 vittime di vari settori, tra cui istruzione, finanza, immobiliare, manifacturing e consulenza.

Il modus operandi è molto simile a quello di altri gruppi ransomware in circolazione: una volta violata una rete aziendale sfrutta movimenti laterali per diffondersi ad altri dispositivi, e gli attaccanti cercano di attuare una escalation dei privilegi per ottenere le credenziali di amministratore di dominio e distribuire il ransomware in tutta la rete.

Prima di crittografare i file gli attaccanti procedono all’esfiltrazione di dati aziendali da usare come secondo termine di estorsione. Akira inoltre elimina le copie shadow e si serve delle API Windows Restart Manager per chiudere i processi o arrestare i servizi di Windows che mantengono aperti i file impedendo l’avvio della crittografia.

L’importo delle richieste di riscatto è doppio: 200.000 dollari per le vittime che vogliono “solo” evitare la diffusione dei dati rubati, milioni di dollari per quelle che necessitano anche del decryptor. Da ricordare che il pagamento del riscatto non garantisce né la riservatezza dei dati né la consegna delle chiavi di decodifica.

Una nota sul nome Akira: il sito di rivendicazione rimarca con dovizia di particolari le console degli anni ’80 e gli esperti di Sophos ritengono che il nome sia un omaggio all’omonimo anime del 1988.

Cactus

Cactus è attivo almeno da marzo 2023 e la sua tipica catena di attacco parte dallo sfruttamento delle vulnerabilità nelle appliance VPN per l'accesso iniziale alle reti di "grandi entità commerciali".

Una peculiarità Cactus è l'uso della crittografia per proteggere il codice del ransomware. Gli attaccanti sfruttano uno script batch e un archivio Z-Zip che viene rimosso dopo avere installato il ransomware. I ricercatori di Kroll che hanno analizzato questa procedura l’hanno definita insolita ma efficace al fine di eludere gli strumenti antivirus e di monitoraggio della rete.

Una volta in rete, gli attaccanti sfruttano un'attività pianificata per ottenere l'accesso persistente mediante una backdoor SSH che comunica con il server di comando e controllo. Gli affiliati sfruttano diversi strumenti per operare: SoftPerfect Network Scanner serve per cercare obiettivi interessanti sulla rete, i comandi di PowerShell permettono di enumerare gli endpoint, identificare gli account utente ed eseguire il ping degli host remoti.

I cyber criminali fanno inoltre ampio uso di strumenti legittimi: una variante modificata dello strumento open source PSnmap, Splashtop, AnyDesk, SuperOps RMM, Cobalt Strike e altro. Alcune procedure sono ben rodate e viste in molte altre operazioni ransomware, come l’esecuzione di uno script batch che disinstalla i prodotti antivirus e il furto dei dati. Per quest’ultimo scopo Cactus sfrutta lo strumento Rclone, che trasferisce i file direttamente nel cloud storage.

Il deployment del processo di crittografia avviene mediante uno script PowerShell chiamato TotalExec, che viene usato anche negli attacchi ransomware BlackBasta, tuttavia gli esperti reputano che la routine di crittografia negli attacchi ransomware di Cactus sia unica.

https://www.securityopenlab.it/news/2669/cactus-e-akira-ransomware-emergenti-da-tenere-docchio.html

Google e Meta mettono in campo l'IA

Angelo Domeneghini — Fri, 12 May 2023 16:29:00 GMT

Oggi in arrivo i dati su PIL britannico e sentiment dei consumatori

Musk ha designato un nuovo CEO di Twitter che lo sostituisca.

Secondo il Wall Street Journal si tratta della responsabile della pubblicità di NBCUniversal Linda Yaccarino.

Gli azionisti di Tesla acclamano le dimissioni di Musk e il titolo sale.

Oggi riflettori puntati sull'Europa con il dato tedesco sull'inflazione dei prezzi all'ingrosso e quello francese sull'inflazione IPC definitiva, a seguire il sentiment dei consumatori della University of Michigan e il PIL del Regno Unito. Ecco che cosa muove i mercati.

GOOG 4,11%

Gli annunci sull'intelligenza artificiale fatti da Google in occasione del convegno I/O hanno portato il titolo Alphabet al suo livello massimo da agosto. Gli analisti guardano con favore al potenziale di Google di rimanere leader nel comparto IA e ai possibili ritorni in termini di rendimenti per l'azienda.

META 1,16%

Meta ha presentato AI Sandbox, un ambiente di testing per inserzionisti che consente di sperimentare strumenti pubblicitari generati dall'IA, oltre a potenziamenti della sua suite Meta Advantage dotata di motore IA.

PTON -8,90%

Peloton sta richiamando 2 milioni di cyclette a causa di rotture e conseguenti lesioni. L'azienda offre gratuitamente reggisella rinforzati ai clienti interessati. Le quotazioni del titolo sono scese di conseguenza.

BYND -18,27%

Beyond Meat venderà fino a 200 milioni di dollari delle proprie azioni ordinarie e utilizzerà i proventi per scopi aziendali e legati al capitale circolante. I dati degli utili per azione del 1° trimestre sono stati migliori del previsto, ma il titolo è nondimeno crollato.

I migliori

PRCH

1,17

28,06%

MGNI

11,88

26,11%

APP

22,00

23,53%

I peggiori

TSP

0,80

-29,20%

SONO

16,14

-23,69%

PACW

4,70

-22,70%

La BoE aumenta i tassi e non prevede più una recessione

Il Monetary Policy Committee ha votato 7-2 per aumentare il principale tasso di sconto dal 4,25% al 4,5%.

La banca centrale ha ribadito il proprio impegno a contenere l'inflazione e ha aggiornato le previsioni di crescita contenute nella relazione di politica monetaria che accompagna la decisione.

I nuovi dati sull'inflazione ne confermano il rallentamento

Le borse azionarie dell'area Asia-Pacifico hanno avuto un andamento contrastante in seguito alla pubblicazione di nuovi dati USA che mostrano un'inflazione in via di attenuazione.

L'indice dei prezzi alla produzione per il mese di aprile è aumentato dello 0,2% rispetto all'anno precedente, come da stime del Dow Jones. Il dato è inferiore al calo dello 0,4% registrato a marzo. Anche l'indice dei prezzi alla produzione core, che esclude alimentari ed energia, è aumentato dello 0,2%.

In arrivo oggi:

● PIL britannico del 1° trimestre previsto in crescita dello 0,1% su base trimestrale e del -0,5% su base annua. Sentiment dei consumatori USA atteso in calo a 63. GBP e USD i cambi da monitorare.

● Per approfondimenti da parte del nostro Market Analyst Gabriel Debach clicca qui.

12/05/2023 Dopo la chiusura del mercato

ALV.DE

Allianz SE

211,38

(-0,38%)

15/05/2023 Prima dell'apertura del mercato

MNDY

Monday.com

133,01

(1,33%)

https://www.etoro.com

USB-C: l'UE vieta ad Apple di eludere la legge sui caricabatterie

Angelo Domeneghini — Tue, 09 May 2023 13:41:00 GMT

USB-C: l'UE vieta ad Apple di eludere la legge sui caricabatterie universali

L'Unione Europea ha lanciato un avviso ad Apple,

di fronte alle voci sullo sviluppo da parte dell'azienda di una porta USB-C limitata per accessori non certificati Apple.

Le vendite del prodotto di punta di Apple, l'iPhone, sono leggermente aumentate di anno in anno a 51,33 miliardi di dollari.

L'Unione Europea ha messo i puntini sulle i.

Alla fine della scorsa settimana, il commissario europeo per il mercato interno e il digitale, Thierry Breton, ha inviato un avvertimento ad Apple in merito al caricabatterie universale.

Come promemoria, l'UE ha recentemente adottato una nuova legislazione che impone ai produttori di dispositivi elettronici con una potenza pari o inferiore a 100 W, come gli smartphone, di integrare una porta USB-C a partire da dicembre 2024. Apple, che ha appena presentato ricavi superiori aspettative, ha più volte espresso la sua insoddisfazione e secondo indiscrezioni dovrebbe abbandonare il suo connettore Lightning in favore del nuovo standard sul suo prossimo iPhone 15 previsto a settembre.

Ma intende limitare la velocità di ricarica o trasferimento se i cavi o le spine utilizzati non sono modelli originali prodotti da Apple o certificati "Made for iPhone".

"I dispositivi che non soddisfano i requisiti del caricatore singolo non saranno ammessi sul mercato Ue", ha affermato la Commissione europea in una lettera al colosso tecnologico di Cupertino, opponendosi a qualsiasi tentativo di aggirare la direttiva, riporta il quotidiano tedesco "Die Zeit".

Questo monito contro i cavi USB-C proprietari sarebbe già stato richiamato a metà marzo, durante un incontro.

https://www.20min.ch/fr/story/lue-interdit-a-apple-de-contourner-la-loi-sur-le-chargeur-universel-671762276259

Allegati HTML sempre più pericolosi

Angelo Domeneghini — Tue, 09 May 2023 13:29:00 GMT

Allegati HTML sempre più pericolosi

Nell’evoluzione delle tecniche di phishing l’uso di allegati HTML è sempre più diffuso.

Gli allegati HTML continuano ad essere fra gli strumenti di attacco iniziale più sfruttati dai criminali informatici.

L’allarme è lanciato da Barracuda Networks, che ha svolto una ricerca approfondita passando al setaccio milioni di messaggi e file mediante le proprie soluzioni di sicurezza.

Quello che ne è risultato è che nel solo mese di marzo 2023 il 45,7% di tutti gli allegati HTML era malevola.

Il dato è preoccupante perché a maggio 2022 una indagine analoga aveva quantificato una percentuale dimezzata.

Barracuda ricorda che il linguaggio HTML viene comunemente usato per creare e strutturare i contenuti visualizzati online. È la base di molte comunicazioni via email, come per esempio le newsletter o i report di marketing. Il guaio è che i criminali informatici sfruttano lo stesso codice per gli attacchi di phishing mirati al furto di credenziali o alla diffusione di malware.

L’unica difesa possibile è una soluzione di ultima generazione per la protezione delle email basata su AI, che non si limiti alla scansione degli allegati (inutile in questo caso) ma che svolga come prima attività la contestualizzazione del contenuto.

*Occorre inoltre l’adozione su ampia scala della MFA*

Riflettori puntati su tetto del debito USA e Airbnb

Angelo Domeneghini — Tue, 09 May 2023 13:23:00 GMT

Riflettori puntati su tetto del debito USA e Airbnb

Il governo USA potrebbe rimanere senza liquidità entro il 1° giugno:

per scongiurare l'eventualità, l'amministrazione Biden intende discutere il tetto del debito con i vertici del Congresso.

Gli investitori guarderanno agli utili di Airbnb e di altre società di alto profilo come Rivian Automotive, Twilio e Upstart Holdings. Palantir vola, mentre Paypal e Lucid vedono un crollo dopo i dati sugli utili.

Ecco cosa sta muovendo i mercati.

USDTRY 0,62%

I trader aumentano le protezioni in vista delle elezioni turche. La volatilità implicita della lira rispetto al dollaro è salita al 74%, il valore più alto tra le valute mondiali. Persistono le preoccupazioni sulla capacità del governo di mantenere il controllo sulla valuta; gli operatori prevedono di conseguenza un calo della lira del 25-26% entro la fine del terzo trimestre.

SAOC 0%

Aramco ha registrato un calo del 19% dell'utile netto del primo trimestre, che si attesta a 31,9 miliardi di dollari superando le attese degli analisti ferme a 30,5 miliardi di dollari. La società ha realizzato un utile netto record di 161,1 miliardi di dollari nel 2022, mettendo a segno un aumento del 46,5%. Gli utili hanno risentito delle pressioni sulla domanda a livello globale e dei timori di una recessione.

PLTR 4,45%

Il titolo Palantir è cresciuto del 22% quando la software house ha battuto le stime degli analisti sui risultati economici del primo trimestre. Palantir ha registrato un EPS rettificato di 5 centesimi e un fatturato di 525 milioni di dollari, laddove gli analisti avevano previsto un EPS di 4 centesimi e un fatturato di 506 milioni di dollari.

PYPL 0,73%

Il titolo PayPal è sceso di circa il 5,5% dopo la pubblicazione dei risultati finanziari della società per il primo trimestre, oltre che delle stime deludenti per l'EPS del trimestre in corso. Ciononostante, il fornitore di pagamenti digitali ha innalzato le stime per la totalità dell'esercizio finanziario per questa metrica e ha superato le attese in materia sia di fatturato che di utile netto.

I migliori

ARVL

2,44

27,75%

QRTEA

1,12

27,27%

FUBO

1,86

26,53%

I peggiori

TUP

0,79

-27,52%

CTLT

35,46

-25,74%

TSN

50,73

-16,41%

Utili di Airbnb: cosa tenere d'occhio

I risultati del primo trimestre di Airbnb saranno seguiti con interesse dopo che la società ha chiuso il 2022 sui massimi mettendo a segno il primo esercizio finanziario positivo. Con l'aumento degli spostamenti internazionali nel quarto trimestre, i viaggi transfrontalieri sono lievitati del 49% e anche le prospettive per i primi mesi del 2023 sono promettenti. I dati del quarto trimestre di Airbnb mostrano una domanda sempre importante all'inizio del 2023 e il fatturato del primo trimestre dovrebbe attestarsi tra 1,75 e 1,82 miliardi di dollari, leggermente in calo rispetto agli 1,9 miliardi del quarto trimestre ma in aumento del 20% rispetto agli 1,5 miliardi del primo trimestre 2022, a sua volta in aumento del 70 % su base annua.

Le conseguenze di un default USA

Il Congresso USA deve alzare in fretta il tetto del debito o ritrovarsi nel caos economico. Oggi il presidente Biden ospiterà i vertici del Congresso per discutere la questione. I repubblicani, tuttavia, vogliono subordinare l'aumento a una serie di tagli alla spesa pubblica, mentre l'amministrazione afferma che le due questioni sono separate. Se il tetto del debito non viene innalzato, gli USA diventeranno insolventi per la prima volta nella storia, dando luogo a perdite di posti di lavoro, tassi di interesse alle stelle e un periodo di recessione. I mercati finanziari hanno subito effetti negativi in passato in relazione con i dibattiti sul tetto del debito, da cui l'importanza di questo incontro.

In arrivo oggi:

● Dati sugli utili di Airbnb (ABNB), Rivian Automotive (RIVN), Twilio (TWLO), Upstart Holdings (UPST)

Altre notizie

● Lucid Group, produttore di veicoli elettrici di lusso, ha annunciato lunedì una perdita più corposa per il primo trimestre, facendo scendere il titolo dell'8% nelle negoziazioni after-hours. Nonostante ciò, la società ha dichiarato di disporre di liquidità sufficiente per sostenere l'attività operativa per almeno parte del 2024.

● Tyson Foods ha subito nel trimestre scorso una perdita a sorpresa che ha comportato un calo del 15% del titolo e una revisione al ribasso delle prospettive annuali sul fatturato. La società prevede ricavi tra 53 e 54 miliardi di dollari per l'esercizio finanziario.

● Zscaler, società di cybersecurity, ha visto il suo titolo salire alle stelle sulla scia di dati preliminari sugli utili e prospettive per l'anno strabilianti.

● Per approfondimenti da parte del nostro Market Analyst Gabriel Debach clicca qui.

Dopo la chiusura del mercato

ABNB

Airbnb Inc

125,65

(4,80%)

Prima dell'apertura del mercato

Toyota Motor Corporation-ADR

137,81

(0,20%)

Aggiungi alla watchlist

https://www.etoro.com

Porte necessariamente da aprire sul router-adsl e firewall per vari tipi di VPN

Angelo Domeneghini — Fri, 05 May 2023 12:36:00 GMT

Porte necessariamente da aprire sul router-adsl e firewall per vari tipi di VPN

per permettere un tunnel di connessione tramite VPN è necessario

abilitare la raggiungibilità delle seguenti porte:

Porte necessarie per PPTP VPN

- TCP Port 1723

- UDP Port 500 (?)

- permettere IP Type 47 Generic Routing Encapsulation (GRE)

- To allow PPTP tunneled data to pass through router, open Protocol ID 47.

Porte necessarie per L2TP VPN

- TCP Port 1701

- UDP Port 500 (?)

- To allow IPSec Network Address Translation (NAT-T) open UDP 5500.

Porte necessarie per IPSec/ESP

- UDP Port 500 (?)

- Pass IP protocol 50 and 51

Vulnerabilità nell'esecuzione di comandi remoti degli adattatori telefonici Cisco SPA 112 a 2 porte

Angelo Domeneghini — Fri, 05 May 2023 12:25:00 GMT

Vulnerabilità nell'esecuzione di comandi remoti degli adattatori telefonici Cisco SPA 112 a 2 porte

Una vulnerabilità nell'interfaccia di gestione basata sul Web degli adattatori telefonici a 2 porte Cisco SPA 112 potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire codice arbitrario su un dispositivo interessato.

Questa vulnerabilità è dovuta a un processo di autenticazione mancante all'interno della funzione di aggiornamento del firmware. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità aggiornando un dispositivo interessato a una versione del firmware predisposta. Un exploit riuscito potrebbe consentire all'attaccante di eseguire codice arbitrario sul dispositivo interessato con privilegi completi.

Cisco non ha rilasciato aggiornamenti del firmware per risolvere questa vulnerabilità. Non sono disponibili soluzioni alternative per risolvere questa vulnerabilità.

Tale avviso è disponibile al seguente link:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-unauth-upgrade-UqhyTWW

Prodotti vulnerabili

Questa vulnerabilità interessa tutte le versioni del firmware per gli adattatori telefonici a 2 porte Cisco SPA112.

Prodotti confermati non vulnerabili

Soluzioni alternative

Non sono disponibili soluzioni alternative per risolvere questa vulnerabilità.

Cisco non ha rilasciato e non rilascerà aggiornamenti del firmware per risolvere la vulnerabilità descritta in questo advisory. Gli adattatori telefonici a 2 porte Cisco SPA 112 sono entrati nel processo di fine vita.

Si consiglia ai clienti di fare riferimento all'avviso di fine vita del prodotto:

Annuncio di fine vendita e di fine vita per l'adattatore telefonico a 2 porte Cisco SPA112 e SPA122 ATA con router

I clienti sono incoraggiati a migrare a un adattatore telefonico analogico Cisco ATA serie 190.

Quando si considera la migrazione di un dispositivo, si consiglia ai clienti di consultare regolarmente gli avvisi per i prodotti Cisco, disponibili nella pagina degli avvisi di sicurezza Cisco, per determinare l'esposizione e una soluzione di aggiornamento completa.

In tutti i casi, i clienti devono assicurarsi che il nuovo dispositivo sia sufficiente per le proprie esigenze di rete e che le attuali configurazioni hardware e software continuino a essere adeguatamente supportate dal nuovo prodotto. Se le informazioni non sono chiare, si consiglia ai clienti di contattare il Centro di assistenza tecnica Cisco (TAC) oi fornitori di servizi di manutenzione convenzionati.

Fonte

Cisco desidera ringraziare CataLpa di Dbappsecurity Co., Ltd. Hatlab, per aver segnalato questa vulnerabilità.

URL

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-unauth-upgrade-UqhyTWW

Cronologia delle revisioni

Versione Descrizione Sezione Stato Data

1.0 Rilascio pubblico iniziale. - Finale 2023-MAGGIO-03

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-unauth-upgrade-UqhyTWW

Avviso di sicurezza Zyxel per la vulnerabilità dell'iniezione di comandi post-autenticazione nel router domestico NBG6604

Angelo Domeneghini — Fri, 05 May 2023 11:13:00 GMT

Avviso di sicurezza Zyxel per la vulnerabilità dell'iniezione di comandi post-autenticazione nel router domestico NBG6604

Zyxel ha rilasciato una patch che risolve una vulnerabilità di iniezione di comandi post-autenticazione nel router domestico NBG6604.

Si consiglia agli utenti di installare la patch per una protezione ottimale.

Qual è la vulnerabilità?

La vulnerabilità dell'iniezione di comandi post-autenticazione in NBG6604 di Zyxel potrebbe consentire a un utente malintenzionato autenticato di eseguire alcuni comandi del sistema operativo in remoto inviando una richiesta HTTP predisposta.

Si noti che l'accesso WAN è disabilitato per impostazione predefinita sul router di casa.

Quali versioni sono vulnerabili e cosa dovresti fare?

Dopo un'indagine approfondita, abbiamo identificato solo un prodotto vulnerabile che rientra nel periodo di supporto della vulnerabilità e abbiamo rilasciato una patch del firmware per risolvere il problema, come mostrato nella tabella seguente.

Modello interessato

NBG6604

Versione interessata

V1.01(ABIR.0)C0

Disponibilità patch

V1.01(ABIR.1)C0

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-vulnerability-in-nbg6604-home-router

Powell raffredda l'ottimismo degli investitori, tassi più alti dello 0,25%

Angelo Domeneghini — Fri, 05 May 2023 11:04:00 GMT

Riflettori puntati su BCE e Apple

L'attenzione dei trader sarà oggi catalizzata dagli utili di alcuni dei più grandi nomi del mercato come Apple, Anheuser-Busch InBev, Booking Holdings, DraftKings e Fortinet. La BCE annuncerà la sua decisione sui tassi di interesse, che secondo i pareri non concordi degli economisti consisterà in un rialzo di 25 o 50 punti base. Verrà pubblicato il rapporto sulle richieste iniziali di sussidi di disoccupazione, di cui gli economisti prevedono un leggero aumento rispetto al calo a sorpresa della scorsa settimana a 230.000. Ecco cosa muove i mercati oggi.

SBUX -9,17%

Le azioni di Starbucks, la più grande catena di caffè al mondo, sono crollate del 9,17% dopo i dati superiori alle attese su utili e fatturato. Le vendite omogenee in Cina hanno registrato una crescita positiva per la prima volta dal terzo trimestre del 2021.

LLY 6,68%

Il farmaco donanemab di Eli Lilly dà speranza ai malati di Alzheimer: il titolo è cresciuto dopo che i risultati degli studi clinici hanno dimostrato che ha il potenziale di rallentare la progressione della malattia.

EL -17,34%

Le azioni di Estée Lauder hanno subito un crollo per via della volatilità dei viaggi in Asia che rallenta la ripresa; le stime dell'azienda a un anno sono state ridotte a 3,29$-3,39$ EPS rispetto alla stima iniziale di 4,96$.

IMGN 135,77%

Il titolo ImmunoGen è salito sulla scia degli straordinari risultati dello studio clinico di fase tre per il suo rivoluzionario farmaco contro il cancro ovarico, Elahere. Il farmaco ha dimostrato un effetto eccezionale sul prolungamento della vita, fornendo una nuova opzione terapeutica promettente.

I migliori

RUTH

21,48

34,00%

BBBYQ

0,0979

30,36%

SMCI

133,95

28,27%

I peggiori

CXAI

10,24

-22,62%

IEP

32,57

-19,30%

202,70

-17,34%

Per Powell l'inflazione potrebbe ancora impiegare tempo a raffreddarsi

Il FOMC ha innalzato all'unanimità i tassi di interesse di un quarto di punto percentuale, portando il tasso sui fondi federali a un intervallo target del 5%-5,25%.

Nella sua conferenza stampa, il presidente Jerome Powell ha dichiarato che il comitato ritiene che l'inflazione impiegherà un po' di tempo a scendere e quindi non sarebbe appropriato tagliare i tassi.

Ciò ha raffreddato l'ottimismo degli investitori, facendo scendere le medie principali. Powell ha suggerito che potrebbe rendersi necessario un ulteriore indebolimento della domanda e del mercato del lavoro prima che sia preso in considerazione un taglio dei tassi.

È il turno della BCE

Le previsioni puntano ampiamente a un rialzo dei tassi da parte della BCE. Sarà di 25 o di 50 punti base?

L'inflazione di fondo è in crescita e i membri dell'organo di governo della BCE hanno segnalato l'intenzione di aumentare i tassi fino a quando l'inflazione e la crescita dei salari non diminuiranno.

Le proiezioni sulla crescita indicano che questa potrebbe essere un'operazione difficile:

la BCE deve operare con il bilancino per raggiungere entrambi gli obiettivi.

Utili Apple: a cosa fare attenzione

La quota di mercato dei PC Apple è cresciuta costantemente negli ultimi anni, ma il numero di spedizioni nel primo trimestre 2023 ha registrato un preoccupante calo del 40% su base annua.

Gli investitori sono ora in attesa del rapporto sugli utili del secondo trimestre, previsto per il 4 maggio.

Potrebbe rappresentare un punto di svolta, poiché gli analisti prevedono un calo del 5% su base annua del fatturato e una contrazione del 6% dell'EPS.

Anche la crescita del segmento delle vendite di iPhone e dei servizi potrebbe essere fondamentale, in particolare nel mercato della Grande Cina, che rappresenta un quinto del fatturato totale di Apple. Un dato sugli utili positivo potrebbe far salire notevolmente il titolo, mentre un dato negativo potrebbe avere l'effetto opposto.

04/05/2023 Dopo la chiusura del mercato

AAPL

Apple

167,45

(-0,65%)

05/05/2023 Prima dell'apertura del mercato

ENB

Enbridge Inc

38,86

(0,78%)

https://www.etoro.com

Gli hacker sfruttano un difetto senza patch da 5 anni nei dispositivi TBK DVR

Angelo Domeneghini — Tue, 02 May 2023 16:01:00 GMT

Gli hacker sfruttano un difetto senza patch da 5 anni nei dispositivi TBK DVR

CCTV

Gli hacker stanno attivamente sfruttando una vulnerabilità di bypass dell'autenticazione del 2018 senza patch nei dispositivi TBK DVR (registrazione video digitale) esposti.

I DVR sono parte integrante dei sistemi di sorveglianza di sicurezza in quanto registrano e archiviano i video registrati dalle telecamere. Il sito Web di TBK Vision afferma che i suoi prodotti sono distribuiti in banche, organizzazioni governative, settore della vendita al dettaglio e altro ancora.

Poiché questi server DVR vengono utilizzati per archiviare filmati di sicurezza sensibili, di solito si trovano su reti interne per impedire l'accesso non autorizzato al video registrato. Sfortunatamente, questo li rende attraenti per gli attori delle minacce che possono sfruttarli per l'accesso iniziale alle reti aziendali e per rubare dati.

I FortiGard Labs di Fortinet segnalano di aver visto di recente un aumento dei tentativi di hacking sui dispositivi TBK DVR, con gli attori delle minacce che utilizzano un exploit PoC (Proof of Concept) disponibile pubblicamente per colpire una vulnerabilità nei server.

La vulnerabilità è un difetto critico (CVSS v3: 9.8), tracciato come CVE-2018-9995, che consente agli aggressori di aggirare l'autenticazione sul dispositivo e ottenere l'accesso alla rete interessata.

L'exploit utilizza un cookie HTTP pericoloso, al quale i dispositivi TBK DVR vulnerabili rispondono con credenziali di amministratore sotto forma di dati JSON.

"Un utente malintenzionato remoto potrebbe essere in grado di sfruttare questo difetto per aggirare l'autenticazione e ottenere privilegi amministrativi, portando infine all'accesso ai feed video della telecamera", si legge in un avviso di epidemia di Fortinet.

La vulnerabilità interessa TBK DVR4104 e TBK DVR4216 e i rebrand di questi modelli venduti con i marchi Novo, CeNova, QSee, Pulnix, XVR 5 in 1, Securus, Night OWL, DVR Login, HVR Login e MDVR.

Secondo Fortinet, ad aprile 2023, ci sono stati oltre 50.000 tentativi di sfruttare i dispositivi TBK DVR utilizzando questo difetto.

"Con decine di migliaia di DVR TBK disponibili con marchi diversi, codice PoC pubblicamente disponibile e facile da sfruttare, questa vulnerabilità diventa un facile bersaglio per gli aggressori", spiega Fortinet.

"Il recente picco di rilevamenti IPS mostra che i dispositivi delle telecamere di rete rimangono un obiettivo popolare per gli aggressori".

Sfortunatamente, Fortinet non è a conoscenza di un aggiornamento di sicurezza per risolvere CVE-2018-9995.

Pertanto, si consiglia di sostituire i sistemi di sorveglianza vulnerabili con modelli nuovi e supportati attivamente o di isolarli da Internet per impedire l'accesso non autorizzato.

Un altro vecchio difetto che sta subendo un "focolaio" di sfruttamento è CVE-2016-20016 (CVSS v3: 9.8, "critico"), una vulnerabilità di esecuzione di codice in modalità remota che interessa i DVR MVPower TV-7104HE e TV-7108HE, consentendo agli aggressori di eseguire l'esecuzione di comandi non autenticati utilizzando richieste HTTP dannose.

Questo difetto è stato sfruttato attivamente in natura dal 2017, ma Fortinet ha recentemente visto segni di un aumento delle attività dannose che lo sfruttano. Anche in questo caso il vendor non ha fornito una patch per correggere la vulnerabilità.

https://www.bleepingcomputer.com/news/security/hackers-exploit-5-year-old-unpatched-flaw-in-tbk-dvr-devices/

Alternative a ChatGPT

Angelo Domeneghini — Tue, 02 May 2023 15:48:00 GMT

Alternative a ChatGPT: Bing

Il motore di ricerca Bing di Microsoft ha da poco lanciato una chat con assistente virtuale che sfrutta l’intelligenza artificiale. Per usare il chatbot, che è in grado di fare ricerche su internet, scrivere testi e rispondere alle domande, bisogna registrarsi nella pagina del motore di ricerca con la propria email e poco dopo si otterrà l’accesso. Quando si inserisce una domanda o una richiesta di informazioni, Bing chat utilizza la sua intelligenza artificiale e le sue capacità di ricerca per fornire una risposta accurata e pertinente. Bing chat è in grado di comprendere e comunicare in diverse lingue e può aiutare con una vasta gamma di argomenti.

Alternative a ChatGPT: Colossal

Negli Stati Uniti, dopo il successo di ChatGPT, sono sorti molti siti simili che funzionano con l’inserimento di un prompt di testo. Basta inserire una frase o una richiesta nel chatbot di riferimento per ottenere articoli, brevi testi, post social e didascalie utili per chiunque. Uno di questi è ColossalChat, facilissimo da usare e disponibile gratuitamente sul web. Anche se le risposte non sempre sono precise come quelle del prodotto di OpenAi o di Bing, Colossal può essere un’ottima base di partenza per preparare un contenuto o per trovare delle idee.

Alternative a ChatGPT: Tinywow

Gratis, senza login e sempre disponibile: Tinywow è un ottimo chatbot virtuale che può scrivere testi, anche in italiano, lunghi fino a 5 paragrafi. La piattaforma TinyWow è un sito web che fornisce strumenti online gratuiti anche per la conversione di PDF e altri strumenti utili per risolvere problemi di tutti i tipi. Tutti i file, sia elaborati che non elaborati, vengono eliminati dopo 1 ora per mantenere inviolata la privacy degli utenti. Per questo si tratta di un’alternativa a ChatGPT comoda, sicura e veloce.

Alternative a ChatGPT: PizzaGPT

Una versione italiana dei chatbot con AI: ecco PizzaGPT. Si tratta di un bot di conversazione basato su un modello di linguaggio (LLM) sviluppato da OpenAI cui chiedere qualsiasi cosa. Tra le cose che si possono domandare: scrivere una poesia o una mail, riassumere un testo, preparare un menu per una festa o un piano di marketing, e molto altro ancora. Creato da un software engineer italiano che vive all’estero e che adora la pizza, PizzaGPT si basa sullo stesso modello di ChatGPT (turbo-3.5) e usa le API di OpenAI, che sono a pagamento.

Alternative a ChatGPT: JasperAI

JasperAI si definisce uno scrittore AI e un generatore di arte con molte recensioni positive. Può creare post di blog, copy di marketing e immagini generate dall’intelligenza artificiale rapidamente. All’inizio si ha una prova gratuita con cui ottenere oltre 10mila parole, poi ci sono diversi piani per sfruttare questo programma simile a ChatGPT. Come per le altre opzioni, il chatbot è in grado di generare contenuti a richiesta su ogni argomento e può scrivere testi brevi o lunghi a seconda delle necessità. In particolare, viene indicato per l’utilizzo nei campi del marketing e della comunicazione aziendale, un settore che si sta evolvendo anche grazie ai miglioramenti portati proprio dall’intelligenza artificiale.

https://www.digitalic.it/tech-news/alternative-a-chatgpt

Bitcoin si mantiene sui 28.000 USD grazie al miglioramento delle condizioni macroeconomiche

Angelo Domeneghini — Tue, 02 May 2023 15:42:00 GMT

Bitcoin si mantiene sui 28.000 USD grazie al miglioramento delle condizioni macroeconomiche

Riuscirà Bitcoin raggiungere i 100.000 USD quest'anno?

Bitcoin è salito dell'1% nell'ultima settimana, avvicinandosi lentamente a 30.000 USD, mentre il dollaro avanza lateralmente.

Nel frattempo, le principali altcoin, tra cui Litecoin, sono crollate a causa delle tensioni normative, in quanto uno dei maggiori exchange statunitensi si oppone alla Securities and Exchange Commission (SEC).

Solana in controtendenza, grazie all'entusiasmo per il nuovo progetto NFT.

Il focus di questa settimana

• Bitcoin in rialzo, grazie al miglioramento delle condizioni macro: riuscirà a raggiungere i 100.000 USD quest'anno?

• Solana aumenta del 2%, grazie alla domanda di Madlad NFT: la blockchain sta tornando in auge?

• Litecoin scende del 2% a meno di 100 giorni dall'halving

Nonostante il rialzo, BTC si mantiene al di sotto dei 30.000 USD

https://www.etoro.com

Campagna di smishing a tema UniCredit

Angelo Domeneghini — Sat, 29 Apr 2023 14:30:00 GMT

Campagna di smishing a tema UniCredit

Rilevata nelle ultime ore una campagna di phishing perpetrata via SMS e volta a carpire le credenziali d’accesso ai servizi bancari.

L’SMS informando la potenziale vittima di un’operazione sospetta effettuata sul proprio account bancario, tenta di indurlo a cliccare sull’URL hXXps://is[.]gd/UniCredit_Mobile_ che funge da redirect verso la risorsa finale ospitata su hXXps://birathospital[.]com/info/unicredit/carta/.

L’URL finale mostra una finta pagina di inserimento dati (Figura2) riportante i loghi dell’Istituto bancario e volta a raccogliere:

codice adesione;

PIN;

numero di cellulare

I dati immessi vengono inviati via POST allo stesso URL e l’utente successivamente reindirizzato alla pagina hXXps://birathospital[.]com/info/unicredit/carta/areariservata.php dove viene esortato a richiedere una chiamata sul numero di cellulare precedentemente indicato:

Cliccando sul pulsante di cui sopra viene chiamato l’URL hXXps://birathospital[.]com/info/unicredit/carta/areariservata.php?chiama=1 che informa l’utente di attendere la chiamata di un operatore verosimilmente con lo scopo di iniziare una conversazione diretta con la vittima al fine di ottenere le ulteriori informazioni necessarie all’accesso sul sito dell’Istituto di credito.

Azioni di mitigazione

Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing, diffidando da comunicazioni inattese ed accertandosi di immettere le proprie credenziali esclusivamente su siti leciti;

segnalare comunicazioni similari alla Polizia Postale e a questo CSIRT;

evitare di dar seguito a comunicazioni di questo tipo.

https://www.csirt.gov.it/contenuti/campagna-di-smishing-a-tema-unicredit-al04-230427-csirt-ita

ChatGpt è tornata online in Italia, si adegua a norme privacy

Angelo Domeneghini — Sat, 29 Apr 2023 14:20:00 GMT

ChatGpt è tornata online in Italia, si adegua a norme privacy

Un primo segnale era arrivato in settimana quando OpenAI ha concesso a tutti gli utenti mondiali la possibilità di escludere le proprie conversazioni dal training dell'algoritmo

OpenAi – azienda che fa questo famoso chatbot – ha accettato di adempiere alle richieste di rispetto della normativa europea sulla privacy

Le richieste del Garante italiano vanno però molto oltre.

Ad esempio devono esserci in ChatGpt strumenti utili per permettere agli interessati, anche non utenti, di chiedere la rettifica dei dati personali che li riguardano generati in modo inesatto dal servizio o la cancellazione degli stessi, nel caso la rettifica non fosse tecnicamente possibile. OpenAI, inoltre, dovrà consentire agli interessati non utenti di esercitare, in modo semplice e accessibile, il diritto di opposizione rispetto al trattamento dei loro dati personali utilizzati per l'esercizio degli algoritmi e riconoscere analogo diritto agli utenti, qualora individui il legittimo interesse quale base giuridica del trattamento. OpenAi dovrà fare una campagna pubblicitaria perché tutti, anche i non utenti, sappiano di potere essere esclusi dal chatbot.

Un caso esemplare è quello di un sindaco australiano che secondo il chatbot era stato condannato per corruzione; tutto falso, tanto che ha ottenuto che ChatGpt non risponda a chi chiede informazione su di lui.Insomma, se OpenAI non riesce a rettificare questi errori – e può essere difficile o impossibile, dato il funzionamento dell'algoritmo – almeno deve permettere a chiunque di essere esclusi dal sistema.

Per quanto riguarda la verifica dell'età dei minori, oltre all'immediata implementazione di un sistema di richiesta dell'età ai fini della registrazione al servizio, l'Autorità ha ordinato a OpenAI di sottoporle entro il 31 maggio un piano di azione che preveda, al più tardi entro il 30 settembre 2023, un sistema di age verification, in grado di escludere l'accesso ai minori di 13 anni non autorizzati dai genitori.

L'informativa dovrà essere facilmente accessibile e collocata in una posizione che ne consenta la lettura prima di procedere all'eventuale registrazione al servizio. Per gli utenti che si collegano dall'Italia, l'informativa dovrà essere presentata prima del completamento della registrazione e, sempre prima del completamento della registrazione, dovrà essere loro richiesto di dichiarare di essere maggiorenni.

Agli utenti già registrati, l'informativa dovrà essere presentata al momento del primo accesso successivo alla riattivazione del servizio e, nella stessa occasione, dovrà essere loro richiesto di superare un age gate che escluda, sulla base dell'età dichiarata, gli utenti minorenni.

C'è poi una questione complicata, forse la più spinosa per molti giuristi. Quello della base giuridica del trattamento dei dati personali usati per l'addestramento degli algoritmi. Sappiamo che ChatGpt nasce con lo scraping massivo di dati presi da internet, senza consenso degli interessati. Negli Stati Uniti si può fare; in Europa non è così facile, di qui l'intervento del Garante

.Il Garante privacy ha ordinato a OpenAI di eliminare ogni riferimento all'esecuzione di un contratto e di indicare, invece, in base al principio di accountability, il consenso o il legittimo interesse quale presupposto per utilizzare tali dati, fermo restando l'esercizio dei propri poteri di verifica e accertamento successivi a tale scelta.

Da quanto emerge leggendo la policy della privacy appena pubblicata hanno scelto la base giuridica del legittimo interesse per funzionare.

Fino a verifica del Garante sulla validità di questa base. L’alternativa ossia richiedere il consenso agli utenti per l’utilizzo dei dati personali usati durante l’allenamento dell‘algoritmo era chiaramente impossibile.

Nei giorni scorsi, anche le autorità privacy tedesche si sono mosse chiedendo a OpenAI di dare informazioni circa il rispetto delle norme privacy ed è nata una task force dei garanti privacy europei.

Quello che succede in Italia, con ChatGpt, si appresta a fare scuola in Europa e forse non solo in Europa.

https://www.ilsole24ore.com/art/chatgpt-si-adegua-norme-privacy-pronto-tornare-online-italia-AEpeGLND

MARZO 2023. UFO ANTIOQUIA,COLOMBIA, FILMATO DALLA TOP MODEL VALENTINA RUEDA VELE’Z

Angelo Domeneghini — Sat, 29 Apr 2023 14:12:00 GMT

UFO ANTIOQUIA,COLOMBIA,

FILMATO DALLA TOP MODEL VALENTINA RUEDA VELE’Z.

SE E’ AUTENTICO, E’ UN VIDEO ECCEZIONALE. UN VERO E PROPRIO DISCO VOLANTE.

Certo che se fosse vero, sarebbe una testimonianza straordinaria:

un vero e proprio disco volante in volo ripreso da un aereo in quota.

Cosa volete di più? Il video è eloquente, per cui non ci soffermeremo più di Tanto

https://www.centroufologicomediterraneo.it/wp/marzo-2023-ufo-antioquiacolombia-filmato-dalla-top-model-valentina-rueda-velez-video-se-e-autentico-e-un-video-eccezionale-un-vero-e-proprio-disco-volante-occorreranno-verifiche/

https://youtu.be/n6b8zKZTW98

Microsoft risolve il problema di Outlook che blocca l'accesso a e-mail e calendari

Angelo Domeneghini — Fri, 28 Apr 2023 13:17:00 GMT

Microsoft risolve il problema di Outlook che blocca l'accesso a e-mail e calendari

Microsoft ha risolto un problema noto che interessava i clienti di Outlook per Microsoft 365 che impediva loro di accedere alle cassette postali e ai calendari del gruppo utilizzando il client desktop di Outlook.

La versione buggy di Outlook è stata rilasciata al Current Channel il 28 marzo e la correzione verrà distribuita a tutti gli utenti interessati con Outlook Desktop versione 2304 Build 16327.20214.

"Un recente aggiornamento del servizio standard contiene inavvertitamente una regressione del codice di autenticazione che impedisce ad alcuni utenti di accedere o eseguire varie azioni di gruppo di Microsoft 365 nel client desktop di Outlook", la società ha descritto il problema in EX540503 nell'interfaccia di amministrazione di Microsoft 365.

"Gli utenti potrebbero non essere in grado di visualizzare o accedere ai calendari di gruppo e ai messaggi di posta elettronica di Microsoft 365 nel client desktop di Outlook."

Per installare l'aggiornamento che risolve questo problema, gli utenti di Outlook interessati devono accedere a File > Account Office > Opzioni di aggiornamento e fare clic su "Aggiorna ora".

Gli utenti del gruppo Microsoft 365 interessati da questo problema noto potrebbero riscontrare problemi durante il tentativo di eseguire una o più delle seguenti azioni utilizzando il client desktop di Outlook:

Aggiungi o accedi alla casella di posta del gruppo

Aggiungi o accedi al calendario del gruppo

Aggiungi, rimuovi o modifica i membri del gruppo

Contrassegna le e-mail o gli elementi come già letti

Contrassegna, archivia o sposta la posta o gli elementi in altre cartelle

Microsoft ha anche condiviso una soluzione temporanea per aiutare gli utenti interessati a riottenere l'accesso ai propri messaggi di posta elettronica e ai calendari di gruppo.

La società ha consigliato loro di passare all'utilizzo di Outlook Web Access (OWA) o di ripristinare la build 16130.20332 di Outlook Desktop, che non è stata interessata da questo problema.

Come passaggio finale per ripristinare Outlook alla versione precedente, Microsoft ha inoltre consigliato ai clienti di disabilitare gli aggiornamenti per impedire al software di tornare alla versione difettosa.

"Se hai ripristinato e disabilitato gli aggiornamenti, ricordati di riattivare gli aggiornamenti ora che la correzione è disponibile", ha affermato oggi Microsoft.

Sebbene Microsoft abbia affermato nell'interfaccia di amministrazione che l'impatto di questo problema noto era limitato a un numero limitato di utenti nelle versioni 16.0.16222.10000 o successive, è stato probabilmente sottovalutato, dato il flusso di segnalazioni degli utenti condivise online a partire dall'inizio di questo mese.

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-issue-blocking-access-to-emails-calendars/

Ufo di Salerno 14 marzo 2023

Angelo Domeneghini — Fri, 28 Apr 2023 12:44:00 GMT

Ufo di Salerno

“Sono stati effettuati numerosi riscontri, svariate verifiche e ricerche per venire a capo dell’incredibile avvistamento ufo di Salerno del 14 marzo 2023″.

E’ quanto dichiara il Centro Ufologico Mediterraneo, (Cufom) che prosegue: “Se nel frattempo non salterà fuori una spiegazione, l’Ufo file sarà classificato come uno dei più grandi avvistamenti Ufo (o Uap, con più moderna terminologia) degli ultimi anni.

Il testimone, mercoledì 14 marzo 2023, intorno alle 7 e 10, era intento a fumare una sigaretta fuori al balcone di casa a Salerno, zona Pastena.

Scrutando il cielo poco nuvoloso, “macchiato” di nuvole bianche, scorgeva degli strani puntini volanti neri che si stagliavano nel cielo in lontananza.

Sulle prime credeva trattarsi di gabbiani o poiane, volatili stanziali in quelle zone. Man mano che gli oggetti si avvicinavano constatava che non erano affatto uccelli, cominciando a filmare il fenomeno e chiamando la sua compagna ad osservare l’insolito evento.

Davanti agli occhi degli sbigottiti testimoni, volavano 4 oggetti scuri, abbastanza inquietanti, che cambiavano in continuazione assetto di volo reciproco, separati tra loro, ma come se fossero uniti da una calamita: tuttavia, nulla di materiale li univa”. Sembravano, addirittura, attorcigliarsi reciprocamente – racconta il Centro Ufologico Mediterraneo -. La paura e lo sconcerto dei testimoni è aumentata sia per l’avvicinarsi degli strani oggetti, sia perché, ad un certo momento, uno alla volta, si sono illuminati da un lato, in maniera abbagliante e accecante, fino ad apparire come se fossero incendiati, ma non c’era fumo”.

Sulla veridicità o meno dell’avvistamento stanno indagando i ricercatori del Cufom, alias Centro Ufologico Mediterraneo, guidati dal Presidente Angelo Carannante, che hanno svolto accurate indagini ed analizzato il video, risultato autentico: “Si era pensato a volatili, palloni meteorologici, droni e ad ogni altra possibilità: nulla di tutto ciò, nonostante ripetute e meticolose ricerche. Forse si tratta di una tecnologia segreta e molto avanzata? Già, ma perchè, utilizzarla in uno spazio aereo piuttosto popolato nell’area sottostante? Sono stati finanche consultati esponenti dell’aeronautica in pensione, che anch’essi meravigliati, non hanno saputo dare una soluzione all’enigma

https://www.centroufologicomediterraneo.it/wp/ufo-di-salerno-del-14-marzo-2023-tanti-siti-pubblicano-il-caso-anche-il-sito-ilfaroonline-da-non-perdere/

https://www.youtube.com/watch?v=3zOQtua7gu8&embeds_euri=https%3A%2F%2Fwww.ilfaroonline.it%2F&source_ve_path=OTY3MTQ&feature=emb_imp_woyt

Il settore della cannabis è in crescita

Angelo Domeneghini — Fri, 28 Apr 2023 12:18:00 GMT

La Fed dovrà prendere una decisione: ecco come

Intel registra un'impennata dopo le speranze di ripresa finanziaria nel secondo semestre, ma l'EPS è sceso di uno sconcertante 133% su base annua. Snap, invece, è crollata a causa del calo dei ricavi trimestrali per la prima volta nella storia. Il 12% di rialzo delle azioni Amazon è stato azzerato dal cloud computing, che ha messo in agitazione gli investitori. Oggi si terrà l'analisi dei dati sull'inflazione dell'indice Core PCE degli Stati Uniti, in vista della riunione della Fed della prossima settimana. Inoltre, il petrolio sarà al centro dell'attenzione con gli utili di Chevron ed Exxon. Ecco cosa muove i mercati.

DB 2,54%

Deutsche Bank celebra i suoi migliori risultati dal 2016, ma taglierà 800 posti di lavoro per risparmiare 500 Mio EUR. La banca è uscita da un mercato turbolento con un utile netto di 1,158 Mrd EUR nel 1° trimestre, 11 trimestri consecutivi di profitto dopo la riorganizzazione iniziata nel 2019. Le previsioni degli analisti di 864,54 Mio EUR sono state ampiamente battute.

BCS 7,36%

Barclays supera le aspettative, registrando un aumento dell'utile netto del 27% su base annua a 1,78 Mrd GBP (2,2 Mrd USD). Gli analisti avevano previsto 1,432 Mrd GBP. Gli operatori di Barclays hanno registrato un aumento del 9% delle vendite di titoli a reddito fisso, ma le azioni sono scese. Secondo il presidente dell'azienda, le banche del Regno Unito hanno resistito al caos che ha colpito gli istituti di credito statunitensi.

AMZN 4,61%

I profitti di Amazon superano le aspettative, ma le vendite legate al cloud sono rallentate nel mese di aprile. Le azioni sono balzate del 12%, ma gli investitori sono rimasti delusi dopo che i dirigenti hanno rivelato la notizia delle vendite del cloud durante la conferenza. L'azienda sta ottimizzando le attività e tagliando 27.000 posti di lavoro, soprattutto nell'unità cloud, per adeguarsi al rallentamento della crescita delle vendite.

CannabisCare

Il settore della cannabis è in crescita, in quanto la Camera e il Senato (USA) intendono reintrodurre una legislazione che apra il sistema finanziario alle aziende produttrici di cannabis. Gli analisti di Wall Street sono ottimisti sul fatto che questa sarà la prima volta che la misura arriverà al voto. Tilray, Canopy ($CGC) e Aurora sono in rialzo.

I migliori

HELE

97,74

19,49%

HAS

58,93

14,63%

CHDN

287,27

14,07%

I peggiori

82,47

-39,06%

AZPN

174,55

-24,54%

WOLF

46,00

-19,86%

Cosa determinerà il rialzo dei tassi?

Il presidente della Fed, Powell, mira a rallentare l'economia degli Stati Uniti senza provocare una recessione. Il PIL è aumentato dell'1,1%, gli investimenti delle imprese sono diminuiti dopo la pandemia, gli inventari sono stati sottratti dal PIL. La spesa dei consumatori è la più forte in quasi due anni. I risultati dipendono dalla resistenza del mercato del lavoro, con un basso tasso di disoccupazione e un aumento dei salari che incoraggiano la spesa. L'inflazione potrebbe portare a un rialzo dei tassi a maggio/giugno.

In arrivo oggi:

● Alle 12:30 GMT, si prevede che l'indice dei prezzi PCE degli Stati Uniti (marzo) indichi un aumento dei prezzi del 4,5% su base annua, in calo rispetto al 5% del mese precedente e un aumento dei prezzi core dello 0,4% su base mensile, in aumento rispetto allo 0,3% del mese precedente.

● Alle 13:45 si prevede che il Chicago PMI degli Stati Uniti (aprile) mostri un calo a 42,8. Attenzione ai cross USD.

● NatWest, Chevron e Exxon Mobil presenteranno gli utili.

● Per approfondimenti da parte del nostro Market Analyst Gabriel Debach clicca qui.

Altre notizie

● Intel è salita del 5% dopo aver promesso un incremento dei risultati nel secondo semestre e aver a malapena superato le aspettative sugli utili, anche se l'EPS è sceso di uno sconcertante 133% su base annua. I ricavi sono scesi di quasi il 36% rispetto all'anno precedente, attestandosi a 11,7 Mrd USD; per la prima volta, i ricavi di Snap sono scesi, facendo crollare le azioni.

● Gap annuncia l'intenzione di licenziare 1.800 dipendenti nel tentativo di riorganizzare e ridurre i costi. Questi tagli riguarderanno sia le posizioni in sede che i ruoli di responsabilità.

● Dropbox annuncia l'intenzione di tagliare 500 posti di lavoro a causa del rallentamento della crescita, delle pressioni economiche e dell'urgenza di concentrarsi sui prodotti dotati di IA.

28/04/2023 Dopo la chiusura del mercato

0939.HK

China Construction Bank

5,2421

(0,19%)

Aggiungi alla watchlist

01/05/2023 Prima dell'apertura del mercato

ON Semiconductor Corp

69,98

(-2,74%)

Aggiungi alla watchlist

https://www.etoro.com

Blocco di ChatGPT: ecco il perchè

Angelo Domeneghini — Wed, 26 Apr 2023 14:12:00 GMT

Ecco Perché il Garante ha bloccato ChatGPT:
raccolta illecita di dati personali, assenza di sistemi per la verifica dell’età dei minori. ...

Il Garante per la protezione dei dati personali ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma Chat GPT.

ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, lo scorso 20 marzo aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento.

Nel provvedimento, il Garante privacy rileva la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma.

Come peraltro testimoniato dalle verifiche effettuate, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto.

Da ultimo, nonostante – secondo i termini pubblicati da OpenAI – il servizio sia rivolto ai maggiori di 13 anni, l’Autorità evidenzia come l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti esponga i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza. Da qui la decisione e il Garante blocca ChatGPT.

OpenAI, che non ha una sede nell’Unione ma ha designato un rappresentante nello Spazio economico europeo, deve comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.

“L’Italia è la prima nazione al mondo a bannare ChatGPT AI. La decisione è stata del Garante della Privacy, il Prof. Pasquale Stanzione, che ci ha fatto vincere questo primato. E così da oggi siamo la prima nazione al mondo i cui cittadini non potranno utilizzare la più rivoluzionaria tecnologia informatica dopo il TCP/IP. Il Prof. Stanzione poi ha voluto precisare in TV, di aver firmato l’appello di Elon Musk sui rischi dell’AI. Rivelando così la verità: qui la privacy non c’entra nulla, il tema vero è la paura. La privacy qui è una foglia di fico per nascondere il terrore di essere qualcosa di irrilevante e superato. Si certo esistono le VPN e se volessi usare ChatGPT adesso non avrei problema, questo bando oltre ad essere controproducente è un pò ridicolo. Ma qui forse c’è un tema di diritti fondamentali. Il diritto alla privacy supera il mio diritto di essere umano di avere accesso all’informazione? Anzi in questo caso avere accesso al più rivoluzionario e potente strumento di informazione oggi esistente? L’autorità del Garante supera quella del nostro diritto di essere informati? A me non pare. Ma non sono un esperto di cavilli giuridici. Conta la sostanza. Da ascoltare questa interessante intervista con Bruno Vespa che dice tutto, dove emerge lo stesso tipo di problema in pieno COVID sui dati sanitari. Introduce una sorta di interessante concetto della sovranità del dato sopra le persone”.

Il Garante ha bloccato ChatGPT con grande stupore dell’opinione pubblica. “L’intervento del Garante anzitutto sembra contestare a ChatGPT la mancanza di trasparenza, intesa come mancanza di informativa agli utenti rispetto alle finalità e modalità del trattamento dei dati personali eventualmente comunicati – afferma Massimiliano Masnada, Partner di Hogan Lovells – Il provvedimento, inoltre, richiama la necessità che sia individuata una base giuridica rispetto alla legittimità del trattamento da parte di OpenAI dei dati personali eventualmente raccolti dagli utenti. Infine, il Garante lamenta una mancanza di trasparenza sui filtri e altri meccanismi adottati da ChatGPT per impedire ai minori di 13 anni di utilizzare il servizio. Quest’ultimo punto, peraltro, accomuna l’intervento del Garante nei confronti di ChatGPT a quello che, a suo tempo, fece nei confronti di TikTok.

Il Garante ha bloccato ChatGPT ma si tratta di un provvedimento temporaneo: “Il provvedimento odierno che, va ricordato, ha natura temporanea di blocco del trattamento – continua Massimiliano Masnada, Partner di Hogan Lovells – ma non implica necessariamente un divieto definitivo all’uso del servizio, pone numerose riflessioni, al di là delle misure specifiche che saranno intraprese da OpenAI per superare il blocco del Garante, sul futuro dei meccanismi di AI e su quanto è necessario fare per creare una cultura di legalità rispetto al loro utilizzo. Non bastano, ad opinione di chi scrive, i pur necessari meccanismi di privacy by design e privacy by default ovvero i controlli e i rimedi per tutelare la privacy degli interessati, specie se minori. Occorre creare una nuova cultura tecnologica che si fondi sull’etica e sul rispetto dei diritti fondamentali. Non è questo il luogo, né sarei in grado di dare indicazioni e, tanto meno, soluzioni, certo che un certo tipo di “pessimismo di maniera” connesso all’evoluzione degli strumenti tecnologici alimenta solo la paura e la preoccupazione senza essere utile in alcun modo a sviluppare una cultura della legalità. Occorre, a mio parere, abbracciare il progresso pur mantenendo lo spirito critico necessario per evitare usi distorti e dannosi. In tal senso, credo sia importante diffondere informazioni in modo quanto più neutro possibile, raccogliere preoccupazioni e opinioni, porre i problemi per cercare le soluzioni. Tutto ciò non può prescindere da un dati incontrovertibile. I dati, a prescindere che siano personali o meno, sono il carburante necessario per lo sviluppo di meccanismi di AI come ChatGPZ. L’accesso ai dati consente di avere algoritmi più precisi ed idonei all’utilizzo per migliorare la vita delle persone. Il loro deve avvenire in modo sicuro ed etico. Per fare ciò non bastano i divieti. Un primo passo, in tale senso, sarà la corretta implementazione delle regole sul riuso dei dati che sono alla base del Data Governace Act, di prossima entrata in vigore, e del successivo Data Act. La giostra è appena partita”.

Il provvedimento del Garante contro ChatGPT: le motivazioni

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO altresì il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

PRESO ATTO dei numerosi interventi dei media relativamente al funzionamento del servizio di ChatGPT;

RILEVATO, da una verifica effettuata in merito, che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT;

RILEVATA l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;

RILEVATO che il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;

RILEVATO, inoltre, l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni;

CONSIDERATO che l’assenza di filtri per i minori di età di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi;

RITENUTO pertanto che nella situazione sopra delineata, il trattamento dei dati personali degli utenti, compresi i minori, e degli interessati i cui dati sono utilizzati dal servizio si ponga in violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento;

RAVVISATA, pertanto, la necessità di disporre, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento – in via d’urgenza e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, la misura della limitazione provvisoria del trattamento;

RITENUTO che, in assenza di qualsivoglia meccanismo di verifica dell’età degli utenti, nonché, comunque, del complesso delle violazioni rilevate, detta limitazione provvisoria debba estendersi a tutti i dati personali degli interessati stabiliti nel territorio italiano;

RITENUTO necessario disporre la predetta limitazione con effetto immediato a decorrere dalla data di ricezione del presente provvedimento, riservandosi ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso;

RICORDATO che, in caso di inosservanza della misura disposta dal Garante, trova applicazione la sanzione penale di cui all’art. 170 del Codice e le sanzioni amministrative previste dall’art. 83, par. 5, lett. e), del Regolamento;

RITENUTO, in base a quanto sopra descritto, che ricorrano i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;

VISTA la documentazione in atti;

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento dispone, in via d’urgenza, nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, in qualità di titolare del trattamento dei dati personali effettuato attraverso tale applicazione, la misura della limitazione provvisoria, del trattamento dei dati personali degli interessati stabiliti nel territorio italiano;

b) la predetta limitazione ha effetto immediato a decorrere dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679, invita il titolare del trattamento destinatario del provvedimento, altresì, entro 20 giorni dalla data di ricezione dello stesso, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

https://www.digitalic.it/tech-news/perche-il-garante-ha-bloccato-chatgpt

Alphabet e Microsoft superano le aspettative. Meta li seguirà?

Angelo Domeneghini — Wed, 26 Apr 2023 14:04:00 GMT

Metaverse nel dimenticatoio per Meta; gli investitori si concentrano sull'IA

Dopo i risultati positivi di Microsoft e Alphabet, Meta è l'azienda principale di oggi. Attenzione anche agli ordini di beni durevoli negli Stati Uniti.

Sorprendenti i prezzi delle case; GM aumenta le sue prospettive. Ecco cosa muove i mercati.

GOOG -2,03%

Google Cloud in profitto per la prima volta, con ricavi in aumento a 7,45 Mrd USD e un EPS di 1,17 USD, battendo le previsioni degli analisti. Il calo dei ricavi pubblicitari di YouTube è stato compensato dalla solida performance di altre attività di Alphabet, a indicare un mercato complessivamente forte. Il consiglio di amministrazione ha autorizzato un riacquisto di azioni per 70 Mrd USD, incrementando l'ottimismo degli investitori.

MSFT -2,25%

Le azioni Microsoft sono salite del 9% nell'after hours, grazie ai risultati trimestrali e alla guidance, che hanno superato le previsioni degli analisti. L'azienda prevede una crescita dei ricavi del 6,7% per il quarto trimestre fiscale; il direttore finanziario, Amy Hood, punta molto sull'intelligenza artificiale.

GM -4,02%

GM alza le sue aspettative sugli utili e sul flusso di cassa per il 2023, preparandosi a lanciare diversi nuovi modelli di veicoli elettrici e a interrompere la produzione della Chevy Bolt. I loro prossimi veicoli elettrici saranno dotati della nuova e più avanzata tecnologia Ultium.

UPS -9,99%

Il report sugli utili di UPS di martedì ha scosso gli investitori: sia gli utili che i ricavi sono stati inferiori alle aspettative. Le dichiarazioni dell'amministratore delegato, Carol Tomé, hanno alimentato le preoccupazioni di un più ampio rallentamento dell'economia.

I migliori

XRX

15,4468

13,69%

JUN3.DE

34,36

12,66%

ARWR

33,58

11,86%

I peggiori

TENB

36,71

-19,14%

MSCI

471,15

-13,49%

RGEN

149,55

-11,09%

I prezzi delle abitazioni stupiscono gli investitori con un balzo

I prezzi delle abitazioni negli Stati Uniti sono aumentati a febbraio, chiudendo sette mesi di ribassi. S&P CoreLogic Case-Shiller National Home Price Index è salito dello 0,2%, mentre l'indice 20-City Composite è salito dello 0,1%. L'indice è ancora inferiore del 4,9% rispetto al picco di giugno 2022, ma gli investitori ritornano sul mercato.

Gli utili di Meta: cosa tenere d'occhio

Il report di Meta di oggi è particolarmente importante, in quanto gli analisti prevedono uno spostamento dell'attenzione dal Metaverso all'IA. Mentre Meta si prepara a ulteriori tagli di posti di lavoro, i risultati potrebbero segnalare un rallentamento delle entrate pubblicitarie del settore tecnologico. Gli analisti si aspettano ricavi piatti dai segmenti Family of Apps e Reality Labs dell'azienda.

La fiducia dei consumatori scende ai minimi degli ultimi 9 mesi

La fiducia dei consumatori è scesa ai minimi da luglio, anche se le condizioni attuali sono migliorate. L'indice del Conference Board di aprile ha registrato un calo a 101,3, significativamente inferiore ai 104 previsti.

Altre notizie:

● Le azioni di Visa sono salite dopo che l'utile per azione di 2,09 USD e vendite per 7,99 Mrd USD hanno superato le aspettative di Wall Street.

In arrivo oggi:

● Alle 13.30 GMT, sarà pubblicato il report sugli ordini di beni durevoli negli Stati Uniti per il mese di marzo. Si prevede un incremento dello 0,9% per gli ordini complessivi e dello 0,3% esclusi gli ordini di trasporto. Attenzione ai cross USD.

● Report sugli utili: Boeing (BA), CME Group (CME), Thermo Fisher Scientific (TMO), Meta Platforms (META), Roku (ROKU).

26/04/2023 Dopo la chiusura del mercato

META

Meta Platforms Inc

207,55

(-2,46%)

27/04/2023 Prima dell'apertura del mercato

Mastercard

368,53

(-1,65%)

https://www.etoro.com/

Calendario degli utili

Fine della corsa per BBBY. La stagione degli utili mette il turbo

Angelo Domeneghini — Mon, 24 Apr 2023 14:20:00 GMT

Utili della settimana: Alphabet, Meta, Amazon e Microsoft al centro dell'attenzione

Questa settimana, presenteranno gli utili oltre il 35% delle società dell'indice S&P 500.

Tra i principali report figurano Credit Suisse, Coca-Cola, Microsoft, Alphabet e Amazon, tra le preoccupazioni per l'inflazione, gli alti tassi di interesse e una potenziale recessione negli Stati Uniti.

Tra i comunicati economici: la fiducia dei consumatori, le vendite di nuove abitazioni, gli ordini di beni durevoli e l'indice del costo dell'occupazione.

BBBY dichiara finalmente bancarotta. Cosa sta pianificando la Fed? Ecco cosa muove i mercati.

UK100 -0,25%

Ottime notizie per l'economia del Regno Unito. S&P conferma il rating AA per il debito pubblico britannico con prospettive "stabili". Nonostante il calo dello 0,5% della produzione economica di quest'anno, S&P prevede una crescita media dell'1,6% all'anno tra il 2024 e il 2026.

BLK -2,22%

La scorsa settimana, il CEO, Larry Fink, ha venduto 35.799 azioni BlackRock, per un totale di 25 Mio USD. Il prezzo è oscillato tra 694,00 e 696,35 USD. Il titolo è sceso dell'1,7% rispetto all'aumento dell'8% di S&P 500.

KO 0,14%

Coca-Cola presenterà oggi, prima della chiusura della borsa, i risultati del primo trimestre del 2023. Gli analisti si aspettano una crescita dei ricavi del 3%, ma un utile netto piatto. Si prevede che la forza del dollaro americano e la sospensione delle operazioni in Russia peseranno sulle vendite in Europa, il secondo mercato per importanza di Coca-Cola.

BBBY -2,17%

Domenica, Bed Bath & Beyond ha annunciato la sua decisione di ricorrere al Chapter 11 per la protezione dalla bancarotta, in seguito ai tentativi infruttuosi di ottenere un capitale sufficiente per rimanere operativi. Nonostante gli sforzi, l'azienda non è riuscita a ottenere i fondi necessari per continuare le attività.

I migliori

WISH

8,52

18,66%

VERU

1,41

17,50%

IBRX

2,68

17,03%

I peggiori

CXAI

8,02

-25,09%

SQM

63,44

-18,57%

BIG

8,43

-13,36%

La settimana scorsa:

Venerdì, a Wall Street, si è conclusa una settimana turbolenta, in cui gli investitori hanno valutato indicatori economici contrastanti e l'inizio della stagione degli utili del primo trimestre per determinare un eventuale rallentamento. Alla fine, S&P 500 ha concluso la settimana con poche variazioni, mantenendo i guadagni dell'anno. Gli investitori si aspettano risultati modesti dalle relazioni sugli utili societari, che si terranno la prossima settimana. Tutti e tre i principali indici hanno chiuso la settimana in ribasso.

La settimana che ci attende

Questa settimana, gli investitori attenderanno i risultati trimestrali dei giganti tecnologici: Amazon, Microsoft, Alphabet e Meta Platforms. Gli esiti di queste aziende potranno suggerire le loro iniziative nel campo dell'IA e le loro strategie di riduzione dei costi. Nel frattempo, i dati di FactSet indicano che gli utili di S&P 500 dovrebbero diminuire del 6,2% nel trimestre, il calo più marcato dal secondo trimestre del 2020. Giovedì, inoltre, è prevista la prima stima del PIL del primo trimestre, con gli analisti che prevedono un tasso di crescita annualizzato del 2%.

Cosa sta pianificando la Fed?

Secondo un sondaggio Reuters, la Federal Reserve dovrebbe aumentare i tassi di interesse dello 0,25% il mese prossimo, in quella che sarebbe la campagna di rialzi più significativa degli ultimi decenni. Con questo, i funzionari segnalano una potenziale sospensione per il futuro. L'imminente decisione della Federal Reserve sui tassi d'interesse costituisce una sfida tra inflazione e recessione economica, con l'obiettivo di trovare un giusto equilibrio.

In arrivo oggi:

● Alle 9 di mattina, l'indice IFO della Germania per il mese di aprile dovrebbe mostrare un aumento dell'indice del clima imprenditoriale a 94,4. Attenzione ai cross EUR.

● Più tardi, alle 13.30, si prevede che l'indice US Chicago Fed per il mese di marzo scenderà a -0,3. USD.

● Saranno presentati gli utili di Coca-Cola (KO), Whirlpool (WHR), Credit Suisse e Canadian National Railway (CNI).

● Per approfondimenti da parte del nostro Market Analyst Gabriel Debach clicca qui

24/04/2023 Dopo la chiusura del mercato

CNI

Canadian National Railway Co

123,03

(0,31%)

25/04/2023 Prima dell'apertura del mercato

PEP

PepsiCo

185,41

(0,04%)

https://www.etoro.com/

Gli hacker possono violare le reti utilizzando i dati sui router aziendali rivenduti

Angelo Domeneghini — Mon, 24 Apr 2023 10:07:00 GMT

Gli hacker possono violare le reti utilizzando i dati sui router aziendali rivenduti

Le apparecchiature di rete di livello aziendale sul mercato secondario nascondono dati sensibili che gli hacker potrebbero utilizzare per violare gli ambienti aziendali o per ottenere informazioni sui clienti.

Esaminando diversi router aziendali usati, i ricercatori hanno scoperto che la maggior parte di essi era stata cancellata in modo improprio durante il processo di disattivazione e poi venduta online.

I ricercatori della società di sicurezza informatica ESET hanno acquistato 18 core router usati e hanno scoperto che era ancora possibile accedere ai dati di configurazione completi su più della metà di quelli che funzionavano correttamente.

I core router sono la spina dorsale di una rete di grandi dimensioni in quanto collegano tutti gli altri dispositivi di rete. Supportano più interfacce di comunicazione dati e sono progettati per inoltrare pacchetti IP alle velocità più elevate.

Inizialmente, il team di ricerca ESET ha acquistato alcuni router usati per configurare un ambiente di test e ha scoperto che non erano stati cancellati correttamente e contenevano dati di configurazione della rete e informazioni che hanno aiutato a identificare i precedenti proprietari.

Le apparecchiature acquistate includevano quattro dispositivi di Cisco (ASA 5500), tre di Fortinet (serie Fortigate) e 11 di Juniper Networks (SRX Series Services Gateway).

In un rapporto all'inizio di questa settimana, Cameron Camp e Tony Anscombe affermano che un dispositivo era morto all'arrivo ed eliminato dai test e due di loro erano uno specchio l'uno dell'altro e contati come uno nei risultati della valutazione.

Dei restanti 16 dispositivi, solo cinque sono stati correttamente cancellati e solo due sono stati protetti, rendendo più difficile l'accesso ad alcuni dati.

Per la maggior parte di loro, tuttavia, è stato possibile accedere ai dati di configurazione completi, che sono una miniera di dettagli sul proprietario, su come ha impostato la rete e le connessioni tra altri sistemi.

Con i dispositivi di rete aziendali, l'amministratore deve eseguire alcuni comandi per cancellare in modo sicuro la configurazione e reimpostarla. Senza questo, i router possono essere avviati in una modalità di ripristino che consente di verificare come è stato configurato.

Segreti in rete

I ricercatori affermano che alcuni dei router conservavano informazioni sui clienti, dati che consentivano connessioni di terze parti alla rete e persino "credenziali per la connessione ad altre reti come parte fidata".

Inoltre, otto dei nove router che hanno esposto i dati di configurazione completi contenevano anche chiavi e hash di autenticazione da router a router.

L'elenco dei segreti aziendali esteso alle mappe complete delle applicazioni sensibili ospitate localmente o nel cloud. Alcuni esempi includono Microsoft Exchange, Salesforce, SharePoint, Spiceworks, VMware Horizon e SQL.

"A causa della granularità delle applicazioni e delle versioni specifiche utilizzate in alcuni casi, gli exploit noti potrebbero essere distribuiti attraverso la topologia di rete che un utente malintenzionato avrebbe già mappato" - ESET

Tali dettagli interni così ampi sono in genere riservati a "personale altamente accreditato" come gli amministratori di rete e i loro manager, spiegano i ricercatori.

Un avversario con accesso a questo tipo di informazioni potrebbe facilmente escogitare un piano per un percorso di attacco che lo porterebbe in profondità all'interno della rete senza essere rilevato.

"Con questo livello di dettaglio, impersonare la rete o gli host interni sarebbe molto più semplice per un utente malintenzionato, soprattutto perché i dispositivi spesso contengono credenziali VPN o altri token di autenticazione facilmente violabili" - ESET

Sulla base dei dettagli scoperti nei router, molti di loro si trovavano in ambienti di provider IT gestiti, che gestiscono le reti di grandi aziende.

Un dispositivo apparteneva persino a un fornitore di servizi di sicurezza gestiti (MSSP) che gestiva reti per centinaia di clienti in vari settori (ad esempio istruzione, finanza, assistenza sanitaria, produzione).

A seguito delle loro scoperte, i ricercatori sottolineano l'importanza di pulire correttamente i dispositivi di rete prima di sbarazzarsene. Le aziende dovrebbero disporre di procedure per la distruzione e lo smaltimento sicuri delle loro apparecchiature digitali.

I ricercatori avvertono inoltre che l'utilizzo di un servizio di terze parti per questa attività potrebbe non essere sempre una buona idea. Dopo aver informato il proprietario di un router delle loro scoperte, hanno appreso che la società aveva utilizzato tale servizio. "Chiaramente non è andata come previsto."

Il consiglio qui è di seguire le raccomandazioni del produttore del dispositivo per pulire l'apparecchiatura da dati potenzialmente sensibili e riportarla a uno stato predefinito di fabbrica.

https://www.bleepingcomputer.com/news/security/hackers-can-breach-networks-using-data-on-resold-corporate-routers/

Bitcoin supera brevemente i 30.000 USD

Angelo Domeneghini — Mon, 24 Apr 2023 10:01:00 GMT

Il calo dell'inflazione spinge la principale crypto

I prezzi delle crypto sono in rialzo, grazie al raggiungimento di importanti traguardi nel settore.

Tra questi, il successo dell'aggiornamento di Shanghai di Ethereum,

il nono mese consecutivo di calo dei dati sull'inflazione negli Stati Uniti e una partnership tra Twitter ed eToro, che consentirà agli utenti del social network di accedere alle crypto e ad altri asset finanziari.

In testa al mercato, Ethereum aggiudicandosi il maggior guadagno della settimana, mentre Bitcoin ha brevemente superato i 31.000 USD.

Nel frattempo, le piattaforme di smart contract minori, Solana e Cardano sono salite con guadagni settimanali a due cifre, sulla scia dell'importante aggiornamento di Ethereum.

Il focus di questa settimana

• Ethereum supera i 2.000 USD grazie a Shanghai: l'aggiornamento porterà la domanda istituzionale?

• Bitcoin supera brevemente i 30.000 USD

• Solana guadagna 25 USD con il lancio dello smartphone Saga

Dopo un periodo di consolidamento, BTC ha brevemente superato i 30.000 USD, prima di testare il supporto a 29.000 USD

Giovedì, AT&T ha registrato il peggior giorno degli ultimi anni, con un calo del prezzo delle azioni di oltre il 10%.

Angelo Domeneghini — Mon, 24 Apr 2023 09:50:00 GMT

T -10,41%

Giovedì, AT&T ha registrato il peggior giorno degli ultimi anni, con un calo del prezzo delle azioni di oltre il 10%. Nonostante una solida performance in diverse metriche durante il primo trimestre, gli investitori sono rimasti delusi dal rallentamento della crescita degli abbonati e da un flusso di cassa operativo insoddisfacente, mettendo in fuga gli azionisti.

DHI 5,64%

D.R. Horton ha registrato una notevole impennata del prezzo delle sue azioni, dopo aver ottenuto risultati sbalorditivi per il suo secondo trimestre fiscale: un utile per azione di 2,73 USD e ricavi per 7,97 Mrd USD, superando di gran lunga le aspettative degli analisti di Refinitiv, che avevano previsto un utile per azione di soli 1,93 USD su ricavi per 6,47 Mrd USD.

TRIP -4,65%

Le azioni di Tripadvisor hanno subito un calo, dopo che Truist le ha declassate da 'buy' a 'hold'. Ciononostante, l'azienda ha registrato un aumento complessivo del 2% del valore delle sue azioni nel corso dell'anno, ma la società di Wall Street ritiene che ci siano altre opportunità più redditizie nel settore dei viaggi.

PG -0,26%

Gli investitori si aspettano che P&G registri una crescita delle vendite, un EPS di 1,33 USD e un flusso di cassa operativo rettificato di 3,4 Mrd USD. Le negoziazioni delle opzioni indicano un movimento del 2% dopo gli utili; UBS non si aspetta risultati positivi, mentre Morgan Stanley è ottimista, grazie al rialzo sul breve termine e al potenziale recupero dei margini.

I migliori

XPO

40,79

17,96%

VERU

1,20

16,5%

NOVA

18,15

14,66%

I peggiori

BBBY

0,3

-35,34%

CRBP

8,01

-20,46%

IDEX

0,047

-20,34%

L'Oracolo colpisce ancora

Warren Buffett ha recentemente rivelato di aver ceduto le sue partecipazioni in diverse banche, a causa delle loro pratiche rischiose e della loro contabilità ingannevole.

Aveva previsto l'attuale crisi bancaria, con crolli come quello della Silicon Valley Bank e Signature Bank , che avevano fatto temere una crisi bancaria internazionale.

Le sue nuove posizioni in Citigroup, Ally Financial, Jefferies e NuBank , oltre a un aumento del 9% della sua partecipazione in Bank of America, dimostrano la sua fiducia nel futuro successo di alcuni istituti di credito.

Google si prepara alla prossima settimana

Alphabet si prepara a rilasciare gli utili del primo trimestre la prossima settimana, rivelando dettagli sulla riduzione della forza lavoro e sui tagli agli uffici, oltre a cambiamenti nella distribuzione dei costi. L'azienda sta sostenendo oneri per 2,4 Mrd USD e sta rivedendo la tempistica dei premi azionari. DeepMind apparirà tra i costi non allocati a partire dal secondo trimestre, mentre i risultati precedenti saranno rielaborati. Gli analisti avevano previsto un EPS di 1,07 USD e un fatturato di 68,8 Mrd USD. I risultati saranno pubblicati il 25 aprile.

Calo delle vendite di abitazioni esistenti

A marzo, le vendite di abitazioni di proprietà sono diminuite drasticamente, con un calo del 2,4% rispetto al mese precedente e del 22% rispetto allo stesso periodo dell'anno precedente. Questo forte calo può essere in gran parte attribuito al netto aumento dei tassi di interesse sui mutui, che ha reso i potenziali acquirenti più sensibili anche a piccole fluttuazioni. I numeri riflettono i contratti firmati a gennaio e febbraio, quando i tassi erano particolarmente volatili.

Altre notizie

Le azioni di Renault sono scese dell'8% nonostante i ricavi siano aumentati del 29,9%, superando le aspettative degli analisti. La casa automobilistica ha riconfermato le prospettive per il 2023.

21/04/2023 Dopo la chiusura del mercato

SAND.ST

Sandvik AB

225,00

(0,13%)

24/04/2023 Prima dell'apertura del mercato

Coca-Cola

63,96

(0,44%)

Filmati di "UFO" catturati nel cielo sopra Glasgow prima che gli oggetti "entrino in orbita"

Angelo Domeneghini — Mon, 24 Apr 2023 08:51:00 GMT

Filmati di "UFO" catturati nel cielo sopra Glasgow prima che gli oggetti "entrino in orbita"

L'uomo, che non vuole essere nominato, ha detto che stava lavorando al Dalmarnock WastewaterTreatment Works quando il suo amico ha individuato gli oggetti in alto, poco dopo le 11:05 di lunedì.

Due "UFO" avvistati nel cielo di Glasgow mentre l'elicottero della polizia si libra nelle vicinanze

Un falegname scozzese ha catturato filmati di due "UFO" nei cieli sopra Glasgow che, secondo lui, "sono saliti in orbita contemporaneamente".

Parlando al Record, ha detto: “Ho alzato lo sguardo e ho pensato che fossero due droni in bilico per circa tre minuti. Poi ci siamo resi conto che c'era un elicottero della polizia che si era fermato di colpo dietro di noi.

"Non sono sicuro se sia stata solo una coincidenza o meno.

“Dopo che abbiamo interrotto le riprese, gli oggetti sono saliti in orbita contemporaneamente. Non si sono alzati ma sono saliti gradualmente. Avevo smesso di filmare perché pensavo che sarebbe stato meglio andare avanti con il lavoro.

"È molto strano."

Il video mostra un oggetto più scuro in basso nel cielo con lampi di luce provenienti da esso, mentre l'oggetto più in alto è bianco ma a volte sembra anche luccicare.

https://www.dailyrecord.co.uk/news/scottish-news/footage-ufos-captured-sky-above-25519100?_ga=2.223509595.1971531475.1641498730-381393406.1607631753

Ufo, una sfera metallica sfreccia nel cielo: il nuovo video della Difesa Usa

Angelo Domeneghini — Mon, 24 Apr 2023 08:32:00 GMT

Ufo, una sfera metallica sfreccia nel cielo: il nuovo video della Difesa Usa

Lo scorso 19 aprile la commissione Difesa del Senato Usa ha tenuto un'audizione pubblica con l'AARO, l'unità operativa della Difesa statunitense dedicata esclusivamente ai fenomeni non identificati (All-domain Anomaly Resolution Office).

Durante l'audizione, il direttore dell'AARO Sean M. Kirkpatrick ha mostrato un nuovo video, declassificato e quindi non più secretato, in cui si vede distintamente una sfera metallica ufficialmente non identificata sfrecciare nel cielo nell'area di una missione militare non specificata, registrato da un drone il 12 luglio del 2022 in Medio Oriente.

Come stabilito dal comunicato ufficiale della Difesa Usa, il Pentagono "non ha prove scientifiche dell'attività di fenomeni che superino le leggi note della Fisica" ma sta "lavorando per comprendere meglio il fenomeno Uap", dove Uap è una sigla che indica tutto ciò che risulta non identificato sia in cielo che in terra che in acqua, e lo farà analizzando e ricercando i dati, specifica Kirkpatrick, su centinaia di possibili casi Uap, tra cui quello che si vede in questo video.

https://video.repubblica.it/mondo/ufo-una-sfera-metallica-sfreccia-nel-cielo-il-nuovo-video-della-difesa-usa/442875/443837

WhatsApp proteggerà il cambio di smartphone

Angelo Domeneghini — Mon, 17 Apr 2023 15:41:00 GMT

WhatsApp "scherma" il cambio di smartphone

Se installi l'app di messaggistica su un nuovo dispositivo, dovrai convalidare la tua identità su quello vecchio in caso di sospetto di truffa.

L'app di messaggistica di Meta (ex Facebook) vuole tenere a bada i truffatori.

Il gruppo Meta (ex Facebook) implementerà una manciata di nuove funzionalità su WhatsApp rafforzandone la sicurezza.

In particolare, gli utenti rischiano di avere una sorpresa quando vogliono cambiare smartphone e installare su di essi l'applicazione di messaggistica.

Potrebbero dover utilizzare il vecchio dispositivo per confermare il trasferimento del proprio account sul nuovo dispositivo.

Il gruppo di Mark Zuckerberg afferma di voler proteggere meglio gli account dei propri utenti dall'hacking della loro scheda SIM e da altri attacchi di social engineering.

La verifica del dispositivo aiuterà WhatsApp a identificare la protezione dell'account dell'utente senza interruzioni

Whatsapp, blog ufficiale

La procedura non sarà sistematica, ha spiegato WhatsApp al sito Engadget. I sistemi di sicurezza dovranno avere sospetti di uso fraudolento. L'editore dell'applicazione sembra aver previsto il colpo nel caso in cui un utente nella sua destra avesse cambiato le sue abitudini di connessione e non avesse a portata di mano il secondo dispositivo. Può quindi richiedere l'invio di una seconda password monouso.

Le nuove funzionalità di sicurezza verranno implementate "nei prossimi mesi" per tutti i clienti abituali di WhatsApp. Nel frattempo, si consiglia comunque di abilitare l'autenticazione a due fattori e il backup crittografato.

https://www.20min.ch/fr/story/whatsapp-blinde-le-changement-de-smartphone-283850446490

I nuovi attacchi e-mail QBot utilizzano la combinazione PDF e WSF per installare malware

Angelo Domeneghini — Mon, 17 Apr 2023 15:33:00 GMT

I nuovi attacchi e-mail QBot utilizzano la combinazione PDF e WSF per installare malware

Malware QBot

Il malware QBot è ora distribuito in campagne di phishing che utilizzano PDF e Windows Script Files (WSF) per infettare i dispositivi Windows.

Qbot (alias QakBot) è un ex trojan bancario che si è evoluto in malware che fornisce l'accesso iniziale alle reti aziendali per altri attori delle minacce. Questo accesso iniziale viene effettuato eliminando payload aggiuntivi, come Cobalt Strike, Brute Ratel e altri malware che consentono ad altri attori delle minacce di accedere al dispositivo compromesso.

Utilizzando questo accesso, gli attori delle minacce si diffondono lateralmente attraverso una rete, rubando dati e infine distribuendo ransomware in attacchi di estorsione.

A partire da questo mese, il ricercatore di sicurezza ProxyLife e il gruppo Cryptolaemus hanno raccontato l'uso da parte di Qbot di un nuovo metodo di distribuzione della posta elettronica: allegati PDF che scaricano i file di script di Windows per installare Qbot sui dispositivi delle vittime.

Inizia con un'e-mail

QBot viene attualmente distribuito tramite e-mail di phishing a catena di risposta, quando gli attori delle minacce utilizzano scambi di e-mail rubate e quindi rispondono con collegamenti a malware o allegati dannosi.

L'uso di e-mail a catena di risposta è un tentativo di rendere un'e-mail di phishing meno sospetta in quanto è una risposta a una conversazione in corso.

Le e-mail di phishing utilizzano una varietà di lingue, contrassegnandola come una campagna di distribuzione di malware in tutto il mondo.

In allegato a queste e-mail è presente un file PDF denominato "Lettera di cancellazione-[numero].pdf" che, una volta aperto, visualizza un messaggio che indica: "Questo documento contiene file protetti, per visualizzarli, fare clic sul pulsante "apri"".

Tuttavia, quando si fa clic sul pulsante, verrà invece scaricato un file ZIP che contiene un file Windows Script (wsf).

Un file Windows Script termina con un'estensione .wsf e può contenere una combinazione di codice JScript e VBScript che viene eseguito quando si fa doppio clic sul file.

Il file WSF utilizzato nella campagna di distribuzione del malware QBot è fortemente offuscato, con l'obiettivo finale di eseguire uno script PowerShell sul computer.

Lo script di PowerShell eseguito dal file WSF tenta di scaricare una DLL da un elenco di URL. Ogni URL viene provato finché il file non viene scaricato correttamente nella cartella %TEMP% ed eseguito.

Quando viene eseguita la DLL QBot, eseguirà il comando PING per determinare se è presente una connessione Internet. Il malware si inietterà quindi nel legittimo programma Windows wermgr.exe (Windows Error Manager), dove verrà eseguito silenziosamente in background.

Le infezioni da malware QBot possono portare ad attacchi devastanti alle reti aziendali, rendendo fondamentale capire come viene distribuito il malware.

Gli affiliati ransomware collegati a più operazioni Ransomware-as-a-Service (RaaS), tra cui BlackBasta, REvil, PwndLocker, Egregor, ProLock e MegaCortex, hanno utilizzato Qbot per l'accesso iniziale alle reti aziendali.

I ricercatori di The DFIR Report hanno dimostrato che QBot impiega solo circa 30 minuti per rubare dati sensibili dopo l'infezione iniziale. Ancora peggio, l'attività dannosa impiega solo un'ora per diffondersi alle workstation adiacenti.

Pertanto, se un dispositivo viene infettato da QBot, è fondamentale portare il sistema offline il prima possibile ed eseguire una valutazione completa della rete per comportamenti insoliti.

https://www.bleepingcomputer.com/news/security/new-qbot-email-attacks-use-pdf-and-wsf-combo-to-install-malware/

Un malware Android si infiltra in 60 app di Google Play con 100 milioni di installazioni

Angelo Domeneghini — Mon, 17 Apr 2023 15:12:00 GMT

Il malware Android si infiltra in 60 app di Google Play con 100 milioni di installazioni

Un nuovo malware Android chiamato "Goldoson" si è infiltrato in Google Play attraverso 60 app legittime che hanno complessivamente 100 milioni di download.

Il componente malware dannoso fa parte di una libreria di terze parti utilizzata da tutte le sessanta app che gli sviluppatori hanno inconsapevolmente aggiunto alle loro app.

Alcune delle app interessate sono:

L.POINT con L.PAY - 10 milioni di download

Scorri Brick Breaker - 10 milioni di download

Money Manager Expense & Budget - 10 milioni di download

GOM Player - 5 milioni di download

Punteggio LIVE, Punteggio in tempo reale - 5 milioni di download

Pikicast - 5 milioni di download

Compass 9: Smart Compass - 1 milione di download

GOM Audio - Musica, sincronizzazione testi - 1 milione di download

LOTTE WORLD Magicpass - 1 milione di download

Bounce Brick Breaker - 1 milione di download

Infinite Slice - 1 milione di download

SomNote - Bellissima app per appunti - 1 milione di download

Informazioni sulla metropolitana della Corea: Metroid - 1 milione di download

Secondo il team di ricerca di McAfee, che ha scoperto Goldoson, il malware può raccogliere dati su app installate, dispositivi connessi WiFi e Bluetooth e posizioni GPS dell'utente.

Inoltre, può eseguire frodi pubblicitarie facendo clic sugli annunci in background senza il consenso dell'utente.

Ruba i dati da dispositivi Android

Quando l'utente avvia un'app che contiene Goldoson, la libreria registra il dispositivo e ne riceve la configurazione da un server remoto il cui dominio è offuscato.

La configurazione contiene parametri che impostano quali funzioni di furto di dati e clic sugli annunci pubblicitari Goldoson dovrebbe eseguire sul dispositivo infetto e con quale frequenza.

La funzione di raccolta dati è in genere impostata per attivarsi ogni due giorni, inviando al server C2 un elenco di app installate, cronologia della posizione geografica, indirizzo MAC dei dispositivi connessi tramite Bluetooth e WiFi e altro.

Il livello di raccolta dei dati dipende dalle autorizzazioni concesse all'app infetta durante la sua installazione e dalla versione di Android. Android 11 e versioni successive sono meglio protetti dalla raccolta arbitraria di dati; tuttavia, McAfee ha scoperto che anche nelle versioni recenti del sistema operativo, Goldoson disponeva di autorizzazioni sufficienti per raccogliere dati sensibili nel 10% delle app.

La funzione di clic sugli annunci avviene caricando il codice HTML e inserendolo in una WebView personalizzata e nascosta, quindi utilizzandolo per eseguire più visite URL, generando entrate pubblicitarie.

La vittima non vede alcuna indicazione di questa attività sul proprio dispositivo.

McAfee è un membro di Google App Defense Alliance che aiuta a proteggere Google Play dalle minacce malware/adware. Pertanto, i ricercatori hanno informato Google delle sue scoperte e gli sviluppatori delle app interessate sono stati avvisati di conseguenza.

Molte delle app interessate sono state ripulite dai loro sviluppatori, che hanno rimosso la libreria offensiva, e quelle che non hanno risposto in tempo hanno rimosso le loro app da Google Play per non conformità con le politiche dello store.

Google ha confermato l'azione a BleepingComputer, affermando che le app violavano le norme di Google Play.

"La sicurezza degli utenti e degli sviluppatori è al centro di Google Play. Quando troviamo app che violano le nostre norme, prendiamo le misure appropriate", ha dichiarato Google a BleepingComputer.

"Abbiamo notificato agli sviluppatori che le loro app violano le norme di Google Play e sono necessarie correzioni per essere conformi".

Gli utenti che hanno installato un'app interessata da Google Play possono rimediare al rischio applicando l'ultimo aggiornamento disponibile.

Tuttavia, Goldoson esiste anche su app store Android di terze parti e le possibilità che coloro che ancora ospitano la libreria dannosa sono elevate.

Segni comuni di infezione da adware e malware includono il surriscaldamento del dispositivo, il rapido scaricamento della batteria e un utilizzo insolitamente elevato dei dati Internet anche quando il dispositivo non è in uso.

https://www.bleepingcomputer.com/news/security/android-malware-infiltrates-60-google-play-apps-with-100m-installs/

Siti compromessi sorpresi a diffondere malware tramite falsi aggiornamenti di Chrome

Angelo Domeneghini — Wed, 12 Apr 2023 08:48:00 GMT

Siti compromessi sorpresi a diffondere malware tramite falsi aggiornamenti di Chrome

Gli hacker stanno compromettendo i siti Web per iniettare script che mostrano falsi errori di aggiornamento automatico di Google Chrome che distribuiscono malware a visitatori ignari.

La campagna è in corso da novembre 2022 e, secondo l'analista di sicurezza di NTT Rintaro Koike, ha cambiato marcia dopo febbraio 2023, ampliando il suo ambito di targeting per coprire gli utenti che parlano giapponese, coreano e spagnolo.

BleepingComputer ha trovato numerosi siti compromessi in questa campagna di distribuzione di malware, inclusi siti per adulti, blog, siti di notizie e negozi online.

Falsi errori di aggiornamento di Chrome

L'attacco inizia compromettendo i siti Web per iniettare codice JavaScript dannoso che esegue script quando un utente li visita. Questi script scaricheranno script aggiuntivi in base al fatto che il visitatore sia il pubblico di destinazione.

Questi script dannosi vengono forniti tramite il servizio Pinata IPFS (InterPlanetary File System), che offusca il server di origine che ospita i file, rendendo inefficace la blocklist e resistendo alle operazioni di rimozione.

Se un visitatore mirato naviga nel sito, gli script visualizzeranno una falsa schermata di errore di Google Chrome che indica che non è stato possibile installare un aggiornamento automatico necessario per continuare a navigare nel sito.

"Si è verificato un errore nell'aggiornamento automatico di Chrome. Installa il pacchetto di aggiornamento manualmente in un secondo momento o attendi il prossimo aggiornamento automatico", si legge nel falso messaggio di errore di Chrome.

Errore falso servito ai visitatori

Falso errore servito ai visitatori (NTT)

Gli script scaricheranno quindi automaticamente un file ZIP chiamato "release.zip" mascherato da aggiornamento di Chrome che l'utente dovrebbe installare.

JavaScript che attiva il drop ZIP

JavaScript che attiva il drop ZIP (NTT)

Tuttavia, questo file ZIP contiene un minatore Monero che utilizzerà le risorse della CPU del dispositivo per estrarre la criptovaluta per gli attori delle minacce.

All'avvio, il malware si copia in C:\Program Files\Google\Chrome come "updater.exe" e quindi avvia un eseguibile legittimo per eseguire l'iniezione di processo ed eseguire direttamente dalla memoria.

Secondo VirusTotal, il malware utilizza la tecnica "BYOVD" (porta il tuo driver vulnerabile) per sfruttare una vulnerabilità nel legittimo WinRing0x64.sys per ottenere privilegi di SISTEMA sul dispositivo.

Il minatore persiste aggiungendo attività pianificate ed eseguendo modifiche al registro mentre si esclude da Windows Defender.

Inoltre, interrompe Windows Update e interrompe la comunicazione dei prodotti di sicurezza con i loro server modificando gli indirizzi IP di questi ultimi nel file HOSTS. Ciò ostacola gli aggiornamenti e il rilevamento delle minacce e può persino disabilitare del tutto un AV.

Dopo tutti questi passaggi, il minatore si connette a xmr.2miners[.]com e inizia a estrarre la criptovaluta difficile da rintracciare Monero (XMR).

Mentre alcuni dei siti web che sono stati deturpati sono giapponesi, NTT avverte che la recente inclusione di lingue aggiuntive potrebbe indicare che gli autori delle minacce intendono espandere il loro ambito di targeting, quindi l'impatto della campagna potrebbe presto diventare maggiore.

Come sempre, non installare mai gli aggiornamenti di sicurezza per il software installato su siti di terze parti e installarli solo dagli sviluppatori del software o tramite aggiornamenti automatici integrati nel programma.

https://www.bleepingcomputer.com/news/security/hacked-sites-caught-spreading-malware-via-fake-chrome-updates/

Condivisione nelle vicinanze: trasferimento di file semplificato tra Android e Windows

Angelo Domeneghini — Tue, 11 Apr 2023 15:55:00 GMT

Nearby Share

Condivisione nelle vicinanze: trasferimento di file semplificato tra Android e Windows

Google ha reso disponibile su PC Windows la sua funzionalità equivalente all'AirDrop di Apple per la condivisione di contenuti tra dispositivi vicini.

Il servizio di condivisione nelle vicinanze diventa compatibile con i computer che eseguono Windows 10 e 11 (64 bit e non ARM).

Lanciato nel 2020 per semplificare il trasferimento di foto, documenti e altri file tra smartphone e tablet Android, il servizio Nearby Share di Google arriva in versione beta sui computer Windows. Compatibile con le versioni 10 e 11 del sistema operativo Microsoft nella sola versione a 64 bit, l'applicazione attiva su Windows questa funzionalità equivalente al servizio AirDrop di Apple per l'invio e la ricezione di contenuti tra cellulari Android e PC Windows nelle vicinanze (entro un raggio massimo di 5 metri ).

Dopo aver installato l'app su PC, è necessario connettersi al proprio account Google, attivare wi-fi e Bluetooth e geolocalizzazione e rendere visibile il proprio computer. Per quest'ultimo passaggio sono a disposizione dell'utente diverse opzioni: rendere il PC visibile a tutti, solo ai contatti, solo ai propri dispositivi oppure a nessuno. Quindi rilascia semplicemente i file da trasferire in una finestra o fai clic con il pulsante destro del mouse e scegli l'opzione Condivisione nelle vicinanze per inviarli a un altro dispositivo compatibile nelle vicinanze.

La condivisione nelle vicinanze per Windows è stata implementata negli Stati Uniti e nella maggior parte dei paesi in tutto il mondo, ma alcuni mancano ancora. Inoltre, la versione beta dell'app per Windows (PC con processori ARM non supportati) al momento funziona solo con smartphone e tablet Android, ma Google prevede di espandere la compatibilità con altri dispositivi del suo ecosistema, come i Chromebook.

https://www.20min.ch/fr/story/le-transfert-de-fichiers-se-simplifie-entre-android-et-windows-677653709110

Apple risolve zero-days su iPhone ed iPad meno recenti

Angelo Domeneghini — Tue, 11 Apr 2023 15:32:00 GMT

Apple risolve zero-days su iPhone ed iPad meno recenti

Apple ha rilasciato aggiornamenti di emergenza per eseguire il backport delle patch di sicurezza rilasciate venerdì, affrontando due difetti zero-day sfruttati attivamente che interessano anche iPhone, iPad e Mac meno recenti.

"Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato", ha affermato la società negli avvisi di sicurezza pubblicati lunedì.

Il primo (tracciato come CVE-2023-28206) è una debolezza di scrittura fuori limite in IOSurfaceAccelerator che consente agli attori delle minacce di eseguire codice arbitrario con privilegi del kernel su dispositivi mirati tramite app dannose.

Il secondo zero-day (CVE-2023-28205) è un utilizzo di WebKit dopo che può consentire agli attori delle minacce di eseguire codice dannoso su iPhone, Mac o iPad compromessi dopo aver indotto i loro obiettivi a caricare pagine Web dannose.

Oggi, Apple ha risolto il problema degli zero-day in iOS 15.7.5 e iPadOS 15.7.5, macOS Monterey 12.6.5 e macOS Big Sur 11.7.6 migliorando la convalida dell'input e la gestione della memoria.

La società afferma che ora i bug sono stati corretti anche sul seguente elenco di dispositivi:

iPhone 6s (tutti i modelli),

iPhone 7 (tutti i modelli),

iPhone SE (1a generazione),

iPad Air 2,

iPad mini (4a generazione),

iPod touch (7a generazione),

e Mac con macOS Monterey e Big Sur.

I difetti sono stati segnalati dai ricercatori di sicurezza con il Threat Analysis Group di Google e il Security Lab di Amnesty International, che li hanno scoperti sfruttati in attacchi come parte di una catena di exploit.

Entrambe le organizzazioni riferiscono spesso di autori di minacce sostenuti dal governo che utilizzano tattiche e vulnerabilità simili per installare spyware sui dispositivi di individui ad alto rischio in tutto il mondo, come giornalisti, politici e dissidenti.

Ad esempio, hanno recentemente condiviso i dettagli sulle campagne che abusano di due catene di exploit mirate ai bug di Android, iOS e Chrome per installare malware di sorveglianza commerciale.

CISA ha anche ordinato alle agenzie federali di applicare patch ai propri dispositivi contro queste due vulnerabilità di sicurezza, note per essere attivamente sfruttate in natura per hackerare iPhone, Mac e iPad.

A metà febbraio, Apple ha corretto un altro WebKit zero-day (CVE-2023-23529) che era in attacchi per innescare arresti anomali e ottenere l'esecuzione di codice su dispositivi iOS, iPadOS e macOS vulnerabili.

https://www.bleepingcomputer.com/news/apple/apple-fixes-recently-disclosed-zero-days-on-older-iphones-and-ipads/

HP risolverà un bug critico nelle stampanti LaserJet entro 90 giorni

Angelo Domeneghini — Wed, 05 Apr 2023 12:58:00 GMT

HP risolverà un bug critico nelle stampanti LaserJet entro 90 giorni

HP ha annunciato in un bollettino sulla sicurezza di questa settimana che sarebbero necessari fino a 90 giorni per correggere una vulnerabilità di gravità critica che influisce sul firmware di alcune stampanti di livello aziendale.

Il problema di sicurezza viene registrato come CVE-2023-1707

e interessa circa 50 modelli di stampanti gestite HP Enterprise LaserJet e HP LaserJet.

La società ha calcolato un punteggio di gravità di 9,1 su 10 utilizzando lo standard CVSS v3.1 e osserva che sfruttarlo potrebbe potenzialmente portare alla divulgazione di informazioni.

Nonostante il punteggio elevato, esiste un contesto di sfruttamento restrittivo in quanto i dispositivi vulnerabili devono eseguire il firmware FutureSmart versione 5.6 e avere IPsec abilitato.

IPsec (Internet Protocol Security) è una suite di protocolli di sicurezza della rete IP utilizzata nelle reti aziendali per proteggere le comunicazioni remote o interne e impedire l'accesso non autorizzato alle risorse, comprese le stampanti.

FutureSmart consente agli utenti di lavorare e configurare le stampanti da un pannello di controllo disponibile presso la stampante o da un browser Web per l'accesso remoto.

In questo caso, il difetto di divulgazione delle informazioni potrebbe consentire a un utente malintenzionato di accedere a informazioni riservate trasmesse tra le stampanti HP vulnerabili e altri dispositivi sulla rete.

BleepingComputer ha contattato HP per saperne di più sull'impatto esatto del difetto e se il fornitore ha visto segni di sfruttamento attivo, ma non abbiamo ricevuto alcuna dichiarazione al momento della pubblicazione.

I seguenti modelli di stampante sono interessati da CVE-2023-1707:

HP Color LaserJet Enterprise M455

Multifunzione HP Color LaserJet Enterprise M480

HP Color LaserJet Managed E45028

Multifunzione gestita HP Color LaserJet E47528

Multifunzione gestita HP Color LaserJet E785dn, Multifunzione gestita HP Color LaserJet E78523, E78528

HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35

HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70

HP LaserJet Enterprise M406

HP LaserJet Enterprise M407

Stampante multifunzione HP LaserJet Enterprise M430

Stampante multifunzione HP LaserJet Enterprise M431

HP LaserJet Managed E40040

Multifunzione gestita HP LaserJet E42540

Multifunzione gestita HP LaserJet E730, MFP gestita HP LaserJet E73025, E73030

HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40

HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70

HP afferma che un aggiornamento del firmware che risolve la vulnerabilità verrà rilasciato entro 90 giorni, quindi al momento non è disponibile alcuna correzione.

La mitigazione consigliata per i clienti che eseguono FutureSmart 5.6 è il downgrade della versione del firmware a FS 5.5.0.3.

“HP consiglia di ripristinare immediatamente una versione precedente del firmware

(FutureSmart versione 5.5.0.3). Il firmware aggiornato per risolvere il problema è previsto entro 90 giorni. - HP

Si consiglia agli utenti di procurarsi il pacchetto firmware dal portale di download ufficiale di HP, dove possono selezionare il proprio modello di stampante e ottenere il relativo software.

Aggiornamento 4/5 - Un portavoce di HP ha inviato a BleepingComputer il seguente commento:

Il periodo di esposizione a questa potenziale vulnerabilità è stato molto breve (da metà febbraio 2023 a fine marzo 2023) ed esisteva solo su una versione specifica del firmware (FutureSmart versione 5). I clienti non possono più scaricare la versione del firmware che presentava questa potenziale vulnerabilità.

Durante questo breve periodo, se un cliente utilizzava IPsec, i dati del lavoro di scansione inviati dalla stampante (ad es. scansione su e-mail o scansione su SharePoint) potevano essere potenzialmente divulgati.

I dati erano potenzialmente esposti solo se gli utenti eseguivano la scansione di un lavoro e lo inviavano a una posizione remota (come e-mail, SharePoint, ecc.). Le credenziali avrebbero potuto essere potenzialmente esposte se non fossero state protette da TLS o altri meccanismi di crittografia sottostanti.

Questo problema è stato scoperto da HP durante i nostri test e ha agito immediatamente. HP non è a conoscenza di alcun exploit attivo.

https://www.bleepingcomputer.com/news/security/hp-to-patch-critical-bug-in-laserjet-printers-within-90-days/

Il ransomware ALPHV sfrutta i bug di Veritas Backup Exec per l'accesso iniziale

Angelo Domeneghini — Wed, 05 Apr 2023 12:48:00 GMT

Il ransomware ALPHV sfrutta i bug di Veritas Backup Exec per l'accesso iniziale

È stato osservato che un ransomware affiliato ALPHV/BlackCat sfruttava tre vulnerabilità che interessavano il prodotto Veritas Backup per l'accesso iniziale alla rete di destinazione.

L'operazione ransomware ALPHV è emersa nel dicembre 2021 ed è considerata gestita da ex membri dei programmi Darkside e Blackmatter che si sono interrotti bruscamente per sfuggire alle pressioni delle forze dell'ordine.

Mandiant traccia l'affiliato ALPHV come "UNC4466" e osserva che il metodo è una deviazione dalla tipica intrusione

che si basa su credenziali rubate.

