Pubblicazione iniziale: 2022/02/27. L’articolo è stato modificato estesamente per tenere conto degli ultimi sviluppi della situazione. Ultimo aggiornamento: 2022/03/16 21:00.

L’invasione russa in Ucraina ha attivato una serie di sanzioni internazionali che riguardano molte aziende russe o legate alla Russia, e fra queste c’è anche il noto produttore di software di sicurezza Kaspersky. 

Mi stanno arrivando parecchie domande su cosa fare in particolare con gli antivirus di Kaspersky. La tesi che gira maggiormente è che siccome il fondatore e CEO, Eugene Kaspersky, è un ex membro del KGB, allora non ci si dovrebbe fidare dei prodotti della sua azienda. Inoltre si fa notare che il governo statunitense ha vietato già nel 2017 alle agenzie federali di usare software di Kaspersky.

È vero che Eugene Kaspersky ha studiato alla scuola del KGB e ci ha lavorato (Stefano Quintarelli), però temere che l'azienda annidi trappole pro-Russia nei suoi prodotti perché il suo CEO è un "ex KGB" suona un po' come dire "non mi fido dei consigli informatici di Edward Snowden, è un ex dell’NSA". Tantissimi dei migliori esperti del settore informatico sono passati dalle rispettive scuole tecniche militari.

Inoltre l'azienda non è composta solo dal suo CEO. Ci lavorano tecnici esperti di moltissimi paesi del mondo, e in seguito alle accuse statunitensi Kaspersky ha attivato una serie di Centri di trasparenza o Transparency Center che consentono ai partner fidati e agli enti governativi di esaminare il codice dei suoi prodotti. Uno di questi Centri di Trasparenza si trova a Zurigo.

Alcuni giorni fa Kaspersky Lab Italia ha inviato una lettera ai suoi clienti (di cui ho copia ma che non pubblico per tutela delle fonti), nella quale rassicura sui princìpi aziendali e sulle misure prese per mantenere la continuità operativa nonostante gli embargo verso la Russia. Queste misure comprendono i data center, che già da novembre 2018 sono stati gradualmente trasferiti in Svizzera e altri paesi. Resta da vedere se tutto questo basterà a convincere i clienti.

Come sempre in questi casi, bisognerebbe basarsi sulle prove, non sui sospetti. Ci sono prove? Bene, allora si può ragionare. Non ci sono prove? Allora forse è meglio evitare decisioni di pancia. Anche il divieto statunitense è stato emanato senza fornire alcuna prova concreta, e anche il Centro per la cibersicurezza britannico (NCSC) nota che non ci sono motivi robusti (“no compelling case at present”) per sconsigliare l’uso del software di Kaspersky.

Fabio Pietrosanti ha fatto un’inchiesta su Kaspersky (l’azienda): leggetela. Leggete anche l’articolo di Stefano Quintarelli su Il Post che nota che Kaspersky è certificata per l’uso in ambiti classificati, ma solleva “la questione dell’opportunità di una riflessione a lungo termine in merito a chi affidare la scansione di tutti i contenuti digitali (con antivirus ed altre tecnologie), in particolare di quelli ospitati nelle organizzazioni pubbliche e private che rientrano nel “perimetro cibernetico” italiano.” Ma sempre Quintarelli, nello stesso articolo del Post, nota anche che Kaspersky si occupa molto direttamente della sicurezza informatica delle infrastrutture governative russe.

Il problema, in effetti, è che un antivirus è un software che ha pieno accesso ai dati e al sistema operativo, per necessità, e quindi è indispensabile potersene fidare completamente.

Conviene insomma ragionare con calma per decidere se si vuole cambiare prodotto o no, quale prodotto scegliere e come fare bene una migrazione che non crei una vulnerabilità proprio in un momento delicato come questo. Le decisioni avventate raramente si sposano bene con la sicurezza informatica.

Nel passare a un prodotto alternativo, bisogna anche valutare quanta fiducia si può dare al paese dal quale proviene quel prodotto alternativo. Sarebbe ingenuo pensare che solo le aziende russe possano avere legami governativi scomodi. L’ente statunitense di sorveglianza NSA, per esempio, ha alterato di nascosto i router della Cisco, tanto per dire, e nel 2020 è emerso il caso della società Svizzera Crypto AG, che produceva dispositivi di cifratura venduti in tutto il mondo ma modificava quelli forniti ad alcuni paesi, in modo da consentire alla CIA e ai servizi segreti tedeschi di sorvegliare gli utenti di quei paesi.

In questa valutazione è opportuno considerare, per esempio, se il prodotto è open source e quindi liberamente ispezionabile. È più difficile annidare trappole in un prodotto open source che in uno a sorgente chiuso. 

[2022/03/13: l’esperto di sicurezza informatica Corrado Giustozzi, sul Corriere, descrive un modo elegante in cui un antivirus, pur essendo open source e completamente trasparente e anche ispezionato da autorità terze affidabili, può agire per conto di un aggressore: è sufficiente che i creatori dell’antivirus intenzionalmente non gli facciano rilevare il malware usato dall’aggressore. Una tecnica, aggiungo, già usata in passato da alcuni antivirus nei confronti di malware commerciale e forse anche malware governativo.] 

