Virus informatici

classic Classic list List threaded Threaded
12 messages Options
Reply | Threaded
Open this post in threaded view
|

Virus informatici

cinzia ascenzi

Lunedi un computer della scuola dove sto lavorando è stato attaccato da questo virus. La cosa particolare è che nonostante chi lo ha aperto non avesse i privilegi di amministratore, ma solo di utente anonimo (perciò con le relative restrizioni e il blocco di eseguire programmi sul computer senza autorizzazione da parte dell'amministratore) è riuscito a cambiare le estensioni di molti file compresi quelli di autocad.
Un'altra falla di Windows? O un programma di hackeraggio e di crittografia fatti troppo bene visto che non ci sono rimedio una volta fatto il danni?

Oggi in rete guardate cosa trovo?
http://m.repubblica.it/mobile/r/locali/firenze/cronaca/2016/02/07/news/attacco_informatico_in_toscana_non_aprite_quella_mail_-132889322/

Che ne pensate?

Cinzia


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

Giuseppe D'Angelo
2016-02-09 15:33 GMT+01:00 Cinzia Ascenzi <[hidden email]>:
> Oggi in rete guardate cosa trovo?
> http://m.repubblica.it/mobile/r/locali/firenze/cronaca/2016/02/07/news/attacco_informatico_in_toscana_non_aprite_quella_mail_-132889322/
>
> Che ne pensate?

"Il consiglio del vicequestore è quindi quello di «prevenire,
utilizzando il Cloud come contenitore dei propri dati informatici
oppure,effettuare back up frequenti e salvare copie di quei dati su
hard disk e memorie esterne»"

È sempre bello sapere che la PA incoraggia a lasciare documenti
importanti e personali, magari le tue cartelle cliniche, su dropbox.

Ovviamente il backup è la sola soluzione, ammesso che sia un vero
backup offline. E magari avere sistemi di mail seri che filtrano via
qualunque mail con allegato eseguibile. Oops!

--
Giuseppe D'Angelo
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

cinzia ascenzi

Non c'era un modo per aprire l'email in un ambiente protetto che blocchi tutti i file eseguibili come un sandbox o qualcosa del genere?

_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Giu
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

Giu

> Il giorno 09 feb 2016, alle ore 19:35, Cinzia Ascenzi <[hidden email]> ha scritto:
>
>
> Non c'era un modo per aprire l'email in un ambiente protetto che blocchi tutti i file eseguibili come un sandbox o qualcosa del genere?

Chiamasi antivirus.





_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

Giuseppe D'Angelo
In reply to this post by cinzia ascenzi
Non è semplicemente più pratico eliminare tutte le email con allegato
eseguibili, zip con password, documenti office con macro, pdf con js o
flash embedded, eccetera?

Oh, aspetta, richiede di avere amministratori di sistema nelle PA competenti?

Dall'assurdo segue la tesi. □

2016-02-09 19:35 GMT+01:00 Cinzia Ascenzi <[hidden email]>:
>
> Non c'era un modo per aprire l'email in un ambiente protetto che blocchi
> tutti i file eseguibili come un sandbox o qualcosa del genere?
>
> _______________________________________________
> Gulp mailing list
> [hidden email]
> http://lists.gulp.linux.it/mailman/listinfo/gulp



--
Giuseppe D'Angelo
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

giomasce
Administrator
In reply to this post by cinzia ascenzi
Ciao.

Il 09/02/2016 19:35, Cinzia Ascenzi ha scritto:
> Non c'era un modo per aprire l'email in un ambiente protetto che blocchi
> tutti i file eseguibili come un sandbox o qualcosa del genere?

Un programma di posta elettronica in genere non esegue (o quanto meno
non dovrebbe) i programmi che riceve in allegato. Però se l'utente li
esegue, c'è poco da fare... Certo, si potrebbe avere un sistema
operativo che esegue ogni programma in una sandbox a parte (come più o
meno succede su Android), però poi l'utente darebbe al programma tutti i
permessi che vuole e quindi il problema sarebbe lo stesso.

L'unica vera soluzione a questo tipo di problemi è un backup offline,
che tra l'altro ripara da un sacco di altri problemi (dischi rotti,
cancellazioni accidentali, per esempio). Solo che l'utente medio non ha
la percezione di quanto sia utile, per cui non se ne preoccupa mai fino
al giorno in cui gli serve, quando è troppo tardi.

Ciao, Giovanni.
--
Giovanni Mascellani <[hidden email]>
PhD Student - Scuola Normale Superiore, Pisa, Italy

http://poisson.phc.unipi.it/~mascellani


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

cinzia ascenzi
In reply to this post by Giuseppe D'Angelo

Visto che il virus ha bypassato i prilegi dell'utente permettendogli di eseguire azioni permesse solo all'amministratore, come può un normale utente riconoscere un virus mascherato da file zippato quando lo stesso sistema non riesce a riconoscerlo?
visto che nella pa ci sono spesso degli "utenti poco accorti" sia per distrazione che per disinformazione e loro hanno a che fare con dati sensibili non sarebbe meglio creare un ambiente più sicuro per limitare i loro danni?


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

giomasce
Administrator
Ciao.

Il 09/02/2016 21:01, Cinzia Ascenzi ha scritto:
> Visto che il virus ha bypassato i prilegi dell'utente permettendogli di
> eseguire azioni permesse solo all'amministratore, come può un normale
> utente riconoscere un virus mascherato da file zippato quando lo stesso
> sistema non riesce a riconoscerlo?