Difetti sfruttati

Mandiant riferisce di aver osservato i primi casi di sfruttamento dei difetti di Veritas in natura il 22 ottobre 2022. I difetti ad alta gravità presi di mira da UNC4466 sono:

CVE-2021-27876: difetto di accesso ai file arbitrario causato da un errore nello schema di autenticazione SHA, che consente a un utente malintenzionato remoto di ottenere l'accesso non autorizzato agli endpoint vulnerabili. (Punteggio CVSS: 8.1)

CVE-2021-27877: accesso remoto non autorizzato ed esecuzione di comandi privilegiati all'agente BE tramite l'autenticazione SHA. (Punteggio CVSS: 8.2)

CVE-2021-27878: difetto di esecuzione del comando arbitrario risultato di un errore nello schema di autenticazione SHA, che consente a un utente malintenzionato remoto di ottenere l'accesso non autorizzato agli endpoint vulnerabili. (Punteggio CVSS: 8,8)

Tutti e tre i difetti hanno un impatto sul software Veritas Backup.

Il fornitore li ha resi noti nel marzo 2021 e ha rilasciato una correzione con la versione 21.2. Tuttavia, nonostante siano trascorsi più di due anni da allora, molti endpoint rimangono vulnerabili poiché non sono stati aggiornati a una versione sicura.

Mandiant afferma che un servizio di scansione commerciale ha mostrato che sul Web pubblico sono presenti più di 8.500 indirizzi IP che pubblicizzano il servizio "Symantec/Veritas Backup Exec ndmp" sulla porta predefinita 10000 e sulle porte 9000 e 10001.

"Sebbene questo risultato di ricerca non identifichi direttamente i sistemi vulnerabili, poiché le versioni dell'applicazione non erano identificabili, dimostra la prevalenza di istanze esposte a Internet che potrebbero essere potenzialmente analizzate dagli aggressori" - Mandiant

Un modulo Metasploit per sfruttare queste vulnerabilità è stato rilasciato al pubblico il 23 settembre 2022. Il codice consente agli aggressori di creare una sessione e interagire con gli endpoint violati.

Secondo Mandiant, UNC4466 ha iniziato a utilizzare il particolare modulo un mese dopo che è diventato disponibile.

Dettagli dell'attacco

Secondo le osservazioni di Mandiant, UNC4466 compromette un server Windows esposto a Internet che esegue Veritas Backup Exec utilizzando il modulo Metasploit disponibile pubblicamente e mantiene un accesso permanente all'host.

Dopo la compromissione iniziale, l'autore della minaccia ha utilizzato Advanced IP Scanner e le utilità ADRecon per raccogliere informazioni sull'ambiente della vittima.

Successivamente, hanno scaricato strumenti aggiuntivi sull'host come LAZAGNE, LIGOLO, WINSW, RCLONE e, infine, il crittografo ransomware ALPHV tramite il servizio di trasferimento intelligente in background (BITS).

L'autore della minaccia ha utilizzato il tunneling SOCKS5 per comunicare con il server di comando e controllo (C2).

I ricercatori spiegano che UNC4466 ha utilizzato i trasferimenti BITS per scaricare gli strumenti di tunneling SOCKS5 e ha distribuito il payload del ransomware aggiungendo attività immediate alla policy di dominio predefinita, disabilitando il software di sicurezza ed eseguendo il crittografo.

Per aumentare i privilegi, UNC4466 utilizza Mimikatz, LaZagne e Nanodump per rubare credenziali utente valide.

Infine, l'autore della minaccia elude il rilevamento cancellando i registri eventi e disabilitando la funzionalità di monitoraggio in tempo reale di Microsoft Defender.

Il rapporto di Mandiant fornisce una guida che i difensori possono seguire per rilevare tempestivamente gli attacchi UNC4466 e mitigarli prima che il payload ALPHV venga eseguito sui loro sistemi.

https://www.bleepingcomputer.com/news/security/alphv-ransomware-exploits-veritas-backup-exec-bugs-for-initial-access/

CISA mette in guardia dal bug Zimbra sfruttato in attacchi contro i paesi della NATO

Angelo Domeneghini — Wed, 05 Apr 2023 12:41:00 GMT

CISA mette in guardia dal bug Zimbra sfruttato in attacchi contro i paesi della NATO

La Cybersecurity and Infrastructure Security Agency (CISA) ha avvertito le agenzie federali di correggere un difetto di scripting cross-site di Zimbra Collaboration (ZCS) sfruttato dagli hacker russi per rubare e-mail in attacchi mirati ai paesi della NATO.

La vulnerabilità (CVE-2022-27926) è stata sfruttata da un gruppo di hacking russo noto come Winter Vivern e TA473 in attacchi a più portali webmail di governi allineati alla NATO per accedere alle caselle di posta elettronica di funzionari, governi, personale militare e diplomatici.

Gli attacchi di Winter Vivern iniziano con gli hacker che utilizzano lo scanner di vulnerabilità dello strumento Acunetix per trovare server ZCS vulnerabili e inviare agli utenti e-mail di phishing che falsificano i mittenti con cui i destinatari hanno familiarità.

Ogni e-mail reindirizzava gli obiettivi ai server controllati dagli aggressori che sfruttano il bug CVE-2022-27926 o tentano di indurre i destinatari a consegnare le proprie credenziali.

Quando vengono presi di mira da un exploit, gli URL contengono anche uno snippet JavaScript che scaricherà un payload di seconda fase per lanciare un attacco Cross-Site Request Forgery (CSRF) per rubare le credenziali degli utenti Zimbra e i token CSRF.

Nei passaggi seguenti, gli autori delle minacce hanno utilizzato le credenziali rubate per ottenere informazioni sensibili dagli account webmail violati o mantenere la persistenza per tenere traccia delle e-mail scambiate nel tempo.

Gli hacker possono anche sfruttare gli account compromessi per lanciare più attacchi di phishing ed espandere la loro infiltrazione nelle organizzazioni mirate.

Alle agenzie federali è stato ordinato di applicare patch fino al 24 aprile

La vulnerabilità è stata aggiunta oggi al catalogo KEV (Known Exploited Vulnerabilities) di CISA, un elenco di falle di sicurezza note per essere attivamente sfruttate in natura.

Secondo una direttiva operativa vincolante (BOD 22-01) emessa dall'agenzia per la sicurezza informatica degli Stati Uniti nel novembre 2021, le agenzie federali civili del ramo esecutivo (FCEB) devono applicare patch ai sistemi vulnerabili sulle loro reti contro i bug aggiunti all'elenco KEV.

CISA ha concesso alle agenzie FCEB tre settimane, fino al 24 aprile, per proteggere le proprie reti dagli attacchi che avrebbero preso di mira la falla CVE-2022-27926.

Sebbene BOD 22-01 si applichi solo alle agenzie FCEB, CISA ha anche fortemente esortato tutte le organizzazioni a dare la priorità alla risoluzione di questi bug per bloccare ulteriori tentativi di sfruttamento.

"Questi tipi di vulnerabilità sono vettori di attacco frequenti per attori informatici malintenzionati e pongono rischi significativi per l'impresa federale", ha avvertito oggi CISA.

Giovedì, la CISA ha anche ordinato alle agenzie federali di correggere le vulnerabilità di sicurezza sfruttate come zero-day nei recenti attacchi per distribuire spyware commerciale su dispositivi mobili Android e iOS, come recentemente rivelato dal Threat Analysis Group (TAG) di Google.

https://www.bleepingcomputer.com/news/security/cisa-warns-of-zimbra-bug-exploited-in-attacks-against-nato-countries/

Phishing: attenzione di Qrcode e ai PDF

Angelo Domeneghini — Wed, 29 Mar 2023 08:45:00 GMT

Phishing: attenzione di Qrcode e ai PDF

Il blocco delle macro di Office per impostazione predefinita sta costringendo gli attaccanti a pensare fuori dagli schemi: ecco le nuove idee che vanno per la maggiore.

La diversificazione delle tattiche di phishing sta assumendo proporzioni sempre maggiori.

Da tempo è il metodo principale di diffusione degli attacchi cyber, per questo i difensori s’ingegnano continuamente per ostacolare il successo delle email dannose. L’intervento più importante e recente è la disattivazione per default delle macro di Office operata da Microsoft, a seguito della quale abbiamo assistito a un proliferare di diversivi fra cui gli attacchi di phishing basati sulle immagini e quelli che fanno uso di caratteri speciali.

A fare il punto della situazione ci pensa HP Wolf Security con il suo ultimo Threat Insights Report da cui emerge un'impennata delle campagne di phishing con codice QR. In particolare, a partire da ottobre 2022 la soluzione HP ha rilevato con cadenza quasi quotidiana campagne di "truffa di scansione" di codici QR.

Consistono nell’invio di email in cui si invitano le potenziali vittime a scansionare con il proprio smartphone il codice QR inviato.

La scansione reindirizza a siti web dannosi che richiedono i dettagli della carta di credito e di debito per saldare pendenze con corrieri o simili.

Quella appena indicata è una novità rispetto alla diffusione di file malevoli in formato PDF, di cui abbiamo già parlato in passato. A tale riguardo HP delucida circa la proporzione della crescita di questa minaccia: + 38% degli allegati PDF dannosi rispetto alla rilevazione precedente. Inoltre, il report sottolinea che questo tipo di attacco viene usato per la diffusione di malware QakBot o IcedID e per distribuire ransomware.

Altra informazione interessante che emerge dal report riguarda il fatto che il 42% del malware è stato distribuito all'interno di file di archivio come ZIP, RAR e IMG, la cui popolarità è aumentata del 20% rispetto al primo trimestre del 2022, poiché gli autori delle minacce passano agli script per eseguire i loro payload.

I consigli di massima per limitare i danni sono sempre gli stessi:

prestare attenzione alle email e ai siti web che chiedono di scansionare codici QR, non fornire dati sensibili

e diffidare dei file PDF che collegano ad archivi protetti da password.

La maggior parte delle campagne di phishing fa affidamento sull’interazione dell’utente per andare a buon fine, quindi un approccio altamente diffidente può fare la differenza.

Sul piano aziendale, HP consiglia alle aziende di adottare tecniche di isolamento per contenere i vettori di attacco più comuni, e in affiancamento di adottare soluzioni di protezione delle credenziali che impediscano agli utenti di inserire dettagli sensibili su siti sospetti, così da ridurre la superficie di attacco.

https://www.securityopenlab.it/news/2592/phishing-attenzione-di-qrcode-e-ai-pdf.html

Flirt online: l'intelligenza artificiale potrebbe presto assumere il controllo dei preliminari su Tinder

Angelo Domeneghini — Mon, 27 Mar 2023 10:59:00 GMT

Flirt online: l'intelligenza artificiale potrebbe presto assumere il controllo dei preliminari su Tinder

L'app di appuntamenti ha negato qualsiasi attività da parte del robot conversazionale CupidBot, che promette di ottenere appuntamenti reali per i suoi clienti.

La credibilità del servizio è seriamente compromessa.

La promessa è forse troppo buona.

Il servizio CupidBot assicura ai propri clienti, per un abbonamento mensile di 15 dollari,

“di ottenere diversi appuntamenti a settimana su Tinder senza fare assolutamente nulla”.

L'algoritmo AI "fa scorrere il dito sulle ragazze che sono proprio il tuo tipo e lavora costantemente per ottenere corrispondenze di alta qualità", quindi un chatbot intervista le donne, finché non accettano di unirsi. Incontrare. La data viene quindi aggiunta al calendario dell'utente CupidBot, vanta il suo sito web.

Ma la credibilità del servizio è seriamente compromessa. "Non abbiamo prove che il bot sia utilizzato sulla piattaforma in questa fase", ha affermato la filiale del gruppo Match. Peggio ancora, il gruppo americano ha negato fermamente che i co-fondatori di CupidBot fossero ex dipendenti di Tinder, contrariamente alle loro affermazioni.

Durante la promozione di CupidBot, il suo portavoce ha detto a Motherboard che "il bot non rivela di essere un bot, quindi i 'match' possono fare una lunga chiacchierata con un bot prima di avere la minima idea che non sia un vero essere umano. Consigliamo vivamente ai nostri utenti di informare le donne una volta ottenuti i loro dettagli”.

CupidBot si è profilato come un servizio che vuole colmare gli "svantaggi che l'uomo medio deve affrontare negli appuntamenti online". I suoi responsabili hanno assicurato che l'obiettivo non era "saturare l'applicazione" con conversazioni tramite AI, né "oggettivare le donne", ma "costringere Tinder a rivalutare il suo funzionamento e facilitare il processo di datazione per alcune persone".

Da parte sua, il sito Motherboard ha aderito alla versione beta dell'applicazione indicando che si tratta dell'utente numero 5027 dei 6000 idonei, con accesso effettivo non avvenuto prima del 31 marzo. Qualunque cosa accada, Tinder potrebbe aver bisogno di intensificare la guardia contro una nuova forma di robot in futuro.

Se CupidBot non si fa strada, altri servizi potrebbero seguirne l'esempio con la prossima generazione di chatbot e il suo iconico OpenAI ChatGPT.

https://www.20min.ch/fr/story/lia-pourrait-bientot-se-charger-des-preliminaires-sur-tinder-301846658465

Meta: WhatsApp estende le sue capacità su Windows

Angelo Domeneghini — Thu, 23 Mar 2023 15:00:00 GMT

Meta: WhatsApp espande le sue capacità su Windows

Aggiornata, l'app per PC della piattaforma di messaggistica istantanea aumenta, tra l'altro, il numero dei partecipanti alle chiamate audio e video.

Le videochiamate si espandono fino a un massimo di 8 partecipanti sulla versione desktop di WhatsApp per Windows.

In un post su Facebook, il suo capo Mark Zuckerberg ha annunciato, nella notte tra martedì e mercoledì, una nuova versione dell'app WhatsApp per computer Windows. Questo aggiornamento ora consente all'app di supportare videochiamate crittografate end-to-end per un massimo di 8 partecipanti e audio per un massimo di 32 persone. In una dichiarazione sul proprio sito Web, Meta Group promette che questi limiti continueranno a essere spinti in futuro.

Dovrebbe caricarsi più velocemente, questa nuova app desktop utilizza l'interfaccia della versione mobile, indica inoltre la società. Questo ricorda di aver recentemente lanciato una nuova versione dell'app per Mac in fase beta pubblica. Il servizio di messaggistica, che concentra i propri sforzi sul miglioramento dell'esperienza utente su schermi di grandi dimensioni poiché consente l'utilizzo di un account su più dispositivi, sta testando anche una versione ottimizzata per i tablet Android.

Nuove caratteristiche

All'inizio di questa settimana, WhatsApp ha annunciato nuove funzionalità che offrono agli amministratori dei gruppi di chat un maggiore controllo, semplificando la gestione di chi può e non può unirsi a loro.

Queste nuove funzionalità seguono altre aggiunte, come reazioni e messaggi vocali negli stati, la possibilità di trasformare i messaggi vocali in testi, o anche la modalità picture-in-picture per le videochiamate.

https://www.20min.ch/fr/story/whatsapp-etend-ses-capacites-sur-windows-766626237657

Bug sulla privacy dello strumento di cattura di Windows 11 espone il contenuto dell'immagine ritagliata

Angelo Domeneghini — Thu, 23 Mar 2023 14:52:00 GMT

Bug sulla privacy dello strumento di cattura di Windows 11 espone il contenuto dell'immagine ritagliata

È stato riscontrato anche un grave difetto di privacy denominato "acropalypse" che colpisce lo strumento di cattura di Windows, consentendo alle persone di recuperare parzialmente il contenuto che è stato modificato da un'immagine.

La scorsa settimana, i ricercatori di sicurezza David Buchanan e Simon Aarons hanno scoperto che un bug nello strumento di markup di Google Pixel ha causato la conservazione dei dati dell'immagine originale anche se sono stati modificati o ritagliati.

Questo difetto pone un notevole problema di privacy poiché se un utente condivide un'immagine, come una carta di credito con un numero oscurato o rivelando foto con il volto rimosso, potrebbe essere possibile recuperare parzialmente la foto originale.

Per illustrare questo bug, i ricercatori hanno lanciato un'utilità di recupero degli screenshot di acropalypse online che tenterebbe di recuperare le immagini modificate create su Google Pixel.

Anche lo strumento di cattura di Windows 11 è interessato

Oggi, l'ingegnere del software Chris Blume ha confermato che il difetto di privacy "acropalypse" colpisce anche lo strumento di cattura di Windows 11.

Chris ha twittato

Quando si apre un file nello Strumento di cattura di Windows 11 e si sovrascrive un file esistente, invece di troncare i dati inutilizzati, lascia indietro i dati inutilizzati, consentendone il recupero parziale.

Anche l'esperto di vulnerabilità Will Dormann ha confermato il difetto di Windows 11 Snipping Tool e, con l'aiuto di Dormann, anche BleepingComputer ha confermato il problema.

Per verificarlo, abbiamo aperto un file PNG esistente nello strumento di cattura di Windows 11, ritagliato (può anche modificarlo o contrassegnarlo) e quindi salvato le modifiche nel file originale.

Sebbene l'immagine ritagliata ora contenga molti meno dati rispetto a quella originale, le dimensioni del file immagine originale (office-screenshot-original.png) e del file immagine ritagliata (office-screenshot.png) sono le stesse,

La specifica del file PNG richiede che un file di immagine PNG termini sempre con un blocco di dati "IEND", con qualsiasi dato aggiunto dopo essere stato ignorato dagli editor di immagini e dai visualizzatori.

Tuttavia, utilizzando lo strumento di cattura di Windows 11 per sovrascrivere l'immagine originale con la versione ritagliata, il programma non ha troncato correttamente i dati inutilizzati e rimane dopo il blocco di dati IEND.

L'apertura del file in un visualizzatore di immagini visualizza solo l'immagine ritagliata, poiché qualsiasi cosa dopo il primo IEND viene ignorata.

Tuttavia, questi dati non troncati possono essere utilizzati per ricreare parzialmente l'immagine originale, consentendo potenzialmente di rivelare parti sensibili.

Sebbene l'app di recupero degli screenshot dell'acropalypse online del ricercatore non funzioni attualmente con i file Windows, Buchanan ha condiviso uno script Python con BleepingComputer che può essere utilizzato per recuperare i file Windows.

Utilizzando questo script, BleepingComputer ha recuperato con successo una parte dell'immagine, come mostrato di seguito.

Questo non è stato un ripristino completo dell'immagine originale e potresti chiederti perché questo è un rischio per la privacy.

Immagina di aver acquisito uno screenshot di un foglio di calcolo sensibile, di documenti riservati o persino di un'immagine di nudo e di ritagliare informazioni sensibili o parti dell'immagine.

Anche se non riesci a recuperare completamente l'immagine originale, qualcuno potrebbe recuperare informazioni sensibili che non vorresti rendere pubbliche.

Va inoltre notato che non tutti i file PNG, come i PNG ottimizzati, sono interessati da questo difetto.

"Il tuo PNG originale è stato salvato con un singolo blocco zlib (comune per i PNG" ottimizzati ") ma gli screenshot effettivi vengono salvati con più blocchi zlib (che il mio exploit richiede)", ha spiegato Buchanan a BleepingComputer.

BleepingComputer ha anche scoperto che se apri un file PNG non troncato in un editor di immagini, come Photoshop, e lo salvi in un altro file, i dati inutilizzati alla fine verranno rimossi, rendendoli non più recuperabili.

Infine, anche lo strumento di cattura di Windows 11 esegue lo stesso comportamento con i file JPG, lasciando i dati non troncati se sovrascritti. Tuttavia, Buchanan ha detto a BleepingComputer che il suo exploit attualmente non funziona su JPG, ma potrebbe essere possibile.

Microsoft ha dichiarato a BleepingComputer di essere a conoscenza dei rapporti e li sta esaminando.

"Siamo a conoscenza di queste segnalazioni e stiamo indagando. Prenderemo le misure necessarie per aiutare a proteggere i clienti", ha detto a BleepingComputer un portavoce di Microsoft.

https://www.bleepingcomputer.com/news/microsoft/windows-11-snipping-tool-privacy-bug-exposes-cropped-image-content/

Account Facebook dirottati dalla nuova estensione malevola ChatGPT per Chrome

Angelo Domeneghini — Thu, 23 Mar 2023 14:43:00 GMT

Account Facebook dirottati dalla nuova estensione malevola ChatGPT per Chrome

Una versione trojanizzata della legittima estensione ChatGPT per Chrome sta guadagnando popolarità sul Chrome Web Store, accumulando oltre 9.000 download mentre ruba account Facebook.

L'estensione è una copia del popolare componente aggiuntivo legittimo per Chrome denominato "ChatGPT per Google" che offre l'integrazione di ChatGPT nei risultati di ricerca. Tuttavia, questa versione dannosa include codice aggiuntivo che tenta di rubare i cookie di sessione di Facebook.

L'editore dell'estensione l'ha caricata sul Chrome Web Store il 14 febbraio 2023, ma ha iniziato a promuoverla utilizzando gli annunci della Ricerca Google solo il 14 marzo 2023. Da allora, ha avuto una media di mille installazioni al giorno.

Componente aggiuntivo disponibile su Chrome Web Store

Il ricercatore che l'ha scoperto, Nati Tal di Guardio Labs, riferisce che l'estensione sta comunicando con la stessa infrastruttura utilizzata all'inizio di questo mese da un simile componente aggiuntivo di Chrome che ha accumulato 4.000 installazioni prima che Google lo rimuovesse dal Chrome Web Store.

Pertanto, questa nuova variante è considerata parte della stessa campagna, che gli operatori conservavano come backup sul Chrome Web Store per quando la prima estensione sarebbe stata segnalata e rimossa.

Targeting degli account Facebook

L'estensione dannosa viene promossa tramite pubblicità nei risultati di ricerca di Google, che sono ben visibili durante la ricerca di "Chat GPT 4".

Facendo clic sui risultati di ricerca sponsorizzati, gli utenti vengono indirizzati a una falsa pagina di destinazione "ChatGPT per Google" e, da lì, alla pagina dell'estensione nello store ufficiale dei componenti aggiuntivi di Chrome.

Dopo che la vittima ha installato l'estensione, ottiene la funzionalità promessa (integrazione di ChatGPT sui risultati di ricerca) poiché il codice dell'estensione legittima è ancora presente. Tuttavia, il componente aggiuntivo dannoso tenta anche di rubare i cookie di sessione per gli account Facebook.

Al momento dell'installazione dell'estensione,

il codice dannoso utilizza la funzione di gestione OnInstalled per rubare i cookie della sessione di Facebook.

Questi cookie rubati consentono agli autori delle minacce di accedere a un account Facebook come utente e ottenere pieno accesso ai propri profili, comprese eventuali funzionalità pubblicitarie aziendali.

Il malware abusa dell'API di estensione di Chrome per acquisire un elenco di cookie relativi a Facebook e li crittografa utilizzando una chiave AES. Quindi esfiltra i dati rubati tramite una richiesta GET al server dell'attaccante.

Recupero dell'elenco dei cookie da Google Chrome

Recupero dell'elenco dei cookie da Google Chrome (Guardio Labs)

"L'elenco dei cookie è crittografato con AES e allegato al valore dell'intestazione HTTP X-Cached-Key", spiega il rapporto di Guardio Labs.

"Questa tecnica viene utilizzata qui per cercare di far uscire di nascosto i cookie senza che alcun meccanismo DPI (Deep Packet Inspection) generi avvisi sul payload del pacchetto."

Gli autori delle minacce quindi decrittano i cookie rubati per dirottare le sessioni Facebook delle loro vittime per campagne di malvertising o per promuovere materiale vietato come la propaganda dell'ISIS.

Il malware modifica automaticamente i dettagli di accesso sugli account violati per impedire alle vittime di riprendere il controllo sui propri account Facebook. Cambia anche il nome e l'immagine del profilo in un personaggio falso chiamato "Lilly Collins".

Al momento, l'estensione dannosa di Google Chrome è ancora presente nel Google Chrome Web Store.

Tuttavia, il ricercatore di sicurezza ha segnalato l'estensione dannosa al team del Chrome Web Store, che probabilmente verrà presto rimossa.

Sfortunatamente, sulla base della storia precedente, gli attori della minaccia probabilmente hanno un piano "C" tramite un'altra estensione "parcheggiata" che potrebbe facilitare la prossima ondata di infezione.

BleepingComputer ha contattato Google con ulteriori domande sull'estensione, ma non è stata immediatamente disponibile una risposta.

https://www.bleepingcomputer.com/news/security/facebook-accounts-hijacked-by-new-malicious-chatgpt-chrome-extension/

BUG Critico di Microsoft Outlook: installate la patch

Angelo Domeneghini — Wed, 15 Mar 2023 17:10:00 GMT

Il bug critico di Microsoft Outlook PoC mostra quanto sia facile da sfruttare

I ricercatori di sicurezza hanno condiviso i dettagli tecnici per sfruttare una vulnerabilità critica di Microsoft Outlook per Windows (CVE-2023-23397) che consente agli hacker di rubare in remoto le password con hash semplicemente ricevendo un'e-mail.

Microsoft ieri ha rilasciato una patch per la falla di sicurezza, ma è stata sfruttata come vulnerabilità zero-day negli attacchi di inoltro NTLM almeno da metà aprile 2022.

Il problema è una vulnerabilità di escalazione dei privilegi con un livello di gravità 9,8 che interessa tutte le versioni di Microsoft Outlook su Windows.

Un utente malintenzionato può utilizzarlo per rubare le credenziali NTLM semplicemente inviando alla destinazione un'e-mail dannosa.

Non è necessaria alcuna interazione da parte dell'utente poiché l'exploit si verifica quando Outlook è aperto e il promemoria viene attivato sul sistema.

Sfruttamento facile

Windows New technology LAN Manager (NTLM) è un metodo di autenticazione utilizzato per accedere ai domini Windows utilizzando credenziali di accesso con hash.

Sebbene l'autenticazione NTLM comporti rischi noti, viene ancora utilizzata sui nuovi sistemi per la compatibilità con i sistemi precedenti.

Funziona con gli hash delle password che il server riceve da un client quando tenta di accedere a una risorsa condivisa, come le condivisioni SMB. Se rubati, questi hash possono essere utilizzati per l'autenticazione sulla rete.

Microsoft ha spiegato che un utente malintenzionato può utilizzare CVE-2023-23397 per ottenere hash NTLM inviando "un messaggio con una proprietà MAPI estesa con un percorso UNC a una condivisione SMB (TCP 445) su un server controllato da attori di minacce".

"La connessione al server SMB remoto invia il messaggio di negoziazione NTLM dell'utente, che l'attaccante può quindi inoltrare per l'autenticazione contro altri sistemi che supportano l'autenticazione NTLM" - Microsoft

Tuttavia, lo sfruttamento del problema richiede ulteriori dettagli tecnici, che sono arrivati poco dopo che Microsoft ha rilasciato la correzione dai ricercatori della società di consulenza sulla sicurezza MDSec.

Dopo aver esaminato uno script di Microsoft che controlla gli elementi di messaggistica di Exchange per segni di sfruttamento utilizzando CVE-2023-23397, Dominic Chell, membro del team rosso di MDSec, ha scoperto con quanta facilità un attore di minacce potrebbe sfruttare il bug.

Ha scoperto che lo script potrebbe cercare la proprietà "PidLidReminderFileParameter" all'interno degli elementi di posta ricevuti e rimuoverla quando presente.

Chell spiega che questa proprietà consente al mittente di definire il nome file che il client Outlook deve riprodurre quando viene attivato il promemoria del messaggio.

Il motivo per cui ciò è stato possibile rimane un enigma che il ricercatore non è riuscito a spiegare poiché il mittente di un'e-mail non dovrebbe essere in grado di configurare il suono per l'avviso di nuovo messaggio sul sistema del destinatario.

Outlook consente ai mittenti di posta elettronica di definire l'audio da riprodurre sul sistema del destinatario di posta elettronica

Chell ha notato che se la proprietà ha accettato un nome di file dovrebbe anche essere possibile aggiungere un percorso UNC per attivare l'autenticazione NTLM.

Il ricercatore ha anche scoperto che la proprietà PidLidReminderOverride potrebbe essere utilizzata per fare in modo che Microsoft Outlook analizzi un percorso UNC remoto e dannoso nella proprietà PidLidReminderFileParameter.

Queste informazioni hanno consentito al ricercatore di creare un'e-mail dannosa di Outlook (.MSG) con un appuntamento nel calendario che avrebbe attivato la vulnerabilità e inviato gli hash NTLM del bersaglio a un server arbitrario.

Questi hash NTLM rubati possono quindi essere utilizzati per eseguire attacchi di inoltro NTLM per un accesso più approfondito alle reti aziendali.

Appuntamento del calendario dannoso in Microsoft Outlook

Rubare hash NTLM tramite un appuntamento del calendario dannoso in Microsoft Outlook

fonte: MDSec

Oltre agli appuntamenti del calendario, un utente malintenzionato potrebbe anche utilizzare le attività di Microsoft Outlook, le note o i messaggi di posta elettronica per rubare gli hash.

Chell osserva che CVE-2023-23397 può essere utilizzato per attivare l'autenticazione a un indirizzo IP che si trova al di fuori della zona Intranet attendibile o dei siti attendibili.

MDSec ha condiviso un video che mostra come sfruttare la vulnerabilità critica appena corretta in Microsoft Outlook:

Zero-day per gli hacker russi

La vulnerabilità è stata trovata e segnalata a Microsoft dal Computer Emergency Response Team (CERT-UA) dell'Ucraina, probabilmente dopo averla vista utilizzata in attacchi mirati ai suoi servizi.

Secondo Microsoft, "un attore di minacce con sede in Russia" ha sfruttato la vulnerabilità in attacchi mirati contro diverse organizzazioni europee nei settori governativo, dei trasporti, dell'energia e militare.

Si ritiene che il gruppo di hacker dietro gli attacchi sia APT28 (alias Strontium, Fancy Bear, Sednit, Sofacy), un attore di minacce che è stato collegato alla Direzione principale dello Stato maggiore delle Forze armate della Federazione Russa (GRU).

Si ritiene che fino a 15 organizzazioni siano state prese di mira o violate utilizzando CVE-2023-23397, l'ultimo attacco verificatosi lo scorso dicembre.

Dopo aver ottenuto l'accesso, gli hacker utilizzano spesso i framework open source Impacket e PowerShell Empire per estendere la loro presa e passare a sistemi più preziosi sulla rete per raccogliere informazioni.

Si consiglia vivamente agli amministratori di dare la priorità all'applicazione di patch CVE-2023-23397 e di utilizzare lo script di Microsoft per verificare la presenza di segni di sfruttamento verificando se gli elementi di messaggistica in Exchange sono dotati di un percorso UNC.

https://www.bleepingcomputer.com/news/security/critical-microsoft-outlook-bug-poc-shows-how-easy-it-is-to-exploit/

SonicWall: malware che sopravvive agli aggiornamenti firmware

Angelo Domeneghini — Wed, 15 Mar 2023 16:58:00 GMT

SonicWall: malware che sopravvive agli aggiornamenti firmware

Un malware persistente infetta alcune appliance SonicWall e sopravvive anche agli update del firmwware.

Una sospetta campagna di hacking cinese ha colpito le appliance SonicWall Secure Mobile Access (SMA) prive di patch. Gli attacchi hanno comportato l’installazione di un malware personalizzato e persistente, funzionale ad attività di spionaggio a lungo termine.

Tale malware ruba le credenziali utente, fornisce l'accesso shell e supera indenne gli aggiornamenti firmware.

Sono stati i ricercatori di Mandiant e SonicWall a scoprire la campagna e ad attribuirla a UNC4540, un threat actor che si ritiene di origine cinese. Il malware si compone di diversi elementi, fra cui la backdoor TinyShell e diversi script bash. Il codice lascia trasparire una buona conoscenza dei dispositivi di rete da parte dei programmatori, ed è evidente agli esperti la personalizzazione su misura per i dispositivi SonicWall.

Il funzionamento si può riassumere in pochi passaggi: il modulo principale esegue comandi SQL sul database dell'appliance per rubare le credenziali di tutti gli utenti connessi e relativi hash. Tali credenziali vengono copiate su un file di testo creato ad hoc e recuperate in un secondo momento per essere decifrate offline. Lo stesso modulo lancia inoltre TinyShell per garantirsi un facile accesso remoto al dispositivo, e aggiunge una patch al software legittimo SonicWall probabilmente per rendere persistente il malware in caso di spegnimento e reset dell’appliance.

Quello che i ricercatori non hanno ancora compreso è quale vulnerabilità sia stata utilizzata per compromettere i dispositivi. Mandiant infatti fa genericamente riferimento a “dispositivi privi di patch”. Potrebbe trattarsi di vecchie falle ormai chiuse, e in effetti fra i problemi corretti negli ultimi anni ce ne sono almeno tre relativi a dispositivi SMA che hanno permesso l'accesso non autenticato ai dispositivi.

Quello che è certo è che i dispositivi esaminati erano infetti dal 2021, il che indica una notevole persistenza dell’infezione e la capacità del malware di passare indenne a più aggiornamenti firmware. Un risultato del genere è stato possibile grazie all’impiego di script che garantiscono ridondanza e accesso a lungo termine sui dispositivi violati. Un esempio è quello denominato "iptabled", che è essenzialmente lo stesso modulo di firewalld, che viene attivato solo qualora il processo del malware principale si chiudesse, si arrestasse in modo anomalo o non potesse essere avviato.

I ricercatori hanno inoltre evidenziato uno script che controlla ogni 10 secondi la presenza di aggiornamenti firmware e, qualora venissero rilevati, il malware verrebbe iniettato direttamente nel pacchetto di installazione in modo da sopravvivere all’update. Lo stesso script installa inoltre una backdoor per mantenere l'accesso dopo l'installazione dell'aggiornamento firmware.

Per contrastare la minaccia il vendor consiglia di installare la release firmware 10.2.1.7 o successiva, che comprende una routine di File Integrity Monitoring (FIM) e di identificazione dei processi anomali, che dovrebbe rilevare e bloccare le attività descritte sopra.

https://www.securityopenlab.it/news/2572/sonicwall-malware-che-sopravvive-agli-aggiornamenti-firmware.html

Cercare una canzone senza conoscere il titolo, con Google si può fischiettando

Angelo Domeneghini — Mon, 13 Mar 2023 14:28:00 GMT

Cercare una canzone senza conoscere il titolo, con Google si può fischiettando

Una nuova funzione permette di riconoscere le canzoni fischiettando o accennando motivetti

Una nuova funzione di Google permette di cercare una canzone senza conoscere il titolo.

E la si può trovare con il solo fischiettio.

La funzione, basata sull’intelligenza artificiale, è già disponibile in Italia sugli smartphone Android.

Per gli iPhone ci sarà invece da attendere un po’. Il merito va ai complessi algoritmi su cui si basa il famoso motore di ricerca, che sono stati abituati a riconoscere i brani provenienti anche da una sorgente umana.

Ogni melodia viene associata a un certo schema di note musicali, in sostanza un’impronta digitale sonora. Per sfruttarla basta accedere alla ricerca Google, cliccare sull’icona del microfono (che attiva la dettatura vocale) e, in seguito, sulla scritta “Cerca un brano”. A questo punto è sufficiente fischiettare o canticchiare un brano per poterne scoprire il titolo.

Come fare a cercare una canzone senza conoscere il titolo su Google

cercare una canzone senza conoscere il titolo

Sfruttare la nuova funzione messa a disposizione da Google è in realtà molto semplice.

Una volta aver impresso in testa il motivetto da cantare o fischiettare, bisognerà

per prima cosa aprire l’Assistente Google.

Fatto ciò, basterà chiedere “Che canzone è questa” e, quando vedrete comparire una barra di registrazione, dovrete scaldare le corde vocali e iniziare a canticchiare la canzone da trovare.

In pochi secondi, l’assistente di Big G dovrebbe indicarvi titolo, autore e dove poterla ascoltare con un semplice click.

Un altro metodo per attivare la nuova funzione è quella di premere il pulsante Cerca un brano, sempre dopo aver aperto l’Assistente Google. In questo modo, partirà la ricerca del brano. Per lanciare la nuova funzione, il colosso di Mountain View ha sfruttato i nuovi modelli di apprendimento automatico, per confrontare la melodia canticchiata con quella di brani esistenti.

https://www.digitalic.it/hardware-software/cercare-una-canzone-senza-conoscere-il-titolo

App: TikTok lancia video a pagamento in formato lungo

Angelo Domeneghini — Thu, 09 Mar 2023 09:45:00 GMT

App: TikTok lancia video a pagamento in formato lungo

TikTok ha oltre un miliardo di utenti in tutto il mondo.

Il social network ha annunciato l'arrivo della funzione Serie,

offrendo ai suoi creatori un nuovo modo per essere pagati tramite video che possono durare fino a 20 minuti.

Come previsto, TikTok ha annunciato martedì in un comunicato stampa "una nuova soluzione per la condivisione di contenuti premium".

Concretamente, l'app per la condivisione di brevi video apprezzata dai più giovani distribuisce video a pagamento. Chiamata Serie, questa nuova funzionalità “consente ai creatori idonei

(nota: almeno 10.000 iscritti e un minimo di 50 video pubblicati negli ultimi 30 giorni) di pubblicare raccolte di contenuti premium con accesso a pagamento”.

In pratica, una Serie può contenere fino a 80 video, ciascuno della durata massima di 20 minuti, contro i 10 minuti attuali, spiega la piattaforma, che cerca di rassicurare in Europa sulla sicurezza dei dati dei propri utenti e potrebbe presto essere vietato negli Stati Uniti.

Prezzi tra cui scegliere

TikTok, che è popolare su Netflix negli Stati Uniti, afferma che i creatori possono impostare il prezzo che "riflette al meglio il valore dei loro contenuti esclusivi" per consentire agli utenti di accedervi.

Gli acquisti possono essere effettuati tramite link diretti nel video o sul profilo del creatore, indica ulteriormente la compagnia del gruppo ByteDance.

Con questa novità TikTok, ritenuta “dipendente”, mette sotto pressione il suo concorrente YouTube. Ricordiamo che lo scorso settembre la filiale del colosso del web Google ha annunciato una migliore remunerazione per i creatori di Shorts, il formato corto della piattaforma video lanciata per competere con TikTok.

https://www.20min.ch/fr/story/tiktok-lance-des-videos-payantes-long-format-442681210185

Apple adotterà USB-C, ma con un ... avvertimento

Angelo Domeneghini — Tue, 07 Mar 2023 11:00:00 GMT

Apple adotterà USB-C, ma con un ... avvertimento

L'azienda Apple potrebbe limitare la velocità di ricarica e trasferimento dati con cavi USB-C non certificati

"Made for iPhone" con la sua futura gamma di smartphone.

Apple e il suo capo, Tim Cook, vogliono mantenere il controllo dell'USB-C.

Il rumor non farà piacere ai consumatori che hanno gradito l'imposizione di un caricabatterie universale nell'UE entro l'autunno 2024.

Apple dovrebbe sottomettersi integrando una porta USB-C

(nuovo standard per i dispositivi elettronici portatili venduti in Europa)

al posto della attuale porta Lightning proprietaria quando la futura gamma iPhone 15 verrà lanciata questo autunno.

Ma l'azienda avrebbe trovato un modo per mantenere il controllo della sua tecnologia bloccando questo connettore.

Secondo il leaker ShrimpApplePro, le cui informazioni si sono dimostrate affidabili in passato, Apple potrebbe frenare la ricarica rapida e un trasferimento dati più efficiente se il cavo utilizzato non fosse certificato "Made for iPhone" (MFi).

I primi accessori MFi si crede siano già in produzione.

https://www.20min.ch/fr/story/apple-adoptera-lusb-c-mais-avec-un-bemol-837333859645

Un nuovo Malware infetta i Router Aziendali DrayTek Vigor

Angelo Domeneghini — Tue, 07 Mar 2023 10:50:00 GMT

Il nuovo malware infetta i router aziendali per il furto di dati

Una campagna di hacking in corso chiamata "Hiatus" prende di mira i modelli di router DrayTek Vigor 2960 e 3900 per rubare dati alle vittime e costruire una rete proxy nascosta.

I dispositivi DrayTek Vigor sono router VPN di classe aziendale utilizzati da organizzazioni di piccole e medie dimensioni per la connettività remota alle reti aziendali.

La nuova campagna di hacking, iniziata nel luglio 2022 ed è ancora in corso, si basa su tre componenti: uno script bash dannoso, un malware chiamato "HiatusRAT" e il legittimo "tcpdump", utilizzato per catturare il traffico di rete che scorre sul router.

Il componente HiatusRAT è l'aspetto più interessante, da cui prende il nome la campagna. Lo strumento viene utilizzato per scaricare payload aggiuntivi, eseguire comandi sul dispositivo violato e convertire il dispositivo in un proxy SOCKS5 per trasmettere comandi e controllare il traffico del server.

La campagna è stata scoperta dai Black Lotus Labs di Lumen, che riferiscono di aver visto almeno un centinaio di aziende infettate da HiatusRAT, principalmente in Europa, Nord America e Sud America.

Lo Hiatus attacca

Al momento, i ricercatori non sono in grado di determinare in che modo i router DrayTek siano stati inizialmente compromessi. Tuttavia, una volta che gli autori delle minacce ottengono l'accesso ai dispositivi, distribuiscono uno script bash che scarica tre componenti sul router: HiatusRAT e l'utilità legittima tcpdump.

Lo script prima scarica HiatusRAT in "/database/.updata" e lo esegue, facendo sì che il malware inizi ad ascoltare sulla porta 8816 e, se c'è già un processo in esecuzione su quella porta, lo uccide prima.

Successivamente, raccoglie le seguenti informazioni dal dispositivo violato:

Dati di sistema: indirizzo MAC, versione del kernel, architettura del sistema, versione del firmware

Dati di rete: indirizzo IP del router, indirizzo IP locale, MAC dei dispositivi sulla LAN adiacente

Dati del file system: punti di montaggio, posizioni dei percorsi a livello di directory, tipo di file system

Dati di processo: nomi di processo, ID, UID e argomenti

HiatusRAT invia anche un heartbeat POST al C2 ogni 8 ore per aiutare l'autore della minaccia a tenere traccia dello stato del router compromesso.

L'analisi del reverse engineering di Black Lotus Labs ha rivelato le seguenti caratteristiche del malware:

config – carica la nuova configurazione dal C2

shell – genera una shell remota sul dispositivo infetto

file: legge, elimina o esfiltra i file nel file C2

executor – recupera ed esegue un file dal C2

script – esegue uno script dal C2

tcp_forward: trasmette qualsiasi set di dati TCP alla porta di ascolto dell'host a una posizione di inoltro

socks5: imposta un proxy SOCKS v5 sul router violato

quit – interrompe l'esecuzione del malware

Lo scopo del proxy SOCKS è inoltrare dati da altre macchine infette attraverso il router violato, offuscando il traffico di rete e imitando comportamenti legittimi.

Lo script bash installerà anche uno strumento di cattura dei pacchetti che ascolta il traffico di rete verso le porte TCP associate ai server di posta e alle connessioni FTP.

Le porte monitorate sono la porta 21 per FTP, la porta 25 per SMTP, la porta 110 utilizzata da POP3 e la porta 143 associata al protocollo IMAP. Poiché la comunicazione su queste porte non è crittografata, gli attori delle minacce potrebbero rubare dati sensibili, inclusi contenuti e-mail, credenziali e contenuti di file caricati e scaricati.

Pertanto, l'attaccante mira a catturare informazioni sensibili trasmesse attraverso il router compromesso.

"Una volta che i dati di acquisizione di questi pacchetti raggiungono una certa lunghezza di file, vengono inviati al "upload C2" situato in 46.8.113[.]227 insieme alle informazioni sul router host", si legge nel rapporto di Black Lotus.

"Ciò consente all'autore della minaccia di acquisire passivamente il traffico e-mail che ha attraversato il router e parte del traffico di trasferimento file".

La campagna Hiatus è di piccole dimensioni, ma può comunque avere un grave impatto sulle vittime, rubando potenzialmente e-mail e credenziali FTP per un ulteriore accesso alla rete. I ricercatori di Lumen ritengono probabile che l'autore della minaccia mantenga intenzionalmente un piccolo volume di attacchi per eludere il rilevamento.

Le scansioni di Black Lotus hanno rivelato che a metà febbraio 2023, circa 4.100 router DrayTek vulnerabili sono esposti su Internet,

https://www.bleepingcomputer.com/news/security/new-malware-infects-business-routers-for-data-theft-surveillance/

Come impedire ai file di Microsoft OneNote di infettare Windows con malware

Angelo Domeneghini — Tue, 07 Mar 2023 10:31:00 GMT

Come impedire ai file di Microsoft OneNote di infettare Windows con malware

L'apparentemente innocuo file di Microsoft OneNote è diventato un popolare formato di file utilizzato dagli hacker per diffondere malware e violare le reti aziendali. Ecco come impedire agli allegati di phishing di OneNote dannosi di infettare Windows.

Per fornire un piccolo retroscena su come siamo riusciti a far diventare i file di Microsoft OneNote lo strumento preferito per gli attacchi di phishing che distribuiscono malware, dobbiamo prima spiegare come siamo arrivati qui.

Gli attori delle minacce hanno abusato per anni delle macro nei documenti Microsoft Word ed Excel per scaricare e installare malware sui dispositivi Windows.

Dopo che Microsoft ha finalmente disabilitato le macro per impostazione predefinita nei documenti Word ed Excel Office, gli attori delle minacce hanno iniziato a rivolgersi ad altri formati di file meno comunemente utilizzati per distribuire malware, come file ISO e archivi ZIP protetti da password.

Questi erano formati di file popolari poiché un bug di Windows consentiva ai file nelle immagini ISO di aggirare gli avvisi di sicurezza Mark-of-the-Web (MoTW) e la popolare utility di archiviazione 7-Zip non propagava i flag MoTW ai file estratti dagli archivi ZIP.

Tuttavia, dopo che sia 7-Zip che Windows hanno risolto questi bug, Windows ha nuovamente iniziato a mostrare spaventosi avvisi di sicurezza quando un utente ha tentato di aprire i file nei file ISO e ZIP scaricati, costringendo gli attori delle minacce a trovare un altro formato di file da utilizzare negli attacchi.

Da metà dicembre, gli attori delle minacce si sono rivolti a un altro formato di file per la distribuzione di malware: gli allegati di Microsoft OneNote.

Perché Microsoft OneNote?

Gli allegati di Microsoft OneNote utilizzano l'estensione di file ".one" e sono una scelta interessante, in quanto non distribuiscono malware tramite macro o vulnerabilità.

Invece, gli attori delle minacce creano modelli complessi che sembrano essere un documento protetto con un messaggio per "fare doppio clic" su un elemento di progettazione per visualizzare il file, come mostrato di seguito.

Ciò che non vedi dall'allegato sopra, tuttavia, è che il "doppio clic per visualizzare il file" nasconde effettivamente una serie di file incorporati che si trovano sotto il livello del pulsante, come illustrato di seguito.

Quando si fa doppio clic sul pulsante, si fa doppio clic sul file incorporato e si avvia il file.

Mentre facendo doppio clic su un file incorporato verrà visualizzato un avviso di sicurezza, come sappiamo dai precedenti attacchi di phishing che abusano delle macro di Microsoft Office, gli utenti di solito ignorano gli avvisi e consentono comunque l'esecuzione del file.

Purtroppo, è sufficiente che un utente consenta accidentalmente l'esecuzione di un file dannoso per compromettere un'intera rete aziendale in un attacco ransomware in piena regola.

E questo non è teorico, poiché in alcune campagne Microsoft OneNote QakBot, i ricercatori di sicurezza hanno scoperto che alla fine hanno portato a un attacco ransomware, come BlackBasta, su una rete compromessa.

Come bloccare i file dannosi di Microsoft OneNote

Il modo migliore per impedire agli allegati dannosi di Microsoft OneNote di infettare Windows è bloccare l'estensione del file ".one" nei gateway di posta o nei server di posta sicuri.

Tuttavia, se ciò non è possibile per il proprio ambiente, è anche possibile utilizzare i criteri di gruppo di Microsoft Office per limitare l'avvio di file allegati incorporati nei file di Microsoft OneNote.

Innanzitutto, installa i modelli di criteri di gruppo di Microsoft 365/Microsoft Office per iniziare con i criteri di Microsoft OneNote.

Ora che i criteri sono installati, troverai i nuovi criteri di Microsoft OneNote denominati "Disabilita file incorporati" e "Estensioni bloccate file incorporati",

Il criterio di gruppo "Disabilita file incorporati" è il più restrittivo in quanto impedisce l'avvio di tutti i file di OneNote incorporati. È necessario abilitare questa opzione se non si dispone di casi d'uso per l'utilizzo di allegati OneNote incorporati.

"Per disabilitare la possibilità di incorporare file in una pagina di OneNote, in modo che le persone non possano trasmettere file che potrebbero non essere rilevati dal software antivirus, ecc.", si legge nella descrizione dei criteri di gruppo.

Se abilitato, verrà creata la seguente chiave di registro di Windows. Si noti che i percorsi possono variare a seconda della versione di Microsoft Office.

Editor del registro di Windows versione 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options]

"disableembeddedfiles"=dword:00000001

Ora, quando un utente tenta di aprire eventuali allegati incorporati in un documento Microsoft OneNote, riceverà il seguente errore.

Un'opzione meno restrittiva, ma potenzialmente più pericolosa, è il criterio di gruppo "File incorporati estensioni bloccate", che consente di inserire un elenco di estensioni di file incorporate di cui verrà bloccata l'apertura in un documento Microsoft OneNote.

"Per disabilitare la possibilità per gli utenti della tua organizzazione di aprire un file allegato di un tipo di file specifico da una pagina di Microsoft OneNote, aggiungi le estensioni che desideri disabilitare utilizzando questo formato: '.ext1;.ext2;', " si legge nella descrizione della polizza.

"Se si desidera disabilitare l'apertura di qualsiasi allegato da una pagina di OneNote, vedere il criterio Disabilita file incorporati. Non è possibile bloccare le registrazioni audio e video incorporate (WMA e WMV) con questo criterio, fare invece riferimento al criterio Disabilita file incorporati."

Se abilitata, verrà creata la seguente chiave di registro di Windows con l'elenco delle estensioni bloccate immesse.

Editor del registro di Windows versione 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\onenote\options\embeddedfileopenoptions]

"estensioni bloccate"=".js;.exe;.bat;.vbs;.com;.scr;.cmd;.ps1"

Ora, quando un utente tenta di aprire un'estensione di file bloccata in un documento Microsoft OneNote, riceverà il seguente errore.

Alcune estensioni di file suggerite da bloccare sono .js, .exe, .com, .cmd, .scr, .ps1, .vbs e .lnk. Tuttavia, poiché gli attori delle minacce scoprono nuove estensioni di file di cui abusare, questo elenco potrebbe essere ignorato da altri tipi di file dannosi.

Sebbene il blocco di qualsiasi tipo di file non sia sempre una soluzione perfetta a causa dei requisiti di un ambiente, i risultati del non fare nulla per limitare l'abuso dei file di Microsoft OneNote possono essere anche peggiori.

Pertanto, si consiglia vivamente di bloccare gli allegati di OneNote, o almeno l'abuso di tipi di file incorporati, nel proprio ambiente per prevenire un attacco informatico.

https://www.bleepingcomputer.com/news/security/how-to-prevent-microsoft-onenote-files-from-infecting-windows-with-malware/

Cisco corregge il difetto RCE dell'interfaccia utente Web in più telefoni IP

Angelo Domeneghini — Thu, 02 Mar 2023 13:48:00 GMT

Cisco corregge il difetto RCE dell'interfaccia utente Web in più telefoni IP

Cisco ha risolto una vulnerabilità di sicurezza critica rilevata nell'interfaccia utente Web di più modelli di telefoni IP che gli aggressori remoti e non autenticati possono sfruttare negli attacchi RCE (Remote Code Execution).

Il difetto RCE (CVE-2023-20078) consente agli aggressori di iniettare comandi arbitrari che verranno eseguiti con privilegi di root in seguito a sfruttamento riuscito.

"Un exploit riuscito potrebbe consentire all'attaccante di eseguire comandi arbitrari sul sistema operativo sottostante di un dispositivo interessato", ha affermato oggi Cisco.

La società ha anche rivelato oggi una seconda vulnerabilità ad alta gravità (CVE-2023-20079) che può essere sfruttata per attivare condizioni di denial-of-service (DoS).

Entrambi i bug sono dovuti a una convalida insufficiente dell'input fornito dall'utente e possono essere sfruttati utilizzando richieste create in modo dannoso inviate all'interfaccia di gestione basata sul Web del dispositivo preso di mira.

Le vulnerabilità di sicurezza sono state scoperte da Zack Sanchez del Cisco Advanced Security Initiatives Group (ASIG) durante i test di sicurezza interni.

L'elenco dei dispositivi interessati include i dispositivi Cisco IP Phone serie 6800, 7800 e 8800 con firmware multipiattaforma (vulnerabili agli attacchi RCE e DoS) e Unified IP Conference Phone 8831, Unified IP Conference Phone 8831 con firmware multipiattaforma e Unified IP Conference Phone 8831 con firmware multipiattaforma. Telefono serie 7900 (vulnerabile solo agli attacchi DoS).

Il Product Security Incident Response Team (PSIRT) dell'azienda ha aggiunto di non aver visto prove di tentativi di sfruttare questo difetto di sicurezza negli attacchi.

La vulnerabilità Denial of Service rimane senza patch

Sebbene Cisco abbia rilasciato aggiornamenti di sicurezza per affrontare la vulnerabilità RCE CVE-2023-20078, la società ha affermato che non rilascerà patch per correggere il difetto DoS CVE-2023-20079.

"Cisco Unified IP Phone serie 7900 e Cisco Unified IP Conference Phone 8831 sono entrati nel processo di fine vita", ha spiegato la società.

Cisco ha inoltre annunciato a dicembre che rilascerà patch per una vulnerabilità zero-day ad alta gravità (CVE-2022-20968) con codice di exploit pubblico trovato nella funzione di elaborazione Cisco Discovery Protocol (CDP) dei telefoni IP Cisco con serie 7800 e 8800 firmware.

Sebbene non sia ancora disponibile un aggiornamento della sicurezza per CVE-2022-20968, gli amministratori sono invitati a disabilitare CDP sui dispositivi IP Phone interessati che supportano Link Layer Discovery Protocol (LLDP) per rimuovere il vettore di attacco.

Nel febbraio 2020, Cisco ha corretto altre cinque vulnerabilità RCE e DoS nel Cisco Discovery Protocol, noto collettivamente come CDPwn e potenzialmente in grado di interessare decine di milioni di dispositivi aziendali.

https://www.bleepingcomputer.com/news/security/cisco-patches-critical-web-ui-rce-flaw-in-multiple-ip-phones/

Social network: Jack Dorsey lancia il suo Twitter alternativo Bluesky

Angelo Domeneghini — Thu, 02 Mar 2023 13:27:00 GMT

Social network: Jack Dorsey lancia il suo Twitter alternativo

L'ex capo del servizio di microblogging ha reso disponibile l'app Bluesky su App Store mercoledì.

Il co-fondatore ed ex capo di Twitter Jack Dorsey è tornato nell'arena dei social media. L'imprenditore americano ha lanciato l'app Bluesky, un'alternativa alla piattaforma di microblogging gestita da Elon Musk, che mercoledì ha avuto dei malfunzionamenti. Disponibile solo nell'application store di Apple, il social network, la cui interfaccia ricorda quella di Twitter in versione semplificata, ha la particolarità di essere basato su un protocollo decentralizzato simile a quello utilizzato dal concorrente Mastodon.

Ancora in versione beta, la nuova piattaforma di Jack Dorsey ti consente di pubblicare messaggi su un feed di notizie. Attualmente è accessibile solo su invito. Si noti che, a differenza di Twitter, Bluesky non include alcuno strumento di messaggistica diretta.

https://www.20min.ch/fr/story/jack-dorsey-lance-son-twitter-alternatif-614247330521

Nuove funzionalità per la salvaguardia della privacy nei dispositivi Apple

Angelo Domeneghini — Mon, 27 Feb 2023 13:40:00 GMT

Nuove funzionalità per la salvaguardia della privacy nei dispositivi Apple

Alla fine del 2022, Apple ha annunciato una serie di nuove funzionalità per rendere il trattamento dei dati sensibili degli utenti più sicuro. Perché queste funzioni sono importanti?

Nel dicembre 2022, Apple ha annunciato una serie di nuove funzionalità destinate a migliorare la protezione dei dati degli utenti. La più importante è stata l’ampliamento dell’elenco dei dati crittografati end-to-end caricati su iCloud. Nella maggior parte dei casi, solo il proprietario di una chiave può accedervi e nemmeno Apple sarà in grado di leggere queste informazioni. C’è stato anche un annuncio non ufficiale: l’azienda ha dichiarato di voler abbandonare il controverso progetto che prevedeva la creazione di una tecnologia per la scansione di smartphone e tablet alla ricerca di materiale pedopornografico.

Crittografia dei backup di iCloud

Iniziamo con la novità più interessante. I proprietari di iPhone, iPad e computer macOS (non tutti, ma ne parliamo più avanti) possono ora crittografare le copie di backup dei loro dispositivi caricate su iCloud. Cercheremo di spiegare questa novità piuttosto complicata nel modo più semplice possibile, ma non tralasceremo i dettagli perché sono davvero molto importanti.

Tutti i dispositivi mobile Apple caricano per impostazione predefinita i propri backup su iCloud. Questa funzione estremamente utile consente di ripristinare tutti i dati su un nuovo dispositivo esattamente come si trovavano sul vecchio, al momento dell’ultimo backup. In alcuni casi, ad esempio, in seguito a uno smarrimento o guastro dello smartphone, è l’unico modo per accedere alle foto di famiglia o ai file di lavoro. Probabilmente sarà necessario pagare un extra per questa funzione: Apple fornisce gratuitamente solo 5 GB di spazio di archiviazione cloud, che si riempiono rapidamente. È necessario acquistare altri gigabyte o scegliere quali dati sottoporre al backup: ad esempio, si possono escludere musica, video e altri file pesanti.

Apple ha sempre crittografato i backup sui propri server, ma in modo tale che sia l’azienda che l’utente disponessero della chiave di decrittazione: in questo modo i backup erano protetti solo dagli attacchi diretti ai server dell’azienda. L’aggiornamento di dicembre che ha interessato i sistemi operativi Apple ha introdotto una nuova funzione con crittografia end-to-end in base alla quale i dati rimangono crittografati per tutto il percorso, dal mittente al destinatario.

Questo tipo di crittografia è molto importante per gli strumenti di comunicazione, in particolare per le app di messaggistica. La sua presenza dimostra che per lo sviluppatore la riservatezza dei dati è un elemento molto importante. Ad esempio, il servizio di messaggistica di Apple, iMessage, utilizza da tempo la crittografia end-to-end. La convenienza della crittografia end-to-end dipende dalla sua implementazione. Ad esempio, su Telegram la maggior parte delle chat sono in chiaro, quindi non crittografate, e accessibili su tutti i dispositivi connessi all’account; tuttavia, è possibile creare una chat “segreta” separata con un altro utente. Questa esiste solo sul dispositivo su cui è stata avviata la chat crittografata e il suo contenuto è visibile solo a voi e al vostro interlocutore, nessun altro.

Ma torniamo ai backup. Per impostazione predefinita, i backup di Apple salvano tutte le informazioni sul dispositivo, compresi i messaggi di iMessage. È importante osservare che, sebbene le conversazioni di iMessage siano crittografate end-to-end, se un hacker riesce in qualche modo a ottenere una copia del backup del telefono, sarà in grado di leggere la cronologia dei messaggi. Inoltre, avrà accesso a un’enorme quantità di altri dati: foto, documenti, note e così via. È proprio a questo potenziale rischio che Apple ha posto rimedio.

Con la crittografia end-to-end dei backup, l’utente è l’unico mittente e destinatario dei dati e solo lui ha accesso alla chiave per decifrarli. Se l’algoritmo è implementato correttamente, Apple (anche se volesse) non sarà in grado di decifrare i vostri dati. Anche chi entra in possesso del vostro ID Apple senza conoscere la chiave di crittografia non sarà in grado di rubare i vostri dati.

La nuova impostazione si chiama Advanced Data Protection (Protezione avanzata dati)

È importante osservare che, una volta attivata la funzione, voi -e solo voi- sarete i responsabili dell’accesso ai vostri dati: se perdete la chiave di crittografia, anche l’assistenza Apple non potrà aiutarvi. Ecco perché la nuova impostazione della privacy sarà facoltativa: se decidete di non attivarla, i vostri backup saranno comunque disponibili per Apple e potrebbero essere rubati da un hacker se, ad esempio, il vostro ID Apple cade nelle mani sbagliate.

Tra l’altro, Advanced Data Protection non può essere attivata su un dispositivo aggiunto di recente al vostro ID Apple. Se qualcuno entra in possesso del vostro ID Apple e attiva la crittografia end-to-end sul suo smartphone, perderete l’accesso ai vostri dati. E anche se riusciste a ripristinare l’accesso al vostro account, non avreste la chiave crittografica! Perciò, se avete appena acquistato un nuovo dispositivo Apple, potete attivare Advanced Data Protection solo da quello precedente.

Crittografia end-to-end di altri dati

La nuova funzionalità di Apple non si limita solo ai backup di smartphone, tablet e laptop. Anche le foto e le note saranno crittografate. È possibile che la lista si estenda, ma per il momento Apple parla di una forte protezione per 23 categorie di dati, senza specificare quali. In precedenza, la crittografia end-to-end veniva utilizzata per 14 categorie, tra cui le chat di iMessage, le password del Keychain e tutti i dati relativi alla salute, come tutto quello che viene rilevato dai sensori di Apple Watch.

Sappiamo però per cosa la crittografia end-to-end non sarà più utilizzata: le mail, i calendari e i contatti di iCloud. Secondo Apple, questo serve a garantire la compatibilità con i sistemi di altri developer.

Chiavi di sicurezza hardware per l’autenticazione dell’ID Apple

Anche con l’implementazione della crittografia end-to-end, l’accesso a molti tipi di dati su iPhone, iPad o Mac avviene tramite l’account ID Apple. Se un cybercriminale riesce ad accedervi, sarà in grado di ripristinare il vostro backup sul proprio dispositivo (cosa che la funzione Advanced Data Protection impedisce) e di rintracciare la vostra posizione utilizzando Find My iPhone.

Un modo comune per rubare le credenziali dell’ID Apple è il phishing. Dopo aver rubato il vostro iPhone, i ladri non possono semplicemente rivenderlo, se non per ricavarne dei pezzi. Devono inserire il vostro ID Apple per scollegare il telefono e solo successivamente un nuovo proprietario si potrà registrare. E quando si cerca disperatamente di ritrovare il proprio telefono (ad esempio, utilizzando Find My iPhone), è molto facile essere ingannati: strani messaggi di testo che sembrano provenire da Apple arrivano al numero di contatto indicato con un link per accedere con il proprio ID Apple. Invece del sito web di Apple, si accede a un’imitazione ben fatta e verosimile, e si inseriscono le proprie credenziali che finiscono direttamente nelle mani dei criminali informatici. Purtroppo, a volte, nemmeno l’autenticazione a due fattori (che richiede un codice aggiuntivo) è d’aiuto. La pagina di phishing può prendere in considerazione questo metodo di protezione e chiedere un codice di verifica monouso.

Una chiave di sicurezza hardware (un dispositivo separato come una chiavetta) riduce notevolmente la probabilità di cadere nella trappola del phishing. In questo caso, per l’autenticazione dell’ID Apple, si può mettere la chiave NFC vicino al dispositivo, oppure inserirla nel connettore Lightning o USB-C. Tutti i dati vengono scambiati solo con i server di Apple, e solo in forma crittografata. È quasi impossibile per un falso sito di phishing imitare questo tipo di autenticazione.

Un’altra piccola novità riguarda il messenger proprio di Apple. Dopo l’aggiornamento, l’utente verrà avvisato se una terza parte può vedere i messaggi tra l’utente e un altro utente. I dettagli non sono ancora noti, ma la funzionalità dovrebbe servire a combattere gli attacchi più sofisticati, come quelli di tipo man-in-the-middle. In tal caso, l’utente riceverà un avviso riguardante una possibile intercettazione direttamente nella chat. Inoltre, gli utenti di iMessage Contact Key Verification potranno controllare il codice di verifica (i) quando incontreranno la persona con cui si stanno scrivendo, (ii) su FaceTime o (iii) in un’altra app di messaggistica.

iMessage Contact Key Verification consente agli utenti di verificare che si stiano scambiando messaggi solo con le persone giuste

iMessage Contact Key Verification consente agli utenti di verificare che si stiano scambiando messaggi solo con le persone giuste

iMessage Contact Key Verification sarà utile alle potenziali vittime di sofisticati e costosi cyberattacchi: giornalisti, politici, celebrità, ecc. È più probabile che gli utenti comuni ne subiscano i disagi, come nel caso della modalità di blocco nota como Lockdown Mode di cui abbiamo parlato prima. In ogni caso, sarà disponibile per tutti.

Quando saranno disponibili le nuove funzionalità?

La funzionalità più utile, Advanced Data Protection, è stata lanciata il 13 dicembre 2022.

Per utilizzarla, è necessario aggiornare tutti i dispositivi collegati al proprio account ID Apple.

I requisiti minimi del sistema operativo sono:

iPhone con iOS 16.2 o successivo

iPad con iPadOS 16.2 o versione successiva

Mac con macOS 13.1 o successivo

Apple Watch con watchOS 9.2 o versione successiva

Apple TV con tvOS 16.2 o versione successiva

Altoparlanti HomePod con versione 16.0 o successiva

Computer Windows con iCloud per Windows, versione 14.1 o successiva

Se un solo dispositivo non supporta la versione corretta (ad esempio, iPhone 7 e precedenti; iPad di quarta generazione e inferiori), non sarà possibile attivare la funzione Advanced Data Protection finché non lo si scollega dal proprio account. Per inciso, la versione attuale di macOS (Ventura) supporta la maggior parte dei dispositivi rilasciati dal 2017.

Apple non ha indicato le date di lancio delle altre funzionalità, e ha dichiarato solo che verranno introdotte nel corso dell’anno.

Stop alla tecnologia per la scansione dei dispositivi alla ricerca di materiale pedopornografico

Infine, ecco un’altra importante novità che è più una voce di corridoio che un annuncio vero e proprio: in un’intervista, un portavoce di Apple ha accennato brevemente al fatto che l’azienda non ha più intenzione di implementare la funzione CSAM Detection, di cui abbiamo parlato. Ricordiamo che, nell’agosto del 2022, Apple aveva annunciato di volver sviluppare una tecnologia per il rilevamento di materiale pedopornografico. Il termine legale corretto utilizzato da Apple è Child Sexual Abuse Material (CSAM). L’idea era che tutti i dispositivi Apple avrebbero effettuato una scansione in background delle immagini e che, se qualcuna di esse corrispondesse ad una presente nel database delle immagini pedopornografiche, l’azienda sarebbe stata avvisata e avrebbe avvertito le forze dell’ordine.

Sebbene Apple abbia insistito sul fatto che il rilevamento CSAM non avrebbe violato la privacy degli utenti che non hanno nulla di illegale sui loro dispositivi, l’iniziativa è stata comunque criticata. Le promesse di Apple che assicuravano una “minima probabilità di falsi positivi” non hanno aiutato: in ogni caso, la funzionalità si è rivelata estremamente poco trasparente e, novità assoluta, implementata direttamente sul dispositivo, non nel sistema cloud gestito da Apple stesso, ma sul telefono o sul tablet. I critici di Apple, come l’organizzazione no-profit statunitense Electronic Frontier Foundation, hanno giustamente sottolineato che il nobile obiettivo di prevenire la diffusione di materiale pedopornografico potrebbe facilmente trasformarsi in una scansione dei dispositivi alla ricerca di qualsiasi contenuto.

Progressi nell’ambito del trattamento dei dati sensibili

L’introduzione da parte di Apple della crittografia end-to-end per i dati più sensibili degli utenti e l’abbandono della controversa tecnologia di scansione dimostrano che l’azienda ha davvero a cuore la privacy degli utenti. L’attivazione di Advanced Data Protection ridurrà notevolmente le possibilità di un furto di dati occasionato da un hackeraggio di iCloud. Inoltre, Apple non sarà in grado di fornire i vostri dati su richiesta delle forze dell’ordine. Attualmente, l’azienda può farlo per tutti gli account in cui vengono caricate informazioni sul cloud.

Inoltre, non dobbiamo dimenticare che, per qualsiasi misura di sicurezza, prima o poi verrà trovata una tecnica di hacking. Anche nella tecnologia di crittografia end-to-end possono emergere vulnerabilità e le innovazioni di Apple vengono sempre messe a dura prova sia da ricercatori di sicurezza coscienziosi, che da cybercriminali. Tuttavia, è importante ricordare che nessuna crittografia può essere d’aiuto se qualcuno riesce ad accedere al vostro dispositivo Apple sbloccato.

Inoltre, sebbene le innovative tecnologie di Apple siano certamente utili, causeranno all’utente alcuni inconvenienti. Se si perde la chiave di decodifica, i dati sono persi per sempre. E se perdete il vostro unico dispositivo Apple, potreste avere problemi a ripristinare i vostri dati su un nuovo dispositivo. Pertanto, vi consigliamo di concedervi un po’ di tempo per valutare a fondo le nuove funzionalità e se fanno al caso vostro.

https://www.kaspersky.it/blog/apple-new-data-protection/27542/

Come funziona ChatGPT?

Angelo Domeneghini — Mon, 27 Feb 2023 13:29:00 GMT

Come funziona ChatGPT?

Come funziona ChatGPT, lo abbiamo chiesto a ChatGPT

In un mondo in cui l’informazione è ovunque e sempre più abbondante, è facile sentirsi sopraffatti dalla quantità di dati a nostra disposizione. Ma cosa succede quando hai una domanda e non sai dove cercare la risposta? Qui entra in gioco ChatGPT, l’intelligenza artificiale di OpenAI che ha rivoluzionato la ricerca di informazioni su Internet.

ChatGPT è stato sviluppato da OpenAI, un’organizzazione di ricerca senza scopo di lucro fondata da un gruppo di imprenditori di Silicon Valley. L’obiettivo principale di OpenAI è quello di creare intelligenze artificiali in grado di apprendere in modo autonomo e di risolvere problemi complessi in modo efficiente e accurato.

Ma cosa rende ChatGPT così speciale? In poche parole, la sua capacità di elaborare grandi quantità di informazioni e di fornire risposte precise e complete alle domande degli utenti. ChatGPT si basa su un algoritmo di elaborazione del linguaggio naturale (NLP) in grado di comprendere e interpretare il linguaggio umano, il che significa che può rispondere alle domande in modo simile a come farebbe una persona.

Per utilizzare ChatGPT, basta digitare una domanda nella casella di ricerca, come si farebbe con qualsiasi altro motore di ricerca. Tuttavia, a differenza dei motori di ricerca tradizionali, ChatGPT è in grado di comprendere il significato della domanda e di fornire una risposta completa e precisa. Ad esempio, se si digita la domanda “Qual è la capitale dell’Italia?”, ChatGPT risponderà “La capitale dell’Italia è Roma”.

Ma la vera forza di ChatGPT risiede nella sua capacità di apprendere continuamente e di migliorare le sue risposte sulla base dei feedback degli utenti e delle nuove informazioni che riceve. In questo modo, ChatGPT diventa sempre più preciso e affidabile nel tempo, il che lo rende uno strumento molto utile per chi cerca informazioni precise e affidabili su qualsiasi argomento.

Naturalmente, come con qualsiasi altra tecnologia, ci sono anche preoccupazioni sulla sicurezza e sulla privacy quando si utilizza ChatGPT. Ad esempio, potrebbe esserci il rischio che ChatGPT memorizzi e utilizzi le informazioni personali degli utenti in modo improprio o che le risposte fornite siano influenzate da pregiudizi o punti di vista non obiettivi. Tuttavia, OpenAI sta lavorando continuamente per garantire che ChatGPT sia sicuro e affidabile per gli utenti, ad esempio adottando rigorose politiche di protezione dei dati e di sicurezza delle informazioni.

In conclusione, ChatGPT rappresenta un importante passo avanti nella ricerca di informazioni su Internet e nell’elaborazione del linguaggio.

Indice dei contenuti

Linguaggio di programmazione ChatGPT

Dove prende le risposte ChatGPT

Quanto è grande il corpus di testo che utilizza ChatGPT?

Come funziona ChatGPT, cosa ha di diverso

Come Funziona ChatGPT

Le domande a cui ChatGPT non può rispondere

Ci sono domande a cui ChatGPT non vuole rispondere?

Linguaggio di programmazione ChatGPT

ChatGPT è stata programmata principalmente con il linguaggio di programmazione Python. In particolare, il framework TensorFlow è stato utilizzato per l’implementazione dell’algoritmo di deep learning che alimenta il modello di ChatGPT. Inoltre, altri linguaggi e strumenti sono stati utilizzati per lo sviluppo di diverse parti del sistema, come ad esempio C++ per l’implementazione di alcune librerie per la velocità di esecuzione e Java per lo sviluppo di alcune interfacce grafiche. Tuttavia, Python rimane il linguaggio principale utilizzato per la maggior parte del codice di ChatGPT.

Dove prende le risposte ChatGPT

ChatGPT utilizza un enorme corpus di testo per generare le sue risposte. Il corpus è costituito da una vasta raccolta di testi provenienti da varie fonti, tra cui libri, articoli di giornale, siti web, documenti accademici e altro ancora. Questo corpus viene utilizzato per addestrare il modello di ChatGPT attraverso un processo di apprendimento automatico, durante il quale la macchina analizza il testo e impara a comprendere la struttura della lingua e il significato delle parole.

Una volta che il modello di ChatGPT è stato addestrato, può essere utilizzato per generare risposte alle domande degli utenti. Quando viene presentata una domanda, ChatGPT analizza il testo della domanda e cerca di trovare la risposta nel suo vasto corpus di testo. Utilizzando il suo algoritmo di elaborazione del linguaggio naturale, ChatGPT è in grado di comprendere il significato della domanda e di generare una risposta pertinente e accurata.

Tuttavia, è importante notare che ChatGPT non sempre genera risposte perfette o complete, in quanto dipende dalla qualità e dalla completezza del corpus di testo utilizzato per l’addestramento del modello. Inoltre, potrebbe esserci un rischio di fornire informazioni errate o fuorvianti se il corpus di testo contiene informazioni inaccurate o pregiudizievoli. Per questo motivo, è importante utilizzare le risposte di ChatGPT con cautela e verificare sempre le informazioni da altre fonti affidabili.

Quanto è grande il corpus di testo che utilizza ChatGPT?

l corpus di testo utilizzato per addestrare ChatGPT è molto grande e vario. In particolare, il modello di ChatGPT che ha vinto la competizione di generazione di linguaggio naturale “The Conversational Intelligence Challenge 2” (CIC 2) ha utilizzato un corpus di circa 45 terabyte di testo, con una lunghezza totale di oltre 570 miliardi di parole.

Il corpus utilizzato è stato raccolto da una vasta gamma di fonti, tra cui libri, articoli di giornale, siti web, documenti accademici e altro ancora. L’utilizzo di un corpus così ampio e vario è fondamentale per l’addestramento di un modello di generazione di linguaggio naturale di alta qualità, in quanto consente al modello di comprendere la complessità e la varietà della lingua naturale e di generare risposte pertinenti e accurate.

È importante notare che il corpus di testo utilizzato da ChatGPT potrebbe essere cambiato o aggiornato di volta in volta, poiché il modello di ChatGPT è continuamente addestrato e migliorato per migliorare la sua qualità e la sua accuratezza nella generazione di risposte.

Come funziona ChatGPT, cosa ha di diverso

Rispetto ad altre intelligenze artificiali, ChatGPT presenta alcune caratteristiche uniche che la rendono particolarmente avanzata nella generazione di linguaggio naturale. Ecco alcuni aspetti che distinguono ChatGPT da altre intelligenze artificiali:

1. Dimensioni del modello: ChatGPT è uno dei più grandi modelli di generazione di linguaggio naturale disponibili, con centinaia di milioni di parametri. Questo gli consente di generare risposte molto complesse e di alta qualità, anche per domande che richiedono una conoscenza specialistica.

2. Capacità di contestualizzare le risposte: il modello di ChatGPT è stato addestrato utilizzando tecniche di apprendimento automatico che gli consentono di comprendere il contesto in cui viene posta una domanda. Ciò significa che ChatGPT è in grado di generare risposte che tengono conto del contesto specifico della domanda e della conversazione in corso.

3. Generazione di risposte fluenti e coerenti: ChatGPT è in grado di generare risposte fluenti e coerenti, grazie alla sua capacità di analizzare e sintetizzare il testo del corpus di addestramento. Ciò significa che ChatGPT è in grado di generare risposte che sembrano scritte da un essere umano, anche in situazioni di conversazione complessa.

4. Aggiornamento continuo: ChatGPT è stato addestrato su una vasta gamma di testo e continuamente aggiornato per migliorare la qualità delle sue risposte. Ciò significa che ChatGPT è in grado di migliorare continuamente la sua capacità di generare risposte accurate e pertinenti.

In generale, ChatGPT è particolarmente avanzato nella generazione di linguaggio naturale grazie alla sua capacità di comprendere il contesto e la struttura del linguaggio e di generare risposte fluide e coerenti. Ciò rende ChatGPT particolarmente utile in molte applicazioni di conversazione e assistenza virtuale.

Come Funziona ChatGPT

ChatGPT è un modello di linguaggio naturale basato su reti neurali artificiali, che funziona attraverso l’utilizzo di tecniche di apprendimento automatico.

Il modello è stato addestrato su un vasto corpus di testo per apprendere le regole e la struttura del linguaggio naturale. Una volta addestrato, il modello può generare risposte in modo automatico a partire dalle domande poste dall’utente. Le risposte sono generate attraverso un processo di decodifica basato su un algoritmo di beam search, che seleziona la risposta più appropriata sulla base del contesto e delle probabilità di generazione.

Durante il processo di generazione delle risposte, ChatGPT tiene conto del contesto della conversazione in corso e utilizza il contesto per generare risposte più accurate e pertinenti. Il modello è in grado di comprendere anche il significato delle parole e delle frasi all’interno della frase di input e di utilizzare questa comprensione per generare risposte più rilevanti.

È importante sottolineare che ChatGPT non memorizza le risposte o le informazioni specifiche fornite dagli utenti. Invece, il modello utilizza il suo corpus di addestramento per generare risposte basate sulla conoscenza del linguaggio naturale, senza conoscere o ricordare specificamente la conversazione precedente.

In sintesi, ChatGPT funziona attraverso un processo di generazione di linguaggio naturale basato su tecniche di apprendimento automatico e decodifica, che gli consente di generare risposte pertinenti e accurate in base al contesto e al significato del linguaggio naturale.

Le domande a cui ChatGPT non può rispondere

Sì, ci sono alcune domande a cui ChatGPT potrebbe non essere in grado di rispondere con precisione o completezza. Nonostante il modello sia stato addestrato su un vasto corpus di testo, ci sono alcune conoscenze specifiche che potrebbero non essere presenti all’interno del corpus di addestramento. Inoltre, ChatGPT è in grado di generare risposte solo in base al contenuto del corpus di addestramento, senza avere accesso a conoscenze esterne.

Alcuni esempi di domande alle quali ChatGPT potrebbe non essere in grado di rispondere includono domande che richiedono conoscenze specifiche di un dominio o di un argomento di nicchia, o domande che richiedono una comprensione profonda di un evento o di una situazione specifica che non è coperta dal corpus di addestramento.

Inoltre, come qualsiasi altro modello di apprendimento automatico, ChatGPT potrebbe produrre risposte errate o inappropriati se la domanda è formulata in modo ambiguo o confuso.

In sintesi, pur essendo un modello di linguaggio naturale avanzato, ChatGPT potrebbe non essere in grado di rispondere a tutte le domande in modo preciso e completo. Tuttavia, il modello continua a migliorare grazie al suo algoritmo di apprendimento continuo e alla continua integrazione di nuovi dati di addestramento, il che significa che la sua capacità di rispondere a una vasta gamma di domande sta migliorando costantemente.

Ci sono domande a cui ChatGPT non vuole rispondere?

No, ChatGPT è un modello di apprendimento automatico e non ha una volontà propria. Il modello è stato addestrato per rispondere a una vasta gamma di domande in modo obiettivo e basato sui dati. Non ha alcuna preferenza o opinione personale e non può decidere di non rispondere a una domanda in base a propri pregiudizi o preferenze.

Tuttavia, è importante notare che ChatGPT rispetta gli standard etici e legali, e quindi potrebbe non fornire risposte a domande che violano questi standard. Ad esempio, potrebbe non rispondere a domande che promuovono l’odio, la discriminazione, la violenza o l’illegalità.

Inoltre, ChatGPT non fornirà informazioni personali o riservate su di sé o su terze parti, poiché il rispetto della privacy è una priorità importante nella progettazione del modello. In sintesi, ChatGPT non decide di non rispondere a una domanda in base a preferenze personali, ma rispetta gli standard etici e legali e la privacy delle persone.

https://www.digitalic.it/hardware-software/come-funziona-chatgpt

IA: Il nuovo Bing con ChatGPT arriva su iOS e Android

Angelo Domeneghini — Thu, 23 Feb 2023 10:31:00 GMT

IA: Il nuovo Bing con ChatGPT arriva su iOS e Android

Microsoft ha aggiornato le app Bing e Edge per integrare il proprio motore di ricerca potenziato con il robot conversazionale OpenAI, ora compatibile con l'input vocale.

Microsoft porta nuove cose su Edge, Bing e Skype.

Due settimane dopo il lancio di una nuova versione desktop di Bing che incorpora le tecnologie di conversazione basate sull'intelligenza artificiale di OpenAI,

Microsoft la sta espandendo agli smartphone.

Il gigante della tecnologia ha rilasciato aggiornamenti alle sue app del motore di ricerca Bing e al browser Web Edge per iOS e Android. Offrendo un nuovo design, incorporano la nuova versione del motore di ricerca alimentato dal modello linguistico ChatGPT, a condizione che siano tra i primi tester dopo essersi registrati nella lista d'attesa. In un comunicato stampa, l'azienda coglie l'occasione per informare che più di un milione di utenti hanno già aderito all'anteprima, ovvero alla versione preliminare, dei nuovi Bing ed Edge in 169 paesi.

Insieme a questo lancio arriva una nuova funzionalità per il suo chatbot, che ha creato alcune risposte incoerenti o emotive: la digitazione vocale. "Disponibile su dispositivi mobili e desktop, la ricerca vocale offre una maggiore flessibilità nel modo in cui è possibile porre domande e ricevere risposte da Bing", spiega Microsoft.

Bing su Skype

L'azienda, che ha appena rivisto i limiti imposti al chatbot di Bing, annuncia anche l'arrivo di Bing nel suo servizio di chiamate e messaggistica audio e video Skype utilizzato ogni giorno da 36 milioni di persone in tutto il mondo dopo Microsoft. Durante una chiamata o una discussione, può fornire informazioni a tutti i partecipanti. “Ad esempio, se stai chattando con la tua famiglia sulla tua prossima riunione, puoi semplicemente chiedere a Bing di suggerirti destinazioni, fornirti previsioni del tempo e suggerire attività interessanti per il tuo viaggio; tutti i membri della chat avranno quindi accesso ai risultati", spiega l'azienda.

https://www.20min.ch/fr/story/le-nouveau-bing-avec-chatgpt-debarque-sur-ios-et-android-186588873368

Gli hacker utilizzano app ChatGPT false per inviare malware Windows e Android

Angelo Domeneghini — Thu, 23 Feb 2023 10:20:00 GMT

Gli hacker utilizzano app ChatGPT false per inviare malware Windows e Android

Gli attori delle minacce stanno sfruttando la popolarità del chatbot ChatGPT di OpenAI per distribuire malware per Windows e Android o indirizzare ignari vitim verso pagine di phishing.

ChatGPT ha ottenuto un'enorme popolarità sin dal suo lancio nel novembre 2022, diventando l'applicazione consumer in più rapida crescita nella storia moderna con oltre 100 milioni di utenti entro gennaio 2023.

Questa enorme popolarità e la rapida crescita hanno costretto OpenAI a limitare l'uso dello strumento e ha lanciato un piano a pagamento di $ 20 al mese (ChatGPT Plus) per le persone che desiderano utilizzare il chatbot senza restrizioni di disponibilità.

La mossa ha creato le condizioni per consentire agli attori delle minacce di sfruttare la popolarità dello strumento promettendo un accesso ininterrotto e gratuito a ChatGPT premium. Le offerte sono galse e l'obiettivo è indurre gli utenti a installare malware o fornire le credenziali dell'account.

Il ricercatore di sicurezza Dominic Alvieri è stato tra i primi a notare uno di questi esempi utilizzando il dominio "chat-gpt-pc.online" per infettare i visitatori con il malware di furto di informazioni Redline con il pretesto di un download per un client desktop Windows ChatGPT.

Twitta

Quel sito Web è stato promosso da una pagina Facebook che utilizzava i loghi ufficiali di ChatGPT per indurre gli utenti a essere reindirizzati al sito dannoso.

Alvieri ha anche individuato false app ChatGPT promosse su Google Play e app store Android di terze parti, per spingere software dubbioso sui dispositivi delle persone.

I ricercatori di Cyble hanno pubblicato oggi un rapporto pertinente in cui presentano ulteriori risultati riguardanti la campagna di distribuzione del malware scoperta da Alvieri, nonché altre operazioni dannose che sfruttano la popolarità di ChatGPT.

Cyble ha scoperto "chatgpt-go.online" che distribuisce malware che ruba i contenuti degli appunti e il ladro Aurora.

Inoltre, "chat-gpt-pc[.]online" ha fornito il ladro di Lumma nei test di Cyble. Un altro dominio, "openai-pc-pro[.]online", rilascia una famiglia di malware sconosciuta.

Oltre a quanto sopra, Cyble ha scoperto una pagina di furto di carte di credito su "pay.chatgptftw.com" che presumibilmente offre ai visitatori un portale di pagamento per acquistare ChatGPT Plus.

Quando si tratta di app false, Cyble afferma di aver scoperto oltre 50 applicazioni dannose che utilizzano l'icona di ChatGPT e un nome simile, tutte false e che tentano di svolgere attività dannose sui dispositivi degli utenti.

Due esempi evidenziati nel rapporto sono "chatGPT1", che è un'app per frodi sulla fatturazione degli SMS, e "AI Photo", che contiene il malware Spynote, che può rubare registri delle chiamate, elenchi di contatti, SMS e file dal dispositivo.

ChatGPT è esclusivamente uno strumento online disponibile solo su "chat.openai.com" e al momento non offre alcuna app mobile o desktop per nessun sistema operativo.

Qualsiasi altra app o sito che afferma di essere ChatGPT sono falsi che tentano di truffare o infettare con malware e dovrebbero essere considerati almeno sospetti e gli utenti dovrebbero evitarli.

https://www.bleepingcomputer.com/news/security/hackers-use-fake-chatgpt-apps-to-push-windows-android-malware/

Falla di Fortinet FortiNAC: l’exploit è pubblico, il patching è urgente

Angelo Domeneghini — Thu, 23 Feb 2023 09:55:00 GMT

Falla di Fortinet FortiNAC: l’exploit è pubblico, il patching è urgente

Fortinet ha chiuso una vulnerabilità critica da pochi giorni, l’installazione della patch è urgente perché c’è già un exploit pubblico.

Ci sono voluti meno di quattro giorni per realizzare un exploit proof-of-concept per la patch di una delle vulnerabilità critiche di FortiNAC e FortiWeb corrette da Fortinet il 16 febbraio.

Fortunatamente questo PoC non è stato prodotto dal cybercrime ma da un gruppo di ricercatori per la sicurezza; i cyber criminali potrebbero non farsi attendere a lungo.

Le cronache cyber di casi analoghi avvenuti in passato narrano infatti di exploit pubblicati a tempo di record per attaccare dispositivi dei quali erano appena state divulgate le vulnerabilità con relative patch. Soprattutto quando le falle riguardano appliance di rete. In linea generale le patch per le falle relative ai dispositivi di rete dovrebbero essere installate rapidamente. A maggiore ragione in questo caso, dato che le vulnerabilità identificate da Fortinet hanno punteggio CVSS critici.

Le falle

Monitorata con la sigla CVE-2022-39952, la falla di FortiNAC ha un punteggio CVSS v3 di 9.8 su 10. È nota dal 16 febbraio e potrebbe essere sfruttata da un attaccante non autenticato per scrivere file arbitrari sul sistema e ottenere l'esecuzione di codice da remoto con i privilegi più elevati. Riguarda FortiNAC, la soluzione di controllo degli accessi alla rete che aiuta le organizzazioni a ottenere visibilità della rete in tempo reale, applicare policy di sicurezza e rilevare e mitigare le minacce.

Come indicato dal vendor, le versioni affette sono FortiNAC 9.4.0, le release dalla 9.2.0 alla 9.2.5, quelle dalla 9.1.0 alla 9.1.7 e tutte le release delle edizioni 8.8, 8.7, 8.6, 8.5 e 8.3. Per chiudere la falla è necessario procedere con gli aggiornamenti alle versioni 9.4.1 o successive, 9.2.6 o successive, 9.1.8 o successive e 7.2.0 o successive.

Una seconda falla, identificata con la sigla CVE-2021-42756, ha un punteggio CVSS v3 di 9.3 (sempre critico). Si tratta di una vulnerabilità multipla di buffer overflow basata su stack [CWE-121] nel daemon proxy di FortiWeb e può consentire a un attaccante remoto non autenticato di eseguire codice arbitrario tramite richieste HTTP appositamente predisposte.

FortiWeb è una soluzione WAF (Web Application Firewall) progettata per proteggere le applicazioni Web e le API da cross-site scripting (XSS), SQL injection, attacchi bot, DDoS (Distributed Denial of Service) e altre minacce online.

Le versioni interessate di FortiWeb sono tutte quelle con sigla 5.x, le 6.0.7 e precedenti, 6.1.2 e precedenti, 6.2.6 e precedenti, 6.3.16 e precedenti e tutte le release con sigla 6.4. Per risolvere il problema è necessario eseguire l’aggiornamento a FortiWeb 7.0.0 o successiva, 6.3.17 o successiva, 6.2.7 o successiva, 6.1.3 o versione successiva e 6.0.8 o successiva.

L’exploit

Come accennato, l’exploit PoC relativo alla falla di FortiNAC è stato realizzato dai ricercatori della società di sicurezza informatica Horizon3. Su GitHub è pubblicato un post tecnico che descrive in dettaglio la vulnerabilità e come può essere sfruttata, oltre al codice del PoC. È interessante dare un’occhiata perché consente di comprendere il lavoro che viene fatto dagli attaccanti quando devono realizzare un exploit di una falla di cui esiste la patch.

Si tratta di un lavoro certosino di reverse engineering. I ricercatori hanno analizzato il codice della patch ufficiale pubblicata da Fortinet e hanno scoperto che rimuove keyUpload.jsp. Si tratta di un endpoint che analizza le richieste per un parametro "key", lo scrive su un file di configurazione e quindi esegue lo script bash configApplianceXml, che a sua volta esegue il comando unzip. È proprio unzip il problema, perché, come spiega Horizon3, “consente di inserire file in qualsiasi percorso purché non attraversino la directory di lavoro corrente".

È l’informazione che serve per realizzare l’exploit: un codice permette a un attaccante di creare un archivio ZIP che contiene il payload, specificando dove deve essere estratto, e quindi inviarlo all'endpoint vulnerabile utilizzando il parametro key. Tale parametro assicura che la richiesta dannosa raggiunga keyUpload.jsp, ovvero l'endpoint non autenticato che è stato rimosso da Fortinet con la patch.

https://www.securityopenlab.it/news/2544/falla-di-fortinet-fortinac-lexploit-e-pubblico-il-patching-e-urgente.html

Samsung aggiunge la protezione dagli attacchi zero-click ai dispositivi Galaxy

Angelo Domeneghini — Tue, 21 Feb 2023 09:51:00 GMT

Samsung aggiunge la protezione dagli attacchi zero-click ai dispositivi Galaxy

Samsung aggiunge la protezione dagli attacchi zero-click ai dispositivi Galaxy

Samsung ha sviluppato un nuovo sistema di sicurezza chiamato Samsung Message Guard per aiutare gli utenti di smartphone Galaxy a proteggersi dai cosiddetti exploit "zero-click" che utilizzano file immagine dannosi.

Il colosso tecnologico coreano afferma che il suo nuovo sistema di sicurezza sarà in grado di rilevare queste minacce quando raggiungono il dispositivo come messaggio e di fermarle prima che causino danni.

Exploit zero clic

Gli exploit zero-click sono minacce sofisticate che sfruttano una vulnerabilità senza richiedere alcuna interazione con l'utente.

In genere, gli attacchi che si basano su exploit zero-click comportano l'invio al bersaglio di un messaggio o di un file con codice dannoso per attivare una vulnerabilità sul dispositivo che consente all'attaccante di accedere senza che la vittima apra nemmeno il messaggio o il file.

Notevoli attacchi zero-click hanno preso di mira giornalisti e attivisti con lo spyware Pegasus di NSO sfruttando gli exploit KISMET e FORCEDENTRY in iMessage di Apple.

Apple ha cercato di mitigare queste minacce alla sicurezza introducendo la Lockdown Mode, una modalità operativa progettata per individui ad alto rischio che limita la funzionalità e aumenta la sicurezza del dispositivo.

Protezione dei messaggi Samsung

Samsung Message Guard è uno spazio virtuale isolato sullo smartphone che funge da posizione di hosting temporaneo per i file immagine appena arrivati nei formati PNG, JPG/JPEG, GIF, ICO, WEBP, BMP e WBMP.

Il sistema controlla i file per determinare se nascondono codice dannoso. In tal caso, vengono bloccati in modalità quarantena e impediscono l'accesso o l'interazione con il sistema operativo sottostante.

"Samsung Message Guard neutralizza automaticamente qualsiasi potenziale minaccia nascosta nei file immagine prima che abbiano la possibilità di farti del male", spiega Samsung nell'annuncio della funzione.

"Funziona anche silenziosamente e in gran parte invisibile in background e non ha bisogno di essere attivato dall'utente" - Samsung

Il nuovo sistema di sicurezza si aggiunge ai molteplici livelli di protezione esistenti di Samsung, in particolare Samsung Knox, che può offrire il rilevamento delle minacce in tempo reale e la protezione dai malware.

Samsung Message Guard è immediatamente disponibile per Galaxy S23, rilasciato venerdì, e verrà gradualmente implementato su altri dispositivi Galaxy che eseguono One UI 5.1 o versioni successive più avanti nel 2023.

https://www.bleepingcomputer.com/news/security/samsung-adds-zero-click-attack-protection-to-galaxy-devices/

Smartphone: odi la segreteria telefonica su WhatsApp? Buone notizie!

Angelo Domeneghini — Mon, 20 Feb 2023 10:41:00 GMT

Smartphone: odi la segreteria telefonica su WhatsApp? Buone notizie!

Mentre alcuni li adorano, altri non sopportano di ricevere questo tipo di messaggi. WhatsApp sta testando una nuova funzionalità per trasformarli in classici messaggi di testo.

WhatsApp

Se sei uno di quelli che odia ricevere messaggi vocali su WhatsApp, questa notizia è per te.

Il gruppo Meta, infatti, aiuta i tanti utenti che non sopportano di ricevere audio di questo tipo, a volte molto lunghi, nel bel mezzo di una riunione, in uno spazio aperto o sui mezzi pubblici. Il servizio di messaggistica ha sviluppato una funzione che converte un messaggio audio in testo.

Per una volta, se non puoi (o non vuoi) ascoltare le parole del tuo interlocutore, queste possono trasformarsi in trascrizione di vocali e consonanti, riporta il sito WABetaInfo.

La nuova funzionalità sarebbe in fase di test in una versione beta.

Potrebbe essere installato in un futuro aggiornamento, prima su sistemi IOS e poi Android.

"Questa è la migliore notizia della settimana", afferma il sito. Verrebbero prese in considerazione anche diverse lingue.

Popolare tra i giovani

Ogni giorno vengono scambiati circa 7 miliardi di messaggi vocali su WhatsApp. Sono particolarmente popolari tra i 18-24enni, che sono più di un terzo a preferirli, secondo un sondaggio condotto lo scorso anno in Gran Bretagna. Va detto che sono molto pratici: non c'è bisogno di preoccuparsi della formulazione o dell'ortografia. Inoltre, alcuni ritengono che siano molto più comprensibili.

È dalla parte dei boomers, cioè dei 55-75enni, che la riluttanza è maggiore.

Solo il 5% di loro usa la voce e preferisce di gran lunga digitare i propri messaggi sulla tastiera. Ma si dice che i numeri siano in aumento e sempre più uomini ci stanno entrando, a differenza delle donne che sono in ritardo.

Nota che WhatsApp ha annunciato poco più di una settimana fa nuove possibilità di utilizzare la sua funzione Stato. Ora è possibile salvare e condividere messaggi vocali fino a 30 secondi come stato di WhatsApp.

https://www.20min.ch/fr/story/vous-detestez-les-messages-vocaux-sur-whatsapp-bonne-nouvelle-334295783465

Apple corregge il nuovo WebKit zero-day sfruttato per hackerare iPhone, Mac

Angelo Domeneghini — Thu, 16 Feb 2023 14:01:00 GMT

Apple corregge il nuovo WebKit zero-day sfruttato per hackerare iPhone, Mac

Apple ha rilasciato aggiornamenti di sicurezza di emergenza per affrontare una nuova vulnerabilità zero-day utilizzata negli attacchi per hackerare iPhone, iPad e Mac.

La patch zero-day oggi è tracciata come CVE-2023-23529 [1, 2] ed è un problema di confusione di WebKit che potrebbe essere sfruttato per attivare arresti anomali del sistema operativo e ottenere l'esecuzione di codice su dispositivi compromessi.

Uno sfruttamento riuscito consente agli aggressori di eseguire codice arbitrario su dispositivi che eseguono versioni vulnerabili di iOS, iPadOS e macOS dopo aver aperto una pagina Web dannosa (il bug ha un impatto anche su Safari 16.3.1 su macOS Big Sur e Monterey).

"L'elaborazione di contenuti Web creati in modo dannoso può portare all'esecuzione di codice arbitrario. Apple è a conoscenza di un rapporto secondo cui questo problema potrebbe essere stato attivamente sfruttato", ha affermato Apple descrivendo lo zero-day.

"Vorremmo ringraziare The Citizen Lab presso la Munk School dell'Università di Toronto per la loro assistenza".

Apple ha risolto CVE-2023-23529 con controlli migliorati in iOS 16.3.1, iPadOS 16.3.1 e macOS Ventura 13.2.1.

L'elenco completo dei dispositivi interessati è piuttosto ampio, in quanto il bug riguarda modelli vecchi e nuovi e include:

iPhone 8 e versioni successive

iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi

Mac con macOS Ventura

Oggi, Apple ha anche patchato un kernel use after free fall (CVE-2023-23514) segnalato da Xinru Chi di Pangu Lab e Ned Williamson di Google Project Zero che potrebbe portare a codice arbitrario con privilegi del kernel su Mac e iPhone.

Primo zero-day patchato da Apple quest'anno

Sebbene la società abbia rivelato di essere a conoscenza di rapporti di sfruttamento in-the-wild, non ha ancora pubblicato informazioni su questi attacchi.

Limitando l'accesso a queste informazioni, Apple probabilmente vuole consentire a quanti più utenti possibile di aggiornare i propri dispositivi prima che altri aggressori raccolgano i dettagli del giorno zero per sviluppare e distribuire i propri exploit personalizzati mirati a iPhone, iPad e Mac vulnerabili.

Sebbene questo bug zero-day sia stato probabilmente utilizzato solo in attacchi mirati, si consiglia vivamente di installare gli aggiornamenti di emergenza odierni il prima possibile per bloccare potenziali tentativi di attacco.

Il mese scorso, Apple ha anche eseguito il backport delle patch di sicurezza per un difetto zero-day sfruttabile da remoto scoperto da Clément Lecigne del Threat Analysis Group di Google su iPhone e iPad meno recenti.

https://www.bleepingcomputer.com/news/security/apple-fixes-new-webkit-zero-day-exploited-to-hack-iphones-macs/

Come scoprire a quale operatore appartiene un numero di cellulare

Angelo Domeneghini — Mon, 13 Feb 2023 16:44:00 GMT

Come scoprire a quale operatore appartiene un numero di cellulare

Per sapere a quale operatore appartiene un numero di telefono è necessario anteporre un codice al numero del contatto.

Fino a qualche anno fa era più semplice conoscere a quale operatore telefonico apparteneva un numero di telefono: bastava sapere il prefisso e il gioco era fatto. Ora non è più così. Grazie alla portabilità, è possibile cambiare operatore telefonico e mantenere il proprio numero di telefono. In questo modo riconoscere l’operatore tramite il prefisso è praticamente impossibile.

Se con il nostro abbonamento telefonico abbiamo un’offerta speciale verso i numeri di un operatore telefonico, è molto importante sapere a quale azienda appartiene il numero telefonico di una persona che dobbiamo chiamare.

Sfruttando la nostra offerta potremo risparmiare dei soldi.

Fortunatamente le aziende telefonici hanno messo a disposizione uno strumento che offre la possibilità di scoprire a quale operatore appartiene un numero. Si tratta di un servizio gratuito che tutti possono utilizzare facilmente. Per usare questo servizio basta anteporre al numero che dobbiamo chiamare il prefisso 456. Partirà una chiamata e una voce registrata ci informerà quale è l’operatore telefonico di quel numero. Ma non è l’unico modo per scoprire a quale azienda appartiene un numero, ce ne sono anche degli altri. Ecco come sapere di quale operatore è un numero di cellulare.

Come sapere l’operatore di un numero cellulare con TIM

Se siete utenti TIM, per scoprire a quale operatore telefonico appartiene un numero di cellulare, basta anteporre al numero da chiamare il codice 456. Una voce registrata vi fornirà il nome dell’azienda telefonica. Il servizio è attivo anche per i clienti di linea fissa: il procedimento è lo stesso, bisogna inserire il codice 456 prima del numero di telefono.

Se non si vuole effettuare la chiamata, è possibile scoprire l’operatore anche tramite SMS: basta inviare un messaggio al 456 con scritto "info (numero di telefono)".

Come sapere l’operatore di un numero cellulare con Vodafone

I clienti Vodafone hanno due possibilità per scoprire a quale operatore appartiene un numero di telefono. Possono anteporre al numero il codice 456 e aspettare il responso della voce registrata, o chiamare il 4563 e seguire le indicazioni del servizio. È possibile sapere di quale operatore è il numero di cellulare inviando anche un SMS al 4563, scrivendo nel testo del messaggio solamente il numero di telefono da chiamare.

Come sapere l’operatore di un numero cellulare con Wind

Con la Wind basta inserire il codice 456 prima del numero di telefono da chiamare per conoscere l’operatore: una voce registrata vi darà l’informazione che state cercando. Discorso differente per quanto riguarda gli utenti linea fissa Infostrada: il codice da anteporre al numero da chiamare è un po’ più lungo: 1088456.

Come sapere l’operatore di un numero cellulare con Tre

Anche se siete utenti Tre il procedimento da seguire per conoscere l’operatore di un numero di telefono è sempre lo stesso: si dovrà inserire il codice 456 prima del numero telefonico da chiamare. Una valida alternativa è accedere all’Area Clienti 3 e utilizzare il servizio "È un 3?" che permette di scoprire se un numero di cellulare fa parte della rete Tre.

Come sapere l’operatore di un numero cellulare con Poste Mobile

Con gli operatori virtuali la storia non cambia. La procedura da seguire è sempre la stessa. Se siete utenti Poste Mobile, basta anteporre il codice 456 prima del numero da chiamare per scoprire a quale operatore appartiene.

Come sapere l’operatore di un numero cellulare con Fastweb

Se siete utenti Fastweb, la procedura da seguire per scoprire a quale operatore telefonico appartiene un numero di telefono è leggermente differente: è necessario chiamare il 4563 e seguire le indicazioni della voce registrata.

Exploit rilasciato per GoAnywhere MFT zero-day sfruttato attivamente

Angelo Domeneghini — Thu, 09 Feb 2023 14:34:00 GMT

Exploit rilasciato per GoAnywhere MFT zero-day sfruttato attivamente

Fortra GoAnywhere

È stato rilasciato codice di exploit per una vulnerabilità zero-day sfruttata attivamente che colpisce le console di amministrazione di GoAnywhere MFT esposte a Internet.

GoAnywhere MFT è uno strumento di trasferimento di file gestito e basato sul Web progettato per aiutare le organizzazioni a trasferire i file in modo sicuro con i partner e conservare registri di controllo di chi ha avuto accesso ai file condivisi.

Il suo sviluppatore è Fortra (precedentemente noto come HelpSystems), il gruppo dietro lo strumento di emulazione delle minacce Cobalt Strike ampiamente abusato.

Lunedì, il ricercatore di sicurezza Florian Hauser della società di consulenza per la sicurezza informatica Code White ha rilasciato dettagli tecnici e un codice exploit proof-of-concept che esegue l'esecuzione di codice remoto non autenticato su server GoAnywhere MFT vulnerabili.

"Potrei fornire un PoC funzionante (confronta l'hash e l'ora del mio tweet) ai miei compagni di squadra entro poche ore nello stesso giorno per proteggere prima i nostri clienti", ha affermato Hauser.

Conferma dell'exploit RCE

Fortra afferma che "il vettore di attacco di questo exploit richiede l'accesso alla console amministrativa dell'applicazione, che nella maggior parte dei casi è accessibile solo dall'interno di una rete aziendale privata, tramite VPN o tramite indirizzi IP consentiti (durante l'esecuzione nel cloud ambienti, come Azure o AWS)."

Tuttavia, una scansione di Shodan mostra che quasi 1.000 istanze GoAnywhere sono esposte su Internet, anche se poco più di 140 si trovano sulle porte 8000 e 8001 (quelle utilizzate dalla console di amministrazione vulnerabile).

Mitigazione disponibile

La società deve ancora riconoscere pubblicamente questa falla di sicurezza RCE di pre-autenticazione remota sfruttata negli attacchi (per leggere l'avviso, è necessario prima creare un account gratuito) e non ha rilasciato aggiornamenti di sicurezza per affrontare la vulnerabilità, lasciando così tutte le installazioni esposte vulnerabile agli attacchi.

Tuttavia, l'advisory privato fornisce indicatori di compromissione, incluso uno stacktrace specifico che compare nei log sui sistemi compromessi.

"Se questo stacktrace è nei log, è molto probabile che questo sistema sia stato l'obiettivo di un attacco", afferma Fortra.

Contiene inoltre consigli di mitigazione che includono l'implementazione di controlli di accesso per consentire l'accesso all'interfaccia amministrativa di GoAnywhere MFT solo da fonti attendibili o la disabilitazione del servizio di licenza.

Per disabilitare il server delle licenze, gli amministratori devono commentare o eliminare la configurazione del servlet e della mappatura del servlet per il servlet di risposta della licenza nel file web.xml per disabilitare l'endpoint vulnerabile. È necessario un riavvio per applicare la nuova configurazione.

Servlet di risposta alla licenza GoAnywhere MFT

Codice da rimuovere/commentare per disabilitare il servizio di licenza di GoAnywhere MFT

"Poiché i dati nel tuo ambiente potrebbero essere stati consultati o esportati, dovresti determinare se hai memorizzato credenziali per altri sistemi nell'ambiente e assicurarti che tali credenziali siano state revocate", ha aggiunto Fortra in un aggiornamento rilasciato sabato.

"Ciò include password e chiavi utilizzate per accedere a qualsiasi sistema esterno con cui GoAnywhere è integrato.

"Assicurati che tutte le credenziali siano state revocate da quei sistemi esterni e rivedi i registri di accesso pertinenti relativi a tali sistemi. Ciò include anche le password e le chiavi utilizzate per crittografare i file all'interno del sistema."

Fortra consiglia inoltre di adottare le seguenti misure dopo la mitigazione in ambienti con sospetto o evidenza di un attacco:

Ruota la tua chiave di crittografia principale.

Reimpostare le credenziali - chiavi e/o password - per tutti i partner/sistemi commerciali esterni.

Esamina i registri di controllo ed elimina qualsiasi amministratore sospetto e/o account utente web

Contatta l'assistenza tramite il portale https://my.goanywhere.com/, invia un'e-mail a goanywhere.support@helpsystems.com o chiama il numero 402-944-4242 per ulteriore assistenza.

https://www.bleepingcomputer.com/news/security/exploit-released-for-actively-exploited-goanywhere-mft-zero-day/

Google: Le immagini di natura sessuale saranno presto sfocate per impostazione predefinita

Angelo Domeneghini — Thu, 09 Feb 2023 14:30:00 GMT

Le immagini di natura sessuale saranno presto sfocate per impostazione predefinita

Google prevede di aggiungere una nuova impostazione di filtro automatico al suo motore di ricerca Google Immagini.

Dopo aver presentato il suo robot conversazionale Bard, martedì Google ha approfittato del Safer Internet Day, la giornata internazionale per un Internet più sicuro, per annunciare, tra le altre cose, una modifica al suo strumento di filtraggio su Google Immagini. Già attivato per impostazione predefinita per gli utenti minori di 18 anni collegati al proprio account Google, il filtro SafeSearch avrà una nuova impostazione predefinita. "Sfoca le immagini esplicite se appaiono nei risultati di ricerca quando il filtro SafeSearch non è abilitato", spiega Google sul suo blog. In altre parole, le immagini di natura sessuale o violenta verranno automaticamente sfocate. Il colosso del web precisa che sarà possibile modificare questo nuovo parametro in qualsiasi momento. Tieni presente che funziona solo per i risultati di ricerca di Google e non per i siti web.

La sfocatura sarà abilitata per impostazione predefinita.

Google

Google, che ricorda di offrire strumenti per regolare l'attività online dei bambini, come la piattaforma di controllo parentale Family Link, non ha specificato una data di implementazione. L'azienda ha semplicemente indicato che la sfocatura automatizzata arriverà "nei prossimi mesi".

https://www.20min.ch/fr/story/images-a-caractere-sexuel-bientot-floutees-par-defaut-999147880582

Contenuti vietati su Instagram: regole più rigide, scopri cosa cambia

Angelo Domeneghini — Mon, 06 Feb 2023 15:35:00 GMT

Instagram è la patria di un sacco di modelli scarsamente vestiti e meme borderline che potrebbero iniziare a ottenere meno visualizzazioni a partire da adesso

Il regolamento di Instagram diventa più rigido e aumentano i contenuti vietati,

Instagram estende quelli che vengono definiti contenuti declassati, ovvero contenuti che non violano direttamente il regolamento Instagram, ma che il social non approva, si tratta di immagini che ad esempio non presentano nudità ma che sono comuanue sessualmente esplicite. Instagram ha detto: “abbiamo iniziato a ridurre la diffusione di messaggi che sono inappropriati, ma non vanno contro le norme della community di Instagram”.

Ciò significa che un post, se è sessualmente suggestivo, ma non descrive un atto sessuale o non contiene nudità, potrebbe essere ancora disponibile, ma potrebbe essere retrocesso, declassato. Allo stesso modo, se un meme non costituisce istigazione all’odio o molestia, ma è considerato di cattivo gusto, osceno, violento o doloroso per alcuni, potrebbe ottenere meno visibilità.

contenuti vietati Instagram regole

Oltre ai contenuti vietati su Instagram introduce i contenuti declassati, che non vengono rimossi, ma ne viene limitata la visibulità

Nuovo regolamento Instagram

La nuova normativa Instagram afferma che “questo tipo di contenuti non potrà essere visualizzato dalla più ampia community in Esplora o pagine di hashtag”, cosa che potrebbe incidere gravemente la capacità dei creatori di tali contenuti di acquisire nuovi follower. La notizia è arrivata in mezzo a un’inondazione di annunci di “integrità” da parte di Facebook per salvaguardare la sua famiglia di app in un evento stampa presso la sede dell’azienda a Menlo Park.

“Abbiamo iniziato a utilizzare il machine learning per determinare se i contenuti pubblicati sono idonei per essere raccomandati alla nostra community”, ha affermato il Responsabile di Prodotto di Instagram per Esplora, Will Ruben. Instagram sta ora addestrando i suoi moderatori di contenuti ad etichettare i contenuti borderline, mentre sono a caccia di violazioni delle policy, in modo che Instagram possa quindi utilizzare i tag per addestrare un algoritmo all’identificazione di tali contenuti.

Regolamento Instagram: cosa cambia

I contenuti non vietati ma inappropriati per Instagram post non saranno completamente rimossi dal feed e Instagram afferma che per ora la nuova policy non avrà alcun impatto sul feed o sulle Storie di Instagram, ma il manifesto di novembre del CEO di Facebook Mark Zuckerberg ha descritto la necessità di ridurre ampiamente la portata di questi “contenuti borderline”, che su Facebook vorrebbe dire che tali contenuti sarebbero mostrati più in basso nel feed delle notizie. Questa politica potrebbe essere facilmente estesa a Instagram in futuro e questo probabilmente ridurrebbe la capacità dei creatori di raggiungere i loro fan esistenti, il che potrebbe influire sulla loro capacità di monetizzare attraverso post sponsorizzati o traffico diretto.

Henry Silverman di Facebook ha spiegato che “quando il contenuto si avvicina sempre più alla linea limite degli standard stabiliti per la community che determina la rimozione, il contenuto viene percepito come più coinvolgente. Non è qualcosa di unicamente relativo a Facebook, ma è inerente alla natura umana.” La policy sui contenuti borderline ha lo scopo di contrastare questo fenomeno.

Questo nuovo meccanismo ha senso se si pensa al fenomeno esteso dei clickbait, le fake news e le molestie online, che nessuno vuole su Facebook o Instagram, ma quando si tratta di contenuti a tema sessuale, seppur non espliciti, cosa che è stata lungamente parte integrante dei contenuti diffusi su Instagram, si tratta di un significativo passo in avanti nella censura su Facebook e Instagram.

Instagram linee guida per i contenuti

I creator al momento non dispongono di precise linee guida su ciò che costituisce un contenuto inappropriato, in questo senso il regolamento Instagram non è chiaro e non c’è nulla nelle regole o nelle condizioni di uso di Instagram che menzioni anche contenuti non raccomandabili. L’unica informazione che Instagram ha fornito è stata ciò che ha condiviso nell’evento in cui ne ha parlato. L’azienda ha però, poi, precisato che contenuti violenti, grafica scioccante, elementi sessualmente suggestivi, disinformazione e contenuti di spam possono essere tutti considerati “non raccomandabili” e, pertanto, non appariranno facilmente in Esplora o nelle pagine legate agli hashtag.

contenuti borderline instagram

oltre ai contenuti vietati l’incognita al momento è se la riduzione di visibilità dei contenuti borderline sarà estesa anche ai feed e alle Storie di Instagram e come i contenuti verranno classificati, se raccomandabili o meno. Con il coinvolgimento dell’intelligenza artificiale, il meccanismo potrebbe trasformarsi in un’altra situazione in cui Facebook si sottrae alle sue responsabilità in favore dell’efficienza algoritmica, ma, questa volta, rimuovendo o riducendo il contenuto in maniera forse eccessiva, piuttosto che incorrere in problemi ulteriori.

Data la mancanza di chiare policy da evidenziare, la natura soggettiva di decidere ciò che è offensivo ma non illecito, l’enormità numerica di 1 miliardo di utenti di Instagram e i suoi nove anni di consenso alla pubblicazione di contenuti adesso potenzialmente “non raccomandabili”, ci saranno sicuramente reclami e dibattiti su un’applicazione corretta e coerente di questo nuovo sistema.

https://www.digitalic.it/social-network/contenuti-vietati-instagram-regole

Whatsapp Community, come funzionano

Angelo Domeneghini — Mon, 06 Feb 2023 15:15:00 GMT

Le WhatsApp Community sono ora disponibili, ecco cosa sono e come funzionano i nuovi super gruppi

Whatsapp Community finalmente disponibili, dopo l’annuncio dell’inizio dell’anno è sceso in campo Mark Zuckerberg in persona per dire che oggi le Community Whatsapp sono attive e disponibili. Con un Blog Post e un video il capo di Meta.

Presentando il nuovo servizio WhatsApp Community Zuckerberg ha detto: “Abbiamo lavorato sodo per creare Community, un importante aggiornamento al modo in cui le persone potranno connettersi su WhatsApp all’interno dei gruppi per loro importanti. Siamo entusiasti di annunciare di aver iniziato a implementare Community su WhatsApp a livello globale e nei prossimi mesi sarà disponibile per tutti”.

Whatsapp Community cos’è

L’idea alla base di WhatsApp Community è quella di ricreare online le comunità dei condomini, dei quartieri, scuole e luoghi di lavoro. In praticala community è un aggregatore di gruppi, se pensiamo alla community di una scuola potrebbe contenere i gruppi di arie classi, un supergruppo organizzato.

Whatsapp Community come funziona

Con WhatsApp Community si possono collegare più gruppi e organizzare le conversazioni di gruppo in un unico luogo su WhatsApp. Ma come si fa? Per iniziare a creare una Community su Whatsapp bisogna toccare la nuova tab Community in alto nelle chat su Android e in basso su iOS. Da lì, puoi creare una nuova community da zero o aggiungere gruppi esistenti.

Quando sei in una community, puoi facilmente passare da un gruppo disponibile all’altro per ottenere le informazioni di cui hai bisogno e al momento opportuno, mentre gli amministratori possono inviare aggiornamenti importanti a tutti i membri dei gruppi e della community.

Con Community, l’ obiettivo è migliorare la comunicazione per le organizzazioni grazie a un livello di privacy e sicurezza maggiore. Secondo Mark Zuckerberg “Le alternative oggi disponibili richiedono di affidare ad app e aziende di software una copia dei propri messaggi, mentre noi riteniamo che le persone meritino il livello più alto di sicurezza fornito dalla crittografia end-to-end”.

Perché WhatsApp Community

Meta ha sviluppato la funzionalità Whatsapp Community per i gruppi che hanno la necessità di organizzare e gestire in modo più efficiente le proprie conversazioni. In particolare, i gruppi i cui membri si conoscono e si riuniscono in base a un interesse comune.

Sono ormai diverse le categorie che prediligono WhatsApp per lo scambio di informazioni, come ad esempio le scuole o le associazioni locali. Si tratta di gruppi che hanno bisogno di comunicare tramite un sistema che garantisca la privacy e sia alternativo ai social media, ma che allo stesso tempo agevoli le conversazioni in tempo reale fornendo più strumenti rispetto alle email o altri canali.

In ogni community di WhatsApp, gli utenti troveranno la relativa descrizione e la lista dei gruppi a cui possono scegliere di unirsi. In questo modo, viene garantita la struttura e l’organizzazione anche alle conversazioni dei gruppi più estesi e complessi, e si dà la possibilità ai membri di concentrarsi solo su ciò che a loro interessa di più.

Strumenti per gli amministratori

Meta vuole fornire strumenti che semplifichino la gestione dei gruppi per gli amministratori, ovvero le figure che creano le community di WhatsApp e hanno la responsabilità di moderarle. Gli amministratori avranno la facoltà di scegliere quali gruppi collegare alla propria community formandone di nuovi o selezionandone di già esistenti, scollegare i gruppi o rimuovere i singoli membri dalla community, oltre a eliminare messaggi o contenuti inappropriati. Avranno anche a disposizione risorse che li aiuteranno a utilizzare al meglio queste nuove funzionalità.

Opzioni di controllo sulle chat anche agli utenti

Oltre agli amministratori, anche gli utenti potranno controllare le proprie interazioni mentre usano Community di WhatsApp. Giò oggi gli utenti possono decidere, tramite le impostazioni esistenti, chi può aggiungerli a un gruppo; tali impostazioni verranno mantenute anche in Community. Gli utenti avranno inoltre la possibilità di segnalare usi impropri, di bloccare account indesiderati e di abbandonare community di cui non vogliono più far parte. Si potrà anche lasciare un gruppo silenziosamente, ovvero senza che nessuno degli altri membri ne riceva notifica.

WhatsApp community limiti a dimensioni

Mentre altre applicazioni non pongono limiti alle chat di gruppo, WhatsApp ha sviluppato il proprio prodotto attorno alle esigenze di organizzazioni o altri gruppi i cui membri si conoscono già. Di conseguenza, a differenza dei social media o di altri servizi di messaggistica, WhatsApp non supporterà la funzione di ricerca per trovare nuove community.

Solo gli amministratori potranno inviare messaggi, chiamati avvisi, ai membri delle community nella relativa bacheca. In questo modo, si eviteranno comunicazioni superflue o sovraccarichi e si potranno raggiungere le migliaia di utenti supportate con un unico invio. I membri delle community potranno invece chattare in gruppi più piccoli creati o approvati dagli amministratori.

WhatsApp porrà anche un ulteriore limite all’inoltro dei messaggi per garantire la riservatezza delle conversazioni: con Community, i messaggi già inoltrati potranno infatti essere inviati a un solo gruppo alla volta, invece che ai cinque consentiti attualmente.

WhatsApp Nuove funzioni

WhatsApp ha anche annunciato iil lancio di tre funzioni: la possibilità di creare sondaggi nelle chat, chiamate di gruppo con 32 persone e gruppi contenenti fino a 1.024 utenti. Come per le reazioni con emoji, la condivisione di file più grandi e l’eliminazione degli amministratori, queste funzioni possono essere usate in tutti i gruppi, ma sono particolarmente utili per le community.

https://www.digitalic.it/social-network/whatsapp-community-come-funzionano

Gli annunci di Google spingono malware "virtualizzato" creato per l'evasione dell'antivirus

Angelo Domeneghini — Fri, 03 Feb 2023 10:29:00 GMT

Gli annunci di Google spingono malware "virtualizzato" creato per l'evasione dell'antivirus

Una campagna di malvertising di annunci Google in corso sta diffondendo programmi di installazione di malware che sfruttano la tecnologia di virtualizzazione KoiVM per eludere il rilevamento durante l'installazione del ladro di dati Formbook.

KoiVM è un plug-in per la protezione ConfuserEx .NET che offusca i codici operativi di un programma in modo che solo la macchina virtuale li capisca. Quindi, quando viene avviata, la macchina virtuale traduce i codici operativi nella loro forma originale in modo che l'applicazione possa essere eseguita.

"I framework di virtualizzazione come KoiVM offuscano gli eseguibili sostituendo il codice originale, come le istruzioni NET Common Intermediate Language (CIL), con codice virtualizzato che solo il framework di virtualizzazione comprende", spiega un nuovo rapporto di SentinelLabs.

"Un motore di macchina virtuale esegue il codice virtualizzato traducendolo nel codice originale in fase di esecuzione."

"Quando viene utilizzata in modo dannoso, la virtualizzazione rende difficile l'analisi del malware e rappresenta anche un tentativo di eludere i meccanismi di analisi statica".

In una campagna pubblicitaria di Google individuata da Sentinel Labs, gli attori delle minacce spingono il malware che ruba informazioni Formbook come caricatori .NET virtualizzati soprannominati "MalVirt", che aiutano a distribuire il payload finale senza attivare avvisi antivirus.

Sentinel Labs commenta che mentre la virtualizzazione KoiVM è popolare per gli strumenti di hacking e crack, raramente viene utilizzata nella distribuzione di malware.

Invece, la società di sicurezza ritiene che la nuova tendenza nel suo utilizzo potrebbe essere uno dei molteplici effetti collaterali della disabilitazione delle macro in Office da parte di Microsoft.

Abuso degli annunci di ricerca di Google

Nell'ultimo mese, i ricercatori hanno notato un aumento dell'abuso degli annunci della rete di ricerca di Google per distribuire vari malware, tra cui RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys stealer, IcedID, Raccoon Stealer e molti altri.

Nella campagna in corso vista da SentinelLabs, gli attori delle minacce spingono i caricatori MalVirt in annunci che fingono di essere per il software Blender 3D.

I download offerti da questi siti falsi utilizzano firme digitali non valide che impersonano Microsoft, Acer, DigiCert, Sectigo e AVG Technologies USA.

Sebbene queste firme non valide non inducano Windows a mostrarle come firmate, i caricatori MalVirt contengono comunque funzionalità per evitare il rilevamento.

"Ad esempio, alcuni campioni correggono la funzione AmsiScanBuffer implementata in amsi.dll per aggirare l'Anti Malware Scan Interface (AMSI) che rileva i comandi dannosi di PowerShell", spiega il ricercatore A. Milenkoski.

"Inoltre, nel tentativo di eludere i meccanismi di rilevamento statico, alcune stringhe (come amsi.dll e AmsiScanBuffer) sono codificate Base-64 e crittografate con AES."

I caricatori possono anche rilevare se vengono eseguiti in un ambiente virtualizzato interrogando chiavi di registro specifiche e, in tal caso, l'esecuzione si interrompe per eludere l'analisi.

MalVirt utilizza anche un driver Microsoft Process Explorer firmato caricato all'avvio del sistema come "TaskKill", che gli consente di modificare i processi in esecuzione per evitare il rilevamento.

Per eludere anche la decompilazione del codice virtualizzato, i caricatori utilizzano anche una versione modificata di KoiVM che presenta ulteriori livelli di offuscamento, rendendo la sua decifrazione ancora più impegnativa.

SentinelLabs afferma che questa implementazione personalizzata di KoiVM confonde i framework di devirtualizzazione standard come "OldRod" offuscando la sua routine attraverso operazioni aritmetiche invece di utilizzare semplici assegnazioni.

Milenkoski afferma che è possibile sconfiggere l'offuscamento in questi caricatori MalVirt e ripristinare l'ordine originale delle 119 variabili costanti di KoiVM.

Tuttavia, l'offuscamento aggiuntivo lo rende difficile, richiedendo un pesante lavoro manuale poiché gli strumenti automatizzati esistenti non possono essere d'aiuto.

Nascondere l'infrastruttura

Oltre a tutti i sistemi di elusione del rilevamento utilizzati nel caricatore di malware, lo stesso Formbook utilizza un nuovo trucco che aiuta a mascherare il suo vero traffico C2 (comando e controllo) e gli indirizzi IP.

Il malware che ruba informazioni mescola il suo traffico reale con varie richieste HTTP "fumose" il cui contenuto è crittografato e codificato in modo da non risaltare.

Il malware comunica con quegli IP in modo casuale, selezionandoli da un elenco codificato con domini ospitati da varie società.

SentinelLabs afferma che nei campioni analizzati, ha visto Formbook comunicare con 17 domini, solo uno dei quali era l'effettivo server C2, e il resto fungeva da semplice esca per confondere gli strumenti di monitoraggio del traffico di rete.

Questo è un nuovo sistema su un ceppo di malware piuttosto vecchio, il che indica che i suoi operatori sono interessati a potenziarlo con nuove funzionalità che lo renderanno migliore nel rimanere nascosto agli strumenti di sicurezza e agli analisti.

Resta da vedere se gli attori delle minacce hanno cambiato completamente la distribuzione malspam di Formbook agli annunci di ricerca di Google, ma è un altro esempio del fatto che gli utenti devono stare molto attenti ai link che cliccano nei risultati di ricerca.

https://www.bleepingcomputer.com/news/security/google-ads-push-virtualized-malware-made-for-antivirus-evasion/

Rilasciate patch di sicurezza di Django versioni: 4.1.6, 4.0.9 e 3.2.17

Angelo Domeneghini — Thu, 02 Feb 2023 16:33:00 GMT

Rilasci di sicurezza di Django: 4.1.6, 4.0.9 e 3.2.17

In conformità con la nostra politica di rilascio di sicurezza, il team di Django sta rilasciando

Django 4.1.6, Django 4.0.9 e Django 3.2.17.

Queste versioni risolvono il problema di sicurezza descritto di seguito. Incoraggiamo tutti gli utenti di Django ad aggiornare il prima possibile.

CVE-2023-23969: Potenziale negazione del servizio tramite intestazioni Accept-Language

I valori analizzati delle intestazioni Accept-Language vengono memorizzati nella cache per evitare analisi ripetitive. Ciò porta a un potenziale vettore di negazione del servizio tramite un utilizzo eccessivo della memoria se vengono inviati valori di intestazione di grandi dimensioni.

Per evitare questa vulnerabilità, l'intestazione Accept-Language viene ora analizzata fino a una lunghezza massima.

Questo problema ha una gravità "moderata" secondo la politica di sicurezza di Django.

Versioni supportate interessate

Ramo principale di Django

Django 4.2 (attualmente allo stato alfa pre-rilascio)

Django 4.1

Django 4.0

Django 3.2

Risoluzione

Le patch per risolvere il problema sono state applicate al ramo principale di Django e ai rami di rilascio 4.2, 4.1, 4.0 e 3.2. Le patch possono essere ottenute dai seguenti changeset:

Sul ramo principale

Sul ramo di rilascio 4.2

Sul ramo di rilascio 4.1

Sul ramo di rilascio 4.0

Sul ramo di rilascio 3.2

Sono state emesse le seguenti liberatorie:

Django 4.1.6 (scarica Django 4.1.6 | 4.1.6 checksum)

Django 4.0.9 (scarica Django 4.0.9 | checksum 4.0.9)

Django 3.2.17 (scarica Django 3.2.17 | checksum 3.2.17)

https://www.djangoproject.com/weblog/2023/feb/01/security-releases/

La violazione dei dati di Google Fi consente agli hacker di eseguire attacchi di scambio di SIM

Angelo Domeneghini — Thu, 02 Feb 2023 16:23:00 GMT

La violazione dei dati di Google Fi consente agli hacker di eseguire attacchi di scambio di SIM

Google Fi, il servizio di telecomunicazioni e Internet mobile di Google solo negli Stati Uniti, ha informato i clienti che i dati personali sono stati esposti da una violazione dei dati presso uno dei suoi principali fornitori di rete, con alcuni clienti avvertiti che consentiva attacchi di scambio di SIM.

Questa settimana Google ha inviato avvisi di violazione dei dati ai clienti di Google Fi, informandoli che l'incidente ha esposto i loro numeri di telefono, i numeri di serie della scheda SIM, lo stato dell'account (attivo o inattivo), la data di attivazione dell'account e i dettagli del piano di servizi mobili.

Google ha chiarito che i sistemi violati non contenevano dettagli sensibili come nomi completi, indirizzi e-mail, informazioni sulla carta di pagamento, SSN, codici fiscali, ID governativi, password dell'account o contenuti di SMS e telefonate.

"Il nostro team di risposta agli incidenti ha intrapreso un'indagine e ha stabilito che si è verificato un accesso non autorizzato e ha collaborato con il nostro fornitore di rete principale per identificare e implementare misure per proteggere i dati su quel sistema di terze parti e informare tutti coloro che potrebbero essere interessati", si legge nell'avviso ai clienti.

"Non c'era accesso ai sistemi di Google o ad alcun sistema supervisionato da Google".

Sebbene Google non abbia menzionato chi fosse il principale provider di rete che è stato violato, si ritiene che si riferiscano a T-Mobile

T-Mobile ha rivelato il mese scorso di aver subito una violazione dei dati API nel novembre 2022 che ha esposto le informazioni personali di circa 37 milioni di abbonati.

Abbiamo chiesto a Google di confermare se ciò è correlato alla violazione di T-Mobile, ma non abbiamo ricevuto risposta.

La violazione dei dati ha portato ad attacchi di scambio di SIM

Sfortunatamente, i dati tecnici della SIM esposti hanno consentito agli attori delle minacce di condurre attacchi di scambio di SIM su alcuni clienti di Google Fi, con un cliente che ha riferito che gli hacker hanno ottenuto l'accesso al proprio account Authy MFA.

Gli attacchi di scambio di SIM si verificano quando gli attori delle minacce convincono i gestori di telefonia mobile a trasferire il numero di telefono di un cliente su una scheda SIM mobile sotto il controllo dell'aggressore.

Questi attacchi vengono condotti utilizzando l'ingegneria sociale, in cui l'autore della minaccia impersona il cliente e richiede che il numero venga trasferito su un nuovo dispositivo per qualche motivo. Per convincere l'operatore di telefonia mobile di essere il cliente, fornisce informazioni personali esposte ad attacchi di phishing e violazioni dei dati.

Poiché la violazione dei dati di Google Fi include numeri di telefono, che possono essere facilmente collegati al nome di un cliente, e il numero di serie delle carte SIM, sarebbe stato ancora più convincente quando si contatta un rappresentante dell'assistenza clienti mobile.

Una volta trasferito il numero, gli autori delle minacce avrebbero accesso ai messaggi di testo della vittima, inclusi i codici MFA, consentendo loro di violare gli account online o assumere servizi protetti dal numero di telefono di una persona.

Google ha inviato un avviso separato ai clienti interessati dagli attacchi di scambio di SIM, rivelando che gli aggressori sono riusciti a trasferire i propri numeri su un'altra SIM per un breve periodo.

Tuttavia, la segreteria telefonica degli utenti non è stata violata.

“Il 1° gennaio 2023, per circa 1 ora e 48 minuti, il tuo servizio di telefonia mobile è stato trasferito dalla tua scheda SIM a un'altra scheda SIM. Durante il periodo di questo trasferimento temporaneo, l'accesso non autorizzato potrebbe aver comportato l'utilizzo del tuo numero di telefono per inviare e ricevere telefonate e messaggi di testo. Nonostante il trasferimento della SIM, non è stato possibile accedere alla tua casella vocale. Abbiamo ripristinato il servizio Google Fi sulla tua scheda SIM." - Google

Un cliente che ha subito gli attacchi di scambio di SIM ha condiviso la sua esperienza su Reddit, affermando di aver assistito in tempo reale all'acquisizione dei suoi account e-mail, finanziari e dell'app di autenticazione Authy.

"L'hacker ha usato questo per impossessarsi di tre dei miei account online: la mia e-mail principale, un account finanziario e l'app di autenticazione Authy, tutto perché erano in grado di ricevere i miei SMS e quindi sconfiggere il 2-fac basato su SMS", ha spiegato il cliente di Google Fi.

Una volta che un'app di autenticazione a due fattori viene dirottata, è molto più facile per gli hacker compromettere altri account, soprattutto se sono stati registrati utilizzando un numero di telefono.

Nonostante i suoi sforzi per fermarlo informando Google Fi, afferma di essere stato ignorato dall'assistenza clienti.

https://www.bleepingcomputer.com/news/security/google-fi-data-breach-let-hackers-carry-out-sim-swap-attacks/

Streaming: Ecco come Netflix impedirà la condivisione di una password

Angelo Domeneghini — Wed, 01 Feb 2023 15:10:00 GMT

Streaming: Ecco come Netflix impedirà la condivisione di una password

La piattaforma di streaming ha diramato le sue nuove regole per la condivisione degli account, una pratica che ripagherà per gli utenti che non vivono sotto lo stesso tetto.

Netflix ha ora 230,75 milioni di abbonati a pagamento.

AFP

In una nuova sezione di domande e risposte sul suo sito Web,

Netflix ha delineato le sue nuove regole per porre fine alla condivisione delle password tra amici o familiari che non vivono sotto lo stesso tetto.

Questa pratica riguarda attualmente 100 milioni di famiglie, secondo la società americana.

“Chiunque sia un membro del tuo nucleo familiare, cioè chi vive con te e quindi condivide il tuo indirizzo principale, può usare il tuo account”, spiega la piattaforma di streaming di film e serie tv.

In altre parole, le persone che non abitano nello stesso luogo, dovranno utilizzare il proprio account.

Netflix indica inoltre che effettua controlli per identificare le frodi raccogliendo alcune informazioni come l'indirizzo IP di ogni connessione, l'identità del dispositivo utilizzato e l'attività dell'account.

“I dispositivi che si identificano su Netflix senza essere associati al tuo indirizzo primario potrebbero essere bloccati”, avverte il colosso americano.

Per evitare un blocco, i membri associati all'account principale che stanno viaggiando dovranno accedere almeno ogni 31 giorni alla rete Wi-Fi della posizione principale.

Netflix può anche fornire un codice temporaneo per utilizzare un dispositivo connesso all'account principale da una posizione diversa per 7 giorni consecutivi.

Condivisione dell'account a pagamento

Condividere un account con un utente che vive fuori casa sarà ancora possibile, ma si dovrà pagare un extra per beneficiare di questa opzione da marzo, ha annunciato Netflix qualche giorno fa.

"Non sarà una decisione universalmente popolare", ha riconosciuto Greg Peters, il nuovo co-direttore, che si aspetta un'ondata di licenziamenti all'inizio, prima di un ritorno da parte dei consumatori.

https://www.20min.ch/fr/story/voici-comment-netflix-empechera-de-partager-un-mot-de-passe-861812381593

Le app di criptovalute si infiltrano nell'Apple App Store e in Google Play

Angelo Domeneghini — Wed, 01 Feb 2023 14:58:00 GMT

Le app di criptovalute si infiltrano nell'Apple App Store e in Google Play

Le app di criptovalute si infiltrano nell'Apple App Store e in Google Play

Gli operatori di truffe sugli investimenti ad alto rendimento noti come "macellazione dei maiali" hanno trovato un modo per aggirare le difese di Google Play e dell'App Store di Apple, i repository ufficiali per le app Android e iOS.

Le truffe sulla macellazione dei maiali sono in corso da alcuni anni. Usano siti Web falsi, pubblicità dannosa e ingegneria sociale.

Aggiungendo app fraudolente alle piattaforme di download ufficiali, i truffatori possono guadagnare più facilmente la fiducia di una vittima.

I ricercatori della società di sicurezza informatica Sophos affermano che i truffatori prendono di mira le vittime su Facebook o Tinder e le convincono a scaricare le app fraudolente e a "investire" grandi quantità di denaro in beni che si presume siano reali.

Sophos ha osservato una tale campagna di un gruppo di minacce con sede in Cina chiamato "ShaZhuPan", che mostra alti livelli organizzativi con team distinti che si occupano di interazione con le vittime, finanza, franchising e riciclaggio di denaro.

Approccio delle Vittime

I truffatori sembrano prendere di mira gli utenti maschi su Facebook e Tinder utilizzando profili femminili con immagini rubate da altri account di social media.

I profili controllati dai truffatori sono stati creati per riflettere uno stile di vita sontuoso, con foto di ristoranti esclusivi, negozi costosi e luoghi esotici.

Dopo aver guadagnato la fiducia delle vittime, i truffatori affermano di avere uno zio che lavora per una società di analisi finanziaria e lanciano un invito a scambiare criptovaluta tramite un'app su Play Store o App Store. Ovviamente, la vittima viene indirizzata a un'app falsa.

I truffatori guidano la vittima attraverso il suo primo investimento, istruendola a creare un deposito sulla legittima piattaforma di scambio di criptovalute Binance e quindi a trasferire l'importo sull'app falsa.

App "Macellazione di maiali".

Le app dannose utilizzate nella campagna osservate da Sophos sono denominate

"Ace Pro" e "MBM_BitScan" nell'Apple App Store e "BitScan" nel Play Store.

Le app consentono alla vittima di prelevare inizialmente piccole quantità di criptovaluta, ma poi bloccano i propri account quando sono coinvolti importi maggiori. Tuttavia, il ritiro iniziale è sufficiente per far sì che le vittime si fidino del programma e continuino a investire.

Il metodo utilizzato per aggirare i controlli di sicurezza negli store di app mobili è abbastanza semplice.

Per infiltrarsi nell'App Store, la banda ShaZhuPan invia un'app firmata con un certificato valido emesso da Apple, un requisito per ottenere qualsiasi codice da accettare nel repository iOS.

Fino a quando non viene ottenuta l'approvazione, l'app si connette a un server benigno e il suo comportamento è legittimo. Una volta superata la revisione, lo sviluppatore cambia il dominio e l'app si connette a un server dannoso.

Dopo aver avviato l'app, la vittima vede un'interfaccia di trading di criptovaluta fornita dal server dannoso. Tuttavia, tutto ciò che viene visualizzato è falso, ad eccezione del deposito dell'utente.

I ricercatori di Sophos hanno scoperto che le app BitScan per Android e iOS hanno un nome di fornitore diverso ma comunicano con lo stesso server di comando e controllo, da un dominio che sembra impersonare bitFlyer, una società di scambio di criptovalute legittima in Giappone.

Poiché queste app vengono scaricate solo da un numero limitato di utenti mirati, non vengono segnalate in modo massiccio per frode, rendendo difficile per i revisori della sicurezza dell'app store identificarle come fraudolente e rimuoverle.

Non farti truffare

Le truffe sulla macellazione di maiali producono profitti elevati in breve tempo, quindi i truffatori sono motivati a dedicare tempo e sforzi per ottenere la fiducia delle loro vittime attraverso un'ampia comunicazione.

Questo lungo impegno, il ritiro iniziale e l'interfaccia convincente nelle app false rendono difficile per la vittima vedere attraverso la truffa.

Sophos sottolinea inoltre che l'emergere di "FinTech" ha normalizzato la fiducia delle persone in questi strumenti software e quando le app provengono da negozi Apple e Google ufficiali, il senso di legittimità è alto.

Prima di installare qualsiasi app sullo smartphone, si consiglia di controllare le recensioni di altri utenti, l'informativa sulla privacy, i dettagli dello sviluppatore/editore e cercare informazioni sull'azienda.

https://www.bleepingcomputer.com/news/security/crypto-scam-apps-infiltrate-apple-app-store-and-google-play/

Microsoft Defender può ora isolare gli endpoint Linux compromessi

Angelo Domeneghini — Tue, 31 Jan 2023 09:41:00 GMT

Microsoft Defender può ora isolare gli endpoint Linux compromessi

Microsoft ha annunciato oggi di aver aggiunto il supporto per l'isolamento dei dispositivi a Microsoft Defender for Endpoint (MDE) nei dispositivi Linux integrati.

Gli amministratori aziendali possono isolare manualmente i computer Linux registrati come parte di un'anteprima pubblica usando il portale di Microsoft 365 Defender o tramite richieste API.

Una volta isolati, gli attori delle minacce non avranno più una connessione con il sistema violato, interrompendo il loro controllo e bloccando attività dannose come il furto di dati.

"Alcuni scenari di attacco potrebbero richiedere di isolare un dispositivo dalla rete. Questa azione può aiutare a impedire all'attaccante di controllare il dispositivo compromesso ed eseguire ulteriori attività come l'esfiltrazione di dati e il movimento laterale", ha spiegato Microsoft.

"Proprio come nei dispositivi Windows, questa funzione di isolamento del dispositivo disconnette il dispositivo compromesso dalla rete mantenendo la connettività al servizio Defender for Endpoint, pur continuando a monitorare il dispositivo."

I dispositivi isolati possono essere riconnessi alla rete non appena la minaccia è stata mitigata utilizzando il pulsante "Rilascia dall'isolamento" nella pagina del dispositivo o una richiesta API HTTP "unisolate".

Questa nuova funzionalità è supportata su tutte le distribuzioni supportate da MDE Linux elencate nella pagina Requisiti di sistema.

Negli endpoint Linux, Microsoft Defender per endpoint è un prodotto da riga di comando con funzionalità antimalware ed EDR (rilevamento e risposta degli endpoint) progettato per inviare tutte le informazioni sulle minacce rilevate al portale di Microsoft 365 Defender.

Gli amministratori con abbonamenti MDE possono distribuirlo e configurarlo sui dispositivi Linux manualmente o con l'aiuto degli strumenti di gestione della configurazione Puppet, Ansible e Chef.

La soluzione per la sicurezza degli endpoint aziendali è stata resa generalmente disponibile per Linux e Android nel giugno 2020 dopo essere entrata in anteprima pubblica nel febbraio 2020, con il supporto per diverse versioni distribuite del server Linux.

Due anni fa, Microsoft ha anche annunciato l'aggiunta di funzionalità di risposta in tempo reale per i dispositivi Linux in Microsoft Defender per endpoint e ha incluso il supporto per l'identificazione e la valutazione delle configurazioni di sicurezza dei dispositivi Linux nelle reti aziendali.

Lo stesso anno, anche le funzionalità di rilevamento e risposta degli endpoint (EDR) di MDE sono state rese generalmente disponibili sui server Linux dopo una fase di anteprima pubblica iniziata a novembre 2020.

https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-can-now-isolate-compromised-linux-endpoints/

NAS QNAP: Vulnerabilità in QTS e QuTS hero

Angelo Domeneghini — Mon, 30 Jan 2023 13:44:00 GMT

Vulnerabilità in QTS e QuTS hero

Data di uscita: 30 gennaio 2023

ID di sicurezza: QSA-23-01

Gravità: critica

Identificatore CVE: CVE-2022-27596

Prodotti interessati: QTS 5.0.1, QuTS hero h5.0.1

Stato: risolto

Riepilogo

È stata segnalata una vulnerabilità che interessa i dispositivi QNAP che eseguono QTS 5.0.1 e QuTS hero h5.0.1. Se sfruttata, questa vulnerabilità consente agli aggressori remoti di iniettare codice dannoso.

Abbiamo già risolto questa vulnerabilità nelle seguenti versioni del sistema operativo:

QTS 5.0.1.2234 build 20221201 e successive

QuTS hero h5.0.1.2248 build 20221215 e versioni successive

Raccomandazione

Per proteggere il tuo dispositivo, ti consigliamo di aggiornare regolarmente il tuo sistema all'ultima versione per beneficiare delle correzioni delle vulnerabilità.

È possibile controllare lo stato del supporto del prodotto per vedere gli ultimi aggiornamenti disponibili per il proprio modello NAS.

Aggiornamento di QTS o QuTS hero

Accedi a QTS o QuTS hero come amministratore.
Andare su Pannello di controllo > Sistema > Aggiornamento firmware.
In Aggiornamento in tempo reale, fare clic su Controlla aggiornamenti.

QTS o QuTS hero scarica e installa l'ultimo aggiornamento disponibile.

Suggerimento: è anche possibile scaricare l'aggiornamento dal sito Web di QNAP. Vai su Supporto > Centro download, quindi esegui un aggiornamento manuale per il tuo dispositivo specifico.

https://www.qnap.com/en/security-advisory/qsa-23-01

Importare email da Windows Live mail su Outlook

Angelo Domeneghini — Mon, 30 Jan 2023 13:29:00 GMT

Questo processo consente di spostare la Windows Live Mail direttamente nel file di posta elettronica di Outlook.

Aprire Microsoft Outlook.
Aprire Windows Live Mail.
Nella finestra di Windows Live Mail, fare clic sul pulsante File e selezionare Esporta e quindi selezionare i messaggi di posta elettronica.
Selezionare il formato Microsoft Exchange e quindi fare clic su Avanti.
Verrà visualizzato un messaggio che tutta la posta verrà esportata in Microsoft Outlook o Microsoft Exchange, fare clic su Ok per continuare.
È possibile esportare tutte le cartelle di posta elettronica o selezionare le cartelle appropriate che si desidera esportare utilizzando l’opzione selezionare cartelle .
Dopo aver selezionato l’opzione appropriata, fare clic su OK e attendere il completamento del processo di esportazione.
Quando viene visualizzata la finestra di dialogo Esportazione completa, fare clic su Fine.

*Nota:Questo processo può richiedere molto tempo, in base al numero di messaggi che si siano esportando.*

Microsoft esorta gli amministratori a correggere i server Exchange locali

Angelo Domeneghini — Fri, 27 Jan 2023 10:51:00 GMT

Microsoft esorta gli amministratori a correggere i server Exchange locali

Microsoft ha invitato oggi i clienti a mantenere aggiornati i propri server Exchange locali applicando l'ultimo aggiornamento cumulativo (CU) supportato per essere sempre pronti a distribuire un aggiornamento di sicurezza di emergenza.

Redmond afferma che il processo di aggiornamento del server Exchange è "semplice" (qualcosa con cui molti amministratori potrebbero non essere d'accordo) e consiglia di eseguire sempre lo script Exchange Server Health Checker dopo aver installato gli aggiornamenti.

Ciò consente di rilevare problemi di configurazione comuni noti per causare problemi di prestazioni o problemi che possono essere risolti con una semplice modifica della configurazione dell'ambiente Exchange. Se rileva problemi, lo script fornisce collegamenti ad articoli con indicazioni dettagliate per eventuali attività manuali aggiuntive che devono essere eseguite.

"Per difendere i tuoi server Exchange dagli attacchi che sfruttano le vulnerabilità note, devi installare l'ultima CU supportata (al momento della stesura di questo documento, CU12 per Exchange Server 2019, CU23 per Exchange Server 2016 e CU23 per Exchange Server 2013) e l'ultima SU ( al momento della stesura di questo documento, l'US di gennaio 2023)," ha affermato il team di Exchange.

"Le CU e le SU di Exchange Server sono cumulative, quindi è necessario installare solo l'ultima disponibile. Si installa l'ultima CU, quindi si verifica se sono state rilasciate eventuali SU dopo il rilascio della CU. In tal caso, installare l'ultima (più recente) SU ."

Microsoft ha anche chiesto agli amministratori di Exchange di fornire informazioni su come migliorare il processo di aggiornamento di Exchange Server tramite un "sondaggio sull'esperienza di aggiornamento".

"Lo scopo di questo sondaggio è comprendere le tue esperienze di aggiornamento cumulativo (CU) e aggiornamento di sicurezza (SU) di Exchange Server in modo da poter cercare modi per migliorare le esperienze e aiutarti a mantenere aggiornati i tuoi server", afferma la società.

"Le informazioni raccolte in questo sondaggio verranno utilizzate solo dal team tecnico di Exchange Server di Microsoft e solo per migliorare le esperienze di aggiornamento."

Gli obiettivi di alcuni attori delle minacce quando prendono di mira i server Exchange includono l'accesso a informazioni sensibili all'interno delle caselle di posta degli utenti, la rubrica degli indirizzi dell'azienda, che contribuirebbe a rendere più efficaci gli attacchi di social engineering, e l'Active Directory delle organizzazioni e gli ambienti cloud connessi.

Sfortunatamente, i server Exchange sono obiettivi molto ricercati, come evidenziato dagli sforzi del gruppo criminale informatico FIN7 per creare una piattaforma di attacco automatico personalizzata denominata Checkmarks, progettata specificamente per aiutare a violare i server Exchange.

La nuova piattaforma di FIN7 è già stata utilizzata per violare le reti di 8.147 aziende (la maggior parte delle quali si trova negli Stati Uniti) dopo aver scansionato più di 1,8 milioni di obiettivi, secondo la società di informazioni sulle minacce Prodaft.

Decine di migliaia di server Exchange in attesa di essere protetti

L'avviso di oggi arriva dopo che Microsoft ha anche chiesto agli amministratori di applicare continuamente patch ai server Exchange on-prem dopo aver rilasciato aggiornamenti di sicurezza fuori banda di emergenza per affrontare le vulnerabilità di ProxyLogon che sono state sfruttate negli attacchi due mesi prima del rilascio delle patch ufficiali.

Almeno dieci gruppi di hacker utilizzavano gli exploit ProxyLogon nel marzo 2021 per vari scopi, uno dei quali era un gruppo di minacce sponsorizzato dalla Cina e monitorato da Microsoft come Hafnium.

Per mostrare l'enorme numero di organizzazioni esposte a tali attacchi, il Dutch Institute for Vulnerability Disclosure (DIVD) ha trovato 46.000 server senza patch contro i bug ProxyLogon una settimana dopo che Microsoft ha rilasciato gli aggiornamenti di sicurezza.

Più recentemente, nel novembre 2022, Microsoft ha corretto un'altra serie di bug di Exchange noti come ProxyNotShell che consentono l'escalation dei privilegi e l'esecuzione di codice in modalità remota su server compromessi due mesi dopo il primo rilevamento dello sfruttamento in-the-wild.

L'exploit proof-of-concept (PoC) utilizzato dagli aggressori per eseguire backdoor sui server Exchange è stato rilasciato online una settimana dopo l'emissione degli aggiornamenti di sicurezza di ProxyNotShell.

Ultimo ma non meno importante, CISA ha ordinato alle agenzie federali di correggere un bug di Microsoft Exchange soprannominato OWASSRF e abusato dalla banda di ransomware Play come zero-day per aggirare le mitigazioni di riscrittura degli URL di ProxyNotShell su server senza patch appartenenti al provider di cloud computing con sede in Texas Rackspace.

Ciò dimostra ulteriormente l'importanza di seguire il consiglio di Microsoft di distribuire le ultime CU supportate su tutti i server Exchange on-premise poiché le misure di mitigazione da sole non difenderanno necessariamente da aggressori motivati e dotati di risorse adeguate poiché forniscono solo una protezione temporanea.

Per mettere le cose in prospettiva, all'inizio di questo mese, i ricercatori di sicurezza della Shadowserver Foundation hanno scoperto che oltre 60.000 server Microsoft Exchange esposti online sono ancora vulnerabili agli attacchi che sfruttano gli exploit ProxyNotShell mirati alla vulnerabilità RCE (Remote Code Execution) CVE-2022-41082.

A peggiorare le cose, una ricerca su Shodan mostra un numero considerevole di server Exchange esposti online, con migliaia ancora in attesa di essere protetti da attacchi mirati ai difetti di ProxyShell e ProxyLogon, alcune delle vulnerabilità più sfruttate del 2021.

https://www.bleepingcomputer.com/news/security/microsoft-urges-admins-to-patch-on-premises-exchange-servers/

Depositi di password di Bitwarden presi di mira nell'attacco di phishing degli annunci di Google

Angelo Domeneghini — Fri, 27 Jan 2023 10:32:00 GMT

Depositi di password di Bitwarden presi di mira nell'attacco di phishing degli annunci di Google

Bitwarden e altri gestori di password vengono presi di mira nelle campagne di phishing degli annunci di Google per rubare le credenziali di sicurezza delle password degli utenti.

Poiché l'azienda e i consumatori si spostano per utilizzare password univoche in ogni sito, è diventato essenziale utilizzare gestori di password per tenere traccia di tutte le password.

Tuttavia, a meno che non utilizzi un gestore di password locale, come KeePass, la maggior parte dei gestori di password sono basati su cloud, consentendo agli utenti di accedere alle proprie password tramite siti Web e app mobili.

Queste password vengono archiviate nel cloud in "depositi di password" che conservano i dati in un formato crittografato, solitamente crittografato utilizzando le password principali degli utenti.

Le recenti violazioni della sicurezza di LastPass e gli attacchi di credential stuffing di Norton hanno dimostrato che una password principale è un punto debole per un deposito di password.

Per questo motivo, gli attori delle minacce sono stati individuati creando pagine di phishing che prendono di mira le credenziali di accesso del tuo deposito password, potenzialmente cookie di autenticazione, poiché una volta che ottengono l'accesso a questi, hanno pieno accesso al tuo deposito.

Martedì, gli utenti di Bitwarden hanno iniziato a vedere un annuncio Google intitolato "Bitward - Password Manager" nei risultati di ricerca per "bitwarden password manager".

Sebbene BleepingComputer non sia stato in grado di replicare questo annuncio, è stato visto dagli utenti di Bitwarden su Reddit [1, 2] e sui forum di Bitwarden.

Il dominio utilizzato nell'annuncio era "appbitwarden.com" e, una volta cliccato, reindirizzava gli utenti al sito "bitwardenlogin.com".

La pagina su "bitwardenlogin.com" era una replica esatta della legittima pagina di accesso di Bitwarden Web Vault,

Nei nostri test, la pagina di phishing accetterà le credenziali e, una volta inviata, reindirizzerà gli utenti alla legittima pagina di accesso di Bitwarden.

Tuttavia, i nostri test iniziali hanno utilizzato credenziali false e la pagina è stata chiusa quando abbiamo iniziato a testare con le credenziali di accesso del test Bitwarden effettive.

Pertanto, non siamo stati in grado di vedere se la pagina di phishing tentasse anche di rubare cookie di sessione supportati da MFA (token di autenticazione) come molte pagine di phishing avanzate.

Mentre molte persone ritengono che l'URL fosse un chiaro indizio che si trattava di una pagina di phishing, altri non potevano dire se fosse falso o meno.

"Dannazione. In situazioni come questa come posso rilevare quello falso? Questo è davvero spaventoso", ha detto il poster di un argomento Reddit sulla pagina di phishing.

"La gente dice di guardare l'URL, forse è solo il mio minuscolo cervello ma non riesco a capire quale sia quello vero", ha commentato un altro utente sullo stesso post di Reddit.

A peggiorare le cose, non è solo Bitwarden a essere preso di mira da pagine di phishing dannose negli annunci Google.

Anche il ricercatore di sicurezza MalwareHunterTeam ha recentemente trovato annunci Google mirati alle credenziali per il gestore di password 1Password.

BleepingComputer non è stato in grado di trovare altri annunci indirizzati ad altri gestori di password, ma ultimamente gli annunci nei risultati di ricerca di Google sono diventati un enorme problema di sicurezza informatica.

Recenti ricerche hanno dimostrato che gli attori delle minacce utilizzano gli annunci Google per alimentare le loro campagne di distribuzione di malware per l'accesso iniziale alle reti aziendali, per rubare credenziali e per attacchi di phishing.

Proteggi i tuoi depositi di password

Con i depositi di password che contengono alcuni dei tuoi dati online più preziosi, è importante proteggerli adeguatamente.

Quando si tratta di proteggere i depositi di password dagli attacchi di phishing, la prima linea di difesa è sempre quella di confermare che si stanno inserendo le credenziali nel sito Web corretto.

Tuttavia, nel caso in cui tu inserisca erroneamente le tue credenziali su un sito di phishing, dovresti sempre configurare l'autenticazione a più fattori con il tuo gestore di password.

I migliori metodi di verifica MFA da utilizzare quando proteggi il tuo account, dal migliore al peggiore, sono le chiavi di sicurezza hardware (migliori ma più ingombranti), un'app di autenticazione (buona e più facile da usare) e la verifica SMS (può essere dirottata negli attacchi di scambio sim ).

Sfortunatamente, anche con la protezione MFA, i tuoi account possono comunque essere vulnerabili agli attacchi di phishing avanzati Adversary-in-the-middle (AiTM).

Gli attacchi di phishing AiTM si verificano quando gli attori delle minacce utilizzano toolkit specializzati come Evilginx2, Modlishka e Muraena per creare pagine di destinazione di phishing che inviano proxy a moduli di accesso legittimi a un servizio mirato.

Utilizzando questo metodo, i visitatori della pagina di phishing vedranno il modulo di accesso di un servizio legittimo, come Microsoft 365. Quando immettono le proprie credenziali e i codici di verifica MFA, queste informazioni vengono inoltrate anche al sito effettivo.

Tuttavia, una volta che un utente effettua l'accesso e il sito legittimo invia il cookie di sessione supportato da MFA, il toolkit di phishing può rubare questi token per un uso successivo. Il flusso di un attacco di phishing AiTM Il flusso di un attacco di phishing AiTM Fonte: BleepingComputer

Poiché questi token sono già stati verificati tramite MFA, consentono agli attori delle minacce di accedere al tuo account senza verificare nuovamente MFA.

Microsoft ha avvertito a luglio che questo tipo di attacco è stato utilizzato per aggirare l'autenticazione a più fattori per 10.000 organizzazioni. Sfortunatamente, questo ci riporta alla prima linea di difesa: assicurati di inserire le tue credenziali solo su un sito Web o un'app mobile legittimi.

https://3da.it/mfa_watchguard_multi-factor-authentication.html

https://www.bleepingcomputer.com/news/security/bitwarden-password-vaults-targeted-in-google-ads-phishing-attack/

Bug di GTA Online sfruttato per vietare e corrompere gli account dei giocatori

Angelo Domeneghini — Tue, 24 Jan 2023 13:39:00 GMT

Bug di GTA Online sfruttato per vietare e corrompere gli account dei giocatori

GTA

I giocatori di Grand Theft Auto (GTA) Online segnalano la perdita di progressi nel gioco, il furto di denaro nel gioco e l'esclusione dai server di gioco a causa di una presunta vulnerabilità nella versione per PC del gioco.

GTA Online è la rotazione multiplayer della popolare serie di giochi di azione e avventura di Rockstar Games, inizialmente rilasciata nell'ottobre 2013, con nuovi contenuti aggiunti tramite aggiornamenti gratuiti del titolo.

Secondo quanto riferito, una nuova vulnerabilità "esecuzione di codice remoto" nel client di gioco per PC è stata abusata dallo sviluppatore del cheat "North" Grand Theft Auto V per modificare in remoto gli attributi dell'account del giocatore (come azzerare il saldo), account corrotti e persino bandire giocatori dal gioco.

Secondo i rapporti degli utenti, l'exploit può avere un impatto anche sui giocatori che non si trovano nella stessa lobby multiplayer degli aggressori, quindi chiunque, purché sia online, è suscettibile agli attacchi.

Secondo un registro delle modifiche visto da BleepingComputer, lo sviluppatore di cheat di North GTA Online ha aggiunto queste nuove "funzionalità il 20 gennaio 2023, come parte della sua versione 2.0.0.

Questa presunta vulnerabilità ha ricevuto un CVE ed è monitorata sotto CVE-2023-24059.

Lo sviluppatore del cheat North GTA Online ha rimosso queste funzionalità abusive il 21 gennaio, scusandosi per il caos che ha causato.

"Rimosso cattivo sport/account corrotto per i giocatori (cattivo giudizio da parte mia per aver aggiunto questo pubblico)", si legge in un log delle modifiche per il cheat del Nord.

"Rimosso prendi soldi dal giocatore (cattivo giudizio da parte mia per aver aggiunto questo pubblico)."

Sfortunatamente, l'inversione arriva troppo tardi, poiché il problema ha già colpito molti giocatori.

I forum di supporto di Rockstar Games sono stati inondati da segnalazioni di utenti che affermavano di aver riscontrato problemi con l'account dal rilascio del cheat.

Non è sicuro giocare su un PC

Sebbene Rockstar Games non abbia ancora rilasciato un annuncio ufficiale sulla situazione, gli sviluppatori e quelli in questo spazio affermano che l'exploit è un difetto di "esecuzione parziale di codice remoto" e potrebbe estendersi alla violazione non solo degli account GTA Online ma anche della sicurezza del computer eseguire il gioco.

Ecco come appare se il tuo account viene "corrotto" a causa del recente exploit RCE su PC. Fondamentalmente rimarrai bloccato tra le nuvole a tempo indeterminato quando proverai ad entrare online.

EVITA GTAO SU PC SUBITO#GTAOnline pic.twitter.com/1SqGmz38Jw

— floorball (@Fluuffball) 21 gennaio 2023

Un utente di Twitter, Tez2, che segue da vicino Rockstar Games, ha affermato che gli utenti dovrebbero evitare di giocare senza una regola del firewall, o meglio, non giocarci affatto.

Una soluzione temporanea per gli account danneggiati che sembra aver funzionato per alcuni giocatori consiste nell'eliminare la cartella "Rockstar Games" dalla cartella Documenti di Windows e quindi ricaricare il gioco per aggiornare i dati del profilo.

BleepingComputer non ha testato questo metodo, quindi procedi a tuo rischio.

Speyedr, lo sviluppatore di uno strumento firewall GTA V personalizzato chiamato "Guardian", ha avvertito che gli aggressori sono sul punto di trovare un percorso di esecuzione del codice remoto completo per gli exploit appena emersi.

Tuttavia, Speyer ha avvertito che Guardian deve essere configurato correttamente per proteggere gli utenti dall'exploit e consiglia agli utenti Windows di non giocare fino a quando il bug non sarà risolto.

"Solo per rassicurare tutti: Guardian funziona ancora e questo nuovo exploit non aggira in qualche modo Guardian", ha twittato Speyedr.

TUTTAVIA, la possibilità che qualsiasi utente (specialmente i principianti) imposti Guardian in modo errato in un modo che non li protegga è troppo alta per un exploit così pericoloso."

BleepingComputer ha contattato Rockstar Games per commentare questi problemi, ma stiamo ancora aspettando una risposta dall'editore del gioco.

Fino a quando non ci sarà una soluzione ufficiale per i problemi da parte di Rockstar Games, sarebbe consigliabile evitare di avviare il gioco su PC, soprattutto se hai registrato progressi significativi o hai speso molti soldi per questo

https://www.bleepingcomputer.com/news/security/gta-online-bug-exploited-to-ban-corrupt-players-accounts/.

Gli hacker ora utilizzano gli allegati di Microsoft OneNote per diffondere malware

Angelo Domeneghini — Mon, 23 Jan 2023 13:04:00 GMT

Gli hacker ora utilizzano gli allegati di Microsoft OneNote per diffondere malware

E-mail dannose che installano malware

Gli autori delle minacce ora utilizzano allegati OneNote nelle e-mail di phishing che infettano le vittime con malware ad accesso remoto che possono essere utilizzati per installare ulteriore malware, rubare password o persino portafogli di criptovaluta.

Ciò avviene dopo che gli aggressori hanno distribuito malware nelle e-mail utilizzando allegati Word ed Excel dannosi che avviano macro per scaricare e installare malware per anni.

Tuttavia, a luglio, Microsoft ha finalmente disabilitato le macro per impostazione predefinita nei documenti di Office, rendendo questo metodo inaffidabile per la distribuzione di malware.

Subito dopo, gli attori delle minacce hanno iniziato a utilizzare nuovi formati di file, come immagini ISO e file ZIP protetti da password. Questi formati di file sono diventati presto estremamente comuni, aiutati da un bug di Windows che consente agli ISO di aggirare gli avvisi di sicurezza e la popolare utility di archiviazione 7-Zip che non propaga flag mark-of-the-web ai file estratti dagli archivi ZIP.

Tuttavia, sia 7-Zip che Windows hanno recentemente risolto questi bug causando la visualizzazione di avvisi di sicurezza spaventosi quando un utente tenta di aprire i file nei file ISO e ZIP scaricati.

Per non farsi scoraggiare, gli attori delle minacce sono passati rapidamente all'utilizzo di un nuovo formato di file nei loro allegati di spam dannoso (malspam): gli allegati di Microsoft OneNote.

Abuso degli allegati di OneNote

Microsoft OneNote è un'applicazione per notebook digitale desktop che può essere scaricata gratuitamente ed è inclusa in Microsoft Office 2019 e Microsoft 365.

Poiché Microsoft OneNote è installato per impostazione predefinita in tutte le installazioni di Microsoft Office/365, anche se un utente Windows non utilizza l'applicazione, è comunque disponibile per aprire il formato del file.

Da metà dicembre, i ricercatori di sicurezza informatica hanno avvertito che gli attori delle minacce avevano iniziato a distribuire e-mail di spam dannose contenenti allegati OneNote.

Dai campioni trovati da BleepingComputer, queste e-mail di malspam fingono di essere notifiche di spedizione DHL, fatture, moduli di rimessa ACH, disegni meccanici e documenti di spedizione.

A differenza di Word ed Excel, OneNote non supporta le macro, che è il modo in cui gli attori delle minacce hanno precedentemente avviato script per installare malware.

Invece, OneNote consente agli utenti di inserire allegati in un Blocco note che, se fatto doppio clic, avvierà l'allegato.

Gli attori delle minacce stanno abusando di questa funzione allegando allegati VBS dannosi che avviano automaticamente lo script quando si fa doppio clic per scaricare malware da un sito remoto e installarlo.

Tuttavia, gli allegati sembrano l'icona di un file in OneNote, quindi gli autori delle minacce sovrappongono una grande barra "Fai doppio clic per visualizzare il file" sugli allegati VBS inseriti per nasconderli.

Quando sposti la barra Fai clic per visualizzare il documento, puoi vedere che l'allegato dannoso include più allegati. Questa riga di allegati fa in modo che se un utente fa doppio clic in un punto qualsiasi della barra, farà doppio clic sull'allegato per avviarlo.

Per fortuna, quando avvii gli allegati di OneNote, il programma ti avvisa che così facendo potresti danneggiare il tuo computer e i tuoi dati.

Ma sfortunatamente, la storia ci ha mostrato che questi tipi di prompt vengono comunemente ignorati e gli utenti fanno semplicemente clic sul pulsante OK.

Facendo clic sul pulsante OK verrà avviato lo script VBS per scaricare e installare il malware. Come puoi vedere da uno dei file dannosi OneNote VBS trovati da BleepingComputer, lo script scaricherà ed eseguirà due file da un server remoto.

Il primo mostrato di seguito è un documento OneNote esca che si apre e assomiglia al documento che ti aspettavi. Tuttavia, il file VBS eseguirà anche un file batch dannoso in background per installare malware sul dispositivo.

Nelle e-mail malspam visualizzate da BleepingComputer, i file OneNote installano trojan di accesso remoto che includono funzionalità di furto di informazioni.

Il ricercatore di sicurezza informatica James lo ha confermato, dicendo a BleepingComputer che gli allegati OneNote che ha analizzato installavano i trojan di accesso remoto AsyncRAT e XWorm.

Consiglio dell'esperto: se non stai già bloccando i file .one sul tuo perimetro/gateway di posta elettronica... è giunto il momento.

— James (@James_inthe_box) 17 gennaio 2023

Un allegato OneNote visto da BleepingComputer installa quello che viene rilevato come trojan Quasar Remote Access.

Protezione contro queste minacce

Una volta installato, questo tipo di malware consente agli autori delle minacce di accedere in remoto al dispositivo di una vittima per rubare file, salvare le password del browser, acquisire schermate e, in alcuni casi, persino registrare video utilizzando le webcam. Gli attori delle minacce utilizzano comunemente anche trojan di accesso remoto per rubare portafogli di criptovaluta dai dispositivi delle vittime, rendendo questa infezione costosa. Il modo migliore per proteggersi da allegati dannosi è semplicemente non aprire i file di persone che non conosci. Tuttavia, se si apre un file per errore, non ignorare gli avvisi visualizzati dal sistema operativo o dall'applicazione. Se viene visualizzato un avviso che l'apertura di un allegato o di un collegamento potrebbe danneggiare il computer o i file, è sufficiente non premere OK e chiudere l'applicazione. Se ritieni che possa essere un'e-mail legittima, condividila con un amministratore di sicurezza o di Windows per aiutarti a verificare se il file è sicuro.

https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/

Massiccia operazione di frode pubblicitaria smantellata dopo aver colpito milioni di dispositivi iOS

Angelo Domeneghini — Mon, 23 Jan 2023 12:48:00 GMT

Massiccia operazione di frode pubblicitaria smantellata dopo aver colpito milioni di dispositivi iOS

Una massiccia operazione di frode pubblicitaria soprannominata "Vastflux" che ha falsificato più di 1.700 applicazioni di 120 editori, principalmente per iOS, è stata interrotta dai ricercatori di sicurezza della società di sicurezza informatica HUMAN.

Il nome dell'operazione è stato derivato dal modello di pubblicazione di annunci VAST e dalla tecnica di evasione "fast flux" utilizzata per nascondere il codice dannoso modificando rapidamente un gran numero di indirizzi IP e record DNS associati a un singolo dominio.

Secondo il rapporto di HUMAN, Vastflux ha generato oltre 12 miliardi di richieste di offerte al giorno al suo apice e ha avuto un impatto su quasi 11 milioni di dispositivi, molti nell'ecosistema iOS di Apple.

Dettagli Vastflux

Il team di ricerca di HUMAN (Satori) ha scoperto Vastflux mentre indagava su uno schema separato di frode pubblicitaria. Hanno notato che un'app stava generando un numero insolitamente elevato di richieste utilizzando ID app diversi.

Attraverso il reverse engineering del JavaScript offuscato che operava nell'app, il team di Satori ha scoperto l'indirizzo IP del server di comando e controllo (C2) con cui stava comunicando e i comandi di generazione degli annunci che ha inviato.

"Ciò che il team ha messo insieme è stata una vasta operazione di malvertising in cui i malintenzionati hanno iniettato JavaScript nelle creatività pubblicitarie che hanno pubblicato, quindi hanno impilato un intero gruppo di lettori video uno sopra l'altro, venendo pagati per tutti gli annunci quando nessuno di loro erano visibili alla persona che utilizzava il dispositivo." - UMANO

Vastflux ha generato offerte per la visualizzazione di banner pubblicitari in-app. Se vinceva, posizionava un'immagine banner statica e vi iniettava JavaScript offuscato.

Gli script inseriti hanno contattato il server C2 per ricevere un payload di configurazione crittografato, che includeva istruzioni sulla posizione, le dimensioni e il tipo di annunci da visualizzare, nonché dati per lo spoofing di app reali e ID publisher.

Vastflux ha impilato fino a 25 annunci video uno sopra l'altro, generando tutti entrate per visualizzazioni di annunci, ma nessuno di essi era visibile all'utente mentre veniva visualizzato dietro la finestra attiva.

Per eludere il rilevamento, Vastflux ha omesso l'uso dei tag di verifica degli annunci, che consentono agli esperti di marketing di generare metriche sulle prestazioni. Evitandoli, lo schema è stato reso invisibile alla maggior parte dei tracker del rendimento degli annunci di terze parti.

Abbattimento di Vastflux

Dopo aver mappato l'infrastruttura per l'operazione Vasstflux, HUMAN ha lanciato tre ondate di azioni mirate tra giugno e luglio 2022, coinvolgendo clienti, partner e marchi contraffatti, ognuno dei quali ha inferto un duro colpo all'attività fraudolenta.

Alla fine, Vastflux ha messo offline i suoi server C2 per un po' e ha ridotto le sue operazioni, e il 6 dicembre 2022 le offerte pubblicitarie sono scese a zero per la prima volta.

Sebbene la frode pubblicitaria non abbia un impatto dannoso per gli utenti dell'app, provoca un calo delle prestazioni del dispositivo, aumenta l'utilizzo della batteria e dei dati Internet e può persino portare al surriscaldamento del dispositivo.

Quanto sopra sono segni comuni di infezioni da adware o frodi pubblicitarie nel dispositivo e gli utenti dovrebbero trattarli con sospetto e cercare di individuare le app che rappresentano la maggior parte del consumo di risorse.

Gli annunci video consumano molta più energia degli annunci statici e più lettori video nascosti non sono facili da nascondere ai monitor delle prestazioni, quindi è fondamentale tenere sempre d'occhio i processi in esecuzione e cercare segni di problemi.

https://www.bleepingcomputer.com/news/security/massive-ad-fraud-op-dismantled-after-hitting-millions-of-ios-devices/

Microsoft: le app di Windows 11 potrebbero non avviarsi dopo il ripristino del sistema

Angelo Domeneghini — Thu, 19 Jan 2023 11:13:00 GMT

Microsoft: le app di Windows 11 potrebbero non avviarsi dopo il ripristino del sistema

Microsoft ha riconosciuto un nuovo bug che interessa alcune applicazioni Windows 11 che innescano problemi di avvio e causano la visualizzazione di errori dopo un ripristino del sistema.

La società ha affermato che "dopo aver eseguito un Ripristino configurazione di sistema a un punto di ripristino precedente su un dispositivo che esegue Windows 11, versione 22H2, alcune applicazioni Windows che utilizzano il formato del pacchetto dell'app Windows MSIX potrebbero riscontrare" vari problemi di instabilità, inclusi errori di avvio, si blocca e si blocca.

È noto che più app Microsoft sono interessate da questo problema noto, tra cui Blocco note, Paint, app di Microsoft Office, Cortana e l'app Terminale di Windows.

"Questo elenco di app non è un elenco completo. Qualsiasi applicazione Windows che utilizza il formato del pacchetto dell'app Windows MSIX potrebbe riscontrare questo problema", ha affermato Redmond.

Gli utenti interessati potrebbero riscontrare uno dei seguenti problemi:

Viene visualizzato un messaggio di errore "Impossibile aprire questa app" invece dell'avvio dell'app.

L'app potrebbe avere più voci nel menu Start.

Un'app potrebbe non rispondere quando provi ad avviarla.

Potrebbe verificarsi un errore di I/O, seguito dall'app che non risponde e quindi l'app si arresta in modo anomalo.

Se provi ad avviare nuovamente l'app, l'app ora viene eseguita.

Mentre questi sono alcuni dei problemi che gli utenti hanno maggiori probabilità di riscontrare dopo un ripristino del sistema Windows, altri non elencati sopra potrebbero verificarsi anche sui dispositivi interessati.

Le edizioni di Windows 11 22H2 interessate da questo problema noto includono Windows 11 22H2 SE, Home, Pro, Enterprise, Enterprise Multi-Session, Education e IoT Enterprise.

Soluzione alternativa disponibile

Microsoft non ha detto se sta indagando su questo problema noto o sta lavorando a una soluzione, ma ha condiviso una soluzione alternativa per gli utenti interessati.

Coloro che riscontrano problemi durante il tentativo di avviare app dopo il ripristino del sistema potrebbero essere in grado di aggirare questo problema:

Riavvio dell'app.

Reinstallazione dell'app da Windows Store.

Reinstallazione dell'app dalla fonte originale da cui è stata installata per la prima volta.

Esecuzione di Windows Update.

Nelle notizie correlate, Microsoft ha rilasciato uno script di PowerShell durante il fine settimana per trovare e recuperare alcuni dei collegamenti alle app di Windows eliminati venerdì mattina da una regola non autorizzata di Defender for Endpoint Attack Surface Reduction (ASR).

La regola ASR errata ha causato interruzioni diffuse negli ambienti aziendali, con gli utenti impossibilitati ad avviare le proprie applicazioni e gli amministratori di Windows che si affrettano a ripristinare i collegamenti.

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-11-apps-might-not-start-after-system-restore/

Oltre 4.000 dispositivi Sophos Firewall vulnerabili agli attacchi RCE

Angelo Domeneghini — Thu, 19 Jan 2023 11:04:00 GMT

Oltre 4.000 dispositivi Sophos Firewall vulnerabili agli attacchi RCE

Sophos

Oltre 4.000 appliance Sophos Firewall esposte all'accesso a Internet sono vulnerabili agli attacchi mirati a una vulnerabilità critica di esecuzione di codice remoto (RCE).

Sophos ha rivelato questo difetto di code injection (CVE-2022-3236) trovato nel Portale utenti e Webadmin di Sophos Firewall a settembre e ha anche rilasciato hotfix per più versioni di Sophos Firewall (le correzioni ufficiali sono state rilasciate tre mesi dopo, nel dicembre 2022).

La società ha avvertito all'epoca che il bug RCE veniva sfruttato in natura in attacchi contro organizzazioni dell'Asia meridionale.

Gli hotfix di settembre sono stati implementati in tutte le istanze interessate (v19.0 MR1/19.0.1 e precedenti) poiché gli aggiornamenti automatici sono abilitati per impostazione predefinita, a meno che un amministratore non abbia disabilitato l'opzione.

Le istanze di Sophos Firewall che eseguivano versioni precedenti del prodotto dovevano essere aggiornate manualmente a una versione supportata per ricevere automaticamente l'hotfix CVE-2022-3236.

Gli amministratori che non sono in grado di applicare patch al software vulnerabile possono anche rimuovere la superficie di attacco disabilitando l'accesso WAN al Portale utenti e Webadmin.

Migliaia di apparecchi ancora vulnerabili

Durante la scansione di Internet alla ricerca di dispositivi Sophos Firewall, il ricercatore di vulnerabilità VulnCheck Jacob Baines ha scoperto che su oltre 88.000 istanze, circa il 6% o più di 4.000 esegue versioni che non hanno ricevuto un hotfix e sono vulnerabili agli attacchi CVE-2022-3236 .

"Oltre il 99% dei Sophos Firewall con connessione Internet non è stato aggiornato a versioni contenenti la correzione ufficiale per CVE-2022-3236", ha affermato Baines.

"Ma circa il 93% esegue versioni idonee per un hotfix e il comportamento predefinito del firewall è scaricare e applicare automaticamente gli hotfix (a meno che non sia disabilitato da un amministratore).

"Ciò lascia ancora più di 4.000 firewall (o circa il 6% dei Sophos Firewall con connessione Internet) che eseguono versioni che non hanno ricevuto un hotfix e sono quindi vulnerabili".

Fortunatamente, nonostante sia già sfruttato come zero-day, un exploit proof-of-concept CVE-2022-3236 deve ancora essere pubblicato online.

Tuttavia, Baines è stato in grado di riprodurre l'exploit dalle informazioni tecniche condivise dalla Zero Day Initiative (ZDI) di Trend Micro, quindi è probabile che anche gli attori delle minacce saranno presto in grado di farlo.

Quando e se ciò accadrà, molto probabilmente porterà a una nuova ondata di attacchi non appena gli attori delle minacce creeranno una versione completamente funzionante dell'exploit e la aggiungeranno al loro set di strumenti.

Baines ha anche aggiunto che lo sfruttamento di massa sarebbe probabilmente ostacolato da Sophos Firewall che richiede ai client Web per impostazione predefinita "di risolvere un captcha durante l'autenticazione".

Per aggirare questa limitazione e raggiungere il codice vulnerabile, gli aggressori dovrebbero includere un risolutore automatico di CAPTCHA.

Bug di Sophos Firewall precedentemente presi di mira negli attacchi

La correzione dei bug di Sophos Firewall è di fondamentale importanza, dato che questa non sarebbe la prima volta che una tale vulnerabilità viene sfruttata in natura.

Nel marzo 2022, Sophos ha corretto un simile bug critico di Sophos Firewall (CVE-2022-1040) nei moduli User Portal e Webadmin che abilitavano il bypass dell'autenticazione e gli attacchi di esecuzione di codice arbitrario.

È stato anche sfruttato in attacchi come zero-day dall'inizio di marzo (circa tre settimane prima che Sophos rilasciasse le patch) contro le organizzazioni dell'Asia meridionale da un gruppo cinese di minacce noto come DriftingCloud.

A partire dall'inizio del 2020, anche un'iniezione SQL zero-day in XG Firewall è stata sfruttata dagli attori delle minacce per rubare dati sensibili come nomi utente e password utilizzando il malware trojan Asnarök.

Lo stesso zero-day è stato sfruttato per distribuire i payload del ransomware Ragnarok sulle reti aziendali Windows.

Aggiornamento del 18 gennaio 15:53 EST:

Sophos ha inviato la seguente dichiarazione dopo la pubblicazione dell'articolo:

Sophos ha adottato misure immediate per risolvere questo problema con un hotfix automatico inviato a settembre 2022. Abbiamo anche avvisato gli utenti che non ricevono gli hotfix automatici di applicare l'aggiornamento da soli.

Il restante 6% delle versioni rivolte a Internet che Baines cita nel suo articolo utilizza una versione vecchia e non supportata del software. Questa è una buona opportunità per ricordare a questi utenti, così come a tutti gli utenti di qualsiasi tipo di software obsoleto, di seguire le migliori pratiche di sicurezza e di eseguire l'aggiornamento alla versione più recente disponibile, come fa regolarmente Sophos con i propri clienti.

https://www.bleepingcomputer.com/news/security/over-4-000-sophos-firewall-devices-vulnerable-to-rce-attacks/

Hard Disk - Controllo di coerenza del disco

Angelo Domeneghini — Wed, 18 Jan 2023 09:14:00 GMT

Hard Disk - Controllo di coerenza del disco

"Molto spesso, quando accendo il PC e si sta caricando il sistema operativo, l’operazione si interrompe ed appare una schermata con questo messaggio: Controllo in corso del di file system su C:; Il file system è di tipo NTFS: L’etichetta del volume è Disco Locale; E' necessario eseguire la verifica di coerenza su uno dei dischi. La verifica del disco può essere annullata, ma si consiglia di continuare ...."

Il controllo di coerenza del disco è eseguito quando il sistema operativo rileva qualche errore sul disco fisso, per esempio la corruzione della tabella di allocazione del disco che contiene i riferimenti della posizione del file in esso. La frequente ripetizione del controllo significa che c’è un problema col disco fisso, riguardante l’integrità o la scrittura dei dati. Le cause sono numerose.

Col tempo la forza magnetica che tiene orientati i grani magnetici della superficie si riduce, i grani assumono posizioni spontanee ed il dato non è più sicuramente leggibile; disco e sistema interpretano questa condizione come un settore o dato rovinato.

Alla chiusura del sistema è stata forzata la chiusura di un’applicazione che stava scrivendo sul disco, potrebbe trattarsi anche di un virus o uno spyware; il sistema operativo rileva un’operazione non terminata e corregge.

Alcuni settori del disco si stanno rovinando.

**si consiglia di salvare i files importanti**

Come prima azione, consigliamo una scansione approfondita del sistema prima con un antivirus, poi con un programma antispyware aggiornati.

https://3da.it/watchguard.html

https://3da.it/kaspersky.html

Se non si rileva nulla, procedete con una formattazione completa del disco, non quella rapida che si limita a cancellare il contenuto della tavola di allocazione dei file. La formattazione completa riscrive completamente i settori rigenerando la forza magnetica. Se durante l’operazione sono segnalati diversi tentativi di riparazione del disco fisso, significa che il disco ha dei problemi seri e va sostituito.

Avast rilascia gratuitamente il decryptor ransomware BianLian

Angelo Domeneghini — Tue, 17 Jan 2023 08:45:00 GMT

Avast rilascia gratuitamente il decryptor ransomware BianLian

La società di software di sicurezza Avast ha rilasciato un decryptor gratuito per il ceppo ransomware BianLian per aiutare le vittime del malware a recuperare i file bloccati senza pagare gli hacker.

La disponibilità di un decryptor arriva solo circa sei mesi dopo l'aumento dell'attività da BianLian ransomware durante l'estate del 2022, quando il gruppo di minacce ha violato più organizzazioni di alto profilo.

Lo strumento di decriptazione di Avast può solo aiutare le vittime attaccate da una nota variante del ransomware BianLian.

Se gli hacker utilizzano una nuova versione del malware che i ricercatori devono ancora rilevare, lo strumento non è di alcun aiuto al momento.

Tuttavia, Avast afferma che il decryptor BianLian è un work in progress e la possibilità di sbloccare più ceppi verrà aggiunta a breve.

BianLian ransomware

BianLian (da non confondere con l'omonimo trojan bancario Android) è un ransomware basato su Go che prende di mira i sistemi Windows.

Utilizza l'algoritmo simmetrico AES-256 con la modalità di crittografia CBC per crittografare oltre 1013 estensioni di file su tutte le unità accessibili.

Il malware esegue la crittografia intermittente sui file della vittima, una tattica che aiuta ad accelerare gli attacchi a scapito della forza del blocco dei dati.

I file crittografati ottengono l'estensione ".bianlian", mentre la richiesta di riscatto generata avverte le vittime che hanno dieci giorni per soddisfare le richieste dell'hacker o i loro dati privati verranno pubblicati sul sito di fuga di dati della banda.

Per maggiori dettagli sul funzionamento del ransomware BianLian, consulta questo rapporto SecurityScoreCard sul ceppo pubblicato nel dicembre 2022.

Il decodificatore di Avast

Il decryptor ransomware BianLian è disponibile gratuitamente e il programma è un eseguibile autonomo che non richiede installazione.

Gli utenti possono selezionare la posizione che desiderano decrittografare e fornire al software una coppia di file originali/crittografati.

C'è anche un'opzione per gli utenti con una password di decrittazione valida, ma se la vittima non ne ha una, il software può comunque tentare di capirla ripetendo tutte le password BianLian conosciute.

Il decryptor offre anche un'opzione per il backup dei file crittografati per prevenire la perdita irreversibile dei dati se qualcosa va storto durante il processo.

Coloro che vengono attaccati dalle versioni più recenti del ransomware BianLian dovranno individuare il file binario del ransomware sul disco rigido, che potrebbe contenere dati che possono essere utilizzati per decifrare i file bloccati.

Avast afferma che alcuni nomi di file e posizioni comuni per BianLian sono:

C:\Windows\TEMP\mativ.exe

C:\Windows\Temp\Areg.exe

C:\Utenti\%nomeutente%\Immagini\windows.exe

anabolic.exe

Tuttavia, poiché il malware si autoelimina dopo la fase di crittografia dei file, è improbabile che le vittime trovino quei file binari sui propri sistemi.

Coloro che riescono a recuperare i binari BinaLian sono pregati di inviarli a "decryptors@avast.com" per aiutare Avast a migliorare il suo decrypter.

https://www.bleepingcomputer.com/news/security/avast-releases-free-bianlian-ransomware-decryptor/

Kena 230GB 9,99€/mese

Angelo Domeneghini — Mon, 16 Jan 2023 14:44:00 GMT

Kena 230GB 9,99€/mese

(inclusi 9,5GB in 4G per navigare in Europa)

Se attivi l’Offerta entro il 24 gennaio 2023, il costo di Attivazione di 4,99€ è GRATIS.

Minuti Illimitati di chiamate verso tutti i numeri fissi e mobili, 1.000 SMS verso tutti i mobili e 230GB di internet 4G (inclusi 9,5GB in 4G per navigare in Europa) a 9,99€ al mese.

Le SIM Kena verranno gradualmente abilitate al Servizio Voce su 4G (VoLTE). Il Servizio VoLTE è supportato esclusivamente sui dispositivi 4G abilitati sulla rete Kena. Clicca qui per saperne di più e per verificare gli apparati abilitati.

In deroga all’Art. 8.1 delle Condizioni Generali di Contratto e Condizioni d’Uso della SIM Kena Mobile, le Condizioni Economiche di questa Offerta non verranno modificate rinunciando pertanto TIM ad avvalersi della possibilità prevista dalla Normativa vigente (Art. 70/4, D.Lgs. 259/2003 – Art. 6 Del. 519/CONS).

Offerta soggetta a uso lecito e corretto della SIM.

L’Offerta offre chiamate senza scatto alla risposta e Giga 4G a scatti anticipati di 1 KB con una velocità in download fino a 60 Mbps e in upload fino a 30 Mbps sul territorio nazionale.

All’Estero la velocità di connessione è in 4G e dipende dalla Rete dell’Operatore con i quali TIM ha stretto accordi di Roaming. Per visualizzare gli accordi 4G clicca qui.

L’Offerta è sottoscrivibile per chi attiva un nuovo numero Kena Mobile e per chi mantiene il proprio numero portandolo da Iliad, Poste Mobile, Ho, LycaMobile, Fastweb Mobile, 1 Mobile, China Mobile, COOP, Daily Telecom, DIGI Mobile, Elimobile, Engan Mobile, Feder Mobile, Green, Intermatica, Ovunque, Italia Power, Spusu, NetValue, Noitel, Nova, Nextus, NTMobile, Optima, Plintron, Professional Link, Rabona Mobile, Telmekom, Tiscali, Welcome Italia, Wings, Withu.

COSTI

L’Offerta ha un Costo di 9,99€ ogni mese e si rinnova automaticamente nello stesso giorno in cui è stata attivata se il Credito Residuo della SIM è sufficiente.

Per questa Offerta non è previsto né il Contributo di Attivazione né il Costo per la SIM.

Per la Tariffazione degli SMS e dei Dati, in caso di superamento della soglia mensile, si applicano le Condizioni previste dal Piano Base Kena, a meno di Opzioni aggiuntive attive sulla linea.

I Minuti Illimitati devono essere utilizzati in modo lecito, secondo buona fede e correttezza, e conformemente agli artt. 10 e 11 delle Condizioni generali di contratto e norme d’uso della SIM.

https://www.kenamobile.it/prodotto/kena-9-99-230gb/

Wi-Fi 7 cos’è, come funziona e perché batte il Wi-Fi 6E

Angelo Domeneghini — Mon, 16 Jan 2023 09:06:00 GMT

Wi-Fi 7 cos’è, come funziona e perché batte il Wi-Fi 6E

Il Wi-Fi 7 non è stato ancora approvato come standard, ma già quest’anno arriveranno i primi prodotti che promettono velocità 4,8 volte superiori al Wi-Fi 6E

Arriva il Wi-Fi 7, la nuova versione del wireless, nota anche come 802.11be, è sulla buona strada per l’approvazione da parte del gruppo di lavoro IEEE, sarà disponibile nel 2024. Ma i marchi tecnologici non stanno aspettando il rilascio dello standard ufficiale; così i produttori di router e di chip stanno già spingendo per commercializzare i dispositivi compatibili con Wi-Fi 7 a partire da quest’anno.

Dato che i router Wi-Fi 6E sono stati messi in vendita solo di recente, è lecito chiedersi se il nuovo standard sarà all’altezza del clamore che circonda il la nuova tecnologia anche a seguito dal CES 2023.

Che cos’è Wi-Fi 7?

Al momento, lo standard Wi-Fi 7 non esiste ufficialmente, poiché l’Institute of Electrical and Electronics Engineers (IEEE) sta ancora valutando quali caratteristiche debbano appariranno nello standard finale. Molti produttori stanno già lanciando “prodotti Wi-Fi 7” che soddisfano le caratteristiche proposte dall’associazione invece di attendere la conformità ufficiale con lo standard 802.11be ufficiale.

Questo documento IEEE delinea tutte le funzionalità proposte e qui trovate riassunti i punti salienti

Larghezza di banda a 320 MHz: due volte più ampia del canale a 160 MHz abilitato da Wi-FI 6E , lo standard a 320 MHz raddoppia il throughput che la rete può supportare. Rispetto al Wi-Fi 6, secondo le stime IEEE, il Wi-Fi 7 potrebbe fornire “velocità dati nominali 4,8 volte superiori”. Questo è il vantaggio principale del Wi-Fi 7 e fornirà un enorme impulso a chiunque utilizzi ancora i router Wi-Fi 5.

4K-QAM: rispetto a Wi-Fi 6 con 1024-QAM, il Wi-Fi 7 raggiunge 4096-QAM, che sta per Quadrature Amplitude Modulation. Più alto è il QAM, più veloce è il trasferimento dei dati, ma anche più breve è la portata del segnale. Quindi questo standard sarà opzionale e si baserà sul beamforming per funzionare.

Miglioramenti MU-MIMO: la tecnologia multiutente, input multipli, output multipli (MU-MIMO) è diventata comune con il Wi-Fi 6, ma il Wi-Fi 7 supporterà più flussi simultanei. I router Wi-Fi 6 possono raggiungere fino a 8 flussi, il Wi-Fi 7 raddoppia tale capacità a 16.

Supporto Multi-Link: non importa quanto sia veloce la connessione del router, le interferenze danneggeranno sempre la connessione perché il router e il dispositivo si connettono su un unico canale. Ma la funzione Multi-Link consente una connessione duplicata, che secondo l’IEEE è “favorevole sia per la velocità di grandi moli di dati sia per latenza estremamente bassa”.

Quanto è veloce il Wi-Fi 7?

Raddoppiando sia la larghezza di banda sia i flussi MU-MIMO rispetto al Wi-Fi 6, che raggiunge un massimo di 9,6 Gbps, oltre a offrire un ulteriore aumento del 20% rispetto a 4K-QAM, Wi-Fi 7 può, in teoria, offrire velocità 4,8 volte superiore per un massimo di 46 Gbps. Se si elimina il fattore QAM (a causa dei suoi limiti) si avrebbe comunque un tetto massimo di 40 Gbps per i router Wi-Fi 7 se la rete è in grado di supportarlo.

In pratica, la reale velocità del Wi-fi 7 dipenderà interamente dai router che arriveranno sul mercato e da quali velocità saranno in grado di raggiungere i chip al loro interno.

Quando sarà disponibile Wi-Fi 7?

Molti smartphone e TV di fascia alta inizieranno a incorporare il supporto per il Wi-Fi 7 nel 2023, anche se alcuni si atterranno agli standard precedenti come Wi-Fi 6E. La domanda è quando saremo in grado di acquistare un router Wi-Fi 7?

Gli annunci dei produttori lasciano capire che già dal 15 marzo 2023 saranno disponibili i primo prodotti con tecnologia Wi-Fi 7.

In altre parole, già quest’anno vedremo un mare di dispositivi Wi-Fi 7, ma molti saranno costosi, come sempre accade per le nuove tecnologie di prima generazione.

https://www.digitalic.it/hardware-software/wi-fi-7-cos-e-come-funziona

Oltre 1.300 falsi siti AnyDesk spingono il malware Vidar che ruba informazioni

Angelo Domeneghini — Wed, 11 Jan 2023 10:10:00 GMT

Oltre 1.300 falsi siti AnyDesk spingono il malware Vidar che ruba informazioni

È in corso una massiccia campagna che utilizza oltre 1.300 domini per impersonare il sito ufficiale di AnyDesk, tutti reindirizzati a una cartella Dropbox che ha recentemente spinto il malware Vidar che ruba informazioni.

AnyDesk è una popolare applicazione desktop remoto per Windows, Linux e macOS, utilizzata da milioni di persone in tutto il mondo per la connettività remota sicura o per eseguire l'amministrazione del sistema.

A causa della popolarità dello strumento, le campagne di distribuzione di malware spesso abusano del marchio AnyDesk. Ad esempio, nell'ottobre 2022, Cyble ha riferito che gli operatori di Mitsu Stealer stavano utilizzando un sito di phishing AnyDesk per inviare il loro nuovo malware.

La nuova campagna AnyDesk in corso è stata individuata dall'analista delle minacce di SEKOIA crep1x, che ne ha avvertito su Twitter e ha condiviso l'elenco completo dei nomi host dannosi. Tutti questi nomi host si risolvono nello stesso indirizzo IP di 185.149.120[.]9.

L'elenco dei nomi host include typosquat per AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, app di trading di criptovalute e altri software popolari.

Tuttavia, indipendentemente dal nome, portano tutti allo stesso sito clone di AnyDesk, mostrato di seguito.

Al momento della stesura di questo articolo, la maggior parte dei domini è ancora online, mentre altri sono stati segnalati e portati offline dai registrar o bloccati dagli strumenti AV. Anche per i siti attivi, i loro collegamenti Dropbox non funzionano più dopo che il file dannoso è stato segnalato al servizio di cloud storage.

Tuttavia, poiché tutte queste campagne puntano allo stesso sito, l'autore della minaccia può risolvere facilmente il problema aggiornando l'URL di download su un altro sito.

Tutti i siti portano a Vidar Stealer

Nella campagna appena scoperta, i siti distribuivano un file ZIP denominato "AnyDeskDownload.zip" [VirusTotal] che fingeva di essere un programma di installazione del software AnyDesk.

Tuttavia, invece di installare il software di accesso remoto, installa Vidar stealer, un malware per il furto di informazioni in circolazione dal 2018.

Una volta installato, il malware ruberà la cronologia del browser delle vittime, le credenziali dell'account, le password salvate, i dati del portafoglio di criptovaluta, le informazioni bancarie e altri dati sensibili. Questi dati vengono quindi rispediti agli aggressori, che potrebbero utilizzarli per ulteriori attività dannose o venderli ad altri autori di minacce.

Gli utenti in genere finiscono su questi siti dopo aver cercato su Google versioni piratate di software e giochi. Vengono quindi indirizzati a 108 domini di seconda fase che li reindirizzano alla destinazione finale di 20 domini che forniscono i payload dannosi.

Invece di nascondere il payload del malware dietro i reindirizzamenti per eludere il rilevamento e le rimozioni, la recente campagna Vidar ha utilizzato il servizio di hosting di file Dropbox, di cui si fidano gli strumenti AV, per consegnare il payload.

BleepingComputer ha recentemente visto Vidar spinto da una campagna basata su oltre 200 domini di typosquatting che impersonavano 27 marchi di software.

Qualche giorno fa, SEKOIA ha pubblicato un rapporto che rivela un'altra massiccia campagna di distribuzione di ladri di informazioni utilizzando 128 siti Web che promuovono software crackato.

Tuttavia, come ha detto il ricercatore a BleepingComputer, non c'è sovrapposizione tra le due campagne.

Si consiglia agli utenti di aggiungere ai segnalibri i siti che utilizzano per scaricare software, evitare di fare clic sui risultati promossi (annunci) in Ricerca Google e trovare l'URL ufficiale di un progetto software dalla pagina Wikipedia, dalla documentazione o dal gestore di pacchetti del sistema operativo.

https://www.bleepingcomputer.com/news/security/over-1-300-fake-anydesk-sites-push-vidar-info-stealing-malware/

Da oggi Windows 7 Professional ed Enterprise non sono più supportati

Angelo Domeneghini — Tue, 10 Jan 2023 17:33:00 GMT

Da oggi Windows 7 Professional ed Enterprise non sono più supportati

Il termine del supporto espone a gravi rischi per la sicurezza l’11% dei sistemi Windows attivi in tutto il mondo.

A far data da oggi Windows 7 Professional ed Enterprise non riceveranno più gli aggiornamenti di sicurezza estesi per le vulnerabilità critiche.

La data era nota da tempo, del resto questi sistemi operativi sono in circolazione da ottobre 2009. Microsoft aveva garantito il supporto mainstream fino a inizio gennaio 2015, in seguito aveva aperto la finestra di supporto esteso, terminata nel 2020.

Da allora era attiva l’ultima opzione utile di protezione per i clienti: il programma Extended Security Update (ESU), accessibile solo in pacchetti multilicenza specifici per le edizioni Windows 7 Professional, Enterprise e Professional per sistemi Embedded.

Sempre oggi termina il supporto anche per tutte le edizioni di Windows 8.1.

Con oggi si apre quindi l’annosa questione della sicurezza dei sistemi obsoleti, che sono molti: secondo i dati di Statcounter GlobalStats, attualmente Windows 7 è ancora in funzione su oltre l'11% dei sistemi Windows in tutto il mondo, mentre Windows 8.1 è utilizzato dal 2,59% dei clienti Microsoft.

Il secondo martedì di ogni mese Microsoft pubblica gli aggiornamenti di sicurezza cumulativi per tutti i sistemi operativi ancora supportati. È un’attività di primaria importanza, perché chiude le falle di sicurezza che vengono man mano scoperte e che vengono puntualmente sfruttate dagli attaccanti per perpetrare attacchi informatici in tutto il mondo. Per comprendere il rischio che corrono i sistemi non aggiornati basti pensare a PrintNightmare, sfruttato da diversi gruppi ransomware fra cui il temibile BlackBasta.

Il guaio è che, come sottolinea Microsoft, la maggior parte dei dispositivi Windows 7 non soddisfa i requisiti hardware per l'aggiornamento a Windows 11. Non è quindi possibile aggiornare all’ultimo momento i vecchi prodotti al nuovo OS. La via d’uscita meno dispendiosa è l’installazione di Windows 10, percorribile acquistando e installando una versione completa del software. L’opportunità di fare questo investimento è tuttavia da valutare attentamente, dato che Windows 10 raggiungerà la data di fine supporto il 14 ottobre 2025. Microsoft consiglia quindi di sostituire i vecchi dispositivi con modelli nuovi che installano Windows 11.

Qualunque sia la decisione, è chiaro che una scelta dev’essere fatta in fretta, dato che la fine del supporto non riguarda solo il sistema operativo stesso. Anche i browser non saranno più supportati: la prossima settimana l’azienda di Redmond rilascerà Microsoft Edge 109, che sarà ufficialmente l'ultima versione del browser per Windows 7 e Windows 8 / 8.1, oltre che per Windows Server 2008 R2, Windows Server 2012 e Windows Server 2012 R2. A partire da febbraio 2023 anche Google terminerà il supporto per le versioni più datate di Chrome: l’ultima release aggiornata sarà la 110. Questo significa che Edge e Chrome continueranno a funzionare, ma non riceveranno più aggiornamenti di sicurezza e correzioni di bug, esponendo gli utenti ad alti rischi per la sicurezza.

https://3da.it/watchguard.html

https://3da.it/kaspersky.html

Hacking: vittime adescate con un falso mazzo di carte Pokemon

Angelo Domeneghini — Tue, 10 Jan 2023 15:49:00 GMT

Hacking: vittime adescate con un falso mazzo di carte Pokemon

Gli esperti di sicurezza informatica hanno scoperto un sito Web che distribuisce malware,

che finge di essere un gioco NFT ritenuto correlato al famoso franchise.

Gli hacker nascondono malware dietro un pulsante di download.

Attenzione ai cosiddetti giochi di carte Pokémon online!

Gli esperti del Centro sudcoreano AhnLab per la sicurezza informatica (ASEC) hanno scoperto una nuova trappola che utilizza la tecnica del phishing per hackerare i computer. Hanno scoperto un sito Web dannoso, che è stato promosso sui social media.

Attira le sue vittime con un mazzo falso di carte finte del popolare franchise Pokémon con una dimensione NFT (token non fungibile) aggiunta.

Le persone che premono il pulsante "Gioca su PC" sul sito dall'aspetto ufficiale attivano il download di un software eseguibile che sembra un banale file di installazione di un gioco, ma in realtà nasconde il NetSupport Remote Access Tool (RAT).

Una volta installato nella cartella di sistema AppData del computer Windows della vittima, consente agli hacker di accedere e controllare il proprio dispositivo da remoto. Ciò apre la possibilità di rubare dati sensibili o installare altri software dannosi. Il malware è inoltre configurato in modo tale da attivarsi automaticamente al riavvio del computer, spiegano gli specialisti dell'ASEC.

https://www.20min.ch/fr/story/victimes-appatees-avec-un-faux-jeu-de-cartes-pokemon-862301857508

Microsoft: cluster Kubernetes hackerati in una campagna malware tramite PostgreSQL

Angelo Domeneghini — Tue, 10 Jan 2023 15:31:00 GMT

Microsoft: cluster Kubernetes hackerati in una campagna malware tramite PostgreSQL

Kubernetes

Il malware Kinsing sta ora violando attivamente i cluster Kubernetes sfruttando i punti deboli noti nelle immagini dei container e nei container PostgreSQL esposti e configurati in modo errato.

Sebbene queste tattiche non siano nuove, il team Defender for Cloud di Microsoft riferisce di aver visto un aumento ultimamente, indicando che gli attori delle minacce stanno cercando attivamente punti di ingresso specifici.

Kinsing è un malware Linux con una storia di targeting per ambienti containerizzati per il mining di criptovalute, utilizzando le risorse hardware del server violato per generare entrate per gli autori delle minacce.

Gli attori delle minacce dietro Kinsing sono noti per sfruttare vulnerabilità note come Log4Shell e, più recentemente, un Atlassian Confluence RCE per violare gli obiettivi e stabilire la persistenza.

Scansione per difetti dell'immagine del contenitore

Microsoft afferma di aver visto un aumento in due metodi utilizzati dagli operatori di Kinsing per ottenere l'accesso iniziale a un server Linux, sfruttando una vulnerabilità nelle immagini del contenitore o nei server di database PostgreSQL configurati in modo errato.

Quando sfruttano le vulnerabilità delle immagini, gli attori delle minacce cercano difetti di esecuzione di codice in modalità remota che consentano loro di spingere i loro payload.

La telemetria di Microsoft Defender per il cloud ha indicato che gli attori delle minacce stanno tentando di sfruttare le vulnerabilità nelle seguenti app per l'accesso iniziale:

Unità PHP

LifeRay

Oracle Web Logic

wordpress

Nei casi WebLogic, gli hacker cercano CVE-2020-14882, CVE-2020-14750 e CVE-2020-14883, tutti difetti di esecuzione di codice remoto che incidono sul prodotto Oracle.

"Recentemente, abbiamo identificato una diffusa campagna di Kinsing che prendeva di mira le versioni vulnerabili dei server WebLogic", si legge in un rapporto del ricercatore di sicurezza Microsoft Sunders Bruskin.

"Gli attacchi iniziano con la scansione di un'ampia gamma di indirizzi IP, alla ricerca di una porta aperta che corrisponda alla porta predefinita di WebLogic (7001)."

Mitigare questo problema è semplice come utilizzare le ultime versioni disponibili delle immagini che desideri distribuire e reperire queste immagini solo da repository ufficiali e posizioni affidabili.

Microsoft suggerisce inoltre di ridurre al minimo l'accesso ai contenitori esposti utilizzando elenchi IP consentiti e seguendo i principi del privilegio minimo.

I due metodi di attacco di Kinsing

I due metodi di attacco di Kinsing (Microsoft)

Attaccare PostgreSQL

Il secondo percorso di attacco iniziale che gli esperti di sicurezza di Microsoft hanno osservato è stato un aumento nel targeting di server PostgreSQL configurati in modo errato.

Uno degli errori di configurazione più comuni sfruttati dagli aggressori è l'impostazione "autenticazione attendibile", che istruisce PostgreSQL a presumere che "chiunque possa connettersi al server sia autorizzato ad accedere al database".

Un altro errore è l'assegnazione di un intervallo di indirizzi IP troppo ampio, incluso qualsiasi indirizzo IP che l'aggressore potrebbe utilizzare per consentire l'accesso al server.

Anche se la configurazione dell'accesso IP è rigorosa, Microsoft afferma che Kubernetes è ancora soggetto all'avvelenamento da ARP (Address Resolution Protocol), quindi gli aggressori potrebbero falsificare le app nel cluster per ottenere l'accesso.

Per mitigare i problemi di configurazione di PostgreSQL, consultare la pagina Web dei consigli sulla sicurezza del progetto e applicare le misure proposte.

Infine, Microsoft afferma che Defender for Cloud può rilevare impostazioni permissive e configurazioni errate sui contenitori PostgreSQL e aiutare gli amministratori a mitigare i rischi prima che gli hacker li sfruttino.

Per gli amministratori di PostgreSQL i cui server sono stati infettati da Kinsing, Sreeram Venkitesh di BigBinary ha scritto un articolo su come il malware ha infettato il loro dispositivo e su come alla fine lo hanno rimosso.

https://www.bleepingcomputer.com/news/security/microsoft-kubernetes-clusters-hacked-in-malware-campaign-via-postgresql/

ChatGPT cos’è, come funziona e può sostituire Google?

Angelo Domeneghini — Mon, 09 Jan 2023 12:03:00 GMT

ChatGPT cos’è, come funziona e può sostituire Google?

Il chatbot con intelligenza artificiale ChatGPT si sta facendo conoscere come uno strumento responsivo e veloce, in grado di soppiantare i motori di ricerca.

ChatGPT è diventato virale nelle ultime settimane del 2022. Le risposte del nuovo chatbot realizzato da OpenAI hanno inondato i feed dei social media: in cinque giorni, ChatGPT ha superato un milione di utenti, secondo la stessa azienda autrice del progetto che è stata fondata da Elon Musk. Le capacità dello strumento basato sull’intelligenza artificiale sono tali che alcuni esperti si stanno chiedendo se sarà in grado di sostituirsi a Google e agli altri motori di ricerca. L’ennesima innovazione con AI sembra pronta a rivoluzionare l’utilizzo del web per milioni di utenti nei mesi a venire.

ChatGPT come funziona

ChatGPT si presenta coma una pagina web dove si può conversare, via immissione di testo come in una normale chat, con un programma dotato di intelligenza artificiale creato per semplificare l’interazione umana con i bot. È definito un chatbot AI conversazionale pensato per aiutare gli umani a saperne di più sull’intelligenza artificiale ed è stato addestrato su un’enorme quantità di materiali scientifici e tecnici.

ChatGPT è stato lanciato come prototipo nel novembre 2022 e ha rapidamente attirato l’attenzione per le sue risposte dettagliate e articolate in molti campi; alcune risposte non precise sono indicate come difetto iniziale dovuto alla poca esperienza del chatbot. Dato che è dotato di apprendimento automatico, con un maggiore utilizzo aumenterà anche la precisione nelle risposte. “Sono un programma di intelligenza artificiale progettato per aiutare a rispondere a domande e fornire informazioni su una vasta gamma di argomenti. In qualità di AI, sono in grado di elaborare e analizzare grandi quantità di dati e posso fornire risposte a domande e domande sulla base delle informazioni su cui sono stato formato. Non ho sentimenti o preferenze personali e sono qui per fornire informazioni e assistenza al meglio delle mie capacità”, è la risposta che dà ChatGPT quando si chiede che cosa sia.

ChatGPT evoluzione dei motori di ricerca

La vastità della conoscenza del bot fa pensare che possa sostituirsi a Google quando le mancanze del primo periodo saranno colmate. “La ricerca Google ha i suoi vantaggi, in particolare la quantità di dati e le risorse più ampie di cui dispone per raccogliere i dati. Eppure ChatGPT ha un superpotere, creando una comunicazione bilaterale a livello umano, che sta superando i limiti di Google Search nel catturare l’intelligenza umana” ha detto l’esperto di AI Nima Schei. OpenAI ha affermato che fra le limitazioni di ChatGPT esiste la possibilità di ricevere risposte plausibili, ma errate e prive di senso. Uno dei rischi immediati è l’aumento della disinformazione guidata dall’intelligenza artificiale, specialmente nei social media e nei motori di ricerca. Per questo al momento Google e gli altri search engines restano la soluzioni migliore alle domande sul web, ma presto questo scenario potrebbe cambiare.