Infine non va dimenticato il contributo dei ricercatori di tutto il mondo che lavorano per Kaspersky Labs, che danno una mano importante da anni nella difesa contro il malware e pubblicano info preziose sui malware circolanti. Fra l’altro, la qualità del software antivirus di Kaspersky è ritenuta molto alta e superiore a molti prodotti alternativi come Norton o Trend Micro:

“Kaspersky’s malware scanner has been tested as recently as fall of 2020 by major testing labs. It performed extremely well, capturing 100% of zero-day malware and 100% of widespread malware, with fewer false positives than a close competitor Norton. SE Labs in London confirmed that this 100% record resulted from blocking the malware from being installed, rather than dismantling it once it had been installed. Only Trend Micro had a similarly perfect record, while top products like Norton and Microsoft allowed a few pieces of malware to be installed before neutralizing them.” (Cybernews).

C’è anche un altro aspetto pratico importante da considerare a proposito di Kaspersky: in caso di embargo sui prodotti russi potrebbero esserci problemi di supporto tecnico o di aggiornamento. E c’è anche la questione del messaggio politico di isolamento e di protesta che si potrebbe dare abbandonando un prodotto considerato “russo”. 

Non è una situazione facile, insomma. Ma in sintesi: se usate Kaspersky e vi sentite più tranquilli a cambiare prodotto di sicurezza, è perfettamente comprensibile. Però pensateci bene e pianificate altrettanto bene l’eventuale sostituzione.

---

Full disclosure: non uso prodotti Kaspersky, a parte un porta-carte di credito schermato che ho ricevuto in omaggio. Ma se essere contigui è indice di colpa, preciso che sì, una volta sono stato a pochi metri da Eugene. Insieme a Neil deGrasse Tyson, Oliver Stone e Larry King. Allo Starmus Festival, a Trondheim, nel 2017. Non ci siamo parlati :-)

---

2022/03/15 23:10. L’ente di sicurezza informatica governativo tedesco BSI (Bundesamt für Sicherheit in der Informationstechnik) ha pubblicato un avviso ufficiale (in tedesco) sull’uso dei prodotti Kaspersky, mettendo in guardia non solo a proposito di quello che potrebbero fare, ma anche di quello che potrebbero essere costretti a fare da altri. Il BSI ha anche pubblicato una FAQ apposita dedicata a Kaspersky e altre info sono su Der Spiegel, sempre in tedesco.

Kaspersky ha pubblicato una replica.

---

2022/03/16 6:45. Il CSIRT italiano ha pubblicato una raccomandazione sulle “implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa”. Non cita per nome Kaspersky, ma il senso è evidente. Consiglio di leggerla.

Fonti aggiuntive: SafetyDetectives, Wired UK.

Fonte: Avira/Krebs on Security.

Di solito, quando qualcuno mi chiede quale antivirus usare, rispondo che grosso modo uno vale l’altro: l’importante è usarne uno, tenerlo aggiornato e stare alla larga dagli antivirus fasulli che appaiono spesso nelle pubblicità di Internet. È già tanto rispetto a quello che fanno molti utenti, ossia assolutamente niente oppure, peggio ancora, installare qualche antivirus farlocco che dà un falso senso di protezione. Ma forse sarò costretto a cambiare consiglio.

Due noti antivirus, Norton360 e Avira, hanno infatti iniziato qualche mese fa a integrare nelle proprie installazioni un cryptominer, ossia un programma che genera criptovalute. Nel caso specifico, genera la criptovaluta Ethereum.

I soldi digitali così prodotti vengono suddivisi fra l’utente e l’azienda produttrice dell’antivirus. Norton e Avira si prendono il 15%, più una commissione su ogni transazione, e il resto va all’utente. Tutto il meccanismo è descritto in una sezione apposita del sito di Norton e in una analoga del sito di Avira.

Il problema è che generare criptovalute richiede un uso molto intensivo del computer dell’utente, per cui questo guadagno in realtà si paga sotto forma di consumo di energia elettrica e di surriscaldamento e rallentamento del computer. Per chi non usa le criptovalute, poi, non c’è proprio nessun guadagno ma solo una perdita.

Va chiarito che l’installazione del cryptominer non è automatica: avviene solo su computer dotati di scheda grafica piuttosto potente (per esempio una NVIDIA o AMD con almeno 6 GB di memoria) e viene proposta all’utente durante la prima installazione dell’antivirus, secondo la formula chiamata opt-in, ma molti utenti sono abituati a cliccare distrattamente sulle varie richieste che compaiono durante le installazioni e quindi è facile che si ritrovino con un cryptominer installato senza volerlo.

