Articles

FIFA World Cup 2022: un'allettante occasione per i cyber criminali

FIFA World Cup 2022: un'allettante occasione per i cyber criminali

02 Dec 2022

Il FIFA World Cup 2022 in Qatar appena iniziato è già nel mirino dei criminali informatici.
Come riportato da molte fonti di ricerca e sicurezza della comunità cyber i grandi eventi come questi, catalizzando l’attenzione del pubblico, rappresentano una allettante occasione per i cyber criminali.

In particolare sarebbero stati osservati una varietà di schemi fraudolenti. Oltre alle truffe tradizionali, omaggi e biglietti falsi e negozi di merchandising truffaldini, si registra anche un numero crescente di truffe NFT legate alla Coppa del Mondo.

Vendita biglietti al botteghino online

Poiché Qatar 2022 offre solo biglietti digitali, cresce il rischio di imbattersi in botteghini online che propinano biglietti falsi come esca per indurre le vittime a cadere nella trappola del phishing. Aumentano, pertanto i siti dove acquistare biglietti per le partite della FIFA che in realtà sono stati implementati per rubare dati personali, dettagli bancari e denaro.

Phishing e impersonificazione

Una delle tattiche di phishing rilevate consiste nell’utilizzare diversi domini di primo livello generici (TLD) con la stessa parola chiave utilizzata ufficialmente dalla FIFA. Ad esempio i domini fifa2022[.]pro, fifa2022[.]world e fifa2022[.]space vengono spacciati come sito ufficiale FIFA (che in realtà risulta essere fifa2022.com). In generale, i ricercatori affermano che il livello di sofisticazione utilizzato dagli attaccanti per imitare i domini originali varierebbe notevolmente, spaziando da pagine di phishing di bassa qualità a realizzazioni raffinate con animazioni e loghi molto verosimili.
Non è un caso che i domini di impersonificazione siano una scelta comune tra gli attori delle minacce che spesso li utilizzano non solo per il furto di informazioni di identificazione personale (PII), credenziali di accesso, dati finanziari, ma anche per il rilascio di payload pericolosi come i famigerati ransomware.
Infatti anche le organizzazioni del Qatar e straniere responsabili dell’organizzazione del campionato mondiale di calcio 2022 potrebbero essere prese di mira da attacchi ransomware, la minaccia informatica più rilevante in questo momento storico, dato il numero significativo di gang criminali dedite a questa attività e il numero di attacchi registrati.

Anche il typosquatting è una delle tecniche di ingegneria sociale solitamente impiegata in scenari di phishing, inducendo la potenziale vittima a visitare siti Web che presentano piccole modifiche nei nomi rispetto a quelli dei domini originali. Nel caso di specie ecco alcuni esempi di domini creati utilizzando il typosquatting:

  • “fifawordcup” (manca la lettera L in world);
  • “fifawor1dcup” (usato il numero "1" invece della lettera L in world);
  • “fifa2O22” (usata la lettera O invece del numero zero "0" in 2022). 

Il mercato nero del web

In tutti i casi, i dati rubati attraverso questi schemi fraudolenti potrebbero inoltre essere riutilizzati anche per altri scopi illeciti o venduti sul Dark Web. Ad esempio nei mercati underground si possono trovare in vendita raccolte di dati rubati alle vittime contenenti cookie di sessione, indirizzi IP e credenziali account. Acquisendo queste credenziali, gli attori delle minacce potrebbero accedere illecitamente agli account ed eseguire operazioni dannose come la compromissione della posta elettronica aziendale (BEC), l’escalation dei privilegi e la compromissione dell’identità digitale delle vittime.

Lotterie, scommesse e merchandising

Sarebbero state rilevate anche pagine di phishing che permettono di vincere biglietti per la Coppa del Mondo, in realtà falsi, in cambio del pagamento di costi di spedizione e negozi di merchandising legati alla FIFA che offrono come esca magliette, cover per telefoni e palloni autografati.
In questo contesto anche i nomi dei domini delle organizzazioni sponsor (partner e sostenitori della FIFA World Cup Qatar 2022) potrebbero essere sfruttati nelle campagne di phishing a tema lotteria e concorsi FIFA World Cup Qatar 2022.

Ma non solo, oltre ai falsi siti Web e alle e-mail di phishing, gli attori delle minacce potrebbero sfruttare per espandere la superficie di attacco, anche app fraudolente, distribuite tramite store non ufficiali e facilmente reperibili online utilizzando i motori di ricerca più comuni e i social media per gestire le proprie campagne propinando omaggi e pubblicità ingannevole. Numerose sarebbero le app e le pagine di social media trovate che impersonano a vario titolo il marchio e i loghi dell’evento sportivo in Qatar per diffondere truffe varie e malware.

Scommesse, investimenti e offerte viaggio in Qatar

Gli esperti di cyber security avrebbero inoltre scoperto pagine di phishing che imitano servizi di compagnie aeree per vendere biglietti in offerta destinazione Doha e altre truffe che sfrutterebbero le scommesse sugli esiti delle partite mettendo in palio criptovalute e NFT o gli investimenti in criptovaluta. Inserendo le credenziali dei wallet digitali invece di ricevere il premio/investimento maturato, la vittima finirebbe col regalare ai criminali l’accesso ai propri risparmi.

FIFA World Cup 2022, raccomandazioni per organizzazioni e spettatori

Visti tutti i presupposti è plausibile aspettarci un susseguirsi di diverse ondate di attacchi e campagne per tutto il periodo del torneo che si protrarrà per quasi un mese. A questo proposito, tutti gli spettatori e le organizzazioni che parteciperanno all’evento dovrebbero prendere precauzioni per proteggersi da ogni possibile rischio informatico correlato.
In particolare:

  • mantenendo sempre aggiornati software e tool di sicurezza;
  • prestando attenzione alle numerose strategie di truffa basate sull’ingegneria sociale;
  • non utilizzando credenziali, password o dati della carta di credito su siti o piattaforme di cui non si è certi dell’ufficialità e sicurezza.