ChatGPT, OpenAi e Microsoft

Poiché ChatGPT non effettua ricerche su internet, si può considerare come uno strumento per integrare e potenziare una ricerca fatta sul web. Inoltre, c’è un altro aspetto degno di nota: Microsoft ha investito in OpenAI per un importo di un miliardo di dollari e, dato che l’azienda di informatica possiede anche il motore di ricerca Bing, è difficile che voglia sostituire la funzione di ricerca online con il chatbot. Gli esperti affermano che, sebbene Chat GPT sia una pietra miliare dell’avanzamento dell’AI, non sostituirà a breve Google. Tuttavia, l’ascesa e la popolarità di ChatGPT segnalano un cambiamento, offrendo uno sguardo su dove potrebbero essere diretti gli strumenti di ricerca online in futuro.

https://www.digitalic.it/tech-news/chatgpt-cos-e-come-funziona

Allarme MasquerAds: il nuovo malware che si diffonde tramite Google Ads

Angelo Domeneghini — Tue, 03 Jan 2023 09:54:00 GMT

Allarme MasquerAds: il nuovo malware che si diffonde tramite Google Ads

Sicurezza Malware e virus Antivirus

MasquerAds è un nuovo tipo di attacco informatico che agisce attraverso le inserzioni pubblicitarie: ecco come evitarlo.

I gruppi legati alla criminalità informatica sono noti per trovare sempre nuovi modi di perpetrare truffe e crimini di vario tipo.

Sta però suscitando particolare scalpore l’ultima tecnica adottata dagli stessi: a quanto pare, diversi hacker stanno sfruttando Google Ads e i motori di ricerca per diffondere software dannoso.

Questo particolare tipo di attacco, noto come MasquerAds, va a riprodurre annunci pubblicitari verosimili di servizi diffusi e apprezzati nelle SERP di Google. In questo modo, spingono l’utente a scaricare app che, a conti fatti, si rivelano veri e propri malware.

Utilizzando nomi di dominio simili a quelli dei siti originali e ricostruendo la grafica degli stessi, i criminali informatici stanno mietendo molte vittime nelle ultime settimane.

Molti utenti infatti, pensano ancora che gli antivirus non siano realmente utili: i risultati di tale opinione, molto spesso, sono catastrofici.

Proprio su questa falsa idea, attacchi come i MasquerAds riescono a fare numeri spaventosi, che preoccupano addetti ai lavori e non.

MasquerAds: ecco i siti e i servizi colpiti da questo tipo di attacco

Quali sono i servizi che subiscono questo tipo di “clonazione” del sito? La lista è sterminata e include app e piattaforme come:

AnyDesk

Dashlane

Grammarly

Malwarebytes

Microsoft Visual Studio

MSI Afterburner

Slack

Zoom

Audacity

OBS

Libre Office

Teamviewer

e tanti altri.

Fare attenzione all’URL, prima di scaricare uno dei suddetti programmi o di inserire dati sensibili su un sito, è praticamente d’obbligo.

*Per evitare questo 3DA Propone applicaitivi di Sicurezza come

https://3da.it/watchguard.html

https://3da.it/kaspersky.html

Gli altoparlanti di Google Home hanno permesso agli hacker di curiosare nelle conversazioni

Angelo Domeneghini — Mon, 02 Jan 2023 17:08:00 GMT

Gli altoparlanti di Google Home hanno permesso agli hacker di curiosare nelle conversazioni

Un bug nello smart speaker di Google Home ha permesso di installare un account backdoor che poteva essere utilizzato per controllarlo da remoto e trasformarlo in un dispositivo di spionaggio accedendo al feed del microfono.

Il ricercatore Matt Kunze ha scoperto il problema e ha ricevuto $ 107.500 per averlo segnalato responsabilmente a Google l'anno scorso. All'inizio di questa settimana, il ricercatore ha pubblicato dettagli tecnici sulla scoperta e uno scenario di attacco per mostrare come sfruttare il difetto.

Processo di compromesso

Durante la sperimentazione con il suo mini altoparlante Google Home, il ricercatore ha scoperto che i nuovi account aggiunti utilizzando l'app Google Home potevano inviargli comandi da remoto tramite l'API cloud.

Utilizzando una scansione Nmap, il ricercatore ha trovato la porta per l'API HTTP locale di Google Home, quindi ha impostato un proxy per acquisire il traffico HTTPS crittografato, sperando di strappare il token di autorizzazione dell'utente.

Il ricercatore ha scoperto che l'aggiunta di un nuovo utente al dispositivo di destinazione è un processo in due passaggi che richiede il nome del dispositivo, il certificato e l'"ID cloud" dalla sua API locale. Con queste informazioni, potrebbero inviare una richiesta di collegamento al server di Google.

Per aggiungere un utente non autorizzato a un dispositivo Google Home di destinazione, l'analista ha implementato il processo di collegamento in uno script Python che automatizzava l'esfiltrazione dei dati del dispositivo locale e riproduceva la richiesta di collegamento.

L'attacco è riassunto nel blog del ricercatore come segue:

L'attaccante desidera spiare la vittima in prossimità wireless di Google Home (ma NON ha la password Wi-Fi della vittima).

L'attaccante scopre Google Home della vittima ascoltando gli indirizzi MAC con prefissi associati a Google Inc. (ad es. E4:F0:42).

L'aggressore invia pacchetti deauth per disconnettere il dispositivo dalla sua rete e farlo entrare in modalità di configurazione.

L'attaccante si connette alla rete di configurazione del dispositivo e richiede informazioni sul dispositivo (nome, certificato, ID cloud).

L'aggressore si connette a Internet e utilizza le informazioni ottenute sul dispositivo per collegare il proprio account al dispositivo della vittima.

L'aggressore può ora spiare la vittima tramite Google Home su Internet (non è più necessario essere vicino al dispositivo).

Il ricercatore ha pubblicato su GitHub tre PoC per le azioni di cui sopra. Tuttavia, questi non dovrebbero funzionare con i dispositivi Google Home che eseguono l'ultima versione del firmware.

I PoC fanno un ulteriore passo avanti rispetto al semplice piazzare un utente non autorizzato e consentono di spiare il microfono, effettuare richieste HTTP arbitrarie sulla rete della vittima e leggere/scrivere file arbitrari sul dispositivo.

Possibili implicazioni

Avere un account canaglia collegato al dispositivo di destinazione consente di eseguire azioni tramite l'altoparlante di Google Home, come controllare interruttori intelligenti, effettuare acquisti online, sbloccare porte e veicoli da remoto o forzare furtivamente il PIN dell'utente per serrature intelligenti.

Più preoccupante, il ricercatore ha trovato un modo per abusare del comando "chiama [numero di telefono]" aggiungendolo a una routine dannosa che attiverebbe il microfono in un momento specifico, chiamando il numero dell'aggressore e inviando un feed dal microfono in tempo reale.

Durante la chiamata, il LED del dispositivo diventa blu, unica indicazione che è in corso un'attività. Se la vittima se ne accorge, potrebbe presumere che il dispositivo stia aggiornando il firmware. L'indicatore di attivazione del microfono standard è un LED pulsante, che non si verifica durante le chiamate.

Infine, è anche possibile riprodurre contenuti multimediali sullo smart speaker compromesso, rinominarlo, forzare un riavvio, costringerlo a dimenticare le reti Wi-Fi memorizzate, forzare nuovi accoppiamenti Bluetooth o Wi-Fi e altro ancora.

Correzioni di Google

Kunze ha scoperto i problemi nel gennaio 2021 e ha inviato ulteriori dettagli e PoC nel marzo 2021. Google ha risolto tutti i problemi nell'aprile 2021.

La patch include un nuovo sistema basato su inviti per gestire i collegamenti agli account, che blocca qualsiasi tentativo non aggiunto su Home.

L'annullamento dell'autenticazione di Google Home è ancora possibile, ma non può essere utilizzato per collegare un nuovo account, quindi anche l'API locale che ha fatto trapelare i dati di base del dispositivo è inaccessibile.

Per quanto riguarda il comando "chiama [numero di telefono]", Google ha aggiunto una protezione per impedirne l'avvio remoto tramite routine.

Vale la pena notare che Google Home è stato rilasciato nel 2016, le routine pianificate sono state aggiunte nel 2018 e l'SDK per la casa locale è stato introdotto nel 2020, quindi un utente malintenzionato che trovasse il problema prima dell'aprile 2021 avrebbe avuto tutto il tempo per trarne vantaggio.

https://www.bleepingcomputer.com/news/security/google-home-speakers-allowed-hackers-to-snoop-on-conversations/

Netgear avvisa gli utenti di correggere il bug del router WiFi risolto di recente

Angelo Domeneghini — Mon, 02 Jan 2023 17:01:00 GMT

Netgear avvisa gli utenti di correggere il bug del router WiFi risolto di recente

Netgear ha risolto una vulnerabilità ad alta gravità che interessava più modelli di router WiFi e ha consigliato ai clienti di aggiornare i propri dispositivi all'ultimo firmware disponibile il prima possibile.

Il difetto interessa diversi modelli di router Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) e Wireless AC.

Sebbene Netgear non abbia rivelato alcuna informazione sul componente interessato da questo bug o sul suo impatto, ha affermato che si tratta di una vulnerabilità di overflow del buffer di pre-autenticazione.

L'impatto di uno sfruttamento riuscito dell'overflow del buffer può variare da arresti anomali a seguito di negazione del servizio all'esecuzione di codice arbitrario, se l'esecuzione di codice viene ottenuta durante l'attacco.

Gli aggressori possono sfruttare questo difetto in attacchi a bassa complessità senza richiedere autorizzazioni o interazione dell'utente.

In un avviso di sicurezza pubblicato mercoledì, Netgear ha affermato che "consiglia vivamente di scaricare l'ultimo firmware il prima possibile".

L'elenco dei router vulnerabili e le versioni del firmware con patch sono disponibili nella tabella seguente.

Router Netgear vulnerabile - Versione del firmware con patch

Firmware RAX40 versione 1.0.2.60

Firmware RAX35 versione 1.0.2.60

Firmware R6400v2 versione 1.0.4.122

Firmware R6700v3 versione 1.0.4.122

Versione firmware R6900P 1.3.3.152

Versione firmware R7000P 1.3.3.152

Versione firmware R7000P 1.0.11.136

Versione firmware R7960P 1.4.4.94

Versione firmware R8000P 1.4.4.94

Come aggiornare il firmware del router

Per scaricare e installare l'ultimo firmware per il tuo router Netgear, devi eseguire i seguenti passaggi:

Visita l'assistenza NETGEAR.

Inizia a digitare il numero del tuo modello nella casella di ricerca, quindi seleziona il tuo modello dal menu a discesa non appena viene visualizzato.

Se non vedi un menu a discesa, assicurati di aver inserito correttamente il numero del modello o seleziona una categoria di prodotto per cercare il modello del tuo prodotto.

Fare clic su Download.

In Versioni correnti, seleziona il primo download il cui titolo inizia con Versione firmware.

Fare clic su Note sulla versione.

Seguire le istruzioni nelle note sulla versione del firmware per scaricare e installare il nuovo firmware.

"La vulnerabilità di overflow del buffer di pre-autenticazione rimane se non si completano tutti i passaggi consigliati", ha anche avvertito Netgear.

"NETGEAR non è responsabile di eventuali conseguenze che avrebbero potuto essere evitate seguendo le raccomandazioni contenute in questa notifica."

Un portavoce di Netgear non è stato immediatamente disponibile per un commento quando è stato contattato oggi da BleepingComputer per ulteriori informazioni.

Mercoledì, Netgear ha esortato i clienti a correggere una seconda vulnerabilità che può essere sfruttata per attivare uno stato di negazione del servizio in attacchi mirati ai router Wireless AC Nighthawk e Wireless AX Nighthawk (WiFi 6).

All'inizio di quest'anno, Netgear ha anche risolto un cattivo aggiornamento del firmware Orbi che impediva ai clienti di accedere alle console di amministrazione dei propri dispositivi.

https://www.bleepingcomputer.com/news/security/netgear-warns-users-to-patch-recently-fixed-wifi-router-bug/

Un nuovo malware Linux utilizza 30 exploit di plug-in per eseguire backdoor sui siti WordPress

Angelo Domeneghini — Mon, 02 Jan 2023 16:52:00 GMT

Un nuovo malware Linux utilizza 30 exploit di plug-in per eseguire backdoor sui siti WordPress

Un malware Linux precedentemente sconosciuto ha sfruttato 30 vulnerabilità in più plug-in e temi WordPress obsoleti per iniettare JavaScript dannoso.

Secondo un rapporto del fornitore di antivirus Dr. Web, il malware prende di mira sia i sistemi Linux a 32 bit che a 64 bit, offrendo al suo operatore capacità di comando remoto.

La funzionalità principale del trojan è hackerare i siti WordPress utilizzando una serie di exploit hardcoded che vengono eseguiti successivamente, finché uno di essi non funziona.

I plugin e i temi mirati sono i seguenti:

Plugin per il supporto della chat live di WP

WordPress – Articoli correlati a Yuzo

Plugin per la personalizzazione del tema visivo della matita gialla

Easysmtp

Plug-in per la conformità al GDPR di WP

Tema del giornale sul controllo degli accessi di WordPress (CVE-2016-10972)

Thim Core

Inseritore codice Google

Plug-in Donazioni totali

Pubblica modelli personalizzati Lite

Gestore delle prenotazioni rapide WP

Facebook Live Chat di Zotabox

Plug-in WordPress per designer di blog

Domande frequenti su WordPress Ultimate (CVE-2019-17232 e CVE-2019-17233)

Integrazione WP-Matomo (WP-Piwik)

Shortcode WordPress ND per Visual Composer

WP chat dal vivo

Prossimamente Pagina e modalità di manutenzione

Ibrido

Se il sito Web di destinazione esegue una versione obsoleta e vulnerabile di uno dei precedenti, il malware recupera automaticamente JavaScript dannoso dal suo server di comando e controllo (C2) e inserisce lo script nel sito Web.

Le pagine infette fungono da reindirizzamenti verso una posizione scelta dall'attaccante, quindi lo schema funziona meglio sui siti abbandonati.

Questi reindirizzamenti possono servire in campagne di phishing, distribuzione di malware e malvertising per aiutare ad eludere il rilevamento ed il blocco.

Detto questo, gli operatori dell'autoiniettore potrebbero vendere i loro servizi ad altri criminali informatici.

Una versione aggiornata del payload che Dr. Web ha osservato in natura prende di mira anche i seguenti componenti aggiuntivi di WordPress:

Brizy WordPress Plugin

Riproduttore video FV Flowplayer

WooCommerce

WordPress Prossimamente pagina

Tema WordPress OneTone

Plugin di WordPress per campi semplici

WordPress Delucks plug-in SEO

Creatore di sondaggi, sondaggi, moduli e quiz di OpinionStage

Monitoraggio delle metriche sociali

WPeMatico RSS Feed Fetcher

Plug-in Recensioni ricche

I nuovi componenti aggiuntivi presi di mira dalla nuova variante indicano che lo sviluppo della backdoor è attivo al momento.

Dr. Web afferma inoltre che entrambe le varianti contengono funzionalità attualmente inattive, che consentirebbero attacchi di forza bruta contro gli account dell'amministratore del sito Web.

Per difendersi da questa minaccia, gli amministratori dei siti Web WordPress devono aggiornare all'ultima versione disponibile i temi e i plug-in in esecuzione sul sito e sostituire quelli non più sviluppati con alternative supportate.

L'utilizzo di password complesse e l'attivazione del meccanismo di autenticazione a due fattori dovrebbero garantire la protezione dagli attacchi di forza bruta.

https://www.bleepingcomputer.com/news/security/new-linux-malware-uses-30-plugin-exploits-to-backdoor-wordpress-sites/

Intelligenza artificiale: OpenAI debutta nella generazione di modelli 3D

Angelo Domeneghini — Tue, 27 Dec 2022 11:03:00 GMT

Intelligenza artificiale: OpenAI debutta nella generazione di modelli 3D

Dopo DALL-E, l'azienda ha rilasciato Point-E, un sistema di apprendimento automatico che crea un oggetto tridimensionale da un prompt di testo.

Quando viene fornito un prompt di testo, il modello genera una nuvola di punti.

OpenAI, la startup fondata da Elon Musk dietro il popolare generatore di testo in immagini DALL-E, ha rilasciato la sua nuovissima macchina per la creazione di immagini. Secondo lui, il suo strumento Point-E può produrre modelli 3D in uno o due minuti, utilizzando un processore grafico per data center Nvidia V100.

Come sottolinea il sito Techcrunch, Point-E non crea oggetti 3D in senso stretto. Genera solo nuvole di punti o combinazioni di punti dati nello spazio che rappresentano una forma 3D.

Lo strumento converte i punti in una mesh.

Le nuvole di punti sono computazionalmente più facili da sintetizzare, ma non catturano la grana fine, la forma o la trama di un oggetto, un'altra grande limitazione per Point-E. Per aggirare questa limitazione, gli ingegneri hanno addestrato un ulteriore sistema di intelligenza artificiale per convertire le nuvole di punti in mesh. Ma notano nell'articolo che il modello a volte può mancare alcune parti di un oggetto che si vede troncato o deformato. Point-E deve la "E" nel suo nome all'abbreviazione del termine efficienza (efficacia) in francese), perché questo metodo è considerato significativamente più veloce rispetto ai precedenti approcci alla generazione di oggetti 3D.

All'inizio di quest'anno, Google ha rilasciato DreamFusion, un'evoluzione di Dream Fields, un sistema di generazione 3D che la società ha presentato nel 2021. A differenza di Dream Fields, DreamFusion non richiede alcuna formazione preliminare, il che significa che può generare rappresentazioni 3D di oggetti senza dati 3D.

Forte domanda

La modellazione 3D è utilizzata in un'ampia varietà di settori e applicazioni: interior design, studi di architettura e ingegneria, cinema, videogiochi, metaverso, ecc. Tuttavia, la creazione di immagini 3D realistiche è ancora un processo dispendioso in termini di tempo e hardware. Ma i pesi massimi del settore non risparmiano sforzi per democratizzare il processo, come Nvidia, che sta sviluppando in particolare il suo omniverso, o Epic Games e la sua applicazione mobile gratuita RealityScan. Ciò consente a un semplice supporto per iPhone di scansionare oggetti del mondo reale come immagini 3D.

https://www.20min.ch/fr/story/openai-fait-ses-premieres-armes-dans-la-generation-de-modeles-3d-478823916539

DuckDuckGo ora blocca i popup di accesso di Google su tutti i siti

Angelo Domeneghini — Tue, 27 Dec 2022 09:55:00 GMT

DuckDuckGo ora blocca i popup di accesso di Google su tutti i siti

Bloccato

Le app e le estensioni di DuckDuckGo stanno ora bloccando i popup di accesso a Google su tutte le sue app e le estensioni del browser, rimuovendo ciò che percepisce come un fastidio e un rischio per la privacy per i suoi utenti.

DuckDuckGo offre un motore di ricerca incentrato sulla privacy, un servizio di posta elettronica, app per dispositivi mobili ed estensioni del browser per la protezione dei dati. È in lavorazione anche un browser web autonomo, attualmente in versione beta e disponibile solo per macOS.

La società ha annunciato oggi che tutte le app e le estensioni del browser di Chrome, Firefox, Brave e Microsoft Edge ora bloccheranno attivamente le richieste di accesso di Google visualizzate sui siti.

Google offre questa opzione Single Sign-On sui siti Web per consentire agli utenti di accedere rapidamente a nuove piattaforme utilizzando il proprio account Google per comodità e controllo unificato.

In poche parole, invece di dover creare nuovi account e gestire più password su vari siti, gli utenti possono semplicemente accedere con Google quando l'opzione è disponibile e saltare la seccatura.

Lo svantaggio di questa pratica per gli utenti è che i siti Web e le app a cui accedono gli utenti possono essere monitorati da Google.

Sebbene Google affermi esplicitamente, "I dati di Accedi con Google non vengono utilizzati per annunci o altri scopi non di sicurezza", DuckDuckGo afferma che i loro test mostrano che Google continua a raccogliere dati.

"Guarda i nostri test nell'immagine allegata che mostra che Google sta raccogliendo dati sui siti quando si accede con Google. Ad esempio, su investing.com, vengono fatte molte richieste a https://securepubads.g.doubleclick.net/gampad/ads ?.", ha detto DuckDuckGo a BleepingComputer.

"Ciò include l'URL della pagina intera nei parametri della richiesta. Durante il test, se non abbiamo effettuato l'accesso al sito Web con Google, il cookie DSID inviato con queste richieste ha un valore NO_DATA. Se abbiamo effettuato l'accesso al sito Web con Google, il cookie DSID inviato con queste richieste ha un valore esadecimale lungo."

"Puoi vederlo nell'immagine allegata: a sinistra abbiamo effettuato l'accesso con Google, a destra non abbiamo eseguito l'accesso con Google."

Poiché DuckDuckGo ritiene che si tratti di rischi per la privacy, ha fatto ricorso all'approccio piuttosto aggressivo di bloccare le richieste di accesso di Google, non dando mai agli utenti la possibilità di accettare l'offerta del gigante della tecnologia.

BleepingComputer ha scoperto che l'opzione è integrata nella funzione di protezione generale dell'estensione del browser, quindi quando l'estensione è attiva, tutti i messaggi di Google vengono bloccati automaticamente.

Lo stesso vale per il browser DuckDuckGo per macOS, in cui la funzione di blocco di Google è integrata in "Protezione" e non è possibile disabilitarla a meno che non si disabilitino tutte le protezioni della privacy.

La nuova funzionalità di DuckDuckGo non causerà alcun problema a coloro che utilizzano Google per accedere ai siti Web poiché tale metodo è ancora disponibile nelle pagine di accesso delle piattaforme affiliate.

Tuttavia, la fastidiosa finestra pop-up non verrà visualizzata.

https://www.bleepingcomputer.com/news/security/duckduckgo-now-blocks-google-sign-in-pop-ups-on-all-sites/

Il bug della tastiera Corsair la fa digitare da sola, nessun malware coinvolto.

Angelo Domeneghini — Tue, 27 Dec 2022 09:41:00 GMT

Il bug della tastiera Corsair la fa digitare da sola, nessun malware coinvolto

Corsair

Corsair ha confermato che un bug nel firmware delle tastiere K100, e non un malware, è alla base della digitazione automatica del testo precedentemente inserito nelle applicazioni giorni dopo.

La dichiarazione dell'azienda arriva dopo che più utenti di K100 hanno riferito che le loro tastiere stanno digitando il testo da sole in momenti casuali.

Questo comportamento è stato segnalato per la prima volta sui forum Corsair nell'agosto 2022, lasciando le persone perplesse e preoccupate che dietro il comportamento ci fosse una qualche forma di keylogging o malware.

Alcuni hanno affermato di aver testato le loro tastiere K100 in modalità provvisoria per escludere le possibilità che il malware fosse in esecuzione su Windows e di aver comunque assistito alla digitazione di parole casuali, quindi la fonte del problema era determinata dall'hardware stesso.

Come riportato per la prima volta da Ars Technica, un portavoce di Corsair ha risposto alle preoccupazioni, affermando che le loro tastiere non hanno funzionalità di keylogging, né monitorano attivamente ciò che gli utenti digitano su di esse.

"Le tastiere Corsair inequivocabilmente non registrano in alcun modo l'input dell'utente e non hanno la capacità di registrare le singole sequenze di tasti", ha dichiarato Corsair ad Ars Technica.

Secondo il produttore della tastiera, il problema deriva da un difetto nella funzione di registrazione macro, che ne causa l'accensione per errore e inizia a registrare le sequenze di tasti e i movimenti del mouse. Queste macro vengono quindi attivate in un secondo momento, provocando la digitazione di nuovo del testo salvato.

La causa esatta di questo bug deve ancora essere determinata e il portavoce di Corsair ha affermato che l'azienda sta lavorando con gli utenti interessati per indagare sulla natura precisa del problema.

La correzione non è chiara

Sfortunatamente, l'ultimo aggiornamento del firmware reso disponibile per i dispositivi K100 (versione 1.11.39) un paio di settimane fa non risolve il problema.

A peggiorare le cose, questo ultimo aggiornamento del firmware ha causato blocchi casuali sulla tastiera, che secondo alcuni utenti potrebbero essere collegati all'impostazione della frequenza di polling elevata.

L'azione consigliata per impedire alla tastiera K100 di digitare automaticamente il testo in momenti casuali è reimpostarla scollegando la tastiera e tenendo premuto il pulsante Esc per cinque secondi mentre la si ricollega.

Tuttavia, alcuni utenti segnalano che un ripristino delle impostazioni di fabbrica e la cancellazione della memoria della tastiera non impediscono comunque che il problema si ripresenti dopo un po'. Pertanto, gli utenti potrebbero dover attendere fino a quando Corsair non fornirà un aggiornamento del firmware che risolva questo bug.

La ripetizione di input acquisiti in modo casuale può esporre informazioni riservate nella condivisione dello schermo e nelle presentazioni. Può anche interferire con l'esperienza di gioco degli utenti, quindi se utilizzi la tastiera in queste situazioni, potresti voler sostituirla con qualcos'altro fino a quando il bug non viene risolto.

https://www.bleepingcomputer.com/news/security/corsair-keyboard-bug-makes-it-type-on-its-own-no-malware-involved/

Francia: Cookie: 60 milioni di multa per Microsoft

Angelo Domeneghini — Thu, 22 Dec 2022 14:45:00 GMT

Francia: Cookie: 60 milioni di multa per Microsoft

Il Cnil, custode della privacy dei francesi, ha sanzionato il colosso informatico americano per non aver consentito il semplice rifiuto dei “cookies” sul suo motore di ricerca Bing.

Questa è la sanzione più grande imposta nel 2022 dalla Commissione nazionale per l'informatica e le libertà, il regolatore francese dei dati personali. Il garante della privacy francese ha multato il colosso informatico americano Microsoft di 60 milioni di euro (59 milioni di franchi) per non aver consentito di rifiutare semplicemente i "cookie" sul suo motore di ricerca Bing, secondo una dichiarazione rilasciata giovedì. L'autorità aveva annunciato lo scorso anno una campagna di controlli contro i siti che non rispettavano le regole su questi web cookies e aveva già appuntato su questo tema Google, Facebook e Amazon.

La formazione ristretta della commissione ha inoltre ordinato a Microsoft di modificare le proprie pratiche sul sito “bing.com” entro tre mesi, pena il pagamento di una multa di 60.000 euro (59.000 franchi) al giorno di ritardo. Microsoft viene prima sanzionata perché gli utenti francesi di Bing non potevano, fino al 29 marzo, rifiutare tutti i cookie senza passare attraverso una noiosa impostazione.

I cookie sono piccoli file informatici installati dai siti web sui terminali dei loro visitatori, per scopi tecnici o pubblicitari mirati. In particolare, consentono alle agenzie pubblicitarie di tracciare la navigazione dell'utente, per potergli inviare pubblicità personalizzata in relazione ai suoi centri di interesse. Vengono regolarmente denunciati per le violazioni della privacy che possono causare.

"Il Comitato ristretto ha osservato che rendere più complesso il meccanismo di rifiuto equivale, in realtà, a scoraggiare gli utenti dal rifiutare i cookie e incoraggiarli a privilegiare la facilità del pulsante di consenso che appare nella prima finestra", scrive il CNIL in un comunicato. La commissione ha inoltre individuato l'installazione di due cookie senza il preventivo consenso degli utenti di Internet, mentre servivano a scopi pubblicitari, inclusa la "lotta alle frodi pubblicitarie", ovvero la consultazione di annunci pubblicitari da parte di robot.

“Fino al 2% del fatturato globale”

Il Cnil ha inoltre individuato l'installazione di due cookie senza il consenso degli utenti di Internet, mentre servivano a scopi pubblicitari. Per queste violazioni relative alla direttiva europea ePrivacy recepita nella legge francese nel Data Protection Act, il Cnil potrebbe imporre una multa fino al 2% del fatturato globale.

Nel suo comunicato stampa, il Cnil ha motivato l'importo della sanzione "dalla portata del trattamento (dei dati), dal numero di persone interessate e dai profitti che la società trae dagli introiti pubblicitari, generati indirettamente dai dati raccolti da biscotti".

Il colosso della ricerca Google e il social network Facebook erano stati sanzionati, a fine dicembre 2021, dalla Cnil con multe rispettivamente di 150 e 60 milioni di euro per violazioni simili. Anche Google e Amazon sono stati sanzionati a fine 2020, per non aver informato gli utenti sui “cookie”.

https://www.20min.ch/fr/story/cookies-amende-de-60-millions-pour-microsoft-183578224068

Microsoft trova un bug di macOS che consente al malware di aggirare i controlli di sicurezza

Angelo Domeneghini — Thu, 22 Dec 2022 14:22:00 GMT

Microsoft trova un bug di macOS che consente al malware di aggirare i controlli di sicurezza

Apple ha risolto una vulnerabilità che gli aggressori potrebbero sfruttare per distribuire malware su dispositivi macOS vulnerabili tramite applicazioni non attendibili in grado di aggirare le restrizioni di esecuzione delle applicazioni Gatekeeper.

Trovato e segnalato dal principale ricercatore di sicurezza di Microsoft Jonathan Bar Or, il difetto di sicurezza (soprannominato Achilles) è ora tracciato come CVE-2022-42821.

Apple ha risolto il bug in macOS 13 (Ventura), macOS 12.6.2 (Monterey) e macOS 1.7.2 (Big Sur) una settimana fa, il 13 dicembre.

Bypass del gatekeeper tramite ACL restrittivi

Gatekeeper è una funzionalità di sicurezza di macOS che controlla automaticamente tutte le app scaricate da Internet se sono autenticate e firmate dallo sviluppatore (approvate da Apple), chiedendo all'utente di confermare prima dell'avvio o emettendo un avviso che l'app non può essere considerata attendibile.

Ciò si ottiene controllando un attributo esteso denominato com.apple.quarantine che viene assegnato dai browser Web a tutti i file scaricati, in modo simile a Mark of the Web in Windows.

Il difetto di Achilles consente a payload appositamente predisposti di abusare di un problema logico per impostare autorizzazioni ACL (Access Control List) restrittive che impediscono ai browser Web e ai downloader Internet di impostare l'attributo com.apple.quarantine per scaricare il payload archiviato come file ZIP.

Di conseguenza, l'app dannosa contenuta in un payload archiviato viene avviata sul sistema del bersaglio invece di essere bloccata da Gatekeeper, consentendo agli aggressori di scaricare e distribuire malware.

Microsoft ha dichiarato lunedì che "la modalità di blocco di Apple, introdotta in macOS Ventura come funzione di protezione opzionale per gli utenti ad alto rischio che potrebbero essere presi di mira personalmente da un sofisticato attacco informatico, ha lo scopo di fermare gli exploit di esecuzione di codice remoto senza clic, e quindi non difendersi da Achille".

"Gli utenti finali dovrebbero applicare la correzione indipendentemente dal loro stato di modalità di blocco", ha aggiunto il team di Microsoft Security Threat Intelligence.

Altri bypass di sicurezza e malware di macOS

Questo è solo uno dei molteplici bypass di Gatekeeper trovati negli ultimi anni, con molti di essi sfruttati in natura dagli aggressori per aggirare i meccanismi di sicurezza di macOS come Gatekeeper, File Quarantine e System Integrity Protection (SIP) su Mac con patch complete.

Ad esempio, Bar Or ha segnalato una falla di sicurezza denominata Shrootless nel 2021 che può consentire agli attori delle minacce di aggirare System Integrity Protection (SIP) per eseguire operazioni arbitrarie sul Mac compromesso, elevare i privilegi di root e persino installare rootkit su dispositivi vulnerabili.

Il ricercatore ha anche scoperto powerdir, un bug che consente agli aggressori di aggirare la tecnologia Transparency, Consent, and Control (TCC) per accedere ai dati protetti degli utenti.

Ha anche rilasciato codice exploit per una vulnerabilità macOS (CVE-2022-26706) che potrebbe aiutare gli aggressori a bypassare le restrizioni sandbox per eseguire codice sul sistema.

Ultimo ma non meno importante, Apple ha corretto una vulnerabilità macOS zero-day nell'aprile 2021 che ha consentito agli attori delle minacce dietro il famigerato malware Shlayer di eludere i controlli di sicurezza di File Quarantine, Gatekeeper e Notarization di Apple e scaricare più malware sui Mac infetti.

I creatori di Shlayer erano anche riusciti a ottenere i loro payload attraverso il processo di notarile automatizzato di Apple e hanno utilizzato una tecnica vecchia di anni per aumentare i privilegi e disabilitare Gatekeeper di macOS per eseguire payload non firmati.

https://www.bleepingcomputer.com/news/security/microsoft-finds-macos-bug-that-lets-malware-bypass-security-checks/

La campagna di frode pubblicitaria di Google ha utilizzato contenuti per adulti per guadagnare milioni

Angelo Domeneghini — Thu, 22 Dec 2022 14:09:00 GMT

La campagna di frode pubblicitaria di Google ha utilizzato contenuti per adulti per guadagnare milioni

Si stima che una massiccia campagna di frode pubblicitaria utilizzando Google Ads e "popunder" su siti per adulti abbia generato milioni di impressioni pubblicitarie su articoli rubati, facendo guadagnare ai truffatori circa $ 275.000 al mese.

La campagna è stata scoperta da Malwarebytes, che l'ha segnalata a Google e l'ha rimossa per aver violato le norme che vietano gli annunci Google su siti per adulti.

Sebbene l'operatore della campagna sia sconosciuto, le prove raccolte da Malwarebytes suggeriscono che l'attore sia probabilmente di origine russa.

Il truffatore ha organizzato campagne pubblicitarie su siti per adulti che ricevono un traffico massiccio utilizzando annunci "popunder".

Questi annunci sono incredibilmente economici e si aprono come "pop-up" dietro la finestra del browser aperta, quindi l'utente non li vedrà fino a quando non chiudono o spostano la finestra principale del browser.

In genere, i "popunder" vengono utilizzati da servizi di appuntamenti online, webcam per adulti e altri portali di contenuti per adulti.

In questo caso, il truffatore crea portali di notizie dall'aspetto legittimo con contenuti prelevati da altri siti, che vengono utilizzati come pubblicità "popunder".

Tuttavia, invece di mostrare il contenuto della pagina, sovrappongono un iframe che promuove un sito per adulti "TXXX".

Per generare entrate pubblicitarie da questi popunder, gli attori incorporano anche un annuncio Google nella parte inferiore della pagina, violando le norme pubblicitarie di Google, come mostrato di seguito.

La sovrapposizione è ottenuta da un iframe costruito dinamicamente che utilizza un pesante offuscamento del codice per eludere l'analisi automatica da parte dei robot di rilevamento delle frodi di Google. L'iframe punta a txxx.tube, un sito di contenuti per adulti legittimo, che utilizza per importare contenuti per adulti.

"Una volta che un utente mette a fuoco la scheda (era un popunder), improvvisamente la rotazione della pagina si interrompe e ciò che l'utente vede è quello che sembra un altro sito Web per adulti (l'iframe)", spiega Malwarebytes.

"Un clic in un punto qualsiasi della pagina (l'utente potrebbe voler selezionare una delle miniature e guardare un video specifico) attiva invece un vero clic su un annuncio Google."

Gli articoli caricati in background (sotto l'iframe dei contenuti per adulti) vengono rubati da siti legittimi, principalmente tutorial, articoli e guide.

Queste pagine contenevano in media cinque Google Ads, a volte includendo anche annunci video che generano entrate più consistenti.

Il truffatore imposta il contenuto di sfondo in modo che si aggiorni con un nuovo articolo e una nuova serie di annunci ogni nove secondi, quindi se la pagina rimane aperta per un paio di minuti, vengono generate più impressioni pubblicitarie fraudolente.

Analoghe metriche web riportano che la pagina fraudolenta genera circa 300.000 visite al mese con una durata media di 7 minuti e 45 secondi.

Sulla base di ciò, Malwarebytes ha stimato che le impressioni dell'annuncio siano di 76 milioni al mese e le entrate di $ 276.000 al mese (basate su un CPM di $ 3,50).

Questo numero è una stima per il sito specifico e, come spiega Malwarebytes, probabilmente ce ne sono di più.

https://www.bleepingcomputer.com/news/security/google-ad-fraud-campaign-used-adult-content-to-make-millions/

Kena Dati Promo 300GB 11,99€/mese anziché 13,99€

Angelo Domeneghini — Mon, 19 Dec 2022 14:45:00 GMT

Offerta solo Dati, 300GB di internet 4G

(inclusi 13GB in 4G per navigare in Europa) a 11,99€ al mese.

Offerta soggetta a uso lecito e corretto della SIM.

L’Offerta offre chiamate senza scatto alla risposta e Giga 4G a scatti anticipati di 1 KB con una velocità in download fino a 60 Mbps e in upload fino a 30 Mbps sul territorio nazionale.

All’Estero la velocità di connessione è in 4G e dipende dalla Rete dell’Operatore con i quali TIM ha stretto accordi di Roaming. Per visualizzare gli accordi 4G clicca qui.

L’Offerta è sottoscrivibile solo per chi attiva un nuovo numero Kena Mobile.

COSTI

L’Offerta ha un Costo di 11,99€ ogni mese e si rinnova automaticamente nello stesso giorno in cui è stata attivata se il Credito Residuo della SIM è sufficiente.

Per questa Offerta non è previsto né il Contributo di Attivazione né il Costo per la SIM.

Per la Tariffazione dei Dati, in caso di superamento della soglia mensile, si applicano le Condizioni previste dal Piano Base Kena, a meno di Opzioni aggiuntive attive sulla linea.

Google introduce la crittografia end-to-end per Gmail sul Web

Angelo Domeneghini — Mon, 19 Dec 2022 14:11:00 GMT

Google introduce la crittografia end-to-end per Gmail sul Web

GMail

Google ha annunciato venerdì che aggiungerà la crittografia end-to-end (E2EE) a Gmail sul Web, consentendo agli utenti registrati di Google Workspace di inviare e ricevere e-mail crittografate all'interno e all'esterno del proprio dominio.

La crittografia lato client (come Google chiama E2EE) era già disponibile per gli utenti di Google Drive, Documenti, Fogli, Presentazioni Google, Google Meet e Google Calendar (beta).

Una volta abilitata, la crittografia lato client di Gmail garantirà che tutti i dati sensibili forniti come parte del corpo e degli allegati dell'e-mail (comprese le immagini in linea) non possano essere decifrati dai server di Google: l'intestazione dell'e-mail (inclusi oggetto, timestamp ed elenchi di destinatari) verrà non essere crittografato.

"Puoi utilizzare le tue chiavi di crittografia per crittografare i dati della tua organizzazione, oltre a utilizzare la crittografia predefinita fornita da Google Workspace", ha spiegato Google sul suo sito Web di supporto.

"Con la crittografia lato client (CSE) di Google Workspace, la crittografia dei contenuti viene gestita nel browser del client prima che i dati vengano trasmessi o archiviati nell'archivio basato su cloud di Drive.

"In questo modo, i server di Google non possono accedere alle tue chiavi di crittografia e decrittografare i tuoi dati. Dopo aver configurato CSE, puoi scegliere quali utenti possono creare contenuti crittografati lato client e condividerli internamente o esternamente."

Gmail E2EE beta è attualmente disponibile per i clienti Google Workspace Enterprise Plus, Education Plus ed Education Standard.

Possono richiedere la versione beta fino al 20 gennaio 2023, inviando la loro applicazione di test beta CSE di Gmail che dovrebbe includere l'indirizzo email, l'ID progetto e il dominio del gruppo di test.

La società afferma che la funzione non è ancora disponibile per gli utenti con account Google personali o Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Education Fundamentals, Frontline e Nonprofits, nonché per i clienti legacy di G Suite Basic e Business .

Dopo che Google ha inviato un'email di conferma che l'account è pronto, gli amministratori possono configurare il motore di ricerca personalizzato di Gmail per i propri utenti eseguendo la seguente procedura per impostare il loro ambiente, preparare i certificati S/MIME per ciascun utente nel gruppo di test e configurare la chiave fornitore di servizi e identità.

La funzione è disattivata per impostazione predefinita e può essere abilitata a livello di dominio, unità organizzativa e gruppo accedendo a Console di amministrazione > Sicurezza > Controllo degli accessi e dei dati > Crittografia lato client.

Una volta abilitato, puoi attivare E2EE per qualsiasi messaggio facendo clic sull'icona del lucchetto accanto al campo Destinatari e facendo clic su "Attiva" sotto l'opzione "Crittografia aggiuntiva".

Gli utenti potranno quindi comporre i propri messaggi Gmail e aggiungere allegati email come farebbero normalmente.

"Google Workspace utilizza già i più recenti standard crittografici per crittografare tutti i dati a riposo e in transito tra le nostre strutture", ha aggiunto Google.

"La crittografia lato client aiuta a rafforzare la riservatezza dei tuoi dati, contribuendo nel contempo a soddisfare un'ampia gamma di esigenze di sovranità e conformità dei dati".

https://www.bleepingcomputer.com/news/security/google-introduces-end-to-end-encryption-for-gmail-on-the-web/

Creare caratteri speciali con la tastiera il simbolo diesis, chiocciola, tilde, copyright e maiuscole accentate

Angelo Domeneghini — Mon, 19 Dec 2022 13:58:00 GMT

Se usi spesso un carattere speciale,

ed ogni tanto la tastiera si disabilita,

potrebbe esserti utile conoscere i comandi rapidi associati a tale carattere.

Ad esempio per scrivere il simbolo chiocciola (@),

- premi la seguente combinazione di tasti:

ALT + 064 .

Ovvero,

- tieni premuto il tasto ALT

- premi il tasto 0 e rilascialo

- premi il tasto 6 e rilascialo

- premi il tasto 4 e rilascialo

- rilascia il tasto ALT.

Per digitare il simbolo diesis o cancelletto (#),

- premi la combinazione di tasti ALT + 035

Per digitare il simbolo tilde (~),

- premi la combinazione di tasti ALT + 0126

Per digitare il simbolo parentesi grafa aperta ({),

- premi la combinazione di tasti ALT + 0123

Per digitare il simbolo parentesi grafa chiusa (}),

- premi la combinazione di tasti ALT + 0125

Per digitare il simbolo copyright (©),

- premi la combinazione di tasti ALT + 0169

Per digitare la lettera A maiuscola accentata (À),

- premi la combinazione di tasti ALT + 0192

E così via!

In alcuni casi è possibile omettere lo zero iniziale.

Di seguito un elenco di tutte le combinazioni di tasti per l'inserimento delle lettere maiuscole accentate e di altri simboli.

Usa la barra di scorrimento verticale, per visualizzare tutta la tabella

caratteri-ascii

Microsoft: gli aggiornamenti di dicembre di Windows Server interrompono la creazione di macchine virtuali Hyper-V

Angelo Domeneghini — Mon, 19 Dec 2022 13:50:00 GMT

Microsoft: gli aggiornamenti di dicembre di Windows Server interrompono la creazione di macchine virtuali Hyper-V

Server Windows

Microsoft afferma che gli aggiornamenti di Windows Server rilasciati durante il Patch Tuesday di dicembre attiveranno errori durante la creazione di nuove macchine virtuali su alcuni host Hyper-V.

Il problema noto riguarda solo host Windows Server/AzStack HCI in ambienti abilitati per SDN gestiti tramite System Center Virtual Machine Manager (SCVMM).

"Potresti ricevere un errore sui flussi di lavoro che comportano la creazione di una nuova scheda di rete (chiamata anche scheda di interfaccia di rete o NIC) unita a una rete VM o una nuova macchina virtuale (VM) con una scheda di rete unita a una rete VM", spiega Microsoft. .

"Le macchine virtuali esistenti con schede di rete esistenti non dovrebbero avere problemi di connessione dopo l'installazione di questo aggiornamento, sono interessate solo le nuove schede di rete create dopo l'installazione di questo aggiornamento."

Sui sistemi interessati, gli amministratori di Windows visualizzeranno uno dei seguenti errori:

La creazione della nuova VM non riesce: la creazione di una nuova VM con la scheda di rete non riesce.

SLB Load Balancer o SDN RAS Gateway non riesce con un errore "EthernetConnection".

Collegamento vNIC non riuscito: collegamento di una scheda di rete a una VM esistente.

Messaggio di avviso durante la migrazione in tempo reale: la migrazione in tempo reale delle macchine virtuali non a disponibilità elevata viene completata con un messaggio di avviso "EthernetConnection".

Microsoft ha aggiunto che solo Windows Server 2019 e Windows Server 2022 dovrebbero essere interessati dall'installazione degli aggiornamenti Patch Tuesday di questo mese (KB5021237 e KB5021249).

Soluzione alternativa disponibile

Microsoft ha anche fornito agli amministratori delle distribuzioni SCVMM basate su SDN interessate una soluzione alternativa per questo problema appena riconosciuto.

Richiede l'esecuzione del seguente set di comandi su tutti gli host Hyper-V gestiti da SCVMM da una finestra di PowerShell con privilegi elevati (immediatamente dopo l'installazione degli aggiornamenti KB5021237 e KB5021249):

$lang = (Get-WinSystemLocale).Nome

C:\Windows\system32\wbem\mofcomp.exe C:\Windows\system32\wbem\$lang\VfpExt.mfl

C:\Windows\system32\wbem\mofcomp.exe C:\Windows\system32\wbem\VfpExt.mof

Gli amministratori possono anche eseguire questa operazione dopo aver installato gli aggiornamenti utilizzando uno script dedicato per la distribuzione in blocco della soluzione alternativa sul server di gestione SCVMM se il numero di host interessati è troppo grande e l'esecuzione manuale dei comandi richiederebbe troppo tempo.

Microsoft fornisce anche uno script post-installazione che può essere utilizzato con gli strumenti di patch durante la distribuzione degli aggiornamenti KB5021237 e KB5021249.

Puoi trovare i due script per i deployment su larga scala e ulteriori dettagli sull'applicazione della soluzione alternativa in questo articolo di assistenza.

Redmond ha affermato che ora sta lavorando a una soluzione per il problema noto e fornirà un aggiornamento con una versione futura.

https://www.bleepingcomputer.com/news/microsoft/microsoft-december-windows-server-updates-break-hyper-v-vm-creation/

Adobe rilascia aggiornamenti per sanare diverse vulnerabilità

Angelo Domeneghini — Thu, 15 Dec 2022 14:31:00 GMT

Adobe rilascia aggiornamenti per sanare diverse vulnerabilità

Sintesi

Adobe ha rilasciato aggiornamenti di sicurezza per risolvere vulnerabilità nei prodotti Illustrator,

Campaign Classic e Experience Manager.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (63,84/100)1.

Tipologia

Privilege Escalation

Prodotti e versioni affette

Adobe

Illustrator

Campaign Classic

Experience Manager

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza disponibili ai link riportati nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2022-42343

https://www.csirt.gov.it/contenuti/adobe-rilascia-aggiornamenti-per-sanare-diverse-vulnerabilita-al01-221215-csirt-ita

Google rilascia uno strumento di sviluppo per elencare le vulnerabilità

Angelo Domeneghini — Wed, 14 Dec 2022 11:21:00 GMT

Google ha lanciato OSV Scanner, un nuovo strumento che consente agli sviluppatori di cercare vulnerabilità nelle dipendenze software open source utilizzate nel loro progetto.

[image:image-0]

Lo scanner estrae i dati da OSV.dev, il database delle vulnerabilità distribuito per il codice open source che Google ha rilasciato nel febbraio 2021, per offrire informazioni pertinenti sui problemi di sicurezza noti che interessano il codice open source.

Problemi con il codice open source

Gli sviluppatori di software open source in genere si affidano nei loro progetti a una serie di strumenti, librerie e componenti già disponibili, il che in genere porta a uno sviluppo più rapido di soluzioni più complesse.

Questi elementi costitutivi sono spesso cruciali per la funzionalità di base di un programma, fornendogli capacità specializzate che altrimenti dovrebbero essere scritte da zero.

Come qualsiasi codice, questi componenti open source non sono impermeabili alle vulnerabilità della sicurezza. Quando vengono incorporati in altri progetti software, anche questi difetti si trasmettono.

Per i programmi di grandi dimensioni che utilizzano molte dipendenze, tenere traccia dei problemi di sicurezza che sorgono con ogni build e valutare il potenziale impatto sul programma stesso diventa un'attività complessa.

Se si considera che molte di queste dipendenze hanno dipendenze proprie, il numero di pacchetti che devono essere valutati dal punto di vista della sicurezza rende il rilevamento delle vulnerabilità un'impresa difficile.

Scanner OSV

È qui che entra in gioco il nuovo scanner OSV di Google, che abbina automaticamente il codice in tutte le dipendenze per un determinato progetto software, comprese le dipendenze transitive, e notifica agli sviluppatori quando è necessario un aggiornamento della sicurezza.

"L'OSV-Scanner genera informazioni sulle vulnerabilità affidabili e di alta qualità che colmano il divario tra l'elenco di pacchetti di uno sviluppatore e le informazioni nei database delle vulnerabilità", si legge nell'annuncio.

Lo scanner utilizza avvisi distribuiti apertamente da fonti autorevoli e affidabili seguendo lo schema OSV per la valutazione delle vulnerabilità nella versione del pacchetto installato.

Attualmente, il servizio OSV.dev supporta 16 principali ecosistemi di codifica, tra cui Linux Kernel, Android, Debian, Alpine, PyPI, npm, OSS-Fuzz e Maven.

È il più grande database di vulnerabilità open source al mondo, contando 23.000 avvisi solo nel 2022.

Google afferma che il prossimo passo per OSV Scanner è migliorare il supporto delle vulnerabilità C/C++, affrontando un ecosistema software molto impegnativo e integrare azioni CI autonome per consentire una facile pianificazione delle scansioni.

In futuro, OSV Scanner consiglierà anche il bump di versione minimo suggerito che risolve il difetto di sicurezza identificato.

OSV Scanner può essere utilizzato gratuitamente da tutti senza restrizioni ed è disponibile per il download tramite GitHub o il sito Web osv.dev.

https://www.bleepingcomputer.com/news/security/google-releases-dev-tool-to-list-vulnerabilities-in-project-dependencies/

L'aggiornamento di sicurezza di Apple corregge il nuovo zero-day iOS utilizzato per hackerare gli iPhone

Angelo Domeneghini — Wed, 14 Dec 2022 10:42:00 GMT

L'aggiornamento di sicurezza di Apple corregge il nuovo zero-day iOS utilizzato per hackerare gli iPhone

Negli aggiornamenti di sicurezza rilasciati oggi, Apple ha risolto la decima vulnerabilità zero-day dall'inizio dell'anno, con quest'ultima utilizzata attivamente negli attacchi contro gli iPhone.

La vulnerabilità è stata rivelata nei bollettini sulla sicurezza rilasciati oggi per iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 e macOS Ventura 13.1, con Apple che avverte che il difetto "potrebbe essere stato attivamente sfruttato" rispetto alle versioni precedenti.

Il bug (CVE-2022-42856) è un problema di confusione di tipo nel motore di navigazione del browser web Webkit di Apple.

Il difetto è stato scoperto da Clément Lecigne del Threat Analysis Group di Google, che consente a contenuti Web creati in modo dannoso di eseguire l'esecuzione di codice arbitrario su un dispositivo vulnerabile.

L'esecuzione di codice arbitrario potrebbe consentire al sito dannoso di eseguire comandi nel sistema operativo, distribuire malware o spyware aggiuntivi o eseguire altre azioni dannose.

Apple ha affrontato la vulnerabilità zero-day migliorando la gestione dello stato per i seguenti dispositivi iPhone 6s (tutti i modelli), iPhone 7 (tutti i modelli), iPhone SE (1a generazione), iPad Pro (tutti i modelli), iPad Air 2 e versioni successive, iPad 5a generazione e successive, iPad mini 4 e successive e iPod touch (7a generazione).

Applica patch ai tuoi iPhone, iPad e macOS Ventura

Sebbene Apple abbia rivelato che gli attori delle minacce hanno sfruttato attivamente la vulnerabilità, non hanno ancora fornito dettagli sugli attacchi.

Tuttavia, poiché la vulnerabilità è stata scoperta da Clément Lecigne del Threat Intelligence Team di Google, probabilmente ne sapremo di più in un futuro post sul blog.

Questo ritardo nella fornitura dei dettagli è comunemente fatto per consentire agli utenti di applicare patch ai propri dispositivi prima che altri attori delle minacce analizzino le correzioni e sviluppino i propri exploit.

Anche se questo difetto zero-day è stato probabilmente utilizzato in attacchi altamente mirati, si consiglia comunque di installare gli aggiornamenti di sicurezza odierni il prima possibile.

Questo è il decimo zero-day fissato da Apple dall'inizio dell'anno:

A ottobre, Apple ha corretto uno zero-day nel kernel iOS (CVE-2022-42827).

A settembre, Apple ha risolto un difetto nel kernel iOS (CVE-2022-32917).

Ad agosto, ha corretto altri due zero-day nel kernel iOS (CVE-2022-32894) e WebKit (CVE-2022-32893)

A marzo, Apple ha applicato due patch zero-day a Intel Graphics Driver (CVE-2022-22674) e AppleAVD (CVE-2022-22675).

A febbraio, Apple ha rilasciato aggiornamenti di sicurezza per risolvere un altro bug zero-day di WebKit sfruttato per colpire iPhone, iPad e Mac.

A gennaio, Apple ha applicato una patch a un'altra coppia di zero-day consentendo l'esecuzione di codice con privilegi del kernel (CVE-2022-22587) e il monitoraggio dell'attività di navigazione web (CVE-2022-22594).

https://www.bleepingcomputer.com/news/apple/apple-security-update-fixes-new-ios-zero-day-used-to-hack-iphones/

Google unisce i team di Waze e Google Maps

Angelo Domeneghini — Tue, 13 Dec 2022 09:46:00 GMT

Google unisce i team di Waze e Google Maps

Il gigante del web sta unendo le proprie risorse per ridurre i costi.

Gli sviluppatori dell'app Waze (a destra) si uniscono alla divisione Google Geo, che include Google Maps.

La popolare app di navigazione GPS collaborativa Waze scomparirà?

La domanda potrebbe sorgere in vista dell'annuncio della fusione di Google.

Da questo venerdì 9 dicembre gli oltre 500 dipendenti del servizio di mapping acquisito da Google nel 2013 per 1 miliardo di dollari dipenderanno infatti dalla divisione Google Geo. Quest'ultimo sovrintende allo sviluppo dei servizi Google Maps, Google Earth e Street View. L'attuale capo di Waze Neha Parikh si dimetterà a seguito di questa riorganizzazione. Questo rientra nella volontà di ridurre i costi e consolidare le operazioni, riporta il “Wall Street Journal”.

Tuttavia, Google ha assicurato al quotidiano americano che Waze, che ha 151 milioni di utenti attivi mensilmente in tutto il mondo, continuerà ad esistere come app standalone. La società precisa inoltre che non prevede licenziamenti a seguito di tale fusione. "Integrando il team Waze nel portafoglio di Geo di prodotti di mappatura del mondo reale, i team beneficeranno di una maggiore collaborazione tecnica", ha affermato un portavoce. Questa fusione di risorse dovrebbe in particolare consentire di ridurre le sovrapposizioni durante lo sviluppo delle mappe, ha ulteriormente indicato il colosso di Mountain View.

https://www.20min.ch/fr/story/google-fusionne-les-equipes-de-waze-et-google-maps-164425937931

Il nuovo malware Python esegue backdoor sui server VMware ESXi per l'accesso remoto

Angelo Domeneghini — Tue, 13 Dec 2022 09:39:00 GMT

Il nuovo malware Python esegue backdoor sui server VMware ESXi per l'accesso remoto

È stata individuata una backdoor Python precedentemente non documentata destinata ai server VMware ESXi, che consente agli hacker di eseguire comandi in remoto su un sistema compromesso.

VMware ESXi è una piattaforma di virtualizzazione comunemente utilizzata in azienda per ospitare numerosi server su un dispositivo utilizzando le risorse di CPU e memoria in modo più efficace.

La nuova backdoor è stata scoperta dai ricercatori di Juniper Networks, che hanno trovato la backdoor su un server VMware ESXi. Tuttavia, non sono stati in grado di determinare in che modo il server è stato compromesso a causa della conservazione limitata dei registri.

Ritengono che il server possa essere stato compromesso utilizzando le vulnerabilità CVE-2019-5544 e CVE-2020-3992 nel servizio OpenSLP di ESXi.

Sebbene il malware sia tecnicamente in grado di prendere di mira anche i sistemi Linux e Unix, gli analisti di Juniper hanno riscontrato molteplici indicazioni che è stato progettato per attacchi contro ESXi.

Operazione backdoor

La nuova backdoor python aggiunge sette righe all'interno di "/etc/rc.local.d/local.sh", uno dei pochi file ESXi che sopravvivono tra i riavvii e viene eseguito all'avvio.

Di solito, quel file è vuoto, a parte alcuni commenti di avviso e una dichiarazione di uscita.

Una di queste righe avvia uno script Python salvato come "/store/packages/vmtools.py" in una directory che memorizza immagini disco VM, registri e altro.

Il nome e la posizione dello script fanno credere a Juniper Networks che gli operatori di malware intendano prendere di mira specificamente i server VMware ESXi.

"Sebbene lo script Python utilizzato in questo attacco sia multipiattaforma e possa essere utilizzato con poche o nessuna modifica su Linux o altri sistemi simili a UNIX, ci sono diverse indicazioni che questo attacco è stato progettato specificamente per prendere di mira ESXi", spiega Juniper Networks. rapporto.

"Il nome del file e la sua posizione, /store/packages/vmtools.py, sono stati scelti per destare pochi sospetti su un host di virtualizzazione."

"Il file inizia con un copyright VMware coerente con esempi pubblicamente disponibili ed è preso carattere per carattere da un file Python esistente fornito da VMware."

Questo script avvia un server Web che accetta richieste POST protette da password dagli attori delle minacce remote. Queste richieste possono trasportare un payload di comando codificato in base 64 o avviare una shell inversa sull'host.

La shell inversa fa sì che il server compromesso avvii la connessione con l'autore della minaccia, una tecnica che spesso aiuta a bypassare le restrizioni del firewall o aggira la connettività di rete limitata.

Una delle azioni degli attori delle minacce osservate dagli analisti di Juniper è stata quella di modificare la configurazione del proxy HTTP inverso di ESXi per consentire l'accesso remoto per comunicare con il server Web installato.

Poiché anche il file utilizzato per impostare questa nuova configurazione, "/etc/vmware/rhttpproxy/endpoints.conf", viene sottoposto a backup e ripristinato dopo il riavvio, qualsiasi modifica su di esso è persistente.

Mitigare

Per determinare se questa backdoor ha avuto un impatto sui tuoi server ESXi, controlla l'esistenza dei file sopra menzionati e le righe aggiuntive nel file "local.sh".

Tutti i file di configurazione che persistono durante i riavvii devono essere esaminati alla ricerca di modifiche sospette e riportati alle impostazioni corrette.

Infine, gli amministratori dovrebbero limitare tutte le connessioni di rete in entrata a host attendibili e gli aggiornamenti di sicurezza disponibili che risolvono gli exploit utilizzati per la compromissione iniziale dovrebbero essere applicati il prima possibile.

https://www.bleepingcomputer.com/news/security/new-python-malware-backdoors-vmware-esxi-servers-for-remote-access/

La suite Zero Trust di Cloudflare è ora disponibile gratuitamente per i gruppi a rischio

Angelo Domeneghini — Mon, 12 Dec 2022 16:59:00 GMT

La suite Zero Trust di Cloudflare è ora disponibile gratuitamente per i gruppi a rischio

Cloudflare ha reso la sua suite di sicurezza "Cloudflare One Zero Trust" gratuita per gruppi di interesse pubblico, siti elettorali e organizzazioni statali che attualmente fanno parte del Progetto Galileo e del Progetto Ateniese.

Attraverso Project Galileo e Athenian Project, Cloudflare fornisce servizi di sicurezza informatica gratuiti a livello aziendale a giornalisti, attivisti, organizzazioni umanitarie, gruppi minoritari e servizi elettorali statali e locali.

Oggi, Cloudflare ha annunciato che stanno migliorando entrambe queste offerte fornendo l'accesso gratuito al suo prodotto di sicurezza Cloudflare One Zero Trust.

"Cloudflare è l'unico fornitore di sicurezza che garantisce che Zero Trust sia accessibile a coloro che ne hanno più bisogno: i gruppi vulnerabili nella nostra società, i giornalisti e le organizzazioni non profit, nonché i siti che garantiscono elezioni affidabili, libere ed eque negli Stati Uniti Uniti", ha dichiarato il co-fondatore e CEO di Cloudflare, Matthew Prince.

"Queste organizzazioni affrontano minacce costanti e devono essere al sicuro online per portare a termine le loro missioni, e ora avranno accesso alla stessa architettura di sicurezza utilizzata dalle aziende Fortune 1000".

Considerando che il lavoro a distanza è diventato uno standard nell'era post-COVID, le organizzazioni ad alto rischio devono disporre di un modo per convalidare le proprie connessioni e imporre controlli rigorosi sull'accessibilità delle risorse.

Cosa fa la piattaforma Zero Trust

La piattaforma Zero Trust, attualmente utilizzata da 10.000 organizzazioni in tutto il mondo, è una soluzione completa e sicura per la gestione dell'accesso a Internet.

La piattaforma implementa la strategia di sicurezza informatica di "zero trust", ovvero smettere di fidarsi incondizionatamente degli utenti che hanno effettuato l'accesso e convalidare continuamente ogni fase delle interazioni digitali su reti protette.

La soluzione si pone tra i dipendenti/utenti remoti e le risorse dell'organizzazione (su cloud o on-premise) per monitorare tutto il traffico e garantire che sia autorizzato per ogni persona e dispositivo.

Schema funzionale Zero Trust

Implementando vari punti di ispezione, la piattaforma verifica che nessun utente non autorizzato abbia accesso alle risorse di un'organizzazione, quindi anche se un hacker riesce a infiltrarsi nella rete, non sarà in grado di agire liberamente poiché non è intrinsecamente affidabile.

Inoltre, la piattaforma Zero Trust di Cloudflare supporta il filtraggio DNS e l'ispezione e l'isolamento HTTP, quindi molti casi di minacce di phishing e malware vengono rilevati e filtrati prima che raggiungano gli utenti o gli endpoint.

Infine, la piattaforma può sostituire o potenziare le soluzioni VPN esistenti implementando controlli di accesso con privilegi personalizzati, limitando connessioni e caricamenti al di fuori di una serie di destinazioni approvate.

I tre punti principali che Cloudflare evidenzia nel suo annuncio sono:

Protezione automatica contro gli attacchi di phishing, bloccando tutte le minacce prima che raggiungano le caselle di posta degli utenti.

Stretto controllo sull'accesso alle risorse e alle app per dipendenti, partner e volontari.

Accesso sicuro a Internet anche quando si utilizzano connessioni WiFi non affidabili.

"Zero Trust è diventato uno standard per le grandi aziende, ma finora ha escluso le organizzazioni più piccole a causa di team IT più piccoli, budget limitati e mancanza di risorse", si legge nell'annuncio di Cloudflare.

"Queste organizzazioni non dispongono del budget e delle competenze di sicurezza necessarie per contrastare attacchi sofisticati. L'architettura di sicurezza avanzata era precedentemente fuori portata, ma necessaria per proteggere i propri dipendenti e membri e promuovere le loro missioni". - Nubeflare.

Se la tua organizzazione corrisponde a quel profilo, puoi richiedere di entrare a far parte del Progetto Galileo o del Progetto Ateniese e ottenere l'accesso gratuito alla piattaforma Zero Trust di Cloudflare e al servizio anti-DDoS.

https://www.bleepingcomputer.com/news/security/cloudflares-zero-trust-suite-now-available-for-free-to-at-risk-groups/

Mobile: scansiona oggetti in 3D tramite l'app del creatore di "Fortnite"

Angelo Domeneghini — Tue, 06 Dec 2022 10:44:00 GMT

Mobile: scansiona oggetti in 3D tramite l'app del creatore di "Fortnite"

L'azienda Epic Games ha reso disponibile nell'App Store per iPhone e iPad lo strumento gratuito RealityScan.

L'app RealityScan indica in tempo reale quali parti dell'oggetto devono essere nuovamente fotografate per migliorare il rendering.

Dopo una fase di beta test, Epic Games ha annunciato che la sua app RealityScan è ora disponibile sull'app store mobile di Apple. Accessibile gratuitamente, questo strumento dell'azienda dietro "Fortnite" e il motore di rendering dei videogiochi Unreal Engine consente ai creatori di trasformare gli oggetti nel loro ambiente in modelli 3D. Questi possono quindi essere utilizzati nei videogiochi o in altri progetti di realtà virtuale o realtà aumentata.

In pratica, una volta avviata l'applicazione, richiede un account Epic Games: basta scattare almeno 20 foto dell'oggetto da tutte le angolazioni, con un iPhone o iPad. Una volta che l'oggetto è stato scansionato, l'app elabora e assembla il modello nel cloud. È quindi in grado di esportare il modello in alta risoluzione sulla piattaforma Sketchfab, dove è possibile ospitare, condividere e vendere contenuti 3D, VR e AR.

Questa applicazione nasce dall'acquisizione da parte di Epic Games, nel 2021, di Capturing Reality, la società dietro il software di fotogrammetria per le scansioni RealityCapture 3D. Epic Games prevede di rendere la sua app compatibile con Android il prossimo anno.

https://www.20min.ch/fr/story/scanner-des-objets-en-3d-via-lapp-du-createur-de-fortnite-368735248376

Web: una funzione nascosta di Chrome lo rende più efficiente dal punto di vista energetico

Angelo Domeneghini — Tue, 06 Dec 2022 10:40:00 GMT

Web: una funzione nascosta di Chrome lo rende più efficiente dal punto di vista energetico

Con l'ultima versione 108 del browser Web di Google, è possibile attivare un'opzione di risparmio energetico per prolungare la durata della batteria di un laptop.

Google ha distribuito la nuova versione 108 di Chrome che, oltre a correggere varie vulnerabilità di sicurezza, introduce diverse nuove funzionalità. Uno di questi rende il browser Web più efficiente dal punto di vista energetico. Un'opzione particolarmente utile per i laptop quando devono rimanere scollegati durante un lungo viaggio, ad esempio in treno o in aereo.

Nascosta, questa nuova funzionalità deve essere prima attivata affinché appaia nelle impostazioni del software di navigazione. Per fare ciò, digita chrome://flags/#battery-saver-mode-available nella barra degli indirizzi per andare alla pagina delle funzionalità sperimentali che Google ti consente di testare. Quindi, modificare la riga "Abilita la funzione modalità risparmio batteria nelle impostazioni", evidenziata in giallo, dal suo stato "Predefinito" a quello di "Abilitato".

A questo punto, Chrome richiede all'utente di riavviare il browser web. Ad operazione compiuta basta recarsi in Impostazioni, dal tasto menu (tre pallini verticali in alto a destra) per vedere visualizzata la nuova impostazione “Performance”. L'utente ha quindi a disposizione due opzioni di risparmio energetico: attivarlo solo quando il livello della batteria è inferiore o uguale al 20%, oppure attivarlo non appena il computer viene scollegato. In pratica, l'opzione limita l'attività in background e gli effetti visivi, come lo scorrimento fluido e la frequenza dei fotogrammi video, afferma Google. Quindi potrebbe avere effetti sulla visualizzazione del video o sulle prestazioni del gioco.

Ti ricordiamo che per verificare la versione corrente del browser installato sul tuo computer e recuperare quella più recente, ti basta accedere al menu Aiuto > Informazioni su Google Chrome, sempre dal pulsante menu, in alto a destra nella finestra del browser.

https://www.20min.ch/fr/story/une-fonction-cachee-de-chrome-le-rend-moins-energivore-469581326172

La CISA ordina alle agenzie di correggere il bug sfruttato di Google Chrome entro il 26 dicembre

Angelo Domeneghini — Tue, 06 Dec 2022 10:35:00 GMT

La CISA ordina alle agenzie di correggere il bug sfruttato di Google Chrome entro il 26 dicembre

CISA

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto un'altra vulnerabilità di sicurezza al suo elenco di bug noti per essere sfruttati negli attacchi.

Il difetto (tracciato come CVE-2022-4262) è stato corretto venerdì come bug zero-day sfruttato attivamente nel browser Web Google Chrome per utenti Windows, Mac e Linux.

In un avviso di sicurezza pubblicato poco prima del fine settimana, Google ha affermato di "essere a conoscenza di segnalazioni secondo cui esiste un exploit per CVE-2022-4262".

Questo è il nono Chrome zero-day sfruttato in natura che Google ha patchato dall'inizio dell'anno.

Il bug è causato da una debolezza della confusione di tipo ad alta gravità nel motore JavaScript Chromium V8 segnalato da Clement Lecigne del Threat Analysis Group di Google.

Sebbene i difetti di confusione del tipo in genere portino a arresti anomali del browser in seguito a uno sfruttamento riuscito leggendo o scrivendo la memoria fuori dai limiti del buffer, gli aggressori possono anche sfruttarli per l'esecuzione di codice arbitrario.

Sebbene la società abbia affermato di aver rilevato attacchi che sfruttano questo zero-day, deve ancora condividere dettagli tecnici o informazioni riguardanti questi incidenti che potrebbero consentire l'implementazione dell'aggiornamento di sicurezza su tutti i sistemi interessati e fornire agli utenti tempo sufficiente per aggiornare i propri browser prima che altro gli aggressori sviluppano i propri exploit CVE-2022-4262.

Alle agenzie federali è stato ordinato di rattoppare entro le prossime tre settimane

Secondo una direttiva operativa vincolante del novembre 2021 (BOD 22-01), tutte le agenzie delle agenzie del ramo esecutivo civile federale (FCEB) ora devono correggere i propri sistemi contro questo bug secondo la tempistica fornita dalla CISA.

Sono state concesse tre settimane, fino al 26 dicembre, per applicare patch a tutte le installazioni di Chrome vulnerabili sui loro sistemi per garantire che i tentativi di sfruttamento in corso venissero bloccati.

Anche se la direttiva BOD 22-01 si applica solo alle agenzie FCEB degli Stati Uniti, l'agenzia per la sicurezza informatica del DHS ha anche fortemente esortato tutte le organizzazioni statunitensi del settore privato e pubblico a dare la priorità alla correzione di questo bug sfruttato attivamente.

Prendere a cuore questo consiglio aiuterebbe a ridurre la superficie di attacco che gli attori delle minacce possono sfruttare nei tentativi di violare le reti delle agenzie.

"Questi tipi di vulnerabilità sono un vettore di attacco frequente per attori informatici malintenzionati di tutti i tipi e rappresentano un rischio significativo per l'impresa federale", ha spiegato l'agenzia per la sicurezza informatica statunitense.

Da quando è stata emessa la direttiva vincolante, CISA ha aggiunto centinaia di bug di sicurezza al suo catalogo di vulnerabilità note sfruttate, ordinando alle agenzie federali statunitensi di correggerli il prima possibile per bloccare potenziali violazioni della sicurezza.

https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-exploited-google-chrome-bug-by-dec-26th/

App malware per Android con 2 milioni di installazioni individuate su Google Play

Angelo Domeneghini — Tue, 06 Dec 2022 10:04:00 GMT

App malware per Android con 2 milioni di installazioni individuate su Google Play

Malware Android

Un nuovo set di app di malware, phishing e adware per Android si è infiltrato nel Google Play Store, inducendo oltre due milioni di persone a installarle.

Le app sono state scoperte dall'antivirus Dr. Web e fingono di essere utili utilità e ottimizzatori di sistema ma, in realtà, sono la fonte di problemi di prestazioni, pubblicità e degrado dell'esperienza utente.

Un'app illustrata da Dr. Web che ha accumulato un milione di download è TubeBox, che rimane disponibile su Google Play al momento della stesura di questo articolo.

TubeBox promette ricompense in denaro per la visione di video e annunci sull'app, ma non mantiene mai le sue promesse, presentando vari errori durante il tentativo di riscattare i premi raccolti.

Anche gli utenti che riescono a completare la fase di prelievo finale non ricevono mai veramente i fondi, poiché i ricercatori affermano che è tutto un trucco per cercare di tenerli sull'app il più a lungo possibile, guardando annunci e generando entrate per gli sviluppatori.

Altre app adware apparse su Google Play nell'ottobre 2022 ma da allora rimosse sono:

.Connessione automatica dispositivo Bluetooth (gruppo bt autoconnect) – 1.000.000 di download

.Driver Bluetooth, Wi-Fi e USB (cose semplici per tutti) – 100.000 download

.Volume, equalizzatore musicale (gruppo bt autoconnect) – 50.000 download

.Fast Cleaner & Cooling Master (Hippo VPN LLC) – 500 download

Le app di cui sopra ricevono comandi da Firebase Cloud Messaging e caricano i siti Web specificati in questi comandi, generando impressioni pubblicitarie fraudolente sui dispositivi infetti.

Nel caso di Fast Cleaner & Cooling Master, che aveva un basso volume di download, gli operatori remoti potevano anche configurare un dispositivo infetto affinché fungesse da server proxy. Questo server proxy consentirebbe agli attori delle minacce di incanalare il proprio traffico attraverso il dispositivo infetto.

Infine, Dr. Web ha scoperto una serie di app di truffa sui prestiti che affermano di avere un rapporto diretto con banche e gruppi di investimento russi, ciascuna con una media di 10.000 download su Google Play.

Queste app sono state promosse tramite malvertizing attraverso altre app, promettendo profitti di investimento garantiti. In realtà, le app portano gli utenti su siti di phishing dove vengono raccolte le loro informazioni personali.

Per proteggerti dalle app fraudolente su Google Play, controlla sempre le recensioni negative, esamina attentamente l'informativa sulla privacy e visita il sito dello sviluppatore per valutarne l'autenticità.

In generale, cerca di mantenere al minimo il numero di app installate sul tuo dispositivo e controlla periodicamente e assicurati che la funzione Play Protect di Google sia attiva.

Aggiornamento 6/12/22 - Un portavoce di Google ha confermato a BleepingComputer che tutte le app presentate in questo rapporto sono state rimosse da Google Play.

https://www.bleepingcomputer.com/news/security/android-malware-apps-with-2-million-installs-spotted-on-google-play/

Windows 11 22H2: risolto il bug della copia dei file

Angelo Domeneghini — Thu, 01 Dec 2022 17:32:00 GMT

Windows 11 22H2: risolto il bug della copia dei file

Microsoft ha finalmente risolto il bug che causava il rallentamento della copia dei file, ma al momento il fix è disponibile solo per gli Insider.

Microsoft ha finalmente risolto il bug che rallentava la copia dei file.

Un dipendente dell’azienda di Redmond (Ned Pyle) ha aggiornato il post originale per comunicare che il fix è stato incluso nella build 25252 rilasciata nel canale Dev del programma Insider. Sarà quindi disponibile a tutti in un futuro aggiornamento cumulativo.

Fix per la copia dei file

Il problema era stato segnalato all’inizio di ottobre dagli utenti che avevano notato un crollo delle prestazioni durante la copia di file di grandi dimensioni attraverso una condivisione di rete.

Sembrava quindi un bug relativo al protocollo SMB usato da Windows 11 22H2.

Il dipendente di Microsoft ha successivamente spiegato che il problema si verifica anche durante la copia locale dei file. Ciò significa che il bug non riguarda il protocollo SMB, ma è più grave perché è presente nel kernel del sistema operativo. Quasi due mesi dopo,

Microsoft ha finalmente trovato la soluzione.

Il fix provvisorio è stato incluso nella build 25252 disponibile nel canale Dev per gli iscritti al programma Insider. Ned Pyle scrive che il fix definitivo verrà incluso in un futuro aggiornamento cumulativo mensile. Non è chiaro però se verrà distribuito il prossimo 13 dicembre.

Fino ad allora, gli utenti possono usare questi comandi per copiare i file:

robocopy \\someserver\someshare c:\somefolder somefile.img /J

oppure

xcopy \\someserver\someshare c:\somefolder /J

Microsoft ha risolto anche altri bug, tra cui quelli relativi alle stampanti e ai giochi, ma un altro bug è stato introdotto con l’aggiornamento opzionale KB5020044 del 29 novembre. Alcuni elementi dell’interfaccia del Task Manager (Gestione attività) hanno colori sballati e non sono leggibili. Al momento l’unica soluzione è scegliere la modalità chiara o scura, invece dei colori personalizzati.

https://www.punto-informatico.it/windows-11-22h2-risolto-bug-copia-file/

AVM ha rilasciato un aggiornamento per il sistema operativo FRITZ!OS.

Angelo Domeneghini — Thu, 01 Dec 2022 17:24:00 GMT

Oltre 150 novità con l'aggiornamento FRITZ!OS 7.50

Mesh con prestazioni migliorate, VPN con WireGuard e molto altro: AVM ha rilasciato un aggiornamento per il sistema operativo FRITZ!OS.

FRITZ!OS 7.50: le novità dell’aggiornamento

Il rollout dell’aggiornamento è graduale: interessa fin da subito il router 7590, poi arriverà anche sul resto della linea FRITZ!Box, su FRITZ!Repeater e su FRITZ!Powerline.

Passiamo in rassegna le migliorie più significative.

Rete Mesh

Aumentano le prestazioni della rete Mesh, sia in termini di velocità nella trasmissione dei dati sia per quanto riguarda la stabilità delle connessioni Wi-Fi. Con l’update, le bande di frequenza 2,4 e 5 GHz vengono impiegate in modo ancora più dinamico.

VPN con WireGuard

Garantito il supporto del protocollo WireGuard per l’utilizzo delle VPN, grazie a un assistente integrato che semplifica notevolmente il processo di impostazione necessario ad attivare connessioni cifrate su smartphone, laptop e computer desktop.

Aggiornato inoltre l’altro protocollo impiegato, IPSec, per la compatibilità con IPv4 e IPv6.

Gestione semplice delle telefonate

Gli utenti con un FRITZ!Fon possono contare su un nuovo calendario degli appuntamenti. Inoltre, il dispositivo impara a parlare, informando a proposito delle chiamate dei contatti memorizzati o sulle voci del calendario.

Rivista anche la gestione delle chiamate indesiderate, attraverso una lista di permessi per bloccarle o deviarle verso la segreteria telefonica.

Nuove opzioni per la smart home

La funzione Scenario permette ora di richiamare contemporaneamente una serie di azioni differenti, ad esempio l’accensione di luci, prese intelligenti, Wi-Fi (anche per gli ospiti) e segreteria telefonica, mediante un’unica routine.

Gestione banda e sicurezza

I FRITZ!Box su connessioni DSL sono ora in grado di distribuire in modo ottimizzato i pacchetti di dati, a tutti i dispositivi agganciati, sia nella rete domestica sia in quella ospite. Passi in avanti anche per l’utilizzo dei supporti di memorizzazione USB, con miglioramenti inerenti alla sicurezza.

Interfaccia ridisegnata

Rinnovata l’interfaccia della dashboard, nel nome della semplicità, con una procedura guidata di configurazione e suggerimenti mirati per eseguire le azioni necessarie.

https://it.avm.de/prodotti/fritzbox/fritzbox-7590-ax/

iCloud su Windows: un bug invia le tue foto a sconosciuti

Angelo Domeneghini — Mon, 28 Nov 2022 10:49:00 GMT

iCloud su Windows: un bug invia le tue foto a sconosciuti

Gli utenti hanno segnalato problemi di privacy con l'app iCloud per Windows rilasciata di recente.

iCloud funziona su Windows con un fastidioso bug.

L'integrazione di iCloud Photos in Windows è molto pratica per connettere il servizio di cloud hosting di Apple alla sua app Foto su PC. Ma molti utenti hanno riferito sui forum di MacRumors di essersi visti scaricare immagini appartenenti ad altre persone quando hanno provato a caricare i propri dati su un dispositivo Windows mentre vedevano le proprie immagini caricate altrove.

Altri utenti sono finiti con video corrotti che riproducevano solo schermate nere con linee. Preoccupa che Microsoft avrebbe fatto bene, avendo reso disponibile questa funzionalità nell'app Foto una settimana prima.

Gli utenti hanno spiegato di essere stati in grado di testare questo bug su tre diversi PC, due su Windows 11 Pro e uno su Windows 10 Pro, dando tutti lo stesso risultato, inviando immagini ai destinatari sbagliati.

Per quanto riguarda i video corrotti, sembra che il colpevole sia l'attivazione di HDR e HDVC durante l'acquisizione di filmati su iPhone 14 o 13 Pro. Poiché la corruzione del video sembra verificarsi durante il download su un computer Windows, i video visualizzati dal sito iCloud non presentano questo problema. Su quest'ultimo punto Apple sarebbe stata contattata, senza dare per il momento una risposta.

Il bug colpisce gli account iCloud in modo casuale, ma rimane riproducibile su PC Windows con OS versione 10 o 11 e non sembra avere soluzioni ovvie.

Anche se il problema dovesse risolversi a breve, potrebbe essere bene disattivare la sincronizzazione di Foto di iCloud recandosi nelle impostazioni dell'applicazione quindi nelle impostazioni dell'identificatore, nella sezione iCloud quindi nel menu Foto in attesa che tutto torni in ordine.

https://www.20min.ch/fr/story/un-bug-envoie-vos-photos-chez-des-inconnus-677803863602

I nuovi aggiornamenti di Windows Server causano il blocco e il riavvio del controller di dominio

Angelo Domeneghini — Mon, 28 Nov 2022 10:43:00 GMT

I nuovi aggiornamenti di Windows Server causano il blocco e il riavvio del controller di dominio

Server Windows

Microsoft sta indagando sulle perdite di memoria LSASS (causate dagli aggiornamenti di Windows Server rilasciati durante il Patch Tuesday di novembre) che potrebbero causare blocchi e riavvii su alcuni controller di dominio.

LSASS (abbreviazione di Local Security Authority Subsystem Service) è responsabile dell'applicazione delle politiche di sicurezza sui sistemi Windows e gestisce la creazione dei token di accesso, le modifiche alle password e gli accessi degli utenti.

Se questo servizio si arresta in modo anomalo, gli utenti che hanno effettuato l'accesso perdono immediatamente l'accesso agli account Windows sulla macchina e viene visualizzato un errore di riavvio del sistema seguito da un riavvio del sistema.

"LSASS potrebbe utilizzare più memoria nel tempo e il controller di dominio potrebbe non rispondere e riavviarsi", spiega Microsoft sul dashboard di Windows Health.

"A seconda del carico di lavoro dei controller di dominio e della quantità di tempo dall'ultimo riavvio del server, LSASS potrebbe aumentare continuamente l'utilizzo della memoria con il tempo di attività del server e il server potrebbe non rispondere o riavviarsi automaticamente."

Redmond afferma che anche gli aggiornamenti di Windows fuori banda inviati per risolvere i problemi di autenticazione sui controller di dominio di Windows potrebbero essere interessati da questo problema noto.

L'elenco completo delle versioni di Windows interessate include Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 SP1 e Windows Server 2008 SP2.

Microsoft sta lavorando a una risoluzione e afferma che fornirà un aggiornamento con una prossima versione.

Soluzione alternativa disponibile

Fino a quando non sarà disponibile una correzione per risolvere questo problema di perdita di memoria LSASS, l'azienda fornisce anche una soluzione temporanea per consentire agli amministratori IT di aggirare l'instabilità del controller di dominio.

Questa soluzione richiede che gli amministratori impostino la chiave di registro KrbtgtFullPacSignature (utilizzata per controllare le modifiche al protocollo Kerberos CVE-2022-37967) su 0 utilizzando il seguente comando:

reg aggiungi "HKLM\System\CurrentControlSet\services\KDC" -v "KrbtgtFullPacSignature" -d 0 -t REG_DWORD

"Una volta risolto questo problema noto, dovresti impostare KrbtgtFullPacSignature su un'impostazione più alta a seconda di ciò che il tuo ambiente consentirà", ha aggiunto Microsoft.

"Si consiglia di abilitare la modalità di imposizione non appena l'ambiente è pronto. Per ulteriori informazioni su questa chiave di registro, vedere KB5020805: How to manage Kerberos protocol changes related to CVE-2022-37967."

A marzo, Redmond ha risolto un altro problema noto che causava il riavvio del controller di dominio di Windows Server a causa di arresti anomali di LSASS.

All'inizio di questo mese, Microsoft ha risolto gli errori di accesso al controller di dominio e altri problemi di autenticazione causati anche dagli aggiornamenti di Windows del Patch Tuesday di novembre con aggiornamenti di emergenza fuori banda (OOB).

https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-freezes-restarts/

Gli hacker modificano la popolare app Android OpenVPN per includere spyware

Angelo Domeneghini — Mon, 28 Nov 2022 10:37:00 GMT

Gli hacker modificano la popolare app Android OpenVPN per includere spyware

Gli hacker riconfezionano SoftVPN e OpenVPN in versioni Android dannose

Un attore di minacce associato alle operazioni di spionaggio informatico almeno dal 2017 ha attirato le vittime con un falso software VPN per Android che è una versione trojanizzata del software legittimo SoftVPN e OpenVPN.

I ricercatori affermano che la campagna era "altamente mirata" e mirava a rubare dati di contatto e chiamate, posizione del dispositivo e messaggi da più app.

Rappresentazione del servizio VPN

L'operazione è stata attribuita a un attore di minacce avanzato rintracciato come Bahamut, che si ritiene sia un gruppo mercenario che fornisce servizi di hacking su commissione.

L'analista di malware ESET Lukas Stefanko afferma che Bahamut ha riconfezionato le app SoftVPN e OpenVPN per Android per includere codice dannoso con funzioni di spionaggio.

In questo modo, l'attore si è assicurato che l'app continuasse a fornire funzionalità VPN alla vittima estraendo informazioni sensibili dal dispositivo mobile.

Per nascondere il loro funzionamento e per motivi di credibilità, Bahamut ha utilizzato il nome SecureVPN (che è un servizio VPN legittimo) e ha creato un sito Web falso

Stefanko afferma che l'app VPN fraudolenta degli hacker può rubare contatti, registri delle chiamate, dettagli sulla posizione, SMS, spiare chat in app di messaggistica come Signal, Viber, WhatsApp, Telegram e Messenger di Facebook, nonché raccogliere un elenco di file disponibili in archiviazione esterna.

Il ricercatore di ESET ha scoperto otto versioni dell'app VPN di spionaggio di Bahamut, tutte con numeri di versione cronologici, suggerendo uno sviluppo attivo.

Tutte le app false includevano codice osservato solo in operazioni attribuite a Bahamut in passato, come la campagna SecureChat documentata dalle società di sicurezza informatica Cyble e CoreSec360 [1, 2].

Confronto delle query SQL nel codice dannoso che Bahamut ha utilizzato nelle sue campagne SecureVPN e SecureChat

SQL interroga Bahamut utilizzato nelle sue app dannose SecureChat e SecureVPN

fonte: ESET

Vale la pena notare che nessuna delle versioni VPN trojanizzate era disponibile tramite Google Play, il repository ufficiale delle risorse Android, un'altra indicazione della natura mirata dell'operazione.

Il metodo per il vettore di distribuzione iniziale è sconosciuto, ma potrebbe essere qualsiasi cosa, dal phishing tramite e-mail, social media o altri canali di comunicazione.

I dettagli sulle operazioni di Bahamut sono emersi nello spazio pubblico nel 2017 quando i giornalisti del gruppo investigativo Bellingcat hanno pubblicato un articolo sull'attore di spionaggio che prendeva di mira gli attivisti per i diritti umani del Medio Oriente.

Collegare Bahamut ad altri attori delle minacce è un compito arduo considerando che il gruppo fa molto affidamento su strumenti pubblicamente disponibili, cambia costantemente tattiche e i suoi obiettivi non si trovano in una particolare regione.

Tuttavia, i ricercatori di BlackBerry notano in un ampio rapporto su Bahamut nel 2020 che il gruppo "sembra non solo essere ben finanziato e dotato di risorse adeguate, ma anche esperto nella ricerca sulla sicurezza e nei pregiudizi cognitivi spesso posseduti dagli analisti".

Alcuni gruppi di attori delle minacce a cui Bahamut è stato associato includono Windshift e Urpage.

https://www.bleepingcomputer.com/news/security/hackers-modify-popular-openvpn-android-app-to-include-spyware/

Cos'è lo spid e a cosa serve? ATTIVALO ONLINE CON 3DA

Angelo Domeneghini — Thu, 24 Nov 2022 13:25:00 GMT

Cos'è lo spid e a cosa serve?

Il Sistema Pubblico di Identità Digitale (SPID) è la chiave di accesso semplice, veloce e sicura ai servizi digitali delle amministrazioni locali e centrali.

Un’unica credenziale (username e password) che rappresenta l’identità digitale e personale di ogni cittadino, con cui è riconosciuto dalla Pubblica Amministrazione per utilizzare in maniera personalizzata e sicura i servizi digitali.

SPID consente anche l’accesso ai servizi pubblici degli stati membri dell’Unione Europea e di imprese o commercianti che l’hanno scelto come strumento di identificazione.

Con il sistema di accesso su cui si basa SPID, la Pubblica Amministrazione è ancora più vicina ai cittadini. Garantendo a tutti una modalità di accesso ai servizi online, che è sempre uguale ed intuitiva,

SPID facilita la fruizione dei servizi online e semplifica il rapporto dei cittadini con gli uffici pubblici.

Anche il settore privato può trarre vantaggi dall’identità digitale, migliorando l’esperienza utente e la gestione dei dati personali dei propri clienti.

Lo SPID (Sistema Pubblico di Identità Digitale) consiste in una coppia di credenziali digitali (username e password) che identifica un cittadino italiano e che permette di accedere a tutti i servizi online della Pubblica Amministrazione e di privati aderenti.

SPID quindi consente un accesso sicuro a una serie di servizi fondamentali per il cittadino: dai pagamenti alle informazioni sanitarie, dall’accesso al sito INPS alle pratiche d’impresa passando per la richiesta di bonus e incentivi statali di vario genere.

Come prepararsi al Video riconoscimento

.un' indirizzo E-Mail

.Un numero di cellulare intestato al richiedente

.Un documento di identità in corso di validità (Carta d' identità, passaporto, patente, permesso di soggiorno)

.Tessera sanitaria con il codice fiscale in corso di validità

https://3da.it/spid.html

Estensione Chrome, con backdoor, installata da 200.000 giocatori Roblox

Angelo Domeneghini — Thu, 24 Nov 2022 13:15:00 GMT

Estensione Chrome, con backdoor, installata da 200.000 giocatori Roblox

È stato scoperto che l'estensione del browser Chrome "SearchBlox" installata da oltre 200.000 utenti contiene una backdoor che può rubare le tue credenziali Roblox e le tue risorse su Rolimons, una piattaforma di trading Roblox.

BleepingComputer è stato in grado di analizzare il codice di estensione che indica la presenza di una backdoor, introdotta intenzionalmente dal suo sviluppatore o dopo un compromesso.

BleepingCompuer ha osservato che le estensioni "SearchBlox" trovate sul Chrome Web Store sembrano essere compromesse.

Ci sono due risultati di ricerca per "SearchBlox" su Chrome. Queste estensioni affermano di consentirti di "cercare nei server Roblox il giocatore desiderato... incredibilmente veloce", ma entrambe contenevano la backdoor.

"Il popolare plug-in SearchBlox è stato COMPROMESSO/BACKDOORED - se ce l'hai, il tuo account potrebbe essere a rischio", ha twittato RTC, un account di notizie e community Roblox non ufficiale.

"Per favore, cambia le tue password se ce l'hai e le credenziali, in modo che il tuo account sia di nuovo sicuro."

Abbiamo scaricato l'estensione Chrome per l'analisi e per la prima estensione (blddohgncmehcepnokognejaaahehncd) scaricata da oltre 200.000 utenti, esiste la backdoor sulla riga 3 del file 'content.js':

Per la seconda estensione (ccjalhebkdogpobnbdhfpincfeohonni) con soli 959 download, la backdoor risiedeva all'interno del file 'button.js'.

L'URL offensivo in entrambi i casi è:

hxxps://searchblox[.]site/image.png/image.txt

Come se la struttura dell'URL "image.png/image.txt" in sé non fosse già interessante, la pagina contiene codice HTML che finge di visualizzare un'immagine utilizzando il tag "", ma carica invece JavaScript offuscato che è ulteriormente codificato come entità carattere HTML (usando i simboli '&' e '#'):

codice JS HTML sospetto

La pagina finge di contenere HTML tentativo di visualizzare un'immagine (BleepingComputer)

Il codice, una volta decodificato, fornisce un codice offuscato che sembra inoltre esfiltrare le credenziali Roblox in un altro dominio: releasethen.site.

Un altro dominio incriminato che raccoglie credenziali roblox

Un altro dominio sospetto in uso dall'estensione (BleepingComputer)

Da notare il fatto che sia "searchblox.site" che "releasethen.site" sono stati registrati questo mese e condividono un host web comune, Hostinger.

Il codice sembra anche sondare il profilo di un giocatore su Rolimons.com, una piattaforma di trading Roblox. Questo dettaglio diventa rilevante date le odierne sospensioni dell'account sulla piattaforma, come spiegato nella sezione seguente.

'SearchBlox' un recidivo

Sfortunatamente, non sembra nemmeno la prima volta che un'estensione "SearchBlox" dannosa ha preso di mira utenti Roblox.

A ottobre, secondo quanto riferito, Google ha eliminato un altro "SearchBlox" dal Chrome Web Store almeno dal 28 giugno 2022.

Il fatto che la backdoor sia stata iniettata nell'estensione dopo compromesso da un attore di minacce o introdotta intenzionalmente dallo sviluppatore è qualcosa che deve ancora essere determinato in modo autorevole.

Ci sono alcune speculazioni tra i membri della community Roblox [1, 2, 3, 4] che hanno notato che l'inventario dell'utente "Unstoppablelucent", presumibilmente lo sviluppatore dell'estensione, si moltiplica durante la notte, mentre l'utente Rolimons "ccfont" è stato interrotto oggi a causa di scambi di inventario sospetti.

Dopo circa un anno o giù di lì con il plug-in attivo, ha deciso che sarebbe giunto il momento di inserire codice dannoso nel plug-in dopo che oltre 200.000 utenti lo hanno scaricato e hanno cercato di hackerare quanti più account possibile.

— Utiba (@UtibaOfficial) 23 novembre 2022

Sia l'estensione che gli URL offensivi hanno una reputazione VirusTotal pulita al momento della scrittura, rendendo il rilevamento di queste estensioni dannose molto più difficile.

È sufficiente dire che chiunque abbia installato "SearchBlox" dovrebbe rimuovere immediatamente l'estensione, cancellare i propri cookie e modificare le password per Roblox, Rolimon e altri siti Web a cui potrebbero aver effettuato l'accesso mentre l'estensione era in uso.

BleepingComputer ha notificato a Google le estensioni dannose prima della pubblicazione. Un portavoce di Google ha successivamente confermato che queste estensioni sono state rimosse e verranno automaticamente rimosse dai sistemi in cui sono state installate.

"Le estensioni dannose identificate non sono più disponibili sul Chrome Web Store", ha detto Google a BleepingComputer.

"Le estensioni sono bloccate e verranno automaticamente rimosse da qualsiasi macchina utente che le ha scaricate in precedenza".

https://www.bleepingcomputer.com/news/security/backdoored-chrome-extension-installed-by-200-000-roblox-players/

L'ex capo di GPS Waze offre un'alternativa a Twitter: ... Post

Angelo Domeneghini — Tue, 22 Nov 2022 08:09:00 GMT

L'ex capo di GPS Waze offre un'alternativa a Twitter: ... Post

Il nuovo social network Post, creato da Noam Bardin, spera di recuperare gli utenti delusi dalla nuova gestione del servizio di microblogging.

Post ha una visione nostalgica dei social media.

La caotica ristrutturazione che Twitter sta subendo, dopo la sua acquisizione da parte del capriccioso imprenditore Elon Musk, che ha licenziato e spaventato molti dipendenti, potrebbe avvantaggiare nuovi concorrenti. Mentre alcuni utenti cercano rifugio sul social network decentralizzato Mastodon, che ha visto salire alle stelle i numeri dei suoi account nelle ultime settimane, altri potrebbero essere sedotti dal nuovo arrivato Post.

Creato da Noam Bardin, che ha gestito per 12 anni, fino al 2021, Waze, una popolare applicazione di navigazione collaborativa acquisita da Google, questo nuovo servizio di microblogging mira a tornare all'epoca d'oro (utopica?) dei social media: “Ricorda i giorni in cui i social i media sono stati divertenti, ti hanno fatto conoscere grandi idee e persone interessanti, e in realtà ti hanno reso più intelligente? Ricordi quando non ti hanno fatto perdere tempo, non ti hanno fatto arrabbiare o rattristare? Quando potresti non essere d'accordo con qualcuno senza essere minacciato o insultato? Vogliamo riportarlo in vita con Post”, scrive il suo creatore come presentazione sulla home page della piattaforma.

Vuole diventare “un luogo civile per discutere idee, imparare da esperti, giornalisti, singoli creatori e altri, conversare liberamente e divertirsi”.

Monetizzazione dei contenuti

Per differenziarsi da Twitter, Post consente di condividere pubblicazioni senza limiti di caratteri. Gli utenti possono anche monetizzare i loro contenuti ricevendo suggerimenti dalla comunità che desidera supportarli. Possono anche acquistare articoli da varie fonti di notizie premium per ottenere l'accesso a più punti di vista e non solo a quelli da fonti a cui sono abbonati, spiega Noam Bardin. Per potersi connettere, questo nuovo social network offre attualmente di registrarsi nella sua lista d'attesa.

https://www.20min.ch/fr/story/lex-patron-du-gps-waze-propose-une-alternative-a-twitter-121825837089

Spotify sta testando un sistema di pagamento alternativo

Angelo Domeneghini — Tue, 22 Nov 2022 08:04:00 GMT

Spotify sta testando un sistema di pagamento alternativo

Google sta gradualmente aprendo il suo app store ad altri metodi di pagamento, offrendo agli sviluppatori alternative per la vendita di contenuti o servizi su Android.

Spotify è il primo a poter vendere i propri servizi senza passare dal Play Store.

REUTERS

Spotify diventa il primo partner di Google a supportare "User Choice Billing", ha annunciato la piattaforma di streaming musicale. Consente agli utenti Android di pagare il proprio abbonamento Spotify direttamente con carta di credito oltre al solito Play Store.

Pagamenti che andranno ad aggiungersi direttamente agli account di Spotify, che dovranno comunque versare una commissione a Google.

Tuttavia, quest'ultima sarà inferiore del 4% rispetto alla normale imposta compresa tra il 15 e il 30%. In altre parole, un bel jackpot fatto da questa piccola economia di commissioni, Spotify ha centinaia di milioni di iscritti.

Per ora, questa novità assume la forma di un test su vasta scala, l'opzione è disponibile in 35 paesi, tra cui la maggior parte dei paesi europei, Stati Uniti, Giappone e Australia.

Per quanto riguarda gli altri sviluppatori, alcuni beneficiano di questa apertura a metodi di pagamento di terze parti, tra cui Bumble, che lo integrerà nei prossimi mesi.

Questa nuova possibilità di pagamento nasce in risposta alle varie indagini dei regolatori che tengono d'occhio le pratiche del Play Store, principalmente sulle commissioni riscosse passando direttamente attraverso i sistemi di pagamento obbligatori. Un altro passo nella giusta direzione, mentre la parte di Apple si rifiuta ancora di allentare le regole in campo, anche se il produttore di iPhone si è visto forzare la mano nei Paesi Bassi e in Corea del Sud. Sud per offrire mezzi di pagamento alternativi.

https://www.20min.ch/fr/story/spotify-teste-un-systeme-de-paiement-alternatif-360240516808

Ronnabyte e quettabyte, si apre l’era dei numeri “giganteschi”

Angelo Domeneghini — Tue, 22 Nov 2022 07:50:00 GMT

Ronnabyte e quettabyte, si apre l’era dei numeri “giganteschi”

Le nuove definizioni stabilite dal Sistema internazionale di unità di misura per identificare la quantità di informazioni pari a 10 alla 27esima e alla 30esima. Introdotti anche due prefissi per descrivere quantità di dati estremamente piccole: “ronto” e “quecto” che stanno, rispettivamente, per 10 alla -27esima e alla -30esima

Arrivano i ‘ronnabyte’ e i ‘quettabyte’. Sono queste le due nuove denominazioni stabilite dal Sistema internazionale di unità di misura (Si) per descrivere le gigantesche quantità di dati che saranno presto prodotte nell’era dei Big Data.

Le quantità descritte dal ronnabyte e dal quettabyte

Così, dopo lo yottabyte, che sta per 10 alla 24esima byte, cioè una quantità di dati che richiederebbe una pila di dvd alti fino al pianeta Marte, avremo ora denominazioni in grado di descrivere un numero persino superiore di dati: il ronnabyte (10 alla 27esima) ed il quettabyte (10 alla 30esima), come si legge in un articolo pubblicato sulla rivista Nature.

Introdotti anche gli speculari ronto e quecto, per numeri molto piccoli

Per simmetria, all’altra estremità della scala sono stati introdotti anche due nuovi prefissi per descrivere quantità di dati estremamente piccole: ‘ronto’ e ‘quecto’, che stanno rispettivamente per 10 alla -27esima e 10 alla -30esima. Per dare un’idea, 1 ronnagrammo sarebbe all’incirca il peso della Terra, mentre un elettrone è pari a 1 quectogrammo. I quattro nuovi prefissi sono stati votati il 18 novembre scorso da rappresentanti dei governi di tutto il mondo, alla Conferenza generale sui pesi e sulle misure, tenutasi nei dintorni di Parigi. Si tratta del primo aggiornamento del sistema dei prefissi sin dal 1991, quando l’aggiunta fu però resa necessaria per il campo della chimica, che aveva bisogno di poter esprimere numeri molto più piccoli.

Introduzione resa necessaria dalla diffusione di nomi informali

La proposta di modifica, presentata da Richard Brown del Laboratorio nazionale di fisica del Regno Unito dopo un lavoro di cinque anni, si è resa necessaria anche perché erano iniziati a circolare nomi informali per esprimere quelle quantità, come hellabyte e brontobyte. “Sono rimasto inorridito”, ha commentato Brown, “perché erano nomi del tutto non ufficiali”. In passato, termini nati in modo informale sono poi stati adottati dal Sistema internazionale, ma stavolta non è stato possibile poiché i simboli associati a questi due nomi sono già utilizzati all’interno del sistema metrico per altri prefissi o altre unità di misura. “Adesso”, ha concluso Richard Brown, “non sono rimaste altre lettere dell’alfabeto disponibili per nuovi prefissi, quindi cosa accadrà quando, e se, qualche campo scientifico riuscirà a spingersi a grandezze oltre quelle attuali, rimane una questione aperta”.

https://www.corrierecomunicazioni.it/digital-economy/ronnabyte-e-quettabyte-ecco-i-nuovi-nomi-per-numeri-giganteschi/

WhatsApp: Lo stesso account su cellulari diversi: la novità è in arrivo

Angelo Domeneghini — Thu, 17 Nov 2022 10:42:00 GMT

WhatsApp: Lo stesso account su cellulari diversi: la novità è in arrivo

Il servizio di messaggistica WhatsApp ha iniziato a implementare una delle funzionalità più richieste dagli utenti con più smartphone: la “modalità compagno”.

WhatsApp ha superato la soglia dei 2 miliardi di utenti in tutto il mondo nel 2020.

Ecco una novità che delizierà gli utenti WhatsApp che utilizzano diversi cellulari. Il sito specializzato WABetaInfo segnala che il servizio di messaggistica istantanea ha avviato il deployment di una nuova funzionalità, con alcuni tester delle versioni beta dell'applicazione.

Chiamata "modalità compagno", consente loro di utilizzare lo stesso account WhatsApp su più dispositivi contemporaneamente.

In questo caso, allo stesso numero di telefono possono essere associati fino a quattro smartphone.

Questa funzione è attualmente disponibile solo per un numero limitato di persone.

Questi sono quelli che hanno installato l'ultima versione beta di WhatsApp, ovvero la versione 2.22.24.18 su Android, la versione per iPhone non la integra ancora.

Apparendo nel menu in alto a destra, il nuovo strumento permette di collegare l'account ad un altro smartphone tramite un codice QR, come già da tempo accadeva per la versione web.

In una versione precedente (2.22.21.6), l'app Meta Group (Facebook) consentiva agli utenti di collegare il proprio account WhatsApp a un tablet Android.

Ora è arrivato il tempo degli smartphone.

https://www.20min.ch/fr/story/le-meme-compte-sur-differents-mobiles-la-nouveaute-arrive-108443447592

Negozi Magento presi di mira da una massiccia ondata di attacchi TrojanOrders

Angelo Domeneghini — Thu, 17 Nov 2022 10:33:00 GMT

Negozi Magento presi di mira da una massiccia ondata di attacchi TrojanOrders

Magento

Almeno sette gruppi di hacker sono alla base di una massiccia ondata di attacchi "TrojanOrders" che prendono di mira i siti Web Magento 2, sfruttando una vulnerabilità che consente agli attori delle minacce di compromettere i server vulnerabili.

La società di sicurezza dei siti Web Sansec ha avvertito che quasi il 40% dei siti Web Magento 2 è preso di mira dagli attacchi, con gruppi di hacker che si combattono tra loro per il controllo di un sito infetto.

Questi attacchi vengono utilizzati per iniettare codice JavaScript dannoso nel sito Web di un negozio online che può causare interruzioni significative dell'attività e un massiccio furto di carte di credito ai clienti durante un intenso periodo di Black Friday e Cyber Monday.

La tendenza dovrebbe continuare mentre ci dirigiamo verso il Natale, quando i negozi online sono nel momento più critico e allo stesso tempo più vulnerabile.

I TrojanOrder attaccano

TrojanOrders è il nome di un attacco che sfrutta la vulnerabilità critica di Magento 2 CVE-2022-24086, consentendo ad aggressori non autenticati di eseguire codice e iniettare RAT (trojan di accesso remoto) su siti Web privi di patch.

Adobe ha corretto CVE-2022-24086 nel febbraio 2022, ma Sansec afferma che molti siti Magento devono ancora essere aggiornati.

