Archivio per Categoria Cyber Security

DiSandra Bertolacci

Vulnerabilità nel plugin WP “ThemeGrill Demo Importer”

Una serie di segnalazioni da parte dei nosti clienti nei giorni scorsi hanno messo in evidenza la vulnerabilità del plugin WordPress “ThemeGrill Demo Importer”.

Si tratta di  clienti che utilizzano i nostri servizi di hosting, che hanno installato WordPress, e che nel  giro di pochi giorni hanno aperto richieste di assistenza molto simili tra loro: “il mio WP è stato resettato”, “vedo la pagina Hello World!, che cosa è successo?” “non riesco ad accedere al mio blog”.

Troppo simili le richieste, perché si trattasse di un caso, quindi abbiamo indagato e notato il minimo comune denominatore, cioè la presenza del plugin “ThemeGrill Demo Importer”.

Purtroppo la falla era presente da anni, fin dalla versione 1.3.4

(eravamo già alla 1.6.1), anche se finora non era stata sfruttata. In questi giorni invece, questa vulnerabilità ha dato agio ad attaccanti non autenticati di portare a termine l’attività malevola, che ha come conseguenza che venga resettato il database del sito, con la conseguente eliminazione dei contenuti.

Potete trovare un report dettagliato su: https://www.webarxsecurity.com/critical-issue-in-themegrill-demo-importer

Theme Grill ha scovato la vulnerabilità nel plugin e ha risolto il problema, rilasciando il 18/02/2020 una versione aggiornata del plugin, la 1.6.2.

Chiunque stia utilizzando il plugin in questione è caldamente invitato a verificare la versione installata ed effettuare l’aggiornamento il prima possibile.

Come sempre ricordiamo L’importanza di fare manutenzione al sito web perché una scarsa attenzione può essere la porta aperta ad attività malevole, con conseguenze anche gravi, che vanno dal danneggiamento dei contenuti pubblicati, al furto di dati (cosa che in tempi di GDPR potrebbe diventare molto oneroso).

Quanto ti piace?

DiElisabetta Feroldi

Aggiornamento Windows 10

5/5 (7)

Eccoci giunti al termine dell’era di Windows 7.
Dal 15 Gennaio Microsoft interromperà definitivamente il supporto tecnico a uno dei sistemi operativi con maggior successo di sempre.

Sostituto in corsa al fallimentare Vista, Windows 7 approda nel luglio 2009, a oggi conta circa 900 milioni di untenti, se si considera che solo nel primo anno le licenze ufficiali ammontavano a 600 milioni tralasciando quelle illegali, sono cifre da capogiro.

Cosa significa che termina l’era di Windows 7?

Non vuol dire che da domani smetterà di funzionare, semplicemente non verranno rilasciati aggiornamenti e questo mette a rischio la sicurezza dei dispositivi sui quali è installato, quindi ci rende più vulnerabili a eventuali attacchi da parte di hacker, Saremo più esposti a virus, falle di sicurezza errori di sistema e come spesso accade alcune applicazioni potrebbero smettere di funzionare (si pensi per esempio a whatsapp che ha smesso di funzionare su alcuni modelli di smartphone ormai obsoleti).

La scelta migliore è optare per il passaggio e Windows 10 che non prevede nessun costo.

Ma se non si intende optare per questa scelta per tutelarsi, sicuramente bisogna dotarsi di antivirus potenti oltre a limitare l’uso dell’account di amministrazione alle funzioni più importanti.

Come si fa a fare l’aggiornamento a Windows 10 in modo gratuito e legale?

Innanzitutto Microsoft da la possibilità di aggiornare il sistema operativo a Windows 10 solo agli utenti che sono in possesso di una licenza ufficiale di Windows 7 e che abbiano i seguenti requisiti minimi di sistema:

https://www.microsoft.com/it-it/windows/windows-10-specifications#primaryR2

Una volta chiarito se possiamo procedere basta andare sul sito ufficiale dell’azienda:

https://www.microsoft.com/it-it/software-download/windows10

clicchiamo su: «Scarica ora lo strumento»

seguiamo la procedura fino alla fine e una volta che l’aggiornamento sarà completato andremo in :

«Start», «Impostazioni», «Aggiornamento e Sicurezza» e per ultimo «Attivazione».

A questo punto se vedremo la licenza del nuovo Windows 10 aggiornamento sarà andato a buon fine e potremmo sentirci più sereni.

Perchè optare per l’aggiornamento a Windows 10, che problemi potremmo avere?

