Windows updates

È iniziato il Patch Tuesday. Come ogni secondo martedì del mese sono partiti i nuovi aggiornamenti di sicurezza di Windows, gli ultimi per il 2018. Le novità serviranno per correggere diverse vulnerabilità critiche. Vediamo di cosa si tratta e come comportarsi con gli aggiornamenti

L’11 dicembre 2018 è iniziato, negli USA, il Patch Tuesday e cioè il giorno (il secondo martedì del mese) in cui Windows rilascia il pacchetto di aggiornamenti di sicurezza, volti a risolvere alcune criticità riscontrate nella versione attuale.

In Europa la giornata dedicata agli aggiornamenti è solitamente il mercoledì successivo ma molto dipende anche dalle impostazioni che ognuno ha programmato sul proprio pc.

L’aggiornamento di dicembre è volto a correggere 38 vulnerabilità e ben 9 di queste sono segnate come critiche. È quindi opportuno non rinviare troppo a lungo il lavoro e ricavarsi il tempo necessario affinché il pc lavori su queste patch.

I prodotti che verranno aggiornati sono:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Office
  • Microsoft Office Services e Web Apps
  • NET Framework
  • Microsoft Dynamics NAV
  • Microsoft Exchange Server
  • Microsoft Visual Studio
  • Windows Azure Pack (WAP)
  • ChakraCore
  • Adobe Flash Player

Come riportato da CyberSecurity360, 5 dei 9 aggiornamenti critici sono volti a correggere le vulnerabilità di Chakra, lo scripting engine di Microsoft Edge e in particolare il modulo che gestisce gli oggetti nella memoria del browser.Queste falle potrebbero danneggiare la memoria, permettendo l’ingresso a un malintenzionato, semplicemente facendo entrare il proprietario del pc in una semplice pagina web creata ad hoc.

Nel pacchetto dei bollettini di sicurezza segnati come critici c’è un aggiornamento che serve a correggere una vulnerabilità legata all’errata gestione dell’input nel framework Microsoft, un altro che corregge una vulnerabilità legata all’errata gestione delle richieste DNS su Windows Server che permette l’esecuzione di codice in modalità remota, ne abbiamo poi uno che corregge una vulnerabilità legata all’esecuzione di codice in modalità remota, dovuta al modo in cui Internet Explorer gestisce gli oggetti in memoria. In uno scenario web, l’attaccante dovrebbe indurre la vittima a visitare un sito appositamente predisposto per sfruttare la vulnerabilità di Internet Explorer:

CVE-2018-8631 | Internet Explorer Memory Corruption Vulnerability

Infine un aggiornamento che corregge l’esecuzione del codice remoto in Windows che si presenta quando il motore di text-to-speech di Microsoft non riesce a gestire correttamente gli oggetti in memoria. In particolare, la vulnerabilità è dovuta alla corruzione della memoria in Microsoft Edge.

Procedere con gli aggiornamenti è molto semplice: Windows 10 è già impostato per verificarne la disponibilità ed installarli automaticamente. È possibile però programmare manualmente un giorno e un orario andando sulle impostazioni -> aggiornamenti e sicurezza –> cambia data e ora. In questo modo il sistema sa quando usiamo più frequentemente il pc e imposta un orario comodo per procedere con le modifiche automatiche, così da non interrompere l’operatività.

Sempre in questa sezione delle impostazioni è possibile verificare se ci siano aggiornamenti disponibili ed effettuare manualmente l’update.

 

Geolocalizzazione Google

Le denunce arrivano da 7 Stati membri dell’Unione Europea: Google viola il GDPR, spiando il movimento degli utenti attraverso la geolocalizzazione sui dispositivi smartphone

“Le pratiche ingannevoli di Google contraddicono la lettera e lo spirito del regolamento” Ue sulla tutela dei dati personali, “è inaccettabile che le imprese fingano di rispettare la legge quando in realtà la aggirano”, ha dichiarato la direttrice del Beuc, Monique Goyens, facendosi portavoce di ben sette associazioni europee di consumatori pronte a denunciare il gigante del web ai rispettivi Garanti della privacy.

Il Beuc – dal francese Bureau Européen des Unions de Consommateurs – è un’associazione “ombrello” di consumatori di più Paesi: Norvegia (con la sua Forbrukerradet), Repubblica Ceca (dTEst), Olanda (Consumentenbond), Svezia (Sveriges Konsumenter), Grecia (Ekpizo) Slovenia (Potrosnikov Slovenije) e Polonia (Federacja Konsumentow).