"Sansec stima che almeno un terzo di tutti i negozi Magento e Adobe Commerce non sia stato ancora aggiornato", spiega un nuovo rapporto della società di sicurezza informatica SanSec.

Quando conducono attacchi TrojanOrders, gli hacker in genere creano un account sul sito Web di destinazione ed effettuano un ordine che contiene codice modello dannoso nel nome, nell'IVA o in altri campi.

Ad esempio, l'attacco sopra inietterà una copia del file "health_check.php" nel sito, contenente una backdoor PHP in grado di eseguire comandi inviati tramite richieste POST.

Dopo aver preso piede sul sito Web, gli aggressori installano un trojan di accesso remoto per stabilire un accesso permanente e la possibilità di eseguire azioni più complesse.

In molti casi osservati da Sansec, gli aggressori hanno scansionato la presenza di "health_check.php" al momento della compromissione per determinare se un altro hacker aveva già infettato il sito e, in tal caso, sostituire il file con la propria backdoor.

Gli aggressori alla fine modificano il sito per includere JavaScript dannoso che ruba le informazioni dei clienti e i numeri di carta di credito quando acquistano prodotti nel negozio.

Perché c'è un'impennata dopo così tanto tempo?

Gli analisti di Sansec ritengono che ci siano diversi motivi per cui stiamo assistendo a un aumento degli attacchi mirati a questa vulnerabilità.

Innanzitutto, un gran numero di siti Magento 2 rimane vulnerabile a questi attacchi, anche dieci mesi dopo che le patch sono diventate disponibili.

In secondo luogo, gli exploit PoC (proof of concept) sono disponibili da molto tempo, consentendo agli autori di exploit kit di incorporarli nei loro strumenti e trarne profitto vendendoli a hacker poco qualificati.

Questi exploit Magento sono così abbondanti che vengono venduti a partire da $ 2.500, mentre all'inizio del 2022 costano tra $ 20.000 e $ 30.000.

Infine, il tempismo è ideale per questi attacchi, poiché i siti Web registrano un aumento del traffico a causa delle festività natalizie, il che significa che è più probabile che gli ordini dannosi e le iniezioni di codice vengano trascurati.

Come proteggere il tuo sito (e i clienti)

Se non hai applicato l'aggiornamento per la sicurezza che affronta CVE-2022-24086, dovresti farlo il prima possibile.

Inoltre, esamina gli ordini per trovare segni di un attacco TrojanOrder, come il codice del modello nei moduli d'ordine o gli ordini inviati da account di posta elettronica anonimi utilizzando Protonmail, Tutanota, ecc.

Infine, utilizza uno scanner di malware di back-end per scoprire potenziali infezioni passate che hanno provocato iniezioni di RAT sul tuo sito.

Sansec afferma che lo strumento ufficiale di Magento, Security Scan, pulisce solo il front-end, quindi non può catturare TrojanOrders.

Per questo motivo, l'azienda di sicurezza offre un mese di accesso gratuito al proprio scanner per aiutare gli amministratori a pulire i propri siti.

Ricorda, il rilevamento e la rimozione di malware e backdoor PHP fermeranno le infezioni future solo se verranno applicate le patch di Magento 2, quindi questo è ancora il passaggio più cruciale da compiere.

https://www.bleepingcomputer.com/news/security/magento-stores-targeted-in-massive-surge-of-trojanorders-attacks/

L'autenticazione Kerberos di Windows si interrompe dopo gli aggiornamenti di novembre

Angelo Domeneghini — Tue, 15 Nov 2022 09:16:00 GMT

L'autenticazione Kerberos di Windows si interrompe dopo gli aggiornamenti di novembre

Microsoft sta indagando su un nuovo problema noto che causa errori di accesso Kerberos e altri problemi di autenticazione nei controller di dominio aziendali dopo l'installazione degli aggiornamenti cumulativi rilasciati durante il Patch Tuesday di questo mese.

Kerberos ha sostituito il protocollo NTLM come protocollo di autenticazione predefinito per i dispositivi connessi al dominio su tutte le versioni di Windows superiori a Windows 2000.

I lettori di BleepingComputer hanno anche segnalato tre giorni fa che gli aggiornamenti di novembre interrompono Kerberos "in situazioni in cui è stato impostato il set di opzioni dell'account 'Questo account supporta la crittografia Kerberos AES a 256 bit' o 'Questo account supporta la crittografia Kerberos AES a 128 bit' (ad esempio, msDS- attributo SupportedEncryptionTypes) sugli account utente in AD."

Il problema noto, indagato attivamente da Redmond, può influire su qualsiasi scenario di autenticazione Kerberos all'interno degli ambienti aziendali interessati.

"Dopo aver installato gli aggiornamenti rilasciati l'8 novembre 2022 o successivi sui server Windows con il ruolo di controller di dominio, potresti riscontrare problemi con l'autenticazione Kerberos", ha spiegato Microsoft.

"Quando si verifica questo problema, potresti ricevere un evento di errore Microsoft-Windows-Kerberos-Key-Distribution-Center ID evento 14 nella sezione Sistema del registro eventi sul controller di dominio con il testo seguente."

Gli errori registrati nei registri eventi di sistema sui sistemi interessati verranno contrassegnati con una frase chiave "la chiave mancante ha un ID di 1".

"Durante l'elaborazione di una richiesta AS per il servizio di destinazione , l'account non disponeva di una chiave adatta per generare un ticket Kerberos (la chiave mancante ha un ID pari a 1)", si legge negli errori registrati.

L'elenco degli scenari di autenticazione Kerberos include, a titolo esemplificativo ma non esaustivo, quanto segue:

.L'accesso dell'utente al dominio potrebbe non riuscire. Ciò potrebbe anche influire sull'autenticazione di Active Directory Federation Services (AD FS).

.Gli account del servizio gestito di gruppo (gMSA) utilizzati per servizi come Internet Information Services (IIS Web Server) potrebbero non riuscire ad autenticarsi.

.Le connessioni Desktop remoto che utilizzano gli utenti del dominio potrebbero non riuscire a connettersi.

.Potrebbe non essere possibile accedere alle cartelle condivise sulle workstation e alle condivisioni di file sui server.

.La stampa che richiede l'autenticazione dell'utente di dominio potrebbe non riuscire.

Riguarda sia le piattaforme client che server

L'elenco completo delle piattaforme interessate include le versioni client e server:

Client: Windows 7 SP1, Windows 8.1, Windows 10 Enterprise LTSC 2019, Windows 10 Enterprise LTSC 2016, Windows 10 Enterprise 2015 LTSB, Windows 10 20H2 o successivo e Windows 11 21H2 o successivo

Server: Windows Server 2008 SP2 o successivo, inclusa l'ultima versione, Windows Server 2022.

Sebbene Microsoft abbia iniziato a rafforzare la sicurezza per Netlogon e Kerberos a partire dal Patch Tuesday di novembre 2022, la società afferma che questo problema noto non è un risultato previsto.

Il problema non riguarda i dispositivi usati dai clienti domestici e quelli che non sono registrati in un dominio locale. Inoltre, non ha alcun impatto sugli ambienti Azure Active Directory mom-hybrid e su quelli che non dispongono di server Active Directory locali.

Microsoft sta lavorando a una soluzione per questo problema noto e stima che una soluzione sarà disponibile nelle prossime settimane.

Redmond ha anche affrontato simili problemi di autenticazione Kerberos che interessano i sistemi Windows causati dagli aggiornamenti di sicurezza rilasciati come parte del Patch Tuesday di novembre 2020.

https://www.bleepingcomputer.com/news/microsoft/windows-kerberos-authentication-breaks-after-november-updates/

Informatica: integrazione con iCloud Photos disponibile per Windows 11

Angelo Domeneghini — Mon, 14 Nov 2022 13:05:00 GMT

Informatica: integrazione con iCloud Photos disponibile per Windows 11

L'aggiornamento di Foto in Windows 11 include la possibilità di collegare una libreria di foto di iCloud direttamente all'interno dell'app.

Microsoft sta attualmente lavorando con Apple e prevede di includere presto le app Apple Music e Apple TV in Windows 11.

Microsoft

Per beneficiare della nuova funzionalità offerta da Microsoft, è sufficiente aggiornare l'applicazione Foto tramite il Microsoft Store e installare iCloud per Windows dalla stessa fonte, identificarsi e infine scegliere quali foto o libreria sincronizzare automaticamente nell'applicazione.

L'aggiornamento inizia a essere disponibile tra oggi e il 30 novembre, sottolinea Microsoft.

A questo punto troverai contenuti esterni aggiuntivi. Se accetti che i cookie vengano inseriti da fornitori esterni e che in tal modo vengano trasmessi loro dati personali, devi consentire tutti i cookie e visualizzare direttamente i contenuti esterni.

Secondo Dave Grochocki di Microsoft, questo aggiornamento è gradito visto il numero di utenti che hanno un iPhone per scattare le proprie foto e che finalmente potranno avere accesso diretto in modo da sfruttare al meglio gli scatti potendo classificarli e trattarli con loro nel modo più semplice possibile.

Questa integrazione di iCloud Photos in Windows 11 fa parte di un aggiornamento per il sistema operativo Microsoft che include un nuovo layout della galleria di immagini in Foto, semplificando l'esplorazione delle tue foto. Microsoft sta attualmente lavorando con

Apple e prevede di includere presto le app Apple Music e Apple TV in Windows 11.

https://www.20min.ch/fr/story/lintegration-dicloud-photos-disponible-pour-windows-11-373200480789

Analisi delle vulnerabilità attivamente sfruttate per Zimbra Collaboration

Angelo Domeneghini — Mon, 14 Nov 2022 12:49:00 GMT

Analisi delle vulnerabilità attivamente sfruttate per Zimbra Collaboration

Zimbra

CVE-2022-27924

CVE-2022-27925

CVE-2022-37042

CVE-2022-30333

CVE-2022-24682

Descrizione

Con riferimento a quanto recentemente pubblicato da questo CSIRT, la Cybersecurity and Infrastructure Security Agency (CISA) ed il Multi-State Information Sharing & Analysis Center (MS-ISAC) hanno recentemente rilasciato un Cybersecurity Advisory (CSA) congiunto per evidenziare una lista di recenti vulnerabilità sfruttate attivamente in rete relative al prodotto Zimbra Collaboration (ZCS) nelle versioni 8.8.15 e/o 9.0.

CVE-2022-27924

La vulnerabilità (BL01/220616/CSIRT-ITA) - con score CVSS v3 pari a 7.5, sanata dal vendor a maggio 2022 – di tipo “Command Injection”, consentirebbe ad un attaccante di eseguire codice arbitrario e, attraverso Memcached poisoning, acquisire le credenziali degli utenti attestati sulla specifica istanza Zimbra.

CVE-2022-27925 e CVE-2022-37042

Le vulnerabilità (AL05/220811/CSIRT-ITA), rispettivamente con score CVSS v3 pari a 7.2 e 9.8, risultano sanate dal vendor tra marzo e luglio 2022.

La prima, di tipo “Directory Traversal”, potrebbe permettere ad un utente malintenzionato remoto di eseguire codice arbitrario su istanze vulnerabili tramite il caricamento di file ".ZIP" opportunamente predisposti.

La seconda, di tipo “Authentication Bypass”, consente e facilita il corretto sfruttamento della precedente vulnerabilità.

CVE-2022-30333

La vulnerabilità - con score CVSS v3 pari a 7.5, sanata dal vendor a giugno 2022 – di tipo “Directory Traversal”, interessa l’utility “UnRAR” (per Linux UNIX) di RARlab utilizzata dal software di sicurezza integrato nella suite Zimbra, denominato Amavis, il quale decomprime e analizza eventuali archivi allegati presenti in un messaggio in entrata.

Tale vulnerabilità, qualora sfruttata, consentirebbe ad un utente malevolo remoto l’esecuzione di codice arbitrario, su sistemi che implementano una versione non aggiornata del codice binario, tramite l’invio di allegati ".RAR" opportunamente predisposti.

CVE-2022-24682

La vulnerabilità - con score CVSS v3 pari a 6.1, presente nella versione 8.8.15 di ZCS sanata dal vendor a febbraio 2022 – di tipo “Cross Site Scripting”, potrebbe consentire ad un utente malintezionato remoto di ottenere copia dei cookie di autenticazione della vittima.

Azioni di mitigazione

In linea con le dichiarazioni del vendor e ove non già provveduto, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni riportate nelle precedenti pubblicazioni di questo CSIRT, disponibili nella sezione Riferimenti.

Gli utenti e le organizzazioni possono far fronte alle tipologie di attacchi descritte attivando le seguenti misure preventive:

revisionare costantemente il proprio Incident Response Plan;

prevedere l’implementazione di un programma di Vulnerability Management all’interno della propria organizzazione;

non esporre i dispositivi e le relative interfacce di controllo direttamente sulla rete internet;

permettere il raggiungimento della risorsa, all’interno di una rete, unicamente agli amministratori di sistema o comunque al personale autorizzato (ad esempio mediante segmentazione);

utilizzare opportuni sistemi di accesso remoto sicuri - come servizi VPN - per esporre servizi non strettamente essenziali sulla rete.

utilizzare le best practice per la gestione degli accessi (IAM), implementando meccanismi di autenticazione a più fattori (MFA), prevedendo l’adozione di password complesse e adottando il principio del privilegio minimo (least privilege).

Aggiornamento del 11/11/2022

Si raccomanda di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) presenti all’interno del Cybersecurity Advisory, seguendo le indicazioni fornite dal CISA.

Azioni di risposta agli incidenti

Qualora si riscontrino evidenze di avvenuta compromissione sui propri sistemi, si raccomanda agli utenti e alle organizzazioni di attuare le seguenti azioni:

collezionare eventuali evidenze, quali processi/servizi in esecuzione su dispositivi target, log di rete e log di autenticane considerati non convenzionali;

porre in quarantena e/o offline gli host potenzialmente interessati dalla compromissione;

ripristinare gli host compromessi ad un'immagine precedente consistente (dopo aver espletato le necessarie attività forensi);

resettare gli account degli utenti interessati dalla compromissione;

segnalare tempestivamente a questo CSIRT, tramite il portale https://www.csirt.gov.it/segnalazione l’evento occorso.

Riferimenti

https://www.csirt.gov.it/contenuti/rilevato-sfruttamento-in-rete-della-cve-2022-27925-in-zimbra-collaboration-al05-220811-csirt-ita

https://www.csirt.gov.it/contenuti/rilasciato-poc-per-la-vulnerabilita-cve-2022-27924-su-zimbra-collaboration-suite-bl01-220616-csirt-ita

https://www.cisa.gov/uscert/ncas/alerts/aa22-228a

https://wiki.zimbra.com/wiki/Security_Center

https://www.csirt.gov.it/contenuti/analisi-delle-vulnerabilita-attivamente-sfruttate-per-zimbra-collaboration-bl01-220817-csirt-ita

Lenovo risolve i difetti che possono essere utilizzati per disabilitare UEFI Secure Boot

Angelo Domeneghini — Thu, 10 Nov 2022 10:25:00 GMT

Lenovo risolve i difetti che possono essere utilizzati per disabilitare UEFI Secure Boot

Lenovo ha corretto due vulnerabilità ad alta gravità che hanno un impatto su vari modelli di laptop ThinkBook, IdeaPad e Yoga che potrebbero consentire a un utente malintenzionato di disattivare UEFI Secure Boot.

UEFI Secure Boot è un sistema di verifica che garantisce che nessun codice dannoso possa essere caricato ed eseguito durante il processo di avvio del computer.

Le conseguenze dell'esecuzione di codice dannoso non firmato prima dell'avvio del sistema operativo sono significative, poiché gli attori delle minacce possono aggirare tutte le protezioni di sicurezza per installare malware che persiste tra le reinstallazioni del sistema operativo.

Il problema nasce dal fatto che Lenovo include erroneamente un driver di sviluppo iniziale che potrebbe modificare le impostazioni di avvio sicuro dal sistema operativo nelle versioni di produzione finali.

Ciò significa che le vulnerabilità non sono causate da un bug nel codice ma piuttosto da un errore pratico di includere il driver errato sui dispositivi di produzione.

La presenza di questi driver in più prodotti Lenovo è stata scoperta dai ricercatori ESET, che l'hanno segnalata al fornitore del computer.

ESET-tweet

"I driver interessati dovevano essere utilizzati solo durante il processo di produzione, ma sono stati erroneamente inclusi nella produzione", spiega il thread di Twitter di ESET.

ESET afferma che le vulnerabilità possono essere sfruttate semplicemente creando speciali variabili NVRAM e condividendo un collegamento a un thread di Twitter di Nikolaj Schlej che spiega perché gli sviluppatori di firmware UEFI non dovrebbero utilizzare la NVRAM come storage affidabile.

I due difetti risolti da Lenovo tramite BIOS risolvono le seguenti vulnerabilità:

CVE-2022-3430: una vulnerabilità nel driver di installazione WMI su alcuni dispositivi notebook Lenovo consumer può consentire a un utente malintenzionato con privilegi elevati di modificare l'impostazione di avvio protetto modificando una variabile NVRAM.

CVE-2022-3431: una vulnerabilità in un driver utilizzato durante il processo di produzione su alcuni dispositivi notebook Lenovo consumer che è stato erroneamente non disattivato può consentire a un utente malintenzionato con privilegi elevati di modificare l'impostazione Secure Boot modificando una variabile NVRAM.

C'è anche un terzo difetto di natura simile, tracciato come CVE-2022-3432, che colpisce solo l'Ideapad Y700-14ISK. Lenovo non affronterà questa vulnerabilità poiché il prodotto interessato ha raggiunto la fine del suo ciclo di vita (EOL).

I proprietari di computer Lenovo supportati possono controllare l'elenco dei modelli nel bollettino sulla sicurezza del fornitore per determinare se uno dei difetti ha un impatto su di loro.

Le versioni del firmware che risolvono le vulnerabilità sono menzionate sotto gli ID CVE, quindi assicuratevi di eseguire l'aggiornamento a quella versione o successiva.

Per il software Lenovo ufficiale, date un'occhiata a questo portale di supporto online o eseguite lo strumento di aggiornamento preinstallato sul Vostro computer.

https://www.bleepingcomputer.com/news/security/lenovo-fixes-flaws-that-can-be-used-to-disable-uefi-secure-boot/

Il nuovo malware StrelaStealer ruba i tuoi account Outlook e Thunderbird

Angelo Domeneghini — Thu, 10 Nov 2022 10:16:00 GMT

Il nuovo malware StrelaStealer ruba i tuoi account Outlook e Thunderbird

Un nuovo malware per il furto di informazioni chiamato "StelaStealer" sta rubando attivamente le credenziali dell'account di posta elettronica da Outlook e Thunderbird, due client di posta elettronica ampiamente utilizzati.

Questo comportamento si discosta dalla maggior parte dei ladri di informazioni, che tentano di rubare dati da varie fonti di dati, inclusi browser, app di portafoglio di criptovaluta, app di giochi su cloud, appunti, ecc.

Il malware precedentemente sconosciuto è stato scoperto dagli analisti di DCSO CyTec, che riferiscono di averlo visto per la prima volta in natura all'inizio di novembre 2022, prendendo di mira gli utenti di lingua spagnola.

StrelaStealer arriva sul sistema della vittima tramite allegati di posta elettronica, attualmente file ISO con contenuto variabile.

In un esempio, l'ISO contiene un eseguibile ("msinfo32.exe") che esegue il sideload del malware in bundle tramite il dirottamento degli ordini DLL.

In un caso più interessante visto dagli analisti, l'ISO contiene un file LNK ('Factura.lnk') e un file HTML ('x.html'). Il file x.html è di particolare interesse perché è un file poliglotta, ovvero un file che può essere trattato come formati di file diversi a seconda dell'applicazione che lo apre.

In questo caso, x.html è sia un file HTML che un programma DLL in grado di caricare il malware StrelaStealer o visualizzare un documento esca nel browser Web predefinito.

Quando il file Fractura.lnk viene eseguito, eseguirà x.html due volte, prima utilizzando rundll32.exe per eseguire la DLL StrelaStealer incorporata e un'altra volta come HTML per caricare il documento esca nel browser, come mostrato nell'immagine seguente.

Una volta che il malware è stato caricato in memoria, il browser predefinito viene aperto per mostrare l'esca per rendere l'attacco meno sospetto.

Al momento dell'esecuzione, StrelaStealer cerca nella directory '%APPDATA%\Thunderbird\Profiles\' 'logins.json' (account e password) e 'key4.db' (database password) ed esfiltra il loro contenuto nel server C2.

Per Outlook, StrelaStealer legge il registro di Windows per recuperare la chiave del software, quindi individua i valori "Utente IMAP", "Server IMAP" e "Password IMAP".

La password IMAP contiene la password dell'utente in forma crittografata, quindi il malware utilizza la funzione CryptUnprotectData di Windows per decrittografarla prima che venga esfiltrata nel C2 insieme al server e ai dettagli dell'utente.

Infine, StrelaStealer convalida che il C2 ha ricevuto i dati controllando una risposta specifica e si chiude quando lo riceve. In caso contrario, entra in una sospensione di 1 secondo e riprova questa routine di furto di dati.

Poiché il malware viene diffuso utilizzando esche in lingua spagnola e si concentra su software molto specifici, può essere utilizzato in attacchi altamente mirati. Tuttavia, DCSO CyTec non ha potuto determinare di più sulla sua distribuzione.

https://www.bleepingcomputer.com/news/security/new-strelastealer-malware-steals-your-outlook-thunderbird-accounts/

ASUSTOR spinge sul risparmio energetico

Angelo Domeneghini — Thu, 10 Nov 2022 09:40:00 GMT

ASUSTOR spinge sul risparmio energetico

ASUSTOR, grazie a continui miglioramenti del suo sistema operativo e a esclusive funzionalità dei propri NAS, è in prima linea su questo fronte, consentendo ai propri utenti di ottenere tangibili risparmi sulla bolletta elettrica, senza sacrificare le prestazioni.

ASUSTOR, produttore di NAS fondato nel 2011 con un investimento diretto di ASUSTek Computer Inc., dopo aver introdotto per primo al mondo il System Sleep Mode S3 sui NAS dieci anni fa, ribadisce il proprio impegno sul fronte del risparmio energetico con una serie di nuove tecnologie e funzionalità del sistema operativo ADM (ASUSTOR Data Master).

Progettati per essere operativi 24/7, i NAS molto spesso non vengono sfruttati durante l’intero arco della giornata, quindi, è molto importante che siano dotati di tecnologie in grado di ridurre in modo sensibile i loro consumi energetici nei periodi di inutilizzo.

Tra le possibilità che il sistema operativo dei NAS ASUSTOR offre per contenere i consumi, oltre al già citato System Sleep Mode S3, che permette di porre automaticamente in standby il NAS quando è inattivo, si distinguono anche WOL (Wake On LAN) e WOW (Wake On WAN), due tecnologie che consentono il “risveglio” del NAS dopo un periodo di sospensione, tramite un PC o uno smartphone collegati sulla stessa rete locale oppure da remoto via Internet.

Risparmi energetici ancora più significativi sono possibili pianificando l’accensione del NAS solo quando i suoi servizi vengono utilizzati.

Ad esempio, lo spegnimento o l’ibernazione del NAS alle ore 18:00 nei giorni feriali e la scelta di mantenerlo spento durante i fine settimana possono aiutare imprese e professionisti a contenere i costi energetici in modo davvero significativo.

Prove di laboratorio effettuate da ASUSTOR con i NAS della serie Lockerstor Gen2, ad esempio, hanno evidenziato che lo spegimento del NAS per 16 ore al giorno, rispetto al funzionamento ininterrotto 24 ore su 24, considerando un costo dell’energia pari a 0,60 Euro/kWh, può arrivare a far risparmire fino a 170 Euro all’anno.

Il sistema operativo ADM, quando i NAS ASUSTOR sono accesi, permette poi di controllare la luminosità dei LED e gestire anche lo spegnimento intelligente dei dischi rigidi, assicurando sia un sensibile risparmio di energia, sia un prolungamento della durata delle memorie di massa stesse.

Degna di nota è poi anche l’esclusiva funzionalità MyArchive che, permettendo ai NAS ASUSTOR di venire utilizzati anche come soluzioni a dischi rimovibili, consente di dedicare una o più unità disco ai dati e/o agli asset digitali che vengono utilizzati più raramente. I dischi MyArchive possono venire collegati e scollegati a seconda dei bisogni in modo rapido e immediato, nonché utilizzati anche per trasferire in modo rapido ingenti quantità di dati da un NAS ASUSTOR all’altro.

Oltre alle funzionalità del sistema operativo ADM, i NAS di fascia medio-alta di ASUSTOR possono, inoltre, beneficiare anche dei vantaggi offerti dai loro case e dai tray realizzati in metallo che facilitano la dispersione del calore, riducendo così i carichi di lavoro delle ventole e, quindi, i loro consumi.

Una menzione particolare, infine, va ai NAS in formato rackmount Lockerstor 12R Pro e 16R Pro, che montano gli alimentatori per server 80 Plus Platinum, in grado di vantare un livello di efficienza energetica fino al 94%, e i recenti Lockerstor 6 Gen2, Lockerstor 8, Lockerstor 10 e Lockerstor 10 Pro, che sono tutti dotati di alimentatori 80 Plus Bronze con un’efficienza fino all’85%.

https://www.toptrade.it/strategie/asustor-spinge-sul-risparmio-energetico/

Telegram implementa la trascrizione del video in testo.

Angelo Domeneghini — Wed, 09 Nov 2022 10:53:00 GMT

Telegram implementa la trascrizione del video in testo.

Dopo WhatsApp, che ha recentemente esaminato il modo in cui funzionano i suoi gruppi, è il turno di Telegram di portare la sua quota di nuove funzionalità.

Nel menu: argomenti di gruppo, nomi utente collezionabili e trascrizione voice-to-text per videomessaggi.

Invece di federare i gruppi in Comunità come il suo concorrente WhatsApp, Telegram ha scelto di introdurre argomenti nei gruppi.

Questi, che possono avere più di 200 membri, funzionano come discussioni separate all'interno di un gruppo, inclusi i propri media condivisi e le impostazioni di notifica.

Un accenno di NFT

Telegram ora integra il suo piccolo lato NFT con la possibilità di utilizzare più nomi utente in ciascuno degli account pubblici e degli scambi, limitato a una lunghezza massima di 5 caratteri. Questi nomi, protetti da una rete blockchain veloce e scalabile, possono essere acquistati e venduti attraverso una piattaforma dedicata, dando così valore ai nomi di dominio di Telegram.

Per chi ha fretta apprendiamo, anche dal blog di Telegram, che gli utenti Premium potranno avere un servizio a pagamento che costa 5,49 euro al mese, e potranno trascrivere non solo messaggi audio in testo ma anche messaggi video nello stesso formato.

Infine, anche la messaggistica crittografata sfrutta questo aggiornamento per introdurre 12 nuovi set di emoji, una modalità notturna ridisegnata su iOS e una modifica dinamica della dimensione del testo su Android. Tutte queste piccole aggiunte rafforzano il vantaggio di Telegram su alcune funzioni rispetto a WhatsApp, mentre i funzionari vorrebbero sottolineare che questo aggiornamento sarebbe potuto arrivare più velocemente se il sistema di convalida delle app di Apple fosse stato più veloce.

https://www.20min.ch/fr/story/la-transcription-de-la-video-en-texte-sinvite-a-bord-679933788643

VMware risolve tre bug critici di bypass dell'autenticazione nello strumento di accesso remoto

Angelo Domeneghini — Wed, 09 Nov 2022 10:45:00 GMT

VMware risolve tre bug critici di bypass dell'autenticazione nello strumento di accesso remoto

VMware

VMware ha rilasciato aggiornamenti di sicurezza per affrontare tre vulnerabilità di gravità critica nella soluzione Workspace ONE Assist che consentono agli aggressori remoti di aggirare l'autenticazione ed elevare i privilegi di amministratore.

Workspace ONE Assist fornisce il controllo remoto, la condivisione dello schermo, la gestione del file system e l'esecuzione di comandi in remoto per consentire all'help desk e al personale IT di accedere in remoto e risolvere i problemi dei dispositivi in tempo reale dalla console di Workspace ONE.

I difetti sono tracciati come CVE-2022-31685 (esclusione dell'autenticazione), CVE-2022-31686 (metodo di autenticazione interrotto) e CVE-2022-31687 (controllo dell'autenticazione interrotto) e hanno ricevuto punteggi di base CVSSv3 di 9,8/10.

Gli attori delle minacce non autenticati possono sfruttarli in attacchi a bassa complessità che non richiedono l'interazione dell'utente per l'escalation dei privilegi.

"Un malintenzionato con accesso di rete a Workspace ONE Assist potrebbe essere in grado di ottenere l'accesso amministrativo senza la necessità di autenticarsi nell'applicazione", VMware descrive i tre bug di sicurezza.

Risolto il problema con Workspace ONE Assist 22.10

L'azienda li ha aggiornati oggi con il rilascio di Workspace ONE Assist 22.10 (89993) per i clienti Windows.

VMware ha inoltre corretto una vulnerabilità di cross-site scripting (XSS) riflessa (CVE-2022-31688) che consente agli aggressori di iniettare codice javascript nella finestra dell'utente di destinazione e una vulnerabilità di correzione della sessione (CVE-2022-31689) che consente l'autenticazione dopo aver ottenuto un token di sessione valido.

Tutte le vulnerabilità corrette oggi sono state rilevate e segnalate a VMware da Jasper Westerman, Jan van der Put, Yanick de Pater e Harm Blankers di REQON IT-Security.

Ad agosto, VMware ha avvertito gli amministratori di correggere un altro difetto di sicurezza critico per bypassare l'autenticazione in VMware Workspace ONE Access, Identity Manager e vRealize Automation, consentendo agli aggressori non autenticati di ottenere privilegi di amministratore.

Una settimana dopo, la società ha rivelato che il codice exploit proof-of-concept (PoC) è stato rilasciato online dopo che il ricercatore che ha scoperto e segnalato la vulnerabilità ha condiviso un exploit PoC.

A maggio, VMware ha corretto una vulnerabilità critica quasi identica, un altro bypass dell'autenticazione (CVE-2022-22972) trovato da Bruno López di Innotec Security in Workspace ONE Access, VMware Identity Manager (vIDM) e vRealize Automation.

https://www.bleepingcomputer.com/news/security/vmware-fixes-three-critical-auth-bypass-bugs-in-remote-access-tool/

Un'estensione dannosa consente agli aggressori di controllare Google Chrome da remoto

Angelo Domeneghini — Wed, 09 Nov 2022 10:36:00 GMT

Un'estensione dannosa consente agli aggressori di controllare Google Chrome da remoto

Una nuova botnet del browser Chrome denominata "Cloud9" è stata scoperta in natura utilizzando estensioni dannose per rubare account online, registrare sequenze di tasti, iniettare annunci e codice JS dannoso e arruolare il browser della vittima in attacchi DDoS.

La botnet del browser Cloud9 è effettivamente un trojan di accesso remoto (RAT) per il browser Web Chromium, inclusi Google Chrome e Microsoft Edge, consentendo all'attore delle minacce di eseguire comandi in remoto.

L'estensione dannosa di Chrome non è disponibile sul web store ufficiale di Chrome, ma viene invece diffusa attraverso canali alternativi, come i siti Web che inviano falsi aggiornamenti di Adobe Flash Player.

Questo metodo sembra funzionare bene, poiché i ricercatori di Zimperium hanno riferito oggi di aver visto infezioni di Cloud9 sui sistemi di tutto il mondo.

Infettare il tuo browser

Cloud9 è un'estensione del browser dannosa che esegue il backdoor dei browser Chromium per eseguire un elenco completo di funzioni e capacità dannose.

L'estensione è composta da tre file JavaScript per la raccolta di informazioni di sistema, il mining di criptovaluta utilizzando le risorse dell'host, l'esecuzione di attacchi DDoS e l'inserimento di script che eseguono exploit del browser.

Zimperium ha notato il caricamento di exploit per le vulnerabilità CVE-2019-11708 e CVE-2019-9810 in Firefox, CVE-2014-6332 e CVE-2016-0189 per Internet Explorer e CVE-2016-7200 per Edge.

Queste vulnerabilità vengono utilizzate per installare ed eseguire automaticamente il malware Windows sull'host, consentendo agli aggressori di eseguire compromissioni del sistema ancora più significative.

Tuttavia, anche senza il componente malware di Windows, l'estensione Cloud9 può rubare i cookie dal browser compromesso, che gli attori delle minacce possono utilizzare per dirottare sessioni utente valide e assumere account.

Inoltre, il malware è dotato di un keylogger in grado di spiare la pressione dei tasti per rubare password e altre informazioni sensibili.

Nell'interno è presente anche un modulo "clipper", che monitora costantemente gli appunti di sistema per password o carte di credito copiate.

Cloud9 può anche iniettare annunci caricando silenziosamente pagine Web per generare impressioni pubblicitarie e, quindi, entrate per i suoi operatori.

Infine, il malware può sfruttare la potenza di fuoco dell'host per eseguire attacchi DDoS di livello 7 tramite richieste HTTP POST al dominio di destinazione.

"Gli attacchi di livello 7 sono generalmente molto difficili da rilevare perché la connessione TCP è molto simile alle richieste legittime", commenta Zimperium.

"È probabile che lo sviluppatore utilizzi questa botnet per fornire un servizio per eseguire DDOS".

Operatori e target

Si ritiene che gli hacker dietro Cloud9 abbiano legami con il gruppo di malware Keksec perché i domini C2 utilizzati nella recente campagna sono stati visti negli attacchi passati di Keksec.

Keksec è responsabile dello sviluppo e dell'esecuzione di più progetti botnet, inclusi EnemyBot, Tsunamy, Gafgyt, DarkHTTP, DarkIRC e Necro.

Le vittime di Cloud9 sono sparse in tutto il mondo e gli screenshot pubblicati dall'attore delle minacce sui forum indicano che prendono di mira vari browser.

Inoltre, la promozione pubblica di Cloud9 sui forum della criminalità informatica porta Zimperium a credere che Keksec lo stia probabilmente vendendo/affittando ad altri operatori.

Aggiornamento 11/9 - Un portavoce di Google ha fornito il seguente commento sulla minaccia Cloud9:

Consigliamo sempre agli utenti di aggiornare all'ultima versione di Google Chrome per assicurarsi che dispongano delle protezioni di sicurezza più aggiornate.

Gli utenti possono anche proteggersi meglio da eseguibili e siti Web dannosi abilitando la protezione avanzata nelle impostazioni di privacy e sicurezza in Chrome.

La protezione avanzata ti avverte automaticamente di siti e download potenzialmente rischiosi, controlla la sicurezza dei tuoi download e ti avverte quando un file potrebbe essere pericoloso.

https://www.bleepingcomputer.com/news/security/malicious-extension-lets-attackers-control-google-chrome-remotely/

Apple prepara il Fix iOS 16.1.1 poiché il bug Wi-Fi diffuso persiste!

Angelo Domeneghini — Tue, 08 Nov 2022 11:51:00 GMT

Apple prepara il Fix iOS 16.1.1 poiché il bug Wi-Fi diffuso persiste!

Apple sta preparando un aggiornamento iOS 16.1.1 per iPhone per risolvere bug e problemi riscontrati dagli utenti dopo il primo importante aggiornamento del sistema operativo iOS 16 due settimane fa, incluso un bug Wi-Fi persistente che ha infastidito i clienti "iPhone".

iOS 16

MacRumors la scorsa settimana ha visto segni di dispositivi con iOS 16.1.1 nelle analisi del nostro sito Web, indicando che l'aggiornamento è in fase di test all'interno di Apple e potrebbe vedere un lancio nel prossimo futuro.

Sebbene non sia chiaro cosa includerà l'aggiornamento, è possibile che possa correggere un bug Wi-Fi diffuso e persistente che ha avuto un impatto sugli utenti.

Il bug fa sì che l'‌iPhone‌ di un utente si disconnetta casualmente dal Wi-Fi quando lasciato in standby, ad esempio durante la notte o in altre situazioni.

Oltre alla correzione del bug del Wi-Fi, Apple potrebbe rispondere ai reclami di vecchia data degli utenti dal lancio di ‌iOS 16‌ a settembre, inclusi segnalazioni di esaurimento della batteria, ricerca Spotlight lenta e animazioni lente sui modelli di iPhone 14 Pro quando esci dalle app. Per le nuove funzionalità, iOS 16.1.1 potrebbe includere l'SOS di emergenza via satellite per i modelli iPhone 14 e "iPhone 14 Pro".

Mark Gurman di Bloomberg ha recentemente affermato nella sua newsletter Power On che è probabile che Apple rilasci SOS di emergenza via satellite tramite un aggiornamento a ‌iOS 16‌ a novembre, che potrebbe rivelarsi iOS 16.1.1.

MacRumors non ha visto alcun segno di altri aggiornamenti di iOS 16.1.X nelle nostre analisi al momento della scrittura.

Apple non ha ancora fornito informazioni specifiche su quando Emergency SOS via Satellite sarà disponibile per gli utenti oltre a quanto detto a novembre.

Apple sta attualmente testando pubblicamente iOS 16.2 e iPadOS 16.2 con sviluppatori e membri del programma beta pubblico. iOS 16.2 dovrebbe essere lanciato a metà dicembre.

https://www.macrumors.com/2022/11/07/apple-working-on-ios16-1-1/

Il governo britannico sta scansionando tutti i dispositivi Internet ospitati nel Regno Unito

Angelo Domeneghini — Tue, 08 Nov 2022 11:28:00 GMT

Il governo britannico sta scansionando tutti i dispositivi Internet ospitati nel Regno Unito

NCSC del Regno Unito

Il National Cyber Security Center (NCSC) del Regno Unito, l'agenzia governativa che guida la missione di sicurezza informatica del paese, sta ora esaminando tutti i dispositivi esposti ad Internet ospitati nel Regno Unito, per individuare eventuali vulnerabilità.

L'obiettivo è valutare la vulnerabilità del Regno Unito agli attacchi informatici ed aiutare i proprietari di sistemi connessi ad Internet a comprendere la propria posizione di sicurezza.

"Queste attività coprono qualsiasi sistema accessibile a Internet ospitato nel Regno Unito e vulnerabilità che sono comuni o particolarmente importanti a causa del loro alto impatto", ha affermato l'agenzia.

"L'NCSC utilizza i dati che abbiamo raccolto per creare una panoramica dell'esposizione del Regno Unito alle vulnerabilità in seguito alla loro divulgazione e tracciarne la correzione nel tempo".

Le scansioni di NCSC vengono eseguite utilizzando strumenti ospitati in un ambiente ospitato su cloud dedicato da scanner.scanning.service.ncsc.gov.uk e due indirizzi IP (18.171.7.246 e 35.177.10.231).

L'agenzia afferma che tutte le sonde di vulnerabilità vengono testate all'interno del proprio ambiente per rilevare eventuali problemi prima di eseguire la scansione di Internet nel Regno Unito.

"Non stiamo cercando di trovare vulnerabilità nel Regno Unito per altri scopi nefasti", ha spiegato il direttore tecnico dell'NCSC Ian Levy.

"Stiamo iniziando con scansioni semplici e aumenteremo lentamente la complessità delle scansioni, spiegando cosa stiamo facendo (e perché lo stiamo facendo)."

Come disattivare le sonde di vulnerabilità

I dati raccolti da queste scansioni includono tutti i dati restituiti durante la connessione a servizi e server Web, come le risposte HTTP complete (incluse le intestazioni).

Le richieste sono progettate per raccogliere la quantità minima di informazioni necessarie per verificare se la risorsa scansionata è interessata da una vulnerabilità.

Se vengono raccolti inavvertitamente dati sensibili o personali, l'NCSC afferma che "adotterà misure per rimuovere i dati e impedire che vengano acquisiti di nuovo in futuro".

Le organizzazioni britanniche possono anche rinunciare alla scansione dei loro server da parte del governo inviando un'e-mail con un elenco di indirizzi IP che desiderano escludere a scanning@ncsc.gov.uk.

A gennaio, l'agenzia per la sicurezza informatica ha anche iniziato a rilasciare script NMAP Scripting Engine per aiutare i difensori a scansionare e riparare i sistemi vulnerabili sulle loro reti.

L'NCSC prevede di rilasciare nuovi script Nmap solo per vulnerabilità di sicurezza critiche che ritiene essere in cima agli elenchi di obiettivi degli attori delle minacce.

https://www.bleepingcomputer.com/news/security/british-govt-is-scanning-all-internet-devices-hosted-in-uk/

Le WhatsApp Community sono ora disponibili, ecco cosa sono e come funzionano i nuovi super gruppi

Angelo Domeneghini — Mon, 07 Nov 2022 10:25:00 GMT

Le WhatsApp Community sono ora disponibili, ecco cosa sono e come funzionano i nuovi super gruppi

Whatsapp Community cos’è

Whatsapp Community come funziona

Perché WhatsApp Community

Strumenti per gli amministratori

Opzioni di controllo sulle chat anche agli utenti

WhatsApp community limiti a dimensioni

WhatsApp Nuove funzioni

https://www.digitalic.it/social-network/whatsapp-community-come-funzionano

Vodafone Italia rivela violazione dei dati dopo l'hacking del rivenditore FourB SpA

Angelo Domeneghini — Thu, 03 Nov 2022 08:51:00 GMT

Vodafone Italia rivela violazione dei dati dopo l'hacking del rivenditore

Vodafone Italia sta inviando ai clienti comunicazioni di violazione dei dati, informando che uno dei suoi partner commerciali, FourB S.p.A., che opera come rivenditore di servizi di telecomunicazioni nel Paese, ha subito un attacco informatico.

Secondo l'avviso, l'attacco informatico è avvenuto nella prima settimana di settembre e ha portato alla compromissione di dettagli sensibili degli abbonati.

Le informazioni esposte includono i dettagli dell'abbonamento, i documenti di identità con dati sensibili e i dettagli di contatto.

L'avviso chiarisce che nessuna password dell'account o dati sul traffico di rete sono stati compromessi a seguito di questo incidente.

Vodafone Italia esorta i destinatari delle notifiche a rimanere vigili sulle comunicazioni in arrivo, poiché il rischio di essere presi di mira da attori di phishing e truffatori è ora aumentato.

L'avviso conclude che FourB ha chiuso l'accesso ai server violati e ha implementato una sicurezza di livello superiore sui suoi sistemi per prevenire il verificarsi di incidenti simili in futuro.

BleepingComputer ha contattato sia Vodafone Italia che FourB S.p.A. per ulteriori informazioni sull'attacco ma non ha ricevuto risposta al momento della pubblicazione.

Dati Vodafone Italia in vendita a settembre

Anche se non è chiaro se sia correlato alla divulgazione di Vodafone di oggi, il 3 settembre 2022 un gruppo di hacker che si fa chiamare KelvinSecurity ha rivendicato un attacco contro la società di telecomunicazioni.

KelvinSecurity si è offerta di vendere una raccolta di 295.000 file per un totale di 310 GB di dati che avrebbero rubato a Vodafone Italia e pubblicizzato la cache su piattaforme di messaggistica e almeno un forum di hacker.

In quel momento, Vodafone ha risposto alla voce di violazione con una breve dichiarazione in cui affermava di non aver trovato prove di accesso non autorizzato ai sistemi informatici interni dell'azienda, ma avrebbe continuato le indagini.

KelvinSecurity è un venditore di dati esperto che può anche vendere l'accesso iniziale ad altri hacker. Nel giugno 2020, hanno barattato i dati dei dipendenti di Frost & Sullivan sui forum di hacking dopo aver violato un server di backup.

A quel tempo, l'attore della minaccia affermò che il loro scopo era avvisare l'azienda dei problemi di sicurezza che avevano scoperto, ma decise di mettere in vendita il database dopo che l'azienda violata aveva ignorato i loro messaggi.

https://www.bleepingcomputer.com/news/security/vodafone-italy-discloses-data-breach-after-reseller-hacked/

Raccomandate & Posta con 3DA Cube

Angelo Domeneghini — Wed, 02 Nov 2022 15:39:00 GMT

Grandi Novità!

3DA Cube si aggiorna😎 ...

Raccomandate & Posta

-> Raccomandate ... Posta prioritaria

Ma...

Perché spedire lettere e raccomandate con 3DA Cube?

Quando il cliente pensa alle spedizioni deve tener a mente una serie di azioni da compiere:

All'Ufficio Postale

con 3DA Cube

Cosa aspetti?

Prova subito il nuovo servizio!

https://cube.3da.it/

App Android dannose, con oltre 1 milione di installazioni, trovate su Google Play

Angelo Domeneghini — Wed, 02 Nov 2022 15:20:00 GMT

App Android dannose, con oltre 1 milione di installazioni, trovate su Google Play

Un insieme di quattro applicazioni dannose attualmente disponibili su Google Play, lo store ufficiale del sistema Android, stanno indirizzando i siti degli utenti che rubano informazioni sensibili o generano entrate "pay-per-click" per gli operatori.

Alcuni di questi siti offrono alle vittime il download di strumenti o aggiornamenti di sicurezza falsi, per indurre gli utenti a installare manualmente i file dannosi.

Al momento della pubblicazione, le app sono ancora presenti su Google Play con un account sviluppatore chiamato Mobile apps Group e hanno un totale di oltre 1 milione d' installazioni.

Secondo un rapporto di Malwarebytes, lo stesso sviluppatore è stato esposto due volte in passato per aver distribuito adware su Google Play, ma è stato autorizzato a continuare a pubblicare app dopo aver inviato versioni pulite.

Le quattro app dannose scoperte questa volta sono:

.Bluetooth Auto Connect, con oltre 1.000.000 di installazioni

.Mittente di app Bluetooth, con oltre 50.000 installazioni

.Driver: Bluetooth, Wi-Fi, USB, con oltre 10.000 installazioni

.Trasferimento mobile: smart switch, con oltre 1.000 installazioni

Le app non hanno recensioni favorevoli su Google Play e molti utenti hanno lasciato commenti su annunci intrusivi che si aprono automaticamente nelle nuove schede del browser.

È interessante notare che lo sviluppatore risponde ad alcuni di questi commenti, offrendo di aiutare a risolvere i problemi con gli annunci.

BleepingComputer ha contattato "Mobile apps Group" per richiedere un commento sui risultati dei ricercatori di Malwarebytes, ma non abbiamo ancora ricevuto risposta.

72 ore di ritardo

Monitorando l'attività del software da Mobile apps Group, Malwarebytes ha rilevato che le app hanno un ritardo di 72 ore prima di mostrare il primo annuncio o aprire un collegamento di phishing nel browser web, quindi continuano ad avviare più schede con contenuti simili ogni due ore.

I ricercatori osservano che le nuove schede del browser vengono aperte anche quando il dispositivo è bloccato, quindi quando gli utenti tornano ai loro telefoni dopo un po', trovano più siti di phishing e annunci aperti.

L'analisi del file Manifest ha rivelato che lo sviluppatore ha cercato di offuscare i registri per le azioni eseguite utilizzando descrittori di registro senza senso come "sdfsdf".

Sebbene questo metodo funzioni contro gli scanner di codici automatizzati, ha aiutato i ricercatori a individuare le azioni più facilmente.

Per tenere l'adware lontano dal tuo dispositivo, evita di installare app da store Android non ufficiali. La lettura delle recensioni degli utenti, il monitoraggio dell'utilizzo della batteria e l'attività dei dati di rete aiutano anche a determinare se il dispositivo esegue software sospetto. Mantenere attiva la funzione Play Protect di Google è anche un buon modo per mantenere il dispositivo più sicuro.

Se sul tuo dispositivo Android è presente una delle app di cui sopra, ti consigliamo di rimuoverle ed eseguire una scansione completa del sistema utilizzando Play Protect o una suite antivirus mobile di un fornitore affidabile.

BleepingComputer ha anche contattato Google per un commento sulla cronologia degli sviluppatori e sulle loro app attuali e aggiorneremo questa storia non appena avremo notizie.

https://www.bleepingcomputer.com/news/security/malicious-android-apps-with-1m-plus-installs-found-on-google-play/

OpenSSL risolve due vulnerabilità di alta gravità!

Angelo Domeneghini — Wed, 02 Nov 2022 15:12:00 GMT

OpenSSL risolve due vulnerabilità di alta gravità: ... quello che devi sapere ...

Il progetto OpenSSL ha corretto due falle di sicurezza ad alta gravità nella sua libreria crittografica open source utilizzata per crittografare i canali di comunicazione e le connessioni HTTPS.

Le vulnerabilità (CVE-2022-3602 e CVE-2022-3786) interessano OpenSSL versione 3.0.0 e successive e sono state risolte in OpenSSL 3.0.7.

CVE-2022-3602 è un overflow arbitrario del buffer dello stack di 4 byte che potrebbe causare arresti anomali o portare all'esecuzione di codice in modalità remota (RCE), mentre CVE-2022-3786 può essere sfruttato dagli aggressori tramite indirizzi e-mail dannosi per attivare uno stato di negazione del servizio tramite un overflow del buffer.

"Riteniamo ancora che questi problemi siano gravi vulnerabilità e gli utenti interessati sono incoraggiati a eseguire l'aggiornamento il prima possibile", ha affermato il team di OpenSSL.

"Non siamo a conoscenza di alcun exploit funzionante che potrebbe portare all'esecuzione di codice in modalità remota e non abbiamo prove che questi problemi vengano sfruttati al momento del rilascio di questo post".

In base alla politica di Open SSL, le organizzazioni e gli amministratori IT sono stati avvisati dal 25 ottobre di cercare nei loro ambienti istanze vulnerabili e prepararli per l'applicazione di patch quando OpenSSL 3.0.7 verrà rilasciato.

"Se sai in anticipo dove stai usando OpenSSL 3.0+ e come lo stai usando, quando arriverà l'avviso sarai in grado di determinare rapidamente se o come sei interessato e cosa devi patchare", ha detto Cox.

OpenSSL fornisce anche misure di mitigazione che richiedono agli amministratori che gestiscono server TLS di disabilitare l'autenticazione del client TLS fino all'applicazione delle patch.

Molto rumore per nulla?

Mentre l'avviso iniziale ha spinto gli amministratori a intraprendere un'azione immediata per mitigare il difetto, l'impatto effettivo è molto più limitato dato che CVE-2022-3602 (inizialmente classificato come critico) è stato declassato a severità elevata e ha un impatto solo su OpenSSL 3.0 e istanze successive .

Queste versioni rilasciate di recente devono ancora essere ampiamente distribuite al software utilizzato in produzione rispetto alle versioni precedenti della libreria OpenSSL.

Inoltre, anche se alcuni esperti di sicurezza e fornitori hanno identificato la scoperta di questa vulnerabilità con il difetto Log4Shell nella libreria di registrazione Apache Log4J, solo circa 7.000 sistemi esposti a Internet eseguono versioni OpenSSL vulnerabili su un totale di oltre 1.793.000 host unici individuati da Censys online — Shodan elenca circa 16.000 istanze OpenSSL pubblicamente accessibili.

La società di sicurezza cloud Wiz.io ha anche affermato che solo l'1,5% di tutte le istanze OpenSSL è stato colpito da questo difetto di sicurezza dopo aver analizzato le distribuzioni nei principali ambienti cloud (ad esempio, AWS, GCP, Azure, OCI e Alibaba Cloud).

Istanze OpenSSL vulnerabili tra i CSP più diffusi

Istanze OpenSSL vulnerabili su CSP popolari (Wiz.io)

Il National Cyber Security Center dei Paesi Bassi sta mantenendo un elenco di prodotti software confermati come (non) interessati da questa vulnerabilità OpenSSL.

Le ultime versioni di OpenSSL sono incluse nelle versioni più recenti di diverse distribuzioni Linux popolari, con Redhat Enterprise Linux 9, Ubuntu 22.04+, CentOS Stream9, Kali 2022.3, Debian 12 e Fedora 36 etichettati come vulnerabili dalla società di sicurezza informatica Akamai.

Akamai ha anche condiviso le regole OSQuery e YARA per aiutare i team di sicurezza a trovare le risorse vulnerabili e metterle in coda per l'applicazione delle patch una volta rilasciato l'aggiornamento della sicurezza.

https://www.bleepingcomputer.com/news/security/openssl-fixes-two-high-severity-vulnerabilities-what-you-need-to-know/

Vulnerabilità Zoom

Angelo Domeneghini — Thu, 27 Oct 2022 08:07:00 GMT

Rilevata una vulnerabilità, con gravità “alta”, nel noto software di videoconferenza Zoom Client for Meetings.

Descrizione:

Zoom Client for Meetings (per Android, iOS, Linux, macOS e Windows) prima della versione 5.12.2 è soggetto a una vulnerabilità di analisi degli URL.

Se viene aperto un URL di una riunione Zoom dannoso, il collegamento dannoso potrebbe indirizzare l'utente a connettersi a un indirizzo di rete arbitrario, portando ad ulteriori attacchi, inclusi acquisizioni di sessioni.

Gli utenti possono aiutare a mantenersi al sicuro applicando gli aggiornamenti correnti o scaricando l'ultimo software Zoom con tutti gli aggiornamenti di sicurezza correnti da https://zoom.us/download.

Prodotti interessati:

.Zoom Client for Meetings (per Android, iOS, Linux, macOS e Windows) prima della versione 5.12.2

.Zoom VDI Windows Meeting Client precedenti alla versione 5.12.2

.Zoom Rooms per Conference Room (per Android, iOS, Linux, macOS e Windows) prima della versione 5.12.2

Fonte: segnalato da Zoom Security Team

https://explore.zoom.us/en/trust/security/security-bulletin/

La nuova modalità di manutenzione Samsung protegge i tuoi dati durante le riparazioni del telefono

Angelo Domeneghini — Wed, 26 Oct 2022 08:51:00 GMT

La nuova modalità di manutenzione Samsung protegge i tuoi dati durante le riparazioni del telefono

SAMSUNG

Dopo un programma pilota di successo in Corea, Samsung sta ora implementando la "Modalità di manutenzione" per selezionare i dispositivi Galaxy a livello globale, per aiutare gli utenti a proteggere i loro dati sensibili quando consegnano i loro smartphone ai punti di servizio.

Questo nuovo sistema mira ad alleviare l'ansia degli utenti e rafforzare la fiducia che nessuno può accedere o copiare i dati personali, anche con l'accesso fisico al dispositivo.

"Tutte le nostre vite sono sui nostri telefoni, dalle informazioni sulla carta di credito alle foto di famiglia", commenta il vicepresidente e capo della sicurezza di Samsung, Seungwon Shin, nell'annuncio.

"Con la modalità di manutenzione, stiamo rassicurando in più sul fatto che gli utenti Galaxy possono mantenere la loro privacy, anche se consegnano il telefono a qualcuno" - Samsung

La nuova modalità è disponibile in Impostazioni, nel menu "Cura batteria e dispositivo". Una volta abilitata, la modalità è attiva dopo il riavvio del dispositivo.

In questo modo viene creato un account utente ausiliario sul dispositivo, completamente isolato da tutte le applicazioni installate dal proprietario, dai dati archiviati e dal filesystem.

Ciò rende le foto, i documenti e i messaggi associati all'account del proprietario non disponibili per il nuovo utente.

Samsung consiglia comunque di eseguire il backup di dati personali preziosi per assicurarsi che possano essere recuperati in caso di guasto del supporto di archiviazione o di altri componenti durante la manutenzione.

La modalità di manutenzione consentirà ai tecnici dell'assistenza di eseguire qualsiasi azione necessaria nel contesto dei lavori di riparazione, come testare le funzioni del dispositivo, eseguire app di sistema, scaricare software dal Galaxy Store, ecc.

Una volta che il dispositivo viene restituito al proprietario e quest' ultimo immette la password dell'account normale, il secondo account, i dati creati e le app installate durante la modalità di manutenzione vengono automaticamente cancellati.

Il gigante tecnologico coreano ha dato la priorità ai modelli della serie Samsung Galaxy S21 e S22 che funzionano su One UI 5, quindi questi avranno prima la funzione.

Il lancio continuerà per tutto il 2023, espandendosi a più modelli Galaxy, ma Samsung non ne ha ancora pubblicato un elenco.

https://www.bleepingcomputer.com/news/security/new-samsung-maintenance-mode-protects-your-data-during-phone-repairs/

Apple risolve il nuovo zero-day utilizzato negli attacchi contro iPhone, iPad

Angelo Domeneghini — Tue, 25 Oct 2022 07:53:00 GMT

Apple risolve il nuovo zero-day utilizzato negli attacchi contro iPhone, iPad

Negli aggiornamenti di sicurezza rilasciati lunedì, Apple ha corretto la nona vulnerabilità zero-day utilizzata negli attacchi contro gli iPhone dall'inizio dell'anno.

Apple ha rivelato oggi in un avviso di essere a conoscenza di rapporti secondo cui il difetto di sicurezza "potrebbe essere stato attivamente sfruttato".

Il bug (CVE-2022-42827) è un problema di scrittura fuori limite segnalato ad Apple da un ricercatore anonimo e causato dal software che scrive dati al di fuori dei limiti dell'attuale buffer di memoria.

Ciò può causare il danneggiamento dei dati, arresti anomali dell'applicazione o l'esecuzione di codice a causa di risultati non definiti o imprevisti (noti anche come danneggiamento della memoria) risultanti dai dati successivi scritti nel buffer.

Come spiega Apple, se sfruttato con successo negli attacchi, questo zero-day avrebbe potuto essere utilizzato da potenziali aggressori per eseguire codice arbitrario con privilegi del kernel.

L'elenco completo dei dispositivi interessati include iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air di terza generazione e successivi, iPad di quinta generazione e successivi e iPad mini di quinta generazione e successivi.

Apple ha affrontato la vulnerabilità zero-day in iOS 16.1 e iPadOS 16 con un migliore controllo dei limiti.

*Installare le Patch per i tuoi iPhone e iPad*

Sebbene Apple abbia rivelato di essere a conoscenza di rapporti di sfruttamento attivo di questa vulnerabilità in natura, non ha ancora rilasciato alcuna informazione su questi attacchi.

Ciò probabilmente consentirà ai clienti Apple di applicare patch ai propri dispositivi prima che altri aggressori sviluppino ulteriori exploit e inizino a utilizzarli in attacchi contro iPhone e iPad vulnerabili.

Anche se questo bug zero-day è stato molto probabilmente utilizzato solo in attacchi altamente mirati, si consiglia vivamente di installare gli aggiornamenti di sicurezza odierni per bloccare qualsiasi tentativo di attacco.

*Questo è il nono zero-day corretto da Apple dall'inizio dell'anno:*

A settembre, Apple ha risolto un difetto nel kernel iOS (CVE-2022-32917).

Ad agosto, ha corretto altri due zero-day nel kernel iOS (CVE-2022-32894) e WebKit (CVE-2022-32893)

A marzo, Apple ha patchato due zero-day nel driver grafico Intel (CVE-2022-22674) e AppleAVD (CVE-2022-22675).

A febbraio, Apple ha rilasciato aggiornamenti di sicurezza per risolvere un altro bug zero-day di WebKit sfruttato per colpire iPhone, iPad e Mac.

A gennaio, Apple ha corretto un altro paio di zero-day consentendo l'esecuzione di codice con privilegi del kernel (CVE-2022-22587) e il monitoraggio dell'attività di navigazione web (CVE-2022-22594).

https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-ipads/

Caricabatterie unico, ok definitivo dell’Ue: la svolta dal 2024

Angelo Domeneghini — Tue, 25 Oct 2022 07:41:00 GMT

Il caricabatteria universale UE arriverà entro la fine del 2024

Caricabatteria unico per tutti i cellulari e tablet: un grande vantaggio per ambiente e consumatori

La porta USB-C diventerà il nuovo standard e offrirà una capacità di ricarica e di trasferimento dati di elevata qualità

Gli acquirenti potranno scegliere se acquistare un nuovo dispositivo con o senza caricatore

I nuovi dispositivi mobili sul mercato UE dovranno includere una porta di ricarica USB-C entro fine 2024

Il Parlamento ha approvato in via definitiva la legislazione UE che permetterà ai consumatori di utilizzare presto un unico caricatore per i loro dispositivi elettronici.

Entro la fine del 2024, tutti i telefoni cellulari, i tablet e le fotocamere nell'Unione europea dovranno essere dotati di una porta di ricarica USB-C.

Dalla primavera 2026, l'obbligo si estenderà ai computer portatili. La nuova legge fa parte di un più ampio sforzo dell'UE volto a ridurre i rifiuti elettronici e a consentire ai consumatori di compiere scelte più sostenibili.

Il testo legislativo è stato approvato con 602 voti favorevoli, 13 contrari e 8 astensioni.

Secondo lee nuove regole, i consumatori non avranno più bisogno di un caricabatteria ogni volta che acquistano un nuovo dispositivo, poiché uno stesso caricabatteria potrà essere utilizzato su tutta una serie di dispositivi elettronici portatili di piccole e medie dimensioni.

Indipendentemente dal produttore, tutti i nuovi telefoni cellulari, tablet, fotocamere digitali, auricolari e cuffie, console per videogiochi portatili e altoparlanti portatili, e-reader, tastiere, mouse, sistemi di navigazione portatili, cuffiette e laptop ricaricabili via cavo, che operano con una potenza fino a 100 Watt, dovranno essere dotati di una porta USB-C.

Tutti i dispositivi che supportano la ricarica rapida avranno la stessa velocità di ricarica, il che consentirà agli utenti di ricaricare i propri dispositivi alla stessa velocità con qualsiasi caricabatterie compatibile.

Incoraggiare l'innovazione tecnologica

Alla luce della rapida diffusione della ricarica senza fili, la Commissione europea dovrà armonizzare i requisiti di interoperabilità entro la fine del 2024, per evitare un impatto negativo sui consumatori e sull'ambiente. Ciò consentirà di liberarsi anche del cosiddetto "lock-in" tecnologico, per cui un consumatore diventa dipendente da un singolo produttore.

Migliore informazione e scelta per i consumatori

Grazie ad apposite etichette, i consumatori saranno informati sulle caratteristiche di ricarica dei nuovi dispositivi e potranno facilmente capire se i loro caricabatterie sono compatibili. I consumatori potranno così compiere scelte consapevoli e acquistare o meno un nuovo dispositivo di ricarica con un nuovo prodotto.

Questi nuovi obblighi porteranno a un maggiore riutilizzo dei caricabatterie e aiuteranno i consumatori a risparmiare fino a 250 milioni di euro l'anno sull'acquisto di caricabatterie inutili. I caricabatterie smaltiti e inutilizzati equivalgono a circa 11 000 tonnellate di rifiuti elettronici all'anno nell'UE.

Citazione

Il relatore del Parlamento Alex Agius Saliba (S&D, MT) ha dichiarato: “Il caricabatteria comune sarà finalmente realtà in Europa. Abbiamo aspettato più di dieci anni per queste regole, finalmente possiamo lasciare al passato l'attuale pletora di caricabatterie. Questa legge a prova di futuro consente lo sviluppo di soluzioni di ricarica innovative e andrà a vantaggio di tutti, dai consumatori frustrati al nostro vulnerabile ambiente. Sono momenti difficili per la politica, ma abbiamo dimostrato che l'UE non ha esaurito le idee o le soluzioni per migliorare la vita di milioni di persone in Europa e per ispirare altre parti del mondo a seguirne l'esempio".

https://www.europarl.europa.eu/news/it/press-room/20220930IPR41928/il-caricabatteria-universale-ue-arrivera-entro-la-fine-del-2024

Con l'hashtag #BookTok, TikTok si impossessa della letteratura

Angelo Domeneghini — Mon, 24 Oct 2022 10:04:00 GMT

Con l'hashtag #BookTok, TikTok si impossessa della letteratura

Sulla piattaforma di condivisione video si moltiplicano i consigli di lettura accompagnati da #BookTok.

Di conseguenza, sempre più autori ed editori stanno aprendo un account.

La giovane autrice tedesca Sarah Sprinz è convinta che il successo del suo romanzo "Dunbridge Academy" sia in parte dovuto ai consigli dei lettori su TikTok.

AFP

Dalla tedesca Sarah Sprinz allo svizzero Joël Dicker, sempre più autori sono presenti su un canale letterario a priori improbabile: la piattaforma di origine cinese TikTok.

L'hashtag #BookTok è esploso di recente con un numero crescente di lettori che pubblicano le loro recensioni e chattano con gli scrittori poiché gli scrittori lo usano per promuovere le loro opere.

Secondo TikTok, #BookTok ha già raccolto oltre 84 miliardi di visualizzazioni. A riprova della crescente influenza dell'hashtag, la Fiera del Libro di Francoforte, la più grande fiera letteraria del mondo, ha reso per la prima volta TikTok uno dei suoi partner.

Ad alcuni può sembrare controintuitivo che una piattaforma, nota per i suoi piccoli video giocosi, incoraggi la lettura, un'attività che richiede una certa concentrazione.

Il solito formato su TikTok, un breve video con effetti visivi o musica, non si presta certo alla critica letteraria tradizionale. Ma è molto più efficace per presentare i "preferiti" e aumentare la popolarità di alcuni libri.

Dare ai giovani il gusto della lettura

Questa tendenza "è estremamente importante per me", afferma Sarah Sprinz, autrice del bestseller "Dunbridge Academy" che si svolge in un collegio in Scozia. "Penso che abbia contribuito al mio successo perché ho visto molti video che consigliavano i miei libri", aggiunge, durante un'intervista alla fiera del libro della città tedesca. TikTok è un canale particolarmente efficace per attirare un nuovo pubblico e dare ai giovani il gusto della lettura, ritiene l'autore 26enne.

Joël Dicker, autore svizzero di bestseller come “La verità sull'affare Harry Quebert”, condivide questo sentimento. "Credo davvero nell'essere su tutti i canali che ti permettono di leggere e far leggere agli altri", ha detto nel suo primo video pubblicato sul social network.

Un vero impatto sulle vendite di libri

TikTok è diventato "un luogo dove consigliamo i libri e dove li scopriamo, ma anche dove condividiamo recensioni e dove sfruttiamo la cultura dei fan", spiega Tobias Henning, manager della piattaforma in Germania e nell'Europa centrale e orientale. "Ha davvero un impatto sulle vendite di libri in tutto il mondo", dice. "Never Again", il libro di finzione-realtà dell'americana Colleen Hoover, ha visto esplodere le sue vendite dopo essere stato elogiato dalla community di TikTok.

Sarah Sprinz spiega in parte il fenomeno #BookTok con il fatto che TikTok è una piattaforma visiva, che consente alle persone di mostrare cosa pensano di un libro. E con i blocchi durante la pandemia di coronavirus, ciò probabilmente ha accelerato la tendenza, dice.

Nuovi modi di leggere

Per chi scrive, non c'è grande contraddizione tra passare più tempo sui social network e cercare di promuovere la letteratura: oggigiorno le persone leggono in modi diversi, su e-book e smartphone e non solo sui libri di carta.

Ma un libro non può avere successo solo grazie ai social network, sottolinea Sarah Sprinz. "TikTok e #BookTok sono una specie di moltiplicatori e una buona opportunità per consigliare libri", osserva.

Ma «deve esserci qualcosa di più: un libro deve essere certo buono».

https://www.20min.ch/fr/story/avec-le-hashtag-booktok-tiktok-sempare-de-litterature-434526677770

La campagna Typosquat imita 27 marchi per spingere Malware Windows ed Android

Angelo Domeneghini — Mon, 24 Oct 2022 09:51:00 GMT

La campagna Typosquat imita 27 marchi per spingere Malware Windows ed Android

È in corso una massiccia campagna dannosa che utilizza oltre 200 domini di typosquatting che impersonano ventisette marchi per indurre i visitatori a scaricare vari malware per Windows ed Android.

Il typosquatting è un vecchio metodo per indurre le persone a visitare un sito Web falso registrando un nome di dominio simile a quello utilizzato dai marchi autentici.

I domini utilizzati in questa campagna sono molto simili a quelli autentici, con uno scambio di posizione di una singola lettera o una "s" aggiuntiva, che li rende facili da perdere per le persone.

In termini di apparenza, nella maggior parte dei casi visti da BleepingComputer, i siti Web dannosi sono cloni degli originali o almeno abbastanza convincenti, quindi non c'è molto da svelare la frode.

Le vittime in genere finiscono su questi siti digitando in modo errato il nome del sito Web che desiderano visitare nella barra degli URL del browser, il che non è raro quando si digita su dispositivo mobile.

Tuttavia, gli utenti potrebbero anche essere indirizzati su questi siti tramite e-mail o SMS di phishing, messaggi diretti, social media dannosi e post sui forum e altri modi.

Una vasta rete di siti falsi

Alcuni dei siti dannosi sono stati scoperti dalla società di cyber intelligence Cyble, che questa settimana ha pubblicato un rapporto incentrato sui domini che imitano i popolari app store Android come Google Play, APKCombo e APKPure, nonché sui portali di download per PayPal, VidMate, Snapchat e Tic toc.

Alcuni dei domini utilizzati a questo scopo sono:

payce-google[.]com – impersona Google Wallet

snanpckat-apk[.]com – impersona Snapchat

vidmates-app[.]com – impersona VidMate

paltpal-apk[.]com – impersona PayPal

m-apkpures[.]com – impersona APKPure

tlktok-apk[.]link – impersona il portale di download per l'app TikTok

In tutti questi casi, il malware consegnato agli utenti che tentano di scaricare gli APK è ERMAC, un trojan bancario che prende di mira conti bancari e portafogli di criptovaluta da 467 app.

Parte di una campagna molto più ampia

Mentre il rapporto di Cyble si concentrava sul malware Android della campagna, BleepingComputer ha rilevato una campagna di typosquatting molto più ampia degli stessi operatori, che distribuiva malware Windows.

Questa campagna è composta da oltre 90 siti Web creati per impersonare oltre ventisette marchi famosi per distribuire malware per Windows, rubare chiavi di ripristino di criptovaluta e, come descritto sopra, inviare malware Android.

Categoria Marchi impersonati

App e servizi mobili TikTok

Vidmate

Snapchat

Paypal

APK puro

APKCombo

Google Wallet

Software Microsoft Visual Studio

Browser coraggioso

Thunderbird

Blocco note+

Tor Browser

Criptovaluta TronLink

MetaMaschera

Fantasma

Portafoglio Cosmo

Contabile

Etermina

GenoPets

Visualizzazione del trading di criptovalute e azioni

Opzione QI

Ninja Trader

Tiger.Trade

Siti web Figma

Casinò Quatro

Grande tempo

CS: Soldi

Un esempio notevole di uno di questi siti di typosquat è per il popolare editor di testo Notepad ++. Questo sito falso utilizza il dominio "notepads-plus-plus[.]org", che è solo un carattere lontano dall'autentico su "notepad-plus-plus.org".

I file di questo sito installano il malware per il furto di informazioni Vidar Stealer, la cui dimensione è stata gonfiata a 700 MB per eludere l'analisi.

Un altro sito scoperto da BleepingComputer impersona il Tor Project utilizzando il dominio "tocproject.com". In questo caso, il sito Web rilascia il keylogger dell'Agente Tesla e RAT.

Scavando più a fondo nel lungo elenco di domini, abbiamo trovato diversi software mirati come:

thundersbird[.]org – Impersona la popolare suite di posta elettronica open source Thunderbird, eliminando Vidar Stealer

codevisualstudio[.]org – Impersona il codice di Visual Studio di Microsoft per eliminare Vidar

braves-browsers[.]org – Impersona il browser Web Brave per rilasciare Vidar

La varietà delle famiglie di malware consegnate alle vittime può indicare che gli operatori della campagna sperimentano vari ceppi per vedere cosa funziona meglio.

Un'altra parte di questi siti prende di mira portafogli di criptovaluta e frasi iniziali, un'attività molto redditizia per gli attori delle minacce.

Ad esempio, BleepingComputer ha trovato "ethersmine[.]com", che tenta di rubare la frase seed del portafoglio Ethereum del visitatore.

Altri siti nella campagna prendono di mira i detentori di criptovaluta e gli investitori di asset digitali che impersonano i popolari portafogli crittografici, app di trading e siti NFT.

Naturalmente, gli attori delle minacce utilizzano più varianti di ciascun dominio per coprire il maggior numero possibile di errori di tipo, quindi questi domini sono solo un piccolo campione dell'intera rete di domini utilizzati nella campagna.

Alcuni browser come Google Chrome e Microsoft Edge includono la protezione da typosquatting. Tuttavia, nei nostri test, i browser non hanno bloccato nessuno dei domini che abbiamo testato.

Per proteggersi dal typosquatting domini, il metodo migliore per trovare un sito legittimo è cercare un particolare marchio in un motore di ricerca.

Tuttavia si dovrebbe evitare di fare clic sugli annunci mostrati nei risultati di ricerca, poiché ci sono stati molti casi in cui vengono creati annunci dannosi per impersonare un sito reale.

https://www.bleepingcomputer.com/news/security/typosquat-campaign-mimics-27-brands-to-push-windows-android-malware/

Le app adware Android in Google Play sono state scaricate oltre 20 milioni di volte

Angelo Domeneghini — Mon, 24 Oct 2022 09:38:00 GMT

Le app adware Android in Google Play sono state scaricate oltre 20 milioni di volte

I ricercatori di sicurezza di McAfee hanno scoperto un set di 16 app clicker dannose che sono riuscite a intrufolarsi in Google Play, l'app store ufficiale per Android.

Le app clicker sono una categoria speciale di adware che carica annunci in frame invisibili o in background e fa clic su di essi per generare entrate per i propri operatori.

L'effetto sul dispositivo potrebbe essere un calo delle prestazioni, surriscaldamento, maggiore utilizzo della batteria e addebiti dati mobili gonfiati.

Tutte le 16 app sono state rimosse da Google Play dopo che McAfee le ha segnalate. Tuttavia, hanno comunque accumulato un numero di installazioni di 20 milioni.

Il più brutto del gruppo è DxClean, che è stato installato cinque milioni di volte prima di essere rimosso. Aveva una valutazione complessiva degli utenti relativamente positiva di 4,1 stelle su 5.

DxClean si è presentato come un pulitore e ottimizzatore di sistema, promettendo di rilevare le cause dei rallentamenti del sistema e di interrompere i fastidi pubblicitari mentre eseguiva esattamente le azioni opposte in background.

Dopo l'avvio, le app scaricano la loro configurazione da una postazione remota tramite una richiesta HTTP e registrano un listener FCM (Firebase Cloud Messaging) per ricevere messaggi push.

Questi messaggi contengono istruzioni per i clicker, ad esempio quali funzioni chiamare e quali parametri utilizzare.

"Quando un messaggio FCM riceve e soddisfa alcune condizioni, la funzione latente inizia a funzionare", spiega McAfee nel report.

La funzione di clic automatico è gestita dal componente "click.cas", mentre l'agente che gestisce i servizi adware nascosti è "com.liveposting".

Gli analisti di McAfee affermano che anche l'SDK di liveposting può funzionare da solo, possibilmente per creare solo impressioni pubblicitarie, ma le versioni recenti delle app presentano entrambe le librerie.

La vittima non interagisce mai con i siti Web aperti ed è improbabile che si renda conto dei processi in background che generano profitto per gli operatori remoti.

Gli utenti, per scoprire se sul dispositivo sono presenti app di questo tipo, dovrebbero controllare la batteria e l'utilizzo di Internet. Se il sistema è rimasto inutilizzato per un periodo, non vi è alcuna giustificazione per un maggiore consumo della batteria e un maggiore consumo di dati mobili.

Per l'elenco completo delle 16 app clicker, controlla la sezione Indicatori di compromissione in fondo al report di McAfee.

https://www.bleepingcomputer.com/news/security/android-adware-apps-in-google-play-downloaded-over-20-million-times/

Microsoft sta sviluppando un programma di ottimizzazione del sistema Windows chiamato "PC Manager

Angelo Domeneghini — Sat, 22 Oct 2022 07:43:00 GMT

Microsoft sta sviluppando un programma di ottimizzazione del sistema Windows chiamato "PC Manager"

Utilità di Windows

Microsoft sta sviluppando un programma di ottimizzazione del sistema Windows chiamato "PC Manager" che combina gli strumenti Windows esistenti in un'unica interfaccia.

Se sei un utente Windows, probabilmente ti sei imbattuto in vari programmi di pulizia del sistema Windows o programmi di ottimizzazione del sistema che promettono di aumentare la velocità del tuo computer eliminando file e chiavi di registro non necessari.

Il più popolare di questi tipi di programmi è CCleaner di Piriform e Advanced System Care di Iobit.

Mentre alcune persone amano questi programmi e affermano che aumentano la velocità del proprio computer, Microsoft ha sempre affermato che gli utenti di Windows dovrebbero evitare tutti i pulitori del registro in quanto potrebbero danneggiare il sistema operativo.

Sebbene a prima vista, l'app PC Manager di Microsoft assomigli a uno di questi ottimizzatori di sistema, in realtà funge da posizione centrale per l'esecuzione di varie attività che già esistono in altri strumenti Windows integrati.

Il nuovo Windows PC Manager di Microsoft

Scoperto per la prima volta da Aggiornamenti Lumia, PC Manager di Microsoft è attualmente in versione beta e viene offerto nel sottodominio pcmanager.microsoft.com. Poiché la pagina è scritta in cinese, è probabile che Microsoft stia testando prima la versione beta di PC Manager in Cina.

Sebbene il sito Web sia in cinese, l'interfaccia del programma è in inglese e contiene due sezioni: una sezione di pulizia per vari strumenti di ottimizzazione del sistema e una sezione di sicurezza per la scansione antivirus e la protezione del browser, come mostrato di seguito.

La sezione Pulizia contiene quattro diversi strumenti utilizzati per ottimizzare il tuo PC Windows cercando file non necessari, processi che utilizzano molte risorse, app utilizzate raramente, file di grandi dimensioni e programmi di avvio automatico che aumentano il tempo di avvio del sistema operativo.

Il primo strumento, "Health Check", esegue la scansione del dispositivo alla ricerca di virus (usando Microsoft Defender), file non necessari (come la pulizia del disco di Windows integrata), potenziali problemi (non utilizzando Edge come browser predefinito) e avviamenti che aumentano il tempo di avvio di Windows (simile alla scheda Avvio in Task Manager).

La funzione "Gestione archiviazione" consente di eseguire nuovamente la scansione dei file non necessari (Pulizia disco), cercare file di grandi dimensioni sul dispositivo (Ricerca di Windows) e avviare le utilità integrate di Windows per eliminare automaticamente i file temporanei (Storage Sense) o disinstallare quelli utilizzati raramente applicazioni (Impostazioni app e funzionalità).

La funzione "Gestione dei processi" elenca i processi che utilizzano molte risorse e la funzione "App di avvio" elenca i processi che aumentano il tempo di avvio del sistema operativo.

La sezione "Sicurezza" di PC Manager contiene una funzione "Windows Update" che consente di visualizzare gli aggiornamenti disponibili e una funzione "Protezione browser" che consente di modificare il browser predefinito e bloccare i tentativi dei programmi di modificarlo senza autorizzazione.

Nel complesso, lo strumento è abbastanza interessante, poiché fornisce un'unica interfaccia per vari strumenti di ottimizzazione già integrati in Windows in una certa misura.

Per gli utenti avanzati, PC Manager non porterà molto sul tavolo che non si trova già in Windows. Tuttavia, per gli utenti meno esperti, potrebbe fornire un modo più semplice per eseguire varie attività di manutenzione.

A differenza di CCleaner o Advanced System Care, non è presente alcuna pulizia del registro integrata nell'applicazione, quindi coloro a cui piace evitare questi tipi di app, sono fortunati.

BleepingComputer ha contattato Microsoft per saperne di più su questa nuova applicazione e aggiornerà l'articolo quando riceveremo una risposta.

https://www.bleepingcomputer.com/news/microsoft/microsoft-testing-a-windows-pc-manager-system-optimizer-app/

La violazione dei dati Microsoft espone le informazioni di contatto e le e-mail dei clienti.

Angelo Domeneghini — Fri, 21 Oct 2022 08:07:00 GMT

La violazione dei dati Microsoft espone le informazioni di contatto e le e-mail dei clienti

Microsoft

Microsoft ha affermato oggi che alcune delle informazioni riservate dei suoi clienti sono state esposte da un server Microsoft configurato in modo errato accessibile tramite Internet.

La società ha messo in sicurezza il server dopo essere stata informata della perdita il 24 settembre 2022 dai ricercatori di sicurezza della società di intelligence sulle minacce SOCRadar.

"Questa configurazione errata ha comportato il potenziale accesso non autenticato ad alcuni dati delle transazioni commerciali corrispondenti alle interazioni tra Microsoft e potenziali clienti, come la pianificazione o la potenziale implementazione e fornitura di servizi Microsoft", ha rivelato la società.

"La nostra indagine non ha riscontrato alcuna indicazione che gli account o i sistemi dei clienti fossero compromessi. Abbiamo avvisato direttamente i clienti interessati".

Secondo Microsoft, le informazioni esposte includono nomi, indirizzi e-mail, contenuto e-mail, nome dell'azienda e numeri di telefono, nonché file collegati a affari tra i clienti interessati e Microsoft o un partner Microsoft autorizzato.

Redmond ha aggiunto che la perdita è stata causata da "un'errata configurazione involontaria su un endpoint che non è in uso nell'ecosistema Microsoft" e non da una vulnerabilità di sicurezza.

Dati trapelati presumibilmente collegati a 65.000 entità in tutto il mondo

Sebbene Microsoft si sia astenuta dal fornire ulteriori dettagli in merito a questa fuga di dati, SOCRadar ha rivelato in un post sul blog pubblicato oggi che i dati sono stati archiviati in un archivio BLOB di Azure configurato in modo errato.

In totale, SOCRadar afferma di essere stato in grado di collegare queste informazioni sensibili a oltre 65.000 entità di 111 paesi archiviate in file datati dal 2017 all'agosto 2022.

"Il 24 settembre 2022, il modulo di sicurezza cloud integrato di SOCRadar ha rilevato un'archiviazione BLOB di Azure mal configurata gestita da Microsoft contenente dati sensibili da un provider cloud di alto profilo", ha affermato SOCRadar.

La società di informazioni sulle minacce ha aggiunto che, dalla sua analisi, i dati trapelati "includono documenti Proof-of-Execution (PoE) e Statement of Work (SoW), informazioni sull'utente, ordini/offerte di prodotti, dettagli del progetto, PII (Personally Identifiable Information) dati e documenti che possono rivelare la proprietà intellettuale."

Microsoft ha aggiunto oggi di ritenere che SOCRadar "abbia notevolmente esagerato la portata di questo problema" e "i numeri".

Inoltre, Redmond ha affermato che la decisione di SOCRadar di raccogliere i dati e renderli ricercabili utilizzando un portale di ricerca dedicato "non è nel migliore interesse di garantire la privacy o la sicurezza dei clienti e di esporli potenzialmente a rischi inutili".

Secondo un avviso dell'interfaccia di amministrazione di Microsoft 365 relativo a questa violazione dei dati pubblicato il 4 ottobre 2022, Microsoft "non è in grado di fornire i dati specifici interessati da questo problema".

Secondo quanto riferito, il team di supporto dell'azienda ha anche detto ai clienti che hanno contattato che non avrebbe informato le autorità di regolamentazione dei dati perché "non sono richieste altre notifiche ai sensi del GDPR" oltre a quelle inviate ai clienti interessati.

I dati esposti includono, ad esempio, e-mail da US .gov, che parlano di progetti O365, denaro, ecc. L'ho trovato non tramite SOCRadar, è memorizzato nella cache.

Un post nell'M365 Admin Center, ignorando le autorità di regolamentazione e dicendo ai gestori di acct di far saltare in aria i clienti non lo taglierà.

— Kevin Beaumont (@GossiTheDog) 20 ottobre 2022

Strumento online per cercare i dati trapelati

Il portale di ricerca di fughe di dati di SOCRadar si chiama BlueBleed e consente alle aziende di scoprire se anche le loro informazioni sensibili sono state esposte con i dati trapelati.

Oltre a ciò che è stato trovato all'interno del server Microsoft configurato in modo errato, BlueBleed consente anche di cercare i dati raccolti da altri cinque bucket di archiviazione pubblica.

Solo nel server di Microsoft, SOCRadar afferma di aver trovato 2,4 TB di dati contenenti informazioni sensibili, con oltre 335.000 e-mail, 133.000 progetti e 548.000 utenti scoperti scoperti durante l'analisi dei file trapelati fino ad ora.

Secondo l'analisi di SOCRadar, questi file contengono e-mail dei clienti, documenti SOW, offerte di prodotti, lavori POC (Proof of Concept), dettagli dell'ecosistema dei partner, fatture, dettagli del progetto, listino prezzi dei prodotti dei clienti, documenti POE, ordini di prodotti, documenti dei clienti firmati, commenti interni per clienti, strategie di vendita e documenti patrimoniali dei clienti.

"Gli attori delle minacce che potrebbero aver avuto accesso al secchio possono utilizzare queste informazioni in diverse forme per estorsioni, ricatti, creare tattiche di ingegneria sociale con l'aiuto di informazioni esposte o semplicemente vendere le informazioni al miglior offerente sul dark web e sui canali Telegram", SOCRadar ha avvertito.

Portale di ricerca BlueBleed

"Nessun dato è stato scaricato. Alcuni dati sono stati scansionati dal nostro motore, ma come promesso a Microsoft, nessun dato è stato condiviso finora e tutti questi dati scansionati sono stati eliminati dai nostri sistemi", SOCRadar VP of Research e CISO Ensar Şeker ha detto a BleepingComputer.

"Rindirizziamo tutti i nostri clienti a MSRC se vogliono vedere i dati originali. La ricerca può essere effettuata tramite metadati (nome dell'azienda, nome di dominio ed e-mail). A causa della pressione persistente di Microsoft, dobbiamo persino eliminare la nostra pagina di query oggi.

https://www.bleepingcomputer.com/news/security/microsoft-data-breach-exposes-customers-contact-info-emails/

Connettività Internet in tutto il mondo rallentata dai cavi in fibra tagliati in Francia

Angelo Domeneghini — Fri, 21 Oct 2022 08:01:00 GMT

Connettività Internet in tutto il mondo rallentata dai cavi in fibra tagliati in Francia

Internet

Un importante cavo Internet nel sud della Francia è stato interrotto ieri alle 20:30 UTC, con un impatto sulla connettività del cavo sottomarino verso Europa, Asia e Stati Uniti e causando perdite di pacchetti di dati e una maggiore latenza di risposta del sito web.

La società di sicurezza cloud Zscaler riferisce di aver apportato modifiche al routing per mitigare l'impatto. Tuttavia, gli utenti devono ancora affrontare problemi a causa dell'instradamento del traffico dei provider di app e contenuti attraverso i percorsi interessati.

"Zscaler sta lavorando con i fornitori di contenuti per fare in modo che influenzino la loro parte del percorso", si legge in un avviso di Zscaler.

"Se riscontri lentezza con applicazioni specifiche, in particolare applicazioni ospitate all'estero, contatta il fornitore dell'applicazione e rimandalo a questo post attendibile."

Le squadre di riparazione si sono mosse rapidamente sulla scena, ma hanno dovuto aspettare che la polizia raccogliesse le prove prima di poter lavorare per riparare i danni.

Alle 23:00 UTC, è stato confermato che l'incidente aveva avuto un impatto su tre collegamenti: Marsiglia-Lione, Marsiglia-Milano e Marsiglia-Barcellona.

Alle 01:00 UTC di oggi, quando le squadre di riparazione di Zscaler hanno ripristinato uno dei collegamenti, i tecnici hanno continuato a osservare le perdite di pacchetti e la latenza per alcune destinazioni.

Alle 18:58:01 UTC, Zscaler ha pubblicato un aggiornamento finale affermando che il problema è stato risolto.

"Questo incidente è stato risolto. Per ulteriori domande, contattare l'assistenza Zscaler." - Zscaler.

Danni ai cavi anche nel Regno Unito

Allo stesso tempo, BCC riferisce che anche un cavo sottomarino che collega le isole Shetland alla terraferma scozzese è stato danneggiato, lasciando i netizen sull'isola isolati dal resto del mondo.

Non solo, ha anche ridotto la capacità della popolazione delle Shetland di 23.000 persone di chiamare i servizi di emergenza, poiché la comunicazione ha subito un impatto generale.

La polizia scozzese ha emesso oggi un avviso esortando le persone a non effettuare chiamate non necessarie, poiché le poche linee disponibili dovrebbero rimanere aperte per le emergenze.

Questo incidente arriva mentre i tecnici stavano già lavorando per riparare il collegamento tra le Isole Faroe e le Shetland, anch'esso interrotto la scorsa settimana.

Il capo delle infrastrutture di Faroese Telecom, Páll Vesturbú, ha detto alla BBC che si ritiene che i tagli dei cavi siano stati eseguiti da pescherecci, anche se è insolito che si verifichino due incidenti contemporaneamente.

"Ci aspettiamo che siano stati i pescherecci a danneggiare il cavo, ma è molto raro che abbiamo due problemi contemporaneamente", ha detto Vesturbú alla BBC.

Le indagini su questi recenti incidenti sono ancora in corso e al momento non c'è nulla che indichi che si tratti di atti di sabotaggio.

https://www.bleepingcomputer.com/news/technology/internet-connectivity-worldwide-impacted-by-severed-fiber-cables-in-france/

Solo gli adulti potranno andare in diretta su TikTok

Angelo Domeneghini — Wed, 19 Oct 2022 13:43:00 GMT

Solo gli adulti potranno andare in diretta su TikTok

L'app fornirà l'accesso agli slot di trasmissione per le interazioni tra persone di età superiore ai 18 anni.

TikTok rafforza ulteriormente le sue regole di utilizzo.

La rete di video brevi TikTok aumenterà l'età minima per lo streaming live di due anni a partire dal 23 novembre. Attualmente, devi avere almeno 16 anni e avere 1000 abbonati per accedere alla funzione. "Gli adolescenti devono avere già 16 anni per accedere alla messaggistica diretta e almeno 18 anni per inviare regali virtuali o accedere alle funzionalità di monetizzazione", ha ricordato sul suo blog la sussidiaria di ByteDance, che aveva anche escluso, l'anno scorso i minori di 13 anni del suo servizio .

Ma il controllo dell'età rimane problematico. È l'utente che lo definisce durante l'installazione iniziale dell'app, anche se non può più modificarlo in seguito.

I tiktokeurs autorizzati al lancio diretto potranno inoltre presto usufruire di una funzione che dovrebbe consentire loro di rivolgersi solo ai maggiorenni. Questo non apre la strada ai contenuti pornografici, che la piattaforma vieta ancora, ma può aiutarli a guadagnare di più tramite i suggerimenti dei loro spettatori. È una delle migliori fonti di entrate condivise tra TikTok, i creatori e le agenzie che li formano, ha osservato il mese scorso l'ONG Rest of World. E TikTok dovrà ancora trovare soluzioni contro la diversione dei feed live a fini di disinformazione e truffe, come una recente raccolta di fondi fasulli a scopo umanitario.

Strumenti completati

TikTok ha anche preparato nuovi strumenti per i suoi creatori di contenuti. Questi ospiteranno fino a cinque ospiti online utilizzando diverse opzioni di layout.

Beneficeranno inoltre di un migliore filtraggio dei commenti ritenuti inappropriati, con suggerimenti automatici per nuove parole chiave da aggiungere alla loro lista di spam.

https://www.20min.ch/fr/story/seuls-les-adultes-auront-droit-de-passer-en-direct-303620227200

Gli hacker prendono di mira i casinò asiatici in una lunga campagna di cyberspionaggio

Angelo Domeneghini — Wed, 19 Oct 2022 13:33:00 GMT

Gli hacker prendono di mira i casinò asiatici in una lunga campagna di cyberspionaggio

Dadi che rotolano in un casinò

Un gruppo di hacker chiamato "DiceyF" è stato osservato che ha implementato un framework di attacco dannoso contro i casinò online con sede nel sud-est asiatico almeno da novembre 2021.

Secondo un nuovo rapporto di Kaspersky, il gruppo DiceyF APT non sembra prendere di mira guadagni finanziari dai casinò, ma conduce invece spionaggio informatico furtivo e furto di proprietà intellettuale.

L'attività DiceyF è in linea con l'"Operazione Earth Berberoka" segnalata da Trend Micro nel marzo 2022, indicando che gli attori delle minacce sono di origine cinese.

Puntare ai casinò

Il framework di attacco utilizzato da APT si chiama "GamePlayerFramework" ed è una riscrittura C# del malware C++ "PuppetLoader".

Il framework include downloader di payload, lanciatori di malware, plug-in, moduli di accesso remoto, keylogger, ladri di appunti e altro ancora.

Gli eseguibili più recenti campionati da Kaspersky sono file .NET a 64 bit, ma ci sono anche eseguibili a 32 bit e DLL in circolazione.

Il framework mantiene due rami, vale a dire "Tifa" e "Yuna", che sono sviluppati separatamente e presentano diversi livelli di sofisticatezza e complessità. "Yuna" è il più sofisticato dei due, osservato anche in natura in seguito.

Dopo che il framework è stato caricato sulla macchina di destinazione, si connette al server C2 e invia pacchetti di heartbeat crittografati XOR ogni 20 secondi, contenenti il nome utente della vittima, lo stato della sessione dell'utente, la dimensione dei registri raccolti e la data e l'ora correnti.

Il C2 può rispondere con una serie di 15 comandi che possono ordinare al framework di raccogliere dati aggiuntivi, eseguire un comando su "cmd.exe", aggiornare la configurazione di C2 e scaricare un nuovo plug-in.

Eventuali plug-in scaricati dal C2 vengono caricati direttamente nel framework senza toccare il disco per ridurre al minimo la probabilità di rilevamento.

Le loro funzioni includono il furto di cookie da Chrome o Firefox, lo strappo dei contenuti degli appunti, la creazione di sessioni di desktop virtuali, lo scatto di schermate, l'esecuzione del port forwarding e altro ancora.

Kaspersky ha anche scoperto che DiceyF utilizza un'app GUI che imita un sincronizzatore di dati dei dipendenti Mango, che rilascia i downloader Yuna all'interno della rete dell'organizzazione.

La falsa app Mango raggiunge i dipendenti delle società di casinò come installatore di un'app di sicurezza, probabilmente inviata dagli attori delle minacce tramite e-mail di phishing.

L'app falsa utilizza tattiche di ingegneria sociale come mostrare il piano in cui è ospitato il dipartimento IT dell'organizzazione target per dare alla vittima l'illusione della legittimità.

L'app si connette alla stessa infrastruttura C2 di GamePlayerFramework ed esfiltra i dati del sistema operativo, del sistema, della rete e dei messaggi di Mango.

"Il codice è soggetto a continue modifiche incrementali e il relativo controllo delle versioni riflette una gestione semi-professionale delle modifiche alla base di codice", spiega Kaspersky.

"Nel tempo, il gruppo ha aggiunto il supporto della libreria Newtonsoft JSON, la registrazione migliorata e la crittografia per la registrazione".

Kaspersky commenta che l'utilizzo di una finestra visibile non la rende adatta solo per ingannare i dipendenti, ma anche efficace contro gli AV, che generalmente trattano gli strumenti basati su GUI con meno sospetto.

Per rendere lo strumento ancora più furtivo contro gli strumenti di sicurezza, gli attori delle minacce lo hanno firmato con un certificato digitale valido rubato, lo stesso utilizzato anche per il framework.

In conclusione, DiceyF ha dimostrato un'eccellente capacità tecnica di adeguare i suoi strumenti alle stranezze di ogni vittima, trasformando nel tempo la sua base di codice man mano che l'intrusione procede.

Sebbene questi attacchi non siano così sofisticati o efficaci come le vere violazioni della catena di approvvigionamento, possono comunque essere difficili da rilevare e fermare, soprattutto quando prendono di mira più dipendenti in un'organizzazione. Diversi giorni di problemi tecnici.

https://www.bleepingcomputer.com/news/security/hackers-target-asian-casinos-in-lengthy-cyberespionage-campaign/

Verizon informa: gli account prepagati sono stati violati!

Angelo Domeneghini — Wed, 19 Oct 2022 13:23:00 GMT

Verizon informa: gli account prepagati sono stati violati!

Verizon ha avvertito un numero imprecisato di clienti prepagati che gli aggressori hanno ottenuto l'accesso agli account Verizon e hanno utilizzato le informazioni sulla carta di credito esposte negli attacchi di scambio di SIM.

"Abbiamo stabilito che tra il 6 ottobre e il 10 ottobre 2022, un attore di terze parti ha avuto accesso alle ultime quattro cifre della carta di credito utilizzata per effettuare pagamenti automatici sul tuo account", ha affermato Verizon in un avviso pubblicato questa settimana.

"Utilizzando le ultime quattro cifre di quella carta di credito, la terza parte è riuscita ad accedere al tuo account Verizon e potrebbe aver elaborato una modifica non autorizzata della carta SIM sulla linea prepagata che ha ricevuto l'SMS collegato a questo avviso. Se una carta SIM cambia verificato, Verizon lo ha annullato."

Verizon ha aggiunto di aver bloccato ulteriori accessi non autorizzati agli account dei suoi clienti e non ha trovato prove che questa attività dannosa sia ancora in corso.

La società ha anche reimpostato i codici di sicurezza dell'account (PIN) per un numero sconosciuto di clienti "con molta cautela".

Secondo la notifica, gli aggressori non hanno potuto accedere al numero completo della carta di credito o alle informazioni bancarie dei clienti, alle informazioni finanziarie, alle password, ai numeri di previdenza sociale, ai codici fiscali o ad altri dettagli personali poiché gli account utente non contengono queste informazioni.

Tuttavia, Verizon ha affermato che gli attori delle minacce potrebbero aver avuto accesso a nomi, numeri di telefono, indirizzi di fatturazione, piani tariffari e altre informazioni relative ai servizi su account compromessi.

Attacco di scambio SIM utilizzato per rubare criptovalute

Uno dei clienti Verizon che ha ricevuto questo avviso ha detto a BleepingComputer di essere stato vittima di un attacco di scambio SIM più di una settimana prima che Verizon avvisasse i clienti.

"Il 7/10, quando mi hanno cambiato la sim, gli aggressori hanno violato la mia e-mail e hanno tentato di accedere ai miei account crittografici", hanno detto a BleepingComputer.

"Sospetto che abbiano utilizzato le informazioni della violazione di Coinbase per prendermi di mira, ma hanno ottenuto l'accesso a causa dell'esposizione di informazioni sulla carta di credito da parte di Verizon".

Lo scambio della SIM (noto anche come dirottamento della SIM, divisione della SIM o presa della SIM) consente ai criminali di assumere il controllo del numero di telefono di un bersaglio convincendo i propri gestori di telefonia mobile a scambiare il numero di telefono con una scheda SIM controllata da un aggressore utilizzando l'ingegneria sociale o con l'aiuto di tangenti dipendenti.

Sebbene la notifica di Verizon sia stata pubblicata sul suo sito Web all'inizio di questa settimana per avvertire i clienti di questi attacchi, il gigante delle telecomunicazioni si è assicurato che i motori di ricerca non indicizzassero la pagina aggiungendo i tag "noindex" e "nofollow" ai suoi metadati.

"Di recente abbiamo identificato possibili attività non autorizzate che coinvolgono circa 250 account wireless prepagati. Abbiamo protetto questi account e messo in atto misure aggiuntive per proteggere i nostri clienti da ulteriori accessi non autorizzati o frodi", ha detto a BleepingComputer un portavoce di Verizon.

"Verizon ha informato i clienti interessati e consigliato sui passaggi aggiuntivi che i clienti possono intraprendere per migliorare la sicurezza del proprio account. Prendiamo sul serio queste questioni e miglioriamo ed evolviamo continuamente i nostri protocolli di sicurezza per proteggere i dati e gli account dei clienti.

"Come sempre, se un cliente ritiene che sia stato effettuato l'accesso al proprio account senza autorizzazione, dovrebbe contattarci online, nell'app MyVerizon o chiamando il numero 888-483-7200".

Si consiglia ai clienti di impostare un nuovo codice PIN Verizon per proteggere il proprio account Verizon da attacchi futuri, nonché una nuova password e una domanda segreta per salvaguardare i propri account online My Verizon.

Verizon consente inoltre ai clienti di difendersi dagli attacchi di scambio di SIM abilitando la funzione di protezione gratuita "Blocco numerico" tramite l'app My Verizon o il sito Web My Verizon.

Una volta che il numero di telefono è bloccato, non può più essere trasferito su un'altra linea/operatore o scambiato su un'altra SIM a meno che il proprietario dell'account non rimuova il blocco.

Un anno fa, il vettore wireless digitale di proprietà di Verizon, Visible, ha anche ammesso che alcuni account dei clienti sono stati violati in seguito a diversi giorni di problemi tecnici.

https://www.bleepingcomputer.com/news/security/verizon-notifies-prepaid-customers-their-accounts-were-breached/

Lo sviluppatore di malware afferma di vendere il nuovo bootkit BlackLotus Windows UEFI

Angelo Domeneghini — Tue, 18 Oct 2022 09:01:00 GMT

Lo sviluppatore di malware afferma di vendere il nuovo bootkit BlackLotus Windows UEFI

BlackLotus

Un attore di minacce sta vendendo sui forum di hacking quello che afferma essere un nuovo bootkit UEFI chiamato BlackLotus, uno strumento dannoso con funzionalità solitamente collegate a gruppi di minacce supportati dallo stato.

I bootkit UEFI sono inseriti nel firmware di sistema e sono invisibili al software di sicurezza in esecuzione all'interno del sistema operativo perché il malware viene caricato nella fase iniziale della sequenza di avvio.

Mentre i criminali informatici che desiderano una licenza per questo bootkit di Windows devono pagare $ 5.000, l'attore delle minacce afferma che le ricostruzioni li riporterebbero solo a $ 200.

Il venditore afferma che BlackLotus è dotato di un bypass di avvio sicuro integrato, ha una protezione Ring0/Kernel integrata contro la rimozione e si avvia in modalità di ripristino o provvisoria.

BlackLotus afferma di essere dotato di funzionalità anti-virtual machine (anti-VM), anti-debug e offuscamento del codice per bloccare i tentativi di analisi del malware. Il venditore afferma inoltre che il software di sicurezza non è in grado di rilevare e uccidere il bootkit poiché viene eseguito con l'account SYSTEM all'interno di un processo legittimo.

Inoltre, questo minuscolo bootkit con una dimensione di soli 80 kb su disco dopo l'installazione può disabilitare la protezione di sicurezza integrata di Windows come Hypervisor-Protected Code Integrity (HVCI) e Windows Defender e bypassare il controllo dell'account utente (UAC).

"Il software stesso e il Secure Boot bypass funzionano in modo indipendente dal fornitore. Un bootloader firmato vulnerabile viene utilizzato per caricare il bootkit se viene utilizzato Secure Boot", ha spiegato l'attore delle minacce quando un potenziale "cliente" ha chiesto se avrebbe funzionato con un particolare firmware.

"Correggere questa vulnerabilità aggiungendola all'elenco di revoche UEFI è attualmente impossibile, poiché la vulnerabilità colpisce centinaia di bootloader che sono ancora utilizzati oggi".

Il ricercatore capo di Kaspersky sulla sicurezza Sergey Lozhkin ha anche notato che BlackLotus è stato pubblicizzato sui forum criminali e ha avvertito che si tratta di una mossa significativa poiché questo tipo di funzionalità è comunemente disponibile solo per i gruppi di hacker sponsorizzati dallo stato.

"Queste minacce e tecnologie prima erano accessibili solo da ragazzi che stavano sviluppando minacce persistenti avanzate, per lo più governi. Ora questi tipi di strumenti sono nelle mani di criminali in tutti i forum", ha affermato la scorsa settimana Sergey Lozhkin, ricercatore capo di Kaspersky sulla sicurezza.

Altri analisti della sicurezza hanno etichettato l'ampia disponibilità di BlackLotus per qualsiasi criminale informatico con tasche sufficientemente profonde come un balzo verso una più ampia disponibilità di funzionalità a livello di APT nel malware standard.

"Ho esaminato le sue caratteristiche e capacità e subito, questi sono i punti salienti di cui ogni squadra blu e rossa allo stesso modo dovrebbero essere pienamente consapevoli", ha anche avvertito Scott Scheferman, CTO di Eclypsium.

"Considerando che questo mestiere era relegato in APT come il GRU russo e l'APT 41 (China nexus) e considerando le precedenti scoperte criminali che abbiamo fatto (ad esempio il modulo Trickboot di Trickbot), questo rappresenta un po' un 'balzo' in avanti, in termini di facilità d'uso, scalabilità, accessibilità e, soprattutto, il potenziale per un impatto molto maggiore nelle forme di persistenza, evasione e/o distruzione."

Tuttavia, Scheferman ha affermato che fino a quando non viene trovato un campione, non c'è modo di determinare se il set di funzionalità è completo o se è pronto per la produzione.

"Va anche notato che finché noi o qualcuno non otteniamo un campione di questo malware e lo eseguiamo su una scatola prossima alla produzione in un laboratorio, c'è sempre la possibilità che non sia ancora pronto per lo spettacolo, o alcuni aspetti delle sue caratteristiche non funzionano correttamente, o anche la possibilità che l'intera faccenda sia una truffa", ha aggiunto.

Se confermata, questa sarebbe una tendenza preoccupante visto che BlackLotus può essere utilizzato anche per caricare driver non firmati che potrebbero essere utilizzati negli attacchi BYOVD (Bring Your Own Driver).

Nelle ultime settimane, tali attacchi sono stati collegati a un'ampia gamma di attori di minacce, inclusi gruppi di hacker sostenuti dallo stato, bande di ransomware e aggressori sconosciuti.

https://www.bleepingcomputer.com/news/security/malware-dev-claims-to-sell-new-blacklotus-windows-uefi-bootkit/

Quasi 900 server violati utilizzando il difetto zero-day di Zimbra

Angelo Domeneghini — Mon, 17 Oct 2022 07:58:00 GMT

Quasi 900 server violati utilizzando il difetto zero-day di Zimbra

Quasi 900 server sono stati violati utilizzando una vulnerabilità critica Zimbra Collaboration Suite (ZCS), che all'epoca era una zero-day ed ora sono passati quasi 1,5 mesi.