Per esempio la Posta elettronica Certificata o anche la posta ordinaria configurata su client che girano su Windows 7 potrebbe iniziare a dare dei problemi di TLS, come per esempio potrebbe smettere di ricevere o potrebbe chiederci in continuazione l’inserimento della password. Per ovviare a questo problema sarà necessario chiedere l’intervento di un tecnico che dovrà provvedere all’inserimento di varie patch che in futuro magari non potrebbo più essere valide.

Potremmo avere problemi di certificati SSL, problemi di accesso ai siti internet in SSL, ecc..

Altro esempio, per i fedeli a Google Chrome dovranno prendere atto che rimarrà compatibile con Windows 7 solo fino al 2021.

A voi la scelta.

Quanto ti piace?

DiSandra Bertolacci

Sicurezza PEC: requisiti minimi per la password delle caselle PEC Aruba

3/5 (2)

I lavori di innalzamento dei livelli di sicurezza sulle trasmissioni di Posta Elettronica Certificata iniziati pochi mesi fa con la modifica dei protocolli TLS proseguono in questi giorni presso il Gestore Aruba,
con l’aggiornamento dei requisiti minimi delle password di accesso alle caselle pec attive e l’obbligo di adeguamento per tutti gli utenti.

I requisiti minimi richiesti per le password Aruba sono i seguenti:

  • lunghezza compresa tra 8 e 256 caratteri;
  • almeno una maiuscola e una minuscola;
  • almeno un numero;
  • almeno un carattere speciale tra: !#$%&@()*+,./-:;=?[]_{|}\

I titolari di indirizzi pec Aruba che non abbiano già adottato password sicure, devono procedere entro il 15/01/2020 al reset della password di accesso alle proprie caselle pec.
Le password non variate o con requisiti minimi non sufficienti saranno comunque sottoposte forzatamente al reset in quella data.

Ricordiamo sempre ai nostri clienti di mettere in atto tutti i possibili accorgimenti e comportamenti utili a ridurre i rischi di attacchi, di accessi indesiderati alle caselle PEC, furto password.
Trovate QUI i nostri suggerimenti per la sicurezza degli accessi.

Quanto ti piace?

DiSandra Bertolacci

Suggerimenti per la sicurezza degli accessi

5/5 (1)

Sempre più a sicurezza degli account è messa a rischio da strumenti nocivi che minacciano le nostre utenze, le nostre risorse, i nostri dati.

Il primo passo per proteggere tutto ciò dai malintenzionati è rendere i dati di accesso il più sicure possibile, con i seguenti accorgimenti:

  • utilizzare password composte da combinazioni più complicate possibile di lettere, maiuscole e minuscole, numeri e caratteri speciali;
  • prediligere password lunghe, piuttosto che corte; lo standard minimo è solitamente 8 caratteri;
  • evitare parole di uso comune, o nomi, anche scritte al contrario;
  • evitare nomi o informazioni personali (proprio nome o cognome, o di familiari, o di animali domestici, date di nascita);
  • evitare sequenza ripetute, o sequenze di caratteri adiacenti sulla tastiera.

Oltre a ciò, è bene pensare ai nostri comportamenti dentro e fuori dalla rete, in particolare:

  • evitare di salvare le password in file all’interno dei pc in uso, o perlomeno che tali file siano protetti da sistemi di criptazione aggiuntivi o con analoghi sistemi di sicurezza;
  • evitare di salvarle nei browser usati per accedere ad internet (ad esempio tramite le funzioni di salva password, portachiavi, gestione delle password, etc…);
  • mantenere la segretezza delle password, evitando di condividerle con sul web;
  • utilizzare password specifiche per ciascun accesso

Quanto ti piace?

DiSandra Bertolacci

Aumenta la sicurezza delle trasmissioni Pec con protocollo TLS 1.2

L’Agenzia per l’Italia Digitale (AgID), che regola e controlla l’operatività dei Gestori autorizzati ad erogare servizi di Posta Elettronica Certificata, richiede che le trasmissioni pec siano mantenute ad un altissimo livello di sicurezza, data la sua importanza ai fini legali.

Sulla base della regolamentazione vigente i Gestori Pec hanno lavorato per innalzare il livello di sicurezza di tutti i sistemi di Posta Elettronica Certificata, adeguandoli al protocollo di comunicazione TLS (Transport Layer Security) 1.2, il più recente e sicuro.
Questo passaggio al livello più alto di sicurezza richiede contestualmente che vengano abbandonati i protocolli precedenti TLS 1.0 e TLS 1.1, diventati obsoleti.

Gli utenti stanno ricevendo in questi giorni comunicazioni ed avvisi con l’invito a verificare ed eventualmente aggiornare i propri browser e i programmi per la lettura della posta.

Perché utilizzare il protocollo TLS 1.2?

