Il servizio SCARR che permette di eseguire scansioni di vulnerabilità e migliorare così la sicurezza delle reti è stato aggiornato ad una release che apporta numerosi miglioramenti.

I ricercatori di ESET hanno scoperto l'esistenza di un malware, chiamato Kobalos, che infetta sistemi Linux e vari UNIX apparentemente utilizzando una versione trojan del software OpenSSH.

Il disservizio di spamcop, che ha portato a notevoli difficoltà nella ricezione delle e-mail nei giorni scorsi, è stato risolto ed il servizio ripristinato nelle sue funzionalità.

10 easy security tips

When we sork remotely we all need to be more responsible for our online activities both for our own sake and to avoid breaching our organisations security

For this reason, GARR-CERT, the team taking care of GARR cybersecurity, has listed 10 useful tips to follow in order to work securely also from home.

Con il termine generico Blacklist si indicano di solito liste di nodi o domini pericolosi e/o indesiderati. Ci sono blacklist di nodi origine di spam, nodi utilizzati come controller di botnet e così via. Essere inseriti in una blacklist è facile, ad esempio basta che un account di un utente venga utilizzato per spedire spam; uscirne è spesso complicato (e qualche volta addirittura costoso).

L'idea dietro le blacklist è che un amministratore di sistema le usi per proteggere i propri server, ad esempio non accettando connessioni da nodi segnalati come origine di spam. Ovviamente, fidarsi ciecamente dei gestori delle blacklist è abbastanza sconsiderato: più che portatrici di verità evangeliche, dovrebbero essere considerate come elenchi di suggerimenti. Non dimentichiamoci poi che non tutte le backlist sono uguali: se ne sono di buone e di cattive, di serie e meno serie.

Cosa è una honeypot?

Una honeypot è un computer, tenuto sotto stretta sorveglianza, che simula un sistema vulnerabile e quindi di interesse per un attaccante. Viene utilizzato per ottenere informazioni sui tipi di attacchi in uso ed eventualmente catturare ed analizzare il malware impiegato per l'intrusione.

Pesanti attacchi DDoS causati da NTP reflection sulla rete GARR

In questi ultimi giorni la rete GARR sta subendo numerosi e ripetuti tentativi di attacchi DDoS che sfruttano una vulnerabilita' di configurazione del protocollo NTP (Network Time Protocol) che consente la riflessione moltiplicata dei pacchetti causando DoS e DDoS sulla rete.

Ai fini di mitigare l'attacco, che potrebbe saturare facilmente la banda e impedire di fatto tutte le connessioni, vi preghiamo di leggere le istruzioni sotto riportate e apportare tutte le modifiche necessarie nella vostra rete di competenza.

L'attacco sfrutta principalmente vulnerabilita' di configurazione in router e switch, specialmente quelli di accesso alla rete GARR, che sono particolarmente strategici per la connettivita' generale di un ente. Sono sfruttati, anche se in misura minore, anche i singoli host della rete che hanno il protocollo NTP attivato (e configurato di "default").

Una presentazione fatta nel III incontro di GARR-B (Firenze, 24-25 Gennaio 2001), relativamente vecchia, ma sempre valida:

Francesco Palmieri, Advanced Network Secuirty (pdf) 

Per configurare correttamente, almeno  dal punto di vista della sicurezza, i vostri router CISCO e Juniper, vi consigliamo questi documenti:  

• Team Cymru, Secure IOS Template (aggiornato regolarmente);
• Team Cymru, JUNOS Secure Template (fermo al 2001).

Questo breve articolo non vuole essere un trattato esaustivo sull'argomento per il quale rimandiamo ai link riportati.

Di cosa stiamo parlando?

Come vengono usati i server DNS per un attacco DDOS? Semplicemente inviando un pacchetto di query con il mittente falsificato (è la vittima). Scegliendo opportunamente il server, potrebbe essere stato compromesso con l'inserimento di un grosso record TXT oppure semplicemente risponde anche quando non dovrebbe, si ottengono fattori di amplificazione anche fino a 100. Cioè con una query di circa 40 byte, la vittima si vede arrivare una risposta di anche 4000 byte!

Aggiornamento (31 Luglio 2014)
E' stato pubblicato un'interessante prova di AV-TEST su 17 software per riparare un pc infetto. Quasi tutti si comportano in modo soddisfacente.

Questo articolo è un riadattamento di quello apparso nella rubrica "Risponde Cecchini" di GARR News. Ultimo aggiornamento: Aprile 2014

Premetto che, per ovvi motivi di tempo, non ho provato personalmente tutti gli antivirus di cui parlerò¹. Ho fatto quindi anche ricorso alle pubblicazioni di alcune organizzazioni, che si definiscono ”indipendenti“, specializzate in questo tipo di analisi: AV-TEST, Virus BULLETIN, AV-Comparatives e ICSA Labs. Le metodologie di test non sono le stesse e i risultati sono spesso in disaccordo tra di loro: ho cercato di mediare i risultati.

Questo articolo è un riadattamento di quello apparso nella rubrica "Risponde Cecchini" di GARR News.

Aggiornamento (18/2/2016)

Un prodotto relativamente nuovo da provare è il Virus Removal Tool di Sophos: non offre protezione in tempo reale, ma una semplice disinfezione. Da provare prima di ricorrere ai metodi più energici indicati sotto.

Se il vostro computer non parte più o ha un comportamento strano: si blocca, è molto lento, compaiono finestre di pop-up, ecc. ecc., potrebbe essere stato infettato da un virus. Bisogna aggiungere, però, che i virus moderni sono molto discreti e possono passare facilmente inosservati.

Informazioni e indicazioni per la rimozione su alcuni tipi di malware