Skip to main content

CERT | Computer Emergency Response Team della comunità dell'istruzione e della ricerca

CERT | Computer Emergency Response Team della comunità dell'istruzione e della ricerca
GARR CERT

News & Warning

| Maria Sole Scollo | documentazione

Riportiamo un articolo molto dettagliato ed esauriente scritto da Francesco Gennai riguardante la nuova tecnica di spoofing dell'indirizzo e-mail, chiamata SMTP smuggling. 

| Super User | documentazione

Il servizio SCARR che permette di eseguire scansioni di vulnerabilità e migliorare così la sicurezza delle reti è stato aggiornato ad una release che apporta numerosi miglioramenti.

| Simona Venuti | documentazione

I ricercatori di ESET hanno scoperto l'esistenza di un malware, chiamato Kobalos, che infetta sistemi Linux e vari UNIX apparentemente utilizzando una versione trojan del software OpenSSH.

| Simona Venuti | documentazione

Il disservizio di spamcop, che ha portato a notevoli difficoltà nella ricezione delle e-mail nei giorni scorsi, è stato risolto ed il servizio ripristinato nelle sue funzionalità.

| Simona Venuti | documentazione

Problemi di ricezione di e-mali si stanno riscontrando nella giornata di oggi.

Il motivo, apparentemente, è dovuto al fatto che il team spamcop non ha rinnovato il dominio spamcop.net e questo sta causando in tutto il mondo il rifiuto di delivering di mail di qualsiasi
tipo per gli SMTP server che facciano uso di questa RBL.

| Super User | documentazione

Quando si lavora da casa è importante non perdere di vista gli aspetti legati alla sicurezza informatica.

Se, abitualmente, all’interno delle organizzazioni il servizio IT e di sicurezza informatica aiuta ad adottare le giuste misure di protezione, quando si lavora da casa si è maggiormente responsabili delle attività online.

Per questo il CERT, il servizio di cybersecurity GARR, ha indicato 10 consigli utili da seguire per lavorare in tutta sicurezza.

| GARR CERT | documentazione

Con il termine generico Blacklist si indicano di solito liste di nodi o domini pericolosi e/o indesiderati. Ci sono blacklist di nodi origine di spam, nodi utilizzati come controller di botnet e così via. Essere inseriti in una blacklist è facile, ad esempio basta che un account di un utente venga utilizzato per spedire spam; uscirne è spesso complicato (e qualche volta addirittura costoso).

L'idea dietro le blacklist è che un amministratore di sistema le usi per proteggere i propri server, ad esempio non accettando connessioni da nodi segnalati come origine di spam. Ovviamente, fidarsi ciecamente dei gestori delle blacklist è abbastanza sconsiderato: più che portatrici di verità evangeliche, dovrebbero essere considerate come elenchi di suggerimenti. Non dimentichiamoci poi che non tutte le backlist sono uguali: se ne sono di buone e di cattive, di serie e meno serie.

| GARR CERT | documentazione

Cosa è una honeypot?

Una honeypot è un computer, tenuto sotto stretta sorveglianza, che simula un sistema vulnerabile e quindi di interesse per un attaccante. Viene utilizzato per ottenere informazioni sui tipi di attacchi in uso ed eventualmente catturare ed analizzare il malware impiegato per l'intrusione.

| GARR-CERT | documentazione

Pesanti attacchi DDoS causati da NTP reflection sulla rete GARR

In questi ultimi giorni la rete GARR sta subendo numerosi e ripetuti tentativi di attacchi DDoS che sfruttano una vulnerabilita' di configurazione del protocollo NTP (Network Time Protocol) che consente la riflessione moltiplicata dei pacchetti causando DoS e DDoS sulla rete.

Ai fini di mitigare l'attacco, che potrebbe saturare facilmente la banda e impedire di fatto tutte le connessioni, vi preghiamo di leggere le istruzioni sotto riportate e apportare tutte le modifiche necessarie nella vostra rete di competenza.

L'attacco sfrutta principalmente vulnerabilita' di configurazione in router e switch, specialmente quelli di accesso alla rete GARR, che sono particolarmente strategici per la connettivita' generale di un ente. Sono sfruttati, anche se in misura minore, anche i singoli host della rete che hanno il protocollo NTP attivato (e configurato di "default").

| Redazione | documentazione

Una presentazione fatta nel III incontro di GARR-B (Firenze, 24-25 Gennaio 2001), relativamente vecchia, ma sempre valida:

Francesco Palmieri, Advanced Network Secuirty (iconpdf

| Redazione | documentazione

Per configurare correttamente, almeno  dal punto di vista della sicurezza, i vostri router CISCO e Juniper, vi consigliamo questi documenti:  

| R. Cecchini, A. Pinzani, M. S. Scollo & S. Venuti | documentazione

Questo breve articolo non vuole essere un trattato esaustivo sull'argomento per il quale rimandiamo ai link riportati.

Di cosa stiamo parlando?

Come vengono usati i server DNS per un attacco DDOS? Semplicemente inviando un pacchetto di query con il mittente falsificato (è la vittima). Scegliendo opportunamente il server, potrebbe essere stato compromesso con l'inserimento di un grosso record TXT oppure semplicemente risponde anche quando non dovrebbe, si ottengono fattori di amplificazione anche fino a 100. Cioè con una query di circa 40 byte, la vittima si vede arrivare una risposta di anche 4000 byte!

| GARR CERT | documentazione

Aggiornamento (31 Luglio 2014)
E' stato pubblicato un'interessante prova di AV-TEST su 17 software per riparare un pc infetto. Quasi tutti si comportano in modo soddisfacente.

Questo articolo è un riadattamento di quello apparso nella rubrica "Risponde Cecchini" di GARR News. Ultimo aggiornamento: Aprile 2014

Premetto che, per ovvi motivi di tempo, non ho provato personalmente tutti gli antivirus di cui parlerò1. Ho fatto quindi anche ricorso alle pubblicazioni di alcune organizzazioni, che si definiscono ”indipendenti“, specializzate in questo tipo di analisi: AV-TEST, Virus BULLETIN, AV-Comparatives e ICSA Labs. Le metodologie di test non sono le stesse e i risultati sono spesso in disaccordo tra di loro: ho cercato di mediare i risultati.

 

| GARR CERT | documentazione

Questo articolo è un riadattamento di quello apparso nella rubrica "Risponde Cecchini" di GARR News.

Aggiornamento (18/2/2016)

Un prodotto relativamente nuovo da provare è il Virus Removal Tool di Sophos: non offre protezione in tempo reale, ma una semplice disinfezione. Da provare prima di ricorrere ai metodi più energici indicati sotto.


Se il vostro computer non parte più o ha un comportamento strano: si blocca, è molto lento, compaiono finestre di pop-up, ecc. ecc., potrebbe essere stato infettato da un virus. Bisogna aggiungere, però, che i virus moderni sono molto discreti e possono passare facilmente inosservati.

| GARR CERT | documentazione

Informazioni e indicazioni per la rimozione su alcuni tipi di malware

Alert di GARR-CERT Usata per la segnalazione di allarmi di sicurezza e comunicazioni di interesse generale diretti agli enti GARR. L'iscrizione è aperta e consigliata a tutti, il posting è riservato ai membri di GARR-CERT