La vulnerabilità rilevata come CVE-2022-41352 è un difetto di esecuzione di codice in modalità remota che consente agli aggressori di inviare un'e-mail con un allegato di archivio dannoso che inserisce una shell Web nel server ZCS e, allo stesso tempo, aggira i controlli antivirus.

Secondo la società di sicurezza informatica Kaspersky, vari gruppi APT (minaccia persistente avanzata) hanno sfruttato attivamente il difetto subito dopo che è stato segnalato sui forum di Zimbra.

Kaspersky ha detto a BleepingComputer di aver rilevato almeno 876 server compromessi da sofisticati aggressori che sfruttavano la vulnerabilità prima che fosse ampiamente pubblicizzato e ricevesse un identificatore CVE.

La scorsa settimana, un rapporto di Rapid7 ha avvertito dello sfruttamento attivo di CVE-2022-41352 e ha esortato gli amministratori ad applicare le soluzioni alternative disponibili poiché all'epoca non era disponibile un aggiornamento della sicurezza.

Lo stesso giorno, al framework Metasploit è stato aggiunto un proof of concept (PoC), che consente anche agli hacker poco qualificati di lanciare attacchi efficaci contro server vulnerabili.

Da allora Zimbra ha rilasciato una correzione di sicurezza con ZCS versione 9.0.0 P27, sostituendo il componente vulnerabile (cpio) con Pax e rimuovendo la parte debole che rendeva possibile lo sfruttamento.

Tuttavia, a quel punto lo sfruttamento aveva accelerato e numerosi attori delle minacce avevano già iniziato a lanciare attacchi opportunistici.

Volexity ha riferito ieri che i suoi analisti hanno identificato circa 1.600 server ZCS che ritengono siano stati compromessi da attori di minacce che sfruttano CVE-2022-41352 per installare webshell.

Utilizzato da gruppi di hacking avanzati

In conversazioni private con la società di sicurezza informatica Kaspersky, a BleepingComputer è stato detto che un APT sconosciuto che sfruttava il difetto critico aveva probabilmente messo insieme un exploit funzionante basato sulle informazioni pubblicate sui forum di Zimbra.

I primi attacchi sono iniziati a settembre, prendendo di mira i server Zimbra vulnerabili in India e alcuni in Turchia. Questa ondata iniziale di attacchi è stata probabilmente un'ondata di test contro obiettivi a basso interesse per valutare l'efficacia dell'attacco.

Tuttavia, Kaspersky ha valutato che gli attori delle minacce hanno compromesso 44 server durante questa ondata iniziale.

Non appena la vulnerabilità è diventata pubblica, gli attori delle minacce hanno cambiato marcia e hanno iniziato a eseguire il targeting di massa, sperando di compromettere il maggior numero possibile di server in tutto il mondo prima che gli amministratori applicassero patch ai sistemi e chiudessero la porta agli intrusi.

Questa seconda ondata ha avuto un impatto maggiore, infettando 832 server con webshell dannosi, sebbene questi attacchi fossero più casuali rispetto agli attacchi precedenti.

Gli amministratori ZCS che non hanno applicato gli aggiornamenti di sicurezza Zimbra disponibili o le soluzioni alternative devono farlo immediatamente, poiché l'attività di sfruttamento è in corso e probabilmente non si fermerà per un po' di tempo.

https://www.bleepingcomputer.com/news/security/almost-900-servers-hacked-using-zimbra-zero-day-flaw/

Firma digitale: ... fantasie da demolire

Angelo Domeneghini — Mon, 17 Oct 2022 07:40:00 GMT

A cosa serve la Firma Digitale

La Firma Digitale consente la sottoscrizione di documenti digitali in modo rapido, semplice e in condizioni di massima sicurezza, con lo stesso valore legale della firma autografa.

Pieno valore legale, niente sprechi

Con la Firma Digitale non hai più bisogno di recarti presso gli uffici pubblici delle Pubbliche Amministrazioni. Puoi gestire le tue pratiche ovunque sei, senza carta.

La Firma Digitale ha pieno valore legale, puoi usarla anche per firmare i Procedimenti Giudiziari.

Puoi anche firmare atti amministrativi e bilanci aziendali, anche in mobilità.

Puoi usare la Firma Digitale per partecipare alle Aste Giudiziarie, per firmare i contratti delle tue utenze telefoniche o energetiche, richiedere finanziamenti, sottoscrivere polizze assicurative e servizi bancari.

COME SI USA LA FIRMA DIGITALE?

Il funzionamento della Firma Elettronica dipende dalla tipologia di Firma scelta. Alcuni sistemi di firma si basano su un Hardware fisico come la Smart Card (che necessita di un lettore dedicato che puoi acquistare separatamente) o il Token USB (che funziona grazie ad una speciale SIM Card); altri sistemi di Firma come la Firma Remota non necessitano di nessun dispositivo fisico. Per firmare basta uno smartphone per ricevere i codici OTP.

"una firma scansionata è una firma digitale" FALSO

Questo è esattamente il tipo di convinzione che si porta appresso l’idea per cui la firma digitale altro non sia se non l’evoluzione grafica (in senso digitale) della tradizionale firma autografa. Una firma trasformata in immagine da uno scanner, in realtà, altro non è se non un insieme di bit privi di qualsivoglia significato. Il motivo è evidente: qualsiasi immagine può facilmente essere elaborata con software di editing: nessun file può essere considerato autentico se non attraverso soluzioni che siano del tutto differenti dalla mera identificazione grafica. Nessuna analisi grafologica potrebbe certificare la genuinità di una firma scansionata: è riproducibile all’infinito, senza elemento alcuno in grado di certificarne originalità, veridicità e riconducibilità ad una identità univoca.

"firma elettronica e firma digitale sono la stessa cosa" FALSO

“Elettronica” e “Digitale” non sono sinonimi, soprattutto se in relazione al concetto di firma. La firma elettronica è infatti un macro-insieme all’interno del quale è compresa anche la firma digitale. Sta tutto nelle definizioni.

La Firma Elettronica è un insieme di dati che consente l’identificazione certa del firmatario: può essere semplice, avanzata o qualificata e sostituisce (con pieno valore legale) la tradizionale firma auto in presenza.

La Firma Digitale è invece così definita dal Codice dell’Amministrazione Digitale (CAD): “un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”. Un requisito fondamentale della Firma Digitale è pertanto la crittografia a chiavi asimmetriche.

Le definizioni chiariscono perché “Firma Elettronica” e “Firma Digitale” siano nomi che non possono e non debbono essere confusi o mutuamente sostituiti, poiché identificano entità differenti ed implicano una importante separazione funzionale - soprattutto in termini legali.

"la firma digitale non ha valore legale" FALSO

E invece ha valore eccome. La firma digitale è pienamente riconosciuta in virtù di protocolli che chiariscono in modo inoppugnabile la bontà tecnica di questa soluzione e l’identificazione certa del firmatario. Una firma digitale, dunque, ha validità piena e, se apposta su di un documento, ne certifica in toto la conoscenza e l’aderenza da parte del firmatario. Apporre una firma digitale su di un documento implica pertanto l’accettazione dello stesso, esattamente al pari di una firma autografa tradizionale stipulata “a mano” su carta.

"la firma digitale ha la forma di una firma tradizionale" FALSO

La firma digitale assolve le medesime funzioni di una firma autografa, ma non ne condivide al tempo stesso la forma: la firma digitale non è dunque giocoforza contraddistinta da un segno grafico che esplicita nome e cognome del firmatario - sebbene sia possibile utilizzare immagini ad hoc che simulano la firma autografa per dare corpo e visibilità alla firma stessa.

Un documento con firma digitale non deve pertanto giocoforza concludersi dal punto di vista grafico con una firma tradizionale: la firma digitale è di per sé invisibile poiché identificabile soltanto in una serie di metadati invece che in un’icona fatta di inchiostro, linee e manualità.

"la firma digitale va posta in presenza" FALSO

C’è una differenza sostanziale tra una firma digitale e la tradizionale firma “a mano”: mentre la seconda può essere falsificabile, la prima è invece unica e certa in modo inoppugnabile. Mentre la firma “a mano” va dunque fatta preferibilmente in presenza (per i documenti più importanti sarà un testimone terzo a certificarne la bontà), la firma digitale può invece essere fatta in remoto senza la necessità di alcun certificatore.

Questa caratteristica è uno dei punti di forza più evidenti della firma digitale: la possibilità di porre firme da remoto, peraltro in modo molto semplice, consente di evitare trasferte e appuntamenti di compresenza, liberando ambo le parti dalla necessità di essere in un certo luogo ed in un dato momento con tutti i costi connessi e gli obblighi che tale circostanza impone.

https://3da.it/firma-digitale.html

Rilasciato aggiornamento di sicurezza che risolve una vulnerabilità in LibreOffice.

Angelo Domeneghini — Thu, 13 Oct 2022 09:41:00 GMT

Rilasciato aggiornamento di sicurezza che risolve una vulnerabilità in LibreOffice

*aggiornare il prodotto*

LibreOffice supporta gli schemi URI di Office per consentire l'integrazione del browser di LibreOffice con il server MS SharePoint. È stato aggiunto uno schema aggiuntivo "vnd.libreoffice.command" specifico per LibreOffice.

Nelle versioni interessate di LibreOffice i collegamenti che utilizzano quello schema potrebbero essere costruiti per chiamare macro interne con argomenti arbitrari. Che, se cliccato o attivato da eventi del documento, potrebbe comportare l'esecuzione arbitraria di script senza preavviso.

Rilasciato aggiornamento di sicurezza che risolve una vulnerabilità in LibreOffice.

La falla potrebbe permettere ad un attaccante l'esecuzione di codice arbitrario attraverso lo sfruttamento di link con specifico schema URI di Office vulnerabile.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (64,23/100)¹.

Prodotti e versioni affette

LibreOffice, versioni:

7.3.x, precedenti a 7.3.6
7.4.x, precedenti a 7.4.1

Azioni di mitigazione

Si consiglia di aggiornare il prodotto seguendo le indicazioni riportate nel bollettino di sicurezza disponibile nella sezione Riferimenti.

https://www.libreoffice.org/about-us/security/advisories/cve-2022-3140/

Signal rimuoverà il supporto per i messaggi di testo SMS su Android

Angelo Domeneghini — Thu, 13 Oct 2022 09:29:00 GMT

Signal rimuoverà il supporto per i messaggi di testo SMS su Android

Signal afferma che inizierà a eliminare gradualmente il supporto dei messaggi SMS e MMS dalla sua app Android per semplificare l'esperienza dell'utente e dare priorità alla sicurezza e alla privacy.

Sebbene questo annuncio possa sorprendere coloro che non sanno che Signal può essere utilizzato anche per gestire questo tipo di messaggi di testo, l'app Signal per Android potrebbe essere configurata come app SMS/MMS predefinita sin dal suo inizio come TextSecure, un'app che utilizzava il Protocollo Axolotl Ratchet.

"Ora abbiamo raggiunto il punto in cui il supporto SMS non ha più senso. Per consentire un'esperienza Signal più snella, stiamo iniziando a eliminare gradualmente il supporto SMS dall'app Android", ha affermato la società in un post sul blog pubblicato oggi.

"Avrai diversi mesi per passare dagli SMS in Signal, per esportare i tuoi messaggi SMS in un'altra app e per far sapere alle persone con cui parli che potrebbero voler passare a Signal o, in caso contrario, trovare un altro canale".

La modifica riguarderà solo gli utenti Android che hanno impostato Signal come app SMS predefinita. Signal inizierà a notificare loro di esportare i loro messaggi SMS e passerà a una nuova app predefinita per gestire i loro messaggi SMS.

Quando Signal viene utilizzato come app di messaggistica Android unificata, nell'elenco dei contatti vengono visualizzati sia i contatti Signal che quelli non Signal, con quelli Signal contrassegnati da una lettera blu.

Questa mossa è stata determinata principalmente dal fatto che i messaggi SMS di testo normale non sono sicuri poiché possono essere intercettati utilizzando vari metodi e consentono ai gestori di telefonia mobile di tutto il mondo di accedere ai metadati dei messaggi.

Inoltre, la società ha affermato che avere messaggi SMS non crittografati proprio accanto a messaggi di Signal protetti nella stessa interfaccia potrebbe facilmente creare confusione anche se ciascuno è contrassegnato come tale.

"Sono principalmente solo gli Stati Uniti e parti d'Europa ad avere piani SMS convenienti/illimitati. Per la maggior parte, il sud del mondo è affamato di servizi di overlay che possono utilizzare al posto degli SMS, proprio perché gli SMS sono così costosi in quei luoghi", Segnale ha detto.

Ultimo ma non meno importante, un terzo motivo addotto da Signal per questa mossa è che possono portare a costose bollette telefoniche quando si inviano erroneamente messaggi SMS invece di messaggi Signal a causa delle tariffe elevate in alcune parti del mondo.

"Comprendiamo che questo cambiamento sarà frustrante per quelli di voi che usano Signal su Android per la messaggistica SMS oltre a inviare messaggi di Signal. Raramente è bello dover cambiare il modo in cui comunichi con le persone a cui tieni, "Ha aggiunto Signal

"Non abbiamo fatto questa scelta alla leggera, ma riteniamo che sia necessario garantire che Signal soddisfi i più elevati standard di privacy per il futuro".

https://www.bleepingcomputer.com/news/technology/signal-will-remove-support-for-sms-text-messages-on-android/

WhatsApp Android non ufficiale denominata "YoWhatsApp" - ruba le chiavi di accesso degli account utenti.

Angelo Domeneghini — Thu, 13 Oct 2022 09:16:00 GMT

WhatsApp Android non ufficiale denominata "YoWhatsApp" - ruba le chiavi di accesso degli account utenti.

È stata trovata una nuova versione di un'applicazione WhatsApp Android non ufficiale denominata "YoWhatsApp" che ruba le chiavi di accesso degli account utenti.

YoWhatsApp è un'app di messaggistica completamente funzionante che utilizza le stesse autorizzazioni dell'app WhatsApp standard ed è promossa tramite pubblicità su applicazioni Android popolari come Snaptube e Vidmate.

L'app include funzionalità aggiuntive rispetto al normale WhatsApp, come la possibilità di personalizzare l'interfaccia o bloccare l'accesso alle chat, rendendo l'installazione allettante per gli utenti.

Tuttavia, ora è stato scoperto che YoWhatsApp v2.22.11.75 ruba le chiavi di WhatsApp, consentendo agli attori delle minacce di controllare gli account degli utenti.

La campagna YoWhatsApp è stata scoperta dagli analisti delle minacce di Kaspersky, che dall'anno scorso stanno indagando sui casi del Trojan Triada nascosto all'interno di build WhatsApp modificate.

Secondo un rapporto pubblicato oggi, l'app modificata invia le chiavi di accesso WhatsApp degli utenti al server remoto dello sviluppatore.

Kaspersky afferma che queste chiavi possono essere utilizzate nelle utilità open source per connettersi ed eseguire azioni come utente senza il client effettivo.

Sebbene Kaspersky non abbia dichiarato se queste chiavi di accesso rubate siano state utilizzate in modo improprio, possono portare all'acquisizione di account, alla divulgazione di comunicazioni sensibili con contatti privati e alla rappresentazione di contatti stretti.

Come la vera app WhatsApp per Android, l'app dannosa richiede autorizzazioni, come l'accesso agli SMS, che viene concesso anche al trojan Triada incorporato nell'app.

Kaspersky afferma che il trojan può abusare di queste autorizzazioni per registrare le vittime su abbonamenti premium senza che se ne rendano conto e generare entrate per i distributori.

Campagna di diffusione

La YoWhatsApp modificata è promossa tramite annunci in Snaptube, un downloader di video molto popolare che ha sofferto di malvertising nel recente passato.

Kaspersky ha informato Snaptube sui criminali informatici che spingono app dannose attraverso la sua piattaforma pubblicitaria, quindi questo canale di distribuzione dovrebbe essere chiuso presto.

L'app dannosa offre funzionalità aggiuntive come un'interfaccia personalizzabile, blocchi di chat room individuali e altre cose non disponibili sul client WhatsApp ma che molte persone vorrebbero avere.

Kaspersky ha anche trovato un clone di YoWhatsApp chiamato "WhatsApp Plus", con la stessa funzionalità dannosa, diffuso tramite l'app VidMate, presumibilmente senza che i suoi autori ne fossero a conoscenza.

Questo mese, Meta ha citato in giudizio diverse società cinesi che operano come HeyMods, Highlight Mobi e HeyWhatsApp per aver sviluppato app WhatsApp "non ufficiali" che hanno rubato oltre un milione di account WhatsApp.

Stai al sicuro su WhatsApp

Sebbene non tutte le varianti di WhatsApp non ufficiali siano dannose, evitarle del tutto sarebbe saggio se vuoi ridurre al minimo le possibilità di installare malware sul tuo dispositivo.

In questo caso, le app che promuovono le versioni dannose di WhatsApp possono essere scaricate solo sotto forma di APK al di fuori del Google Play Store, che è anche una pratica da evitare.

Triada può utilizzare queste chiavi per inviare spam dannoso come account rubato, approfittando del fatto che le persone si fidano della loro ristretta cerchia di amici e familiari.

Pertanto, fai attenzione ai messaggi diretti dei contatti che promuovono software o ti chiedono di fare clic su collegamenti insoliti. Quando ricevi messaggi come questo, assicurati di contattare direttamente i tuoi amici e familiari per confermare che abbiano effettivamente inviato i messaggi.

https://www.bleepingcomputer.com/news/security/unofficial-whatsapp-android-app-caught-stealing-users-accounts/

Il bug di VMware vCenter Server divulgato lo scorso anno non è stato ancora corretto

Angelo Domeneghini — Wed, 12 Oct 2022 08:23:00 GMT

Il bug di VMware vCenter Server divulgato lo scorso anno non è stato ancora corretto

VMware ha informato i clienti oggi che vCenter Server 8.0 (l'ultima versione) è ancora in attesa di una patch per risolvere una vulnerabilità di escalation dei privilegi di gravità elevata divulgata a novembre 2021.

Questa falla di sicurezza (CVE-2021-22048) è stata rilevata da Yaron Zinar e Sagi Sheinfeld di CrowdStrike nel meccanismo IWA (Integrated Windows Authentication) di vCenter Server e interessa anche le implementazioni della piattaforma cloud ibrida Cloud Foundation di VMware.

Gli aggressori con accesso non amministrativo possono sfruttarlo per elevare i privilegi a un gruppo con privilegi più elevati su server senza patch.

VMware afferma che questo difetto può essere sfruttato solo da aggressori che utilizzano una rete vettoriale adiacente al server preso di mira come parte di attacchi ad alta complessità che richiedono privilegi bassi e nessuna interazione dell'utente (tuttavia, la voce CVE-2021-22048 di NIST NVD afferma che è sfruttabile da remoto in -attacchi di complessità).

Nonostante ciò, VMware ha valutato la gravità del bug come Importante, il che significa che "lo sfruttamento comporta la completa compromissione della riservatezza e/o dell'integrità dei dati degli utenti e/o delle risorse di elaborazione tramite l'assistenza degli utenti o da parte di aggressori autenticati".

Sebbene la società abbia rilasciato aggiornamenti di sicurezza nel luglio 2022 che risolvevano il difetto solo per i server che eseguivano l'ultima versione disponibile in quel momento (vCenter Server 7.0 Update 3f), ha ritirato le patch 11 giorni dopo perché non hanno risolto la vulnerabilità e causato Secure Il servizio token (vmware-stsd) si arresta in modo anomalo durante l'applicazione delle patch.

"VMware ha stabilito che gli aggiornamenti di vCenter 7.0u3f precedentemente menzionati nella matrice di risposta non risolvono CVE-2021-22048 e introducono un problema funzionale", afferma VMware nell'avviso.

CVE-2021-22048 sequenza temporale delle patch

*Soluzione alternativa fino al rilascio di una patch*

Anche se le patch sono in sospeso per tutti i prodotti interessati, VMware fornisce una soluzione alternativa che consente agli amministratori di rimuovere il vettore di attacco.

Per bloccare i tentativi di attacco, VMware consiglia agli amministratori di passare ad Active Directory tramite l'autenticazione LDAP OPPURE Identity Provider Federation per ADFS (solo vSphere 7.0) dall'autenticazione integrata di Windows (IWA) interessata.

"L'autenticazione Active Directory tramite LDAP non è interessata da questa vulnerabilità. Tuttavia, VMware consiglia vivamente ai clienti di pianificare il passaggio a un altro metodo di autenticazione", spiega l'azienda.

"Active Directory su LDAP non comprende i trust di dominio, quindi i clienti che passano a questo metodo dovranno configurare un'origine identità univoca per ciascuno dei loro domini attendibili. Identity Provider Federation per AD FS non prevede questa restrizione".

VMware fornisce inoltre istruzioni dettagliate sul passaggio ad Active Directory tramite LDAP (qui e qui) e sul passaggio a Identity Provider Federation per AD FS.

https://www.bleepingcomputer.com/news/security/vmware-vcenter-server-bug-disclosed-last-year-still-not-patched/

SPID anche per i minorenni, ma sotto il controllo dei genitori

Angelo Domeneghini — Wed, 12 Oct 2022 08:15:00 GMT

SPID per minorenni: quali sono le novità?

Ragazzi e ragazze che non hanno ancora raggiunto la maggiore età potranno avere la propria identità digitale e utilizzare i servizi loro dedicati in piena sicurezza e tutela dei dati: il Garante della Privacy ha infatti dato parere favorevole all’adozione dello SPID per minorenni.

Come funziona lo SPID per minori? L’Agenzia per l’Italia Digitale (AgID) ha pubblicato le Linee guida operative per il rilascio dell’identità digitale in favore dei minori d’età e la fruizione dei servizi online (determinazione n.51/2022), chiarendo che l’accesso con SPID per i minorenni sarà garantito, in base all’età, dalle amministrazioni o dai privati che lo rendono disponibile.

L’AgID, infatti, prevede trattamenti e servizi diversi per minori che hanno superato i 14 anni e per quelli di età compresa tra i 5 e i 13 anni. Nel dettaglio, le linee guida stabiliscono quanto segue:

Over 14: i minori che hanno superato i 14 anni di età potranno dotarsi di SPID per accedere ai servizi dell’INPS, tramite l’area riservata myinps, al Fascicolo Sanitario Elettronico oppure alla verifica dei punti sulla patente per ciclomotori;

Under 14: i minori tra i 5 e i 13 anni potranno usare la propria identità digitale esclusivamente per i servizi online forniti dalle scuole e sotto stretto controllo del genitore, per un periodo sperimentale fino al 30 giugno 2023.

Le nuove linee guida ampliano la platea delle persone che possono avere SPID e di conseguenza diffondono l’identità digitale presso fasce sempre più ampie della popolazione.

Come richiedere il rilascio di SPID minorenni?

I genitori possono richiedere il rilascio di SPID per figli minorenni rivolgendosi al proprio Identity Provider (IdP), ovvero il gestore dell’identità digitale.

La procedura volta al rilascio di SPID in favore del minore prevede che il genitore:

Deve accedere con credenziali di livello 2 al servizio reso disponibile dal proprio IdP;

Deve inserire i seguenti dati relativi al minore in favore del quale intende chiedere il rilascio di SPID: nome, cognome, codice fiscale, data nascita;

Deve dichiarare, ai sensi dell’art. 46, comma 1, lett. u) del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e s.m.i., la propria qualità di esercente la responsabilità genitoriale sul minore;

Deve dichiarare, ai sensi dell’art. 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e s.m.i., di essere delegato alla richiesta di SPID da parte dell’eventuale Genitore non richiedente o di essere l’unico esercente la responsabilità genitoriale sul minore;

Deve accettare la ricezione di notifiche (ordinarie o push) da parte dell’IdP per l’autorizzazione all’utilizzo di SPID da parte del minore.

L’IdP genera il codice del genitore, composto dal risultato della funzione CRC-32 applicato al codice fiscale del genitore (ad esempio: il codice fiscale RSSMTT64A01G201K produce il CRC 0x4DFCE69E, pertanto il codice del genitore sarà 4DFCE69E), e lo associa al codice di verifica assegnato al minore per il quale è stato fornito il consenso al rilascio dell’identità digitale. Sarà compito del genitore comunicare il codice di verifica al minore che lo utilizzerà per completare la procedura di rilascio dell’identità digitale.

L’IdP, prima di acquisire i dati personali del minore, richiederà allo stesso il codice di verifica in modo da poter verificare la presenza del consenso genitoriale. Inoltre, se il minore ha compiuto almeno quattordici anni, l’IdP acquisisce anche da quest’ultimo il consenso al trattamento dei dati personali per il rilascio e la gestione dell’identità digitale.

Una volta rilasciata l’identità digitale, l’Identity Provider invia una e-mail informativa al genitore recante l’indicazione del nome del minore. In più, ogni volta che il minore tenta di utilizzare SPID è prevista una notifica push da parte dell’IdP al genitore che può così autorizzare o interrompere qualsiasi attività collegata all’identità digitale del figlio.

Che cosa succede al sopraggiungere della maggiore età? Le linee guida dell’AgID stabiliscono che al compimento del diciottesimo anno di età, l’IdP ha l’obbligo di inviare un messaggio al neo maggiorenne mettendo a sua disposizione un servizio per revocare, previa autenticazione con credenziali SPID di livello 2, la propria identità digitale.

Nel caso in cui il neo maggiorenne non chieda la revoca, l’identità digitale de restare attiva ma l’IdP ha l’obbligo di:

Eliminare i legami con l’identità digitale del genitore;

Rimuovere le limitazioni precedentemente imposte dalla minore età;

Cancellare tutte le informazioni relative all’utilizzo dell’identità digitale del minore rese disponibili al genitore, fatta eccezione per i log, in ragione del dovuto rispetto della politica di data retention.

Per i gestori di identità digitali l’obbligo di attuazione delle linee guida AgID decorre dal 1° agosto 2022.

https://3da.it/spid.html

Il mercato Darkweb BidenCash fornisce 1,2 milioni di carte di credito gratuitamente

Angelo Domeneghini — Tue, 11 Oct 2022 07:42:00 GMT

Il mercato Darkweb BidenCash fornisce 1,2 milioni di carte di credito gratuitamente

*controllate gli estratti conto*

Carte di credito

Un mercato di carte sul Darkweb chiamato "BidenCash" ha rilasciato un enorme dump di 1.221.551 carte di credito per promuovere il proprio mercato, consentendo a chiunque di scaricarle gratuitamente per condurre frodi finanziarie.

Il carding è il traffico e l'uso di carte di credito rubate tramite malware nei punti vendita, attacchi magecart ai siti Web o malware per il furto di informazioni.

BidenCash è un mercato di carte rubate lanciato nel giugno 2022, che ha fatto trapelare alcune migliaia di carte come mossa promozionale.

Ora, gli operatori del mercato hanno deciso di promuovere il sito con un dump molto più massiccio nello stesso modo in cui la piattaforma simile "All World Cards" ha fatto nell'agosto 2021.

Gli attori della minaccia hanno annunciato ieri il dump della carta di credito sui nuovi URL che BidenCash ha lanciato alla fine del mese scorso in risposta agli attacchi DDoS (Distributed Denial of Service), quindi potrebbe essere un modo per promuovere i nuovi domini del negozio.

Per garantire una copertura più ampia, i truffatori distribuiscono la raccolta tramite un dominio clearnet e su altri forum di hacking e carding.

Il file a libera circolazione contiene un mix di carte "fresche" in scadenza tra il 2023 e il 2026 da tutto il mondo, ma la maggior parte delle voci sembra provenire dagli Stati Uniti.

Il dump di 1,2 milioni di carte di credito include la seguente carta di credito e le informazioni personali associate:

Numero di carta

Data di scadenza

Numero CVV

Nome del titolare

nome della banca

Tipo di carta, stato e classe

Indirizzo, stato e CAP del titolare

Indirizzo e-mail

SSN

Numero di telefono

Non tutti i dettagli di cui sopra sono disponibili per tutti gli 1,2 milioni di record, ma la maggior parte delle voci visualizzate da BleepingComputer contiene oltre il 70% dei tipi di dati.

L'offerta "evento speciale" è stata avvistata per la prima volta venerdì dai ricercatori italiani di sicurezza di D3Lab, che monitora i siti di carding sul dark web.

Gli analisti affermano che queste carte provengono principalmente da skimmer web, che sono script dannosi iniettati nelle pagine di pagamento di siti di e-commerce compromessi che rubano le informazioni sulla carta di credito e sui clienti inviate.

I post sul Dark Web e le offerte di queste dimensioni sono solitamente truffe, quindi l'enorme dump di carte potrebbe facilmente essere costituito da dati falsi o dati riciclati da vecchi dump riconfezionati con un nuovo nome.

BleepingComputer ha discusso dell'autenticità con gli analisti di D3Lab, che hanno confermato che i dati sono reali con diverse banche italiane, quindi le voci trapelate corrispondono a carte e titolari di carte reali.

Tuttavia, molte delle voci sono state riciclate da raccolte precedenti, come quella "All World Cards" regalata gratuitamente l'anno scorso.

Dai dati che D3Labs ha esaminato finora, circa il 30% sembra essere fresco, quindi se questo valesse grosso modo per l'intero dump, sarebbero ancora valide almeno 350.000 carte.

Delle carte italiane, circa il 50% è già stato bloccato perché le banche emittenti hanno rilevato attività fraudolente, il che significa che le voci effettivamente utilizzabili nella raccolta trapelata potrebbero arrivare fino al 10%.

https://www.bleepingcomputer.com/news/security/darkweb-market-bidencash-gives-away-12-million-credit-cards-for-free/

Vulnerabilità in prodotti Zimbra ZCS - Aggiornamento di sicurezza: assicurati di installare pax/spax

Angelo Domeneghini — Mon, 10 Oct 2022 10:55:00 GMT

*Aggiornamento di sicurezza: assicurati di installare pax/spax*

Tutti gli amministratori Zimbra dovrebbero assicurarsi che il pacchetto pax sia installato sul proprio server Zimbra. Pax è necessario ad Amavis per estrarre il contenuto degli allegati compressi per la scansione dei virus.

Se il pacchetto pax non è installato, Amavis ricadrà sull'utilizzo di cpio, sfortunatamente il fallback è implementato male (da Amavis) e consentirà a un utente malintenzionato non autenticato di creare e sovrascrivere file sul server Zimbra, incluso il webroot Zimbra.

Per la maggior parte dei server Ubuntu il pacchetto pax dovrebbe essere già installato poiché è una dipendenza di Zimbra. A causa di una modifica della confezione in CentOS, è molto probabile che pax non sia installato.

Dovresti convalidare e installare pax su tutti i tuoi sistemi come segue:

Ubuntu

apt install pax

CentOS 7 e derivati

yum installa pax

CentOS 8 e derivati

dnf installa spax

Riavvia Zimbra utilizzando:

sudo su zimbra -

zmcontrol riavvio

Questo problema verrà affrontato anche nella prossima patch di Zimbra in cui renderemo pax un requisito di Zimbra.

https://blog.zimbra.com/2022/09/security-update-make-sure-to-install-pax-spax/

Gli attacchi di callback phishing evolvono le loro tattiche di ingegneria sociale

Angelo Domeneghini — Mon, 10 Oct 2022 10:41:00 GMT

Gli attacchi di callback phishing evolvono le loro tattiche di ingegneria sociale

Attacco di phishing di richiamata

Le operazioni di callback di phishing hanno evoluto i loro metodi di ingegneria sociale, mantenendo vecchi abbonamenti falsi "esca" per la prima fase dell'attacco, ma passando a fingere di aiutare le vittime a gestire un'infezione o un hack.

Gli attacchi riusciti infettano le vittime con un caricatore di malware che rilascia payload aggiuntivi come trojan di accesso remoto, spyware e ransomware.

Gli attacchi di callback phishing sono campagne e-mail che fingono di essere abbonamenti costosi progettati per creare confusione da parte del destinatario poiché non si è mai abbonato a questi servizi.

Racchiuso nell'e-mail c'è un numero di telefono che il destinatario può chiamare per saperne di più su questa "iscrizione" e cancellarla. Tuttavia, questo porta ad un attacco di ingegneria sociale che distribuisce malware sui dispositivi delle vittime e, potenzialmente, attacchi ransomware in piena regola.

Secondo un nuovo rapporto di Trellix, le ultime campagne si rivolgono a utenti negli Stati Uniti, Canada, Regno Unito, India, Cina e Giappone.

Tutto è iniziato con BazarCall

Gli attacchi di callback di phishing sono apparsi per la prima volta nel marzo 2021 con il nome "BazarCall", in cui gli attori delle minacce hanno iniziato a inviare e-mail fingendo di essere un abbonamento a un servizio di streaming, un prodotto software o una società di servizi medici, fornendo un numero di telefono da chiamare se desiderano annullare l'acquisto.

Quando un destinatario ha chiamato il numero, gli attori della minaccia li hanno guidati attraverso una serie di passaggi che hanno portato al download di un file Excel dannoso che avrebbe installato il malware BazarLoader.

BazarLoader fornirebbe l'accesso remoto a un dispositivo infetto, fornendo l'accesso iniziale alle reti aziendali e portando infine ad attacchi ransomware Ryuk o Conti.

Nel corso del tempo, gli attacchi di callback di phishing sono emersi come una minaccia significativa poiché ora vengono utilizzati da numerosi gruppi di hacker, tra cui Silent Ransom Group, Quantum e le operazioni di ransomware/estorsione Royal.

Nuovi trucchi di ingegneria sociale

Il processo di ingegneria sociale è cambiato nelle recenti campagne di callback di phishing, sebbene l'esca nell'e-mail di phishing rimanga la stessa, una fattura per un pagamento effettuato a Geek Squad, Norton, McAfee, PayPal o Microsoft.

Una volta che il destinatario chiama il truffatore al numero fornito, gli viene richiesto di fornire i dettagli di fatturazione per la "verifica". Successivamente, il truffatore dichiara che non ci sono voci corrispondenti nel sistema e che l'e-mail ricevuta dalla vittima era spam.

Quindi, il presunto agente del servizio clienti avverte la vittima che l'e-mail di spam potrebbe aver provocato un'infezione da malware sul suo computer, proponendosi di metterla in contatto con uno specialista tecnico.

Dopo un po', un altro truffatore chiama la vittima per aiutarla con l'infezione e la indirizza a un sito Web in cui scarica malware mascherato da software antivirus.

Un'altra variante utilizzata negli attacchi di phishing a tema PayPal è chiedere alla vittima se utilizza PayPal e quindi presumibilmente controllare la propria e-mail per verificare che non sia stata compromessa, sostenendo che al proprio account hanno avuto accesso otto dispositivi sparsi in varie località del mondo.

Nelle campagne di rinnovo dell'abbonamento al software di sicurezza, i truffatori affermano che il prodotto di sicurezza preinstallato con il laptop della vittima è scaduto ed è stato rinnovato automaticamente per estendere la protezione.

Alla fine, il truffatore indirizza la vittima a un portale di cancellazione e rimborso, che è, ancora una volta, il sito di rilascio del malware.

Il risultato di tutte queste campagne è convincere la vittima a scaricare malware, che potrebbe essere BazarLoader, trojan di accesso remoto, Cobalt Strike o qualche altro software di accesso remoto, a seconda dell'attore della minaccia.

Prendere il controllo remoto dei dispositivi

Trellix afferma che la maggior parte di queste recenti campagne sta spingendo un eseguibile ClickOnce chiamato "support.Client.exe", che, una volta lanciato, installa lo strumento di accesso remoto ScreenConnect.

"L'attaccante può anche mostrare una falsa schermata di blocco e rendere il sistema inaccessibile alla vittima, in cui l'attaccante è in grado di eseguire attività senza che la vittima ne sia a conoscenza", spiega Trellix.

In alcuni casi visti dagli analisti della sicurezza, i truffatori hanno aperto falsi moduli di cancellazione e hanno chiesto alle vittime di compilarli con i loro dati personali.

Infine, per ricevere il rimborso, la vittima è invitata ad accedere al proprio conto bancario, dove viene invece indotta con l'inganno a inviare denaro al truffatore.

"Ciò si ottiene bloccando lo schermo della vittima e avviando una richiesta di trasferimento e quindi sbloccando lo schermo quando la transazione richiede una OTP (One Time Password) o una password secondaria", spiega il rapporto Trellix.

"La vittima viene anche presentata con una falsa pagina di rimborso riuscito per convincerla a credere di aver ricevuto il rimborso. Il truffatore può anche inviare un SMS alla vittima con un messaggio di denaro falso ricevuto come tattica aggiuntiva per impedire alla vittima di sospettare qualsiasi frode". Naturalmente, la perdita di denaro è solo uno dei problemi che gli utenti infetti possono affrontare, poiché gli attori delle minacce possono rilasciare malware aggiuntivo e dannoso in qualsiasi momento, spiandoli a lungo termine e rubando informazioni altamente sensibili.

https://www.bleepingcomputer.com/news/security/callback-phishing-attacks-evolve-their-social-engineering-tactics/

Meta: Instagram aggiunge annunci anche sui profili

Angelo Domeneghini — Thu, 06 Oct 2022 09:02:00 GMT

Meta: Instagram aggiunge annunci anche sui profili

Per aumentare la propria redditività, il social network aumenterà la visualizzazione dei contenuti pubblicitari in quasi tutta la sua applicazione.

Il gruppo Facebook, ora chiamato Meta, ha acquistato Instagram nel 2012.

Alla ricerca della redditività, Instagram sta facendo più spazio alla pubblicità. Dopo aver allungato la durata delle sue storie, il social network del gruppo Meta (Facebook) ha annunciato nuovi “strumenti creativi” per consentire ai brand di ottenere visibilità sulla propria app, disponibile su iOS e Android.

Instagram, che indica che il 90% degli utenti segue almeno un'azienda sulla piattaforma, accoglierà più contenuti pubblicitari. Questo verrà prima visualizzato sotto forma di un blocco piuttosto imponente nella home page della scheda Esplora, che consente di scoprire una selezione di contenuti in base agli interessi dell'utente.

. In precedenza, l'annuncio veniva visualizzato solo dopo lo scorrimento dei post.

L'annuncio occupa un grande blocco nella scheda Esplora.

Nell'ambito di un test condotto da Instagram, l'annuncio inizierà ad apparire anche sui profili, dove non è mai apparso prima.

Gli annunci verranno inseriti tra le pubblicazioni quando si visita un profilo utente.

Ciò consentirà ai "creatori idonei di guadagnare entrate aggiuntive dagli annunci visualizzati nel feed del loro profilo", afferma la piattaforma.

Per il momento, riserva questo sistema di monetizzazione a un numero limitato di famosi creatori negli Stati Uniti.

https://www.20min.ch/fr/story/instagram-ajoute-de-la-pub-meme-sur-les-profils-692343504520

BlackByte ransomware abusa del driver legittimo per disabilitare i prodotti di sicurezza

Angelo Domeneghini — Thu, 06 Oct 2022 08:52:00 GMT

BlackByte ransomware abusa del driver legittimo per disabilitare i prodotti di sicurezza

La banda di ransomware BlackByte sta utilizzando una nuova tecnica che i ricercatori chiamano "Bring Your Own Driver", che consente di aggirare le protezioni disabilitando più di 1.000 driver utilizzati da varie soluzioni di sicurezza.

Gli attacchi recenti attribuiti a questo gruppo hanno coinvolto una versione del driver MSI Afterburner RTCore64.sys, che è vulnerabile a un'escalation dei privilegi e a un difetto di esecuzione del codice rilevato come CVE-2019-16098.

Lo sfruttamento del problema di sicurezza ha consentito a BlackByte di disabilitare i driver che impediscono il normale funzionamento dei prodotti antivirus e di rilevamento e risposta di più endpoint (EDR) e antivirus.

Il metodo "Bring Your Own Vulnerable Driver" (BYOVD) è efficace perché i driver vulnerabili sono firmati con un certificato valido e vengono eseguiti con privilegi elevati sul sistema.

Due recenti esempi degni di nota di attacchi BYOVD includono Lazarus che abusa di un driver Dell con bug e hacker sconosciuti che abusano di un driver/modulo anti-cheat per il gioco Genshin Impact.

Dettagli dell'attacco

I ricercatori di sicurezza della società di sicurezza informatica Sophos spiegano che il driver grafico MSI "abusato" offre codici di controllo I/O accessibili direttamente dai processi in modalità utente, il che viola le linee guida di sicurezza di Microsoft sull'accesso alla memoria del kernel.

Ciò consente agli aggressori di leggere, scrivere o eseguire codice nella memoria del kernel senza utilizzare shellcode o exploit.

Nella prima fase dell'attacco, BlackByte identifica la versione del kernel per selezionare gli offset corretti che corrispondono all'ID del kernel.

Successivamente, RTCore64.sys viene rilasciato in "AppData\Roaming" e crea un servizio utilizzando un nome hardcoded e un nome visualizzato non così sottile selezionato casualmente.

Gli aggressori sfruttano quindi la vulnerabilità del driver per rimuovere le routine di notifica del kernel che corrispondono ai processi degli strumenti di sicurezza.

Gli indirizzi di richiamata recuperati vengono utilizzati per derivare il nome del driver corrispondente e confrontati con un elenco di 1.000 driver mirati che supportano la funzione degli strumenti AV/EDR.

Qualsiasi corrispondenza trovata in questa fase viene rimossa sovrascrivendo l'elemento che contiene l'indirizzo della funzione di callback con zeri, quindi il driver di destinazione viene annullato.

Sophos mette inoltre in evidenza diversi metodi che BlackByte utilizza in questi attacchi per eludere l'analisi dei ricercatori della sicurezza, come cercare i segnali di un debugger in esecuzione sul sistema di destinazione e uscire.

Il malware BlackByte verifica anche la presenza di un elenco di DLL di hooking utilizzate da Avast, Sandboxie, Windows DbgHelp Library e Comodo Internet Security e interrompe l'esecuzione se rilevata.

*Gli amministratori di sistema possono proteggersi dal nuovo trucco di aggiramento della sicurezza di BlackByte aggiungendo il particolare driver MSI a una blocklist attiva.*

Inoltre, gli amministratori dovrebbero monitorare tutti gli eventi di installazione dei driver ed esaminarli frequentemente per trovare eventuali iniezioni non autorizzate che non hanno una corrispondenza hardware.

https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-abuses-legit-driver-to-disable-security-products/

Phishing desktop con la modalità app di Chrome

Angelo Domeneghini — Wed, 05 Oct 2022 09:34:00 GMT

Phishing desktop con la modalità app di Chrome

La modalità app di Chrome può essere sfruttata per mostrare pagine di login fasulle a noti servizi online e rubare le credenziali di accesso.

Esistono diverse tecniche di phishing, tra cui quella nota come Browser-in-the-Browser (BitB). Il ricercatore di sicurezza mr.d0x ha descritto un nuovo metodo che sfrutta la modalità app di Chrome per creare pagine di phishing su desktop. Un cybercriminale devo solo convincere gli utenti a cliccare su un collegamento di Windows (file LNK).

Phishing desktop con app mode

La “Application Mode” di Chrome e altri browser basati su Chromium (ad esempio Microsoft Edge e Brave) permette di creare web app a partire da un sito web. Quest’ultimo viene aperto in una finestra separata del browser, senza la barra degli indirizzi e la barra degli strumenti. Nella barra delle applicazioni di Windows viene mostrata l’icona del sito, non quella del browser. Il comando per lanciare la modalità app in Chrome è del tipo:

C:\Program Files\Google\Chrome\Application\chrome.exe" --app=https://example.com

La funzionalità potrebbe essere sfruttata per visualizzare pagine di login fasulle, inserendo l’indirizzo del sito di phishing nel parametro --app. Sono sufficienti poche righe di codice HTML/CSS per creare pagine di login di noti servizi, come Microsoft Teams, Microsoft 365 o VPN. L’utente non si accorgerà di nulla e invierà le credenziali di accesso al cybercriminale.

L’unico “requisito” è convincere la potenziale vittima ad aprire il sito. Una delle tecniche più usate prevede l’invio di email con link ad immagini ISO o archivi ZIP/RAR. Al loro interno è presente un file LNK che contiene il comando di avvio della modalità app.

https://www.punto-informatico.it/phishing-desktop-modalita-app-chrome/

Windows11- Un aggiornamento rallenta la copia dei files

Angelo Domeneghini — Wed, 05 Oct 2022 09:27:00 GMT

Windows11- Un aggiornamento rallenta la copia dei files

Per qualcuno, l'installazione del 2022 Update su Windows 11 ha portato a rallentare la copia dei grandi file da un computer remoto.

Dopo aver installato il 2022 Update per Windows 11, alcuni utenti hanno lamentato rallentamenti durante la copia di grandi file da un computer remoto. L’intoppo, effettivamente, esiste. La conferma è giunta direttamente da Microsoft, che dichiara così di aver preso in carico i feedback con l’obiettivo di poter distribuire un correttivo in tempi brevi.

Un (altro) bug per Windows 11 2022 update

In una conversazione sul forum Tech Community (“Slower SMB Read Performance for large files in 22H2”), il portavoce Ned Pyle descrive il problema senza però spiegarne la causa. Riportiamo di seguito in forma tradotta le sue parole.

Ciao ragazzi, sono di nuovo Ned. C’è una regressione nelle prestazioni su 22H2 quando si copiano grandi file da un computer remoto a un computer Windows 11. Per un file grande, di diversi GB, può verificarsi un 40% in meno delle velocità sul protocollo SMB, effettuando la copia. Eseguendo la stessa operazione verso una macchina senza 22H2 non mostra questo problema.

Il gruppo di Redmond mette a disposizione un workaround, un rimedio temporaneo su cui far leva in attesa che sia rilasciata la patch correttiva.

Come workaround è possibile utilizzare robocopy o xcopy con il parametro /K (unbuffered IO).

Ad esempio robocopy \\someserver\someshare c:\somefolder somefile.ned /J

Così facendo, si ottengono le stesse prestazioni garantite da Windows 11 prima dell’installazione del 2022 Update. Il portavoce di Microsoft conferma che il team della software house al lavoro sulla piattaforma ha già preso in carico il problema e che seguiranno aggiornamenti.

Non è il solo problema emerso in seguito all’installazione del primo grande update per W11.

Tra gli altri, ci sono anche quelli che hanno interessato le GPU NVIDIA, i driver Intel SST e le stampanti.

https://www.punto-informatico.it/windows-11-2022-update-rallenta-copia-grandi-file/

Instagram estende la durata delle sue storie per contrastare TikTok

Angelo Domeneghini — Thu, 29 Sep 2022 08:31:00 GMT

Instagram estende la durata delle sue storie per contrastare TikTok

Un aggiornamento dell'app di condivisione delle immagini ora ti consente di pubblicare una storia di 60 secondi senza che venga segmentata in clip di 15 secondi.

Instagram continua a implementare funzionalità che lo avvicinano di un passo al concorrente TikTok.

Tramite un aggiornamento, l'app del gruppo Meta (ex Facebook) ha esteso la durata delle sue storie, il suo contenuto effimero visibile per 24 ore.

Gli utenti della piattaforma ora possono pubblicare e guardare video ininterrotti di 60 secondi.

"Stiamo ancora lavorando su come migliorare l'esperienza di Stories", ha detto un portavoce a TechCrunch. Il sito specializzato sottolinea che con questa novità Instagram offusca un po' di più il confine tra storie e bobine, il suo altro formato di video brevi, la cui durata massima è recentemente aumentata da 60 a 90 secondi. Questi cambiamenti rispecchiano la volontà di Adam Mosseri, boss di Instagram, di raddoppiare i suoi sforzi in campo video per contrastare il grande rivale TikTok.

Ma questi cambiamenti volti a copiare TikTok non sono sempre ben accetti dagli utenti.

Quest'estate, di fronte all'insoddisfazione della sua comunità, comprese le celebrità Kim Kardashian e Kylie Jenner che l'hanno invitata a "tornare su Instagram", la piattaforma ha interrotto i test di visualizzazione video a schermo intero.

https://www.20min.ch/fr/story/instagram-allonge-la-duree-de-ses-stories-pour-contrer-tiktok-599694119502

I difetti di stacking della VLAN Ethernet consentono agli hacker di lanciare attacchi DoS e MiTM

Angelo Domeneghini — Thu, 29 Sep 2022 08:19:00 GMT

I difetti di stacking della VLAN Ethernet consentono agli hacker di lanciare attacchi DoS e MiTM

Quattro vulnerabilità nella funzionalità Ethernet "VLAN in pila" ampiamente adottata consentono agli aggressori di eseguire attacchi denial-of-service (DoS) o man-in-the-middle (MitM) contro obiettivi di rete utilizzando pacchetti personalizzati.

Le VLAN impilate, note anche come VLAN Stacking, sono una funzionalità dei moderni router e switch che consente alle aziende di incapsulare più ID VLAN in un'unica connessione VLAN condivisa con un provider a monte.

"Con le VLAN in pila, i fornitori di servizi possono utilizzare una VLAN univoca (denominata ID VLAN del fornitore di servizi o ID SP-VLAN) per supportare i clienti che dispongono di più VLAN. Gli ID VLAN dei clienti (ID CE-VLAN) vengono preservati e il traffico proveniente da diversi i clienti sono segregati all'interno dell'infrastruttura del fornitore di servizi anche quando sembrano essere sulla stessa VLAN", spiega la documentazione di Cisco sulla funzione.

Il Centro di coordinamento CERT ha rivelato i difetti ieri dopo aver concesso ai fornitori di dispositivi il tempo di indagare, rispondere e rilasciare aggiornamenti di sicurezza.

Le vulnerabilità interessano i dispositivi di rete come switch, router e sistemi operativi che utilizzano controlli di sicurezza Layer-2 (L2) per filtrare il traffico per l'isolamento della rete virtuale.

Cisco e Juniper Networks hanno confermato che alcuni dei loro prodotti sono interessati dai difetti, ma numerosi fornitori di dispositivi non hanno concluso la loro indagine; quindi l'impatto complessivo rimane sconosciuto.

Dettagli e implicazioni del problema

Le vulnerabilità esistono nei protocolli di incapsulamento Ethernet che consentono lo stacking delle intestazioni di Virtual Local Area Network (VLAN).

Un utente malintenzionato adiacente non autenticato può utilizzare una combinazione di intestazioni VLAN e LLC/SNAP per aggirare le protezioni del filtro di rete L2 come IPv6 RA guard, ispezione dinamica ARP, protezione IPv6 neighbor discovery e snooping DHCP.

Le quattro vulnerabilità sono:

CVE-2021-27853 Le funzionalità di filtraggio della rete di livello 2 come la protezione RA IPv6 o l'ispezione ARP possono essere ignorate utilizzando combinazioni di intestazioni VLAN 0 e intestazioni LLC/SNAP.

CVE-2021-27854 Le capacità di filtraggio della rete di livello 2 come la protezione RA IPv6 possono essere aggirate utilizzando combinazioni di intestazioni VLAN 0, intestazioni LLC/SNAP nella traduzione del frame da Ethernet a Wifi e da Wifi inverso a Ethernet.

CVE-2021-27861 Le funzionalità di filtraggio della rete di livello 2 come IPv6 RA guard possono essere ignorate utilizzando intestazioni LLC/SNAP con lunghezza non valida (e facoltativamente intestazioni VLAN0).

CVE-2021-27862 Le funzionalità di filtraggio della rete di livello 2 come la protezione RA IPv6 possono essere ignorate utilizzando intestazioni LLC/SNAP con lunghezza non valida e conversione di frame da Ethernet a Wifi (e facoltativamente intestazioni VLAN0).

Sfruttando uno qualsiasi di questi difetti in modo indipendente, un utente malintenzionato può ingannare il dispositivo di destinazione per instradare il traffico verso destinazioni arbitrarie.

"Un utente malintenzionato può inviare pacchetti predisposti attraverso dispositivi vulnerabili per causare Denial of Service (DoS) o per eseguire un attacco man-in-the-middle (MitM) contro una rete bersaglio", avverte il Centro di coordinamento CERT.

Quest'ultimo è lo scenario più grave, in quanto l'attaccante potrebbe osservare il traffico di rete e accedere a informazioni riservate se i dati non sono crittografati.

Una cosa da notare è che nei moderni prodotti di virtualizzazione e networking virtuale basati su cloud, la capacità di rete L2 si estende oltre la LAN, quindi l'esposizione di questi difetti potrebbe essere estesa a Internet.

Mitigazioni e patch

Juniper Networks ha confermato che CVE-2021-27853 e CVE-2021-27854 hanno un impatto su alcuni dei suoi prodotti e ha rilasciato aggiornamenti di sicurezza il 25 agosto 2022.

L'azienda non ha rilasciato un bollettino sulla sicurezza sui problemi, quindi si consiglia a tutti i clienti di applicare gli aggiornamenti di sicurezza ai propri dispositivi.

Cisco ha rilasciato ieri un bollettino sulla sicurezza in cui conferma che molti dei suoi prodotti di rete sono interessati da CVE-2021-27853 e CVE-2021-27861.

I prodotti interessati includono switch, router e software, ma le correzioni per la maggior parte di essi non saranno rese disponibili secondo le tabelle dell'avviso.

Inoltre, i prodotti fuori uso non sono stati valutati rispetto ai difetti, quindi possono anche essere considerati vulnerabili e sostituiti il prima possibile.

Si consiglia a tutti gli amministratori di rete di esaminare e limitare il protocollo utilizzato sulle porte di accesso, abilitare tutti i controlli di sicurezza dell'interfaccia disponibili, ispezionare e bloccare gli annunci del router e applicare gli aggiornamenti di sicurezza del fornitore non appena diventano disponibili.

https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/

Il nuovo dropper NullMixer infetta il tuo PC con una dozzina di famiglie malware

Angelo Domeneghini — Thu, 29 Sep 2022 08:06:00 GMT

Il nuovo dropper NullMixer infetta il tuo PC con una dozzina di famiglie malware

Un nuovo dropper di malware chiamato "NullMixer" sta infettando i dispositivi Windows con una dozzina di famiglie di malware diverse contemporaneamente attraverso falsi crack di software promossi su siti dannosi nei risultati di Ricerca Google.

NullMixer funge da imbuto di infezione, utilizzando un singolo eseguibile di Windows per avviare una dozzina di famiglie di malware diverse, portando ad oltre due dozzine di infezioni che eseguono un singolo dispositivo.

Queste infezioni vanno da trojan per il furto di password, backdoor, spyware, banchieri, falsi pulitori di sistema di Windows, dirottatori di appunti, minatori di criptovalute e persino altri caricatori di malware.

Per distribuire il malware, i distributori di malware utilizzano la "seo black hat" per visualizzare i siti Web che promuovono crack di giochi falsi e attivatori di software piratati in posizioni elevate nei risultati di ricerca su Google.

BleepingComputer ha testato una ricerca su Google per "crack software" e molti dei siti che si dice stiano distribuendo questo malware, come mostrato di seguito, sono stati elencati nei nostri risultati di ricerca nella seconda, terza e quarta posizione dei risultati di ricerca.

Gli utenti ignari che tentano di scaricare software da questi siti vengono reindirizzati ad altri siti dannosi che rilasciano un archivio ZIP protetto da password contenente una copia del dropper NullMixer.

Poiché i crack e i cheat del software in genere necessitano di modificare i file di gioco, gli utenti che li scaricano ignorano gli avvisi AV su eseguibili non firmati e potenzialmente pericolosi, aggirando i controlli di sicurezza ed eseguendoli manualmente.

Kaspersky, i cui analisti hanno scoperto il nuovo dropper, riferisce che NullMixer ha già tentato infezioni su 47.778 dei suoi clienti negli Stati Uniti, Germania, Francia, Italia, India, Russia, Brasile, Turchia ed Egitto.

NullMixer viene comunemente scaricato come file denominati in modo simile a "win-setup-i864.exe", che una volta avviato, crea un nuovo file chiamato "setup_installer.exe".

Questo nuovo file è responsabile dell'eliminazione di dozzine di famiglie di malware e, dopo averlo fatto, avvia un altro eseguibile, "setup_install.exe".

Quel terzo file avvia tutti i malware rilasciati nella macchina compromessa utilizzando un elenco codificato dei loro nomi e lo strumento cmd.exe di Windows.

Alcune famiglie di malware eliminate da NullMixer includono Redline Stealer, Danabot, Raccoon Stealer, Vidar Stealer, SmokeLoader, PrivateLoader, ColdStealer, Fabookie, PseudoManuscrypt e altre ancora.

Il motivo per cui gli operatori NullMixer hanno scelto di installare e avviare tutte queste famiglie di malware contemporaneamente su computer compromessi casualmente non è chiaro.

Gli operatori possono scegliere di causare distruzione per fama, promuovere il loro strumento come un dropper molto efficace per i gruppi di malware o raggiungere livelli assurdi di ridondanza.

In ogni caso, sarebbe praticamente impossibile per tutte quelle famiglie di malware funzionare su un computer violato e non generare abbondanti sintomi di compromissione affinché la vittima si renda conto dell'infezione.

Questi sintomi potrebbero includere un'attività pesante del disco rigido, un maggiore utilizzo della CPU e della memoria, aperture insolite di finestre senza motivo o semplicemente un evidente problema di prestazioni sul dispositivo infetto.

Pertanto, NullMixer è meno una minaccia invisibile ora e più un incontro catastrofico che può probabilmente essere risolto solo tramite una reinstallazione di Windows.

Gli utenti devono sempre considerare i rischi del download di eseguibili da oscure fonti online ed evitare di ricorrere alla pirateria del software.

https://www.bleepingcomputer.com/news/security/new-nullmixer-dropper-infects-your-pc-with-a-dozen-malware-families/

200GB -Kena Nuovi Numeri Plus a 9,99-

Angelo Domeneghini — Wed, 28 Sep 2022 16:00:00 GMT

Minuti Illimitati di chiamate verso tutti i numeri fissi e mobili,

1.000 SMS verso tutti i mobili e

200GB di internet 4G (inclusi 8,5GB in 4G per navigare in Europa) a 9,99€ al mese.

Tutte le SIM Kena verranno gradualmente abilitate al servizio Voce su 4G (VoLTE). Il servizio VoLTE è supportato esclusivamente sui dispositivi 4G abilitati sulla rete Kena.

Kena 9,99 200GB Nuovi Numeri Plus offre chiamate senza scatto alla risposta e Giga 4G a scatti anticipati di 1 KB con una velocità in download fino a 60 Mbps e in upload fino a 30 Mbps sul territorio nazionale.
All’Estero la velocità di connessione è in 4G e dipende dalla Rete dell’Operatore con i quali TIM ha stretto accordi di Roaming.

Aggiornamenti per prodotti Zyxel

Angelo Domeneghini — Wed, 28 Sep 2022 08:44:00 GMT

Zyxel rilascia aggiornamenti di sicurezza per sanare una vulnerabilità nei propri Router/Access Point.

Prodotti e versioni affette

Zyxel

DSL/Ethernet CPE
Fiber ONT
5G NR/4G LTE CPE

Riepilogo

Zyxel sta rilasciando patch che affrontano l'archiviazione in chiaro della vulnerabilità delle informazioni nei suoi prodotti. Si consiglia agli utenti di installare le patch per una protezione ottimale.

Qual è la vulnerabilità?

L'archiviazione in chiaro della vulnerabilità delle informazioni è dovuta a un programma CGI privo di un'adeguata protezione del privilegio di accesso del dispositivo e della configurazione TR-069.

La vulnerabilità non può essere sfruttata a meno che l'autore dell'attacco non possa prima essere autenticato con successo e accedere all'interfaccia di gestione del dispositivo.

Il protocollo TR-069 non è abilitato di default nella versione generica del firmware; pertanto, non può essere sfruttato dagli aggressori.

Quali versioni sono vulnerabili e cosa dovresti fare?

Dopo un'indagine approfondita, abbiamo identificato i prodotti vulnerabili che rientrano nel periodo di supporto della vulnerabilità, con le relative patch del firmware mostrate nella tabella seguente.

Prodotto Modello interessato Disponibilità patch*

DSL/Ethernet CPE

VMG3625-T50B Versione firmware personalizzata V5.50(ABTL.0)b2r

EMEA: V5.50(ABPM.7)C0

America Centrale: V5.50(ACCR.0)b4

VMG3927-T50K V5.50(ABOM.8)C0

VMG8623-T50B V5.50(ABPM.7)C0

VMG8825-T50K V5.50(ABOM.8)C0

EMG3525-T50B V5.50(ABPM.7)C0

EMG5523-T50B V5.50(ABPM.7)C0

EMG5723-T50K V5.50(ABOM.8)C0

DX3301-T0 V5.50(ABVY.3)C0

DX5401-B0 V5.17(ABYO.2)C0

EX5401-B0 V5.17(ABYO.2)C0

EX5501-B0 V5.17(ABRY.3)C0

Fibra ONT

AX7501-B Serie V5.17(ABPC.2)C0

EP240P V5.40(ABVH.0)C0a03

PMG5617GA V5.40(ABNA.2)C0

PMG5622GA V5.40(ABNB.2)C0

PMG5317-T20B V5.40(ABKI.4)C0

PMG5617-T20B2 V5.41(ACBB.1)C0

PM7300-T0 V5.42(ACBC.1)C0

5G NR/4G LTE CPE

LTE3301-PLUS V1.00(ABQU.6)C0 a dicembre 2022

LTE5388-M804 V1.00(ABSQ.4)C0 a dicembre 2022

LTE5388-S905 V1.00(ABVI.6)C0 a dicembre 2022

LTE5398-M904 V1.00(ABQV.2)C0 a dicembre 2022

LTE7240-M403 V2.00(ABMG.6)C0 a dicembre 2022

LTE7461-M602 V2.00(ABQN.6)C0 a dicembre 2022

LTE7480-S905 V2.00(ABQT.6)C0 a dicembre 2022

LTE7480-M804 V1.00(ABRA.6)C0 a dicembre 2022

LTE7485-S905 V1.00(ABVN.6)C0 a dicembre 2022

LTE7490-M804 V1.00(ABQY.5)C0 a dicembre 2022

NR5101 V1.00(ABVC.6)C0 nel dicembre 2022

NR7101 V1.00(ABUV.7)C0 nel dicembre 2022

NR7102 V1.00(ABYD.2)C0 a dicembre 2022

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-cleartext-storage-of-information-vulnerability

Whatsapp: telefonare diventa più facile, arriva il “call link”

Angelo Domeneghini — Wed, 28 Sep 2022 08:24:00 GMT

Whatsapp: telefonare diventa più facile, arriva il “call link”

Nuova funzione in arrivo su Whatsapp: con un post su Facebook, Mark Zuckerberg ha annunciato l’imminente introduzione dei “link per le chiamate“, destinati a rendere più facile avviare e partecipare a una chiamata, con un semplice click. In pratica, gli utenti potranno selezionare – tramite un banner situato in alto sullo schermo – l’opzione “link per la chiamata” nella sezione Chiamate, ottenere il collegamento diretto e condividerlo con familiari e amici.

La funzione, che sarà lanciata questa settimana, sarà disponibile solo con l’ultima versione dell’app e supporterà sia le chiamate audio sia quelle video.

Zuckerberg ha anche confermato che le videochiamate crittografate sono attualmente in fase di test per le chiamate di gruppo con un massimo di 32 persone: un passo avanti notevole, se si pensa che Whatsapp attualmente limita le videochiamate a otto utenti.

Su questa specifica novità, che si prevede sarà disponibile prossimamente, sono in corso circa 1.000 test al giorno, “per garantire la qualità e le prestazioni delle chiamate”.

In competizione con i “big”

La capacità di chiamata ampliata rende Whatsapp un concorrente per nomi del calibro di Google Meet, Microsoft Teams o Zoom: queste offerte concorrenti hanno ovviamente una capacità maggiore (100 per Google e Microsoft Teams e 300 per Zoom), tuttavia includono restrizioni come la durata delle chiamate per account gratuiti e potrebbero non essere la prima scelta per i miliardi di persone che già chattano su Whatsapp.

L’app di Meta, d’altro canto, non ha menzionato alcuna restrizione sulla durata delle chiamate, il che potrebbe collocarla come una delle migliori applicazioni di videochiamate gratuite per team più piccoli e reti personali, una volta che la funzione sarà ampiamente disponibile.

NVIDIA GeForce Experience beta risolve i problemi di gioco di Windows 11 22H2

Angelo Domeneghini — Tue, 27 Sep 2022 08:31:00 GMT

NVIDIA GeForce Experience beta risolve i problemi di gioco di Windows 11 22H2

NVIDIA ha riconosciuto i problemi di prestazioni che interessano i sistemi con GPU NVIDIA dopo l'installazione di Windows 11 22H2 Update.

"Alcuni utenti potrebbero osservare prestazioni inferiori nei giochi o nelle applicazioni dopo l'aggiornamento a Microsoft Windows 11 2022 Update", afferma la società in un articolo di supporto pubblicato nel fine settimana.

La soluzione ufficiale per questo problema noto è aggiornare la suite software GeForce Experience dell'azienda alla versione 3.26 Beta, che risolve i problemi.

NVIDIA ha aggiunto che la versione non Beta di NVIDIA GeForce Experience 3.26 dovrebbe essere disponibile con un nuovo driver GeForce Game Ready entro questa settimana.

Per eseguire l'aggiornamento all'ultima versione beta di NVIDIA GeForce Experience, puoi utilizzare uno dei seguenti metodi:

Scarica manualmente il programma di installazione di NVIDIA GeForce Experience v3.26 da QUI. Una volta scaricato, procedere con l'installazione.

Dall'app GeForce Experience, apri "Impostazioni" in GeForce Experience e seleziona "Abilita funzionalità sperimentali". Quindi chiudi GeForce Experience. Attendi 30 secondi, quindi riapri GeForce Experience. L'app si aggiornerà automaticamente all'ultima versione.

La conferma di NVIDIA è stata sollecitata da un flusso di rapporti degli utenti condivisi su diverse piattaforme online e sulla comunità online di Microsoft.

Ad esempio, gli utenti hanno affermato su Reddit [1, 2, 3] di riscontrare balbuzie e un enorme ritardo durante i giochi a causa di cali significativi nell'utilizzo della CPU dopo l'installazione dell'aggiornamento 22H2 di Windows 11.

I clienti hanno anche condiviso sul sito della community di Microsoft di aver riscontrato problemi simili, con un calo dell'utilizzo della CPU fino al 5% che innesca un notevole ritardo di gioco.

La cosa che ha reso ovvio che l'ultimo aggiornamento di Windows 11 era alla base di questi problemi è che più utenti interessati hanno affermato che i problemi di prestazioni di gioco sono scomparsi dopo il rollback dell'aggiornamento.

Il QA del software NVIDIA Manuel Guzman ha seguito Reddit in quel momento e ha confermato che la società era a conoscenza di questo problema, consigliando agli utenti Reddit interessati di fornire un feedback aggiuntivo.

Per ora, se non ti senti a tuo agio nell'installare il software Beta sul tuo sistema, potresti voler evitare l'aggiornamento a Windows 11 22H2 fino a quando NVIDIA GeForce Experience 3.26 non raggiunge la stabilità e Microsoft riconosce questi problemi di prestazioni di gioco.

https://www.bleepingcomputer.com/news/technology/nvidia-geforce-experience-beta-fixes-windows-11-22h2-gaming-issues/

Adware su Google Play e Apple Store installati 13 milioni di volte

Angelo Domeneghini — Tue, 27 Sep 2022 08:23:00 GMT

Sophos avverte del nuovo bug del firewall sfruttato negli attacchi RCE

Angelo Domeneghini — Mon, 26 Sep 2022 08:38:00 GMT

Sophos avverte del nuovo bug del firewall sfruttato negli attacchi RCE

Sophos ha avvertito oggi che una vulnerabilità critica della sicurezza dell'iniezione di codice nel prodotto Firewall dell'azienda viene sfruttata in natura.

"Sophos ha osservato che questa vulnerabilità viene utilizzata per colpire un piccolo gruppo di organizzazioni specifiche, principalmente nella regione dell'Asia meridionale", ha avvertito il fornitore di software e hardware di sicurezza.

"Abbiamo informato direttamente ciascuna di queste organizzazioni. Sophos fornirà ulteriori dettagli mentre continuiamo a indagare".

Tracciato come CVE-2022-3236, il difetto è stato rilevato nel portale utente e nell'amministratore Web di Sophos Firewall, consentendo agli aggressori di eseguire codice (RCE).

La società afferma di aver rilasciato hotfix per le versioni di Sophos Firewall interessate da questo bug di sicurezza (v19.0 MR1 (19.0.1) e precedenti) che verranno implementati automaticamente in tutte le istanze poiché gli aggiornamenti automatici sono abilitati per impostazione predefinita.

"Non è richiesta alcuna azione per i clienti di Sophos Firewall con la funzione 'Consenti installazione automatica di hotfix' abilitata nelle versioni corrette (vedere la sezione Riparazione di seguito). Abilitata è l'impostazione predefinita", ha spiegato Sophos.

Tuttavia, la società ha aggiunto che gli utenti di versioni precedenti di Sophos Firewall avrebbero dovuto eseguire l'aggiornamento a una versione supportata per ricevere la patch CVE-2022-3236.

Fornisce inoltre informazioni dettagliate sull'abilitazione della funzionalità di installazione automatica dell'aggiornamento rapido e sul controllo se l'aggiornamento rapido è stato installato correttamente.

Sophos fornisce inoltre una soluzione alternativa per i clienti che non possono applicare immediatamente una patch al software vulnerabile che richiederà loro di garantire che il portale utente e l'amministratore Web del firewall non siano esposti all'accesso WAN.

"Disabilitare l'accesso WAN al portale utente e all'amministratore Web seguendo le best practice per l'accesso ai dispositivi e utilizzare invece VPN e/o Sophos Central (preferito) per l'accesso e la gestione remoti", ha aggiunto la società.

La correzione dei bug di Sophos Firewall è di fondamentale importanza, soprattutto perché questo non è il primo difetto di questo tipo sfruttato in natura.

Ad esempio, Sophos ha corretto un bug critico simile di Sophos Firewall (CVE-2022-1040) a marzo, scoperto nel portale utente e nell'amministratore Web, consentendo agli attori delle minacce di aggirare l'autenticazione ed eseguire codice arbitrario.

Proprio come CVE-2022-3236, è stato anche sfruttato in attacchi concentrati principalmente su organizzazioni dell'Asia meridionale. Come ha scoperto in seguito Volexity, un gruppo di minacce cinesi monitorato come DriftingCloud ha sfruttato CVE-2022-1040 come zero-day dall'inizio di marzo, circa tre settimane prima che Sophos rilasciasse le patch.

Gli attori delle minacce hanno anche abusato di un'iniezione SQL di XG Firewall zero-day a partire dall'inizio del 2020 con l'obiettivo di rubare dati sensibili come nomi utente e password.

Nell'ambito degli attacchi in cui è stato utilizzato lo zero-day, il malware trojan Asnarök lo ha sfruttato per cercare di rubare le credenziali del firewall da istanze vulnerabili di XG Firewall.

Lo stesso zero-day è stato sfruttato per spingere i payload del ransomware Ragnarok sulle reti aziendali Windows.

https://www.bleepingcomputer.com/news/security/sophos-warns-of-new-firewall-rce-bug-exploited-in-attacks/

TikTok introduce il pulsante “non mi piace” contro le molestie

Angelo Domeneghini — Mon, 26 Sep 2022 08:27:00 GMT

La piattaforma social, amatissima dai più giovani, lancia nuovi strumenti per aumentare la sicurezza.

TikTok sta per introdurre, per tutti i propri utenti, il pulsante non mi piace per i commenti. In questo modo saranno messi a disposizione degli utenti maggiori strumenti di tutela contro molestie e bullismo. Nuovi modi per promuovere sicurezza e gentilezza su TikTok, questo è il titolo del post pubblicato sulla newsroom del social in cui vengono annunciati i nuovi provvedimenti. Il fenomeno delle molestie, del bullismo e dell’incitamento all’odio sui social è qualcosa di cui si è sempre più consapevoli e le piattaforme hanno ormai ben compreso di dover contrastare in tutti i modi possibili tali comportamenti.

Basti pensare che il solo TikTok, nel periodo di tempo compreso tra ottobre e dicembre 2021, ha rimosso il 14,7% in più dei post contenenti molestie e bullismo tra quelli che non avevano ancora ricevuto visualizzazioni, in modo tale che gli utenti non potessero vederli. Sulla piattaforma si è inoltre registrato un incremento del 10,9% della censura per i comportamenti d’odio e del 16,2% per quelli su estremismo violento.

A cosa serve il pulsante “non mi piace” su TikTok

Per cercare di contrastare sempre di più questi gravi fenomeni, la piattaforma ha comunicato di aver lanciato nuovi strumenti di censura per i post. Il pulsante “non mi piace”, ad esempio, permette agli utenti di segnalare commenti in irrilevanti, appropriati, violenti, molesti… in modo tale che il social possa intervenire in maniera più veloce ed efficace contro di essi. Per non stimolare sentimenti negativi tra le persone all’interno della community o demoralizzare i creator, solo la persona che ha cliccato per indicare Non Mi Piace a un commento sarà in grado di vederlo.

Attraverso il rapporto periodico sull’applicazione delle linee guida, relativo agli ultimi tre mesi del 2021 e appena pubblicato, TikTok ricorda che la propria community deve fondarsi su gentilezza, rispetto e comprensione ed è per questo che l’azienda considera importante vigilare su quanto accade in essa e preoccuparsi della sicurezza di tutti gli utenti.

Altri strumenti in arrivo

Nelle prossime settimane saranno comunicate le date di progressiva introduzione delle funzioni, che andranno ad aggiungersi ai numerosi strumenti già disponibili. Come si legge nella newsroom di TikTok : “Gli utenti possono filtrare i commenti rivedendoli tutti manualmente, oppure filtrandoli selezionando delle chiavi di ricerca. I creator possono anche decidere chi può commentare i loro contenuti fra Tutti, Amici (i follower che a loro volta seguono) o Nessuno. L’impostazione Tutti non è disponibile per i minori di 16 anni”.

https://www.digitalic.it/social-network/tiktok-introduce-il-pulsante-non-mi-piace-contro-le-molestie

Logitech G Cloud: abbiamo provato la prima console di Logitech

Angelo Domeneghini — Thu, 22 Sep 2022 10:04:00 GMT

Logitech G Cloud: abbiamo provato la prima console di Logitech

L'azienda vodese ha formalizzato la sua prima console portatile destinata al cloud gaming durante il suo evento Logi Play.

“20 minuti” è stato in grado di prenderla in mano prima della sua commercializzazione in ottobre.

Nota per i suoi accessori per computer, Logitech sta compiendo un passo importante nel cloud gaming. Durante la prima edizione di Logi Play, evento del gruppo tecnologico organizzato a Berlino e dedicato al futuro del gaming e dello streaming, l'azienda losannese ha ufficializzato martedì la sua prima console, la Logitech G Cloud Gaming Handheld.

Sviluppato per due anni, questo dispositivo portatile, che abbiamo potuto prendere in mano dopo la sua presentazione, è stato progettato per i giochi nel cloud. È il risultato di una partnership con il colosso cinese Tencent.

La console, il cui design era stato svelato in recenti leak, arriva a camminare sulle aiuole dello Steam Deck lanciato all'inizio di quest'anno dalla compagnia Valve, pur richiamando Nintendo Switch nel suo formato e nella sua voglia di raggiungere il grande pubblico.

A differenza di quest'ultimo, non ci sono controller staccabili nel menu, o uscite video per collegarlo ad un televisore.

La console, che esegue Android 11, visualizza un touchscreen LCD da 7 pollici con risoluzione Full HD (1920 x 1080 p) ed una frequenza di aggiornamento di 60 frame/s.

Ai suoi lati, due joystick, pulsanti direzionali a forma di croce, i tasti A, B, X e Y, un pulsante Logitech per accedere al menu dell'app utilizzata e quello per tornare alla schermata principale, oltre a due pulsanti di opzione .

Quattro comandi e pulsanti del volume e di avvio completano la macchina.

Si noti che i pulsanti sono riconfigurabili.

La sua presa è piacevole e risulta essere piuttosto leggera (463 g) rispetto allo Steam Deck (669 g, contro i 398 g di Nintendo Switch).

La console fornisce l'accesso alle piattaforme di cloud gaming di Microsoft e Nvidia.

Xbox e Nvidia nel gioco

Orientato al cloud, consente l'accesso alle piattaforme Xbox Cloud Gaming (beta), Nvidia GeForce NOW, nonché lo streaming di videogiochi da una console Xbox e da un PC tramite l'app Steam Link. Tutto wifi.

Il dispositivo non è pensato per essere nomade, ma destinato all'uso domestico. Nessuna connessione mobile, quindi. Sulla sua interfaccia c'è anche l'accesso al Google Play Store, per scaricare giochi Android e YouTube.

Perché non preferire uno smartphone o un tablet per accedere ai giochi nel cloud, ci si potrebbe chiedere?

Il Logitech G Cloud dovrebbe offrire una maggiore autonomia (l'azienda annuncia più di 12 ore), evitare distrazioni causate dalle notifiche di altre app durante i giochi ed offrire un formato più adatto ed ergonomico, risponde uno dei suoi designer.

Le viscere non nascondono un mostro di potere.

Il suo processore, un Qualcomm Snapdragon 720G, risale a due anni fa, ma dovrebbe essere sufficiente per eseguire giochi da server cloud.

È anche un modo per ridurre i costi di marketing della console, afferma un manager. Logitech G Cloud, che include anche una porta microSD per espandere il suo spazio di archiviazione da 64 GB, verrà lanciato per la prima volta in Nord America il 17 ottobre per $ 349 ($ 299 nei primi giorni di vendita). L'Europa e gli altri mercati aspetteranno “più tardi”.

https://www.20min.ch/fr/story/nous-avons-essaye-la-premiere-console-de-logitech-892948479012

Twitter non è riuscito a disconnetterti da tutti i dispositivi dopo la reimpostazione della password

Angelo Domeneghini — Thu, 22 Sep 2022 09:54:00 GMT

Twitter non è riuscito a disconnetterti da tutti i dispositivi dopo la reimpostazione della password

Twitter ha disconnesso alcuni utenti dopo aver risolto un bug per il quale alcuni account sono rimasti collegati su alcuni dispositivi mobili dopo la reimpostazione volontaria della password.

"Ciò significa che se hai modificato la password in modo proattivo su un dispositivo, ma hai ancora una sessione aperta su un altro dispositivo, quella sessione potrebbe non essere stata chiusa. Le sessioni Web non sono state interessate e sono state chiuse in modo appropriato", ha spiegato Twitter.

Esistono alcuni potenziali rischi per la privacy per gli utenti di Twitter che sono stati interessati da questo bug, incluso l'accesso ai propri account da parte di altri che hanno messo le mani su dispositivi che sono rimasti connessi all'insaputa dell'utente.

Per questo motivo, l'azienda ha contattato coloro che potrebbero essere stati colpiti e li ha disconnessi dai propri account su tutte le sessioni attive su tutti i dispositivi.

"Abbiamo informato direttamente le persone che siamo stati in grado di identificare chi potrebbe essere stato colpito da questo, li abbiamo disconnessi in modo proattivo dalle sessioni aperte su tutti i dispositivi e abbiamo chiesto loro di accedere nuovamente", ha aggiunto la società

"Ci rendiamo conto che questo potrebbe essere scomodo per alcuni, ma è stato un passo importante per mantenere il tuo account al sicuro da potenziali accessi indesiderati".

"Abbiamo corretto un bug che non chiudeva tutte le sessioni di accesso attive su Android e iOS dopo la reimpostazione della password di un account.

Per mantenere il tuo account al sicuro, abbiamo disconnesso alcuni di voi. Puoi accedere nuovamente per continuare a utilizzare Twitter."

Per maggiori dettagli su cosa è successo: https://t.co/OmjLKOe5bs

— Supporto Twitter (@TwitterSupport) 21 settembre 2022

A luglio, Twitter è stata colpita da una violazione dei dati dopo che gli attori delle minacce hanno messo in vendita un database di numeri di telefono e indirizzi e-mail collegati a 5,4 milioni di account Twitter rubati nel dicembre 2021.

La vulnerabilità utilizzata dall'attaccante per raccogliere i dati è stata divulgata a Twitter tramite HackerOne il 1° gennaio e risolta il 13 gennaio, come riportato per la prima volta da Restore Privacy.

BleepingComputer ha verificato con alcuni degli utenti Twitter, elencati in un piccolo campione, che i dati condivisi dall'hacker, come le informazioni private trapelate (indirizzi e-mail e numeri di telefono), erano accurate.

Un mese dopo, Twitter ha confermato le segnalazioni, affermando che l'attore della minaccia ha utilizzato la vulnerabilità zero-day corretta a gennaio per raccogliere informazioni private sugli utenti.

Come parte della divulgazione, Twitter ha detto a BleepingComputer di aver iniziato a inviare notifiche per avvisare gli utenti interessati che la violazione dei dati ha esposto i loro numeri di telefono o indirizzo e-mail.

Da luglio, gli account Twitter verificati hackerati vengono utilizzati anche per inviare messaggi di sospensione falsi ma ben scritti che tentano di rubare le credenziali di altri utenti verificati

https://www.bleepingcomputer.com/news/security/twitter-failed-to-log-you-out-of-all-devices-after-password-resets/

Python: un bug vecchio di 15 anni rende vulnerabili 350.000 Progetti

Angelo Domeneghini — Thu, 22 Sep 2022 09:38:00 GMT

Python: un bug vecchio di 15 anni rende vulnerabili 350.000 Progetti

Una vulnerabilità nel linguaggio di programmazione Python che è stata trascurata per 15 anni è ora di nuovo sotto i riflettori poiché probabilmente colpisce più di 350.000 repository open source e può portare all'esecuzione di codice.

Divulgato nel 2007 e contrassegnato come CVE-2007-4559, il problema di sicurezza non ha mai ricevuto una patch, l'unica mitigazione fornita è un aggiornamento della documentazione che avverte gli sviluppatori del rischio.

Senza patch dal 2007

La vulnerabilità è nel pacchetto tarfile di Python, nel codice che utilizza la funzione tarfile.extract() non disinfettata o le impostazioni predefinite integrate di tarfile.extractall(). È un bug di attraversamento del percorso che consente ad un utente malintenzionato di sovrascrivere file arbitrari.

I dettagli tecnici per CVE-2007-4559 sono disponibili dal rapporto iniziale nell'agosto 2007. Sebbene non ci siano rapporti sul bug sfruttato negli attacchi, rappresenta un rischio nella catena di fornitura del software.

All'inizio di quest'anno, mentre indagava su un altro problema di sicurezza, CVE-2007-4559 è stato riscoperto da un ricercatore di Trellix, una nuova azienda che fornisce soluzioni di rilevamento e risposta estesa (XDR) risultanti dalla fusione di McAfee Enterprise e FireEye.

"La mancata scrittura di alcun codice di sicurezza per disinfettare i file dei membri prima di chiamare tarfile.extract() tarfile.extractall() provoca una vulnerabilità di attraversamento della directory, consentendo a un malintenzionato di accedere al file system" - Charles McFarland, ricercatore di vulnerabilità nel Team di ricerca avanzata sulle minacce di Trellix

Il difetto deriva dal fatto che il codice nella funzione di estrazione nel modulo tarfile di Python si fida esplicitamente delle informazioni nell'oggetto TarInfo "e unisce il percorso che viene passato alla funzione di estrazione e il nome nell'oggetto TarInfo"

Meno di una settimana dopo la divulgazione, un messaggio sul bug tracker di Python ha annunciato che il problema è stato risolto, la correzione è stata l'aggiornamento della documentazione con un avviso "che potrebbe essere pericoloso estrarre archivi da fonti non attendibili".

Si stima che siano stati interessati 350.000 progetti

Analizzando l'impatto, i ricercatori di Trellix hanno scoperto che la vulnerabilità era presente in migliaia di progetti software, sia open source che closed source.

I ricercatori hanno raschiato una serie di 257 repository con maggiori probabilità di includere il codice vulnerabile e ne hanno controllati manualmente 175 per vedere se erano interessati. Ciò ha rivelato che il 61% di loro era vulnerabile.

L'esecuzione di un controllo automatico sul resto dei repository ha aumentato il numero di progetti interessati al 65%, indicando un problema diffuso.

Tuttavia, il piccolo set di campioni è servito solo come base per elaborare una stima di tutti i repository interessati disponibili su GitHub.

"Con l'aiuto di GitHub siamo stati in grado di ottenere un set di dati molto più ampio per includere 588.840 repository univoci che includono 'import tarfile' nel suo codice Python" - Charles McFarland

Utilizzando il tasso di vulnerabilità del 61% verificato manualmente, Trellix stima che ci siano più di 350.000 repository vulnerabili, molti dei quali utilizzati da strumenti di machine learning (ad es. GitHub Copilot) che aiutano gli sviluppatori a completare un progetto più velocemente.

Tali strumenti automatizzati si basano sul codice di centinaia di migliaia di repository per fornire opzioni di "completamento automatico". Se forniscono codice non sicuro, il problema si propaga ad altri progetti senza che lo sviluppatore lo sappia.

Analizzando ulteriormente il problema, Trellix ha scoperto che il codice open source vulnerabile a CVE-2007-4559 "si estende a un vasto numero di settori".

Come previsto, il più colpito è il settore dello sviluppo, seguito dal web e dalle tecnologie di machine learning.

Codice vulnerabile a CVE-2007-4559 presente in tutti i settori

fonte: Trellix

CVE-2007-4559

In un post tecnico sul blog di oggi, il ricercatore di vulnerabilità di Trellix Kasimir Schulz, che ha riscoperto il bug, ha descritto i semplici passaggi per sfruttare CVE-2007-4559 nella versione Windows di Spyder IDE, un ambiente di sviluppo integrato multipiattaforma open source per la programmazione scientifica .

I ricercatori hanno dimostrato che la vulnerabilità può essere sfruttata anche su Linux. Sono riusciti a intensificare la scrittura del file e ottenere l'esecuzione del codice in un test sul servizio di gestione dell'infrastruttura IT Polemarch.

Oltre ad attirare l'attenzione sulla vulnerabilità e sul rischio che comporta, Trellix ha anche creato patch per poco più di 11.000 progetti. Le correzioni saranno disponibili in un fork del repository interessato. Successivamente, verranno aggiunti al progetto principale tramite richieste pull.

A causa dell'elevato numero di repository interessati, i ricercatori prevedono che oltre 70.000 progetti riceveranno una correzione nelle prossime settimane. Tuttavia, raggiungere il 100% è una sfida difficile, poiché anche le richieste di unione devono essere accettate dai manutentori.

BleepingComputer ha contattato Python Software Foundation per un commento su CVE-2007-4559 ma non ha ricevuto risposta al momento della pubblicazione.

https://www.bleepingcomputer.com/news/security/unpatched-15-year-old-python-bug-allows-code-execution-in-350k-projects/

iPhone 14 Pro: un fix per lo shaking della fotocamera

Angelo Domeneghini — Wed, 21 Sep 2022 08:22:00 GMT

Apple pianifica una correzione per la vibrazione della fotocamera dell'iPhone 14 Pro entro la prossima settimana

Gli utenti dell'app di social media si sono lamentati di problemi con la fotocamera

Il bug riguarda i modelli di iPhone 14 Pro, che sono stati messi in vendita venerdì

iPhone 14 Pro

Apple Inc. sta lavorando ad un aggiornamento software per iPhone 14 Pro e Pro Max volto a correggere un bug che fa tremare fisicamente la fotocamera posteriore del dispositivo quando viene utilizzata con alcune app di terze parti.

L'aggiornamento verrà rilasciato la prossima settimana, secondo l'azienda, segnalando di aver già individuato una soluzione. La correzione del software segnerebbe almeno il secondo finora per l'iPhone 14.

Il giorno del lancio, agli utenti è stato chiesto di aggiornare a iOS 16.0.1 per risolvere un problema relativo all'attivazione di FaceTime.

Gli ultimi iPhone sono stati messi in vendita venerdì scorso e alcuni utenti si sono rivolti ai social media per lamentarsi del bug della fotocamera. Il problema, che può anche causare rumori sferraglianti, è il risultato del malfunzionamento dell'hardware di stabilizzazione ottica dell'immagine in alcuni casi con app di terze parti.

La tecnologia di stabilizzazione è progettata per spostare il sistema della fotocamera per compensare il movimento dell'iPhone, aiutando a prevenire immagini sfocate.

Gli utenti si sono lamentati del bug che ostacola le funzionalità della fotocamera nelle app di social media come Snapchat, TikTok, Instagram e Facebook, ma non sembra influenzare le funzionalità della fotocamera preinstallata di Apple. Snap Inc., il produttore di Snapchat, ha dichiarato lunedì che stava "lavorando direttamente con Apple" per risolvere il problema dopo aver ricevuto segnalazioni dagli utenti. TikTok e Meta Platforms Inc., proprietari di Instagram e Facebook, non hanno risposto immediatamente alle richieste di commento.

Il nuovo sistema di fotocamere dell'iPhone 14 Pro, che include per la prima volta un sensore da 48 megapixel per l'obiettivo principale, è uno dei principali aggiornamenti per il dispositivo di quest'anno. Il telefono ha anche un'interfaccia software nella parte superiore del dispositivo nota come Dynamic Island, che funziona con un ritaglio della fotocamera aggiornato per mostrare informazioni come le indicazioni sulla mappa o lo stato degli AirPods.

Finora, iPhone 14 Pro e iPhone 14 Pro Max sembrano essere i più grandi successi della gamma.

Gli acquirenti si sono messi in fila nei negozi Apple alla ricerca dei dispositivi durante il fine settimana e il dispositivo è andato esaurito in molti posti. I consumatori che desiderano acquistare i modelli tramite il sito Web di Apple dovranno attendere almeno fino a ottobre per riceverli.

https://www.bloomberg.com/news/articles/2022-09-19/apple-plans-fix-for-shaking-iphone-14-pro-camera-by-next-week

VMware e Microsoft avvertono di diffusi attacchi malware Chromeloader

Angelo Domeneghini — Tue, 20 Sep 2022 07:36:00 GMT

VMware e Microsoft avvertono di diffusi attacchi malware Chromeloader

Malware

VMware e Microsoft avvertono di una campagna di malware Chromeloader in corso e diffusa che si è evoluta in una minaccia più pericolosa, con la caduta di estensioni del browser dannose, malware node-WebKit e persino ransomware in alcuni casi.

Le infezioni da Chromeloader sono aumentate nel primo trimestre del 2022, con i ricercatori di Red Canary che hanno messo in guardia sui pericoli del browser hijacker utilizzato per l'affiliazione di marketing e le frodi pubblicitarie.

All'epoca, il malware infettava Chrome con un'estensione dannosa che reindirizzava il traffico degli utenti a siti pubblicitari per eseguire frodi sui clic e generare entrate per gli attori delle minacce.

Pochi mesi dopo, l'Unità 42 di Palo Alto Network ha notato che Chromeloader si stava evolvendo in un ladro di informazioni, tentando di strappare i dati memorizzati sui browser mantenendo le sue funzioni adware.

Venerdì sera, Microsoft ha avvertito di una "campagna di frode sui clic in corso ad ampio raggio" attribuita a un attore di minacce rintracciato come DEV-0796 che utilizza Chromeloader per infettare le vittime con vari malware.

Oggi, gli analisti di VMware hanno pubblicato un rapporto tecnico che descrive diverse varianti di Chromeloader utilizzate ad agosto e questo mese, alcune delle quali stanno eliminando payload molto più potenti.

Nuove varianti che rilasciano malware

Il malware ChromeLoader viene distribuito in file ISO distribuiti tramite annunci dannosi, reindirizzamenti del browser e commenti video di YouTube.

I file ISO sono diventati un metodo popolare per distribuire malware da quando Microsoft ha iniziato a bloccare le macro di Office per impostazione predefinita. Inoltre, quando si fa doppio clic su una ISO in Windows 10 e versioni successive, vengono automaticamente montati come CDROM con una nuova lettera di unità, rendendoli un modo efficiente per distribuire più file malware contemporaneamente.

Le ISO di ChromeLoader contengono comunemente quattro file, un archivio ZIP contenente il malware, un file ICON, un file batch (comunemente denominato Resources.bat) che installa il malware e un collegamento di Windows che avvia il file batch.

Come parte della loro ricerca, VMware ha campionato almeno dieci varianti di Chromeloader dall'inizio dell'anno, con la più interessante che è apparsa dopo agosto.

Cronologia dell'evoluzione di Chromeloader (VMware)

Il primo esempio è un programma che imita OpenSubtitles, un'utilità che aiuta gli utenti a individuare i sottotitoli per film e programmi TV. In questa campagna, gli attori delle minacce si sono allontanati dal loro solito file "Resources.bat" e sono passati a uno denominato "properties.bat", utilizzato per installare il malware e stabilire la persistenza aggiungendo chiavi di registro.

Un altro caso degno di nota è "Flbmusic.exe", che imita il lettore FLB Music, dotato di un runtime Electron e che consente al malware di caricare moduli aggiuntivi per la comunicazione di rete e lo snooping delle porte.

Per alcune varianti, gli attacchi sono diventati un po' distruttivi, estraendo ZipBomb che sovraccaricano il sistema con una massiccia operazione di spacchettamento.

"Fino alla fine di agosto, le ZipBomb sono state rilasciate su sistemi infetti. La ZipBomb viene rilasciata con l'infezione iniziale nell'archivio che l'utente scarica. L'utente deve fare doppio clic per eseguire la ZipBomb. Una volta eseguito, il malware distrugge il sistema dell'utente sovraccaricandolo di dati", spiega il report di VMware.

Ancora più preoccupante, le recenti varianti di Chromeloader sono state viste distribuire il ransomware Enigma in un file HTML.

Enigma è un vecchio ceppo di ransomware che utilizza un programma di installazione basato su JavaScript e un eseguibile incorporato in modo che possa essere avviato direttamente dal browser predefinito.

Dopo che la crittografia è stata completata, l'estensione del nome file ".enigma" viene aggiunta ai file, mentre il ransomware rilascia un file "readme.txt" contenente le istruzioni per le vittime.

L'adware non deve essere ignorato

Poiché l'adware non crea danni notevoli ai sistemi delle vittime, oltre a consumare un po' di larghezza di banda, di solito è una minaccia che viene ignorata o minimizzata dagli analisti.

Tuttavia, ogni software che si annida nei sistemi senza essere rilevato è un candidato per problemi più significativi, poiché i suoi autori possono applicare modifiche che facilitano opzioni di monetizzazione più aggressive.

Sebbene Chromeloader sia nato come adware, è un perfetto esempio di come gli attori delle minacce stiano sperimentando payload più potenti, esplorando alternative più redditizie alla frode pubblicitaria.

https://www.bleepingcomputer.com/news/security/vmware-microsoft-warn-of-widespread-chromeloader-malware-attacks/

La versione web di Snapchat ora accessibile a tutti

Angelo Domeneghini — Mon, 19 Sep 2022 13:40:00 GMT

La versione web di Snapchat ora accessibile a tutti

L'app di messaggistica ha reso disponibile la sua versione del browser Web agli utenti di tutto il mondo.

Snapchat ora può essere utilizzato sullo schermo del computer.

Snapchat esce dalla cornice dello smartphone per mettersi in mostra.

L'app di messaggistica è ora disponibile direttamente nel browser web del computer.

Snap, la sua casa madre, ha reso accessibile a tutti gli utenti nel mondo la versione web della famosa piattaforma per l'invio di messaggi effimeri.

Chiamato semplicemente Snapchat per il Web, è accessibile su web.snapchat.com. Questa versione per computer era stata lanciata durante l'estate, ma finora solo un numero limitato di abbonati all'offerta premium Snapchat+ poteva accedervi in alcuni paesi (Stati Uniti, Canada, Regno Unito e Nuova Zelanda). Ora è disponibile in tutte le regioni, indipendentemente dal fatto che gli utenti siano abbonati o meno, ha annunciato Snapchat, che mira a raggiungere 450 milioni di utenti entro la fine del 2023.

Snapchat per il Web è ottimizzato per il browser Chrome del gigante del web Google e le chat vengono sincronizzate automaticamente tra l'app e la versione del browser su PC o Mac.

Come nella versione mobile, è possibile inviare e ricevere snap, chattare con gli amici ed effettuare chiamate audio e video sfruttando uno schermo più grande. I filtri sono disponibili anche per applicarli alle immagini scattate con la webcam del computer.

https://www.20min.ch/fr/story/la-version-web-de-snapchat-desormais-accessible-a-tous-985284937530

Bitdefender rilascia un decryptor gratuito per il ransomware LockerGoga

Angelo Domeneghini — Mon, 19 Sep 2022 13:30:00 GMT

Bitdefender rilascia un decryptor gratuito per il ransomware LockerGoga

La società di sicurezza informatica rumena Bitdefender ha rilasciato un decryptor gratuito per aiutare le vittime del ransomware LockerGoga a recuperare i loro file senza pagare un riscatto.

Lo strumento gratuito è disponibile per il download dai server di Bitdefender e ti consente di recuperare i file crittografati utilizzando le istruzioni in questa guida all'uso [PDF].

Bitdefender afferma che il decryptor è stato sviluppato in collaborazione con le forze dell'ordine, tra cui Europol, il progetto NoMoreRansom, la procura di Zurigo e la polizia cantonale di Zurigo.

Per creare un decodificatore funzionante, i ricercatori di solito devono identificare un difetto nella crittografia utilizzata dal crittografo ransomware.

Tuttavia, in questo caso, gli operatori di LockerGoga sono stati arrestati nell'ottobre 2021, il che potrebbe aver consentito alle forze dell'ordine di accedere alle chiavi private principali utilizzate per decrittare le chiavi di crittografia delle vittime.

Come decrittografare i tuoi file

I file crittografati da LockerGoga avranno l'estensione del nome file ".locked" e non possono essere aperti con un normale software.

Lo strumento di Bitdefender offre la scansione dell'intero filesystem o di una singola cartella, individuare eventuali file crittografati ed eseguire automaticamente la decrittazione.

Affinché funzioni, il computer deve essere connesso a Internet e le richieste di riscatto generate dal ransomware durante la crittografia devono trovarsi nei percorsi originali.

Bitdefender afferma che il decryptor può funzionare su una singola macchina o su intere reti crittografate da LockerGoga.

Tieni presente che il processo di decrittazione può essere interrotto o non funzionare sempre come previsto e potresti ritrovarti con file danneggiati. Per questo motivo, il decrypter ha l'opzione "file di backup" selezionata per impostazione predefinita e si consiglia agli utenti di lasciare tale impostazione abilitata.

Chi era Locker Goga

L'operazione di ransomware LockerGoga è stata lanciata a gennaio 2019, colpendo obiettivi di alto profilo come la società di ingegneria francese Altran Technologies e il gigante norvegese dell'alluminio Norsk Hydro.

Insieme a Ryuk e MegaCortex, LockerGoga è stata coinvolta in attacchi ransomware contro almeno 1.800 organizzazioni in tutto il mondo.

Nell'ottobre 2021, dodici persone sono state arrestate in un'operazione delle forze dell'ordine internazionali per aver distribuito vari ceppi di ransomware, tra cui LockerGoga.

"Il suo operatore, che è detenuto dall'ottobre 2021 in attesa di processo, fa parte di un più ampio circolo di criminalità informatica che ha utilizzato il ransomware LockerGoga e MegaCortext per infettare più di 1.800 persone e istituzioni in 71 paesi per causare un danno stimato di 104 milioni di dollari". Bitdefender spiega nell'annuncio del decryptor.

Dall'arresto dell'operatore, gli attori delle minacce hanno smesso di utilizzare il ransomware LockerGoga e il codice sorgente del ransomware non è mai stato rilasciato.

Pertanto, questo decryptor sarà principalmente per le vittime passate che si sono rifiutate di pagare il riscatto e hanno aspettato di recuperare i loro file gratuitamente.

https://www.bleepingcomputer.com/news/security/bitdefender-releases-free-decryptor-for-lockergoga-ransomware/

Google, Microsoft può ottenere le tue password tramite il controllo ortografico del browser web

Angelo Domeneghini — Mon, 19 Sep 2022 13:23:00 GMT

Google, Microsoft può ottenere le tue password tramite il controllo ortografico del browser web

Le funzionalità di controllo ortografico esteso nei browser Web Google Chrome e Microsoft Edge trasmettono i dati dei moduli, comprese le informazioni di identificazione personale (PII) e, in alcuni casi, le password, rispettivamente a Google e Microsoft.

Sebbene questa possa essere una caratteristica nota e prevista di questi browser Web, solleva preoccupazioni su ciò che accade ai dati dopo la trasmissione e su quanto potrebbe essere sicura la pratica, in particolare quando si tratta di campi password.

Sia Chrome che Edge vengono forniti con correttori ortografici di base abilitati. Tuttavia, funzionalità come il controllo ortografico avanzato di Chrome o l'editor Microsoft, se abilitate manualmente dall'utente, presentano questo potenziale rischio per la privacy.

Spell-jacking: questo è il tuo controllo ortografico che invia PII a Big Tech

Quando si utilizzano i principali browser Web come Chrome ed Edge, i dati del modulo vengono trasmessi rispettivamente a Google e Microsoft, se le funzionalità di controllo ortografico avanzate sono abilitate.

A seconda del sito Web visitato, i dati del modulo stesso possono includere PII, inclusi, a titolo esemplificativo ma non esaustivo, numeri di previdenza sociale (SSN)/numeri di previdenza sociale (SIN), nome, indirizzo, e-mail, data di nascita (DOB), informazioni di contatto, informazioni bancarie e di pagamento e così via.

Josh Summitt, co-fondatore e CTO della società di sicurezza JavaScript otto-js ha scoperto questo problema durante i test di rilevamento dei comportamenti degli script della sua azienda.

Nei casi in cui il controllo ortografico avanzato di Chrome o l'editor Microsoft di Edge (controllo ortografico) erano abilitati, "praticamente qualsiasi cosa" inserita nei campi del modulo di questi browser veniva trasmessa a Google e Microsoft.

"Inoltre, se fai clic su 'Mostra password', il controllo ortografico avanzato invia anche la tua password, essenzialmente il codice ortografico dei tuoi dati", spiega otto-js in un post sul blog.

"Alcuni dei più grandi siti Web del mondo sono esposti all'invio di informazioni personali di utenti sensibili a Google e Microsoft, inclusi nome utente, e-mail e password, quando gli utenti accedono o compilano moduli. Una preoccupazione ancora più significativa per le aziende è l'esposizione che ciò presenta alle credenziali aziendali dell'azienda, alle risorse interne come i database e l'infrastruttura cloud".

Campi del modulo di accesso Alibaba

Campi del modulo di accesso Alibaba, con 'mostra password' abilitato (otto-js)

Il correttore ortografico avanzato trasmette la password a Microsoft e Google

Il correttore ortografico avanzato di Chrome trasmette la password a Google (otto-js)

Gli utenti possono spesso fare affidamento sull'opzione "mostra password" su siti in cui non è consentito copiare e incollare password, ad esempio, o quando sospettano di aver digitato in modo errato.

Per dimostrare, otto-js ha condiviso l'esempio di un utente che inserisce le credenziali sulla piattaforma Alibaba Cloud nel browser Web Chrome, sebbene per questa dimostrazione possa essere utilizzato qualsiasi sito Web.

Con il controllo ortografico avanzato abilitato e presupponendo che l'utente abbia toccato la funzione "mostra password", i campi del modulo inclusi nome utente e password vengono trasmessi a Google su googleapis.com.

Un video dimostrativo è stato condiviso anche dall'azienda:

BleepingComputer ha anche osservato che le credenziali venivano trasmesse a Google nei nostri test utilizzando Chrome per visitare i principali siti come:

CNN: nome utente e password quando si utilizza "mostra password"

Facebook.com: nome utente e password quando si utilizza "mostra password"

SSA.gov (Social Security Login): solo campo nome utente

Bank of America: solo campo nome utente

Verizon: solo campo nome utente

Una semplice soluzione HTML: 'spellcheck=false'

Sebbene la trasmissione dei campi del modulo avvenga in modo sicuro tramite HTTPS, potrebbe non essere immediatamente chiaro cosa succede ai dati dell'utente una volta che raggiungono la terza parte, in questo esempio il server di Google.

"La funzione di controllo ortografico avanzato richiede un consenso da parte dell'utente", ha confermato un portavoce di Google a BleepingComputer. Nota che questo è in contrasto con il correttore ortografico di base che è abilitato in Chrome per impostazione predefinita e non trasmette dati a Google.

Per verificare se il controllo ortografico avanzato è abilitato nel tuo browser Chrome, copia e incolla il seguente link nella barra degli indirizzi. Puoi quindi scegliere di attivarlo o disattivarlo:

chrome://settings/?search=Enhanced+Ortografia+Controllo

impostazione del controllo ortografico avanzato di Chrome

È necessario attivare l'impostazione del controllo ortografico avanzato in Chrome (BleepingComputer)

Come evidente dallo screenshot, la descrizione della funzione afferma esplicitamente che con il controllo ortografico avanzato abilitato, "il testo digitato nel browser viene inviato a Google".

"Il testo digitato dall'utente potrebbe essere un'informazione personale sensibile e Google non lo allega ad alcuna identità utente e lo elabora solo temporaneamente sul server. Per garantire ulteriormente la privacy dell'utente, lavoreremo per escludere le password in modo proattivo dal controllo ortografico", ha continuato Google nella sua dichiarazione condivisa con noi.

"Apprezziamo la collaborazione con la comunità della sicurezza e siamo sempre alla ricerca di modi per proteggere meglio la privacy degli utenti e le informazioni sensibili".

Per quanto riguarda Edge, il correttore ortografico e grammaticale di Microsoft Editor è un componente aggiuntivo del browser che deve essere installato esplicitamente affinché si verifichi questo comportamento

BleepingComputer ha contattato Microsoft con largo anticipo prima della pubblicazione. Ci è stato detto che la questione è stata esaminata, ma dobbiamo ancora rispondere.

otto-js ha soprannominato il vettore di attacco "Spell-jacking" e ha espresso preoccupazione per gli utenti di servizi cloud come Office 365, Alibaba Cloud, Google Cloud - Secret Manager, Amazon AWS - Secrets Manager e LastPass.

