Disponibili aggiornamenti per prodotti CISCO
(AL01/220421/CSIRT-ITA)
Aggiornamenti di sicurezza Cisco sanano vulnerabilità su diversi prodotti, di cui 3 con gravità “alta”.
by CSIRT - http://csirt.gov.it/contenuti/disponibili-aggiornamenti-per-prodotti-cisco-al01-220421-csirt-ita
(AL01/220421/CSIRT-ITA)
Aggiornamenti di sicurezza Cisco sanano vulnerabilità su diversi prodotti, di cui 3 con gravità “alta”.
by CSIRT - http://csirt.gov.it/contenuti/disponibili-aggiornamenti-per-prodotti-cisco-al01-220421-csirt-ita
GitHub can't be trusted. Or, how suspending Russian accounts deleted project history and pull requests
According to various reports ([1], [2], [3], [4]), GitHub is suspending accounts of Russian developers and organizations linked to or associated with organizations sanctioned by the US government over Russia’s invasion of Ukraine. But it appears that GitHub did not think this through entirely, because these account suspensions are fucking up my projects.
https://www.jessesquires.com/blog/2022/04/19/github-suspending-russian-accounts/
According to various reports ([1], [2], [3], [4]), GitHub is suspending accounts of Russian developers and organizations linked to or associated with organizations sanctioned by the US government over Russia’s invasion of Ukraine. But it appears that GitHub did not think this through entirely, because these account suspensions are fucking up my projects.
https://www.jessesquires.com/blog/2022/04/19/github-suspending-russian-accounts/
Jesse Squires
GitHub suspending Russian accounts deleted project history and pull requests
According to various reports ([1], [2], [3], [4]), GitHub is suspending accounts of Russian developers and organizations linked to or associated with organiz...
Data retention, Scorza: “Ora cambiamo la legge italiana, viola la privacy dei cittadini”
La notizia è ormai nota: la Corte di Giustizia dell’Unione europea, lo scorso 5 aprile, ha ribadito ancora una volta che la conservazione generalizzata e indiscriminata dei dati sul traffico telefonico e telematico è incompatibile con la disciplina europea in materia di privacy nelle comunicazioni elettroniche.
https://www.agendadigitale.eu/sicurezza/privacy/data-retention-scorza-ora-cambiamo-la-legge-italiana-viola-la-privacy-dei-cittadini/
La notizia è ormai nota: la Corte di Giustizia dell’Unione europea, lo scorso 5 aprile, ha ribadito ancora una volta che la conservazione generalizzata e indiscriminata dei dati sul traffico telefonico e telematico è incompatibile con la disciplina europea in materia di privacy nelle comunicazioni elettroniche.
https://www.agendadigitale.eu/sicurezza/privacy/data-retention-scorza-ora-cambiamo-la-legge-italiana-viola-la-privacy-dei-cittadini/
Aggiornamenti DRUPAL
(AL02/220421/CSIRT-ITA)
Aggiornamenti di sicurezza risolvono due vulnerabilità in Drupal Core.
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-drupal-al02-220421-csirt-ita
(AL02/220421/CSIRT-ITA)
Aggiornamenti di sicurezza risolvono due vulnerabilità in Drupal Core.
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-drupal-al02-220421-csirt-ita
25e per ogni e-mail pubblicitaria non richiesta?
Il tribunale regionale di Heidelberg ha riconosciuto a un interessato un #risarcimento danni per un importo di 25 euro ai sensi dell'articolo 82 #GDPR dopo aver ricevuto #email pubblicitarie non richieste.
https://www.linkedin.com/feed/update/urn:li:activity:6922830724894990337
Il tribunale regionale di Heidelberg ha riconosciuto a un interessato un #risarcimento danni per un importo di 25 euro ai sensi dell'articolo 82 #GDPR dopo aver ricevuto #email pubblicitarie non richieste.
https://www.linkedin.com/feed/update/urn:li:activity:6922830724894990337
Linkedin
Filippo Bianchini on LinkedIn: LG Heidelberg - 4 S 1/21
Sul danno c.d. #bagatellare (ossia di scarsissima gravità e rilevanza) in materia di protezione dei dati personali.
Il tribunale regionale di Heidelberg...
Il tribunale regionale di Heidelberg...