Nel loro mirino il sistema di geolocalizzazione che Big G attiva sugli smartphone degli utenti e che sembrerebbe non rispettare i principi del Regolamento Europeo sulla Protezione dei Dati (GDPR). 

Il problema sembra riguardare prevalentemente gli smartphone Android che funzionano solo se associati a un account Google. Questo sembrerebbe discostare dal GDPR, in quanto Google non ha una base giuridica per trattare i dati, non ha un vero interesse legittimo su questa attività altamente intrusiva e gli utenti non sono liberi di dare o meno il proprio consenso.

Arriva pronta la difesa di Big G che dichiara che “La cronologia delle posizioni è disattivata per impostazione predefinita e può essere modificata, cancellata o messa in pausa in ogni momento. Se è attiva, aiuta a migliorare servizi come la previsione del traffico durante gli spostamenti. Se è in pausa, è bene chiarire che – in base alle impostazioni di ciascun telefono e delle app –  potremmo ancora raccogliere e usare i dati sulla localizzazione per migliorare l’esperienza con Google. Diamo la possibilità di controllare i dati sulla localizzazione anche in altri modi, tra cui uno strumento di controllo Google chiamato Attività Web & App, e direttamente su ciascun dispositivo. Lavoriamo costantemente per migliorare i nostri strumenti di controllo, e leggeremo attentamente questo rapporto per vedere se ci sono cose che possiamo migliorare”.

Proprio quel voler “migliorare l’esperienza con Google” pare essere una motivazione troppo labile. Vedremo se le associazioni di consumatori andranno fino infondo, imponendo ai giganti del web le regole che dovrebbe valere per tutti.

 

Tags: ,
Hackerati indirizzi pec PA

Sono stati attaccati più di 500mila indirizzi PEC della Pubblica Amministrazione. Il vice direttore del DIS per la cyber security consiglia: “Cambiate le password”

Sono circa 500mila le caselle PEC vittime di un attacco informatico che ha coinvolto più di 3000 soggetti, tra cui tantissimi organismi della Pubblica Amministrazione, e che ha avuto come maggior conseguenza l'interruzione dei servizi informatici degli uffici giudiziari dei distretti di Corte di Appello di tutta Italia. 

Nel corso di una conferenza stampa tenutasi il 19 novembre Roberto Baldoni, vice direttore del DIS (Dipartimento delle informazioni per la sicurezza), ha denunciato l’accaduto, parlando dell’attacco come del “più grave avvenuto nel 2018”. Ha inoltre chiarito che l’hackeraggio non è partito dall’Italia e che la polizia postale sta indagando su quanto accaduto.  

Le vittime, come detto, sono soggetti privati e pubblici appartenenti in particolare alle istituzioni che fanno parte del Comitato Interministeriale per la Sicurezza della Repubblica (CISR), vale a dire Presidenza del Consiglio, Autorità Delegata e i ministeri di Esteri, Difesa, Interno, Economia e Finanze, Sviluppo Economico e Giustizia. Proprio quest’ultimo dipartimento è stato il più colpito.

L’attacco, avvenuto lo scorso 12 novembre è durato poche ore e ha consentito ai malintenzionati di estrapolare alcuni dati personali dei proprietari degli indirizzi PEC colpiti, ma non di estrarre documenti.

Inizialmente, il 10 novembre, gli hacker hanno compiuto un’azione di scanning, volta a raccogliere informazioni per colpire seriamente due giorni dopo, provocando un vero e proprio blocco del servizio. L’azienda hackerata, che fornisce servizi ICT alla PA, ha notificato al CNAIPIC l’attacco, intuendo che poteva essere estremamente rilevante dal unto di vista della sicurezza nazionale.

Dopo la segnalazione dalla Polizia all’NSC è partito il primo protocollo di allerta e poi, in base a una serie di informazioni ricevute dalle vittime dell’attacco, a un secondo. La conseguenza più eclatante è stata il blocco dei Tribunali nella giornata del 14 novembre.

Il cyber attacco, dice Baldoni, “è stato grave e ha avuto ricadute importanti. Ma noi stavamo lavorando da tempo su una serie di punti, che definiscono cosa dobbiamo fare per il nostro sistema di cyber securirty nazionale”. 