Reagendo al rapporto di otto-js, sia AWS che LastPass hanno mitigato il problema. Nel caso di LastPass, il rimedio è stato raggiunto aggiungendo un semplice attributo HTML spellcheck="false" nel campo della password:

campo password lastpass

L'attributo HTML 'spellcheck' quando viene omesso dai campi di immissione del testo del modulo è generalmente presupposto dai browser Web come true per impostazione predefinita. Un campo di input con "controllo ortografico" impostato esplicitamente su false non verrà elaborato tramite il correttore ortografico di un browser web.

"Le aziende possono mitigare il rischio di condividere le PII dei propri clienti, aggiungendo 'spellcheck=false' a tutti i campi di input, anche se ciò potrebbe creare problemi agli utenti", spiega otto-js riferendosi al fatto che ora gli utenti non saranno più in grado di per eseguire il testo inserito tramite il correttore ortografico.

"In alternativa, potresti aggiungerlo solo ai campi del modulo con dati sensibili. Le aziende possono anche rimuovere la possibilità di 'mostrare la password'. Ciò non impedirà l'incantesimo, ma impedirà l'invio delle password degli utenti".

Ironia della sorte, abbiamo osservato che il modulo di accesso di Twitter, che viene fornito con l'opzione "mostra password", ha l'attributo HTML "controllo ortografico" del campo password impostato esplicitamente su true:

campo di controllo ortografico di twitter

Come ulteriore protezione, gli utenti di Chrome ed Edge possono disattivare il controllo ortografico avanzato (seguendo i passaggi sopra indicati) o rimuovere il componente aggiuntivo Microsoft Editor da Edge fino a quando entrambe le società non avranno rivisto i correttori ortografici estesi per escludere l'elaborazione di campi sensibili, come le password.

https://www.bleepingcomputer.com/news/security/google-microsoft-can-get-your-passwords-via-web-browsers-spellcheck/

Windows 10 "KB5017308" causa problemi con le impostazioni dei criteri di gruppo

Angelo Domeneghini — Mon, 19 Sep 2022 13:16:00 GMT

Windows 10 KB5017308 causa problemi con le impostazioni dei criteri di gruppo

Secondo i rapporti degli amministratori, l'aggiornamento cumulativo KB5017308 di Windows 10 rilasciato questo martedì della patch sta causando problemi con gli oggetti Criteri di gruppo (GPO).

Secondo i rapporti condivisi su più social network e sulla community online di Microsoft, le operazioni sui file GPO non funzioneranno più poiché non possono più creare o copiare i collegamenti correttamente dopo l'installazione di KB5017308.

"In particolare, copiamo un file batch in public\documents, quindi copiamo un collegamento sul desktop dell'utente corrente per eseguirlo", ha affermato un amministratore su Reddit.

"Dall'aggiornamento, le icone non vengono trasferite per il collegamento (ovvero sono icone vuote ora) e il file batch è effettivamente vuoto quando viene copiato."

Un altro ha confermato questo problema sul sito Web della community Microsoft, affermando che tutti i collegamenti creati da GPO vengono "creati vuoti con 0 byte e nessuna informazione a cui "porta" il collegamento".

Sebbene Microsoft debba ancora riconoscere ufficialmente il problema e fornire una soluzione o una soluzione alternativa, più amministratori di Windows hanno segnalato che deselezionando l'opzione "Esegui nel contesto di sicurezza dell'utente" sugli oggetti Criteri di gruppo interessati si risolveranno i problemi di creazione del collegamento.

Altri hanno anche suggerito una correzione più radicale che richiede la disinstallazione manuale e l'occultamento dell'aggiornamento cumulativo KB5017308.

"Per rimuovere la LCU dopo aver installato il pacchetto SSU e LCU combinati, utilizzare l'opzione della riga di comando DISM/Remove-Package con il nome del pacchetto LCU come argomento. È possibile trovare il nome del pacchetto utilizzando questo comando: DISM /online /get- pacchetti", afferma Microsoft.

"L'esecuzione del programma di installazione autonomo di Windows Update (wusa.exe) con l'opzione /uninstall sul pacchetto combinato non funzionerà perché il pacchetto combinato contiene la SSU. Non è possibile rimuovere la SSU dal sistema dopo l'installazione."

Tuttavia, è importante ricordare che, poiché Microsoft raggruppa tutte le correzioni di sicurezza in un unico aggiornamento, la rimozione di KB5017308 potrebbe risolvere il bug ma rimuoverà anche tutte le correzioni per le vulnerabilità di sicurezza aggiornate di recente.

Anche KB5017308 non si installa

Un altro problema apparentemente diffuso riscontrato dopo la distribuzione di KB5017308 riguarda i sistemi Windows 10 che si bloccheranno al riavvio dopo l'installazione con un 0x800F0845 aggiunto al registro eventi.

"Da quando l'aggiornamento è stato scaricato, la macchina si blocca al riavvio richiesto dopo l'installazione. Ho disabilitato gli aggiornamenti finché non riesco a trovare una soluzione. Ho provato a scaricare l'aggiornamento e a installarlo manualmente ma ho ottenuto gli stessi risultati", riporta un utente legge.

Le persone interessate affermano che il rollback automatico si attiverà solo dopo aver riavviato i sistemi interessati due volte di seguito.

Mentre il download dell'aggiornamento dal catalogo di Microsoft Update e l'installazione manuale di solito risolvono i problemi in cui gli aggiornamenti non possono essere distribuiti, gli utenti che lo hanno provato hanno affermato che, in questo caso, hanno riscontrato lo stesso bug di blocco del riavvio.

Martedì è stato rilasciato l'aggiornamento cumulativo KB5017308 per risolvere i bug e risolvere le vulnerabilità della sicurezza sui sistemi che eseguono Windows 10 20H2, 21H1 e 21H2.

Questo aggiornamento di Windows 10 è obbligatorio e verrà installato automaticamente da Windows Update durante la finestra di manutenzione.

https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5017308-causing-issues-with-group-policy-settings/

I nuovi aggiornamenti del BIOS Lenovo risolvono i bug di sicurezza in centinaia di modelli

Angelo Domeneghini — Thu, 15 Sep 2022 16:18:00 GMT

I nuovi aggiornamenti del BIOS Lenovo risolvono i bug di sicurezza in centinaia di modelli

Lenovo rilascia nuovi aggiornamenti del BIOS per correggere le vulnerabilità della sicurezza

Il produttore cinese di computer Lenovo ha emesso un avviso di sicurezza per avvertire di diverse vulnerabilità del BIOS ad alta gravità che incidono su centinaia di dispositivi nei vari modelli (Desktop, All in One, IdeaCentre, Legion, ThinkCentre, ThinkPad, ThinkAgile, ThinkStation, ThinkSystem).

Lo sfruttamento dei difetti può portare alla divulgazione di informazioni, all'escalation dei privilegi, alla negazione del servizio e, in determinate circostanze, all'esecuzione arbitraria di codice.

Le vulnerabilità nell'avviso di sicurezza di Lenovo sono le seguenti:

CVE-2021-28216: corretto difetto del puntatore nel BIOS TianoCore EDK II (implementazione di riferimento di UEFI), consentendo a un utente malintenzionato di elevare i privilegi ed eseguire codice arbitrario.

CVE-2022-40134: Difetto di perdita di informazioni nel gestore SMI di SMI Set Bios Password, che consente a un utente malintenzionato di leggere la memoria SMM.

CVE-2022-40135: Vulnerabilità di perdita di informazioni nel gestore SMI Smart USB Protection, che consente a un utente malintenzionato di leggere la memoria SMM.

CVE-2022-40136: errore di perdita di informazioni nel gestore SMI utilizzato per configurare le impostazioni della piattaforma su WMI, consentendo a un utente malintenzionato di leggere la memoria SMM.

CVE-2022-40137: overflow del buffer nel gestore SMI WMI, che consente a un utente malintenzionato di eseguire codice arbitrario.

Miglioramenti alla sicurezza di American Megatrends (senza CVE).

SMM (Ring -2) fa parte del firmware UEFI che fornisce funzioni a livello di sistema come il controllo hardware di basso livello e la gestione dell'alimentazione.

L'accesso a SMM potrebbe essere esteso al sistema operativo, alla RAM e alle risorse di archiviazione; ecco perché sia AMD che Intel hanno sviluppato meccanismi di isolamento SMM per proteggere i dati degli utenti dalle minacce di basso livello.

Bonifica

Lenovo ha risolto i problemi negli ultimi aggiornamenti del BIOS per i prodotti interessati. La maggior parte delle patch in cui sono state rilasciate sono disponibili da quando sono state rilasciate a luglio e agosto 2022.

Ulteriori patch sono previste entro la fine di settembre e ottobre, mentre un breve elenco di modelli riceverà gli aggiornamenti il prossimo anno.

Un elenco completo dei modelli di computer interessati e della versione del firmware del BIOS che risolve ogni vulnerabilità è incluso nel bollettino sulla sicurezza, con collegamenti al portale di download per ciascun modello.

https://support.lenovo.com/us/en/product_security/LEN-94953#Desktop

In alternativa, i proprietari di computer Lenovo possono accedere al portale "Driver e software", cercare il prodotto per nome, selezionare "Aggiornamento manuale" e scaricare l'ultima versione del firmware del BIOS disponibile.

https://www.bleepingcomputer.com/news/security/new-lenovo-bios-updates-fix-security-bugs-in-hundreds-of-models/

La CISA ordina alle agenzie di correggere i bug di Windows e iOS utilizzati negli attacchi.

Angelo Domeneghini — Thu, 15 Sep 2022 16:14:00 GMT

La CISA ordina alle agenzie di correggere i bug di Windows e iOS utilizzati negli attacchi

CISA ha aggiunto due nuove vulnerabilità al suo elenco di bug di sicurezza sfruttati in natura oggi, inclusa una vulnerabilità di escalation dei privilegi di Windows e un difetto di esecuzione di codice arbitrario che interessa iPhone e Mac.

Il bug dell'elevazione dei privilegi nel driver del file system di registro comune di Windows viene registrato come CVE-2022-37969, consentendo agli aggressori locali di ottenere i privilegi di SISTEMA dopo lo sfruttamento riuscito.

Microsoft ha corretto la vulnerabilità scoperta e segnalata dai ricercatori di DBAPPSecurity, Mandiant, CrowdStrike e Zscaler durante il Patch Tuesday di settembre 2022.

"Abbiamo trovato questo bug di 0Day durante una missione proattiva di caccia agli exploit della Task Force offensiva. È stato trovato un exploit di escalation dei privilegi (EOP) in natura, che sfruttava questa vulnerabilità del Common Log File System (CLFS)", Dhanesh Kizhakkinan, Senior Principal Vulnerability Engineer presso Mandiant, ha detto a BleepingComputer.

"L'exploit sembra essere autonomo e non parte di una catena (come browser + EOP)."

Lunedì Apple ha anche corretto la vulnerabilità dell'esecuzione di codice arbitrario (CVE-2022-32917) e ha confermato che è stata sfruttata negli attacchi come bug zero-day nel kernel iOS e macOS.

Questo è stato l'ottavo zero-day utilizzato in natura che Apple ha affrontato dall'inizio dell'anno, tutti molto probabilmente utilizzati solo in attacchi altamente mirati.

Le agenzie federali hanno ordinato di rattoppare entro tre settimane

Una direttiva operativa vincolante (BOD 22-01) emessa nel novembre 2021 afferma che tutte le agenzie della Federal Civilian Executive Branch Agency (FCEB) devono proteggere le proprie reti dai bug aggiunti al catalogo CISA delle vulnerabilità sfruttate (KEV).

La CISA ha concesso alle agenzie Federal Civilian Executive Branch Agency (FCEB) tre settimane, fino al 10 ottobre, per affrontare queste due falle di sicurezza e bloccare gli attacchi che potrebbero prendere di mira i loro sistemi.

Anche se la direttiva si applica solo alle agenzie federali statunitensi, l'agenzia per la sicurezza informatica ha fortemente esortato tutte le organizzazioni a correggere l'escalation dei privilegi di Windows e i difetti di esecuzione del codice del kernel Apple per contrastare i tentativi di sfruttamento.

"Questi tipi di vulnerabilità sono un vettore di attacco frequente per gli attori informatici malintenzionati e rappresentano un rischio significativo per l'impresa federale", ha avvertito oggi la CISA.

Da quando è stato emesso il BOD 22-01, CISA ha aggiunto oltre 800 falle di sicurezza al catalogo di bug sfruttati in natura, richiedendo alle agenzie federali di affrontarli in un programma più stretto per bloccare attacchi e potenziali violazioni della sicurezza.

https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-windows-ios-bugs-used-in-attacks/

Microsoft Teams archivia i token di autenticazione come testo non crittografato in Windows, Linux, Mac !!!

Angelo Domeneghini — Thu, 15 Sep 2022 16:06:00 GMT

*Microsoft Teams archivia i token di autenticazione come testo non crittografato in Windows, Linux, Mac*

Gli analisti della sicurezza hanno riscontrato una grave vulnerabilità della sicurezza nell'app desktop per Microsoft Teams che consente agli attori delle minacce di accedere ai token di autenticazione e agli account con l'autenticazione a più fattori (MFA) attivata.

Microsoft Teams è una piattaforma di comunicazione, inclusa nella famiglia di prodotti 365, utilizzata da oltre 270 milioni di persone per lo scambio di messaggi di testo, le videoconferenze e l'archiviazione di file.

Il problema di sicurezza appena scoperto interessa le versioni dell'applicazione per Windows, Linux e Mac e fa riferimento a Microsoft Teams che archivia i token di autenticazione degli utenti in chiaro senza proteggerne l'accesso.

Un utente malintenzionato con accesso locale su un sistema in cui è installato Microsoft Teams potrebbe rubare i token e utilizzarli per accedere all'account della vittima.

"Questo attacco non richiede autorizzazioni speciali o malware avanzato per farla franca con gravi danni interni", spiega Connor Peoples della società di sicurezza informatica Vectra in un rapporto di questa settimana.

Il ricercatore aggiunge che assumendo "il controllo di sedi critiche, come il capo dell'ingegneria, il CEO o il CFO di un'azienda, gli aggressori possono convincere gli utenti a svolgere attività dannose per l'organizzazione".

I ricercatori Vectra hanno scoperto il problema nell'agosto 2022 e lo hanno segnalato a Microsoft. Tuttavia, Microsoft non era d'accordo sulla gravità del problema e ha affermato che non soddisfa i criteri per l'applicazione delle patch.

Dettagli del problema

Microsoft Teams è un'app Electron, il che significa che viene eseguita in una finestra del browser, completa di tutti gli elementi richiesti da una normale pagina Web (cookie, stringhe di sessione, log, ecc.).

Electron non supporta la crittografia o le posizioni dei file protette per impostazione predefinita, quindi sebbene il framework del software sia versatile e facile da usare, non è considerato sufficientemente sicuro per lo sviluppo di prodotti mission-critical a meno che non venga applicata un'ampia personalizzazione e lavoro aggiuntivo.

Vectra ha analizzato Microsoft Teams mentre cercava di trovare un modo per rimuovere gli account disattivati dalle app client e ha trovato un file ldb con token di accesso in chiaro.

"Dopo la revisione, è stato stabilito che questi token di accesso erano attivi e non un dump accidentale di un errore precedente. Questi token di accesso ci hanno consentito di accedere alle API di Outlook e Skype". - Vectra

Inoltre, gli analisti hanno scoperto che la cartella "Cookie" conteneva anche token di autenticazione validi, insieme a informazioni sull'account, dati di sessione e tag di marketing.

Infine, Vectra ha sviluppato un exploit abusando di una chiamata API che consente di inviare messaggi a se stessi. Utilizzando il motore SQLite per leggere il database dei cookie, i ricercatori hanno ricevuto i token di autenticazione come messaggio nella loro finestra di chat.

La preoccupazione più grande è che questo difetto venga abusato da malware per il furto di informazioni che è diventato uno dei paylod più comunemente distribuiti nelle campagne di phishing.

Utilizzando questo tipo di malware, gli attori delle minacce potranno rubare i token di autenticazione di Microsoft Teams e accedere in remoto come utente, ignorando l'autenticazione a più fattori e ottenendo l'accesso completo all'account.

I ladri di informazioni lo stanno già facendo per altre applicazioni, come Google Chrome, Microsoft Edge, Mozilla Firefox, Discord e molti altri.

Con una patch che difficilmente verrà rilasciata, la raccomandazione di Vectra è che gli utenti passino alla versione browser del client Microsoft Teams. Utilizzando Microsoft Edge per caricare l'app, gli utenti beneficiano di protezioni aggiuntive contro le perdite di token.

I ricercatori consigliano agli utenti Linux di passare a una suite di collaborazione diversa, soprattutto da quando Microsoft ha annunciato l'intenzione di interrompere il supporto dell'app per la piattaforma entro dicembre.

Per coloro che non possono passare immediatamente a una soluzione diversa, possono creare una regola di monitoraggio per rilevare i processi che accedono alle seguenti directory:

[Windows] %AppData%\Microsoft\Teams\Cookie

[Windows] %AppData%\Microsoft\Teams\Archiviazione locale\leveldb

[macOS] ~/Library/Application Support/Microsoft/Teams/Cookies

[macOS] ~/Libreria/Supporto applicazioni/Microsoft/Teams/Archiviazione locale/leveldb

[Linux] ~/.config/Microsoft/Microsoft Teams/Cookie

[Linux] ~/.config/Microsoft/Microsoft Teams/Archiviazione locale/leveldb

BleepingComputer ha contattato Microsoft in merito ai piani dell'azienda per il rilascio di una correzione per il problema e aggiornerà l'articolo quando avremo una risposta.

Aggiornamento 14/9/22

Un portavoce di Microsoft ci ha inviato il seguente commento in merito ai risultati di Vectra:

La tecnica descritta non soddisfa la nostra barra per l'assistenza immediata poiché richiede che un utente malintenzionato ottenga prima l'accesso a una rete di destinazione.

Apprezziamo la partnership di Vectra Protect nell'identificare e divulgare responsabilmente questo problema e prenderemo in considerazione l'idea di affrontare il problema in un futuro rilascio di prodotti

https://www.bleepingcomputer.com/news/security/microsoft-teams-stores-auth-tokens-as-cleartext-in-windows-linux-macs/

Zero-day nel Plugin Wordpress "WPGateway" sfruttato attivamente negli attacchi

Angelo Domeneghini — Wed, 14 Sep 2022 13:10:00 GMT

Zero-day nel Plugin Wordpress "WPGateway" sfruttato attivamente negli attacchi

WordPress

Il team di Wordfence Threat Intelligence ha avvertito oggi che i siti WordPress sono attivamente presi di mira con exploit mirati a una vulnerabilità zero-day nel plug-in premium di WPGateway.

WPGateway è un plug-in di WordPress che consente agli amministratori di semplificare varie attività, inclusa la configurazione e il backup dei siti e la gestione di temi e plug-in da una dashboard centrale.

Questo fondamentale difetto di sicurezza dell'escalation dei privilegi (CVE-2022-3180) consente agli aggressori non autenticati di aggiungere un utente canaglia con privilegi di amministratore per assumere completamente i siti che eseguono il plugin WordPress vulnerabile.

"L'8 settembre 2022, il team di Wordfence Threat Intelligence è venuto a conoscenza di una vulnerabilità zero-day sfruttata attivamente utilizzata per aggiungere un utente amministratore malintenzionato ai siti che eseguono il plug-in WPGateway", ha affermato oggi Ram Gall, analista senior delle minacce di Wordfence.

"Il firewall di Wordfence ha bloccato con successo oltre 4,6 milioni di attacchi mirati a questa vulnerabilità contro più di 280.000 siti negli ultimi 30 giorni."

Sebbene Wordfence abbia rivelato lo sfruttamento attivo di questo bug di sicurezza in natura, non ha rilasciato informazioni aggiuntive su questi attacchi e dettagli sulla vulnerabilità.

Trattenendo queste informazioni, Wordfence afferma di voler prevenire un ulteriore sfruttamento. Ciò probabilmente consentirà anche a più clienti WPGateway di applicare patch alle proprie installazioni prima che altri aggressori sviluppino i propri exploit e si uniscano agli attacchi.

Come scoprire se il tuo sito è stato violato

Se vuoi verificare se il tuo sito web è stato compromesso in questa campagna in corso, devi cercare un nuovo utente con autorizzazioni di amministratore con il nome utente rangex.

Inoltre, le richieste a //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 nei log mostreranno che il tuo sito è stato preso di mira nell'attacco ma non è stato necessariamente compromesso.

** "Se hai installato il plug-in WPGateway, ti invitiamo a rimuoverlo immediatamente fino a quando non sarà disponibile una patch e a verificare la presenza di utenti amministratori dannosi nella dashboard di WordPress", ha avvertito Gall.

** "Se conosci un amico o un collega che sta utilizzando questo plug-in sul proprio sito, ti consigliamo vivamente di inoltrare loro questo avviso per aiutare a proteggere i loro siti, poiché si tratta di una grave vulnerabilità che viene attivamente sfruttata in natura".

https://www.bleepingcomputer.com/news/security/zero-day-in-wpgateway-wordpress-plugin-actively-exploited-in-attacks/

YouTube lancia un lettore/player senza distrazioni

Angelo Domeneghini — Tue, 13 Sep 2022 10:05:00 GMT

YouTube lancia un lettore/player senza distrazioni

La famosa piattaforma video ha annunciato una versione senza pubblicità e senza consigli, oltre a nuove funzionalità per i contenuti didattici.

Sulla base dell'osservazione che il 93% degli utenti di YouTube lo utilizza per cercare informazioni, la piattaforma ha annunciato alcuni nuovi sviluppi nel campo dell'istruzione.

La filiale di Google sta lanciando un nuovo player chiamato "YouTube Player for Education" che mira a evitare distrazioni.

Consentirà agli insegnanti di pubblicare contenuti tramite determinate piattaforme di terze parti senza pubblicità o consigli. "Per migliorare l'esperienza di YouTube negli ambienti dell'istruzione, stiamo lanciando 'YouTube Player for Education', un nuovo player YouTube incorporato che mostra contenuti sulle app per l'istruzione popolari senza distrazioni come annunci, collegamenti esterni o consigli", ha annunciato YouTube sul suo blog.

Al momento del lancio, il lettore sarà disponibile per partner selezionati, comprese società di tecnologia educativa, come EDpuzzle, Google Classroom, Purdue University (nello Stato dell'Indiana) e Purdue Global.

YouTube ha anche annunciato nuovi strumenti per i creatori di contenuti educativi, inclusi i modi per assegnare alle persone i loro video. A partire dal prossimo anno, i creator potranno creare corsi gratuiti oa pagamento. Le persone che acquistano un corso potranno guardare l'elenco dei video senza pubblicità e in background. Questi corsi saranno inizialmente disponibili negli Stati Uniti e in Corea del Sud in versione beta per i creatori selezionati, prima di essere lanciati in altri paesi. La piattaforma ha anche sviluppato una nuova funzionalità che consente di creare quiz, per permettere ai creatori di testare le conoscenze degli spettatori.

https://www.20min.ch/fr/story/youtube-lance-un-lecteur-sans-distractions-497952446018

Apple risolve l' ottavo zero-day dell' anno, utilizzato per hackerare iPhone e Mac!

Angelo Domeneghini — Tue, 13 Sep 2022 09:55:00 GMT

Apple risolve l' ottavo zero-day dell' anno, utilizzato per hackerare iPhone e Mac!

Apple ha rilasciato aggiornamenti di sicurezza per affrontare l'ottava vulnerabilità zero-day utilizzata negli attacchi contro iPhone e Mac dall'inizio dell'anno.

Negli avvisi di sicurezza emessi lunedì, Apple ha rivelato di essere a conoscenza di rapporti secondo cui questo difetto di sicurezza "potrebbe essere stato attivamente sfruttato".

Il bug (tracciato come CVE-2022-32917) può consentire ad applicazioni dannose di eseguire codice arbitrario con privilegi del kernel.

Segnalato ad Apple da un ricercatore anonimo, è stato affrontato in iOS 15.7 e iPadOS 15.7, macOS Monterey 12.6 e macOS Big Sur 11.7 con controlli dei limiti migliorati.

L'elenco completo dei dispositivi interessati include:

iPhone 6s e successivi, iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad 5a generazione e successivi, iPad mini 4 e successivi e iPod touch (7a generazione

e Mac con macOS Big Sur 11.7 e macOS Monterey 12.6

Apple ha anche eseguito il backport delle patch per un altro zero-day (CVE-2022-32894) sui Mac con macOS Big Sur 11.7 dopo aver rilasciato ulteriori aggiornamenti di sicurezza il 31 agosto per risolvere lo stesso bug sulle versioni iOS in esecuzione su iPhone e iPad meno recenti.

*Aggiornate i Vostri iPhone e Mac per bloccare gli attacchi*

Sebbene Apple abbia rivelato lo sfruttamento attivo di questa vulnerabilità in natura, la società non ha ancora rilasciato alcuna informazione su questi attacchi.

Rifiutando di rilasciare queste informazioni, Apple probabilmente vuole consentire al maggior numero possibile di clienti di applicare patch ai propri dispositivi prima che altri aggressori sviluppino i propri exploit e inizino a implementarli in attacchi contro iPhone e Mac vulnerabili.

Sebbene questo zero-day sia stato probabilmente utilizzato solo in attacchi altamente mirati, si consiglia comunque di installare questi aggiornamenti di sicurezza il prima possibile per bloccare i tentativi di attacco.

Questo è l'ottavo zero-day fissato da Apple dall'inizio dell'anno:

Ad agosto, ha corretto due vulnerabilità zero-day nel kernel iOS (CVE-2022-32894) e WebKit (CVE-2022-32893)

A marzo, Apple ha corretto due bug zero-day nel driver grafico Intel (CVE-2022-22674) e AppleAVD (CVE-2022-22675).

A febbraio, Apple ha rilasciato aggiornamenti di sicurezza per correggere un altro bug zero-day di WebKit sfruttato negli attacchi contro iPhone, iPad e Mac.

A gennaio, Apple ha corretto altri due zero-day sfruttati che hanno consentito l'esecuzione di codice con privilegi del kernel (CVE-2022-22587) e il monitoraggio dell'attività di navigazione web (CVE-2022-22594).

https://www.bleepingcomputer.com/news/security/apple-fixes-eighth-zero-day-used-to-hack-iphones-and-macs-this-year/

Winamp 5.9 Final è stato rilasciato

Angelo Domeneghini — Mon, 12 Sep 2022 08:31:00 GMT

Winamp 5.9 Final è stato rilasciato

Winamp 5.9 Final è stato rilasciato dopo quattro anni di sviluppo e include numerosi miglioramenti, tra cui il supporto di Windows 11, la riproduzione di flussi HTTPS:// e varie correzioni di bug.

Prima che lo streaming di musica online diventasse importante, le persone copiavano i brani dai CD e li riproducevano su un computer o su lettori multimediali MP3 portatili.

Uno dei lettori MP3 più popolari era Winamp, principalmente a causa delle visualizzazioni animate e delle skin che gli utenti potevano utilizzare sul lettore multimediale. Di conseguenza, Winamp ha ottenuto un seguito enorme, con molti utenti che hanno esaltato come "ha davvero frustato il culo del lama" (sì, questo è il suo slogan).

Winamp ha cessato lo sviluppo dopo che la versione 5.666 è stata rilasciata nel 2013. Tuttavia, nell'ottobre 2018, Winamp 5.8 è trapelato online, con gli sviluppatori che hanno annunciato che avrebbero continuato a sviluppare il lettore multimediale.

Winamp 5.9 finale rilasciato

Oggi, Winamp 5.9 Final Build 9999 è stato rilasciato dopo quattro anni di sviluppo da quando la versione 5.8 è trapelata online.

"Questo è il culmine di 4 anni di lavoro dalla versione 5.8. Due team di sviluppo e un periodo di pausa indotto dalla pandemia nel mezzo", si legge nelle note di rilascio di Winamp 5.9 Final.

La modifica più significativa in Winamp 5.9 è il porting dell'applicazione da Visual Studio 2008 a Visual Studio 2019. Tuttavia, questa modifica ha causato problemi di plug-in nelle versioni precedenti di candidati per gli utenti che non avevano installato Visual Studio 2019 Redistributable.

Con questa versione finale, il programma di installazione di Winamp verificherà i file di Visual Studio 2019 richiesti e chiederà agli utenti di installarli, se necessario.

Il registro delle modifiche di Winamp afferma che questa versione offre un supporto migliorato per Windows 11, la riproduzione di flussi HTTPS://, una nuova directory di podcast e il supporto per la riproduzione ad alta risoluzione.

Sebbene questa versione abbia risolto molti bug, gli sviluppatori affermano che alcuni problemi noti dovrebbero essere risolti nella versione 5.9.1.

Questi problemi noti includono bug nella finestra di dialogo Informazioni, Milkdrop, AVS Editor, ml_wire Podcast, skin Bento e altro.

Tuttavia, coloro che richiedono il decoder NSV VP3 sono sfortunati, poiché la funzione è ora deprecata.

"Non riusciamo a trovare il vecchio codice sorgente di On2 VP3 da nessuna parte, quindi stiamo ufficialmente dichiarando deprecato questo formato / EOL", spiegano gli sviluppatori nelle note di rilascio.

Gli sviluppatori di Winamp pianificano anche alcune nuove funzionalità per la versione 5.91, elencate di seguito:

Ancora da fare (5.9.1 e oltre)

- Aggiungi il supporto nativo per più formati (ad es. opus, ogv/ogm, TS, dash/iso6, H.265, HLS, VP9, ecc.)

- Sostituisci le vecchie funzionalità di Gracenote (CDDB, Autotag, ecc.) con ad es. MusicBrainz o MusicStory

- Forse ripristinare un servizio NowPlaying funzionante?

- Aggiungi più servizi predefiniti alla visualizzazione ml_online (Lyrics, Jamendo, Hotmix, YT, Bandcamp, Spotify, ecc.) ?

- Più multithreading e finestre di dialogo di avanzamento per le funzioni "Invia a" (ad es. invia una visualizzazione ML di grandi dimensioni a una playlist)

- Configurazione per in_mod e out_wasapi

- Visualizza la finestra di dialogo Informazioni sul file per in_mod

- Tonnellate in più :-)

Per chi fosse interessato, gli sviluppatori di Winamp hanno pubblicato un elenco completo delle modifiche dalla Release Candidate 5.9 alla versione Final in questo changelog.

La homepage continua a puntare alla versione sbagliata di Winamp, ma la versione finale può essere scaricata da qui per ora.

https://download.nullsoft.com/winamp/client/Winamp590_9999_final_full_en-us.exe

https://www.bleepingcomputer.com/news/software/winamp-59-final-released-and-it-still-whips-the-llamas-ass/

HP risolve un grave bug nello strumento preinstallato "Support Assistant"

Angelo Domeneghini — Thu, 08 Sep 2022 07:23:00 GMT

HP risolve un grave bug nello strumento preinstallato "Support Assistant"

HP ha emesso un avviso di sicurezza per avvisare gli utenti di una vulnerabilità scoperta di recente in HP Support Assistant, uno strumento software preinstallato su tutti i laptop e computer desktop HP, incluso il sottomarchio Omen.

HP Support Assistant viene utilizzato per risolvere problemi, eseguire test diagnostici hardware, approfondire le specifiche tecniche e persino verificare la presenza di BIOS e aggiornamenti dei driver sui dispositivi HP.

Il difetto, scoperto dai ricercatori di Secure D e segnalato ad HP, è tracciato come CVE-2022-38395 e ha un punteggio di gravità "alto" di 8,2, poiché consente agli aggressori di elevare i propri privilegi sui sistemi vulnerabili.

Sebbene il produttore di computer non abbia fornito molti dettagli sul problema di sicurezza, l'avviso afferma che si tratta di un difetto di dirottamento della DLL attivato quando gli utenti tentano di avviare HP Performance Tune-up da HP Support Assistant.

Il dirottamento della DLL si verifica quando un attore malintenzionato inserisce una DLL contenente codice dannoso nella stessa cartella dell'eseguibile abusato, sfruttando la logica di Windows per assegnare la priorità a tali librerie rispetto alle DLL nella directory System32.

Il codice che viene eseguito caricando la libreria assume i privilegi dell'eseguibile maltrattato, in questo caso HP Support Assistant in esecuzione con privilegi 'SISTEMA'.

Pertanto, CVE-2022-38395 può essere sfruttato da aggressori che hanno già stabilito la propria presenza su un sistema tramite malware con privilegi bassi o uno strumento RAT.

Tuttavia, a causa dell'elevato numero di dispositivi con HP Support Assistant installato e della bassa complessità di utilizzo, *si consiglia a tutti gli utenti HP di aggiornare Support Assistant il prima possibile.*

HP consiglia ai clienti che utilizzano la versione 9.x di eseguire l'aggiornamento all'ultima versione di Support Assistant tramite Microsoft Store.

Coloro che utilizzano la versione precedente 8.x non riceveranno un aggiornamento di sicurezza, quindi si consiglia di passare al ramo più recente. Per farlo, apri il software, vai alla sezione "Informazioni" e fai clic su "verifica aggiornamenti".

Questa non è la prima volta che gli strumenti di auto-aiuto preinstallati di HP creano rischi per la sicurezza degli utenti e nemmeno la prima volta per Support Assistant in particolare.

Nell'aprile 2020, è stato rivelato che HP Support Assistant soffriva di almeno dieci vulnerabilità legate all'elevazione dei privilegi e all'esecuzione di codice in modalità remota, alcune delle quali senza patch da ottobre 2012 e per un anno dopo la loro divulgazione ad HP.

Considerando quanto sopra, se non hai bisogno o non utilizzi il bloatware del fornitore del tuo computer, l'eliminazione di questi strumenti eliminerebbe tutti i rischi associati.

https://www.bleepingcomputer.com/news/security/hp-fixes-severe-bug-in-pre-installed-support-assistant-tool/

La botnet Moobot sta arrivando per il tuo router D-Link senza patch

Angelo Domeneghini — Wed, 07 Sep 2022 08:38:00 GMT

La botnet Moobot sta arrivando per il tuo router D-Link senza patch

La variante della botnet malware Mirai nota come "MooBot" è riemersa in una nuova ondata di attacchi iniziata all'inizio del mese scorso, che ha preso di mira i router D-Link vulnerabili con un mix di exploit vecchi e nuovi.

MooBot è stato scoperto dagli analisti di Fortinet nel dicembre 2021, mirando a un difetto nelle telecamere Hikvision per diffondersi rapidamente e arruolare un gran numero di dispositivi nel suo esercito DDoS (Distributed Denial of Service).

Oggi, il malware ha aggiornato il suo ambito di targeting, tipico delle botnet che cercano pool non sfruttati di dispositivi vulnerabili che possono irretire.

Secondo un rapporto compilato dai ricercatori dell'Unità 42 di Palo Alto Network, MooBot sta ora prendendo di mira le seguenti vulnerabilità critiche nei dispositivi D-Link:

CVE-2015-2051: D-Link HNAP SOAPAction Header Command Execution Vulnerability

CVE-2018-6530: Vulnerabilità nell'esecuzione di codice in modalità remota dell'interfaccia SOAP D-Link

CVE-2022-26258: Vulnerabilità nell'esecuzione di comandi remoti D-Link

CVE-2022-28958: Vulnerabilità nell'esecuzione di comandi remoti D-Link

Il fornitore ha rilasciato aggiornamenti di sicurezza per risolvere questi difetti, ma non tutti gli utenti hanno ancora applicato le patch, in particolare le ultime due, che sono diventate note a marzo e maggio di quest'anno.

Gli operatori di MooBot sfruttano la complessità a basso attacco dei difetti per ottenere l'esecuzione di codice in remoto sui bersagli e recuperare il file binario del malware utilizzando comandi arbitrari.

Panoramica dell'attacco di MooBot

Dopo che il malware ha decodificato l'indirizzo hardcoded dalla configurazione, i router appena acquisiti vengono registrati nel C2 dell'attore della minaccia.

È importante notare che gli indirizzi C2 presentati nel rapporto dell'Unità 42 differiscono da quelli nell'articolo di Fortinet, indicando un aggiornamento nell'infrastruttura dell'attore delle minacce.

Alla fine, i router catturati partecipano ad attacchi DDoS diretti contro vari obiettivi, a seconda di ciò che gli operatori di MooBot desiderano ottenere.

In genere, gli attori delle minacce vendono servizi DDoS ad altri, quindi la potenza di fuoco della botnet viene noleggiata a chiunque sia interessato a causare tempi di inattività o interruzioni a siti e servizi online.

Gli utenti di dispositivi D-Link compromessi possono notare cali di velocità Internet, mancata risposta, surriscaldamento del router o modifiche inspiegabili della configurazione DNS, tutti segni comuni di infezioni botnet.

Il modo migliore per chiudere la porta a MooBot è applicare gli aggiornamenti firmware disponibili sul tuo router D-Link. Se stai utilizzando un dispositivo vecchio e non supportato, dovresti configurarlo per impedire l'accesso remoto al pannello di amministrazione.

Se potresti essere già stato compromesso, dovresti eseguire un ripristino dal pulsante fisico corrispondente, modificare la password dell'amministratore e quindi installare gli ultimi aggiornamenti di sicurezza dal fornitore.

https://www.bleepingcomputer.com/news/security/moobot-botnet-is-coming-for-your-unpatched-d-link-router/

Zyxel rilascia un nuovo firmware NAS per correggere la vulnerabilità critica di RCE

Angelo Domeneghini — Wed, 07 Sep 2022 08:30:00 GMT

Zyxel rilascia un nuovo firmware NAS per correggere la vulnerabilità critica di RCE

Il produttore di dispositivi di rete Zyxel avverte oggi i clienti di una nuova vulnerabilità critica di esecuzione di codice remoto (RCE) che ha un impatto su tre modelli dei suoi prodotti NAS (Networked Attached Storage).

La vulnerabilità è rilevata come CVE-2022-34747 e ha ricevuto un punteggio di gravità CVSS v3 di 9,8, classificato come critico, ma non sono stati divulgati molti dettagli.

"È stata rilevata una vulnerabilità della stringa di formato in un file binario specifico di prodotti Zyxel NAS che potrebbe consentire a un utente malintenzionato di ottenere l'esecuzione di codice remoto non autorizzato tramite un pacchetto UDP predisposto", spiega l'avviso.

Il ricercatore di sicurezza Shaposhnikov Ilya ha scoperto la vulnerabilità nel giugno 2022. Di conseguenza, Zyxel ha gradualmente rilasciato aggiornamenti di sicurezza per i modelli interessati nei mesi successivi.

I dispositivi NAS vulnerabili a questo difetto sono NAS326, NAS540 e NAS542, tutti ancora nel periodo di supporto attivo.

Le versioni del firmware vulnerabili sono V5.21(AAZF.11)C0 e precedenti per NAS326, V5.21(AATB.8)C0 e precedenti per NAS540 e V5.21(AATB.8)C0 o precedenti per NAS542.

Il fornitore ha già rilasciato aggiornamenti di sicurezza per i dispositivi interessati sotto forma di aggiornamenti del firmware, con collegamenti ai download nell'avviso di sicurezza.

In alternativa, puoi visitare il portale di download ufficiale di Zyxel, inserire il modello del tuo dispositivo e scaricare l'ultimo aggiornamento del firmware elencato nei risultati.

I difetti di esecuzione del codice in remoto consentono molti attacchi diversi, incluso il bypass della necessità di autenticazione dell'utente, l'elevazione dei privilegi o qualsiasi altro prerequisito limitante.

La vulnerabilità potrebbe essere sfruttata per rubare dati, eliminare dati o distribuire ransomware su dispositivi NAS esposti a Internet.

Sebbene tutti gli scenari siano terribili, il ransomware è il più comune, poiché offre agli attori delle minacce il modo migliore per monetizzare un attacco riuscito.

Solo ieri, abbiamo segnalato che QNAP ha corretto una vulnerabilità zero-day durante il fine settimana che è stata utilizzata in una nuova ondata di attacchi ransomware DeadBolt.

A febbraio, lo stesso gruppo ha preso di mira anche i dispositivi ASUSTOR sfruttando un exploit per un difetto precedentemente sconosciuto.

Pertanto, DeadBolt è abbastanza competente da trovare lacune di sicurezza non documentate, per non parlare di sfruttare vulnerabilità note.

Altre bande di ransomware che prendono di mira attivamente i dispositivi NAS sono Checkmate ed eChoraix, entrambi molto attivi nel 2022.

https://www.bleepingcomputer.com/news/security/zyxel-releases-new-nas-firmware-to-fix-critical-rce-vulnerability/

Il nuovo malware Linux elude il rilevamento utilizzando la distribuzione in più fasi

Angelo Domeneghini — Wed, 07 Sep 2022 08:24:00 GMT

Il nuovo malware Linux elude il rilevamento utilizzando la distribuzione in più fasi

Linux davanti a un temporale

È stato scoperto un nuovo malware nascosto per Linux noto come Shikitega che infetta computer e dispositivi IoT con payload aggiuntivi.

Il malware sfrutta le vulnerabilità per elevare i propri privilegi, aggiunge persistenza sull'host tramite crontab e alla fine lancia un minatore di criptovaluta sui dispositivi infetti.

Shikitega è piuttosto furtivo, riuscendo a eludere il rilevamento antivirus utilizzando un codificatore polimorfico che rende impossibile il rilevamento statico basato su firme.

Un'intricata catena di infezioni

Sebbene il metodo di infezione iniziale non sia noto al momento, i ricercatori di AT&T che hanno scoperto Shikitega affermano che il malware utilizza una catena di infezione a più fasi in cui ogni livello fornisce solo poche centinaia di byte, attivando un modulo semplice e quindi passando a quello successivo.

"Il malware Shiketega viene distribuito in modo sofisticato, utilizza un codificatore polimorfico e distribuisce gradualmente il suo carico utile in cui ogni passaggio rivela solo una parte del carico utile totale", spiega il rapporto di AT&T.

L'infezione inizia con un file ELF di 370 byte, che è il dropper contenente lo shellcode codificato.

La codifica viene eseguita utilizzando l'encoder polimorfico di feedback additivo XOR "Shikata Ga Nai", precedentemente analizzato da Mandiant.

"Utilizzando l'encoder, il malware esegue diversi cicli di decodifica, in cui un ciclo decodifica il livello successivo fino a quando il payload dello shellcode finale non viene decodificato ed eseguito", continua il rapporto.

“Lo stud dell'encoder viene generato in base alla sostituzione dinamica delle istruzioni e all'ordinamento dinamico dei blocchi. Inoltre, i registri vengono selezionati dinamicamente”.

Al termine della decrittazione, lo shellcode viene eseguito per contattare i server di comando e controllo (C2) del malware e ricevere ulteriori shellcode (comandi) archiviati ed eseguiti direttamente dalla memoria.

Uno di questi comandi scarica ed esegue "Mettle", un piccolo e portatile carico utile Metasploit Meterpreter che offre agli aggressori ulteriori opzioni di controllo remoto e di esecuzione del codice sull'host.

Mettle recupera ancora un file ELF più piccolo, che sfrutta CVE-2021-4034 (aka PwnKit) e CVE-2021-3493 per elevare i privilegi e scaricare il payload della fase finale, un minatore di criptovaluta, come root.

La persistenza per il crypto miner si ottiene scaricando cinque script di shell che aggiungono quattro cronjob, due per l'utente root e due per l'utente corrente.

I crontab sono un meccanismo di persistenza efficace, quindi tutti i file scaricati vengono cancellati per ridurre la probabilità che il malware venga scoperto.

Il crypto miner è XMRig versione 6.17.0, incentrato sul mining di Monero, incentrato sull'anonimato e difficile da rintracciare.

Per ridurre ulteriormente le possibilità di lanciare allarmi sui prodotti di sicurezza della rete, gli attori delle minacce dietro Shikitega utilizzano servizi di cloud hosting legittimi per ospitare la loro infrastruttura di comando e controllo.

Questa scelta costa di più e mette gli operatori a rischio di essere rintracciati e identificati dalle forze dell'ordine, ma offre una migliore furtività nei sistemi compromessi.

Il team di AT&T segnala un forte aumento del malware Linux quest'anno, consigliando agli amministratori di sistema di applicare gli aggiornamenti di sicurezza disponibili, utilizzare EDR su tutti gli endpoint ed eseguire backup regolari dei dati più importanti.

Per ora, Shikitega sembra concentrato sul mining di Monero, ma gli attori delle minacce potrebbero decidere che altri payload più potenti possono essere più redditizi a lungo termine.

https://www.bleepingcomputer.com/news/security/new-linux-malware-evades-detection-using-multi-stage-deployment/

QNAP rilascia patch per una vulnerabilità zero-day - Photo Station

Angelo Domeneghini — Tue, 06 Sep 2022 08:44:00 GMT

QNAP patch: zero-day utilizzato nei nuovi attacchi ransomware Deadbolt

QNAP avverte i clienti degli attacchi ransomware DeadBolt in corso iniziati sabato sfruttando una vulnerabilità zero-day in Photo Station.

L'azienda ha corretto la falla di sicurezza, ma gli attacchi continuano ancora oggi.

"QNAP® Systems, Inc. ha rilevato oggi la minaccia alla sicurezza DEADBOLT sfruttando lo sfruttamento della vulnerabilità di Photo Station per crittografare QNAP NAS connessi direttamente a Internet", spiega l'avviso di sicurezza.

Gli attacchi sono stati diffusi, con il servizio ID Ransomware che ha registrato un aumento degli invii sabato e

QNAP rilascia patch per un difetto zero-day

QNAP ha rilasciato gli aggiornamenti di sicurezza di Photo Station 12 ore dopo che DeadBolt ha iniziato a utilizzare la vulnerabilità zero-day negli attacchi, esortando i clienti NAS ad aggiornare immediatamente Photo Station alla versione più recente.

I seguenti aggiornamenti di sicurezza risolvono la vulnerabilità:

QTS 5.0.1: Photo Station 6.1.2 e versioni successive

QTS 5.0.0/4.5.x: Photo Station 6.0.22 e versioni successive

QTS 4.3.6: Photo Station 5.7.18 e versioni successive

QTS 4.3.3: Photo Station 5.4.15 e versioni successive

QTS 4.2.6: Photo Station 5.2.14 e versioni successive

In alternativa, QNAP suggerisce agli utenti di sostituire Photo Station con QuMagie, uno strumento di gestione dell'archiviazione delle foto più sicuro per i dispositivi QNAP NAS.

“Sollecitiamo vivamente che il loro QNAP NAS non sia connesso direttamente a Internet. Raccomandiamo agli utenti di utilizzare la funzione myQNAPcloud Link fornita da QNAP o di abilitare il servizio VPN. - QNAP.

L'applicazione degli aggiornamenti di sicurezza impedirà al ransomware DeadBolt e ad altri attori delle minacce di sfruttare la vulnerabilità e crittografare i dispositivi. Tuttavia, i dispositivi NAS non dovrebbero mai essere esposti pubblicamente a Internet e posizionati invece dietro un firewall.

I clienti QNAP possono trovare istruzioni dettagliate sull'applicazione degli aggiornamenti disponibili e sulla configurazione di myQNAPcloud nell'avviso di sicurezza.

Infine, si consiglia di utilizzare password complesse su tutti gli account utente NAS e di acquisire istantanee regolari per prevenire la perdita di dati in caso di attacchi.

La banda di ransomware DeadBolt ha preso di mira i dispositivi NAS da gennaio 2022, utilizzando una presunta vulnerabilità zero-day sui dispositivi NAS esposti a Internet.

L'operazione ransomware ha condotto ulteriori attacchi ai dispositivi QNAP a maggio e giugno 2022.

All'inizio di febbraio, DeadBolt ha iniziato a prendere di mira i dispositivi NAS ASUSTOR utilizzando una vulnerabilità zero-day che hanno tentato di vendere al fornitore per 7,5 Bitcoin.

Nella maggior parte di questi attacchi, DeadBolt ha richiesto un pagamento di poco più di mille dollari agli utenti interessati in cambio di un decryptor funzionante.

Tuttavia, altri gruppi di ransomware NAS richiedono importi più significativi dalle loro vittime.

Il ransomware Checkmate ha preso di mira i prodotti QNAP NAS a luglio, chiedendo alle vittime di pagare $ 15.000.

https://www.bleepingcomputer.com/news/security/qnap-patches-zero-day-used-in-new-deadbolt-ransomware-attacks/

Microsoft Edge 105 non si avvia a causa di vecchi criteri di gruppo - Come risolvere il problema

Angelo Domeneghini — Mon, 05 Sep 2022 09:49:00 GMT

Microsoft Edge 105 non si avvia a causa di vecchi criteri di gruppo - Come risolvere il problema

Microsoft Edge

Il nuovo Microsoft Edge 105 non si avvia per molti utenti Windows a causa di criteri di gruppo obsoleti utilizzati per disabilitare la segnalazione dell'utilizzo e dei dati relativi agli arresti anomali a Microsoft.

Giovedì, Microsoft Edge 105 è stato rilasciato con numerosi miglioramenti, inclusi miglioramenti della modalità di sicurezza avanzata e nuovi criteri di gruppo.

Tuttavia, dopo l'aggiornamento alla nuova versione, gli utenti Windows hanno iniziato a segnalare su BleepingComputer, Reddit [1, 2] e il forum di Microsoft Answers che Microsoft Edge non si sarebbe più avviato.

Questo problema è stato confermato anche dai lettori di BornCity e Deskmodder, con quest'ultimo che ha scoperto che il problema era causato da un criterio MetricsReportingEnabled deprecato nel registro di Windows.

Editor del registro di Windows versione 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Edge]

"MetricsReportingEnabled"=dword:00000000

Questo criterio consente agli utenti di Microsoft Edge di abilitare o disabilitare la segnalazione dell'utilizzo o dei dati relativi agli arresti anomali a Microsoft.

Tuttavia, quando questo criterio esiste, indipendentemente dal fatto che sia impostato su "0" o "1", Microsoft Edge 105 si avvierà, si sospenderà immediatamente e quindi si spegnerà senza mostrare la finestra del browser.

Il direttore generale di Microsoft Edge Sean Lyndersay ha confermato che il criterio deprecato causa il bug e che sarebbe stato corretto nella prossima versione stabile del browser.

Se si scopre che Microsoft Edge non si avvia più, è possibile eliminare il valore MetricsReportingEnabled dalle chiavi del Registro di sistema HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Edge o HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge.

Susan Bradley di AskWoody ha detto a BleepingComputer che molte delle persone interessate da questo problema hanno utilizzato l'impostazione "Non voglio la telemetria" in una versione precedente dello strumento O&O ShutUp, che sembra aver creato questo valore del Registro di sistema.

Un altro strumento per la privacy trovato da BleepingComputer per creare questo valore è PrivateZilla.

Fino al rilascio della versione successiva di Microsoft Edge, gli utenti possono rimuovere MetricsReportingEnabled per utilizzare l'app senza che ciò influisca su nulla, poiché il criterio è stato deprecato da Microsoft Edge 89.

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-105-wont-start-due-to-old-group-policy-how-to-fix/

Il malware SharkBot torna di soppiatto su Google Play per rubare i tuoi accessi

Angelo Domeneghini — Mon, 05 Sep 2022 09:41:00 GMT

Il malware SharkBot torna di soppiatto su Google Play per rubare i tuoi accessi

Il malware SharkBot è tornato su Google Play per rubare i tuoi accessi

Una versione nuova e aggiornata del malware SharkBot è tornata sul Play Store di Google, prendendo di mira gli accessi bancari degli utenti Android tramite app che hanno decine di migliaia di installazioni.

Il malware era presente in due app Android che non presentavano alcun codice dannoso quando inviate alla revisione automatica di Google.

Tuttavia, SharkBot viene aggiunto in un aggiornamento che si verifica dopo che l'utente ha installato e avviato le dropper app.

Secondo un post sul blog di Fox IT, parte del gruppo NCC, le due app dannose sono "Mister Phone Cleaner" e "Kylhavy Mobile Security", che contano collettivamente 60.000 installazioni.

Le due applicazioni sono state rimosse da Google Play, ma gli utenti che le hanno installate sono ancora a rischio e dovrebbero rimuoverle manualmente.

SharkBot si è evoluto

Gli analisti di malware di Cleafy, una società italiana di gestione e prevenzione delle frodi online, hanno scoperto SharkBot nell'ottobre 2021. Nel marzo 2022, NCC Group ha trovato le prime app che lo trasportano su Google Play.

A quel tempo, il malware potrebbe eseguire attacchi overlay, rubare dati tramite keylogging, intercettare messaggi SMS o fornire agli attori delle minacce il controllo remoto completo del dispositivo host abusando dei servizi di accessibilità.

Nel maggio 2022, i ricercatori di ThreatFabric hanno individuato SharkBot 2 dotato di un algoritmo di generazione del dominio (DGA), un protocollo di comunicazione aggiornato e un codice completamente rifattorizzato.

I ricercatori di Fox IT hanno scoperto una nuova versione del malware (2.25) il 22 agosto, che aggiunge la capacità di rubare i cookie dagli accessi ai conti bancari.

Inoltre, le nuove dropper app non abusano dei servizi di accessibilità come facevano prima.

"Abusando dei permessi di accessibilità, il dropper è stato in grado di fare clic automaticamente su tutti i pulsanti mostrati nell'interfaccia utente per installare Sharkbot. Ma questo non è il caso in questa nuova versione del dropper per Sharkbot", Fox IT

“Il dropper, invece, farà una richiesta al server C2 per ricevere direttamente il file APK di Sharkbot. Non riceverà un collegamento per il download insieme ai passaggi per installare il malware utilizzando le funzionalità "Automatic Transfer Systems" (ATS), cosa che normalmente faceva", afferma Fox IT.

Una volta installata, la dropper app contatta il server di comando e controllo (C2) richiedendo il file APK SharkBot dannoso. Il dropper avviserà, quindi, l'utente che è disponibile un aggiornamento e chiede di installare l'APK e di concedere tutte le autorizzazioni richieste.

Per rendere più difficile il rilevamento automatico, SharkBot memorizza la sua configurazione hardcoded in forma crittografata utilizzando l'algoritmo RC4.

Squalo amante dei cookie

I sistemi di overlay, intercettazione SMS, telecomando e keylogging sono ancora presenti su SharkBot 2.25, ma sopra di essi è stato aggiunto un cookie logger.

Quando la vittima accede al proprio conto bancario, SharkBot estrae il cookie di sessione valido utilizzando un nuovo comando ("logsCookie") e lo invia al C2.

I cookie sono preziosi per il controllo degli account perché contengono software e parametri di posizione che aiutano a bypassare i controlli delle impronte digitali o, in alcuni casi, lo stesso token di autenticazione dell'utente.

Durante l'indagine, Fox IT ha osservato nuove campagne SharkBot in Europa (Spagna, Austria, Germania, Polonia, Austria) e negli Stati Uniti. I ricercatori hanno notato che il malware utilizza in questi attacchi la funzione di keylogging e ruba le informazioni sensibili direttamente dall'app ufficiale. obiettivi.

Con una versione migliorata del malware disponibile, Fox IT si aspetta che le campagne SharkBot continuino e un'evoluzione del malware.

https://www.bleepingcomputer.com/news/security/sharkbot-malware-sneaks-back-on-google-play-to-steal-your-logins/

Tessera sanitaria senza chip, come usare quella scaduta per i servizi online

Angelo Domeneghini — Mon, 05 Sep 2022 09:30:00 GMT

Molti italiani potrebbero ricevere la tessera sanitaria senza microchip.

*conservate la vecchia tessera*

Alcuni cittadini italiani avranno già ricevuto una tessera sanitaria senza chip e si saranno senz’altro accorti del cambiamento che il Ministero delle Finanze è stato costretto a mettere in atto.

Chi ha ricevuto la nuova tessera per la prima volta o ne ha ottenuta un’altra in seguito alla scadenza della precedente, non avrà potuto fare a meno di notare, in alcuni casi, l’assenza del chip. Quest’ultimo consente alla tessera sanitaria di poter essere utilizzata per accedere ai servizi online. Ma a cosa è dovuta l’assenza del chip dalla tessera sanitaria?

Perché ho una tessera sanitaria senza chip?

In seguito alla crisi mondiale nell’approvvigionamento delle materie prime, che consentono la produzione di microchip, molte aziende stanno facendo i conti con questo problema. La mancanza di microchip può colpire vari settori, a cominciare da quello tech, che li utilizza massicciamente. E nel caso in cui, nei prossimi mesi, la crisi non dovesse rientrare, potrebbero essere a rischio anche i chip delle carte di credito o quelli delle carte d’identità elettroniche, solo per citarne alcuni.

A seguito di tutto ciò, il Ministero delle Finanze si è visto costretto, il 9 giugno scorso, a pubblicare un decreto in Gazzetta Ufficiale, attraverso cui annunciare la possibilità di emettere tessere sanitarie senza chip. La misura d’emergenza è stata introdotta in via temporanea, per ovviare al fatto che molti cittadini potessero restare privi di un documento importantissimo e imprescindibile per tutta una serie di operazioni.

Come utilizzare i servizi online se la tessera non ha il microchip

La tessera sanitaria senza chip non può essere utilizzata come Carta nazionale dei servizi. In sintesi, ciò significa che la tessera nazionale continuerà a valere come codice fiscale, a poter essere usata per accedere all’assistenza sanitaria in tutto il territorio Ue ma non potrà essere impiegata per identificarsi e autenticarsi online per l’accesso ai servizi digitali.

Tessera sanitaria senza chip

Per ovviare a tale mancanza, che potrebbe creare non pochi problemi ai cittadini sprovvisti di tessera sanitaria con chip, il Ministero ha stabilito che le tessere sanitarie scadute (e ovviamente provviste di microchip) vedranno prolungata la propria validità al 31 dicembre 2023. Nella speranza che la crisi delle materie prime possa rientrare al più presto.

L’unico problema che resta è che l’estensione di tale validità non si ottiene automaticamente ma si deve richiedere sul Portale Tessera Sanitaria, accedendo al sito solo da pc Windows.

https://sistemats1.sanita.finanze.it/portale/

Android: Google limiterà le app VPN che bloccano gli annunci

Angelo Domeneghini — Fri, 02 Sep 2022 07:42:00 GMT

Android: Google limiterà le app VPN che bloccano gli annunci

I servizi che forniscono un accesso web sicuro dovranno rispettare le nuove regole di Google.

I sistemi VPN dovranno integrare lo strumento di Google.

Alcune app VPN (rete privata virtuale) potrebbero presto essere bandite su Android.

Dal 1° novembre chi blocca annunci e ad tracker da app di terze parti dovrà rispettare le nuove regole del Google Play Store.

Da tale data, questi servizi che garantiscono un accesso sicuro al web dovranno utilizzare l'API VPNService (interfaccia di programmazione) fornita da Google.

Ciò "non consente la manipolazione di annunci che potrebbero influire sulla monetizzazione delle app".

Google afferma di voler combattere le app VPN fraudolente che tracciano i dati degli utenti (Onavo Protect di Facebook ne è un esempio) e reindirizzano il traffico pubblicitario ad altri server a fini di monetizzazione, riporta The Register.

"Google afferma di voler reprimere le app che utilizzano il servizio VPN per tracciare i dati degli utenti o reindirizzare il traffico degli utenti per fare soldi con gli annunci. Tuttavia, queste modifiche alle politiche si applicano anche alle app che utilizzano il servizio per filtrare il traffico in locale sul dispositivo (nota: e non nel cloud)", lamenta Reda Labdaoui, marketing manager dell'app VPN svedese Blockada, che nasconde gli annunci.

DuckDuckGo, che offre anche un servizio VPN, si considera sicuro, ma dice che sta ancora studiando il problema.

https://www.20min.ch/fr/story/google-va-brider-les-apps-vpn-qui-bloquent-les-publicites-422018814658

Twitter: pulsante per correggere i tweet già pubblicati!

Angelo Domeneghini — Fri, 02 Sep 2022 07:35:00 GMT

Social network: pulsante per correggere i tweet pubblicati

Twitter sta testando concretamente la possibilità di modificare un messaggio già pubblicato sulla piattaforma.

Gli utenti di Twitter chiedono questa funzionalità da molto tempo.

Twitter, che da diversi mesi sta lavorando su un pulsante per correggere un messaggio già pubblicato, è passato a una nuova fase testando concretamente la funzionalità “Modifica Tweet”. Questa opzione è da tempo richiesta da alcuni utenti del social network, che si rammaricano di non poter modificare messaggi contenenti errori o formulazioni sgradite, perché scritti troppo in fretta o sotto l'influenza dell'emozione.

Elon Musk, attualmente impegnato in una battaglia legale con Twitter per l'acquisizione della piattaforma, ha più volte sostenuto questa richiesta.

Il gruppo alla fine cedette e ad aprile annunciò che stava lavorando a questa possibilità.

Giovedì, ha chiarito che la funzionalità è attualmente in fase di test dai suoi team interni e che sarà disponibile per gli abbonati al piano Twitter Blue a pagamento "nelle prossime settimane".

Questa formula è attualmente disponibile negli Stati Uniti, Canada, Australia e Nuova Zelanda.

"Come per qualsiasi nuova funzionalità, stiamo testando volontariamente la funzione Modifica Tweet con un pubblico limitato per aiutarci a identificare e risolvere potenziali problemi prima di renderla disponibile a tutti", ha affermato Twitter in una nota. "Attraverso i test, speriamo di capire rapidamente come viene utilizzato e il suo impatto su come le persone leggono e scrivono tweet", aggiunge il gruppo. Il test non sarà necessariamente permanente per tutti gli utenti del social network, ha detto un portavoce all'AFP.

Come attualmente progettata, la nuova funzionalità consente di modificare i tweet più volte, entro 30 minuti dalla pubblicazione ed i tweet modificati saranno accompagnati da simboli che indicano chiaramente che il post originale è stato corretto.

Sarà possibile accedere alle versioni precedenti del messaggio.

Ciò dovrebbe "proteggere l'integrità della conversazione" e "consentire a tutti di vedere ciò che è stato detto", afferma Twitter.

https://www.20min.ch/fr/story/bouton-permettant-de-corriger-des-tweets-en-approche-518052537706

Sono state trovate oltre 1.000 app iOS che espongono credenziali AWS hardcoded

Angelo Domeneghini — Thu, 01 Sep 2022 10:15:00 GMT

Sono state trovate oltre 1.000 app iOS che espongono credenziali AWS hardcoded

iphone

I ricercatori di sicurezza stanno lanciando l'allarme sul fatto che gli sviluppatori di app mobili si affidano a pratiche non sicure che espongono le credenziali di Amazon Web Services (AWS), rendendo vulnerabile la catena di approvvigionamento.

Gli attori malintenzionati potrebbero trarne vantaggio per accedere a database privati, portando a violazioni dei dati e all'esposizione dei dati personali dei clienti.

Scala del problema

I ricercatori del team Threat Hunting di Symantec, parte di Broadcom Software, hanno trovato 1.859 applicazioni contenenti credenziali AWS hardcoded, la maggior parte delle quali sono app iOS e solo 37 per Android.

Circa il 77% di queste applicazioni conteneva token di accesso AWS validi che potevano essere utilizzati per l'accesso diretto ai servizi cloud privati.

Inoltre, 874 applicazioni contenevano token AWS validi che gli hacker possono utilizzare per accedere a istanze cloud contenenti database di servizi live che contengono milioni di record.

Questi database in genere contengono dettagli dell'account utente, registri, comunicazioni interne, informazioni sulla registrazione e altri dati sensibili, a seconda del tipo di app.

Esempi reali

Gli analisti delle minacce evidenziano tre casi importanti nel loro rapporto in cui i token AWS esposti potrebbero aver avuto conseguenze catastrofiche sia per gli autori che per gli utenti delle app vulnerabili.

Un esempio è una società business-to-business (B2B) che fornisce servizi di comunicazione e intranet a oltre 15.000 aziende di dimensioni medio-grandi.

Il kit di sviluppo software (SDK) che l'azienda ha fornito ai clienti per accedere ai propri servizi contiene chiavi AWS, esponendo tutti i dati privati dei clienti archiviati sulla piattaforma.

Un altro caso è un SDK di autenticazione e identità digitale di terze parti utilizzato da diverse app bancarie su iOS che includeva credenziali cloud valide.

Per questo motivo, tutti i dati di autenticazione di tutti i clienti di tali banche, inclusi nomi, date di nascita e persino scansioni biometriche delle impronte digitali, sono stati esposti nel cloud.

Infine, Symantec ha trovato una piattaforma tecnologica per le scommesse sportive utilizzata da 16 app di gioco online, che ha esposto l'intera infrastruttura e i servizi cloud con autorizzazioni di lettura/scrittura a livello di amministratore.

Perché sta succedendo?

Il problema con le credenziali del servizio cloud codificate e "dimenticate" è fondamentalmente un problema della catena di approvvigionamento, poiché la negligenza di uno sviluppatore di SDK può influire su un'intera raccolta di app e servizi che si basano su di esso.

Lo sviluppo di app mobili si basa su componenti già pronti invece di creare tutto da zero, quindi se gli editori di app non eseguono un controllo approfondito sugli SDK o sulle librerie che utilizzano, è probabile che un rischio per la sicurezza si propaghi nel loro progetto.

Per quanto riguarda gli sviluppatori che codificano le credenziali nei loro prodotti, questa è una questione di comodità durante il processo di sviluppo e test e di saltare la corretta revisione del codice per problemi di sicurezza.

Facendo riferimento ai motivi per cui ciò sta accadendo, Symantec evidenzia le seguenti possibilità:

Download o caricamento di risorse e risorse necessarie per l'app, in genere file multimediali di grandi dimensioni, registrazioni o immagini

Accesso ai file di configurazione per l'app e/o registrazione del dispositivo e raccolta di informazioni sul dispositivo e archiviazione nel cloud

Accesso ai servizi cloud che richiedono l'autenticazione, come i servizi di traduzione

Nessun motivo specifico, codice morto e/o utilizzato per il test e mai rimosso

La mancata rimozione di queste credenziali quando il software è pronto per essere distribuito dai client è una questione di incuria e il risultato dell'assenza di un processo di rilascio basato su checklist che includa anche la sicurezza.

Correzione dei backport di Apple per iOS zero-day sfruttato attivamente su iPhone meno recenti

https://www.bleepingcomputer.com/news/security/over-1-000-ios-apps-found-exposing-hardcoded-aws-credentials/

L'interruzione di Microsoft Azure mette offline le macchine virtuali Ubuntu dopo l'aggiornamento con errori

Angelo Domeneghini — Thu, 01 Sep 2022 10:07:00 GMT

L'interruzione di Microsoft Azure mette offline le macchine virtuali Ubuntu dopo l'aggiornamento con errori

Microsoft Azure

Le macchine virtuali (VM) dei clienti Microsoft Azure che eseguono Ubuntu 18.04 sono state messe offline a causa di un'interruzione continua causata da un aggiornamento del sistema difettoso.

L'interruzione è iniziata nove ore prima, intorno alle 06:00 UTC, dopo che i clienti interessati hanno eseguito l'aggiornamento alla versione systemd 237-3ubuntu10.54 e le loro macchine virtuali hanno iniziato a riscontrare errori DNS, senza indirizzi del resolver DNS disponibili sui sistemi interessati.

Microsoft afferma in un rapporto sull'incidente pubblicato nella pagina di stato di Azure che questi problemi DNS riguardano solo le macchine virtuali che eseguono Ubuntu 18.04 (Bionic Beaver).

"A partire dalle 06:00 UTC circa del 30 agosto 2022, un certo numero di clienti che eseguono macchine virtuali Ubuntu 18.04 (bionic) aggiornate di recente alla versione systemd 237-3ubuntu10.54 hanno segnalato di aver riscontrato errori DNS durante il tentativo di accedere alle proprie risorse.

Segnalazioni di questo problema sono limitati a questa singola versione di Ubuntu", ha rivelato la società.

Secondo la pagina di stato di Azure, i servizi attualmente interessati da questa interruzione in tutto il mondo includono Azure Kubernetes Service (AKS), monitoraggio di Azure, Azure Sentinel, app Azure Container e altro ancora.

Microsoft ha confermato l'impatto a valle su altri servizi di Azure, con il servizio Azure Kubernetes (AKS) che è il più colpito in più aree.

Una potenziale correzione per questo bug di sistema che richiede il passaggio a un server DNS di fallback e un riavvio è disponibile sulla piattaforma di collaborazione software Launchpad di Canonical.

Microsoft fornisce una soluzione alternativa aggiuntiva per i clienti di Azure interessati che prevede il riavvio delle macchine virtuali Ubuntu interessate.

"Un'ulteriore soluzione alternativa che i clienti possono prendere in considerazione consiste nel riavviare le istanze VM interessate in modo che ricevano un nuovo lease DHCP e nuovi resolver DNS", ha affermato la società.

Redmond implica anche che coloro che non sono stati ancora colpiti dovrebbero prendere in considerazione la disabilitazione degli aggiornamenti di sicurezza fino a quando il bug non sarà stato mitigato.

"Se non stai riscontrando un impatto sulle immagini di Ubuntu 18.04, ma hai abilitato gli aggiornamenti di sicurezza automatici, ti consigliamo di rivedere questa impostazione fino a quando il problema di Ubuntu non sarà mitigato", ha aggiunto Microsoft.

https://www.bleepingcomputer.com/news/microsoft/microsoft-azure-outage-knocks-ubuntu-vms-offline-after-buggy-update/

Driver legittimo usato come rootkit per distribuire ransomware #Genshin

Angelo Domeneghini — Thu, 01 Sep 2022 10:01:00 GMT

Driver legittimo usato come rootkit per distribuire ransomware

Un driver per il popolare gioco di ruolo Genshin Impact è stato impiegato per chiudere i processi e i servizi antivirus e distribuire un ransomware.

Un driver legittimo usato come rootkit, un ransomware che chiude i processi attivi e disattiva gli antivirus sono gli ingredienti per un attacco cyber su cui hanno indagato i ricercatori di Trend Micro. Il caso è legato al popolare gioco di ruolo Genshin Impact, ma è indicativo per comprendere il funzionamento di una nuova tecnica di attacco che, se diffusa, potrebbe causare danni notevoli.

Per capire meglio, non stiamo parlando di un rootkit come Netfilter, FiveSys o Fire Chili, firmati con certificati falsi o rubati. Stiamo parlando di un driver legittimo a tutti gli effetti, che è stato utilizzato come rootkit. Si tratta di mhyprot2.sys, un driver anti-cheat per il soprannominato videogioco: un gruppo ransomware ne sta abusando per uccidere i processi e i servizi antivirus per la distribuzione di massa del ransomware. I ricercatori di sicurezza sottolineano che mhyprot2.sys potrebbe essere integrato in qualsiasi malware.

La scoperta del rootkit

Tutto è iniziato l'ultima settimana di luglio, quando si è verificata un'infezione ransomware su un endpoint protetto e correttamente configurato. Gli investigatori hanno analizzato il codice e hanno scoperto la presenza di mhyprot2.sys, un device driver che veniva usato per aggirare i privilegi e disponeva di firme che sono tuttora valide. L’attenzione è stata attirata anche dal fatto che l'uso di questo driver è indipendente dal videogioco (che peraltro non ha bisogno di essere installato perché funzioni).

I ricercatori hanno compreso il potenziale di questo strumento nelle mani dei cyber criminali e hanno intensificato le indagini. La prima prova di compromissione è stata un secretsdump da parte di un endpoint non identificato dell'organizzazione target a uno dei controller di dominio, seguito a stretto giro dall’esecuzione di wmiexec per l’esecuzione di comandi da remoto tramite WMI.

Tramite i Criteri di Gruppo è stato distribuito un ulteriore file dannoso, avg.msi - un file dannoso mascherato da AVG Internet Security. Nelle intenzioni degli attaccanti avrebbe dovuto distribuire in massa il ransomware; tuttavia la procedura si è bloccata per un errore e gli attaccanti hanno dovuto intervenire manualmente per avviare il processo.

Qualche considerazione

Nella loro analisi, i ricercatori sottolineano il nodo centrale della questione: un modulo di device driver legittimo con firma valida può consentire un bypass dei privilegi dalla modalità utente a quella kernel. Anche se un fornitore riconoscesse questa vulnerabilità e fornisse una patch, il modulo non potrebbe comunque essere cancellato, al contrario di quanto avviene per i driver firmati con chiavi false, che possono essere revocati per invalidarne la firma.

Fortunatamente è ancora raro trovare un driver che possa essere abusato: esiste un numero limitato di file di driver con firme valide che potrebbe avere un comportamento paragonabile al bypass dei privilegi rilevata nell’attacco descritto. A titolo preventivo, gli esperti consigliano ai team IT di monitorare i registri eventi di Windows per l'installazione del servizio corrispondente al driver mhyprot2.sys (0466e90bf0e83b776ca8716e01d35a8a2e5f96d3) e, qualora l'installazione del servizio non fosse prevista, sarebbe legittimo sospettare una compromissione.

L’attacco è l’ennesima dimostrazione della flessibilità degli operatori ransomware nella costante ricerca di modi per distribuire il loro malware. Trend Micro ha pubblicato un elenco delle tecniche MITRE ATT&CK utilizzate in questo attacco.

https://www.securityopenlab.it/news/2223/driver-legittimo-usato-come-rootkit-per-distribuire-ransomware.html

Un malware di Windows ritarda di un mese l'installazione di coinminer per eludere il rilevamento

Angelo Domeneghini — Tue, 30 Aug 2022 08:11:00 GMT

*Un malware di Windows ritarda di un mese l'installazione di coinminer per eludere il rilevamento*

È stata trovata una nuova campagna di malware mascherata da Google Translate o programmi di download di MP3 che distribuisce malware di mining di criptovalute in 11 paesi.

Le applicazioni false vengono distribuite attraverso siti di software gratuiti legittimi, fornendo un'ampia esposizione alle applicazioni dannose sia ai visitatori regolari dei siti che ai motori di ricerca.

Secondo un rapporto di Check Point, il malware è stato creato da uno sviluppatore chiamato "Nitrokod", che a prima vista sembra essere privo di malware e fornisce la funzionalità pubblicizzata.

Baker & Taylor, azienda leader di servizi di biblioteca, è stata colpita da un ransomware

Tuttavia, Check Point afferma che il software ritarda di proposito l'installazione dei componenti malware dannosi fino a un mese per eludere il rilevamento.

Sfortunatamente, le offerte di Nitrokod sono in cima ai risultati della Ricerca Google, quindi il sito Web funge da eccellente trappola per gli utenti che cercano un'utilità specifica.

BleepingComputer ha contattato l'amministratore di Nitrokod all'indirizzo di contatto indicato, ma non abbiamo ancora ricevuto alcun commento da parte loro.

Inoltre, come scoperto da Check Point, anche l'applet Google Translate di Nitrokod è stata caricata su Softpedia, dove ha raggiunto oltre 112.000 download.

Catena di infezione

Indipendentemente dal programma scaricato dal sito Web Nitrokod, l'utente riceve un RAR protetto da password che elude il rilevamento AV e contiene un eseguibile che prende il nome dall'app selezionata.

Dopo aver eseguito il file, il software viene installato sul sistema dell'utente insieme a due chiavi di registro, a

Successivamente, il software cancella tutti i registri di sistema utilizzando i comandi di PowerShell e, dopo altri 15 giorni, recupera il file RAR crittografato successivo da "intelserviceupdate[.]com".

Cronologia delle fasi dell'infezione

Il contagocce della fase successiva verifica la presenza di software antivirus, ricerca i processi che potrebbero appartenere a macchine virtuali e infine aggiunge una regola del firewall e un'esclusione a Windows Defender.

Regola del firewall per esentare le comunicazioni malware dal controllo (Check Point)

Ora che il dispositivo è stato preparato per il payload finale, il programma carica l'ultimo contagocce, che recupera un altro file RAR contenente il malware di mining XMRig, il suo controller e un file ".sys" con le sue impostazioni.

Il malware determina se è in esecuzione su un desktop o laptop, quindi si connette al suo C2 ("nvidiacenter[.]com") e invia un rapporto completo del sistema host tramite richieste HTTP POST.

Infine, il C2 risponde con istruzioni come se attivare, quanta potenza della CPU utilizzare, quando eseguire nuovamente il ping di C2 o quali programmi controllare e uscire se trovati.

Come stare al sicuro

Il malware di mining di criptovalute può rappresentare un rischio in quanto può danneggiare l'hardware causando stress e surriscaldamento dell'hardware e può influire sulle prestazioni del computer utilizzando risorse CPU aggiuntive.

Inoltre, i contagocce di malware scoperti da Check Point possono scambiare il payload finale con qualcosa di molto più pericoloso in qualsiasi momento.

Per proteggerti, evita di scaricare app che promettono funzionalità non ufficialmente rilasciate dallo sviluppatore originale, come una versione desktop dello strumento di traduzione di Google.

https://www.bleepingcomputer.com/news/security/windows-malware-delays-coinminer-install-by-a-month-to-evade-detection/

Il "Google cinese" svela il suo primo computer quantistico

Angelo Domeneghini — Mon, 29 Aug 2022 08:25:00 GMT

Il "Google cinese" svela il suo primo computer quantistico

Il famoso motore di ricerca asiatico Baidu sta investendo nel mercato del quantum computing presentando Qianshi, una macchina dotata di processore da 10 qubit.

Il computer quantistico Qianshi è stato presentato a Pechino.

Un nuovo attore sta cercando di guadagnare quote di mercato nel campo dell'informatica quantistica, una tecnologia che dovrebbe rendere supercomputer potenti obsoleti con una maggiore potenza di calcolo.

Alla conferenza Quantum Create 2022 a Pechino, l'azienda cinese Baidu, nota per il suo motore di ricerca, ha presentato giovedì il suo primo computer quantistico. Chiamato Qianshi, incorpora un processore da 10 qubit. Baidu, che ha anche sviluppato un chip quantistico a 36 qubit, prevede di renderlo disponibile a utenti esterni, riferisce Reuters.

Secondo la società di ricerca IDC, i governi e le aziende investiranno circa 16,4 miliardi di dollari nell'informatica quantistica entro la fine del 2027.

Il colosso tecnologico statunitense IBM, che ha sviluppato processori quantistici con 127 qubit, prevede di sviluppare e commercializzare un computer quantistico con oltre 4.000 qubit di 2025.

Per quanto riguarda la sussidiaria di Alphabet, Google, anche il gigante del web americano prevede di sviluppare una macchina del genere, ma con 1 milione di qubit entro la fine di questo decennio.

https://www.20min.ch/fr/story/le-google-chinois-devoile-son-premier-ordinateur-quantique-462596282898

Phishing: email fraudolente per ottenere un account Instagram certificato

Angelo Domeneghini — Mon, 29 Aug 2022 08:18:00 GMT

Phishing: email fraudolente per ottenere un account Instagram certificato

Gli hacker stanno attualmente inviando e-mail fraudolente di phishing che sembrano provenire dal social network americano, avverte una società di sicurezza informatica.

*Gli utenti di Instagram devono richiedere personalmente la certificazione.*

Fai attenzione alle e-mail che promettono di ottenere un account Instagram certificato!

In Rete sta imperversando una grande campagna di phishing, avverte l'azienda di cybersecurity Vade.

Più di 2.000 e-mail al giorno sono state inviate da fine luglio nel tentativo di ingannare gli utenti del social network di condivisione di immagini, riferisce Numerama.

Le email fraudolente, che sembrano provenire da Instagram, suggeriscono che la piattaforma appartenente al gruppo Meta di Mark Zuckerberg abbia esaminato l'account del destinatario e che sia idoneo alla certificazione.

La vittima è quindi invitata a cliccare su un link per fornire varie informazioni sensibili, come il suo nome, il suo indirizzo, il suo numero di telefono e la sua password, che i malviventi cercano di sequestrare per trarne vantaggio.

"Questa e-mail di phishing è impressionante nel modo in cui riproduce l'identità grafica di Instagram. Non ci sono errori di ortografia, il messaggio è pulito e comprensibile. I malviventi sono arrivati addirittura ad animare il banner con il logo del gruppo Meta”, spiega sul sito specializzato Florent Cahagne, esperto di cybersecurity di Vade.

Si ricorda che la richiesta di certificazione deve provenire dall'utente. Se quest'ultimo non ha fatto questo passaggio, Instagram non invierà una e-mail per proporgli di ottenere il prezioso badge blu che viene visualizzato a destra del suo nome utente, segno che il suo account è certificato come quelli di personaggi famosi , organizzazioni o aziende.

https://www.20min.ch/fr/story/des-e-mails-font-miroiter-un-compte-instagram-certifie-578370665977

La violazione di Twilio consente agli hacker di accedere agli account Authy 2FA

Angelo Domeneghini — Mon, 29 Aug 2022 08:06:00 GMT

La violazione di Twilio consente agli hacker di accedere agli account Authy 2FA

L'indagine di Twilio sull'attacco del 4 agosto rivela che gli hacker hanno ottenuto l'accesso ad alcuni account utente Authy e hanno registrato dispositivi non autorizzati.

Authy è un servizio di autenticazione a due fattori (2FA) di Twilio che consente agli utenti di proteggere i propri account online in cui la funzionalità è supportata identificandosi una seconda volta tramite un'app dedicata dopo aver digitato le credenziali di accesso.

Quando si accede a un account con 2FA abilitato, Authy fornirà un passcode aggiuntivo monouso necessario per accedere. Ciò protegge l'account dall'accesso anche se le credenziali di accesso sono compromesse.

Per questo motivo, è fondamentale proteggere il tuo account Authy, poiché se gli hacker vi accedono, possono accedere al tuo account compromesso.

Il servizio è molto popolare, rivaleggia con Authenticator di Google e fornisce supporto per più dispositivi, sincronizzando i token 2FA generati tra i dispositivi registrati.

Account Authy compromessi allertati

Giovedì, Twilio ha annunciato che l'attore delle minacce che ha ottenuto l'accesso alla sua infrastruttura il 4 agosto ha anche avuto accesso agli account di 93 utenti Authy e ha collegato i dispositivi a tali account.

Twilio sottolinea che gli account Authy compromessi appartengono a singoli utenti e rappresentano una piccola frazione del numero totale di 75 milioni di utenti.

Tuttavia, per quei 93 utenti, gli hacker avrebbero potuto accedere ai codici 2FA generati per gli account degli utenti Authy.

Non è chiaro se i 93 utenti Authy siano stati specificamente presi di mira dagli hacker.

La società afferma di aver rimosso i dispositivi non autorizzati dagli account compromessi e di aver contattato gli utenti interessati per fornire istruzioni su come proteggere i propri account:

Per impedire l'aggiunta di dispositivi non autorizzati, consigliamo agli utenti di aggiungere un dispositivo di backup e disabilitare "Consenti multi-dispositivo" nell'applicazione Authy. Gli utenti possono riattivare "Consenti multi-dispositivo" per aggiungere nuovi dispositivi in qualsiasi momento.

La società di comunicazioni cloud afferma inoltre che la sua indagine ha identificato 163 utenti Twilio i cui dati sono stati consultati dagli intrusi per un periodo limitato. Hanno anche ricevuto notifiche sull'accesso non autorizzato.

La violazione dei dati di Twilio sembra far parte di una più ampia campagna di hacker che ha preso di mira almeno 130 organizzazioni, tra cui MailChimp, Klaviyo e Cloudflare.

Nei precedenti aggiornamenti sull'incidente, Twilio ha affermato che la violazione ha avuto un impatto su 125 clienti, poiché gli hacker sono stati in grado di accedere alle loro informazioni di autenticazione.

https://www.bleepingcomputer.com/news/security/twilio-breach-let-hackers-gain-access-to-authy-2fa-accounts/

I sistemi di sviluppo LastPass sono stati violati per rubare il codice sorgente

Angelo Domeneghini — Mon, 29 Aug 2022 07:57:00 GMT

I sistemi di sviluppo LastPass sono stati violati per rubare il codice sorgente

LastPass

La società di gestione delle password LastPass è stata violata due settimane fa, consentendo agli attori delle minacce di rubare il codice sorgente dell'azienda e le informazioni tecniche proprietarie.

La divulgazione arriva dopo che BleepingComputer ha appreso della violazione da addetti ai lavori la scorsa settimana e ha contattato la società il 21 agosto senza ricevere risposta alle nostre domande.

Fonti hanno detto a BleepingComputer che i dipendenti si stavano arrampicando per contenere l'attacco dopo che LastPass è stato violato.

Dopo aver inviato domande sull'attacco, LastPass ha rilasciato oggi un avviso di sicurezza confermando che è stato violato a causa di un account sviluppatore compromesso utilizzato dagli hacker per accedere all'ambiente di sviluppo dell'azienda.

Mentre LastPass afferma che non ci sono prove che i dati dei clienti o i depositi di password crittografati siano stati compromessi, gli attori delle minacce hanno rubato parti del loro codice sorgente e "informazioni tecniche proprietarie di LastPass".

"In risposta all'incidente, abbiamo implementato misure di contenimento e mitigazione e abbiamo ingaggiato un'importante azienda di sicurezza informatica e forense", spiega l'advisory LastPass.

"Mentre la nostra indagine è in corso, abbiamo raggiunto uno stato di contenimento, implementato ulteriori misure di sicurezza rafforzate e non vediamo ulteriori prove di attività non autorizzate".

LastPass è una delle più grandi società di gestione delle password al mondo, che afferma di essere utilizzata da oltre 33 milioni di persone e 100.000 aziende.

Poiché i consumatori e le aziende utilizzano il software dell'azienda per archiviare le proprie password in modo sicuro, si teme sempre che se l'azienda fosse stata violata, potrebbe consentire agli attori delle minacce di accedere alle password archiviate.

Tuttavia, LastPass archivia le password in "cavelli crittografati" che possono essere decrittografati solo utilizzando la password principale di un cliente, che secondo LastPass non è stata compromessa in questo attacco informatico.

L'anno scorso, LastPass ha subito un attacco di credential stuffing che ha consentito agli attori delle minacce di confermare la password principale di un utente. È stato anche rivelato che le password principali di LastPass sono state rubate da attori delle minacce che distribuivano il malware RedLine per il furto di password.

Per questo motivo, è fondamentale abilitare l'autenticazione a più fattori sui tuoi account LastPass in modo che gli attori delle minacce non possano accedere al tuo account anche se la tua password è compromessa.

BleepingComputer ha nuovamente contattato con ulteriori domande sull'attacco.

Questa è una storia in evoluzione.

https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/

Come disabilitare il saluto "Hello Moto"?

Angelo Domeneghini — Thu, 25 Aug 2022 12:24:00 GMT

Come disabilitare il saluto "Hello Moto"?

Hai recentemente sostituito il tuo smartphone

con uno nuovo della Motorola?

Ti sarai ritrovato a sentire, in fase di accensione,

il messaggio "Hello Moto".

Cosa significa "Hello Moto"?

"Ciao moto" È una frase che rimanda alla passato,...

che è lo slogan più famoso del marchio nel corso della sua storia, che ha accompagnato le campagne pubblicitarie per i suoi cellulari più popolari, qualcosa che l'ha aiutata ad avere successo sul mercato

Bene, per rimuovere il messaggio vocale all' avvio dello smartphone Motorola

devi andare nel menù

.Impostazioni

.Suoni e Vibrazione

.Suoni all' accensione

quindi disabilitare questa funzionalità

La falsa estensione di Chrome "Internet Download Manager" ha 200.000 installazioni!

Angelo Domeneghini — Thu, 25 Aug 2022 12:07:00 GMT

La falsa estensione di Chrome "Internet Download Manager" ha 200.000 installazioni

L'estensione di Google Chrome 'Internet Download Manager' installata da più di 200.000 utenti è un adware.

L'estensione è presente sul Chrome Web Store almeno da giugno 2019, secondo le prime recensioni pubblicate dagli utenti.

Sebbene l'estensione possa installare un programma di download manager noto e legittimo, BleepingComputer ha osservato comportamenti indesiderati mostrati dall'estensione, come l'apertura di collegamenti a siti di spam, la modifica del motore di ricerca del browser predefinito e ulteriormente perseguitando l'utente con popup che chiedevano loro di scaricare più "patch" e programmi indesiderati.

Estensione Dodgy Chrome installata da oltre 200.000 utenti

Un lettore interessato di BleepingComputer ci ha contattato vedendo un componente aggiuntivo di Chrome "che esegue siti dannosi impersonando software famosi".

E la loro preoccupazione sembra valida.

L'estensione del browser "Internet Download Manager" installata da oltre 200.000 utenti fino ad oggi non sembra poi così innocente.

Esiste un legittimo programma Windows chiamato Internet Download Manager, pubblicato dalla società di software Tonec.

Tonec offre estensioni di Internet Download Manager per Firefox e Chrome. Ma l'autentica estensione di Chrome fornita dall'azienda si chiama "IDM Integration Module".

Inoltre, le FAQ di Tonec avvertono in modo specifico:

"Tieni presente che tutte le estensioni IDM che possono essere trovate in Google Store sono false e non dovrebbero essere utilizzate".

Al contrario, l'estensione contraffatta di Chrome "Internet Download Manager" sembra essere gestita da un sito Web chiamato "Puupnewsapp" che afferma "aumenta la velocità di download fino al 500%" rendendolo un "super software" per scaricare giochi, film, musica e "file di grandi dimensioni in pochi minuti".

In particolare, dopo aver installato "Internet Download Manager", agli utenti viene ora chiesto di installare un eseguibile dal sito Web puupnewsapp e di scaricare inoltre un file ZIP "Windows patch":

hxxps://www.puupnewsapp[.]com/idman638build25.exe

hxxps://www.puupnewsapp[.]com/windows.zip

L'eseguibile 'idman638build25.exe' sembra essere una versione valida e firmata del legittimo Tonec Internet Download Manager.

L'archivio "windows.zip" analizzato da BleepingComputer, contiene versioni di NodeJS sia a 32 bit che a 64 bit ed esegue codice JavaScript per regolare le impostazioni del registro di Chrome e Firefox.

Altera i motori di ricerca, promuove lo spam

Ciò che ci ha colpito è stato anche il fatto che l'installazione dell'estensione in un ambiente di test ha cambiato il motore di ricerca predefinito del browser in smartwebfinder[.]com.

Sono stati inoltre osservati frequenti popup che esortavano l'utente a installare più componenti aggiuntivi, ad esempio per Firefox, così come l'estensione che avviava siti di terze parti nel browser.

Fortunatamente, i revisori, alcuni già nel 2019, sembrano aver individuato il comportamento sospetto.

Sebbene molti revisori (probabilmente non autentici) affermano di non avere problemi con l'estensione.

I lettori di BleepingComputer hanno precedentemente segnalato problemi con estensioni canaglia simili che avevano trovato sul Chrome Web Store.

I dettagli della proroga contraffatta sono i seguenti:

ID estensione: lcdlanlaneooailnebnhamiieebikid

.crx hash (SHA-256): b4b47730b62592c21368c2546e578342fff8383693e89211155c2d61d88058ba

URL del Web Store: hxxps://chrome.google[.]com/webstore/detail/internet-download-manager/lcdlanlaneooailnebnhamiiieeebikid?hl=en

BleepingComputer ha contattato Tonec per un commento e abbiamo anche informato Google dell'estensione dannosa prima della pubblicazione.

Una rapida ricerca sul Chrome Web Store di "IDM", "Componenti aggiuntivi di integrazione IDM" o "Gestione download" produrrà risultati contenenti estensioni con centinaia di migliaia di installazioni di utenti e recensioni favorevoli che potrebbero sembrare promettenti.

Sebbene non tutte queste estensioni possano essere dannose, gli utenti dovrebbero prestare attenzione durante l'installazione di nuove estensioni di Chrome e verificare se si tratta di versioni ufficiali pubblicate da fornitori di software affidabili.

https://www.bleepingcomputer.com/news/security/fake-chrome-extension-internet-download-manager-has-200-000-installs/

Il browser interno di TikTok spia gli utenti

Angelo Domeneghini — Tue, 23 Aug 2022 13:29:00 GMT

Il browser interno di TikTok spia gli utenti

Secondo un esperto, l'app cinese traccia i dati tramite il proprio strumento di navigazione interno, ma il social network lo smentisce.

Il ricercatore di sicurezza informatica Felix Krause mette in guardia contro i browser Web incorporati in alcune app su iOS e Android. "Ciò comporta rischi per la sicurezza e la privacy degli utenti", avverte. L'esperto ha rivelato che TikTok inietta il codice JavaScript nel suo browser web domestico, che si avvia direttamente nell'app quando l'utente fa clic su un collegamento. Ciò consente al social network di tracciare i dati sensibili degli utenti, come le informazioni bancarie o le password, senza il loro consenso o quello dei siti consultati, spiega. Il ricercatore ha sviluppato lo strumento inappbrowser.com. Accessibile in libero accesso, dovrebbe consentire agli utenti di verificare personalmente le sue affermazioni.

Il social network, che appartiene al gruppo cinese ByteDance e ha appena lanciato un filtro che consente di generare immagini tramite un'IA, si difende da qualsiasi azione dannosa.

Secondo un portavoce della società tecnologica, il codice JavaScript viene iniettato nel browser interno di TikTok, ma non viene utilizzato per raccogliere la digitazione o l'input di testo. "Viene utilizzato solo per il debug, la risoluzione dei problemi e il monitoraggio delle prestazioni", afferma.

Non è la prima volta che Felix Krause lancia l'allarme.

Di recente ha puntato il dito contro le app di Meta, Instagram e Facebook, per gli stessi motivi.

https://www.20min.ch/fr/story/le-navigateur-interne-de-tiktok-espionnerait-les-utilisateurs-966231455403

Oltre 80.000 telecamere Hikvision esposte: sono sfruttabili online!

Angelo Domeneghini — Tue, 23 Aug 2022 13:19:00 GMT

Oltre 80.000 telecamere Hikvision esposte: sono sfruttabili online!

Telecamere Hikvision

I ricercatori di sicurezza hanno scoperto oltre 80.000 telecamere Hikvision vulnerabili a un difetto critico di iniezione di comandi che è facilmente sfruttabile tramite messaggi appositamente predisposti inviati al server web vulnerabile.

Il difetto è tracciato come CVE-2021-36260 ed è stato risolto da Hikvision tramite un aggiornamento del firmware a settembre 2021.

Tuttavia, secondo un whitepaper pubblicato da CYFIRMA, decine di migliaia di sistemi utilizzati da 2.300 organizzazioni in 100 paesi non hanno ancora applicato l'aggiornamento della sicurezza.

Ci sono stati due exploit pubblici noti per CVE-2021-36260, uno pubblicato nell'ottobre 2021 e il secondo nel febbraio 2022, quindi gli attori delle minacce di tutti i livelli possono cercare e sfruttare le telecamere vulnerabili.

Nel dicembre 2021, una botnet basata su Mirai chiamata "Moobot" ha utilizzato il particolare exploit per diffondersi in modo aggressivo e arruolare i sistemi in sciami DDoS (Distributed Denial of Service).

Nel gennaio 2022, la CISA ha avvisato che CVE-2021-36260 era tra i bug attivamente sfruttati nell'elenco allora pubblicato, avvertendo le organizzazioni che gli aggressori potevano "prendere il controllo" dei dispositivi e correggere immediatamente il difetto.

CYFIRMA afferma che i forum di hacking di lingua russa vendono spesso punti di ingresso alla rete basandosi su telecamere Hikvision sfruttabili che possono essere utilizzate sia per "botnetting" che per movimenti laterali.

Su un campione analizzato di 285.000 server Web Hikvision con connessione a Internet, l'azienda di sicurezza informatica ha rilevato che circa 80.000 sono ancora vulnerabili allo sfruttamento.

La maggior parte di questi si trova in Cina e negli Stati Uniti, mentre Vietnam, Regno Unito, Ucraina, Thailandia, Sud Africa, Francia, Paesi Bassi e Romania contano tutti oltre 2.000 endpoint vulnerabili.

Sebbene lo sfruttamento della falla non segua uno schema specifico in questo momento, dal momento che più attori di minacce sono coinvolti in questa impresa, CYFIRMA sottolinea i casi dei gruppi di hacking cinesi APT41 e APT10, nonché dei gruppi di minacce russi specializzati nello spionaggio informatico.

Un esempio che danno è una campagna di cyberspionaggio chiamata "think pocket", che ha preso di mira un popolare prodotto di connettività utilizzato in una serie di settori in tutto il mondo dall'agosto 2021.

"Da un'analogia con la gestione del paesaggio delle minacce esterne (ETLM), i criminali informatici di paesi che potrebbero non avere una relazione cordiale con altre nazioni potrebbero utilizzare i vulnerabili prodotti delle telecamere Hikvision per lanciare una guerra informatica motivata geopoliticamente", spiega CYFIRMA nel whitepaper.

Anche le password deboli sono un problema

Oltre alla vulnerabilità dell'iniezione dei comandi, c'è anche il problema delle password deboli che gli utenti impostano per comodità o che vengono fornite con il dispositivo per impostazione predefinita e non vengono ripristinate durante la prima configurazione.

Bleeping Computer ha individuato molteplici offerte di elenchi, alcuni anche gratuiti, contenenti credenziali per i feed video live delle telecamere Hikvision sui forum di hacking di Clearnet.

*Se utilizzi una telecamera Hikvision, dovresti dare la priorità all'installazione dell'ultimo aggiornamento del firmware disponibile, utilizzare una password complessa e isolare la rete IoT dalle risorse critiche utilizzando un firewall o una VLAN.*

https://www.bleepingcomputer.com/news/security/over-80-000-exploitable-hikvision-cameras-exposed-online/

Vulnerabilità legata all'escalation dei privilegi di Cisco Secure Web

Angelo Domeneghini — Mon, 22 Aug 2022 08:13:00 GMT

Vulnerabilità legata all'escalation dei privilegi di Cisco Secure Web Appliance

Una vulnerabilità nell'interfaccia di gestione Web di Cisco AsyncOS per Cisco Secure Web Appliance, in precedenza Cisco Web Security Appliance (WSA), potrebbe consentire a un utente malintenzionato autenticato in remoto di eseguire un'iniezione di comandi ed elevare i privilegi a root.

Questa vulnerabilità è dovuta a una convalida insufficiente dell'input fornito dall'utente per l'interfaccia Web. Un utente malintenzionato può sfruttare questa vulnerabilità autenticandosi nel sistema e inviando un pacchetto HTTP predisposto al dispositivo interessato. Un exploit riuscito potrebbe consentire all'attaccante di eseguire comandi arbitrari sul sistema operativo sottostante ed elevare i privilegi a root. Per sfruttare con successo questa vulnerabilità, un utente malintenzionato avrebbe bisogno almeno di credenziali di sola lettura.

Cisco ha rilasciato aggiornamenti software che risolvono questa vulnerabilità. Non esistono soluzioni alternative che risolvano questa vulnerabilità.

Questo avviso è disponibile al seguente link:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-prv-esc-8PdRU8t8

*Prodotti vulnerabili*

Questa vulnerabilità interessa Cisco AsyncOS per Cisco Secure Web Appliance, sia hardware che virtuale.

Cisco ha confermato che questa vulnerabilità non interessa i seguenti prodotti Cisco:

Email Security Appliance (ESA), sia hardware che virtuale

Secure Email e Web Manager, precedentemente Security Management Appliance (SMA), sia dispositivi virtuali che hardware

Soluzioni alternative

Non esistono soluzioni alternative che risolvano questa vulnerabilità.

Software fisso

Cisco ha rilasciato aggiornamenti software gratuiti che risolvono la vulnerabilità descritta in questo avviso. I clienti con contratti di servizio che danno loro diritto ad aggiornamenti software regolari dovrebbero ottenere correzioni di sicurezza attraverso i loro consueti canali di aggiornamento.

I clienti possono installare e richiedere supporto solo per le versioni software e i set di funzionalità per i quali hanno acquistato una licenza. Installando, scaricando, accedendo o utilizzando in altro modo tali aggiornamenti software, i clienti accettano di seguire i termini della licenza del software Cisco:

https://www.cisco.com/c/en/us/products/end-user-license-agreement.html

Inoltre, i clienti possono scaricare solo il software per il quale dispongono di una licenza valida, acquistato direttamente da Cisco o tramite un rivenditore o un partner autorizzato Cisco. Nella maggior parte dei casi si tratterà di un aggiornamento di manutenzione del software precedentemente acquistato. Gli aggiornamenti software di sicurezza gratuiti non danno diritto ai clienti a una nuova licenza software, set di funzionalità software aggiuntivi o aggiornamenti di revisione importanti.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-prv-esc-8PdRU8t8

WhatsApp ottiene un'app standalone su Windows

Angelo Domeneghini — Fri, 19 Aug 2022 12:46:00 GMT

WhatsApp ottiene un'app standalone su Windows

Il gruppo Meta ha aggiornato la sua app per la piattaforma di messaggistica istantanea per gli utenti del sistema operativo Microsoft.

L'app WhatsApp Desktop può essere utilizzata anche se lo smartphone principale è offline.

Nel Microsoft Store è apparso un aggiornamento dell'app WhatsApp per computer Windows.

Disponibile gratuitamente, questa app nativa, ovvero progettata e ottimizzata per uno specifico sistema operativo, sostituisce la precedente versione che si limitava a visualizzare la versione web del servizio di messaggistica istantanea, ovvero quella accessibile da browser web.

Se la sua interfaccia non è molto diversa dalla vecchia versione, la nuova app WhatsApp Desktop ora funziona in modo indipendente. Ciò significa che il servizio può essere utilizzato per ricevere, inviare e sincronizzare messaggi senza la necessità che lo smartphone principale dell'utente su cui è installato WhatsApp sia connesso a una rete mobile o wi-fi.

L'app, che richiede la scansione di un codice QR al primo avvio per associare un account WhatsApp, è compatibile da Windows 8. Una versione nativa dell'app per Mac è in fase di sviluppo, spiegano gli sviluppatori di WhatsApp in una pagina di aiuto . Il servizio è recentemente diventato compatibile con gli occhiali intelligenti di Meta e ha ampliato il suo elenco di reazioni emoji.

https://www.20min.ch/fr/story/whatsapp-se-dote-dune-app-autonome-sur-windows-533783874269

Realtà virtuale: Logitech a sua volta si tuffa nel metaverso

Angelo Domeneghini — Fri, 19 Aug 2022 12:39:00 GMT

Realtà virtuale: Logitech a sua volta si tuffa nel metaverso

Il produttore svizzero ha progettato altoparlanti per fornire un suono coinvolgente a coloro che indossano le cuffie Meta Quest 2 di Mark Zuckerberg.

La soluzione di ascolto Logitech Chorus è innestata sulle cuffie Quest 2 di Meta (ex Facebook).

Logitech fa un notevole ingresso negli accessori progettati per i dispositivi di realtà virtuale Meta (ex Facebook).

Il produttore di periferiche per computer ha presentato Chorus, "una soluzione audio integrata progettata da zero per il dispositivo Meta Quest 2", l'ex Oculus Quest 2 rilasciato due anni fa.

Compatibile con il cinturino originale o con i cinturini Elite di Meta, il dispositivo dal peso di 182 g è composto da due altoparlanti che scorrono su ciascun lato del casco e sono posizionati all'altezza delle orecchie di chi lo indossa. Sono girevoli e regolabili e il volume del suono è regolato dal casco. La soluzione Chorus è direttamente integrata con il dispositivo tramite una connessione USB-C, senza la necessità di una fonte di alimentazione separata.

Il prezzo è stato fissato a $ 99,99, con ulteriori dettagli di marketing non immediatamente divulgati. Il prezzo attuale della versione da 128 GB di un visore per realtà virtuale Meta Quest 2 è ancora di circa 450 franchi in Svizzera, due anni dopo la sua commercializzazione.

Il dispositivo, che quindi lascia entrare i suoni ambientali, tende a migliorare la qualità del suono proveniente dal casco per realtà virtuale del gruppo di Mark Zuckerberg.

Logitech promette un'acustica personalizzata che offre "i momenti più grandi e i dettagli più piccoli del metaverso". L'azienda si rivolge anche ai giocatori che si uniscono alla realtà virtuale, una clientela che sta già raggiungendo con gamme di cuffie audio specializzate.

https://www.20min.ch/fr/story/logitech-plonge-a-son-tour-dans-les-metavers-616144361372

Gli aggiornamenti di sicurezza di Apple risolvono 2 zero-day utilizzati per hackerare iPhone e Mac

Angelo Domeneghini — Fri, 19 Aug 2022 12:29:00 GMT

Gli aggiornamenti di sicurezza di Apple risolvono 2 zero-day utilizzati per hackerare iPhone e Mac

Apple ha rilasciato oggi aggiornamenti di sicurezza di emergenza per correggere due vulnerabilità zero-day precedentemente sfruttate dagli aggressori per hackerare iPhone, iPad o Mac.

Le vulnerabilità zero-day sono falle di sicurezza conosciute da attaccanti o ricercatori prima che il fornitore del software ne sia venuto a conoscenza o sia stato in grado di correggerle. In molti casi, gli zero-day hanno exploit pubblici di proof-of-concept o sono attivamente sfruttati negli attacchi.

Oggi, Apple ha rilasciato macOS Monterey 12.5.1 e iOS 15.6.1/iPadOS 15.6.1 per risolvere due vulnerabilità zero-day che si dice siano state sfruttate attivamente.

Le due vulnerabilità sono le stesse per tutti e tre i sistemi operativi, con il primo tracciato come CVE-2022-32894. Questa vulnerabilità è una vulnerabilità di scrittura fuori limite nel kernel del sistema operativo.

Il kernel è un programma che opera come componente principale di un sistema operativo e ha i privilegi più elevati in macOS, iPadOS e iOS.

Un'applicazione, come il malware, può utilizzare questa vulnerabilità per eseguire codice con privilegi del kernel. Poiché questo è il livello di privilegio più alto, un processo sarebbe in grado di eseguire qualsiasi comando sul dispositivo, assumendone effettivamente il controllo completo.

La seconda vulnerabilità zero-day è CVE-2022-32893 ed è una vulnerabilità di scrittura fuori limite in WebKit, il motore del browser Web utilizzato da Safari e altre app che possono accedere al Web.

Apple afferma che questo difetto consentirebbe a un utente malintenzionato di eseguire un codice arbitrario e, poiché è nel motore web, potrebbe essere probabilmente sfruttato da remoto visitando un sito Web dannoso.

I bug sono stati segnalati da ricercatori anonimi e corretti da Apple in iOS 15.6.1, iPadOS 15.6.1 e macOS Monterey 12.5.1 con limiti migliorati per il controllo di entrambi i bug.