Rilevata vulnerabilità in prodotti Atlassian
(AL03/220421/CSIRT-ITA)
Aggiornamenti di sicurezza sanano una vulnerabilità presente nel web application security framework Jira Seraph dei prodotti Atlassian Jira Server e Jira Service Management Server.
by CSIRT - http://csirt.gov.it/contenuti/rilevata-vulnerabilita-in-prodotti-atlassian-al03-220421-csirt-ita
(AL03/220421/CSIRT-ITA)
Aggiornamenti di sicurezza sanano una vulnerabilità presente nel web application security framework Jira Seraph dei prodotti Atlassian Jira Server e Jira Service Management Server.
by CSIRT - http://csirt.gov.it/contenuti/rilevata-vulnerabilita-in-prodotti-atlassian-al03-220421-csirt-ita
La bolla che non scoppiava mai
Nulla è meno predicibile del futuro e da questa banalità occorre partire. Se il passato è scritto e il presente è di fronte a noi, il futuro fatica a manifestarsi poiché vengono meno quei paradigmi che avrebbero potuto aiutare a tracciare trend e previsioni supportate da una qualche convinzione. Tutto ciò si fa ancor più complesso quando si parla di economia.
https://www.punto-informatico.it/la-bolla-che-non-scoppiava-mai/
Nulla è meno predicibile del futuro e da questa banalità occorre partire. Se il passato è scritto e il presente è di fronte a noi, il futuro fatica a manifestarsi poiché vengono meno quei paradigmi che avrebbero potuto aiutare a tracciare trend e previsioni supportate da una qualche convinzione. Tutto ciò si fa ancor più complesso quando si parla di economia.
https://www.punto-informatico.it/la-bolla-che-non-scoppiava-mai/
www.punto-informatico.it
La bolla che non scoppiava mai
E se la soluzione al problema dell’antivirus fosse avere il codice open?
Problema numero uno: il codice dell’antivirus, che gira con privilegi elevati sui nostri sistemi, è chiuso e non sappiamo quello che fa. Benissimo, apriamo il codice quindi.
Il codice liberamente disponibile permette a ricercatori, auditor indipendenti e agenzie governative, di verificare che non siano presenti backdoor, killswitch o meccanismi che possano consentire la compromissione dell’endpoint.
https://codiceinsicuro.it/2022/04/04/e-se-il-problema-dell-antivirus-fosse-avere-il-codice-open/
Problema numero uno: il codice dell’antivirus, che gira con privilegi elevati sui nostri sistemi, è chiuso e non sappiamo quello che fa. Benissimo, apriamo il codice quindi.
Il codice liberamente disponibile permette a ricercatori, auditor indipendenti e agenzie governative, di verificare che non siano presenti backdoor, killswitch o meccanismi che possano consentire la compromissione dell’endpoint.
https://codiceinsicuro.it/2022/04/04/e-se-il-problema-dell-antivirus-fosse-avere-il-codice-open/
Codice Insicuro, blog di Cyber Security, sviluppo sicuro, code review e altro.
E se la soluzione al problema dell’antivirus fosse avere il codice open?
Il modello opensource, può rispondere all’esigenza di avere controllo da parte del governo e dei privati, per quanto riguarda una componente critica come l’antivirus? Secondo me sì. Leggi perché.
Aggiornamenti per Amazon AWS
(AL01/220422/CSIRT-ITA)
Amazon Web Services (AWS) ha rilasciato ulteriori aggiornamenti di sicurezza al fine di risolvere alcune vulnerabilità correlate alle precedenti hotfix per Log4j nei prodotti Amazon Linux e Amazon Linux 2.
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-per-amazon-aws-al01-220422-csirt-ita
(AL01/220422/CSIRT-ITA)
Amazon Web Services (AWS) ha rilasciato ulteriori aggiornamenti di sicurezza al fine di risolvere alcune vulnerabilità correlate alle precedenti hotfix per Log4j nei prodotti Amazon Linux e Amazon Linux 2.
by CSIRT - http://csirt.gov.it/contenuti/aggiornamenti-per-amazon-aws-al01-220422-csirt-ita
Sintesi riepilogativa delle campagne malevole nella settimana del 16 – 22 aprile 2022
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole, di cui 34 con obiettivi italiani ed 1 generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 806 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-16-22-aprile-2022/
In questa settimana, il CERT-AGID ha riscontrato ed analizzato, nello scenario italiano di suo riferimento, un totale di 35 campagne malevole, di cui 34 con obiettivi italiani ed 1 generica che ha comunque interessato l’Italia, mettendo a disposizione dei suoi enti accreditati i relativi 806 indicatori di compromissione (IOC) individuati. Riportiamo in seguito il dettaglio delle tipologie illustrate [...]
by CERT-AgID - https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-16-22-aprile-2022/
CERT-AGID
Sintesi riepilogativa delle campagne malevole nella settimana del 16 – 22 aprile 2022
Cassandra Crossing/ Le teste che non rotolano
Il 30 marzo una tempesta perfetta ha colpito l’informatica pubblica italiana. Una serie di servizi informatici vitali sono diventati improvvisamente indisponibili, e questo ha provocato lo stop totale di servizi al pubblico essenziali.
https://calamarim.medium.com/cassandra-crossing-le-teste-che-non-rotolano-d68144adb83f
Il 30 marzo una tempesta perfetta ha colpito l’informatica pubblica italiana. Una serie di servizi informatici vitali sono diventati improvvisamente indisponibili, e questo ha provocato lo stop totale di servizi al pubblico essenziali.
https://calamarim.medium.com/cassandra-crossing-le-teste-che-non-rotolano-d68144adb83f
Medium
Cassandra Crossing/ Le teste che non rotolano
(499) — Una tempesta perfetta ha colpito i sistemi informatici della PP.AA.; perché tutto tace e non ci sono conseguenze?
GitHub sospende account degli sviluppatori russi
TL;DR La decisione unilaterale di GitHub di sospendere gli account russi o collegati a società russe ha causato… Source
by Zerozone.it - https://www.zerozone.it/politica-societa/github-sospende-account-degli-sviluppatori-russi/21870
TL;DR La decisione unilaterale di GitHub di sospendere gli account russi o collegati a società russe ha causato… Source
by Zerozone.it - https://www.zerozone.it/politica-societa/github-sospende-account-degli-sviluppatori-russi/21870
Il blog di Michele Pinassi
Il blog di Michele Pinassi • GitHub sospende account degli sviluppatori russi
open-source. Stando a diverse fonti del settore, la popolare piattaforma GitHub (dal 2018 di proprietà di Microsoft) ha sospeso alcuni account collegati a sviluppatori russi, trascinando con sé sia il…
Anche l’ASP Messina vittima della ransomware gang Lockbit 2.0
TL;DR La ransomware gang Lockbit 2.0 colpisce le infrastrutture ICT dell’Azienda Sanitaria Provinciale di Messina, con la minaccia… Source
by Zerozone.it - https://www.zerozone.it/cybersecurity/anche-lasp-messina-vittima-della-ransomware-gang-lockbit-2-0/21874
TL;DR La ransomware gang Lockbit 2.0 colpisce le infrastrutture ICT dell’Azienda Sanitaria Provinciale di Messina, con la minaccia… Source
by Zerozone.it - https://www.zerozone.it/cybersecurity/anche-lasp-messina-vittima-della-ransomware-gang-lockbit-2-0/21874
Il blog di Michele Pinassi
Il blog di Michele Pinassi • Anche l’ASP Messina vittima della ransomware gang Lockbit 2.0
Ancora una struttura sanitaria pubblica vittima della ransomware gang Lockbit 2.0, una delle più attive e prolifiche degli ultimi mesi. La notizia è di pochi giorni fa, quando sul sito della…
Uno 0-day sul popolare software 7zip
TL;DR Pubblicata una vulnerabilità 0-day di privilege escalation nel popolare software di compressione 7-zip, incluso anche in molte… Source
by Zerozone.it - https://www.zerozone.it/cybersecurity/uno-0-day-sul-popolare-software-7zip/21822
TL;DR Pubblicata una vulnerabilità 0-day di privilege escalation nel popolare software di compressione 7-zip, incluso anche in molte… Source
by Zerozone.it - https://www.zerozone.it/cybersecurity/uno-0-day-sul-popolare-software-7zip/21822
Il blog di Michele Pinassi
Il blog di Michele Pinassi • Uno 0-day sul popolare software 7zip
privilege escalation nel popolare software di compressione 7-zip, incluso anche in molte soluzioni antivirus. Rilasciato ieri il CVE-2022-29072 relativo a una vulnerabilità del tipo privilege…
OWASP - Web Security Testing Guide.pdf
3.4 MB
OWASP - Web Security Testing Guide
La Settimana Cibernetica del 24 aprile 2022
Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 18 al 24 aprile 2022
by CSIRT - http://csirt.gov.it/contenuti/la-settimana-cibernetica-del-24-aprile-2022
Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 18 al 24 aprile 2022
by CSIRT - http://csirt.gov.it/contenuti/la-settimana-cibernetica-del-24-aprile-2022
They’ve been listening for longer than you think. A new history reveals how—and why.
Wiretapping is nearly as old as electronic communications. Telegraph operators intercepted enemy messages during the Civil War. Law enforcement agencies were listening to private telephone calls as early as 1895. Communications firms have assisted government eavesdropping programs since the early twentieth century—and they have spied on their own customers too. Such breaches of privacy once provoked outrage, but today most Americans have resigned themselves to constant electronic monitoring. How did we get from there to here?
https://www.hup.harvard.edu/catalog.php?isbn=9780674249288
Wiretapping is nearly as old as electronic communications. Telegraph operators intercepted enemy messages during the Civil War. Law enforcement agencies were listening to private telephone calls as early as 1895. Communications firms have assisted government eavesdropping programs since the early twentieth century—and they have spied on their own customers too. Such breaches of privacy once provoked outrage, but today most Americans have resigned themselves to constant electronic monitoring. How did we get from there to here?
https://www.hup.harvard.edu/catalog.php?isbn=9780674249288
www.hup.harvard.edu
The Listeners — Brian Hochman | Harvard University Press
Electronic eavesdropping once provoked protest and outrage. Now it is a mundane fact of life. How did we get here? The Listeners traces the spies and scandal mongers, confidence artists and security experts, police and presidents who made the wiretap a defining…
Nimbuspwn: analisi delle vulnerabilità
(BL01/220427/CSIRT-ITA)
Ricercatori di sicurezza hanno recentemente rilevato diverse vulnerabilità - denominate Nimbuspwn – che, qualora sfruttate, potrebbero consentire ad un utente malintenzionato di ottenere i privilegi di tipo “root” su sistemi Linux.
by CSIRT - http://csirt.gov.it/contenuti/nimbuspwn-analisi-delle-vulnerabilita-bl01-220427-csirt-ita
(BL01/220427/CSIRT-ITA)
Ricercatori di sicurezza hanno recentemente rilevato diverse vulnerabilità - denominate Nimbuspwn – che, qualora sfruttate, potrebbero consentire ad un utente malintenzionato di ottenere i privilegi di tipo “root” su sistemi Linux.
by CSIRT - http://csirt.gov.it/contenuti/nimbuspwn-analisi-delle-vulnerabilita-bl01-220427-csirt-ita
Nuova versione di Google Chrome
(AL01/220427/CSIRT-ITA)
Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 30 vulnerabilità di sicurezza, di cui 7 con gravità “alta”.
by CSIRT - http://csirt.gov.it/contenuti/nuova-versione-di-google-chrome-al01-220427-csirt-ita
(AL01/220427/CSIRT-ITA)
Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 30 vulnerabilità di sicurezza, di cui 7 con gravità “alta”.
by CSIRT - http://csirt.gov.it/contenuti/nuova-versione-di-google-chrome-al01-220427-csirt-ita
Vulnerabilità in SonicWall Global VPN Client
(AL01/220428/CSIRT-ITA)
Rilevata una vulnerabilità in precedenti versioni dell’installer di SonicWall Global VPN Client che potrebbe permettere l’elevazione di privilegi e l’esecuzione di comandi arbitrari sul dispositivo.
by CSIRT - http://csirt.gov.it/contenuti/vulnerabilita-in-sonicwall-global-vpn-client-al01-220428-csirt-ita
(AL01/220428/CSIRT-ITA)
Rilevata una vulnerabilità in precedenti versioni dell’installer di SonicWall Global VPN Client che potrebbe permettere l’elevazione di privilegi e l’esecuzione di comandi arbitrari sul dispositivo.
by CSIRT - http://csirt.gov.it/contenuti/vulnerabilita-in-sonicwall-global-vpn-client-al01-220428-csirt-ita