La decisione di Norton e Avira non è stata gradita da molti addetti ai lavori e da parecchi utenti. È vero che Avira è un prodotto gratuito, per cui lasciare che questo antivirus guadagni qualcosina è una sorta di forma di pagamento, ma è spesso un pagamento inconsapevole. Norton360, invece, è un prodotto a pagamento, per cui l’utente finisce in un certo senso per pagarlo due volte.

Se avete installato di recente uno di questi prodotti e notate che il vostro computer è più lento del solito o fa girare più spesso la ventola di raffreddamento, può darsi che abbiate installato il cryptominer senza accorgervene. E qui arriva l’altro problema che sta facendo arrabbiare gli utenti: disinstallare il cryptominer non è affatto facile.

Bisogna infatti trovare un file specifico, di nome Ncrypt.exe, e rimuoverlo. Ma per rimuoverlo bisogna andare nelle impostazioni e disattivare la protezione contro le alterazioni, come descritto in una pagina del sito di Norton che non è certo facile da trovare per un utente medio. Una volta rimosso il file, bisogna poi riattivare la protezione contro le alterazioni dell’antivirus. Tutte cose che portano via tempo. E il tempo è denaro, specialmente se richiede l’intervento di uno specialista: forse è meglio scegliere direttamente un antivirus a pagamento che non comporta tutte queste complicazioni.

Fonti: Slashdot, Digital Trends, Wired, The Register, Punto Informatico, The Register.

Bitdefender ha effettuato un sondaggio sulle pratiche di base di sicurezza informatica in 11 paesi, e i risultati sono piuttosto deludenti: c’è ancora tanta strada da fare. Per esempio, il 50% degli intervistati ha ammesso disinvoltamente di usare la stessa password per tutti gli account. Un altro 32% ha detto di usare solo poche password, che adopera più volte su vari account.

Il sondaggio (PDF scaricabile, in inglese; comunicato stampa riassuntivo in italiano) si basa su un campione di 10.124 intervistati in Australia, Stati Uniti, Regno Unito, Francia, Germania, Italia, Spagna, Paesi Bassi, Romania, Svezia e Danimarca, di età fra 18 e 65 anni.

Sempre a proposito di password, più di una persona su quattro usa password banali (tipo 1234) come PIN di blocco del cellulare, e più di una persona su dieci non usa nessun PIN. Gli uomini tendono a usare password semplici più delle donne (31% contro 23%). Poi chiediamoci come mai i furti di account sono così frequenti.

Per quanto riguarda gli antivirus, più di uno su tre (35%) non ne usa sul proprio smartphone e il 30% ritiene che i telefonini non ne abbiano bisogno. Eppure il 66% dice di aver avuto almeno una minaccia informatica su quello stesso cellulare negli ultimi 12 mesi.

Il sondaggio copre anche l’uso degli smartphone e degli altri dispositivi digitali connessi da parte dei bambini (36% è senza supervisione) e molti altri aspetti della vita digitale.

Nel comunicato stampa sono disponibili anche i dati riferiti all’Italia. Qualche esempio: le piattaforme maggiormente utilizzate sono WhatsApp e Facebook (nessuna sorpresa); fra i 18 e 24 anni spadroneggiano Instagram e TikTok, nella fascia 25-34 si usano maggiormente Instagram e Netflix, e dai 45 ai 65 anni prevalgono Gmail e Facebook. Gli smartphone più diffusi sono gli Android. Un quarto degli utenti non usa un antivirus sul proprio dispositivo mobile; un quinto abbondante (23%) usa una password semplice per gli account online mentre il 22% usa una password semplice o non ha affatto una password.

Criminali e sciacalli non dormono mai. MELANI, la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione, mette in guardia la popolazione contro le false mail che sembrano provenire dall’Ufficio Federale della Sanità Pubblica e fornire informazioni sanitarie ma sono in realtà trappole create da criminali informatici. MELANI raccomanda di cancellare immediatamente queste mail, di non aprire i loro allegati e non cliccare sui loro link.

Le mail-trappola veicolano infatti un malware, soprannominato AgentTesla, che può installarsi sul dispositivo digitale della vittima e prenderne il controllo a distanza, leggendo anche le password.

“Se avete aperto inavvertitamente una tale e-mail, spegnete immediatamente il computer. Se possibile, reinstallate il computer o contattate per assistenza il vostro negozio specializzato. Infine cambiate immediatamente le vostre password”, consiglia MELANI.

Abuse.ch, invece, segnala la circolazione di mail infettanti apparentemente provenienti dall’Organizzazione Mondiale della Sanità:

More #COVID19 malspam in the name of @WHO , distributing NanoCore RAT:

Spammed doc (who.doc):https://t.co/Ln9GtJVM2P

Payload (seal.jpeg):https://t.co/DNE5TLCCGp

Payload URL:https://t.co/H7LExCSI8b

Stay safe! pic.twitter.com/gt8gX13U3W

— abuse.ch (@abuse_ch) March 20, 2020

Anche F-Secure mostra numerosi esempi di mail truffaldine legate al coronavirus.