Beh, il sistema operativo non è più bravo dell'utente a riconoscere i
virus, anzi, lo è molto di meno. Dovrebbe essere più bravo dell'utente a
controllare i privilegi di esecuzione; come mai nel tuo caso questo non
sia successo non lo so, dipende da tante cose (per esempio che sistema
operativo era; i sistemi Windows sono tradizionalmente molto poco
attenti a separare bene i vari livelli di privilegio; ma sono convinto
che anche con molte installazioni standard di Linux si potrebbe fare
parecchia confusione con poco sforzo, per esempio passando in qualche
modo da sudo).

> visto che nella pa ci sono spesso degli "utenti poco accorti" sia per
> distrazione che per disinformazione e loro hanno a che fare con dati
> sensibili non sarebbe meglio creare un ambiente più sicuro per limitare
> i loro danni?

Il grosso problema è che in un ambiente sicuro come quello che ipotizzi
tu l'utente non riesce a fare quello che vuole fare. Per cui è più
facile per tutti (lui, il suo amministratore, il sistema operativo
stesso) ridurre la separazione dei privilegi e sperare che tutto vada
bene. Naturalmente prima o poi qualcosa succede.

In altre parole, in generale puoi avere al massimo due tra le seguenti
tre cose:
 * L'utente può essere "poco accorto";
 * L'utente può fare quello che vuole;
 * L'ambiente è sicuro.

Spesso si preferisce rinunciare alla terza, perché è quella meno
percepita...

Giovanni.
--
Giovanni Mascellani <[hidden email]>
PhD Student - Scuola Normale Superiore, Pisa, Italy

http://poisson.phc.unipi.it/~mascellani


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

Paolo Mascellani-2
In reply to this post by giomasce
Ciao a tutti,

> L'unica vera soluzione a questo tipo di problemi è un backup offline,
> che tra l'altro ripara da un sacco di altri problemi (dischi rotti,
> cancellazioni accidentali, per esempio). Solo che l'utente medio non ha
> la percezione di quanto sia utile, per cui non se ne preoccupa mai fino
> al giorno in cui gli serve, quando è troppo tardi.

Quindi, l'unica vera soluzione al problema, in realtà, è un aumento
della cultura informatica generale, dei tecnici come dei non tecnici. È,
mi pare, una cosa che il Gulp fa molto bene, ma ovviamente non basta.

Nel nostro piccolo, anche noi cerchiamo di fare assistenza in questa
chiave e, devo dire, i risultati si vedono, anche se potrebbero essere
molto migliori.

Sono convinto che anche molti altri lo fanno. Certo, la battaglia è
durissima!

Paolo.

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa (+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

Nicola Corti
In reply to this post by giomasce

Il 9 febbraio 2016 20:52, Giovanni Mascellani
<[hidden email]> ha scritto:
> L'unica vera soluzione a questo tipo di problemi è un backup offline,
> che tra l'altro ripara da un sacco di altri problemi (dischi rotti,
> cancellazioni accidentali, per esempio). Solo che l'utente medio non ha
> la percezione di quanto sia utile, per cui non se ne preoccupa mai fino
> al giorno in cui gli serve, quando è troppo tardi.

Quoto assolutamente quanto scritto da Giovanni.
Nei mesi scorsi ho avuto una marea di amici colpiti da Ransomware di
ogni genere...

Aggiungo che in alcuni casi è possibile recuperare (quasi tutti) i
files. Sui drive di win dove è abilitato la funzionalità punto di
ripristino (che a mio avviso non è mai stata utile, salvo questo caso) è
possibile accedere alle copie shadow tramite software quali Shadow
Explorer. In sostanza si accede agli snapshot dei files nei vari punti
di ripristino.

Inutile aggiungere che alcuni files saranno mancanti, ma sono riuscito a
recuperare talvolta circa il 90% dei files infettati. Tentare non nuoce.

C'è da dire che le ultime versione di questi ransomware cancellano anche
le copie shadows...

Nic
--
Nicola Corti - Freelance Software Developer
[hidden email]
http://ncorti.com
"Look wide, and even when you think you are looking wide – look wider
still!"


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (484 bytes) Download Attachment
Giu
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

Giu

>
> C'è da dire che le ultime versione di questi ransomware cancellano anche
> le copie shadows…
>
Io ho visto tre casi interessanti di infezione.
In tutti i casi, dopo che il js aveva scaricato il vero virus,
veniva chiesto all’utente di disabilitare e cancellare lo shadow

Nei tre casi l’utente ha risposto affermativamente.

GIu


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Virus informatici

Andrea Ambrogi
c'è qualcuno che voglia salvare un sito da un attacco hacker......?
Cerco un webmaster che mi metta in sicurezza il sito.
Se c'è potete contattarmi a questa mail
grazie



Da: giu <[hidden email]>
A: Mailing list del GULP (Gruppo Utenti Linux Pisa) <[hidden email]>
Inviato: Mercoledì 10 Febbraio 2016 13:37
Oggetto: Re: [Gulp] Virus informatici


>
> C'è da dire che le ultime versione di questi ransomware cancellano anche
> le copie shadows…
>
Io ho visto tre casi interessanti di infezione.
In tutti i casi, dopo che il js aveva scaricato il vero virus,
veniva chiesto all’utente di disabilitare e cancellare lo shadow

Nei tre casi l’utente ha risposto affermativamente.

GIu


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp