Sicurezza Informatica
SRE vs DevOps: Una comparazione tra due approcci alla gestione del software
Tempo di lettura: 2 minuti. SRE e DevOps sono due metodologie che mirano a semplificare lo sviluppo e le operazioni riducendo gli errori umani. Scopriamo le loro somiglianze, differenze e i ruoli e le responsabilità di ciascuno.
SRE (Site Reliability Engineering) e DevOps sono entrambi orientati a semplificare lo sviluppo e le operazioni riducendo gli errori umani. A causa dei loro obiettivi simili, alcuni professionisti IT considerano SRE come un’estensione di DevOps. Tuttavia, esistono differenze distinte tra i due che devono essere valutate per definire i loro ruoli e responsabilità di lavoro.
Cos’è DevOps?
DevOps è una gamma di strumenti e filosofie culturali uniche che si concentrano sull’aiutare le organizzazioni a semplificare i cicli di rilascio delle applicazioni software per migliorarne la qualità, la sicurezza e la scalabilità.
Cos’è SRE?
SRE è un insieme di pratiche che incorporano aspetti dell’ingegneria del software per automatizzare i compiti dell’infrastruttura IT. Secondo Google, i fondatori di SRE, l’obiettivo di SRE è di “proteggere, fornire e progredire il software e i sistemi dietro tutti i servizi pubblici di Google… con un occhio sempre vigile sulla loro disponibilità, latenza, prestazioni e capacità”.
SRE vs DevOps: Somiglianze e differenze
DevOps è fortemente incentrato su una cultura di collaborazione. Integra i flussi di lavoro di team che normalmente non lavorano facilmente insieme con un processo che è spesso descritto come “abbattere i silos organizzativi”. Tradizionalmente, i team che sviluppano software non sono stati coinvolti nel suo dispiegamento, figuriamoci nel monitoraggio e nella manutenzione della sua infrastruttura e dei suoi sistemi sottostanti. In contrasto, i team DevOps sono molto più coesi. Sono coinvolti durante tutto il ciclo di vita di un’app o di un servizio: gestiscono e testano il codice, dispiegano e eseguono l’applicazione o il servizio, e risolvono le instabilità nell’infrastruttura.
L’approccio SRE
SRE porta questa filosofia un passo avanti e lavora per garantire una piattaforma affidabile e resiliente. I team SRE spesso iniziano con requisiti aziendali per il tempo di attività del sistema e dell’applicazione. Per soddisfare queste esigenze e i livelli di servizio di base, i team SRE mantengono continuamente i loro ambienti di distribuzione analizzandoli e validando la loro stabilità. In breve, mantengono il servizio “vivo”.
Ruoli e responsabilità di SRE vs DevOps
Esplorare le differenze tra le funzioni di DevOps e SRE illumina efficacemente le responsabilità attese di ciascun ruolo. Sebbene ci sia una sovrapposizione significativa tra i due, quando si tratta del ciclo di vita dello sviluppo del software, DevOps tende ad essere più “shift-left”, mentre SRE è tipicamente più “shift-right”.
Il ruolo di un team DevOps
Responsabile della centralizzazione e manutenzione del codice sorgente utilizzando il controllo del codice sorgente, i team DevOps creano e gestiscono pipeline per l’integrazione continua (CI). Questo consente agli sviluppatori di eseguire test funzionali e unitari, compilare il codice, costruire contenitori e produrre i vari artefatti necessari per il dispiegamento.
Il ruolo di un team SRE
Una volta che il carico di lavoro è attivo e funzionante, il che significa che la responsabilità principale del team DevOps è completa, il team SRE si concentra sulla garanzia del tempo di attività e dell’affidabilità del carico di lavoro. Stabilisce una base per ciò che è considerato “affidabile” per ogni scenario di carico di lavoro dell’applicazione e lo realizza esaminando gli obiettivi di livello di servizio (SLO) e gli indicatori di livello di servizio (SLI).
Conclusione
Sebbene SRE sia spesso descritto come un successore di DevOps, i due ruoli sono più complementari l’uno all’altro che non competitivi. In un dipartimento IT ideale, i team DevOps e SRE lavorano insieme. Ogni team funziona con un focus diverso, ma la loro sovrapposizione consente loro di scrivere e rilasciare applicazioni affidabili su un’infrastruttura affidabile in modo rapido ed efficiente.
Sicurezza Informatica
NodeStealer e phishing via Google Calendar: nuove minacce
Tempo di lettura: 2 minuti. NodeStealer e phishing via Google Calendar: analisi delle minacce avanzate che compromettono dati finanziari e credenziali.
Le più recenti minacce evidenziano l’evoluzione delle tecniche utilizzate da cybercriminali per compromettere utenti e aziende. Tra queste, il malware NodeStealer che prende di mira account di Facebook Ads Manager e il phishing che sfrutta Google Calendar per eludere i filtri spam.
NodeStealer: malware avanzato basato su Python
NodeStealer, originariamente un malware JavaScript, è stato aggiornato per utilizzare Python, ampliando le sue capacità di raccolta dati sensibili. In una recente campagna, il malware ha preso di mira un’istituzione educativa in Malesia, legata a un gruppo di cybercriminali vietnamiti.
Il malware si diffonde tramite email di spear-phishing contenenti link malevoli mascherati da PDF legittimi. Dopo l’apertura, un file dannoso esegue DLL sideloading e comandi PowerShell offuscati, installando il payload finale. Questo infostealer è progettato per sottrarre credenziali, dati memorizzati nei browser e informazioni finanziarie da account Facebook Ads Manager.
Il traffico dati rubati avviene attraverso Telegram, che garantisce anonimato e semplicità di gestione. La campagna rappresenta una minaccia crescente, data l’efficienza dei metodi di evasione e la specificità dei target come individuato da TrendMicro.
Phishing tramite Google Calendar: un inganno che sfrutta strumenti legittimi
Una campagna di phishing osservata da Check Point utilizza Google Calendar per inviare inviti a eventi con link malevoli. Gli attacchi, indirizzati a oltre 300 brand, includono settori come banche, sanità ed educazione.
Gli inviti contengono link a Google Drawings o Google Forms, mascherati da pulsanti di supporto o reCaptcha. Una volta cliccati, conducono a pagine che raccolgono credenziali o altre informazioni sensibili.
Gli aggressori sfruttano la fiducia nei servizi Google, superando i controlli DKIM, SPF e DMARC per evitare i filtri spam. Inoltre, utilizzano la funzione di annullamento eventi per inviare messaggi di phishing aggiuntivi.
Per proteggersi, si consiglia di:
- Disabilitare l’aggiunta automatica di inviti nel calendario.
- Ignorare link in inviti sospetti, verificando sempre la legittimità del mittente.
Le campagne di malware e phishing descritte dimostrano l’importanza di misure preventive e consapevolezza degli utenti. Strumenti come NodeStealer e gli attacchi basati su Google Calendar sfruttano piattaforme legittime per attività malevole, sottolineando la necessità di approcci proattivi alla sicurezza.
Sicurezza Informatica
Salt Thypoon e APT29: a rischio Signal e RDP
Tempo di lettura: 4 minuti. Da smishing a malware come Raccoon Stealer e attacchi MITM di APT29, scopri le minacce attuali e le raccomandazioni per proteggerti.
Recentemente, diverse campagne di cybercriminalità hanno messo in evidenza la necessità di rafforzare le difese informatiche. Tra le minacce, si segnalano campagne di smishing mirate agli utenti di Poste Italiane, malware Raccoon Stealer, attacchi MITM tramite RDP orchestrati da APT29 e la raccomandazione di CISA di adottare app di messaggistica cifrata come Signal.
CISA: utilizzo di app cifrate dopo violazioni nelle telecomunicazioni
Dopo una serie di violazioni ai danni di otto operatori statunitensi, incluse T-Mobile e AT&T, la CISA ha raccomandato l’adozione di app di messaggistica cifrata, come Signal, per proteggere le comunicazioni da intercettazioni. Le violazioni, attribuite al gruppo Salt Typhoon, hanno consentito l’accesso prolungato ai sistemi di telecomunicazioni, esponendo dati sensibili.
Le raccomandazioni di CISA includono:
- Uso di autenticazione multi-fattore basata su hardware, come Yubico o Google Titan.
- Abbandono delle VPN commerciali con scarse politiche di sicurezza.
- Adozione di funzioni di sicurezza avanzate come Apple Lockdown Mode o il programma di protezione avanzata (APP) di Google.
Questi suggerimenti mirano a proteggere le comunicazioni personali e aziendali in un contesto di minacce crescenti.
Smishing contro utenti Poste Italiane: attenzione ai falsi avvisi di consegna
Il CERT-AGID ha identificato una nuova campagna di smishing che sfrutta falsi messaggi SMS inviati agli utenti di Poste Italiane. L’SMS invita le vittime a cliccare su un link fraudolento per risolvere problemi di consegna.
Il link reindirizza a un sito che imita quello ufficiale di Poste Italiane, richiedendo dati personali e delle carte di credito. Dopo aver inserito le informazioni, gli utenti possono subire furti finanziari e compromissioni di identità.
Si consiglia di:
- Verificare sempre i link prima di cliccarvi.
- Utilizzare i canali ufficiali delle organizzazioni per chiarire eventuali dubbi.
- Segnalare messaggi sospetti a malware@cert-agid.gov.it.
Raccoon Stealer: operatore condannato e implicazioni per la sicurezza
L’operatore dietro al noto malware Raccoon Stealer è stato condannato a cinque anni di prigione negli Stati Uniti dopo essersi dichiarato colpevole. Questo malware è stato responsabile di numerosi attacchi globali, con furti di credenziali, dati bancari e criptovalute, colpendo milioni di utenti dal 2019 al 2022.
Raccoon Stealer funzionava come Malware-as-a-Service (MaaS), con gli sviluppatori che vendevano abbonamenti agli attori malevoli. Una volta attivato, il malware raccoglieva informazioni sensibili dalle macchine infette, inviandole a server di comando e controllo.
La condanna dell’operatore rappresenta un passo importante nella lotta contro il cybercrimine. Tuttavia, gli esperti avvertono che varianti del malware potrebbero continuare a circolare, con la necessità di implementare difese più robuste, come software anti-malware aggiornati e una maggiore consapevolezza tra gli utenti.
APT29: attacchi MITM tramite RDP proxy
Il gruppo di cybercriminali APT29 (conosciuto anche come Midnight Blizzard o Earth Koshchei), associato alla Russia, sta utilizzando una rete di proxy RDP (Remote Desktop Protocol) per attacchi di tipo man-in-the-middle (MITM).
In questa campagna, gli aggressori inducono le vittime a connettersi a server RDP compromessi, consentendo loro di:
- Intercettare credenziali e sessioni di lavoro.
- Accedere a dati sensibili.
- Installare payload malevoli sui sistemi compromessi.
Il gruppo utilizza strumenti come PyRDP, una soluzione open-source originariamente pensata per scopi legittimi di simulazione red team, per sfruttare le connessioni RDP in modo illecito.
Gli attacchi sono stati mirati contro organizzazioni governative, militari e aziende tecnologiche in paesi come Stati Uniti, Francia, Germania e Australia. Per mitigare i rischi, si raccomanda di:
- Limitare l’uso dell’RDP solo a connessioni fidate.
- Applicare restrizioni di rete per impedire connessioni esterne non autorizzate.
- Monitorare le attività di rete per rilevare comportamenti anomali.
Le minacce descritte sottolineano la necessità di un approccio proattivo alla sicurezza informatica. Da campagne di smishing a malware avanzati come Raccoon Stealer, fino agli attacchi sofisticati di APT29, il panorama della sicurezza continua a evolversi. L’adozione di app cifrate, unita a pratiche di sicurezza solide, rappresenta una difesa fondamentale contro i rischi moderni.
Sicurezza Informatica
Windows, rischi Visual Studio Code, file MSC e kernel
Tempo di lettura: 3 minuti. Attacchi a Visual Studio Code e kernel di Windows: scopri come nuove minacce sfruttano estensioni malevole, file MSC e vulnerabilità critiche per colpire utenti globali.
Negli ultimi giorni, esperti di sicurezza hanno individuato nuove minacce che sfruttano estensioni malevole di Visual Studio Code, file MSC di Microsoft e una vulnerabilità critica nel kernel di Windows. Questi attacchi, sempre più sofisticati, rappresentano rischi significativi per sviluppatori, organizzazioni e utenti globali.
Visual Studio Code: estensioni malevole nel marketplace
Un’ampia campagna di attacchi è stata individuata su Visual Studio Code (VSCode), con oltre 18 estensioni malevole progettate per colpire sviluppatori e comunità legate alle criptovalute. Le estensioni, tra cui “Ethereum.SoliditySupport” e “ZoomWorkspace.Zoom,” mascherano funzioni dannose attraverso falsi numeri di installazioni e recensioni positive.
Le estensioni scaricano payload offuscati da domini fasulli come “microsoft-visualstudiocode[.]com”. Una volta installate, attivano comandi PowerShell che decriptano stringhe AES per eseguire codice dannoso. I rischi principali includono il furto di credenziali e movimenti laterali verso risorse cloud, specialmente su piattaforme come Microsoft Azure.
Gli esperti raccomandano di validare sempre le estensioni prima di installarle e di controllare i loro codici sorgente per evitare compromissioni della supply chain.
Attacchi tramite file MSC: una minaccia emergente
Un’altra campagna, denominata FLUX#CONSOLE, sfrutta file MSC (Microsoft Common Console Document) per distribuire backdoor mirate. Questi file, mascherati da documenti PDF (“Tax Reductions, Rebates and Credits 2024”), eseguono JavaScript integrato per caricare DLL dannose come “DismCore.dll.”
Gli attacchi sono stati osservati principalmente in Pakistan, dove gli aggressori utilizzano documenti a tema fiscale come esca. Questi file MSC rappresentano un’evoluzione dei tradizionali file LNK, offrendo agli attori malevoli un metodo stealth per infiltrarsi nei sistemi.
Le analisi suggeriscono che il malware installato tramite questi attacchi consente la raccolta di dati sensibili e l’esecuzione di comandi remoti, rendendo necessario un monitoraggio continuo e la segmentazione delle reti aziendali.
Kernel di Windows: vulnerabilità sfruttata per ottenere privilegi SYSTEM
Una vulnerabilità critica del kernel di Windows, identificata come CVE-2024-35250, è attivamente sfruttata per ottenere privilegi SYSTEM. Questa falla, presente nel componente Microsoft Kernel Streaming Service (MSKSSRV.SYS), permette a un attore locale di eseguire attacchi a bassa complessità senza richiedere l’interazione dell’utente.
Originariamente scoperta dal team di ricerca DEVCORE e dimostrata durante il Pwn2Own Vancouver 2024, la vulnerabilità è stata corretta da Microsoft nel Patch Tuesday di giugno 2024. Tuttavia, con la recente pubblicazione di exploit Proof-of-Concept (PoC) su GitHub, gli attacchi sono aumentati in frequenza, rendendo necessario un intervento urgente per mitigare i rischi.
Meccanismo dell’attacco e conseguenze
Gli aggressori sfruttano un untrusted pointer dereference, un tipo di debolezza che consente loro di manipolare la memoria del kernel e di ottenere un controllo completo sul sistema. Durante i test, questa tecnica è stata utilizzata per compromettere dispositivi con Windows 11 versione 23H2, eseguendo comandi con i massimi privilegi.
CISA ha classificato questa vulnerabilità come prioritaria, aggiungendola al suo catalogo Known Exploited Vulnerabilities (KEV) e imponendo alle agenzie federali di aggiornare i propri sistemi entro il 6 gennaio 2025. L’agenzia raccomanda anche alle organizzazioni private di applicare immediatamente le patch e di implementare controlli di accesso rigorosi.
Queste campagne, che spaziano dall’abuso di estensioni di Visual Studio Code alle vulnerabilità nel kernel di Windows, dimostrano la crescente sofisticazione degli attacchi informatici. Proteggersi richiede un approccio proattivo, che includa l’aggiornamento regolare dei software, il monitoraggio delle attività di rete e la segmentazione delle risorse sensibili.
-
Smartphone1 settimana ago
Realme GT 7 Pro vs Motorola Edge 50 Ultra: quale scegliere?
-
Smartphone1 settimana ago
OnePlus 13 vs Google Pixel 9 Pro XL: scegliere o aspettare?
-
Smartphone1 settimana ago
Samsung Galaxy Z Flip 7: il debutto dell’Exynos 2500
-
Smartphone1 settimana ago
Redmi Note 14 Pro+ vs 13 Pro+: quale scegliere?
-
Economia1 settimana ago
Controversie e investimenti globali: Apple, Google e TikTok
-
Sicurezza Informatica1 giorno ago
Nvidia, SonicWall e Apache Struts: vulnerabilità critiche e soluzioni
-
Sicurezza Informatica5 giorni ago
BadBox su IoT, Telegram e Viber: Germania e Russia rischiano
-
Sicurezza Informatica18 ore ago
HubPhish, targeting politico e vulnerabilità critiche