Insomma, avete un motivo in più per adottare la raccomandazione che faccio da giorni: cestinate qualunque messaggio legato al coronavirus che non provenga da fonte ufficiale.

La maggior parte degli antivirus aggiornati rileva automaticamente questi attacchi e li blocca. Se non avete già un antivirus, installatelo, anche sui vostri smartphone e tablet Android. Se l’avete già installato, assicuratevi che si aggiorni.

Se state cercando di seguire le normali raccomandazioni di sicurezza informatica e quindi volete installare gli aggiornamenti di sicurezza di Windows ma non ci state riuscendo, la colpa potrebbe essere dell‘antivirus. Sì, siamo arrivati all’assurdo che un antivirus, concepito per migliorare la sicurezza, finisce per impedirla.

Il problema nasce dalle due gravi falle Spectre e Meltdown, già descritte in un articolo precedente. Microsoft ha già rilasciato gli aggiornamenti che le correggono (almeno in parte), ma non permette di installarli a chi usa alcuni tipi di antivirus.

Questo, spiega Microsoft, è necessario perché alcuni antivirus usano metodi che sono incompatibili con i più recenti aggiornamenti di Windows e mandano il sistema operativo in crash, con un classico Schermo Blu della Morte.

Spetta ai produttori di antivirus modificare i propri prodotti per tenere conto delle novità di sicurezza generate da Spectre e Meltdown: nel frattempo Microsoft si trova costretta a scegliere fra lasciare i propri utenti con un computer vulnerabile ma funzionante e bloccarli del tutto.

Il ricercatore di sicurezza Kevin Beaumont ha pubblicato un documento, progressivamente aggiornato, che elenca gli antivirus che non intralciano gli aggiornamenti di sicurezza di Microsoft. Consultatelo per sapere se il vostro antivirus è diventato un ostacolo o si è aggiornato.

Chicca finale: Microsoft ha imposto ai produttori di antivirus di autocertificare la propria compatibilità aggiungendo un’apposita chiave al Registro di Windows ogni volta che si avviano. Quanto tempo ci vorrà, si chiede l’esperto di sicurezza Graham Cluley, prima che i criminali informatici imparino a modificare questa chiave del Registro per impedire ai PC di aggiornarsi e così mantenerli vulnerabili?

Ultimo aggiornamento: 2017/10/06 19:40.

Facciamo un quiz informatico? Premessa: sei un collaboratore esterno o un dipendente dell’NSA. Ti porti a casa documenti e malware segretissimi, usati dall’NSA per penetrare le reti informatiche degli altri paesi e per difendere quelle americane (primo errore). Metti il tutto su un computer non sicuro (secondo errore). Il computer è connesso a Internet (terzo errore). Sul computer c’è un antivirus (quarto errore), che come tutti gli antivirus fa il proprio dovere e quindi rileva la presenza del malware e la segnala via Internet alla casa produttrice.

A questo punto delle spie informatiche legate alla Russia usano l’accesso fornito dall’antivirus per procurarsi una copia del malware dell’NSA prelevandola dal tuo computer e se la studiano, rendendola così inutilizzabile e compiendo l’ennesimo furto di dati ai danni della superagenzia americana. Epic fail.

Domanda: quanto devi essere cretino per fare una sequenza di errori del genere?

Domanda di riserva: quanto sono incompetenti quelli dell’NSA, che non riescono a impedire ai collaboratori di portarsi a casa malware top secret e scelgono ripetutamente gente che fa queste cose?

Questa, a mio avviso, è la vera storia dietro un articolo del Wall Street Journal che invece di sottolineare l’inettitudine dell’NSA tenta di dare la colpa di tutto a Kaspersky Lab, l’azienda russa che produce l’antivirus usato dallo sciagurato collaboratore esterno dell’agenzia (o dipendente, secondo il New York Times), insinuando che Kaspersky collabori con il governo russo senza però presentare prove e usando soltanto fonti anonime (che comunque non dichiarano che Kaspersky abbia attivamente aiutato la Russia a scoprire o rubare questi dati). Per quel che ne sappiamo finora, è molto plausibile che i criminali informatici che hanno sottratto i dati dell’NSA abbiano sfruttato qualche falla del software di Kaspersky senza il consenso dell’azienda.

In effetti, se ci pensiamo, un antivirus è il bersaglio ideale per una campagna di spionaggio: è un prodotto conosciuto e fidato, estremamente diffuso, aggiornato frequentemente, al quale gli utenti concedono per forza di cose un accesso totale ai propri dati. Riuscire a infettare un antivirus o prendere il controllo dei server dove gli utenti dell’antivirus caricano i campioni di malware rilevati sarebbe un colpo gobbo. Quello che è (a quanto pare) successo a Kaspersky, insomma, potrebbe succedere a qualunque produttore di antivirus, e non è detto che gli altri produttori siano immuni alle intrusioni o alle persuasioni delle proprie agenzie di sicurezza nazionale (o di quelle straniere).