È consigliabile inoltre di:

  • controllare sempre i link prima di fare click, passando il mouse sopra di esso per visualizzare l’anteprima dell’indirizzo reale (URL);
  • prestare attenzione in generale ai messaggi non richiesti che chiedono verifiche di sicurezza o aggiornamenti;
  • fare attenzione alle informazioni condivise online o sui social media;
  • impostare quando possibile l’autenticazione multi fattore;
  • utilizzare solo app store legittimi (come gli store di Apple e Google) per il download di applicazioni, rivedendo le relative autorizzazioni di accesso concesse;
  • utilizzare una soluzione di sicurezza affidabile che identifichi allegati malevoli e blocchi lo spam; 


In particolar modo per le organizzazioni è sempre raccomandabile adottare un approccio proattivo basato sul rischio per adattare la propria strategia di sicurezza a specifiche esigenze e vulnerabilità, considerando probabilità di accadimento e potenziali impatti.
 
 


Continua a leggere
CISO: il giusto equilibrio tra competenze tecniche e manageriali

CISO: il giusto equilibrio tra competenze tecniche e manageriali

18 Nov 2022

Con la crescente digitalizzazione, il ruolo del CISO diventa sempre più importante.
Il CISO (Chief Information Security Officer) ha, infatti, la responsabilità di garantire la sicurezza delle informazioni elettroniche di un'organizzazione e di sviluppare e implementare politiche e procedure di sicurezza.

Con volume e varietà di minacce informatiche in continua crescita, il CISO deve essere costantemente consapevole dei nuovi rischi e di come proteggersi da essi. Deve inoltre possedere una profonda conoscenza della tecnologia e del business, per bilanciare efficacemente le preoccupazioni relative alla sicurezza con le esigenze aziendali.

Il ruolo del CISO è spesso visto come una integrazione tra quello di un “tecnologo” e quello di un dirigente aziendale.

Per questo motivo, i CISO di successo devono essere in grado di comunicare efficacemente con entrambi i gruppi. Devono essere in grado di comprendere i dettagli tecnici delle varie minacce e soluzioni di sicurezza, ma anche di spiegare questi concetti al personale non tecnico in modo che possa comprenderli ed adottarli.

Oltre alle competenze tecniche e comunicative, i CISO devono anche possedere forti qualità di leadership. Devono essere in grado di ispirare e motivare il proprio team, nonché di costruire relazioni con gli altri reparti dell'azienda per ottenere l'adesione alle iniziative di sicurezza.

Il ruolo di CISO è impegnativo, ma è anche fondamentale per qualsiasi organizzazione che si affida alla tecnologia. Con le giuste competenze e qualifiche, un CISO può essere la chiave per mantenere un'organizzazione al sicuro dalle minacce informatiche.

Differenza tra CISO, CIO e CSO

Un CISO è responsabile della sicurezza delle informazioni di un'organizzazione, mentre un CIO è responsabile della gestione complessiva delle informazioni. I CISO si occupano in genere di proteggere i dati dalle minacce esterne, mentre i CIO si concentrano sull'uso efficiente ed efficace delle informazioni all'interno dell'organizzazione.

Negli ultimi anni, i ruoli di CISO e CIO sono diventati sempre più interconnessi, poiché le organizzazioni riconoscono la necessità di un approccio olistico alla gestione delle informazioni. Di conseguenza, molte organizzazioni hanno sia un CISO che un CIO, ognuno dei quali svolge un ruolo fondamentale nel garantire la sicurezza e l'efficienza del sistema di gestione delle informazioni dell'organizzazione. Infine, tali ruoli devono essere separati e indipendenti tra loro, con il principale obiettivo di garantire una segregazione dei ruoli tra chi protegge le informazioni e chi operativamente deve gestirle.

Spesso si fa inoltre confusione tra i ruoli di CISO e CSO.
Il CISO, o Chief Information Security Officer, è responsabile dello sviluppo e dell'implementazione della strategia di sicurezza delle informazioni digitali di un'organizzazione. Un CSO, o Chief Security Officer, è responsabile di tutti gli aspetti della sicurezza, compresa la sicurezza fisica, la sicurezza delle informazioni e la gestione delle crisi.

La differenza principale tra un CISO e un CSO è che un CISO si concentra sulla sicurezza digitale, mentre un CSO supervisiona tutte le operazioni di sicurezza di un'organizzazione. Sebbene entrambi i ruoli siano importanti, l'ambito di responsabilità di ciascuna posizione può variare a seconda delle dimensioni e delle esigenze dell'azienda.

Nelle organizzazioni più piccole, le posizioni di CISO e CSO possono essere combinate in un unico ruolo. Nelle organizzazioni più grandi, il CISO può riferire al CSO. Indipendentemente dalla struttura organizzativa, entrambi i ruoli sono essenziali per sviluppare e mantenere un ambiente sicuro.

Gli skill essenziali del CISO


Le principali competenze che un CISO deve possedere sono:

1. Forte conoscenza tecnica: Un CISO deve avere una solida conoscenza di tutti gli aspetti della sicurezza delle informazioni, dalla crittografia alla sicurezza delle reti.

2. Notevoli capacità di leadership: Un CISO deve essere in grado di gestire efficacemente un team di professionisti della sicurezza e di coordinare le attività di più team all'interno dell'organizzazione.

3. Ottime capacità di comunicazione: Un CISO deve essere in grado di comunicare efficacemente con il personale tecnico e non tecnico, nonché con le parti interessate esterne come azionisti, clienti e partner.

4. Grande capacità di risolvere i problemi: Un CISO deve essere in grado di identificare e risolvere problemi complessi in modo rapido ed efficiente.

5. Ottime capacità di project management: Un CISO deve essere in grado di gestire efficacemente progetti di sicurezza complessi dall'inizio alla fine.

6. Spiccate capacità analitiche: Un CISO deve essere in grado di analizzare efficacemente dati e informazioni per identificare tendenze e modelli.

7. Acume commerciale: Un CISO deve essere in grado di comprendere gli obiettivi aziendali dell'organizzazione e di allineare il programma di sicurezza a tali obiettivi.

8. Profonda comprensione della tecnologia: Un CISO deve avere una solida conoscenza delle tecnologie attuali ed emergenti e di come queste possano essere utilizzate per migliorare la sicurezza di un'organizzazione.

9. Conoscenza adeguate delle normative: Un CISO deve avere una solida conoscenza delle leggi e dei regolamenti applicabili, nonché del loro impatto sulla sicurezza dell'organizzazione.

10. Spiccate capacità di relazione: Un CISO deve essere in grado di comunicare efficacemente con tutti i livelli dell'organizzazione, dalla direzione generale ai dipendenti in prima linea. Deve anche essere in grado di illustrare chiaramente gli obiettivi del programma di sicurezza, i suoi successi e le sue sfide.


Come opera un CISO in azienda?