**L'elenco dei dispositivi interessati da entrambe le vulnerabilità è:

Mac con macOS Monterey

iPhone 6s e successivi

iPad Pro (tutti i modelli), iPad Air 2 e successivi, iPad 5a generazione e successivi, iPad mini 4 e successivi e iPod touch (7a generazione).

Apple ha rivelato lo sfruttamento attivo in natura, tuttavia, non ha rilasciato alcuna informazione aggiuntiva su questi attacchi.

Probabilmente, questi zero-day sono stati utilizzati solo in attacchi mirati, ma è comunque fortemente consigliato installare gli aggiornamenti di sicurezza di oggi il prima possibile.

Sette giorni zero corretti da Apple quest'anno

A marzo, Apple ha corretto altri due bug zero-day utilizzati nel driver grafico Intel (CVE-2022-22674) e AppleAVD (CVE-2022-22675) che potevano essere utilizzati anche per eseguire codice con privilegi del kernel.

A gennaio, Apple ha corretto altri due zero-day sfruttati attivamente che hanno consentito agli aggressori di ottenere l'esecuzione di codice arbitrario con privilegi del kernel (CVE-2022-22587) e di tenere traccia dell'attività di navigazione sul Web e delle identità degli utenti in tempo reale (CVE-2022-22594 ).

A febbraio, Apple ha rilasciato aggiornamenti di sicurezza per correggere un nuovo bug zero-day sfruttato per hackerare iPhone, iPad e Mac, causando arresti anomali del sistema operativo ed esecuzione di codice in remoto su dispositivi compromessi dopo l'elaborazione di contenuti Web dannosi.

https://www.bleepingcomputer.com/news/security/apple-security-updates-fix-2-zero-days-used-to-hack-iphones-macs/

App malware Android con 2 milioni di installazioni trovate su Google Play

Angelo Domeneghini — Fri, 19 Aug 2022 12:22:00 GMT

App malware Android con 2 milioni di installazioni trovate su Google Play

Malware Android

Un nuovo lotto di trentacinque app Android malware che visualizzano pubblicità indesiderate è stato trovato sul Google Play Store, con le app installate oltre 2 milioni di volte sui dispositivi mobili delle vittime.

Le app sono state trovate dai ricercatori di sicurezza di Bitdefender, che hanno utilizzato un metodo di analisi del comportamento in tempo reale per scoprire le applicazioni potenzialmente dannose.

Seguendo le tattiche standard, le app attirano gli utenti a installarle fingendo di offrire alcune funzionalità specializzate, ma cambiano il loro nome e l'icona subito dopo l'installazione, rendendole difficili da trovare e disinstallare.

Da quel momento in poi, le app dannose iniziano a fornire pubblicità intrusive agli utenti abusando di WebView, generando impressioni fraudolente ed entrate pubblicitarie per i loro operatori.

Inoltre, poiché queste app utilizzano il proprio framework per caricare gli annunci, è probabile che sia possibile eliminare payload aggiuntivi su un dispositivo compromesso.

Come spiega Bitdefender nel rapporto, le app adware implementano più metodi per nascondersi su Android e persino ricevere aggiornamenti successivi per rendere più facile nascondersi sui dispositivi.

Dopo l'installazione, le app in genere assumono un'icona a forma di ingranaggio e si rinominano come "Impostazioni", per eludere il rilevamento e l'eliminazione.

Se l'utente fa clic sull'icona, l'app avvia l'app malware con una dimensione 0 da nascondere alla vista. Il malware avvia quindi il menu Impostazioni legittimo per indurre gli utenti a pensare di aver lanciato l'app corretta.

In alcuni casi, le app assumono l'aspetto di app di sistema Motorola, Oppo o Samsung.

Le app dannose presentano anche un pesante offuscamento del codice e crittografia per contrastare gli sforzi di reverse engineering, nascondendo il principale carico utile Java all'interno di due file DEX crittografati.

Un altro metodo per nascondere le app all'utente è escludersi dall'elenco "App recenti", quindi anche se vengono eseguite in background, l'esposizione dei processi attivi non li rivelerà.

Le 35 applicazioni Android dannose hanno un numero di download compreso tra 10.000 e 100.000, per un totale di oltre due milioni di download.

**I più popolari di questi, con 100k download ciascuno, sono i seguenti:

Walls light – Pacchetto sfondi (gb.packlivewalls.fournatewren)

Big Emoji – Tastiera 5.0 (gb.blindthirty.funkeyfour)

Grandi sfondi – Sfondi 3D 2.0 (gb.convenientsoftfiftyreal.threeborder)

Sfondi del motore (gb.helectronsoftforty.comlivefour)

Sfondi Stock (gb.fiftysubstantiated.wallsfour)

EffectMania – Editor di foto 2.0 (gb.actualfifty.sevenelegantvideo)

Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincengeight)

APK tastiera Emoji veloce (de.eightylamocenko.editioneights)

Crea adesivo per Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix)

Risolutore di matematica – Camera Helper 2.0 (gb.labcamerathirty.mathcamera)

Effetti Photopix – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo)

Tema principale – Tastiera colorata 2.0 (gb.theme.twentythreetheme)

Adesivo animato Master 1.0 (am.asm.master)

Suoni del sonno 1.0 (com.voice.sleep.sounds)

Personality Charging Show 1.0 (com.charger.show)

Fotocamera di distorsione dell'immagine

Localizzatore GPS (smart.ggps.lockakt)

Di quanto sopra, "Walls light - Wallpapers Pack", "Animated Sticker Master" e "GPS Location Finder" sono ancora disponibili sul Play Store durante la stesura di questo articolo.

Bleeping Computer ha contattato Google in merito e aggiorneremo questo post non appena riceveremo una risposta.

Il resto delle app elencate sono disponibili su più app store di terze parti come APKSOS, APKAIO, APKCombo, APKPure e APKsfull, ma i conteggi dei download presentati provengono dal loro tempo sul Play Store.

Detto questo, se hai installato una di queste app in passato, dovresti individuarle e rimuoverle immediatamente dal tuo dispositivo.

Poiché le app si mascherano da Impostazioni, in questo caso potrebbe essere utile eseguire uno strumento AV mobile per individuarle e rimuoverle.

https://www.bleepingcomputer.com/news/security/android-malware-apps-with-2-million-installs-found-on-google-play/

Google si infuria contro Apple che snobba il successore dell'MMS

Angelo Domeneghini — Thu, 11 Aug 2022 07:26:00 GMT

Google si infuria contro Apple che snobba il successore dell'MMS

Il proprietario del sistema operativo Android ha lanciato una nuova campagna per mobilitare l'opinione contro il produttore di iPhone che si aggrappa all'era degli SMS.

Lo standard RCS (Rich Communication Services) è attivo su oltre mezzo miliardo di dispositivi con sistema operativo Android.

I dirigenti di Google stanno iniziando a perdere la pazienza.

Apple non ha ancora adottato lo standard RCS (Rich Communication Services) su iPhone, che il proprietario del sistema operativo mobile Android definisce "lo standard del settore moderno" per la messaggistica.

Successore designato del duo SMS/MMS, è già supportato da molti operatori di telecomunicazioni, tra cui Swisscom, e produttori di smartphone come Samsung.

In un video promozionale, Google attacca direttamente il suo concorrente, che accusa di rovinare l'esperienza di molti utenti mobili.

"Apple crea problemi quando ci scambiamo messaggi di testo da iPhone e telefoni Android, ma non fa nulla per risolverli. Non si tratta del colore delle bolle. Sono le minuscole foto e i video, nessun sms tramite Wi-Fi, nessuna conferma di lettura e nessuna crittografia end-to-end".

https://www.20min.ch/fr/story/google-rage-contre-apple-qui-snobe-le-successeur-du-mms-691117792275

L'attacco di phishing abusa di Microsoft Azure, Google Sites per rubare criptovalute

Angelo Domeneghini — Thu, 11 Aug 2022 07:14:00 GMT

L'attacco di phishing abusa di Microsoft Azure, Google Sites per rubare criptovalute

Monete di criptovaluta che cadono

Una nuova campagna di phishing su larga scala rivolta agli utenti Coinbase, MetaMask, Kraken e Gemini sta abusando di Google Sites e dell'app Web Microsoft Azure per creare siti fraudolenti.

Queste pagine di phishing sono promosse tramite commenti pubblicati su siti legittimi da una rete di bot controllati dagli attori delle minacce. La pubblicazione di collegamenti a pagine di phishing su vari siti legittimi mira ad aumentare il traffico e il posizionamento del sito dannoso nei motori di ricerca.

Inoltre, poiché i siti di phishing sono ospitati nei servizi Microsoft e Google, non vengono segnalati da sistemi di moderatore automatizzati, consentendo ai messaggi promozionali di rimanere più a lungo nella sezione commenti.

La nuova campagna è stata individuata dagli analisti di Netskope, che hanno notato che questa tattica ha consentito ad alcuni dei siti fraudolenti di apparire come primo risultato nella Ricerca Google.

Ancora peggio, come mostrato di seguito, Google ha incluso anche le pagine di phishing come frammenti in primo piano, offrendo loro la massima esposizione possibile nei risultati di ricerca.

Google Sites è uno strumento gratuito per la creazione di pagine Web, parte della suite di servizi online di Google, che consente agli utenti di creare siti Web e ospitarli su Google Cloud o altri provider.

Allo stesso modo, Azure Web Apps di Microsoft è una piattaforma che aiuta gli utenti a creare, distribuire e gestire applicazioni Web e siti Web.

Entrambi i servizi sono considerati affidabili dagli strumenti di sicurezza Internet, offrono prezzi competitivi e alta disponibilità, quindi sono una buona opzione per la creazione di pagine di phishing.

I truffatori nella campagna vista da Netskope hanno creato siti che imitavano Metamask, Coinbase, Gemini e Kraken, prendendo di mira i portafogli delle persone e le loro risorse.

I siti sono solo pagine di destinazione e i loro visitatori vengono reindirizzati ai siti di phishing effettivi quando fanno clic sui pulsanti di "accesso".

Targeting di portafogli e servizi

La campagna di phishing sta attualmente tentando di rubare portafogli MetaMask e credenziali per scambi di criptovalute, come CoinBase, Kraken e Gemini.

Il sito di phishing MetaMask tenta di rubare la password dell'utente e la frase segreta di recupero del portafoglio (frase seme). Queste informazioni consentono all'attore della minaccia di importare il portafoglio sui propri dispositivi e di svuotarne il contenuto.

Per le pagine di phishing dello scambio di criptovalute, gli attori delle minacce tentano di rubare le loro credenziali di accesso.

In tutti e quattro i casi, gli utenti che inseriscono le proprie credenziali vengono reindirizzati a una pagina falsa 2FA (autenticazione a due fattori) che richiede alla vittima di fornire il proprio numero di telefono.

Dopo aver inserito il codice, i siti Web generano un falso errore relativo ad attività non autorizzate e problemi di autenticazione, spingendo la vittima a fare clic su un pulsante "Chiedi all'esperto".

Questo porta le vittime a una pagina di chat online in cui un truffatore che finge di essere un agente dell'assistenza clienti promette di risolvere il problema indirizzando la vittima a installare lo strumento di accesso remoto TeamViewer.

È probabile che l'accesso remoto consenta agli attori delle minacce di recuperare i codici di autenticazione a più fattori necessari per accedere agli scambi con le credenziali rubate.

Quando tenti di accedere a uno scambio di criptovalute, assicurati sempre di essere sul sito Web ufficiale della piattaforma e non su un clone.

Gli utenti di portafogli di criptovaluta installati localmente, come MetaMask, Phantom e TrustWallet, non dovrebbero mai condividere la loro frase di ripristino su nessun sito Web, indipendentemente dal motivo.

È anche importante ricordare che Google Ads può essere abusato e Google Search SEO può essere manipolato, quindi il ranking dei risultati non deve essere visto come una garanzia di sicurezza.

Infine, proteggi i tuoi conti di scambio di criptovaluta con MFA e mantieni la maggior parte dei tuoi investimenti in criptovalute su portafogli freddi che sono molto più difficili da hackerare.

https://www.bleepingcomputer.com/news/security/phishing-attack-abuses-microsoft-azure-google-sites-to-steal-crypto/

3DA_Doppia Autenticazione MAIL SERVER - Autenticazione a più fattori

Angelo Domeneghini — Wed, 10 Aug 2022 08:11:00 GMT

Qui in 3DA, diamo la massima importanza alla sicurezza ed alla privacy dei nostri clienti. Pertanto, desideriamo condividere alcune raccomandazioni che possono aiutarti a mantenere sicuro il tuo account e-mail.

L'Importanza della tua Password

Manteniamo i tuoi dati al sicuro, utilizzando misure di sicurezza informatica all'avanguardia. Tuttavia, altri servizi e siti web potrebbero non essere così attenti. È pratica comune per gli hacker cercare di utilizzare le password rubate da un sito web per accedere ad un altro sito web, poiché sanno che le persone spesso utilizzano la stessa password per diversi account.

Per salvaguardare il tuo account e la tua password, ecco alcune cose che puoi fare:

• Utilizza una password diversa per ogni servizio in modo che, anche se una delle tue password viene rubata, tutti gli altri account saranno comunque al sicuro.

• Utilizza una password forte, una che sarebbe molto difficile da indovinare. Consigliamo di utilizzare una password di almeno 8 caratteri, contenente almeno uno dei seguenti elementi: una lettera maiuscola, una lettera minuscola, una cifra e un carattere speciale

(!, ?, @ etc.).

• Cambia frequentemente la tua password.

Autenticazione a due fattori

L'autenticazione a due fattori (2FA) è un modo semplice per proteggere il tuo account. Con la 2FA, chiunque voglia accedere al tuo account necessita sia i tuoi dati di accesso che il tuo dispositivo mobile.

Per proteggere il tuo account, dovresti:

• Abilitare la 2FA nel tuo account

durante l’ accesso alla WebMail.

Il codice (TOTP) viene generato utilizzando “Google Authenticator”, "AuthPoint WatchGuard", ...

Che produrrà chiavi di sicurezza ogni 30 secondi

http://mail.3da.it

Dracarys: ecco dove si nasconde il malware Android

Angelo Domeneghini — Wed, 10 Aug 2022 08:04:00 GMT

Documenti XPS: problemi per Windows 11 (e W10)

Angelo Domeneghini — Wed, 10 Aug 2022 07:57:00 GMT

Microsoft è a conoscenza di un problema in Windows 11 e Windows 10 che impedisce l'apertura dei documenti XPS (XML Paper Specification).

Arriva direttamente dal gruppo di Redmond l’avviso relativo a un bug che impedisce la corretta apertura e consultazione dei documenti XPS (XML Paper Specification). Si verifica sui PC con sistema operativo Windows 11 o Windows 10.

Microsoft avvisa: problemi con i file XPS su Windows

Il problema si manifesta sulle macchine che hanno installato l’aggiornamento KB5014666 rilasciato a fine giugno (o una delle versioni successive), lo stesso che per qualcuno ha creato qualche grattacapo nell’utilizzo delle stampanti connesse tramite porta USB. Riportiamo di seguito in forma tradotta quanto si legge sulle pagine del supporto ufficiale.

Dopo aver installato KB5014666 o aggiornamenti successivi, XPS Viewer potrebbe non essere in grado di aprire i documenti XPS in alcune lingue diverse dall’inglese. Questo problema afflicce sia i file XPS (XML Paper Specification) sia quelli OXPS (Open XML Paper Specification). Quando si verifica, potrebbe comparire l’errore "Questa pagina non può essere visualizzata" all’interno di XPS Viewer o potrebbe smettere di rispondere in concomitanza a un utilizzo in continuo aumento della CPU e della memoria. Se il processo non viene chiuso, può arrivare a occupare 2,5 GB di memoria prima di interrompersi.

A coloro che si trovano loro malgrado a dover fare i conti con il bug in questione non rimane che armarsi di pazienza e attendere il rilascio di una patch correttiva. Microsoft afferma di essere al lavoro per identificarne la causa precisa e porvi rimedio nel minor tempo possibile. Sfortunatamente, al momento non sembrano essere disponibili workaround efficaci.

https://docs.microsoft.com/en-us/windows/release-health/status-windows-10-21h2#2878msgdesc

Nuove funzionalità per la privacy in arrivo su WhatsApp

Angelo Domeneghini — Tue, 09 Aug 2022 16:01:00 GMT

Nuove funzionalità per la privacy in arrivo su WhatsApp.

Meta rafforza la privacy su Whatsapp.

È stato lo stesso Mark Zuckerberg ad annunciarlo con un post su Facebook.

In particolare, ci saranno tre nuove funzioni per tutelare la riservatezza degli utenti, con l’obiettivo di offrire un maggiore controllo sulle conversazioni e ulteriori livelli di protezione mentre si inviano e ricevono messaggi sulla piattaforma social.

I vantaggi introdotti con le nuove funzionalità

Si potrà per esempio “uscire dalle chat di gruppo senza avvisare tutti i partecipanti, decidere chi può vedere quando si è online e impedire gli screenshot dei messaggi visualizzabili una sola volta” ha spiegato Zuckerberg. In questo modo gli utenti avranno la possibilità di consentire solo a determinati contatti – o a nessuno – di vedere quando sono attivi sulla piattaforma, allineando le opzioni di stato online con le impostazioni di ‘ultimo accesso’.

“Continueremo a creare nuovi modi per proteggere i vostri messaggi e mantenerli privati e sicuri come nelle conversazioni di persona”, ha aggiunto il numero uno di Meta.

Il responsabile di Prodotto Ami Vora ha aggiunto che la piattaforma è focalizzata sulla “costruzione di funzionalità del prodotto che consentano alle persone di avere maggiore controllo e privacy sui propri messaggi”, ribadendo che “riteniamo che WhatsApp sia il luogo più sicuro per avere una conversazione privata.

Nessun altro servizio di messaggistica globale di questa portata fornisce questo livello di sicurezza per i messaggi, i media, i messaggi vocali, le videochiamate e i backup delle chat dei propri utenti”.

https://www.facebook.com/zuck/posts/pfbid0SpGLGuycAAic9icVxdq2XND7nupqRG1k2DUjkuu7vj1sXBEyXJwzoH6RTMWN7t9sl

Snapchat, siti Amex abusati da attacchi di phishing di Microsoft 365

Angelo Domeneghini — Tue, 09 Aug 2022 06:37:00 GMT

Snapchat, siti Amex abusati da attacchi di phishing di Microsoft 365

Attacco di phishing

Gli aggressori hanno abusato dei reindirizzamenti aperti sui siti Web di Snapchat e American Express in una serie di attacchi di phishing per rubare le credenziali di Microsoft 365.

I reindirizzamenti aperti sono punti deboli delle app Web che consentono agli attori delle minacce di utilizzare i domini di organizzazioni e siti Web affidabili come pagine di destinazione temporanee per semplificare gli attacchi di phishing.

Vengono utilizzati negli attacchi per reindirizzare gli obiettivi a siti dannosi che li infetteranno con malware o li indurranno a consegnare informazioni riservate (ad es. credenziali, informazioni finanziarie, informazioni personali).

"Poiché il primo nome di dominio nel collegamento manipolato è in realtà quello del sito originale, il collegamento potrebbe sembrare sicuro per l'osservatore occasionale", ha spiegato la società di sicurezza della posta elettronica Inky, che ha osservato gli attacchi.

"Il dominio attendibile (ad es. American Express, Snapchat) funge da pagina di destinazione temporanea prima che il navigatore venga reindirizzato a un sito dannoso."

Secondo i ricercatori di Inky, il reindirizzamento aperto di Snapchat è stato utilizzato in 6.812 e-mail di phishing inviate da Google Workspace e Microsoft 365 è stato dirottato in due mesi e mezzo.

Queste e-mail hanno impersonato Microsoft, DocuSign e FedEx e hanno reindirizzato i destinatari a pagine di destinazione progettate per raccogliere le credenziali Microsoft.

Sebbene la vulnerabilità di Snapchat sia stata segnalata all'azienda tramite la piattaforma Open Bug Bounty un anno fa, il 4 agosto 2021, il reindirizzamento aperto deve ancora essere corretto.

D'altra parte, il reindirizzamento aperto di American Express è stato rapidamente corretto dopo essere stato sfruttato per un paio di giorni a fine luglio. I nuovi tentativi di abusarne ora finiscono su un errore di American Express page.

Prima di essere affrontato, il reindirizzamento aperto Amex è stato utilizzato in 2.029 e-mail di phishing utilizzando esche Microsoft Office 365, inviate da domini registrati di recente e progettato per incanalare potenziali vittime verso siti di raccolta delle credenziali Microsoft.

"In entrambi gli exploit Snapchat e American Express, i cappelli neri hanno inserito informazioni di identificazione personale (PII) nell'URL in modo che le pagine di destinazione dannose potessero essere personalizzate al volo per le singole vittime", ha spiegato Inky.

"E in entrambi, questo inserimento è stato mascherato convertendolo in Base 64 per farlo sembrare un gruppo di personaggi casuali".

Per difendersi da tali attacchi, Inky ha consigliato ai destinatari delle e-mail di verificare la presenza di stringhe "url="", "redirect=", "external-link" o "proxy" o più occorrenze di "HTTP" negli URL incorporati nelle e-mail che potrebbero mostrare un'indicazione di reindirizzamento.

Si consiglia inoltre ai proprietari di siti Web di implementare dichiarazioni di non responsabilità sul reindirizzamento esterno che richiedono agli utenti di fare clic prima di essere reindirizzati a siti esterni.

https://www.bleepingcomputer.com/news/security/snapchat-amex-sites-abused-in-microsoft-365-phishing-attacks/

I dispositivi Windows con le CPU più recenti sono soggetti a danni ai dati

Angelo Domeneghini — Tue, 09 Aug 2022 06:29:00 GMT

I dispositivi Windows con le CPU più recenti sono soggetti a danni ai dati

Microsoft ha avvertito oggi che i dispositivi Windows con i più recenti processori supportati sono soggetti a "danni ai dati" su Windows 11 e Windows Server 2022.

"I dispositivi Windows che supportano il più recente set di istruzioni Vector Advanced Encryption Standard (AES) (VAES) potrebbero essere soggetti a danni ai dati", ha rivelato oggi la società.

I dispositivi interessati da questo problema noto di recente riconoscimento utilizzano le modalità di cifratura a blocchi AES-XTS (modalità tweaked-codebook basata su AES XEX con furto di testo cifrato) o AES-GCM (AES con Galois/Modalità contatore) sul nuovo hardware.

Sebbene Microsoft menzioni i rischi di perdita di dati sui sistemi interessati, l'azienda non elabora ciò che i clienti dovrebbero aspettarsi se vengono colpiti da questo problema.

Problema risolto negli aggiornamenti di Windows di maggio e giugno

Microsoft afferma che il problema è stato risolto per prevenire ulteriori danni ai dati nelle versioni di anteprima e di sicurezza rilasciate rispettivamente il 24 maggio e il 14 giugno.

Tuttavia, questi aggiornamenti di Windows comportano anche un calo delle prestazioni poiché le operazioni basate su AES potrebbero essere due volte (2 volte) più lente dopo averle installate sui sistemi interessati che eseguono Windows Server 2022 e Windows 11 (versione originale).

Gli scenari interessati dal calo delle prestazioni potrebbero includere BitLocker, Transport Layer Security (TLS) (in particolare i servizi di bilanciamento del carico) e la velocità effettiva del disco (in particolare per i clienti aziendali).

"Abbiamo aggiunto nuovi percorsi di codice alle versioni Windows 11 (versione originale) e Windows Server 2022 di SymCrypt per sfruttare le istruzioni VAES (AES vettoriali)", ha affermato Microsoft descrivendo la causa del problema.

"SymCrypt è la libreria crittografica principale in Windows. Queste istruzioni agiscono sui registri AVX (Advanced Vector Extensions) per hardware con i più recenti processori supportati."

Soluzione alternativa per il successo delle prestazioni

Si consiglia ai clienti che riscontrano un calo delle prestazioni di installare l'aggiornamento di anteprima del 23 giugno (Windows 11, Windows Server 2022) o l'aggiornamento della sicurezza del 12 luglio (Windows 11, Windows Server 2022) per la loro versione del sistema operativo come soluzione alternativa.

Microsoft afferma che questi aggiornamenti di Windows ripristineranno le metriche delle prestazioni iniziali una volta installati sui dispositivi interessati.

"Se questo ti riguarda, ti invitiamo vivamente a installare la versione di anteprima del 24 maggio 2022 o la versione di sicurezza del 14 giugno 2022, il prima possibile, per prevenire ulteriori danni", ha aggiunto Microsoft.

"Le prestazioni verranno ripristinate dopo l'installazione della versione di anteprima del 23 giugno 2022 o della versione di sicurezza del 12 luglio 2022."

https://www.bleepingcomputer.com/news/microsoft/windows-devices-with-newest-cpus-are-susceptible-to-data-damage/

Il nuovo ransomware GwisinLocker crittografa i server ESXi Windows e Linux

Angelo Domeneghini — Mon, 08 Aug 2022 09:07:00 GMT

Il nuovo ransomware GwisinLocker crittografa i server ESXi Windows e Linux

Una nuova famiglia di ransomware chiamata "GwisinLocker" prende di mira le aziende sanitarie, industriali e farmaceutiche sudcoreane con crittografia Windows e Linux, incluso il supporto per la crittografia di server VMware ESXi e macchine virtuali.

Il nuovo malware è il prodotto di un attore di minacce meno noto soprannominato Gwisin, che in coreano significa "fantasma". L'attore è di origine sconosciuta ma sembra avere una buona conoscenza della lingua coreana.

Inoltre, gli attacchi hanno coinciso con i giorni festivi coreani e si sono verificati durante le prime ore del mattino, quindi Gwisin ha una buona conoscenza della cultura e delle routine commerciali del paese.

I rapporti su Gwisin e le sue attività sono apparsi per la prima volta sui media sudcoreani alla fine del mese scorso, quando l'attore della minaccia ha compromesso le grandi aziende farmaceutiche del paese.

Mercoledì, gli esperti coreani di sicurezza informatica di Ahnlab hanno pubblicato un rapporto sul crittografo di Windows e ieri i ricercatori di sicurezza di ReversingLabs hanno pubblicato la loro analisi tecnica della versione Linux.

Quando GwisinLocker crittografa i dispositivi Windows, l'infezione inizia con l'esecuzione di un file di installazione MSI, che richiede speciali argomenti della riga di comando per caricare correttamente la DLL incorporata che funge da crittografa del ransomware.

La richiesta di argomenti della riga di comando rende più difficile per i ricercatori di sicurezza analizzare il ransomware.

Quando vengono forniti gli argomenti della riga di comando appropriati, l'MSI decrittograferà e inietterà la sua DLL interna (ransomware) in un processo di Windows per eludere il rilevamento AV, che è diverso per ciascuna azienda.

La configurazione a volte include un argomento che imposta il ransomware per funzionare in modalità provvisoria. In questi casi, si copia in una sottocartella ProgramData, si registra come servizio e quindi forza un riavvio in modalità provvisoria.

Per la versione Linux analizzata da ReversingLabs, il codificatore si concentra fortemente sulla crittografia delle macchine virtuali VMware ESXi, inclusi due argomenti della riga di comando che controllano il modo in cui il codificatore Linux crittograferà le macchine virtuali.

Gli argomenti della riga di comando per il crittografo GwisinLocker Linxu sono elencati di seguito:

Utilizzo: utilizzo

-h, --help mostra questo messaggio di aiuto ed esce

Opzioni

-p, --vp= Elenco separato da virgole di percorsi da crittografare

-m, --vm= Uccide i processi VM se 1; Arresta servizi e processi se 2

-s, --vs= Secondi di sospensione prima dell'esecuzione

-z, --sf= Salta la crittografia dei file relativi a ESXi (quelli esclusi dalla configurazione)

-d, --sd= Cancellazione automatica dopo il completamento

-y, --pd= Scrive il testo specificato in un file con lo stesso nome

-t, --tb= Entra nel ciclo se l'ora Unix è

Questi argomenti includono il flag --vm, che eseguirà i seguenti comandi per enumerare le macchine virtuali ESXi e spegnerle.

esxcli --formatter=csv --format-param=fields=="DisplayName, WorldID" elenco dei processi vm

esxcli vm process kill --type=force --world-id="[ESXi] Chiusura - %s"

Per evitare di rendere inutilizzabile il server Linux, GwisinLocker escluderà dalla crittografia le seguenti directory.

A meno che non venga utilizzato l'argomento della riga di comando --sf, il ransomware Linux escluderà anche file specifici relativi a VMware ESXi (state.tgz, useropts.gz, jumpstrt.gz, ecc.) per evitare che il server diventi non avviabile.

Infine, il ransomware termina diversi demoni Linux prima di avviare la crittografia per rendere i loro dati disponibili per il processo di blocco.

Durante la crittografia dei file, il dispositivo di crittografia utilizza la crittografia a chiave simmetrica AES con hash SHA256.

Personalizzato per ogni vittima

Indipendentemente dal sistema operativo preso di mira nell'attacco, tutti i crittografi sono personalizzati per includere il nome dell'azienda nella richiesta di riscatto e per utilizzare un'estensione univoca per i nomi dei file crittografati.

Per una vittima conosciuta da BleepingComputer, gli attori delle minacce hanno personalizzato pesantemente la richiesta di riscatto per includere i dati specifici che sono stati rubati durante l'attacco, che abbiamo oscurato nella nota di seguito.

Le richieste di riscatto si chiamano '!!!_HOW_TO_UNLOCK_[company_name]_FILES_!!!.TXT' e sono scritte in inglese, con alcune avvertenze alla vittima di non contattare le forze dell'ordine sudcoreane o KISA (Korea Internet and Security Agency).

Invece, alle vittime viene detto di visitare un indirizzo onion utilizzando il browser Tor, accedere con le credenziali fornite e seguire le istruzioni sul pagamento di un riscatto e sul ripristino dei file.

Mentre AhnLab e ReversingLabs hanno notato che GwisinLocker prende di mira principalmente le aziende industriali e farmaceutiche sudcoreane, BleepingComputer è a conoscenza di una clinica sanitaria che è stata anche presa di mira.

https://www.bleepingcomputer.com/news/security/new-gwisinlocker-ransomware-encrypts-windows-and-linux-esxi-servers/

Gli hacker stanno sfruttando attivamente il difetto di furto di password in Zimbra

Angelo Domeneghini — Mon, 08 Aug 2022 09:02:00 GMT

Gli hacker stanno sfruttando attivamente il difetto di furto di password in Zimbra

Gli hacker rubano le password

La Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto il difetto Zimbra CVE-2022-27824 al suo "Catalogo delle vulnerabilità sfruttate", indicando che viene attivamente sfruttato negli attacchi degli hacker.

Questa vulnerabilità ad alta gravità consente a un utente malintenzionato non autenticato di rubare le credenziali dell'account e-mail in formato non crittografato dalle istanze di Zimbra Collaboration senza l'interazione dell'utente.

In breve, un hacker può eseguire l'avvelenamento da Memcache tramite l'iniezione di CRLF e indurre il software a inoltrare tutto il traffico IMAP all'attaccante quando gli utenti legittimi tentano di accedere.

I ricercatori di SonarSource hanno scoperto il difetto l'11 marzo 2022 e il fornitore del software ha rilasciato una correzione che risolveva i problemi il 10 maggio 2022, con le versioni ZCS 9.0.0 Patch 24.1 e ZCS 8.8.15 Patch 31.1.

Il rapporto tecnico che ha accompagnato la divulgazione di SonarSource era piuttosto completo e, poiché è stato pubblicato più di un mese dopo la messa a disposizione delle correzioni, offre agli hacker molti suggerimenti su come sfruttare il difetto.

Tuttavia, come risulta evidente dall'ultima aggiunta al catalogo di CISA, non tutti gli amministratori hanno applicato gli aggiornamenti di sicurezza disponibili da quasi tre mesi.

Data questa opportunità, gli hacker ora tentano di individuare e attaccare le istanze vulnerabili. La sottrazione delle credenziali dell'account Zimbra consente loro di accedere al server di posta elettronica, aprendo la strada agli attacchi di spear-phishing, ingegneria sociale e BEC (business email compromise).

Secondo il fornitore del software, Zimbra Collaboration è utilizzato da oltre 200.000 aziende e 1.000 entità statali e organizzazioni critiche in 140 paesi, inclusi gli Stati Uniti.

L'aggiunta di CVE-2022-27824 da parte della CISA al catalogo dei difetti attivamente sfruttati introduce l'obbligo per tutte le agenzie federali degli Stati Uniti di applicare gli aggiornamenti di sicurezza disponibili fino al 25 agosto 2022, che è la scadenza fissata per questo caso.

Naturalmente, le agenzie e le organizzazioni non federali che utilizzano Zimbra Collaboration e non hanno ancora aggiornato i loro prodotti dovrebbero farlo immediatamente, poiché gli attacchi degli hacker contro le istanze vulnerabili sono già in corso.

https://www.bleepingcomputer.com/news/security/hackers-are-actively-exploiting-password-stealing-flaw-in-zimbra/

Twitter conferma lo zero-day utilizzato per esporre i dati di 5,4 milioni di account

Angelo Domeneghini — Mon, 08 Aug 2022 08:54:00 GMT

Twitter ha confermato che una recente violazione dei dati è stata causata da una vulnerabilità zero-day ora patchata utilizzata per collegare indirizzi e-mail e numeri di telefono agli account degli utenti, consentendo a un attore di minacce di compilare un elenco di 5,4 milioni di profili di account utente.

Questa vulnerabilità ha consentito a chiunque di inviare un indirizzo e-mail o un numero di telefono, verificare se era associato a un account Twitter e recuperare l'ID account associato. L'attore della minaccia ha quindi utilizzato questo ID per acquisire le informazioni pubbliche per l'account.

Ciò ha consentito all'autore della minaccia di creare profili di 5,4 milioni di utenti Twitter nel dicembre 2021, inclusi un numero di telefono o un indirizzo e-mail verificato, e di raccogliere informazioni pubbliche, come il conteggio dei follower, il nome visualizzato, il nome di accesso, la posizione, l'URL dell'immagine del profilo e altro informazione.

A quel tempo, l'attore della minaccia vendeva i dati per $ 30.000 e aveva detto a BleepingComputer che c'erano acquirenti interessati.

BleepingComputer in seguito ha appreso che due diversi attori di minacce hanno acquistato i dati a un prezzo inferiore al prezzo di vendita originale e che i dati sarebbero probabilmente stati rilasciati gratuitamente in futuro.

Twitter conferma lo zero-day utilizzato per raccogliere dati

Oggi, Twitter ha confermato che la vulnerabilità utilizzata dall'attore delle minacce a dicembre è la stessa segnalata e risolta da loro nel gennaio 2022 come parte del loro programma di ricompense di bug HackerOne.,

"Nel gennaio 2022, abbiamo ricevuto una segnalazione tramite il nostro programma di ricompense dei bug di una vulnerabilità che consentiva a qualcuno di identificare l'e-mail o il numero di telefono associato a un account o, se conosceva l'e-mail o il numero di telefono di una persona, poteva identificare il proprio account Twitter, se ne esistesse uno", ha rivelato oggi Twitter in un avviso di sicurezza.

"Questo bug è il risultato di un aggiornamento del nostro codice nel giugno 2021. Quando lo abbiamo appreso, lo abbiamo immediatamente esaminato e risolto. A quel tempo, non avevamo prove che suggerissero che qualcuno avesse approfittato della vulnerabilità".

Come parte della divulgazione di oggi, Twitter ha dichiarato a BleepingComputer di aver già iniziato a inviare notifiche questa mattina per avvisare gli utenti interessati se la violazione dei dati ha esposto il loro numero di telefono o indirizzo e-mail.

Al momento, Twitter ci dice che non è in grado di determinare il numero esatto di persone interessate dalla violazione. Tuttavia, l'attore della minaccia afferma di aver utilizzato il difetto per raccogliere i dati di 5.485.636 utenti di Twitter.

Sebbene nessuna password sia stata esposta in questa violazione, Twitter sta incoraggiando gli utenti ad abilitare l'autenticazione a 2 fattori sui propri account per prevenire accessi non autorizzati come misura di sicurezza.

Per coloro che utilizzano un account Twitter pseudonimo, la società di social media suggerisce di mantenere la propria identità il più anonima possibile non utilizzando un numero di telefono o un indirizzo e-mail pubblicamente noto sul proprio account Twitter.

"Stiamo pubblicando questo aggiornamento perché non siamo in grado di confermare tutti gli account potenzialmente interessati e siamo particolarmente attenti alle persone con account pseudonimi che possono essere presi di mira dallo stato o da altri attori", ha avvertito l'avviso di Twitter.

Inoltre, poiché due diversi attori delle minacce hanno già acquistato questi dati, gli utenti dovrebbero essere alla ricerca di campagne mirate di spear-phishing che utilizzano questi dati per rubare le credenziali di accesso a Twitter.

https://www.bleepingcomputer.com/news/security/twitter-confirms-zero-day-used-to-expose-data-of-54-million-accounts/

Facebook trova nuovo malware Android utilizzato dagli hacker APT

Angelo Domeneghini — Mon, 08 Aug 2022 08:48:00 GMT

Facebook trova nuovo malware Android utilizzato dagli hacker APT

Qualcuno che spia con gli occhi di Facebook

Meta (Facebook) ha pubblicato il suo rapporto sulle minacce contraddittorio del secondo trimestre 2022 e tra i punti salienti c'è la scoperta di due cluster di spionaggio informatico collegati a gruppi di hacker noti come "Bitter APT" e APT36 (aka "Transparent Tribe") che utilizzano il nuovo malware Android.

Questi agenti di spionaggio informatico utilizzano piattaforme di social media come Facebook per raccogliere informazioni (OSINT) o per fare amicizia con le vittime utilizzando personaggi falsi e quindi trascinarle su piattaforme esterne per scaricare malware.

Sia APT36 che Bitter APT sono stati osservati mentre organizzavano campagne di cyber-spionaggio all'inizio di quest'anno, quindi il rapporto di Facebook dà una nuova dimensione alle loro recenti attività.

L'attore sponsorizzato dallo stato allineato al Pakistan APT36 è stato recentemente smascherato in una campagna contro il governo indiano utilizzando strumenti per aggirare l'AMF.

Nel maggio 2022 è stato osservato anche il Bitter APT, che ha preso di mira il governo del Bangladesh con un nuovo malware dotato di funzionalità di esecuzione di file in remoto.

Il rapporto di Meta spiega che Bitter APT si è impegnato nell'ingegneria sociale contro obiettivi in Nuova Zelanda, India, Pakistan e Regno Unito, utilizzando lunghe interazioni e investendo tempo e sforzi significativi.

L'obiettivo del gruppo era infettare i suoi obiettivi con malware e, a tale scopo, ha utilizzato una combinazione di servizi di accorciamento degli URL, siti compromessi e provider di file hosting di terze parti.

"Questo gruppo ha risposto in modo aggressivo al nostro rilevamento e blocco della sua attività e dell'infrastruttura del dominio", commenta Meta nel rapporto.

"Ad esempio, Bitter tenterebbe di pubblicare collegamenti interrotti o immagini di collegamenti dannosi in modo che le persone debbano digitarli nel proprio browser anziché fare clic su di essi, il tutto nel tentativo di eludere l'applicazione senza successo".

I recenti attacchi di Bitter hanno anche rivelato aggiunte nell'arsenale dell'attore delle minacce sotto forma di due app mobili, rivolte rispettivamente agli utenti iOS e Android.

La versione iOS era un'app di chat fornita tramite il servizio Testflight di Apple, uno spazio di test per gli sviluppatori di app. In genere, gli attori delle minacce convincono le vittime a scaricare queste app di chat presentandole come "più sicure" o "più sicure".

L'app Android scoperta da Facebook è un nuovo malware che Meta ha chiamato "Dracarys", che abusa dei servizi di accessibilità per concedersi maggiori autorizzazioni senza il consenso dell'utente.

Da lì, si inietterebbe in varie app Android per fungere da spyware, rubare messaggi di testo, installare app e registrare audio.

"Bitter ha iniettato Dracarys in versioni trojanizzate (non ufficiali) di YouTube, Signal, Telegram, WhatsApp e applicazioni di chat personalizzate in grado di accedere a registri delle chiamate, contatti, file, messaggi di testo, geolocalizzazione, informazioni sul dispositivo, scattare foto, abilitare il microfono e installazione di app", ha spiegato il rapporto di Meta.

Meta sottolinea che Dracarys passa inosservato su tutti i motori antivirus esistenti, evidenziando le capacità di Bitter di creare malware personalizzato furtivo.

APT36 è un attore di minacce molto meno sofisticato, ma comunque una potente minaccia che si basa su intricate tattiche di ingegneria sociale e malware prontamente disponibile.

L'ultima attività scoperta da Meta ha preso di mira persone in Afghanistan, India, Pakistan, Emirati Arabi Uniti e Arabia Saudita, concentrandosi in particolare su funzionari militari e attivisti per i diritti umani.

I membri di APT36 hanno creato account su Facebook fingendosi reclutatori per aziende contraffatte o fittizie e hanno utilizzato il servizio di condivisione file WeTransfer per inviare presunte offerte di lavoro ai loro obiettivi.

I file scaricati contenevano una versione modificata di XploitSPY, che Meta ha chiamato "LazaSpy". Le modifiche apportate dall'attore includono un'implementazione fallita di un meccanismo di targeting georeferenziato.

Oltre a LazaSpy, APT36 ha utilizzato anche Mobzsar, un malware di base che consente agli operatori di accedere a registri delle chiamate, elenchi di contatti, SMS, dati GPS, foto e microfono.

https://www.bleepingcomputer.com/news/security/facebook-finds-new-android-malware-used-by-apt-hackers/

La vulnerabilità critica di RCE interessa 29 modelli di router DrayTek

Angelo Domeneghini — Fri, 05 Aug 2022 09:49:00 GMT

*aggiornate subito i vostri router DrayTek*

La vulnerabilità critica di RCE interessa 29 modelli di router DrayTek

I ricercatori di Trellix hanno scoperto una vulnerabilità critica di esecuzione di codice remoto (RCE) non autenticata che ha un impatto su 29 modelli della serie di router aziendali DrayTek Vigor.

La vulnerabilità viene rilevata come CVE-2022-32548 e presenta un punteggio di gravità CVSS v3 massimo di 10,0, classificandola come critica.

L'attaccante non ha bisogno di credenziali o dell'interazione dell'utente per sfruttare la vulnerabilità, con la configurazione predefinita del dispositivo che rende l'attacco fattibile tramite Internet e LAN.

Gli hacker che sfruttano questa vulnerabilità potrebbero potenzialmente eseguire le seguenti azioni:

acquisizione completa del dispositivo,

accesso alle informazioni,

gettando le basi per attacchi furtivi man-in-the-middle,

modifica delle impostazioni DNS,

utilizzando i router come DDoS o bot cryptominer,

o passando a dispositivi connessi alla rete violata.

Impatto diffuso

I dispositivi DrayTek Vigor sono diventati molto popolari durante la pandemia cavalcando l'onda del "lavoro da casa". Sono ottimi prodotti economici per l'accesso VPN alle reti di piccole e medie imprese.

Una ricerca Shodan ha restituito oltre 700.000 dispositivi online, la maggior parte situati nel Regno Unito, Vietnam, Paesi Bassi e Australia.

Trellix ha deciso di valutare la sicurezza di uno dei modelli di punta di DrayTek a causa della sua popolarità e ha scoperto che l'interfaccia di gestione web soffre di un problema di overflow del buffer nella pagina di accesso.

Utilizzando una coppia di credenziali appositamente predisposta come stringhe codificate in base64 nei campi di accesso, è possibile attivare il difetto e assumere il controllo del sistema operativo del dispositivo.

I ricercatori hanno scoperto che almeno 200.000 dei router rilevati espongono il servizio vulnerabile su Internet e quindi sono prontamente sfruttabili senza l'interazione dell'utente o altri prerequisiti speciali.

Dei restanti 500.000, si ritiene che molti siano sfruttabili anche utilizzando attacchi con un clic, ma solo tramite LAN, quindi la superficie di attacco è più piccola.

I modelli vulnerabili sono i seguenti:

Vigore3910

Vigore1000B

Vigor2962 Serie

Vigor2927 Serie

Serie Vigor2927 LTE

Serie Vigor2915

Vigor2952 / 2952P

Serie Vigor3220

Vigor2926 Serie

Serie Vigor2926 LTE

Vigor2862 Serie

Serie Vigor2862 LTE

Serie Vigor2620 LTE

VigorLTE 200n

Vigor2133 Serie

Vigor2762 Serie

Vigore167

Vigore130

VigorNIC 132

Vigore165

Vigore166

Serie Vigor2135

Vigor2765 Serie

Vigor2766 Serie

Vigore2832

Vigor2865 Serie

Serie Vigor2865 LTE

Vigor2866 Serie

Serie Vigor2866 LTE

DreyTek ha rilasciato rapidamente aggiornamenti di sicurezza per tutti i modelli sopra menzionati, quindi vai al centro di aggiornamento del firmware del fornitore e individua la versione più recente per il tuo modello.

https://www.draytek.com/support/latest-firmwares/

Per informazioni sull'esecuzione dell'aggiornamento del firmware sul router, consulta questa guida di DreyTek.

https://draytek.co.uk/support/guides/kb-firmwareupgrade-webui

Non ci sono stati segni di CVE-2022-32548, ma come riportato di recente dalla CISA, i router SOHO sono sempre nel mirino degli APT sponsorizzati dallo stato dalla Cina e altrove.

https://www.bleepingcomputer.com/news/security/critical-rce-vulnerability-impacts-29-models-of-draytek-routers/

Il nuovo malware Linux costringe i server SSH a violare le reti

Angelo Domeneghini — Fri, 05 Aug 2022 09:43:00 GMT

*Il nuovo malware Linux costringe i server SSH a violare le reti*

-scansionate le Vostre Macchine Linux-

Una nuova botnet chiamata "RapperBot" viene utilizzata negli attacchi da metà giugno 2022, concentrandosi sulla forza bruta che si fa strada nei server SSH Linux per stabilire un punto d'appoggio sul dispositivo.

I ricercatori mostrano che RapperBot si basa sul trojan Mirai ma si discosta dal comportamento normale del malware originale, che è la propagazione incontrollata al maggior numero possibile di dispositivi.

Invece, RapperBot è più strettamente controllato, ha capacità DDoS limitate e il suo funzionamento sembra orientato all'accesso iniziale al server, probabilmente utilizzato come trampolino di lancio per il movimento laterale all'interno di una rete.

Negli ultimi 1,5 mesi dalla sua scoperta, la nuova botnet ha utilizzato oltre 3.500 IP univoci in tutto il mondo per scansionare e tentare di forzare i server SSH Linux.

Basato su Mirai, ma diverso.

La nuova botnet è stata scoperta in natura dai cacciatori di minacce di Fortinet, che hanno notato che il malware IoT presentava alcune stringhe insolite relative a SSH e hanno deciso di indagare ulteriormente.

RapperBot si è rivelato un fork di Mirai, ma con il proprio protocollo di comando e controllo (C2), caratteristiche uniche e attività post-compromissione atipica (per una botnet).

"A differenza della maggior parte delle varianti Mirai, che nativamente i server Telnet di forza bruta utilizzano password predefinite o deboli, RapperBot esegue esclusivamente la scansione e tenta di utilizzare i server SSH di forza bruta configurati per accettare l'autenticazione della password", spiega il rapporto Fortinet.

"La maggior parte del codice malware contiene un'implementazione di un client SSH 2.0 in grado di connettersi e forzare qualsiasi server SSH che supporti lo scambio di chiavi Diffie-Hellmann con chiavi a 768 o 2048 bit e crittografia dei dati tramite AES128-CTR".

La forzatura bruta SSH si basa su un elenco di credenziali scaricate dal C2 tramite richieste TCP univoche dell'host, mentre il malware segnala al C2 quando è riuscito.

I ricercatori Fortinet hanno seguito il bot e hanno continuato a campionare nuove varianti, notando che RapperBot utilizzava un meccanismo di auto-propagazione tramite un downloader binario remoto, che è stato rimosso dagli attori delle minacce a metà luglio.

Le varianti più recenti in circolazione a quel tempo prevedevano un comando di shell che sostituiva le chiavi SSH della vittima con quelle dell'attore, stabilendo essenzialmente la persistenza che viene mantenuta anche dopo le modifiche alla password SSH.

Inoltre, RapperBot ha aggiunto un sistema per aggiungere la chiave SSH dell'attore a "~/.ssh/authorized_keys" dell'host, che aiuta a mantenere l'accesso al server tra i riavvii o anche se il malware viene trovato ed eliminato.

Nei campioni più recenti analizzati dai ricercatori, il bot aggiunge l'utente root "suhelper" sugli endpoint compromessi e crea un job Cron che aggiunge nuovamente l'utente ogni ora nel caso in cui un amministratore scopra l'account e lo elimini.

Inoltre, vale la pena notare che gli autori del malware hanno aggiunto ulteriori livelli di offuscamento alle stringhe nei campioni successivi, come la codifica XOR.

Offuscamento delle stringhe aggiunto nelle varianti successive

La maggior parte delle botnet esegue attacchi DDoS o si dedica al mining di monete dirottando le risorse computazionali disponibili dell'host, e alcune fanno entrambe le cose.

L'obiettivo di RapperBot, tuttavia, non è evidente, poiché gli autori hanno limitato le sue funzioni DDoS e le hanno persino rimosse e ad un certo punto le hanno reintrodotte.

Inoltre, la rimozione dell'auto-propagazione e l'aggiunta dei meccanismi di persistenza e prevenzione del rilevamento indicano che gli operatori della botnet potrebbero essere interessati alle vendite di accesso iniziale agli attori del ransomware.

Fortinet riferisce che i suoi analisti non hanno visto payload aggiuntivi consegnati dopo il compromesso durante il periodo di monitoraggio, quindi il malware si annida semplicemente sugli host Linux infetti e rimane inattivo.

https://www.bleepingcomputer.com/news/security/new-linux-malware-brute-forces-ssh-servers-to-breach-networks/

Migliaia di portafogli Solana sono stati prosciugati durante un attacco utilizzando exploit sconosciuti

Angelo Domeneghini — Thu, 04 Aug 2022 07:51:00 GMT

Migliaia di portafogli Solana sono stati prosciugati durante un attacco utilizzando exploit sconosciuti

Un attacco notturno alla piattaforma blockchain di Solana ha prosciugato migliaia di portafogli software di criptovaluta per un valore di milioni di dollari USA.

La piattaforma ha avviato un'indagine e sta attualmente cercando di determinare come gli attori malintenzionati siano riusciti a drenare i fondi.

In una dichiarazione di oggi, Solana ha affermato che alle 5:00 UTC l'attacco ha avuto un impatto su oltre 7.700 portafogli, inclusi Slope e Phantom. Secondo rapporti pubblici, anche gli utenti di Solflare e Trust Wallet sono stati colpiti.

Un conteggio più recente (circa un'ora fa) del fornitore di analisi blockchain Elliptic avvicina il numero di portafogli interessati a 7.936 e le perdite a 5,2 milioni di dollari in criptovalute (SOL, NFT, oltre 300 token basati su Solana).

Solana afferma che i portafogli colpiti da questo attacco dovrebbero essere considerati compromessi e dovrebbero essere abbandonati per la variante hardware: i portafogli freddi, che sembrano rimanere inalterati. Il consiglio per questa mossa è di non riutilizzare la frase seed e crearne una nuova per l'hardware wallet.

Per coloro che non hanno un portafoglio freddo, il trasferimento di tutte le risorse a uno scambio centralizzato affidabile sarebbe una buona alternativa per proteggere le risorse dagli aggressori.

Sebbene al momento non ci sia una risposta definitiva su come sono stati prosciugati i portafogli, più voci si appoggiano a una vulnerabilità nel software del portafoglio.

"La causa principale non è ancora chiara, ma sembra essere dovuta a un difetto in alcuni software di portafoglio, piuttosto che nella stessa blockchain di Solana" - Elliptic

Un indizio emerso dall'attacco è che le transazioni di sottrazione di denaro sono firmate dai legittimi proprietari, il che indica un compromesso con la chiave privata.

Questo è il motivo per cui revocare le approvazioni di terze parti probabilmente non aiuterà a fermare l'attacco in questo caso, ma è comunque un'azione consigliata.

Secondo vari esperti di sicurezza blockchain, il metodo utilizzato per ottenere l'accesso a un numero così elevato di chiavi private potrebbe essere un attacco alla catena di approvvigionamento, un difetto zero-day del browser o un generatore di numeri casuali difettoso utilizzato nel processo di generazione delle chiavi.

Un'altra spiegazione potrebbe essere un bug di riutilizzo del nonce, che consentirebbe agli attori delle minacce di recuperare le chiavi segrete delle persone, a condizione che una firma e il nonce siano stati pubblicamente esposti.

Questa è tutta una speculazione per ora e gli utenti dovrebbero seguire i passaggi di mitigazione attualmente consigliati.

Poiché è probabile che tali incidenti si ripetano, è buona norma non conservare l'intero fondo di criptovaluta in un portafoglio caldo e utilizzarlo solo per archiviare importi minori utilizzati nelle transazioni. La parte migliore delle risorse dovrebbe essere collocata in un portafoglio freddo, che è disconnesso da Internet e da servizi di terze parti.

https://www.bleepingcomputer.com/news/security/thousands-of-solana-wallets-drained-in-attack-using-unknown-exploit/

SIM Swapping sempre più diffuso, le regole per la prevenzione

Angelo Domeneghini — Wed, 03 Aug 2022 10:03:00 GMT

*Consigli per evitare la clonazione della SIM*

Il furto dei dati può portare a scenari decisamente gravi. Fra le potenziali risultanze di un attacco di phishing c’è il SIM Swapping, modalità attraverso la quale i cyber criminali riescono a impadronirsi del duplicato della SIM card della vittima.

Per poterlo fare, l’attaccante deve prima ottenere l’accesso ai dati personali dell’utente. In particolare, gli occorrono documenti di identità, numero di telefono e nome e cognome. Sono questi i dati che vengono rubati con il primo attacco (quello di phishing) e che permettono di attuare la seconda parte del piano, ossia contattare l’operatore mobile e far finta di essere l’utente.

A che cosa serve il SIM Swapping? La risposta non può essere esaustiva, perché le azioni che può intraprendere chi è illegalmente in possesso del duplicato di una SIM sono moltissime. Tutte fanno capo alla possibilità di aggirare il processo di autenticazione a due fattori e di One-time password che protegge dei servizi essenziali, come l’home banking.

La conseguenza tipica di un attacco di questo tipo è il danno finanziario: il truffatore può svuotare il conto corrente, accumulando guadagni altissimi e sparendo prima di poter essere individuato. Le credenziali e il duplicato della SIM possono però essere sfruttate anche per accedere a tutte le app che richiedono la doppia autenticazione, e da lì esfiltrare contatti, anche aziendali, per allungare la catena delle vittime. Non ultimo, c’è il rischio del furto di identità con tutto quello che ne segue.

Il numero degli attacchi di questo tipo è in costante crescita, quindi è bene conoscere il rischio e sapere come prevenirlo. Check Point Software Technologies ha pubblicato tre regole per tutelarsi. La prima è trattare con cautela i dati personali, quindi evitare di inserirli in siti dubbi, sconosciuti o segnalati via email. Qualora si riceva una email che invita a collegarsi a un sito con qualsiasi pretesto (una password scaduta, un’offerta imperdibile, un recapito mancante, una raccolta caritatevole), bisogna evitare di cliccare l’indirizzo nel testo: meglio aprire una nuova tab del browser e digitare in autonomia l’indirizzo.

Quando si ricevono email, è buona norma prestare attenzione ai testi con errori di ortografia, anche se il mittente sembra conosciuto o se il marchio dell’azienda sembra veritiero. Soprattutto se il messaggio istiga senso di urgenza è bene non fidarsi.

Terzo ed ultimo indicatore è purtroppo la conferma dell’attacco riuscito: se a un certo punto il proprio smartphone non ha più accesso alla rete mobile, anche se la SIM è inserita (e ovviamente ci trova in una zona ben coperta dal segnale), è bene contattare le autorità competenti e l’operatore mobile per sporgere denuncia, disattivare la SIM e iniziare il processo di recupero dei dati.

https://www.securityopenlab.it/news/2210/sim-swapping-sempre-piu-diffuso-le-regole-per-la-prevenzione.html

VMware esorta gli amministratori a correggere immediatamente il bug critico di bypass dell'autenticazione

Angelo Domeneghini — Wed, 03 Aug 2022 07:12:00 GMT

VMware esorta gli amministratori a correggere immediatamente il bug critico di bypass dell'autenticazione

VMware

Oggi VMware ha avvertito gli amministratori di correggere un errore di sicurezza critico per bypassare l'autenticazione che colpisce gli utenti del dominio locale in più prodotti e consente agli aggressori non autenticati di ottenere privilegi di amministratore.

Il difetto (CVE-2022-31656) è stato segnalato da Petrus Viet di VNG Security, che ha scoperto che ha un impatto su VMware Workspace ONE Access, Identity Manager e vRealize Automation.

VMware ha valutato la gravità di questa vulnerabilità di sicurezza come critica, con un punteggio di base CVSSv3 di 9,8/10.

L'azienda ha inoltre corretto numerosi altri bug di sicurezza consentendo agli aggressori di ottenere l'esecuzione di codice in modalità remota (CVE-2022-31658, CVE-2022-31659, CVE-2022-31665) e di aumentare i privilegi a "root" (CVE-2022-31660, CVE- 2022-31661, CVE-2022-31664) su server senza patch.

"È estremamente importante adottare rapidamente misure per correggere o mitigare questi problemi nelle implementazioni on-premise", ha affermato Bob Plankers, Cloud Infrastructure Security & Compliance Architect di VMware.

"Se la tua organizzazione utilizza le metodologie ITIL per la gestione del cambiamento, questo sarebbe considerato un cambiamento 'di emergenza'."

Gli amministratori hanno esortato a correggere immediatamente

"Questa vulnerabilità critica dovrebbe essere corretta o mitigata immediatamente secondo le istruzioni in VMSA", ha avvertito VMware.

"Tutti gli ambienti sono diversi, hanno una diversa tolleranza al rischio e hanno diversi controlli di sicurezza e difese approfondite per mitigare il rischio, quindi i clienti devono prendere le proprie decisioni su come procedere. Tuttavia, data la gravità della vulnerabilità, siamo fortemente consigliare un'azione immediata".

L'elenco completo dei prodotti VMware interessati da queste vulnerabilità include:

VMware Workspace ONE Access (Accesso)

VMware Workspace ONE Access Connector (Connettore di accesso)

VMware Identity Manager (vIDM)

Connettore VMware Identity Manager (connettore vIDM)

VMware vRealize Automation (vRA)

VMware Cloud Foundation

vRealize Suite Lifecycle Manager

Secondo VMware, non ci sono prove che la vulnerabilità critica di bypass dell'autenticazione CVE-2022-31656 venga sfruttata negli attacchi.

VMware fornisce collegamenti per il download delle patch e istruzioni dettagliate per l'installazione sul sito Web della knowledge base.

Soluzione alternativa disponibile

L'azienda ha anche condiviso una soluzione temporanea per i clienti che non possono applicare immediatamente le patch ai propri dispositivi contro CVE-2022-31656.

I passaggi dettagliati da VMware richiedono agli amministratori di disabilitare tutti gli utenti tranne un amministratore con provisioning e di accedere tramite SSH per riavviare il servizio Horizon-Workspace.

Tuttavia, VMware sconsiglia di utilizzare questa soluzione alternativa e afferma che l'unico modo per risolvere completamente il difetto di bypass dell'autenticazione CVE-2022-31656 è applicare patch ai prodotti vulnerabili.

"L'unico modo per rimuovere le vulnerabilità dall'ambiente è applicare le patch fornite in VMSA-2022-0021. Le soluzioni alternative, sebbene convenienti, non rimuovono le vulnerabilità e quasi sempre introducono ulteriori complessità che l'applicazione di patch non farebbe", ha aggiunto VMware.

"Sebbene la decisione di applicare le patch o di utilizzare la soluzione alternativa sia tua, VMware consiglia sempre vivamente di applicare le patch come il modo più semplice e affidabile per risolvere questo tipo di problema".

L'azienda fornisce anche un documento di supporto con un elenco di domande e risposte relative al bug critico corretto oggi.

A maggio, VMware ha corretto una vulnerabilità critica quasi identica, un altro bug di bypass dell'autenticazione (CVE-2022-22972) trovato da Bruno López di Innotec Security in Workspace ONE Access, VMware Identity Manager (vIDM) e vRealize Automation.

https://www.bleepingcomputer.com/news/security/vmware-urges-admins-to-patch-critical-auth-bypass-bug-immediately/

Microsoft Outlook si arresta in modo anomalo durante la lettura delle e-mail di ricevuta di Uber

Angelo Domeneghini — Tue, 02 Aug 2022 13:06:00 GMT

Microsoft Outlook si arresta in modo anomalo durante la lettura delle e-mail di Uber

Microsoft Outlook

Microsoft afferma che il client di posta elettronica di Outlook si arresterà in modo anomalo durante l'apertura e la lettura di e-mail con tabelle come le e-mail di ricevuta di Uber.

"Quando si aprono, si risponde o si inoltrano messaggi di posta elettronica che includono tabelle complesse, Outlook smette di rispondere", spiega l'azienda in un documento di supporto.

A peggiorare le cose, le e-mail con lo stesso contenuto della tabella causeranno anche il blocco dell'app Microsoft Word.

Sebbene il problema noto interessi i clienti di Microsoft 365 nella versione 2206 del canale corrente Build 15330.20196 e versioni successive, può anche attivare blocchi nelle build correnti di anteprima del canale beta e corrente.

Il team di Microsoft Word ha già sviluppato una correzione che verrà rilasciata presto ai clienti del canale Beta, dopo essere stata sottoposta a verifica.

Microsoft ha aggiunto che i clienti che utilizzano le versioni di Outlook nel canale corrente riceveranno la correzione come parte del Patch Tuesday di questo mese, il 9 agosto 2022.

Disponibile anche una soluzione alternativa

Per i clienti che non possono attendere fino all'inizio dell'implementazione della correzione, Microsoft fornisce anche una soluzione alternativa che richiede loro di ripristinare una build che non è interessata da questo problema noto.

Per ripristinare l'installazione di Office a una build precedente come soluzione alternativa a questo problema, dovrai seguire questi passaggi:

Apri un prompt dei comandi nel contesto dell'amministratore

Digita o incolla i due comandi nella finestra del prompt dei comandi e premi Invio dopo ciascuno.

cd %programmi%\File comuni\Microsoft Shared\ClickToRun

officec2rclient.exe /update user updatetoversion=16.0.15225.20288

Il mese scorso, Microsoft ha affrontato un altro problema di Outlook in cui la ricerca di Outlook non mostrava le email recenti sui sistemi Windows 11 nelle app desktop.

Gli unici clienti interessati sono stati quelli che utilizzano account POP, IMAP e Exchange offline che utilizzano il servizio di ricerca di Windows locale per indicizzare la posta elettronica.

A gennaio, Redmond ha anche risolto i problemi di ricerca di Outlook attivati dagli aggiornamenti di sicurezza di Windows 10 rilasciati a novembre 2021 e versioni successive.

Come segnalato da BleepingComputer a dicembre, gli utenti hanno riscontrato problemi di ricerca anche in Outlook per Microsoft 365, Outlook 2019 e Outlook 2016 dopo l'aggiornamento a Windows 11.

https://www.bleepingcomputer.com/news/microsoft/microsoft-outlook-is-crashing-when-reading-uber-receipt-emails/

Google Takeout

Angelo Domeneghini — Tue, 02 Aug 2022 08:07:00 GMT

Che Cos’è Google Takeout?

Google Takeout, noto anche come Download Your Data, è un progetto del Google Data Liberation Front che consente agli utenti di prodotti Google, come YouTube e Gmail, di esportare i propri dati in un file di archivio scaricabile.

Cosa include?

Attraverso Google Takeout si ha accesso a 24 prodotti di Google, che includono le tue foto (in Google Foto), le tue mail (in Gmail), le tue mappe, i tuoi calendari (in Google Calendar), i tuoi contatti, tutto ciò che hai in Google Drive e molti altri dati.

A cosa serve?

Oltre a permetterti di monitorare i tuoi dati in Google, può essere usato per recuperare eventuali dati persi, e allo stesso tempo, per scaricare regolarmente archivi aggiornati dei tuoi dati di Google. I dati sono scaricabili in formati standard nell’industria, e sono quindi leggibili quindi anche da servizi esterni a Google. Tra gli esempi più semplici e praticati abbiamo quello di esportare tramite Google Takeout tutte le email da Gmail in altri programmi di posta elettronica come Outlook, Thunderbird, ecc.

Come si accede a Google Takeout?

Per accedere a Google Takeout bisogna collegarsi direttamente dalla pagina ufficiale di Google Takeout. In alternativa è possibile attraverso il proprio account di Google, cliccando su “Informazioni personali e Privacy”

Come vengono salvati i dati?

Dopo aver fatto accesso https://takeout.google.com/settings/takeout e immesse le proprie credenziali sarà possibile impostare: i tipi di dati relativi ai servizi di Google da esportare; l’estensione della compressione degli archivi creati; una dimensione massima per gli archivi creati; una destinazione di salvataggio degli archivi una volta completata l’operazione di compressione.
Tra le principali destinazioni di salvataggio abbiamo servizi di Cloud Storage quali: Google Drive, Dropbox e Microsoft OneDrive. Se selezioniamo questa opzione l’archivio creato viene salvato automaticamente nello storage scelto. In alternativa all’archiviazione è disponibile l’opzione di avviso via mail dell’avvenuta creazione degli archivi e quindi la possibilità poi di eseguirne il download in locale.

https://accounts.google.com/signin/v2/identifier?passive=1209600&osid=1&continue=https%3A%2F%2Ftakeout.google.com%2Fsettings%2Ftakeout&followup=https%3A%2F%2Ftakeout.google.com%2Fsettings%2Ftakeout&flowName=GlifWebSignIn&flowEntry=ServiceLogin

Gli annunci di Facebook spingono l'adware Android con 7 milioni di installazioni su Google Play

Angelo Domeneghini — Mon, 01 Aug 2022 09:42:00 GMT

Gli annunci di Facebook spingono l'adware Android con 7 milioni di installazioni su Google Play

Malware adroid

Diverse app adware promosse in modo aggressivo su Facebook come pulitori di sistema e ottimizzatori per dispositivi Android stanno contando milioni di installazioni su Google Play Store.

Le app mancano di tutte le funzionalità promesse e spingono annunci pubblicitari mentre cercano di durare il più a lungo possibile sul dispositivo.

Per eludere la cancellazione, le app si nascondono sul dispositivo della vittima cambiando continuamente icone e nomi, mascherandosi da Impostazioni o dal Play Store stesso.

App installata che cambia icona e nome

Le app adware abusano del componente Android Contact Provider, che consente loro di trasferire dati tra il dispositivo e i servizi online.

Il sottosistema viene chiamato ogni volta che viene installata una nuova app, quindi l'adware potrebbe utilizzarla per avviare il processo di pubblicazione degli annunci. Per l'utente potrebbe sembrare che gli annunci vengano spinti dall'app legittima che hanno installato.

I ricercatori di McAfee hanno scoperto le app adware. Notano che gli utenti non devono avviarli dopo l'installazione per vedere gli annunci perché l'adware si avvia automaticamente senza alcuna interazione.

La prima azione di queste fastidiose app è creare un servizio permanente per la visualizzazione degli annunci. Se il processo viene "ucciso" (terminato), si riavvia immediatamente.

Il servizio dannoso è stato rilanciato quasi immediatamente

Servizio dannoso rilanciato quasi immediatamente (McAfee)

Milioni di download su Google Play

Come commenta McAfee nel rapporto, gli utenti sono convinti di fidarsi delle app adware perché vedono un collegamento al Play Store su Facebook, lasciando pochi margini di dubbio.

Promozione Facebook per un'app più pulita

Promozione Facebook per un'app più pulita (McAfee)

Ciò ha comportato numeri di download insolitamente elevati per il particolare tipo di applicazioni, come mostrato nell'elenco seguente:

Junk Cleaner, cn.junk.clean.plp, 1 milione di download

EasyCleaner, com.easy.clean.ipz, oltre 100.000 download

Power Doctor, com.power.doctor.mnb, oltre 500.000 download

Super Clean, com.super.clean.zaz, oltre 500.000 download

Pulizia completa: pulizia della cache, org.stemp.fll.clean, oltre 1 milione di download

Pulisci polpastrelli, com.fingertip.clean.cvb, oltre 500.000 download

Quick Cleaner, org.qck.cle.oyo, oltre 1 milione di download

Mantieni pulito, org.clean.sys.lunch, oltre 1 milione di download

Windy Clean, in.phone.clean.www, oltre 500.000 download

Carpet Clean, og.crp.cln.zda, oltre 100.000 download

Cool Clean, syn.clean.cool.zbc, oltre 500.000 download

Strong Clean, in.memory.sys.clean, oltre 500.000 download

Meteor Clean, org.ssl.wind.clean, oltre 100.000 download

La maggior parte degli utenti interessati ha sede in Corea del Sud, Giappone e Brasile, ma sfortunatamente l'adware ha raggiunto utenti in tutto il mondo.

Heatmap degli utenti Android infetti

Le app adware non sono più disponibili sul Play Store. Tuttavia, gli utenti che li hanno installati devono rimuoverli manualmente dal dispositivo.

I pulitori di sistema e gli ottimizzatori sono categorie di software popolari nonostante i bassi vantaggi che forniscono. I criminali informatici sanno che un gran numero di utenti proverebbe tali soluzioni per prolungare la vita dei propri dispositivi e spesso mascherano app dannose in quanto tali.

https://www.bleepingcomputer.com/news/security/facebook-ads-push-android-adware-with-7-million-installs-on-google-play/

LockBit ransomware abusa di Windows Defender per caricare Cobalt Strike

Angelo Domeneghini — Mon, 01 Aug 2022 09:36:00 GMT

L'operatore LockBit abusa di Windows Defender per caricare Cobalt Strike

Un attore di minacce associato all'operazione di ransomware LockBit 3.0 sta abusando dello strumento della riga di comando di Windows Defender per caricare i beacon Cobalt Strike su sistemi compromessi ed eludere il rilevamento da parte del software di sicurezza.

Cobalt Strike è una suite di test di penetrazione legittima con funzionalità estese popolari tra gli attori delle minacce per eseguire ricognizioni di rete furtive e movimenti laterali prima di rubare i dati e crittografarli.

Tuttavia, le soluzioni di sicurezza sono migliorate nel rilevare i beacon di Cobalt Strike, inducendo gli attori delle minacce a cercare modi innovativi per implementare il toolkit.

In un recente caso di risposta agli incidenti per un attacco ransomware LockBit, i ricercatori di Sentinel Labs hanno notato l'abuso dello strumento da riga di comando di Microsoft Defender "MpCmdRun.exe" per caricare lateralmente DLL dannose che decrittografano e installano beacon Cobalt Strike.

La compromissione della rete iniziale in entrambi i casi è stata condotta sfruttando un difetto Log4j su server VMWare Horizon vulnerabili per eseguire codice PowerShell.

Il caricamento laterale dei beacon Cobalt Strike su sistemi compromessi non è una novità per LockBit, poiché ci sono segnalazioni su catene di infezione simili che si basano sull'abuso delle utilità della riga di comando VMware.

Abusare di Microsoft Defender

Dopo aver stabilito l'accesso a un sistema di destinazione e aver ottenuto i privilegi utente richiesti, gli autori delle minacce utilizzano PowerShell per scaricare tre file: una copia pulita di un'utilità Windows CL, un file DLL e un file LOG.

MpCmdRun.exe è un'utilità della riga di comando per eseguire attività di Microsoft Defender e supporta comandi per cercare malware, raccogliere informazioni, ripristinare elementi, eseguire analisi diagnostiche e altro ancora.

Quando viene eseguito, MpCmdRun.exe caricherà una DLL legittima denominata "mpclient.dll" necessaria per il corretto funzionamento del programma.

Nel caso analizzato da SentinelLabs, gli attori delle minacce hanno creato la propria versione armata di mpclient.dll e l'hanno collocata in una posizione che dà priorità al caricamento della versione dannosa del file DLL.

Il codice eseguito carica e decrittografa un payload crittografato Cobalt Strike dal file "c0000015.log", rilasciato insieme agli altri due file della fase precedente dell'attacco.

Sebbene non sia chiaro il motivo per cui l'affiliata LockBit è passata da VMware agli strumenti della riga di comando di Windows Defender per il caricamento laterale dei beacon Cobalt Strike, potrebbe essere per aggirare le protezioni mirate implementate in risposta al metodo precedente.

L'uso di strumenti "vivere fuori dalla terra" per eludere il rilevamento EDR e AV è estremamente comune in questi giorni; quindi le organizzazioni devono controllare i propri controlli di sicurezza e mostrare vigilanza nel tracciare l'uso di eseguibili legittimi che potrebbero essere utilizzati dagli aggressori.

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-abuses-windows-defender-to-load-cobalt-strike/

Telemarketing, stop a telefonate moleste anche sui cellulari. Ecco come fare

Angelo Domeneghini — Thu, 28 Jul 2022 08:17:00 GMT

Telemarketing, stop a telefonate moleste anche sui cellulari. Ecco come fare

Il registro delle opposizioni è uno strumento gratuito del ministero dello Sviluppo economico che consente di richiedere il blocco delle telefonate dagli operatori di telemarketing. È stato introdotto nel 2010 per i numeri fissi. Nel nuovo Registro si potranno iscrivere anche i numeri di cellulare

Addio alle chiamate insistenti di call center e televendite anche sui cellulari. Dal 27 luglio saranno attivate le modalità per iscriversi al nuovo registro delle opposizioni per contrastare il telemarketing molesto, quello delle telefonate pubblicitarie non richieste e spesso illecite in violazione delle norme sulla privacy. Il nuovo Registro pubblico delle opposizioni, disciplinato dal Dpr 26/2022 che ha attuato la legge 5/2018, prende il posto del Registro attuale, regolato dal Dpr 178/2010.

Servizio esteso dal 27 luglio alla rete mobile

Nel nuovo Registro si potranno iscrivere, oltre ai numeri di telefono fissi presenti negli elenchi pubblici e gli indirizzi postali (che possono già figurare nel Registro attuale), anche i numeri di cellulare. Parliamo potenzialmente di 78 milioni di utenze mobili. Tutti i cittadini potranno scegliere se iscriversi o meno al Registro bloccando così il ’profluvio’ di telefonate di promozione

Come iscriversi

Ma come si fa a iscriversi? L’utente potrà iscrivere qualsiasi numero di telefono (fisso e mobile) nel nuovo Registro delle opposizioni. Lo potrà fare gratis sul sito, via mail, al telefono o via fax. Ci si può iscrivere al Registro pubblico delle opposizioni chiamando il numero verde in via di attivazione (800 265 265) e seguendo la procedura in automatico, con la dettatura di alcuni dati personali come il codice fiscale o la partita Iva.

Dalla raccomandata al fax

In alternativa c'è anche la possibilità di fare tutto via raccomandata all'indirizzo del Gestore (“gestore del registro pubblico delle opposizioni – abbonati”, Ufficio Roma Nomentano - casella postale 7211 - 00162 Roma ); via fax al 06.54224822; per e-mail: abbonati.rpo@fub.it; compilando il modulo elettronico disponibile nella apposita “area abbonato” sul sito: www.registrodelleopposizioni.it. L’iscrizione cancellerà tutti i consensi eventualmente dati dagli utenti in precedenza per le telefonate pubblicitarie.

Chiamate bloccate entro 15 giorni

Le chiamate degli operatori di telemarketing saranno bloccate entro 15 giorni dalla richiesta, dal momento che tutte le aziende del settore sono tenute a consultare il Registro ed eliminare dalla lista i numeri che hanno tolto il consenso al trattamento dei dati. Le telefonate pubblicitarie quindi potranno essere fatte solo ai numeri non presenti nel registro. Se capitasse che, nonostante l’iscrizione, si continuano a ricevere telefonate indesiderate, il cittadino potrà rivolgersi al Garante per la protezione dei dati personali o all’Autorità giudiziaria.

In Italia 1.400 call center

In Italia si contano circa 1.400 aziende di call center in “outsourcing” per un fatturato annuo di 2,8 miliardi di euro (dati Assocontact). Considerati anche i call center interni alle aziende (telefonia, energia, banche, ecc.) si stima che l’industria dei contact center valga in totale 4 miliardi di euro annui, per circa 120.000 occupati.

https://www.ilsole24ore.com/art/telemarketing-stop-telefonate-moleste-anche-cellulari-ecco-come-fare-AEdf0hnB

Microsoft Edge ora migliora le prestazioni comprimendo la cache del disco

Angelo Domeneghini — Thu, 28 Jul 2022 08:10:00 GMT

Microsoft Edge ora migliora le prestazioni comprimendo la cache del disco

Microsoft afferma che gli utenti di Microsoft Edge noteranno prestazioni migliorate e un footprint del disco inferiore perché il browser Web ora comprime automaticamente le cache del disco.

"A partire da Microsoft Edge 102 su Windows, Microsoft Edge comprime automaticamente le cache del disco sui dispositivi che soddisfano i controlli di idoneità, per garantire che la compressione sia vantaggiosa senza degradare le prestazioni", ha affermato mercoledì il team di Microsoft Edge.

"Ciò garantisce che la compressione di queste cache migliori ampiamente le prestazioni e l'esperienza utente complessiva".

Come spiegato dall'azienda, maggiore è la cache del disco utilizzata da un browser Web, più è probabile che sia possibile accedere più rapidamente alle risorse Web memorizzate nella cache, rendendo più veloce il caricamento delle pagine Web.

Tuttavia, l'aumento della cache del disco porta spesso a sistemi con spazio su disco insufficiente a corto di spazio, cosa che anche i fornitori di browser devono considerare.

"Un modo per massimizzare l'utilizzo della cache riducendo al minimo l'utilizzo del disco è sfruttare la compressione per risparmiare spazio su disco per il contenuto memorizzato nella cache", ha aggiunto Microsoft.

"Poiché i contenuti di queste cache sono spesso altamente comprimibili, la compressione aumenta la probabilità che la risorsa richiesta possa essere recuperata dal disco".

Maggiori prestazioni e miglioramenti della sicurezza

Microsoft ha ulteriormente migliorato la reattività e le prestazioni complessive del browser Web basato su Chromium all'inizio di quest'anno dopo aver modificato la funzione delle schede dormienti.

La funzione ha ridotto significativamente i requisiti di memoria e CPU di Edge, portando a un aumento delle prestazioni del browser e della durata della batteria.

Sulla base di test delle prestazioni su circa 13.000 dispositivi, Microsoft ha affermato che le schede dormienti riducono l'utilizzo della memoria in media del 32% e, nella maggior parte dei casi, possono portare a un utilizzo della CPU inferiore di circa il 37%.

Le schede dormienti hanno iniziato a essere implementate nella versione Edge Beta 88 a dicembre 2020 per ridurre drasticamente l'utilizzo della memoria e delle risorse della CPU, solo quattro mesi dopo la sua presentazione iniziale, nel settembre 2020, come funzionalità sperimentale.

Redmond sta anche migliorando la sicurezza del browser, aggiungendo una nuova funzionalità per mitigare il futuro sfruttamento in natura di vulnerabilità zero-day sconosciute e la modalità Super Duper Secure (una nuova funzionalità che offre aggiornamenti di sicurezza senza significative perdite di prestazioni).

https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-now-improves-performance-by-compressing-disk-cache/

Microsoft: Windows, Adobe zero-days utilizzati per distribuire malware Subzero

Angelo Domeneghini — Thu, 28 Jul 2022 08:02:00 GMT

*aggiornate il sistema ed utilizzate un buon antivirus*

Microsoft: Windows, Adobe zero-days utilizzati per distribuire malware Subzero

Microsoft ha collegato un gruppo di minacce noto come Knotweed a un fornitore di spyware austriaco che opera anche come un gruppo di mercenari informatici chiamato DSIRF che prende di mira entità europee e centroamericane utilizzando un set di strumenti malware chiamato Subzero.

Sul suo sito Web, DSIRF si promuove come una società che fornisce servizi di ricerca delle informazioni, analisi forense e intelligence basata sui dati alle aziende.

Tuttavia, è stato collegato allo sviluppo del malware Subzero che i suoi clienti possono utilizzare per hackerare telefoni, computer e dispositivi di rete e connessi a Internet di obiettivi.

Utilizzando i dati DNS passivi durante le indagini sugli attacchi Knotweed, la società di intelligence sulle minacce RiskIQ ha anche scoperto che l'infrastruttura che serve attivamente malware da febbraio 2020 è collegata a DSIRF, inclusi il suo sito Web ufficiale e i domini probabilmente utilizzati per eseguire il debug e mettere in scena il malware Subzero.

Il Microsoft Threat Intelligence Center (MSTIC) ha anche trovato più collegamenti tra DSIRF e strumenti dannosi utilizzati negli attacchi di Knotweed.

"Questi includono l'infrastruttura di comando e controllo utilizzata dal malware che si collega direttamente a DSIRF, un account GitHub associato a DSIRF utilizzato in un attacco, un certificato di firma del codice rilasciato a DSIRF utilizzato per firmare un exploit e altre notizie open source segnala di attribuire Subzero a DSIRF", ha affermato Microsoft.

Alcuni attacchi di Knotweed osservati da Microsoft hanno preso di mira studi legali, banche e organizzazioni di consulenza strategica in tutto il mondo, tra cui Austria, Regno Unito e Panama.

"Come parte della nostra indagine sull'utilità di questo malware, le comunicazioni di Microsoft con una vittima di Subzero hanno rivelato che non avevano commissionato alcun red teaming o test di penetrazione e hanno confermato che si trattava di attività dannosa non autorizzata", ha aggiunto Microsoft.

"Le vittime osservate fino ad oggi includono studi legali, banche e società di consulenza strategica in paesi come Austria, Regno Unito e Panama".

Sui dispositivi compromessi, gli aggressori hanno implementato Corelump, il payload principale che viene eseguito dalla memoria per eludere il rilevamento, e Jumplump, un caricatore di malware fortemente offuscato che scarica e carica Corelump nella memoria.

Il payload principale di Subzero ha molte funzionalità, tra cui keylogging, acquisizione di schermate, esfiltrazione di dati ed esecuzione di shell remote e plug-in arbitrari scaricati dal suo server di comando e controllo.

Sui sistemi in cui Knotweed ha distribuito il proprio malware, Microsoft ha osservato una serie di azioni successive al compromesso, tra cui:

Impostazione di UseLogonCredential su "1" per abilitare le credenziali di testo normale

Dumping delle credenziali tramite comsvcs.dll

Tentativo di accedere alle e-mail con credenziali scaricate da un indirizzo IP KNOWEEED

Utilizzo di Curl per scaricare gli strumenti KNTWEED da condivisioni di file pubblici come vultrobjects[.]com

Esecuzione di script di PowerShell direttamente da un GitHub creato da un account associato a DSIRF

Tra gli zero-day utilizzati nelle campagne di Knotweed, Microsoft evidenzia il CVE-2022-22047 recentemente aggiornato, che ha aiutato gli aggressori ad aumentare i privilegi, sfuggire ai sandbox e ottenere l'esecuzione di codice a livello di sistema.

L'anno scorso, Knotweed ha utilizzato anche una catena di exploit composta da due exploit di escalation dei privilegi di Windows (CVE-2021-31199 e CVE-2021-31201) insieme a un exploit di Adobe Reader (CVE-2021-28550), tutti patchati a giugno 2021.

Nel 2021, il gruppo di cybermercenari è stato anche collegato allo sfruttamento di un quarto zero-day, un difetto di escalation dei privilegi di Windows nel servizio Windows Update Medic (CVE-2021-36948) utilizzato per forzare il servizio a caricare una DLL firmata arbitrariamente.

DLL dannosa firmata con firma digitale DSIRF valida

DLL dannosa firmata (Microsoft)

Per difendersi da tali attacchi, Microsoft consiglia ai clienti di:

Dai la priorità all'applicazione di patch di CVE-2022-22047.

Verificare che Microsoft Defender Antivirus sia aggiornato all'aggiornamento dell'intelligence per la sicurezza 1.371.503.0 o successivo per rilevare gli indicatori correlati.

Utilizza gli indicatori di compromissione inclusi per verificare se esistono nel tuo ambiente e valutare la potenziale intrusione.

Modifica le impostazioni di protezione delle macro di Excel per controllare quali macro vengono eseguite e in quali circostanze quando si apre una cartella di lavoro. I clienti possono anche bloccare le macro XLM o VBA dannose assicurandosi che la scansione delle macro di runtime tramite Antimalware Scan Interface (AMSI) sia attiva.

Abilita l'autenticazione a più fattori (MFA) per mitigare le credenziali potenzialmente compromesse e garantire che l'autenticazione a più fattori sia applicata per tutta la connettività remota.

Esaminare tutte le attività di autenticazione per l'infrastruttura di accesso remoto, concentrandosi sugli account configurati con l'autenticazione a fattore singolo, per confermare l'autenticità e indagare su eventuali attività anomale.

"Per limitare questi attacchi, abbiamo rilasciato un aggiornamento software per mitigare l'uso delle vulnerabilità e pubblicato firme di malware che proteggeranno i clienti Windows dagli exploit che Knotweed stava utilizzando per distribuire il proprio malware", ha affermato Cristin Goodwin, Direttore generale della Digital Security Unit di Microsoft. "Stiamo vedendo sempre più spesso gli PSOA vendere i loro strumenti a governi autoritari che agiscono in modo incoerente con lo stato di diritto e le norme sui diritti umani, dove vengono utilizzati per prendere di mira difensori dei diritti umani, giornalisti, dissidenti e altri coinvolti nella società civile", ha aggiunto Goodwin.

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-adobe-zero-days-used-to-deploy-subzero-malware/

L'app di Ginevra inizia a farsi un nome

Angelo Domeneghini — Wed, 27 Jul 2022 09:44:00 GMT

L'app di Ginevra inizia a farsi un nome

I Tiktokeurs si stanno rivolgendo a soluzioni che promuovono meglio lo sviluppo della loro comunità.

L'app ha oltre 50.000 download su Android.

I creatori di contenuti vogliono stare vicini alla loro comunità con le persone che conoscono. Questa è la scommessa dell'app di conversazione di Ginevra, che sta suscitando un'ondata di entusiasmo. Tiktokeurs si unisce a lei per creare una "casa", secondo il gergo dell'app di New York. Dicono di poter parlare liberamente lì senza essere vittime di attacchi gratuiti. Da parte loro, i fan trovano un'esperienza di community più intima, pur essendo in grado di passare tra le diverse community e i canali di chat.

“Ginevra non ha un luogo pubblico, ha evidenziato il suo fondatore, Justin Hauser, al “Washington Post”. Non ci sono contatori di follower o "mi piace". Le persone trovano un posto online per incontrare la propria comunità ogni giorno e si sentono come se sapessero con chi stanno parlando”. Secondo il quotidiano americano, l'app di Ginevra ha lasciato il segno in particolare con le donne della Generazione Z e le star di TikTok come la stilista Chrissy Rutherford, che viene lì per discutere di appuntamenti, astrologia e carriera.

Justin Hauser assicura che gli utenti sono su un piano di parità e che i creatori di queste "case" non dirigono la conversazione, ma forniscono semplicemente un luogo in cui le persone possono connettersi. L'imprenditore, passato dal Credit Suisse, ammette però che dovrà affrontare anche problemi di moderazione, nonostante l'obbligo di confermare con un numero di telefono la sua iscrizione gratuita all'app.

Facebook aveva lanciato, nel 2017, i gruppi destinati a riunire le persone. Ma i creatori di contenuti si stanno rivolgendo maggiormente ai gruppi nell'applicazione Telegram e, soprattutto, ai server Discord. L'app di chat è popolare tra sviluppatori, giocatori e influencer di Twitch e YouTube che la utilizzano per guidare la propria community con chat room a tema.

https://www.20min.ch/fr/story/lapplication-geneva-commence-a-se-faire-un-nom-137397558662

Nuove app malware Android installate 10 milioni di volte da Google Play

Angelo Domeneghini — Wed, 27 Jul 2022 09:32:00 GMT

Windows 10: problemi alle stampanti con l'update di giugno

Angelo Domeneghini — Tue, 26 Jul 2022 08:12:00 GMT

Windows 10: problemi alle stampanti con l'update di giugno

L'update KB5014666 per Windows 10 causa problemi con le stampanti USB, Microsoft ha confermato il bug e sta lavorando alla risoluzione.

Il 28 giugno scorso, Microsoft ha reso disponibile l’aggiornamento KB5014666 destinato a Windows 10, introducendo diverse nuove funzionalità di stampa. Quello che però doveva essere un update utile per i più si è in realtà rivelato una vera e propria piaga, causando non pochi problemi con le stampanti USB, appunto.

Windows 10: problemi di stampa con l’update KB5014666

L’aggiornamento, infatti, porta in dote un bug che fa in modo che Windows 10 visualizzi i duplicati di una singola stampante con il suffisso “Copy1”. Inoltre, le applicazioni che fanno riferimento alle stampanti utilizzando un nome specifico non sono in grado di procedere con la stampa. Di conseguenza, il consueto utilizzo della stampante può venire interrotto a causa di entrambi gli scenari.

Il bug riguarda solo Windows 10 21H2, 21H1 e 20H2 (incluso Windows Server), mentre Windows 11 non è coinvolto, sebbene gli utenti che se ne servono si siano trovati a dover fronteggiare altri problemi legati al menu Start.

Consapevole della cosa, Microsoft ha comunicato di essere attualmente al lavoro per fare in modo da risolvere il problema quanto prima con un nuovo aggiornamento, ma non è dato sapere quando, di preciso, questo verrà rilasciato.

Nel mentre, però, gli utenti coinvolti possono in primo luogo fornire dei feedback al riguardo e poi provare a far fronte alla problematica con il seguente workaround.

.*Aprire Impostazioni, accedere alla sezione Bluetooth e dispositivi e selezionare Stampanti e scanner;

Se è presente il duplicato di una stampante esistente con il suffisso Copy1, verificare se il processo di stampa funziona per quest’ultima.

Se è necessario utilizzare la stampante originale e non il duplicato, fare clic destro sulla stampante duplicata, selezionare Proprietà della stampante dal menu che compare, scegliere la scheda Porta e verificare la porta usata;

Aprire Proprietà della stampante per la stampante originale e selezionare la scheda Porte. Dall’elenco visualizzato, selezionare l’opzione relativa alla porta in uso dalla stampante duplicata. Se la stampante originale funziona regolarmente, quella duplicata può essere rimossa.

Qualora i passaggi descritti poc’anzi non dovessero rivelarsi utili, Microsoft suggerisce di aggiornare i driver di stampa e, in caso di persistenza dei problemi, provare a disinstallare e installare nuovamente la stampante.

https://www.punto-informatico.it/windows-10-problemi-alle-stampanti-con-lupdate-di-giugno/

Il malware CosmicStrand UEFI trovato in Gigabyte, schede madri ASUS

Angelo Domeneghini — Tue, 26 Jul 2022 08:01:00 GMT

Il malware CosmicStrand UEFI prende di mira Gigabyte e le schede madri ASUS

Gli hacker di lingua cinese utilizzano almeno dal 2016 malware che si trova praticamente inosservato nelle immagini del firmware di alcune schede madri, una delle minacce più persistenti comunemente nota come rootkit UEFI.

I ricercatori della società di sicurezza informatica Kaspersky l'hanno chiamato CosmicStrand, ma una variante precedente della minaccia è stata scoperta dagli analisti di malware di Qihoo360, che lo hanno chiamato Spy Shadow Trojan.

Non è chiaro come l'attore delle minacce sia riuscito a iniettare il rootkit nelle immagini del firmware delle macchine di destinazione, ma i ricercatori hanno trovato il malware su macchine con schede madri ASUS e Gigabyte.

Mistero rootkit UEFI

Il software Unified Extensible Firmware Interface (UEFI) è ciò che collega il sistema operativo di un computer con il firmware dell'hardware sottostante.

Il codice UEFI è il primo ad essere eseguito durante la sequenza di avvio di un computer, prima del sistema operativo e delle soluzioni di sicurezza disponibili.

Il malware inserito nell'immagine del firmware UEFI non è solo difficile da identificare, ma è anche estremamente persistente in quanto non può essere rimosso reinstallando il sistema operativo o sostituendo l'unità di archiviazione.

Un report di Kaspersky oggi fornisce dettagli tecnici su CosmicStrand, dal componente UEFI infetto alla distribuzione di un impianto a livello di kernel in un sistema Windows ad ogni avvio.

L'intero processo consiste nell'impostare hook per modificare il caricatore del sistema operativo e assumere il controllo dell'intero flusso di esecuzione per avviare lo shellcode che preleva il payload dal server di comando e controllo.

Catena di esecuzione di CosmicStrands

Panoramica dell'esecuzione del malware CosmicStrand UEFI

fonte: Kaspersky

Mark Lechtik, un ex reverse engineer di Kaspersky, ora alla Mandiant, che è stato coinvolto nella ricerca, spiega che le immagini del firmware compromesse sono state fornite con un driver CSMCORE DXE modificato, che consente un processo di avvio legacy.

"Questo driver è stato modificato in modo da intercettare la sequenza di avvio e introdurre una logica dannosa", osserva Lechtik in un tweet lunedì.

Sebbene la variante CosmicStrand scoperta da Kaspersky sia più recente, i ricercatori di Qihoo360 hanno divulgato nel 2017 i primi dettagli su una prima versione del malware.

I ricercatori cinesi hanno iniziato ad analizzare l'impianto dopo che una vittima ha riferito che il loro computer aveva creato un nuovo account di punto in bianco e il software antivirus continuava a avvisare di un'infezione da malware.

Secondo il loro rapporto, il sistema compromesso funzionava su una scheda madre ASUS di seconda mano che il proprietario aveva acquistato da un negozio online.

Kaspersky è stato in grado di determinare che il rootkit CosmicStrand UEFI era presente nelle immagini del firmware di schede madri Gigabyte o ASUS che hanno in comune design che utilizzano il chipset H81.

Questo si riferisce al vecchio hardware tra il 2013 e il 2015 che è per lo più interrotto oggi.

Non è chiaro come sia stato posizionato l'impianto sui computer infetti poiché il processo comporterebbe l'accesso fisico al dispositivo o tramite un malware precursore in grado di correggere automaticamente l'immagine del firmware.

Le vittime identificate da Kaspersky forniscono anche pochi indizi sull'attore della minaccia e sul loro obiettivo poiché i sistemi infetti identificati appartengono a privati in Cina, Iran, Vietnam e Russia che non possono essere collegati a un'organizzazione o a un'industria.

Vittime di CosmicStrands in tutto il mondo

fonte: Kaspersky

Tuttavia, i ricercatori hanno collegato CosmicStrand a un attore di lingua cinese sulla base di modelli di codice che sono stati visti anche nella botnet di cryptomining MyKings, dove gli analisti di malware di Sophos hanno trovato artefatti in lingua cinese.

Kaspersky afferma che il rootkit del firmware UEFI CosmicStrand può persistere nel sistema per l'intera vita del computer ed è stato utilizzato nelle operazioni per anni, dalla fine del 2016.

Il malware UEFI sta diventando più comune

Il primo report diffuso su un rootkit UEFI trovato in natura, LoJax, è arrivato nel 2018 da ESET ed è stato utilizzato negli attacchi degli hacker russi nel gruppo APT28 (alias Sednit, Fancy Bear, Sofacy).

Quasi quattro anni dopo e gli attacchi di malware UEFI in natura sono diventati più frequenti e non sono stati solo gli hacker avanzati a esplorare questa opzione:

Abbiamo appreso di MosaicRegressor da Kaspersky nel 2020, sebbene sia stato utilizzato in attacchi nel 2019 contro organizzazioni non governative.

Alla fine del 2020 è arrivata la notizia che gli sviluppatori di TrickBot avevano creato TrickBoot, un nuovo modulo che controllava le macchine compromesse per le vulnerabilità UEFI.

Un altro rootkit UEFI è stato rivelato alla fine del 2021 per essere sviluppato da Gamma Group come parte della loro soluzione di sorveglianza FinFisher.

Lo stesso anno, da ESET sono emersi dettagli su un altro bootkit chiamato ESPecter, ritenuto utilizzato principalmente per lo spionaggio e con origini che risalgono al 2012.

https://www.bleepingcomputer.com/news/security/cosmicstrand-uefi-malware-found-in-gigabyte-asus-motherboards/

Vulnerabilità in PrestaShop

Angelo Domeneghini — Mon, 25 Jul 2022 09:46:00 GMT

Vulnerabilità in PrestaShop

(AL01/220725/CSIRT-ITA)

ALERT 25/07/2022 09:23

Sintesi

Rilevata una vulnerabilità - con gravità “critica” - nel CMS open source PrestaShop, utilizzato tipicamente per la realizzazione di siti di e-commerce. Tale vulnerabilità, qualora sfruttata, potrebbe permettere ad un utente malintenzionato remoto l’esecuzione di codice arbitrario sui sistemi target.

Note: la vulnerabilità risulterebbe essere stata sfruttata attivamente in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (72,82/100)1.

Tipologia

Remote Code Execution

Prodotti e versioni affette

PrestaShop, dalla versione 1.6.0.10 alla versione 1.7.8.1

Modulo Wishlist (blockwishlist), dalla versione 2.0.0 alla versione 2.1.0

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2022-36408

Riferimenti

https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/

https://github.com/PrestaShop/PrestaShop/tags

https://github.com/PrestaShop/blockwishlist/tags

https://www.csirt.gov.it/contenuti/vulnerabilita-in-prestashop-al01-220725-csirt-ita

Il phishing di QBot utilizza il sideloading di Windows Calculator per infettare i dispositivi

Angelo Domeneghini — Mon, 25 Jul 2022 09:27:00 GMT

Il phishing di QBot utilizza il sideloading di Windows Calculator per infettare i dispositivi

Gli operatori del malware QBot hanno utilizzato la calcolatrice di Windows per caricare lateralmente il payload dannoso sui computer infetti.

Il caricamento laterale delle DLL è un metodo di attacco comune che sfrutta il modo in cui vengono gestite le librerie di collegamento dinamico (DLL) in Windows. Consiste nello spoofing di una DLL legittima e nel posizionarla in una cartella da cui il sistema operativo la carica invece di quella legittima.

QBot, noto anche come Qakbot, è un ceppo di malware di Windows che è iniziato come trojan bancario ma si è evoluto in un contagocce di malware e viene utilizzato da bande di ransomware nelle prime fasi dell'attacco per rilasciare i beacon Cobalt Strike.

Il ricercatore di sicurezza ProxyLife ha recentemente scoperto che Qakbot ha abusato dell'app Calcolatrice di Windows 7 per attacchi di caricamento laterale DLL almeno dall'11 luglio. Il metodo continua ad essere utilizzato nelle campagne di spam.

#Qakbot - obama200 - html > .zip > .iso > .lnk > calc.exe > .dll > .dll

T1574 - Dirottamento dell'ordine di ricerca DLL

cmd.exe /q /c calc.exe

regsvr32 /s C:\Utenti\Utente\AppData\Local\Temp\WindowsCodecs.dll

regsvr32.exe 102755.dllhttps://t.co/2Vgg6cuRFh

IOC'shttps://t.co/e7hkNW8eQu pic.twitter.com/sCH1xagkyR

— proxylife (@pr0xylife) 11 luglio 2022

Nuova catena di infezione QBot

Per aiutare i difensori a proteggersi da questa minaccia, ProxyLife e i ricercatori di Cyble hanno documentato l'ultima catena di infezioni QBot.

Le e-mail utilizzate nell'ultima campagna contengono un file allegato HTML che scarica un archivio ZIP protetto da password con un file ISO all'interno.

La password per l'apertura del file ZIP è mostrata nel file HTML e il motivo per bloccare l'archivio è eludere il rilevamento dell'antivirus.

L'ISO contiene un file .LNK, una copia di "calc.exe" (calcolatrice di Windows) e due file DLL, ovvero WindowsCodecs.dll e un payload denominato 7533.dll.

Contenuto del file ZIP

Quando l'utente monta il file ISO, viene visualizzato solo il file .LNK, che è mascherato per sembrare un PDF contenente informazioni importanti o un file che si apre con il browser Microsoft Edge.

Tuttavia, il collegamento punta all'app Calcolatrice in Windows, come mostrato nella finestra di dialogo delle proprietà dei file.

Facendo clic sul collegamento si attiva l'infezione eseguendo Calc.exe tramite il prompt dei comandi.

Una volta caricata, la calcolatrice di Windows 7 cerca e tenta automaticamente di caricare il file DLL di WindowsCodecs legittimo. Tuttavia, non verifica la presenza della DLL in determinati percorsi codificati e caricherà qualsiasi DLL con lo stesso nome se inserita nella stessa cartella dell'eseguibile Calc.exe.

Gli attori delle minacce sfruttano questo difetto creando il proprio file WindowsCodecs.dll dannoso che avvia l'altro file [numbered].dll, che è il malware QBot.

Installando QBot tramite un programma affidabile come la Calcolatrice di Windows, alcuni software di sicurezza potrebbero non rilevare il malware quando viene caricato, consentendo agli attori delle minacce di eludere il rilevamento.

Va notato che questo difetto di sideload DLL non funziona più in Windows 10 Calc.exe e versioni successive, motivo per cui gli attori delle minacce raggruppano la versione di Windows 7.

QBot è in circolazione da più di un decennio, con origini che risalgono al 2009 [1, 2, 3, 4]. Sebbene le campagne che lo distribuiscono non siano frequenti, in passato è stato osservato che veniva distribuito dalla botnet Emotet per eliminare i payload del ransomware.

Tra le famiglie di ransomware fornite da QBot ci sono RansomExx, Maze, ProLock ed Egregor. Più recentemente, il malware ha rilasciato il ransomware Black Basta.

https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/

SonicWall: corregge immediatamente il bug critico di SQL injection

Angelo Domeneghini — Mon, 25 Jul 2022 09:21:00 GMT

SonicWall ha pubblicato oggi un avviso di sicurezza per avvertire di un difetto critico di SQL injection che ha un impatto sui prodotti GMS (Global Management System) e Analytics On-Prem.

"SonicWall PSIRT suggerisce vivamente che le organizzazioni che utilizzano la versione di Analytics On-Prem descritta di seguito dovrebbero eseguire immediatamente l'aggiornamento alla rispettiva versione con patch", avverte SonicWall in un avviso.

Il difetto, tracciato come CVE-2022-22280, consente l'iniezione SQL a causa di una neutralizzazione impropria di elementi speciali utilizzati in un comando SQL.

Ha un grado di gravità di 9,4, classificandolo come "critico" ed è sfruttabile dalla rete senza richiedere l'autenticazione o l'interazione dell'utente, mentre ha anche una bassa complessità di attacco.

Grado di gravità per CVE-2022-22280

SonicWall chiarisce di non essere a conoscenza di alcuna segnalazione di sfruttamento attivo in natura o dell'esistenza di un exploit proof of concept (PoC) per questa vulnerabilità.

Tuttavia, l'applicazione degli aggiornamenti e delle attenuazioni di sicurezza disponibili è fondamentale per ridurre al minimo le possibilità che gli aggressori sfruttino il bug.

SQL injection è un bug che consente agli aggressori di modificare una query SQL legittima in modo che esegua un comportamento imprevisto inserendo una stringa di codice appositamente predisposto nel modulo di una pagina Web o variabili di query URL.

Utilizzando questo difetto, gli aggressori possono accedere ai dati a cui di solito non dovrebbero avere accesso, ignorare l'autenticazione o potenzialmente eliminare i dati dal database.

Considerando l'ampia diffusione di SonicWall GMS e Analytics, utilizzati per la gestione centralizzata, l'implementazione rapida, la creazione di report in tempo reale e l'analisi dei dati, la superficie di attacco è significativa e in genere interessa le organizzazioni critiche.

L'azione consigliata per risolvere questa vulnerabilità consiste nell'aggiornamento a GMS 9.3.1-SP2-Hotfix-2 o successivo e Analytics 2.5.0.3-Hotfix-1 o successivo. Qualsiasi numero di versione inferiore a questi è vulnerabile a CVE-2022-22280.

SonicWall consiglia inoltre l'incorporazione di un Web Application Firewall (WAF), che dovrebbe essere adeguato per bloccare gli attacchi SQL injection anche su distribuzioni senza patch.

Al momento, non sono disponibili soluzioni alternative per questa vulnerabilità, quindi si consiglia a tutti gli amministratori di applicare gli aggiornamenti di sicurezza disponibili.

https://www.bleepingcomputer.com/news/security/sonicwall-patch-critical-sql-injection-bug-immediately/

Aggiornamenti DRUPAL

Angelo Domeneghini — Fri, 22 Jul 2022 07:42:00 GMT

Aggiornamenti DRUPAL

ALERT

22/07/2022 09:06

Aggiornamenti di sicurezza risolvono 4 vulnerabilità in Drupal Core.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: MEDIO/GIALLO (59,23/100)1.

Tipologia

Arbitrary Code Execution

Information Disclosure

Security Restrictions Bypass

Prodotti e versioni affette

Drupal

9.4.x, versioni precedenti alla 9.4.3

9.3.x, versioni precedenti alla 9.3.19

7, versioni precedenti alla 7.91

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.

Si evidenzia che per tutte le versioni di Drupal 8 e per le versioni 9 precedenti alla 9.3.x il vendor non rilascerà alcun workaround e/o patch considerata la data di fine supporto (EOL).

Identificatori univoci vulnerabilità

CVE-2022-25275

CVE-2022-25276

CVE-2022-25277

CVE-2022-25278

Riferimenti

https://www.drupal.org/sa-core-2022-015

https://www.drupal.org/sa-core-2022-014

https://www.drupal.org/sa-core-2022-013

https://www.drupal.org/sa-core-2022-012

https://www.csirt.gov.it/contenuti/aggiornamenti-drupal-al01-220722-csirt-ita