Ora, per correre ai ripari, è lo stesso Baldoni che invita tutti i possessori di un indirizzo PEC a cambiare la password.

“Le caselle di posta elettronica violate con password al seguito”, riporta La Repubblica, “possono essere usate per impersonare autorità e dare ordini fasulli, oppure possono essere vendute al mercato nero a soggetti interessati ad ottenere elenchi di giornalisti, magistrati, dirigenti ministeriali con scopi di spionaggio politico, militare e industriale. Nell'ipotesi peggiore il furto delle credenziali è solo l'ultima fase dell'attacco verso qualche operatore istituzionale di cui venivano spiate le mosse in precedenza da attori statali o parastatali, i famosi Apt, i gruppi paramilitari cibernetici al servizio di Stati canaglia, con molta probabilità simili a quelli scoperti nei giorni scorsi ai danni dell'industria navale italiana da una task force Yoroi-Fincantieri”. 

Dopo l’attacco, durante una riunione coi vertici dello Stato cui ha partecipato anche il Premier Conte, sono state definite una serie misure minime di sicurezza, per proteggere soprattutto la PA. Tra queste c’è l’inserimento, nei contratti di acquisto, di clausole adeguate all’impatto che hanno nella sicurezza i beni ICT acquistati dalla PA.

Nuovo bug per FB

Nuovi problemi per Facebook: la società di cybersecurity Imperva ha individuato un nuovo bug che permetterebbe ai siti di ottenere informazioni private degli utenti

Sembrano non finire mai i guai per Facebook. Dopo lo scandalo di Cambrige Analytica infatti, non smettono di comparire nuove minacce che mettono a rischio i dati degli utenti.

L’ultima, in ordine cronologico, è stata segnalata in maggio dalla società di cybersecurity Imperva, che ha individuato un bug presente nella pagina che visualizza i risultati di ricerca. 

Quado usiamo Facebook per cercare un amico, un evento, una pagina o qualsiasi altra cosa, veniamo infatti reindirizzati su una pagina “riassuntiva” che riporta tutte le voci collegate alla nostra specifica richiesta. Ciascuno di questi risultati è associato a un URL, che è la sequenza di caratteri che crea l’indirizzo Internet, per intenderci, e che si compone di sei parti: 

protocollo (https)://[username[:password]@]host[:porta]</percorso>[?querystring][#fragment]

https://www.facebook.com/TECSISsrl/  --> e questo è poi il risultato finale visibile. 

Dentro questo indirizzo dovrebbe esserci un meccanismo di protezione, volto a difendere gli utenti associati da attacchi CSRF (cross-site request forgery). 

Per sfruttare questa vulnerabilità per gli hacker era sufficiente portare gli utenti a cliccare su un sito dannoso, sul proprio broswer, in cui non avevano effettuato la disconnessione da Facebook e cancellato la cache.

In questo modo il broswer leggeva l’indirizzo cliccato dall’utente come se fosse stato richiesto da lui, dando così all’hacker la possibilità di accedere, al posto dello sfortunato utente, a numerosi dati tra cui:

  • il nome specifico di un amico che ha proprio nel suo nome la parola chiave
  • pagine specifiche che segui (profilando quindi i tuoi comportamenti)
  • pagine che piacciano ai tuoi amici• foto scattate in un determinato luogo o Paese
  • foto postate in determinate luoghi o Paesi
  • aggiornamenti pubblicati sulla tua timeline, contenenti specifici parole chiavi
  • amici appartenenti a determinati gruppi religiosi

La falla sembra ora essere stata risolta ma per Facebook la sicurezza continua ad essere un grosso problema, anche se non l’unico Ricordate la brutta vicenda del coinvolgimento del social network nell’influenzare l’elettorato statunitense durante le elezioni presidenziali, con un piccolo aiuto della Russia? Ecco, pare che Facebook in quella storia abbia molte più colpe di quanto pensassimo, come riportato nella nuova inchiesta del New York Times.