Il CISO, o Chief Information Security Officer, è responsabile dello sviluppo e dell'implementazione del programma di sicurezza delle informazioni di un'organizzazione.

Ciò include la creazione e l'applicazione di politiche e procedure per proteggere i dati da accessi o distruzioni non autorizzati.

I CISO collaborano anche con il management esecutivo per garantire che le preoccupazioni relative alla sicurezza siano prese in considerazione quando si prendono le decisioni aziendali.

Inoltre, i CISO collaborano con gli altri reparti dell'organizzazione per garantire che la sicurezza sia presa in considerazione in tutti gli aspetti delle operazioni.

Cosa fa concretamente un CISO nella vita di tutti i giorni?

In genere, i CISO sono responsabili dei seguenti compiti:

  • Sviluppare e implementare politiche e procedure di sicurezza delle informazioni
  • Applicare i controlli sulla sicurezza delle informazioni
  • Monitoraggio della conformità alle politiche e alle procedure di sicurezza delle informazioni
  • Condurre valutazioni del rischio
  • Indagare sugli incidenti di accesso non autorizzato o di perdita di dati.
  • Coordinamento con altri dipartimenti per garantire che la sicurezza sia presa in considerazione in tutti gli aspetti delle operazioni.
  • Fornire formazione su argomenti relativi alla sicurezza delle informazioni
  • Collaborare con il management esecutivo per garantire che le problematiche di sicurezza siano prese in considerazione nelle decisioni aziendali.


Queste sono solo alcune delle numerose responsabilità che rientrano nella sfera di competenza di un CISO. Come si può notare, si tratta di un lavoro complesso e impegnativo, che richiede un'ampia gamma di competenze e conoscenze.

Una delle responsabilità più importanti di un CISO è la scelta dei giusti controlli di sicurezza delle informazioni per la propria organizzazione. Questo può essere un compito davvero gravoso, poiché esistono letteralmente migliaia di controlli di sicurezza diversi tra cui scegliere.
Il CISO deve avere una buona comprensione dei rischi e delle esigenze dell'organizzazione per selezionare i controlli più efficaci.


Un'altra responsabilità fondamentale del CISO è il monitoraggio della conformità alle politiche e alle procedure di sicurezza delle informazioni. Ciò include la garanzia che i dipendenti seguano le procedure corrette quando trattano dati sensibili, come la crittografia delle e-mail contenenti informazioni riservate.

Quali soluzioni per la sicurezza delle informazioni in azienda?


Quando si parla di sicurezza, non esiste una soluzione unica. Il modo migliore per proteggere la vostra organizzazione è adattare la strategia di sicurezza alle vostre esigenze specifiche. Lavorando con un team di esperti di sicurezza, potete sviluppare un piano completo che vi aiuterà a mantenere la vostra azienda al sicuro da ogni tipo di minaccia.

Un CISO è un partner strategico che può aiutarvi a navigare nel panorama in continua evoluzione delle minacce alla sicurezza. Soprattutto nelle PMI questo ruolo non deve essere sottovalutato, anzi deve essere sempre di più favorito e introdotto all'interno delle organizzazioni aziendali.

Lavorerà con voi per sviluppare un piano personalizzato che tenga conto delle vostre esigenze aziendali. I CISO hanno anche il compito di tenersi aggiornati sulle ultime tendenze e tecnologie di sicurezza, in modo da potervi consigliare il modo migliore per proteggere la vostra azienda e renderla meno vulnerabile.

Collaborare con un CISO è un investimento per il futuro di ogni azienda, per renderla pronta ad affrontare qualsiasi sfida in un mondo sempre più digitale e complesso.

Francesco Nonni @ F3RM1 Foundation


Continua a leggere
La sicurezza dei dispositivi IoT

La sicurezza dei dispositivi IoT

28 Oct 2022

L'internet delle cose (Internet of Things) è un concetto applicato al mondo digitale secondo cui gli oggetti si rendono riconoscibili in quanto possono comunicare dati e informazioni che li riguardano, ampliando così le già ampie potenzialità del web.


Seguendo questa filosofia, qualsiasi "cosa" può acquisire un ruolo attivo grazie al suo collegamento in rete, facendo riferimento a specifiche categorie comprendenti apparecchiature, dispositivi, attrezzature e servizi in genere.


A tal proposito si parla di smart object (oggetti intelligenti) che si caratterizzano per i seguenti requisiti:

- connessione;

- identificazione;

- localizzazione;

- capacità di interazione;

- capacità di elaborazione dati.


Il principale obiettivo dell'IoT è quello di tracciare una mappatura digitale del mondo reale, offrendo una precisa identità elettronica agli oggetti.

In un simile sistema, gli oggetti creano dunque un sistema d'interconnessione che sfrutta numerose tecniche di comunicazione, valorizzando le opportunità delle "cose" collegate tra loro.

Si tratta di un paradigma tecnologico fornito di uno sconfinato parco applicativo, capace di incidere profondamente sull'efficienza di imprese, aziende e istituzioni economiche.

Come conseguenza si può realizzare un effettivo miglioramento della qualità della vita, con risvolti ad ampio raggio.

Sono trascorsi circa 20 anni dalla nascita di IoT, durante i quali l'evoluzione non si è mai fermata, ma al contrario ha incentivato sempre più l'evoluzione smart in qualsiasi settore.

Attraverso il web ogni oggetto acquista una sua identità digitale sviluppando una connessione intelligente e scambiando informazioni raccolte ed elaborate.



Sicurezza dei dispositivi IoT

La sempre maggiore diffusione dei dispositivi IoT da un lato garantisce indubbi vantaggi a livello di automazione e di produttività, ma d'altro lato implica notevoli problematiche di sicurezza.

Secondo le più recenti proiezioni statistiche di Juniper Research, entro 3 anni saranno circa 83 miliardi le connessioni IoT basate su sensori e infrastrutture “intelligenti”.

Questi dati si collegano all'enorme problema della sicurezza informatica, dal momento che a tutt'oggi l’attenzione alla protezione di questi dispositivi e dei dati in essi contenuti non è così elevata.

Bisogna pertanto cercare di identificare i settori maggiormente soggetti a vulnerabilità, applicando adeguati sistemi di sicurezza.

Per valutare il grado di sicurezza informatica è necessario prima di tutto individuare le potenziali minacce e i rischi associati per scongiurare il pericolo di impatti negativi.