Sottolineo che la vicenda è ancora nebulosa, anche se ben riassunta da Ars Technica, e non è chiaro se sia la ragione del recente divieto statunitense di usare prodotti di Kaspersky, su qualunque computer delle agenzie governative, visto che il furto risale al 2015. L’azienda ha negato con forza di aver collaborato con i servizi di spionaggio russi e Eugene Kaspersky in persona ha dichiarato che il suo antivirus ha semplicemente fatto quello che fanno tutti gli antivirus.

Una spy-story in piena regola, con risvolti geopolitici enormi, insomma: ma noi utenti comuni, che magari abbiamo scelto proprio Kaspersky come antivirus, cosa dobbiamo fare? Sicuramente ci conviene continuare a usare un buon antivirus, perché il rischio di essere attaccati da criminali informatici comuni è immensamente superiore (con poche eccezioni altolocate) a quello di essere presi di mira dalle spie informatiche russe. Mettiamola così: se per il governo russo (o per qualsiasi governo) siete un bersaglio informatico allettante, la scelta della marca di antivirus è l’ultimo dei vostri problemi.

Credit: Patrick Wardle.

Gli anni passano ma il mito resiste: vedo che molti utenti Apple sono tuttora convinti che i loro computer siano magicamente immuni ai virus. Non è così, e c’è un caso misterioso che lo conferma.

Il caso è stato battezzato FruitFly (moscerino della frutta) ed è stato scoperto a gennaio di quest’anno. Si tratta di un malware per Mac che probabilmente è sfuggito ai ricercatori e agli antivirus per almeno cinque anni, fino a quando il suo traffico di dati è stato scoperto da un amministratore di rete di un’università di cui non è stato reso noto il nome.

Questo malware è in grado, su un Mac, di catturare schermate, registrare quello che viene scritto sulla tastiera, scattare immagini attraverso la webcam, modificare file e raccogliere dati riguardanti il computer infettato. È particolarmente astuto: avvisa i suoi padroni quando l’utente sta usando il computer infettato e così agisce solo quando l’utente non è al computer.

Non si sa come si diffonde e chi sono i suoi autori e gestori: i siti attraverso i quali riceve i comandi non esistono più. Ma un esperto di sicurezza, Patrick Wardle (ex NSA), ha ricreato quei siti e si è messo in ascolto.

In pochissimo tempo ha cominciato a ricevere informazioni rubate da Mac sparsi un po’ ovunque ma situati principalmente negli Stati Uniti. Mac di utenti a caso, senza un nesso che li unisca, a conferma che i virus spesso attaccano a casaccio e che quindi pensare “Ma chi vuoi che mi prenda di mira” è un errore.

Apple ha rilasciato tempo fa degli aggiornamenti di MacOS che rilevano e bloccano FruitFly, e lo stesso fanno i principali antivirus in commercio. Morale della storia: gli aggiornamenti servono e gli antivirus pure. Anche su Mac.


Fonti: ZDnet, Intego, Intego.

Ultimo aggiornamento: 2017/07/21 11:35. 

Se avete un dispositivo Android, provate ad andare nelle Impostazioni, selezionate la voce Google - Sicurezza (da non confondere con Accesso e sicurezza) - Verifica app. Se avete questa voce e compare un’icona con uno scudo verde e il triangolo di Google Play, come mostrato qui accanto, siete protetti da Google Play Protect, un nuovo “antivirus” per Android realizzato e distribuito automaticamente da Google.

Play Protect effettua una scansione di sicurezza di tutte le app installate, consente di ritrovare un dispositivo smarrito o rubato e protegge la navigazione in Internet: è insomma una risorsa utilissima per evitare le app truffaldine e infette che spesso compaiono anche nel Play Store ufficiale e ancora più spesso circolano sui siti poco raccomandabili. In pratica può sostituire o affiancare molti degli antivirus per Android già esistenti e forniti da altre aziende.

È importante sottolineare che Play Protect non è un’app: è una voce aggiuntiva dei menu del dispositivo. Diffidate delle app con nomi simili che stanno affollando il Play Store: nel caso migliore sono distrazioni o vi bombardano di pubblicità, nel caso peggiore sono inganni infettanti.

Non tutti i dispositivi Android riceveranno Play Protect: secondo la documentazione di Google, occorre un Android aggiornato almeno alla versione 7.0, ma i commenti arrivati dopo la pubblicazione iniziale di questo articolo mi segnalano che Play Protect compare anche su versioni precedenti.

Maggiori informazioni su Play Protect, comprese le istruzioni per disattivarlo se necessario, sono nella Guida e nella pagina informativa di Google.


Fonte aggiuntiva: HDblog.

Ironie dell'informatica: Windows Defender, il prodotto anti-malware di Microsoft integrato nelle versioni recenti di Windows, è risultato sfruttabile per infettare un computer semplicemente mandandogli una mail o un messaggio che venga esaminato da Defender. Sui sistemi non aggiornati all'ultima versione l'attacco ha successo senza alcun intervento dell'utente.

Niente panico: dopo l'annuncio pubblico della scoperta della falla sabato scorso da parte di Tavis Ormandy (Google Project Zero), Microsoft è corsa subito ai ripari e la falla è stata turata martedì scorso a tempo di record.

Se vi interessano i dettagli tecnici, segnalo questo articolo di Ars Technica e l'avviso di Microsoft; se volete verificare se avete l'aggiornamento che risolve questa magagna decisamente grave, in Windows 10 andate a Start - Impostazioni - Aggiornamento e sicurezza - Windows Defender e controllate che alla voce Versione motore ci sia un numero non minore di 1.1.13704.0. Se non l'avete, aggiornatevi usando le consuete procedure di Windows.

Capita spesso di ricevere via mail o tramite sistemi di messaggistica degli allegati che purtroppo vengono usati dai criminali informatici come grimaldelli infetti per prendere il controllo dei nostri dispositivi. Un caso classico è la finta mail delle Poste o di una banca alla quale è allegato un rendiconto o una fattura in formato Word.

Per sapere se un allegato o un file ricevuto da Internet è infetto lo si può scaricare (senza aprirlo!) e poi mandare a Virustotal.com, che lo analizza e segnala se è fra i malware conosciuti dai principali antivirus. Un altro sito che offre un servizio analogo è Malwr.com. C’è anche Hybrid-analysis.com, al quale si può anche mandare semplicemente il link al file sospetto.

Ci sono alcune precauzioni importanti da prendere quando si maneggia un file sospetto. La prima, ovviamente, è che dopo averlo scaricato e inviato al sito che lo esamina va eliminato o isolato (per esempio messo su una chiavetta USB etichettata vistosamente); la seconda è che se questi siti non rilevano pericolo, questo non vuol dire che il file sia sicuro. Questi servizi, infatti, riconoscono solo i malware che sono già in circolazione da un tempo significativo: se un malware nuovo è stato disseminato pochi minuti fa e voi siete fra i suoi malcapitati destinatari, potreste ricevere un “tutto a posto” quando in realtà il pericolo c’è eccome.

In altre parole: se questi servizi danno un risultato positivo, c’è da fidarsi; se danno un risultato negativo, è meglio restare dubbiosi e cercare altri modi per verificare l’allegato, come per esempio guardare con attenzione l’indirizzo del mittente (spesso somiglia a quello autentico ma è leggermente differente) oppure chiamare per telefono il mittente, se lo conoscete, e chiedergli se vi ha davvero mandato quella mail o quel messaggio.

Gli attacchi informatici tramite allegati, in particolare tramite documenti Word contenenti macro, sono una delle forme di aggressione informatica più diffuse e di maggior successo. Non fatevi fregare.

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/07 18:30.

Se usate l’antivirus di Sophos su Windows e quando tentate di accedere al vostro computer vi compare una schermata nera o un allarme che segnala che winlogon.exe è infettato da Troj/FarFli-CT, niente panico. È quasi sicuramente un falso allarme causato da un brutto errore di Sophos, i cui antivirus Sophos Anti-Virus per Windows 2000+ 10.3.15 e Sophos Endpoint Security and Control 10.6.3 credono che il file winlogon.exe legittimo di Windows 7 a 32 bit sia un malware.

Il problema è particolarmente fastidioso se l’utente ha impostato l’antivirus in modo che cancelli direttamente i file infetti: in questo caso winlogon.exe verrà cancellato e sarà necessario un ripristino di Windows nel modo descritto qui da Microsoft.

In generale, per rimediare al problema leggete le istruzioni fornite da Sophos. Stavolta l’antivirus fa più danni del virus.


Fonti aggiuntive: Graham Cluley.

Grosso imbarazzo in casa Symantec. Venticinque suoi prodotti, venduti per fornire sicurezza agli utenti privati e aziendali, hanno in realtà delle vulnerabilità che espongono i clienti ad attacchi automatici potenzialmente devastanti. L’avviso arriva dal ricercatore di sicurezza informatica Tavis Ormandy: queste falle possono essere sfruttate senza richiedere l’intervento dell’utente e hanno accesso al cuore del sistema informatico proprio perché passano dai suoi sistemi di sicurezza. Per attaccare un utente è sufficiente mandargli un file o un link via mail: la vittima non ha bisogno di aprire il file, e l’attacco è wormable: può diffondersi automaticamente da un computer a un altro.

Ormandy ha dimostrato la vulnerabilità nella maniera più diretta ed eloquente possibile: secondo quanto spiegato in questo tweet, ha inviato a Symantec un attacco (exploit) isolandolo all’interno di un file ZIP protetto da password. Ha incluso la password nella mail. Il server di mail Symantec, sul quale giravano i prodotti Symantec vulnerabili, ha estratto la password dalla mail, ha decifrato il file ZIP, ha letto il codice dell’attacco ed è andato in crash.

Symantec ha pubblicato un avviso di vulnerabilità che elenca 17 suoi prodotti aziendali e otto per uso privato, come Norton AntiVirus, Norton Security, Norton Internet Security, Norton 360, Norton Security for Mac.