Il protocollo TLS 1.2 è quello che al momento garantisce la massima affidabilità nella sicurezza nella trasmissione dei messaggi, fin dal momento in cui la comunicazione viene inviata, quando cioè il messaggio viene protetto da crittografia e firma digitale da parte del Gestore di Posta Certificata del mittente.

Ricordiamo che la trasmissione di messaggi via pec ha valore legale al pari di una raccomandata con ricevuta di ritorno, ed è pertanto fondamentale mantenere un livello di sicurezza alto, così che le trasmissioni non possano essere intercettate e/o manomesse.

Già nel 2018 lo IETF (Internet Engineering Task Force), organizzazione internazionale che sviluppa e promuove gli standard per la rete Internet deprecava l’uso dei protocolli TLS 1.0 e 1.1, a causa di note vulnerabilità che nel corso degli anni hanno aperto la via ad attacchi informatici. L’aggiornamento nell’ambito delle trasmissioni Pec era quindi auspicabile.

Quando avrà luogo l’aggiornamento?

L’aggiornamento al protocollo TLS 1.2 avverrà A PARTIRE DAL 07/09/2019.

Tutti i protocolli precedenti (TLS 1.0, TLS 1.1), saranno dismessi ENTRO IL 21 OTTOBRE 2019.

Gestore PEC Namirial: Comunicato SicurezzaPostale
Gestore PEC Aruba: Comunicato Aruba

Che cosa cambia per gli utenti?

Non tutti i sistemi operativi, i browser, i client di posta sono compatibili con il protocollo TLS 1.2, solo le versioni più aggiornate.

Gli utilizzatori che ancora non dispongono di sistemi compatibili con il nuovo protocollo, potrebbero riscontrare problemi nell’accesso alla casella PEC.
Questo potrebbe accadere, ad esempio, tentando di accedere alla webmail PEC con un browser non aggiornato, oppure tentando di consultare la casella tramite un client di posta ormai obsoleto per il nuovo protocollo.

E’ bene verificare che i propri sistemi soddisfino i
REQUISITI MINIMI DI COMPATIBILITA’

Quanto ti piace?

DiElisabetta Feroldi

L’HTTPS ora è una necessità

4.75/5 (12)

Su Google Webmaster Central Blog, già il 6 agosto 2014, è stato pubblicato un articolo intitolato “HTTPS as a ranking signal”. L’articolo inizia così :

“Security is a top priority for Google”

La sicurezza è una priorità assoluta per Google e il suo impegno è rivolto anche a rendere internet più sicuro.

Google inizia così la sua lotta verso la sicurezza dei siti con l’obiettivo di proteggere i dati degli utenti e di conseguenza la volontà di voler fornire agli user, contenuti e servizi attraverso connessioni sicure.
Leggi tutto

Quanto ti piace?

DiElisabetta Feroldi

Siti Web e GDPR

5/5 (6) Con l’entrata in vigore del Regolamento UE 2016/697 GDPR è necessario fare un check up al tuo sito web.

Abbiamo pensato di aiutarti rispondendo a delle domande che possono guidarti in questo lavoro.

Il Provider si occupa dell’adeguamento del mio sito web secondo le nuove regolamentazioni GDPR ?
Leggi tutto

Quanto ti piace?

DiElisabetta Feroldi

L’importanza di fare manutenzione al sito web

5/5 (2)

Il successo di un sito web è dato oltre che dall’aspetto grafico gradevole anche dalla capacità di rimanere costantemente aggiornato e di proporre contenuti nuovi e stimolanti sia per gli utenti abituali che per attirare nuovi utenti. Fare manutenzione al sito web è fondamentale.

Nessuno di noi vorrebbe che il proprio sito venisse segnalato da Google come sito compromesso.

Dopo tutta la fatica tempo e risorse investite per realizzare il nostro sito, dopo essersi creati una reputazione in internet, dopo essere riusciti a indicizzare il proprio sito nel migliore dei modi sarebbe veramente spiacevole se durante la ricerca su Google questo venisse segnalato come “sito compromesso”.

Infatti se ciò dovesse succedere non è consigliabile visitare il sito. Per evitare che questo accada è sempre buona cosa fare manutenzione al sito.

Ma chi deve fare manutenzione al sito? Non il provider come spesso si pensa.
Leggi tutto

Quanto ti piace?

DiSandra Bertolacci

Le sempre nuove frontiere dello spam

Per essere efficaci, spam e phishing devono cogliere di sorpresa, e quindi cambiano spesso.
Una nuova ondata di messaggi che coglieranno impreparati molti, spinti dall’impulso di cliccare per contrastare l’ingiustizia delle accuse.

Leggi tutto

Quanto ti piace?