Basti pensare ad alcuni esempi già disponibili al giorno d’oggi come i sistemi di video sorveglianza controllati da remoto, i veicoli a guida autonoma, oppure le catene di produzione automatizzate e gestite a distanza. E’ indubbio il loro valore per la società e le aziende, ma altrettanto chiaro che se il controllo passa nelle mani sbagliate, i potenziali danni potrebbero risultare devastanti. 


Proprio per questo motivo la IoT Security è un problema molto serio.


Un solo esempio può rappresentare l’importanza del problema. Il progetto ot:icefall ha analizzato 26 modelli di dispositivi IoT offerti da 10 differenti produttori e, in questo piccolo campione, ha evidenziato 56 differenti vulnerabilità nei dispositivi IoT dovuti a difetti di progettazione che potrebbero essere sfruttati da attaccanti per accedervi e manometterli. Molti di questi prodotti, addirittura, sono venduti come “secure by design” oppure con allegate certificazioni di sicurezza.

Le vulnerabilità individuate sono suddivise in queste categorie principali: 

- protocolli non sicuri; 

- crittografia debole o schemi di autenticazione non funzionanti;

- aggiornamenti firmware non sicuri;

- possibilità di esecuzione di codice remoto tramite funzionalità nativa.


Il rapporto sottolinea come i produttori di tecnologia debbano migliorare la sicurezza dei loro dispositivi, implementando sistemi innovativi come schemi di autenticazione, crittografia e aggiornamento dei firmware adeguati dal momento che il 14% delle vulnerabilità può comportare l’esecuzione di codici da remoto, un 21% la manipolazione del firmware e ben il 38% la compromissione delle credenziali.


Vi è inoltre un’altra tendenza che acuisce la problematica che è la tendenza a “dimenticarsi” dell’esistenza di questi dispositivi. Gli utenti e le aziende tendono a portare poca attenzione, ad esempio, al continuo aggiornamento dei dispositivi o alla loro sostituzione a seguito della loro obsolescenza. Il supporto da parte delle aziende produttrici, infatti, non è infinito e spesso il vortice del progresso tecnologico e dell’uscita di sempre nuovi dispositivi, rende gli IoT acquistati e adottati magari pochi anni prima del tutto obsoleti e non più “aggiornabili” lasciando potenzialmente aperte importanti falle nelle nostre reti informatica, aziendali o casalinghe che siano.


L’aspetto, infine, più problematico del tema è che i dispositivi IoT soggetti a queste vulnerabilità sono sempre più utilizzati in settori strategici e di vitale importanza come quello della distribuzione di energia, trattamento e distribuzione dell’acqua, estrazione mineraria e automazione degli edifici.

Ciò spiega l’aumento degli attacchi informatici degli ultimi anni contro strutture quali acquedotti, centrali elettriche, impianti petrolchimici etc.


Inoltre anche i singoli dispositivi IoT ad uso privato possono essere soggetti a queste vulnerabilità; infatti molti dei nostri apparecchi connessi alla rete se privi di un’ adeguata protezione possono essere manomessi da attaccanti non solo sottraendo dati sensibili presenti nei nostri oggetti, ma anche prendendo il controllo di alcuni dispositivi quali ad esempio le web cam compromettendo la nostra privacy.


A tal proposito degno di nota è il progetto Shodan; si tratta di un motore di ricerca che permette sia di effettuare una scansione della rete e vedere quali dispositivi sono connessi, sia di capire quali sono esposti dal punto di vista della sicurezza. 

Per questa ragione i principali utenti che fanno uso di Shadan sono principalmente professionisti della sicurezza informatica, forze dell’ordine e ricercatori.

Ad esempio nel 2021 Shodan è stato utilizzato da AT&T (la più grande società di telecomunicazioni del mondo per fatturato e la terza per fornitura di telefonia mobile negli Stati Uniti) per rilevare i dispositivi IoT infettati da malware.


Tuttavia è bene tenere a mente che anche se a tutt'oggi la consapevolezza, in merito ai pericoli degli attacchi informatici, delle aziende produttrici e degli utilizzatori dei dispositivi IoT sia aumentata, il rischio di compromissione rimane decisamente elevato.


Francesco Nonni @ F3RM1


Continua a leggere
L’importanza della cultura della sicurezza

L’importanza della cultura della sicurezza

14 Oct 2022

Negli ultimi decenni lo sviluppo tecnologico ed informatico ha condizionato e modificato radicalmente la vita di tutto il mondo. Grazie all'innovazione del ventunesimo secolo, infatti, c'è stata una vera e propria scoperta del mondo digitale che adesso è diventato centrale all'interno della nostra esistenza. Sono nati nuovi lavori online, si è sviluppato lo smark working, e così via dicendo.
Il progresso informatico ha creato nuove opportunità dando tantissimi benefici e vantaggi; nonostante ciò, però, ogni cosa ha anche dei lati negativi che vanno analizzati attentamente per riuscire a sfruttare questo nuovo mondo in modo proficuo senza incappare in spiacevoli situazioni di pericolo e disagio.

Cultura della sicurezza: cos'è e perchè è importante

Ciò che influisce sulla sicurezza digitale è innanzitutto il pensiero unito a tutte le abitudini e il comportamento sociale di ogni individuo all'interno di questo mondo. Spesso si pensa che si è sicuri, quando in realtà non lo si è. Dunque, è un bene capire in che modo bisogna sempre tutelarsi cercando di comprendere che questo aspetto è fondamentale all'interno di qualsiasi mondo, in particolar modo quando ci troviamo sul web. La cultura della sicurezza di un'organizzazione è fondamentale per la sua capacità di proteggere le informazioni, i dati e la privacy dei dipendenti e dei clienti.
Alcune aziende stanno iniziando a capirlo cercando di lavorare sempre di più in merito a questo aspetto attraverso lo stanziamento di fondi dedicati per sviluppare la migliore sicurezza possibile e proteggere i propri utenti. Stanno andando oltre gli approcci tattici e contingenti alla sicurezza e riconoscono che una sicurezza efficace a livello aziendale richiede un approccio strategico a lungo termine che si concentri sulla comunicazione e sulla cultura.
Questo è l'unico modo per riuscire ad evitare infausti risultati in caso di attacchi informatici e per riuscire a proteggere tutti i dati sensibili all'interno, per esempio, di un qualsiasi sito web (informazioni personali, dati, conti, carte, ecc...).
Ognuno di noi diventa, quindi, una parte importante della sicurezza aziendale come elemento di prevenzione e protezione. Gli obiettivi da raggiungere devono essere chiari e fare tutto il possibile per raggiungerli.

In primo luogo, è necessario dare il buon esempio.

Risulta quindi fondamentale che la cultura della sicurezza parta dal Top Management che oltre a sponsorizzarla deve essere anche un modello di comportamento per tutti i dipendenti.

Perchè il mondo digitale può essere pericoloso?

La criminalità informatica è molto pericolosa ed è infatti fondamentale cercare di prevenire gli attacchi informatici; nonostante ciò, però, bisogna capire quali possano essere le insidie del mondo digitale per cercare di evitarle.
La criminalità informatica comprende l'uso improprio di informazioni private e personali, nonché di informazioni sensibili, rubate via Internet dalle reti aziendali o dalle carte di credito personali. Il phishing e il furto di identità attraverso i social network sono veri e propri crimini informatici in costante aumento, secondo i rapporti della polizia di stato. I ransomware, veri e propri ricatti informatici dove i criminali richiedono riscatti in denaro per non pubblicare o distruggere le informazioni di cui sono venuti in possesso e che hanno reso indisponibili - tramite cifratura - al reale proprietario, sono solo l’ultima tendenza.

Cyber security: come funziona e come adottarla in maniera efficace

La sicurezza informatica si concentra sulle qualità di resilienza, robustezza e reattività che la tecnologia deve possedere per rispondere agli attacchi informatici che possono colpire individui, aziende private, istituzioni pubbliche e organizzazioni governative.
La sicurezza informatica deve essere una priorità assoluta per qualsiasi tipo di attività, perché i rischi informatici sono ovunque: basta aprire una semplice e-mail, scaricare un file apparentemente innocuo per cadere nella trappola di un attaccante ed essere vittima di un crimine informatico.
L'elenco delle potenziali minacce è ampio, ma gli attacchi informatici più comuni si basano principalmente sull'uso dei seguenti strumenti/tecniche:

  • Malware: sono codici o programmi dannosi in grado di compromettere e mettere a rischio un sistema informatico. Questi codici vengono utilizzati per danneggiare in modo preciso computer, reti o sistemi. Attraverso l'utilizzo dei malware gli attaccanti cercano di acquisire il controllo dei sistemi per poi reperire tutte le informazioni utili e pertinenti;
  • SQL injection: è una tecnica che permette di inserire ed eseguire codice imprevisto in un'applicazione web che interroga un database sfruttando alcuni bug nella programmazione;
  • Phishing: si tratta di un attacco informatico con cui si cerca di acquisire i dati personali degli utenti attraverso tecniche di ingegneria sociale: delle tecniche di inganno, truffa e trappole che non hanno a che vedere con vulnerabilità tecnologiche, ma piuttosto con l’interazione tra le persone;
  • Man in the middle: è un tipo di attacco informatico che consente agli aggressori informatici di intercettare e manipolare il traffico Internet;
  • Denial of Service: con questa metodologia si cerca di tempestare un sito web di richieste false in modo da sovraccaricare il sistema e rendere il sito web inagibile e inutilizzabile ai reali utilizzatori.


Cultura della sicurezza: ecco come costruirla in modo efficace

Le organizzazioni possono intraprendere alcuni passi molto pratici e attuabili per sviluppare e promuovere una forte cultura della sicurezza. Per riuscire a costruire la cultura della sicurezza bisogna tener conto di alcuni fattori fondamentali che sono a dir poco indispensabili per migliorare la sicurezza digitale:

  • Atteggiamento: i sentimenti e le convinzioni dei dipendenti sui protocolli e sui problemi di sicurezza. I dipendenti devono avere un atteggiamento positivo verso l’attuazione di pratiche sicure e non dannose;
  • Comportamento: comportamento dei dipendenti che ha un impatto diretto o indiretto sulla sicurezza. In aggiunta al giusto atteggiamento, ogni dipendente deve sapere cosa fare e cosa non fare per proteggere i dati aziendali;
  • Consapevolezza: comprensione, conoscenza e consapevolezza da parte dei dipendenti dei problemi e delle minacce di sicurezza;
  • Conformità e standard: definizione di chiare, comprensibili e disponibili a tutti, politiche di sicurezza. Le regole base a cui tutti devono attenersi;
  • Comunicazione: i canali di comunicazione promuovono un senso di appartenenza e forniscono supporto per problemi di sicurezza e segnalazione degli incidenti. Essi sono inoltre fondamentali affinchè vi sia adeguata consapevolezza;
  • Responsabilità: i dipendenti devono comprendere il proprio ruolo come un fattore chiave nell'aiutare o compromettere la sicurezza.
  • Sponsorship: l’esempio e il commitment deve provenire dal Top Management.

Come creare un programma di Cultura della Sicurezza

Ma come creare un programma di Cultura delle Sicurezza all’interno della propria azienda? Di seguito riporteremo una breve guida sui passaggi fondamentali per raggiungere tale scopo.
Come prima cosa è necessario creare un gruppo di lavoro per promuovere la Cultura della Sicurezza; questo team di lavoro avrà il compito di formare sia la conoscenza sia il programma della Cultura della Sicurezza oltre che supervisionarne l’attuazione all’interno dell’azienda.
Successivamente serve una chiara comprensione del business e una valutazione del rischio, vale a dire la chiara comprensione delle attività e procedure realmente importanti per l’azienda. Fondamentale sarà la mappatura e la valutazione delle misure di sicurezza presenti, in modo da identificare eventuali criticità e implementarne di nuove.
A questo punto bisogna definire gli obiettivi principali e i criteri di successo per valutare quando questi obiettivi vengono raggiunti.

Una volta definiti gli obiettivi è necessario fare una “fotografia” della situazione attuale presente in  azienda e calcolare il divario presente tra questa e gli obiettivi fissati (la cosiddetta “gap analysis”).

Sulla base di questa analisi si selezioneranno le attività da eseguire per colmare un eventuale divario tra la situazione attuale e gli obiettivi fissati.

I principali mezzi per raggiungere la consapevolezza all’interno dell’azienda

Una volta definita la strategia per aumentare la consapevolezza all’interno dell’azienda, è necessario scegliere le giuste modalità per raggiungere gli obiettivi prefissati. Non esiste una ricetta che possa soddisfare le esigenze e peculiarità di ogni singola azienda, ma di seguito elenchiamo le principali attività che possono essere valutate nella scelta delle azioni più appropriate da implementare.