Solid

Per celebrare l’anniversario della “Congiura delle polveri” il collettivo di Anonymous ha pubblicato, il 5 novembre scorso, i dati sensibili di ministeri, enti pubblici e partiti, proprio come annunciato all’inizio di questa “Black Week”

 “C’è qualcosa di terribilmente marcio in questo paese, crudeltà e ingiustizia, intolleranza e oppressione […] Se cercate il colpevole non c’è che da guardarsi allo specchio”, questo è l’annuncio con cui, lo scorso 29 ottobre, il collettivo di hacker Anonymous Italia ha comunicato che avrebbe reso pubblici, per una settimana – la cosiddetta Black Week -, dati rubati da vari siti di Enti pubblici, partiti e ministeri. 

Il giorno finale degli attacchi doveva essere – ed è stato - il 5 novembre, una data simbolica che commemora la Congiura delle Polveri, l’attacco del 1605 progettato dal famoso dissidente britannico Guy Fawkes (la maschera a cui si ispira il protagonista del film V per Vendetta), che aveva l’intento di uccidere re Giacomo I d’Inghilterra.

L’attacco è stato pianificato da più collettivi di hacktivisti (un neologismo che deriva dall’unione delle parole e hacker etici + attivisti), LulzSec Ita e Antisec di Anonymous Italia, che hanno deciso di collaborare per colpire l’attuale governo, attaccando direttamente “chi non fa crescere il Paese e si prende lo stipendio”, e divulga “paura e caos”.

Un attacco diffuso alla politica quindi, reso palese dall’annuncio diretto contro il partito della Lega: “Ricordate quella "piccola" somma rubata dalla Lega? Una parte di quei ‘miseri’, 49 milioni di euro, che si dice vengano restituiti ad un tasso molto più basso del mutuo per una persona che compra casa, magari sarebbero potuti servire alle Università, come molti altri fondi sparsi per l'Italia senza uno scopo preciso, intascati dai Ladri seduti sulle loro poltrone”.

Dalle parole ai fatti e, come promesso, lunedì 5 novembre migliaia di dati sensibili di dirigenti, funzionari e impiegati di enti pubblici e ministeri, completi di numero di cellulare, email e password, sono stati diffusi in rete.

I database violati sono stati quelli del Ministero dello Sviluppo Economico, del CNR, degli Archivi di Stato e di Equitalia, oltra ai dati sensibili di alcuni tesserati dei partiti Fratelli d’Italia (il cui sito è stato addirittura oscurato), Lega Nord Trentino Alto Adige e PD di Siena. Altri portali colpiti dall’attacco sono stati quello di Ferrovie.it (che non è collegato al sito delle Ferrovie dello Stato) e quello dell’Associazione della polizia di Stato.

Tutti i dati, in chiaro, sono ora consultabili direttamente sul blog di Anonymous Italia, come dichiarato da LulzSec Ita su Twitter.

Ancora una volta la sicurezza dei sistemi e delle infrastrutture informatiche della nostra Pubblica Amministrazione si rivela debole e assolutamente impreparata ad attacchi mirati.

Solid

PagoPA, il sistema di pagamenti verso la pubblica amministrazione, cambia volto al bollettino di Poste Italiane integrando un nuovo avviso di pagamento analogico

PagoPA è un sistema che consente, a cittadini e imprese, di effettuare i pagamenti verso la pubblica amministrazione in modalità elettronica sulla base di regole, standard e strumenti definiti da AgID e accettati dalla PA, dalle Banche, Poste ed altri istituti di pagamento (Prestatori di servizi di pagamento - PSP) aderenti.

Attualmente le PA che hanno concluso la procedura di attivazione e sono operative su PagoPA sono 13.654, con un numero totale di transazioni (conteggiate da ottobre 2015) pari a 13.864.737 e un totale incassato di 1.990.702.007€.

Questi pagamenti, grazie alla piattaforma, sono sicuri, trasparenti e semplici per i cittadini. La multicanalità offerta dal sistema infatti, rende possibile effettuare le transazioni online ma anche in maniera fisica, come ad esempio presso gli sportelli ATM della banca, gli Uffici Postali e i punti vendita SISAL e Lottomatica.

L'apparato PagoPA è in continuo aggiornamento e proprio in questi giorni è stato lanciato il nuovo bollettino, operativo dal 1 dicembre, che presenta una grafica più semplice, un’integrazione all’Avviso di Pagamento e un formato più piccolo. Sarà inoltre possibile pagarlo direttamente in ufficio postale o sul sito poste.it e postepay.it.

Tra le altre novità del bollettino abbiamo il QR-Code che andrà a sostituire il BareCode e il fatto che non sarà più l’operatore a selezionare la modalità di pagamento che sarà invece letta direttamente dal Data Matrix, riducendo quindi la quota di fuori nodo. I pagamenti che potranno continuare a transitare fuori nodo saranno quelli di bollettini eseguiti come 896 normali tramite Poste.it e quelli eseguiti presso “reti terze” (canali convenzionati con Poste per questa transazioni).

Come cambia il bollettino:

bollettino1

Il numero a 3 cifre riportato in basso a destra indica la tipologia del bollettino: 896 o 674 è un precompilato, 123 o 451 si tratta di un bianco, mentre il 247 è un MAV. 

bollettino2

In basso a sinistra troviamo il codice identificativo a 18 cifre del bollettino. 

bollettino3

In alto a sinistra è indicato il numero del conto corrente del beneficiario. 

bollettino4

In alto a destra l’importo da pagare.

Gli Ordini Professionali sono obbligati ad aderire a pagoPA?

Per rispondere a questa domanda è necessario innanzitutto precisare che gli Ordini sono riconosciuti dal legislatore come veri e propri enti pubblici non economici, in quanto idonei ad adottare atti incidenti sulla sfera giuridica altrui ma continuano ad essere conformati come enti esponenziali di ciascuna delle categorie professionali interessate e quindi come organizzazioni proprie di determinati appartenenti all’ordinamento giuridico generale.

Nel caso specifico dell’applicazione dell’articolo 5 del CAD e dell’adesione al Sistema pagoPA, ricordiamo che tale obbligo, ai sensi dell’art. 2, comma 2, del CAD riguarda anche gli enti pubblici non economici e, addirittura, i gestori di pubblici servizi e le società a controllo pubblico non quotate.

Per questo motivo gli ordini professionali sono quindi obbligati ad aderire al Sistema pagoPA per consentire ai loro pagatori di beneficiare delle funzionalità di pagamento elettronico offerte dal sistema.

Tags: ,
Solid

Dopo 16 anni arriva la revisione del dominio europeo .eu da parte dell’Europarlamento. Il cambiamento alla luce del regolamento sulla protezione dei dati, prevedrà la registrazione anche per i residenti fuori dall’Unione

Sono passati 16 dall’istituzione del dominio internet .eu e ora l’Europarlamento prevede un cambiamento all’insegna della trasparenza. Grazie all’istituzione di un gruppo multipartecipativo che farà da consulente alla Commissione, le nuove regole proposte dal Consiglio dell’Unione Europea saranno applicate non solo negli stati membri, come previsto dal GDPR, ma anche in tutta l’UE.

Tra le novità più importanti, oltre alla già citata compliance del dominio al Regolamento UE sulla protezione dei dati (GDPR), ci sarà anche il diritto di registrare siti internet con questo dominio per i cittadini residenti in tutto il mondo.

Il dominio, nato il 7 febbraio 2006, inizialmente era attivabile solo per i possessori di marchi registrati e per le istituzioni, venne poi esteso a tutti i cittadini europei il 7 aprile 2006.

Questi cambiamenti fanno parte di una nota della revisione delle norme che disciplinano il dominio Internet, in una proposta che rispecchia le significative modifiche che si sono verificate nell’ambiente online da quando il primo regolamento .eu è stato adottato, 16 anni fa, tra cui quella della concorrenza più agguerrita nello spazio dei nomi di dominio e il maggiore ruolo della comunità multipartecipativa nella governance di Internet.

Il comunicato del Consiglio dell’Unione Europe spiega come la proposta in esame specifichi che l’Europarlamento non ha ancora preso posizione in merito alla questione: “fa parte della strategia per il mercato unico digitale e del controllo dell’adeguatezza della regolamentazione (Refit) effettuato dalla Commissione”. 

Il dominio .eu è un dominio di primo livello nazionale dell’Unione Europea, delle imprese e dei cittadini degli stati membri, gestito dall'EURid, un consorzio dei amministratori dei TLD nazionali di Belgio, Repubblica Ceca, Svezia e Italia.

Ad oggi conta 4 milioni di registrazioni.

Tags:

logo sito

Via Levorin, 1 - 35127 Padova

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Tel. (+39) 049.8077145
Fax (+39) 049.7806159

 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2018 TECSIS S.r.l. All Rights Reserved.

Search