Lo stesso avviso elenca anche le versioni aggiornate dei vari software che risolvono le vulnerabilità. Per la maggior parte degli utenti l’aggiornamento dovrebbe essere automatico.

Symantec non è l’unica società di sicurezza informatica a trovarsi nella situazione paradossale di indebolire le difese dei propri clienti invece di aumentarle. Negli ultimi cinque anni, nota Ars Technica, ci sono stati problemi di questo genere con il Comodo, Eset, Kaspersky, FireEye, McAfee, Trend Micro e altri.

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/10/09 22:30.

Usate AVG, il popolarissimo antivirus gratuito? Allora valutate se volete continuare a usarlo, perché dal 15 ottobre prossimo AVG cambierà le proprie condizioni di licenza in modo da consentire alla società che lo produce di raccogliere la vostra cronologia di navigazione e di ricerca e vendere queste informazioni a terzi.

L'annuncio del cambiamento è stato pubblicato qui da AVG: le nuove norme dicono, in particolare, che AVG raccoglierà “dati non personali per guadagnare sulle [sue] offerte gratuite in modo da mantenerle gratuite”. Questi dati comprenderanno un identificativo pubblicitario associato al dispositivo, la cronologia di navigazione e di ricerca, compresi i metadati, il provider o la rete mobile usata, e “informazioni riguardanti altre applicazioni che potreste avere sul vostro dispositivo”; inoltre “AVG raccoglierà e tratterà informazioni sulle applicazioni che trova sul computer o dispositivo di un utente”.

AVG dichiara che non verranno venduti dati personali come nomi, indirizzi di mail o carte di pagamento e che cercherà di anonimizzare e custodire i dati raccolti in modo da non consentire l'identificazione degli individui, e che alcuni dei suoi prodotti gratuiti includeranno “la possibilità di scegliere se partecipare o meno al [...] programma di raccolta di dati anonimizzati.” Dice inoltre AVG: “Nessuna condivisione di dati avrà luogo prima che i nostri clienti possano fare questa scelta”. Ma se questo genere di raccolta di dati non vi piace, vi conviene cambiare marca di antivirus oppure passare alla versione a pagamento di AVG.


Fonti aggiuntive: The Register, SiamoGeek.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla gentile donazione di “alessandro.p*” e “lori10*” ed è stato aggiornato dopo la pubblicazione iniziale. Se vi piace, potete incoraggiarmi a scrivere ancora (ora anche con un microabbonamento).
Ultimo aggiornamento: 2015/07/11 19:45.

Avete letto il catastrofico comunicato stampa di HackingTeam? Quello che dice che “esiste una minaccia importante perché dei criminali informatici hanno postato su Internet il software proprietario di Hacking Team” e che ora “terroristi, estorsori e altri possono installare a piacimento questa tecnologia”?

È lo stesso comunicato che dice “Prima dell'attacco, HackingTeam era in grado di controllare chi aveva accesso a questa tecnologia”. Certo, abbiamo visto come eravate in grado. Così in grado che non solo le vostre mail di lavoro e quelle dei vostri clienti, ma persino i codici sorgente del vostro malware sono ora spiattellati su mezza Internet.

Qualcuno vuol dare a intendere che è tutta colpa dei brutti cattivi che hanno trafugato e messo in giro il malware di HackingTeam. Non è colpa di chi invece stava giocando col fuoco e se l'è fatto sfuggire di mano perché non ha saputo prendere precauzioni adeguate al compito delicatissimo che gli era stato affidato.

Adesso, stando al comunicato di HackingTeam, il mondo intero sarebbe in pericolo. Balle. Persino il mio antivirus gratuito (Sophos per Mac) riconosce il malware di HackingTeam, e lo fa dal 6 luglio scorso, il giorno stesso della fuga dei dati:



Anche i prodotti di Kaspersky riconoscono le backdoor DaVinci/RCS di HackingTeam su PC Windows, su Mac e sui dispositivi Android, come descritto in questo articolo tecnico di giugno 2014 (grazie a Tommaso.M* per la segnalazione). E lo fanno già da tempo, da ancora prima che ci fosse la fuga di dati, anche i prodotti di F-Secure, mi dice Mikko Hypponen.

Gli altri produttori di antivirus non sono certo rimasti con le mani in mano: guardate quanti riconoscono il malware per Flash di HackingTeeam secondo Virustotal.



Quindi niente panico, gente. Se c'è qualcuno che deve avere un attimo di panico è semmai tutta la clientela di HackingTeam che ha sborsato (o fatto sborsare ai governi) centinaia di migliaia di euro per un malware che ora è del tutto inutilizzabile perché viene fermato dai comuni antivirus.

I criminali informatici ne inventano una nuova ogni giorno: c'è quasi da ammirarli per la loro abilità. Avete presente MacKeeper, la controversa app di sicurezza e pulizia per Mac che spande pubblicità un po' dappertutto in Rete? Quest'app di sicurezza è stata sfruttata, ad insaputa dei suoi creatori, per infettare gli utenti.

È stato infatti segnalato un attacco che sfrutta un difetto di una versione non aggiornata di MacKeeper. La trappola funziona così: la vittima riceve una normale mail che contiene un link sul quale è invitata a cliccare con vari pretesti.

Se l'utente usa MacKeeper, il link sfrutta il suo difetto per far comparire sullo schermo un avviso falso, secondo il quale c'è un'infezione (che in realtà non esiste). L'avviso chiede la password di amministratore con la scusa di averne bisogno per poter rimuovere quest'infezione.


Se l'utente preso di mira digita la password, sul suo computer viene scaricato del software ostile creato dai criminali: a quel punto il Mac è davvero infettato e sotto il pieno controllo degli aggressori.

La casa produttrice di MacKeeper ha prontamente corretto il difetto che apriva le porte ai criminali, per cui se usate questo software assicuratevi di averne la versione più recente. Più in generale, anche se non usate MacKeeper, il Mac comunque non è invulnerabile, per cui è buona cosa installarvi un buon antivirus.

Un duro colpo alla credibilità dei controlli di qualità di Google Play, lo store di app per Android, è stato inferto da Virus Shield: un'app spacciata per antivirus che non faceva assolutamente nulla. O per essere precisi faceva una sola cosa: cambiare icona quando la toccavi.

Virus Shield era una truffa completa e sfacciata: non solo non effettuava nessun controllo antivirus (come dimostrato dal suo codice sorgente decompilato) nonostante dicesse di “impedire alle app dannose di installarsi sul vostro dispositivo”, ma era oltretutto a pagamento. Costava quattro dollari ed è stata scaricata circa 10.000 volte, per cui il raggiro ha fruttato ai suoi creatori circa 40.000 dollari. Ciliegina sulla torta, è stata per qualche tempo in cima alla classifica delle app a pagamento nuove più vendute e terza tra le app a pagamento (dopo colossi come Minecraft e SwiftKey). L'unica dichiarazione corrispondente al vero, scritta probabilmente con una buona dose d'ironia, era il vanto che Virus Shield consumava pochissima energia e non aveva pubblicità.

L'app è stata rimossa da Google Play a seguito delle segnalazioni del sito Android Police.

Per difendersi da queste truffe, non solo è necessario che Google Play adotti controlli più severi, ma anche gli utenti devono abituarsi a non fidarsi di app prodotte da sviluppatori sconosciuti (in questo caso una fantomatica Deviant Solutions) e delle stelline di valutazione, facilmente manipolabili.

Ars Technica segnala un video che consiglio di studiare per imparare a riconoscere i sintomi tipici di un attacco basato sui falsi antivirus. Attacchi di questo tipo possono capitare anche visitando siti di buona reputazione, come Dailymotion, un sito di video molto popolare.



Nel video si vede che il visitatore del sito si trova davanti un avviso che si spaccia per un'allerta di Microsoft Security Essentials, ma in realtà è un'animazione che convince l'utente a cliccare su un link che lo porta a scaricare e installare quello che sembra essere un antivirus ma in realtà è malware.

Come si fa a distinguere un avviso reale da uno fasullo? C'è un trucco molto semplice: si prova a chiudere la finestra del browser. Se l'avviso rimane sullo schermo è reale; se scompare è finto.

È disponibile per lo scaricamento il podcast della puntata del Disinformatico radiofonico che ho condotto con Fabrizio Casati stamattina sulla Rete Tre della RSI. Questi i temi e i rispettivi articoli di accompagnamento:

Allarme per “La vita è bella”, il PowerPoint che distrugge i computer!
Viber sblocca i telefoni Android senza permesso (aggiornamento: è disponibile la versione nuova di Viber che corregge la falla; ho aggiornato l'articolo)
Antivirus per smartphone, serve veramente?
Quali sono le password peggiori?
Come verificare se la password su Twitter è sicura

È disponibile il podcast della puntata di ieri del Disinformatico radiofonico. Ecco i temi e i rispettivi articoli d'accompagnamento:

• Antivirus AVG cancella un pezzo di Windows, blocca i PC
• Quanto è facile spiare attraverso le webcam
• Le parole di Internet: RATter
• Google Reader chiude a luglio: che fare?
• Nomi infelici di prodotti informatici (ma non solo)

Aggiungo, sul tema dei nomi infelici di prodotti, il mitico VINCULO, da leggere naturalmente con l'accento sulla I e non sulla U. Grazie a @latente_flickr per la segnalazione.

È disponibile temporaneamente sul sito della Rete Tre della RSI il podcast della scorsa puntata del Disinformatico radiofonico. Ecco i temi e i rispettivi articoli di supporto:

• Sophos, l'antivirus scambia se stesso per un virus
• Apple Maps, debutto... disorientante
• Come rubare un'auto con l'informatica
• Le parole di Internet: emoticon
• Antibufala: più veloci della luce secondo la NASA?