  • Corsi di formazione: i corsi di formazione sono sicuramente la principale modalità di diffondere la cultura della sicurezza. Essi possono aiutare a spiegare l’importanza della sicurezza, le procedure aziendali in essere, come riconoscere le minacce e i comportamenti da adottare in caso di minacce. La chiave fondamentale di un corso di sicurezza è quello di coinvolgere il dipendente. L’uso di video, slide, giochi e interazioni con il personale sono la migliore modalità per rendere accattivante un corso di sicurezza. In caso di grandi numeri, la migliore modalità di erogazione è un corso online, magari registrato. Viceversa, la maggiore efficacia si ottiene con corsi in aula (fisica o virtuale), dove l’interazione con l’insegnante sicuramente mantiene più alta l’attenzione e aumenta le possibilità di confronto.
  • Video, pillole, articoli: un'altra modalità di diffusione della sicurezza è quella di predisporre video e articoli sulla sicurezza da veicolare tramite le modalità di comunicazione già presenti in azienda (es. newsletter per i dipendenti, bacheca aziendale, sito intranet, etc.)
  • Testimonianze del top management: uno dei migliori modi di aumentare la consapevolezza all’interno dell’azienda è certamente il buon esempio. Se l’alta direzione in prima persona si espone per sottolineare l’importanza della sicurezza in azienda, i dipendenti non potranno che cogliere la sua rilevanza. Veicolare questi messaggi durante le riunioni aziendali, i workshop, gli eventi più o meno formali è un metodo efficace e di grande valore.
  • Giochi e test: a volte si impara sbagliando. Le simulazioni di attacchi (es. false email di phishing) sono una delle modalità più efficaci per fare comprendere al dipendente come evitare le situazioni di pericolo. Non solo queste modalità aiutano a saper riconoscere i veri attacchi informatici quando essi accadono, ma anche a comprendere il livello attuale di consapevolezza in azienda e l’efficacia delle azioni intraprese.

Questi sono solo alcuni suggerimenti che possono essere messi facilmente in pratica in azienda. E’ però fondamentale rimarcare una caratteristica comune che ogni programma di formazione e consapevolezza deve avere: la costanza. Le azioni devono essere periodiche e frequenti nel tempo, per garantire che l’attenzione alle tematiche di sicurezza siano sempre elevate.

Francesco Nonni @ F3RM1 Foundation


Continua a leggere
Gli attacchi alla multi factor authentication: le principali minacce a questa fondamentale arma di protezione dei nostri account

Gli attacchi alla multi factor authentication: le principali minacce a questa fondamentale arma di protezione dei nostri account

30 Sep 2022

Da molti anni a questa parte si è ormai imposta come standard di cyber security presso molte aziende l'autenticazione a più fattori (indicata dall'acronimo inglese MFA) che, giorno dopo giorno, dimostra essere la pratica più efficace per tenere al sicuro i propri dati dalle minacce degli attacchi informatici.
Questo meccanismo, ad oggi, sta dimostrando di essere un buon metodo di sicurezza informatica se viene ben implementato ma, al contempo, si può tramutare spesso in un disastro, soprattutto se gli sviluppatori utilizzano delle scorciatoie o trucchi per rendere più facile utilizzare i loro sistemi.

Cos'è la multi factor authentication e chi la usa

Brevemente, l'autenticazione a più fattori è un meccanismo che supera il tradizionale binomio “nome utente” e “password” per identificare un utente e permettergli l'accesso a vari sistemi informatici.
Nello specifico, il sistema per l'accesso ai dati protetto dalla sicurezza informatica tramite MFA richiede l’uso combinato due fattori:

  • Qualcosa che si conosce, come un passcode o un PIN;
  • Qualcosa che si possiede, come una smart card o un token, una caratteristica fisica, che rientra nella biometria come ad esempio il volto, la voce o un'impronta digitale.

L'utilizzo combinato di questi requisiti permette di ottenere una maggiore sicurezza, complicando di fatto il lavoro dell'attaccante che a questo punto deve sottrarre all'utente più di un identificativo, rendendogli addirittura molto complicato riprodurre ovvero ottenere l'autenticazione se questa è basata addirittura sulle caratteristiche fisiche.

Secondo alcuni sondaggi condotti da Microsoft di recente, solamente lo 0,01% degli account di privati cittadini utilizzano sistemi di MFA all'interno dell'ambiente Windows. Il numero cresce per quanto riguarda gli account aziendali, con l'11% del totale, ma sono numeri ancora distanti da una percentuale adeguata per poter parlare di mitigazione dei rischi alla sicurezza informatica.

Di recente, l'utilizzo dell'autenticazione a più fattori sta crescendo e il merito deve andare, in parte, anche alla Pandemia da Covid19: i datori di lavoro, costretti ad organizzare sistemi di lavoro da remoto, hanno cominciato ad investire in progetti di sicurezza per lo sviluppo di MFA per proteggersi tanto da attaccanti organizzati quanto da attacchi informatici singoli e randomizzati sulla rete.

Nella stessa direzione, anche altri colossi del digitale hanno investito pesantemente nell'introduzione di sistemi di sicurezza informatica che prevedono l'autenticazione in più fattori.

Google, ad esempio, l'ha resa una procedura obbligatoria per tutti i suoi account utenti. Apple, invece, ha rilasciato Safari 14 con l'implementazione dei protocolli di FIDO2 mentre risalgono all'anno scorso le dichiarazioni di Joe Biden, il quale ha dichiarato che tutte le agenzie esecutive degli Stati Uniti d'America avrebbero a breve adottato sistemi di MFA.

Naturalmente, gli attaccanti non sono rimasti a guardare e, nel corso del tempo, hanno studiato le falle e i problemi dell'autenticazione a più fattori per riuscire a trovare dei modi per minare comunque la sicurezza informatica degli utilizzatori. Questa tecnologia, infatti, non è esente da rischi e alcuni dei metodi più intelligenti e funzionali per violare l'autenticazione a due fattori si riscontrano nel phishing, finalizzato a sottrarre agli utenti legittimi chiavi e password per la sicurezza MFA.

Le minacce alla Multi factor Authentication


Gli attacchi informatici contro i sistemi di MFA sono in continuo aggiornamento perché le competenze e le conoscenze su queste pratiche aumentano man mano che i malintenzionati accrescono le loro conoscenze o individuano una falla. Eccone una lista dei principali.

1. Attacchi man-in-the-middle con SMS.
Questo sistema per violare la MFA attacca tutte le procedure che prevedono l'utilizzo di codici monouso inviati tramite messaggio di testo al numero di cellulare collegato all'account. Tramite questo metodo, gli attaccanti che vogliono minare la sicurezza informatica sottraggono il numero di telefono dell'utente e ricevono il codice al posto del reale destinatario, prima di utilizzarlo. I metodi utilizzati per attuare effettivamente questo attacco sono diversi. Uno, ad esempio, prevede clonazione della SIM per dirottare i messaggi diretti ad un determinato numero di telefono verso una SIM differente. La clonazione può avvenire tramite tecniche di social engineering, così da indurre gli operatori di telefonia mobile a emettere una nuova SIM card, oppure, corrompendo chi lavora presso uno store o presso il customer care dei provider, o con l’uso di documenti falsi.

2. Attacchi pass-the-cookie.
Con questo metodo, l’attaccante è in grado di estrarre dei dati necessari all'autenticazione in due fattori utilizzando i cookie del browser che l'utente utilizza. Questo perché questo strumento memorizza i dettagli di autenticazione nello stesso: una pratica che, per favorire la comodità dell'utente, permette al malintenzionato di estrarre dati utili da utilizzare in futuro per i suoi scopi illeciti.

3. Ingegneria sociale.
Anche per rubare dati di autenticazione in due fattori, gli attaccanti possono utilizzare metodi di ingegneria sociale come lo shoulder surfing. Un caso celebre, ad esempio, è quello dell'attaccante che telefona al malcapitato fingendosi un rappresentante della sua banca, chiedendogli i dati della sua autenticazione in due fattori per via di un controllo che stanno operando per poi svuotare il conto corrente della vittima.

Francesco Nonni @ F3RM1 Foundation

Continua a leggere
8 consigli pratici per la sicurezza delle piccole e medie imprese

8 consigli pratici per la sicurezza delle piccole e medie imprese

09 Sep 2022

La Cyber Security, per le piccole e medie imprese, rappresenta un obiettivo che deve essere necessariamente raggiunto e mantenuto ai massimi livelli, con il fine di evitare attacchi informatici e furti di dati. Non sempre però, i budget e le risorse permettono ad ogni piccola e media impresa di effettuare gli stessi investimenti delle grandi.

Ecco qualche consiglio pratico che ogni azienda, grande o piccola che sia, può mettere in pratica per aumentare il proprio profilo di sicurezza informatica.

1. Effettuare l'aggiornamento dei software

La sicurezza informatica passa sicuramente per l'aggiornamento costante dei software che vengono installati sui propri sistemi informatici, quindi computer e non solo.
L'aggiornamento dei software è fondamentale dato che questo permette l'installazione di nuove patch che risolvono le falle dei sistemi: gli attaccanti, infatti, studiano continuamente i sistemi per capire quali sono le eventuali falle che permettono loro di infiltrarsi in quel sistema informatico. Una volta individuate, i sistemi diventano vulnerabili fintantoché il produttore non trova una soluzione, detta appunto “patch”.
Con un aggiornamento costante, quindi con l’applicazioni delle patch che via via vengono rese disponibili, sarà garantita la sicurezza e la probabilità di un incidente di sicurezza sarà sensibilmente minore.

2. Creare sempre dei file di backup per i dati importanti

Alcuni dati, durante un eventuale attacco informatico, possono subire dei danni, oltre a essere rubati, quindi la manomissione potrebbe impedire l'accesso ai vari sistemi, con conseguente perdita di informazioni fondamentali per lavorare.
Ecco quindi che grazie a una verifica dei file che meritano di essere oggetto di un backup sarà possibile recuperare il proprio lavoro ed evitare che il furto e l'attacco informatico possano causare diverse conseguenze negative alla propria impresa.
Ovviamente occorre studiare nel dettaglio quali sono i vari dati che meritano di essere sottoposti a questa lavorazione, con il fine di evitarne la perdita, definire una appropriata frequenza di salvataggio e individuare “luoghi” sicuri in cui posizionare le copie di back-up.

3. Scegliere con cura i software che sono esposti su internet

Molti programmi che vengono utilizzati nell'ambito lavorativo hanno accesso (e sono quindi accessibili) alla rete internet e questo comporta, quindi, la creazione di diversi punti d'accesso per coloro che vogliono effettuare un attacco informatico.
Una strategia efficace consiste nel scegliere quali sono i diversi software fondamentali che devono rimanere connessi alla rete, rimuovendo quelli superflui.
In questo modo si evita la creazione di molteplici porte d'accesso, evitando quindi di esporre la rete informatica aziendale a potenziali attacchi informatici.

4. Effettuare periodiche ricerche delle eventuali vulnerabilità

Per ridurre le probabilità di un attacco sulla propria rete aziendale, l'installazione di programmi che effettuano costantemente delle scansioni dei propri sistemi rappresenta un'azione fondamentale per la sicurezza informatica.
Tali software, detti vulnerability scanner, permettono di conoscere quali sono le eventuali minacce che si celano nei nostri sistemi, prima che se ne accorgano potenziali malintenzionati, dandoci quindi l'occasione di aggiornarli e metterli in sicurezza.
Infine risulta fondamentale, una volta identificate le vulnerabilità e comprese le loro criticità, agire in maniera tempestiva per porvi rimedio.

5. Controllare costantemente la rete e il perimetro esterno

Anche la verifica costante della sicurezza della rete aziendale rientra tra le operazioni che devono essere svolte affinché sia possibile operare in un ambiente sicuro.
Tale operazione deve essere svolta in maniera costante affinché sia possibile capire quali sono le svariate minacce che possono materializzarsi, quindi fare tutto il possibile affinché queste possano essere scongiurate, prevenendo quindi delle potenziali situazioni negative. Spesso queste attività sono onerose e richiedono monitoraggi h24, quindi è opportuno valutare la possibilità di affidarsi a fornitori esterni che, grazie alle economie di scala, possono offrire servizi continuativi a costi affrontabili, nonchè mettendo a disposizione competenze non sempre disponibili all’interno di una PMI. Sistemi di Security Information and Event Management (SIEM) e Endpoint Detection and Response (EDR) sono le soluzioni tecnologiche minime da adottare, insieme ad un team che le monitori (Security Operation Center) e che intervenga in caso di attacco (Incident Response Team).

6. Controllare gli accessi alla rete e agli account privilegiati

Limitare e controllare gli accessi effettuati nella rete aziendale è un'altra operazione importante che deve essere svolta per evitare che si possano effettuare attacchi con successo.
Quando gli accessi sono molteplici, infatti, difficilmente si riesce a capire quali sono quelli reali, ovvero gli autorizzati, e quali invece effettuati dalle figure esterne che vogliono danneggiare la ditta. Pertanto, con un controllo degli accessi, che deve essere svolto quotidianamente, sarà possibile avere la concreta opportunità di prevenire eventuali sorprese tutt'altro che gradite.
E’ quindi necessario prevedere zone differenti nella propria rete aziendale, segregando le applicazioni, i servizi e i dati critici da quelli meno importanti.
E’ inoltre assolutamente necessario assegnare i privilegi di accesso sulla base della reale necessità degli utenti e gli account amministrativi (cioè quelli con i maggiori privilegi nella nostra rete) devono essere limitati al massimo e difesi e controllati con la massima attenzione (ad esempio imponendo regole più stringenti nelle creazioni delle password, utilizzando software per la gestione degli account amministrativi - sistemi PAM - Privileged Access Management -, attivando l’autenticazione a due fattori, etc.). Gli attaccanti normalmente mirano queste tipologie di account in quanto permettono un accesso diretto agli asset più importanti dell’azienda, nonchè facilitano i movimenti all’interno della rete.

7. Adottare sistemi a doppia autenticazione

Quando si deve accedere a delle informazioni private, permettere l’accesso con un solo fattore di identificazione (es. la sola password) potrebbe essere un grosso errore: un attaccante, infatti, potrebbe riuscire a scoprire quale sia la password o altri dati che gli permettono di accedere a quella rete o sistema aziendale.
Ecco quindi che occorre adottare un approccio a diverse chiavi (detto Multi-Fattore) che permettono l'accesso a tali informazioni: non solo una classica password, ma anche una One Time Password ricevuta sul dispositivo mobile oppure sulla mail associata all’utente, creando quindi una sorta di blocco ulteriore che impedisce alle persone esterne, non in possesso di entrambi i fattori, di poter accedere a tali dati.
In questo modo si aggiunge un ulteriore deterrente per un attaccante, che riscontrando maggiori difficoltà potrebbe abbandonare l'idea di accedere a quel sistema informatico, magari focalizzandosi su altri meno difesi e più facilmente attaccabili.

8. I corsi di sicurezza informatica per il personale aziendale

Ovviamente occorre anche far partecipare il personale dell'azienda a dei corsi di sicurezza informatica, affinché le persone possano capire quali sono i pericoli che si celano in rete, capire come riconoscerli immediatamente e come procedere per poterli evitare.
I corsi devono quindi essere alla base della sicurezza delle informazioni private dell'azienda: un dipendente che riconosce subito un eventuale attacco ha la capacità di sventare quella minaccia e fare in modo che il sistema informatico aziendale possa essere completamente protetto, evitando quindi eventuali situazioni dannose per l'azienda.
Inoltre si incrementa anche l'autonomia dei vari dipendenti, che saranno in grado adottare gli opportuni comportamenti per fronteggiare le minacce che si possono palesare.

Con queste strategie la rete informatica aziendale e i suoi diversi dati saranno sempre e costantemente protetti.

Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Blockchain security: sono davvero impenetrabili gli algoritmi della blockchain?

Blockchain security: sono davvero impenetrabili gli algoritmi della blockchain?

29 Jul 2022

La crescente adozione e il relativo impatto mediatico e finanziario dell’ormai nota tecnologia blockchain ha fatto sì che aumentassero anche le problematiche relative alla sua sicurezza e al contempo anche l’interesse di utenti e investitori nel comprendere in che modo gli algoritmi utilizzati riescano a precludere eventuali attacchi informatici.

E non è affatto un’esagerazione affermare che una delle tematiche più sentite negli ultimi tempi in fatto di sicurezza informatica sia proprio quella relativa alla tecnologia blockchain e all’intero universo che ruota intorno ad essa, a tal punto che saggi specialistici e addirittura corsi universitari incentrati su questo argomento non si contano ormai più.

Ma alla luce di ciò, si può davvero affermare che gli algoritmi utilizzati riescano ad adempiere perfettamente agli elevatissimi standard richiesti dalla blockchain security?

Scopriamolo.

La blockchain in sintesi

Tecnicamente parlando la tecnologia blockchain si configura come una struttura distribuita in grado di assicurare l’archiviazione di dati in un registro digitale. Tale registro analizza tutte le transazioni valide certificandole in blocchi disposti in catene sequenziali.
Ogni qual volta vi siano dei nuovi blocchi di transazioni, questi vengono aggiunti alla blockchain mediante il ricorso alle funzioni di hashing crittografiche e da ciò si può quindi dedurre come la crittografia sia uno dei fattori più rilevanti nel garantire la stabilità e la sicurezza della tecnologia blockchain.

La Blockchain, infatti, raccoglie e archivia le informazioni in gruppi, detti anche "blocchi" e ogni blocco può contenere una certa quantità di dati. Ogni blocco di dati è “concatenato” al blocco precedente  - da qui il nome di Blockchain – creando una catena di dati. Ogni nuovo blocco di informazioni si collega ai precedenti attraverso hash crittografati che devono “combaciare” con gli hash del blocco precedente.

Il database può essere letto e modificato da uno o più nodi di una rete, ma per validarne le modifiche è necessario che i vari nodi raggiungano il consenso.
Nei sistemi di rete distribuita,  Distributed Ledger - le modifiche al registro, cioè  le transazioni che vengono effettuate, devono essere validate tramite algoritmi di consenso, cioè si deve raggiungere il consenso tra le varie versioni del registro in tutta la rete, garantendo così che la transazione è autentica e identica in tutti i registri.

La sicurezza intrinseca del sistema è, di fatto, il fattore di successo di questa tecnologia.

Quali sono le principali minacce nell’uso di questa tecnologia?


Malgrado la crittografia garantisca determinati principi di sicurezza e, per questo, il registro delle transazioni sia a prova di manomissione, anche la blockchain è suscettibile a minacce informatiche ed ha i suoi punti deboli.

Gli attaccanti possono infatti agire su due piani:
Attacchi architetturali: volti a sfruttare eventuali vulnerabilità nell'infrastruttura blockchain,
Attacchi applicativi: finalizzati a colpire le modalità in cui la tecnologia della blockchain è utilizzata, ad esempio facendo leva sul fattore umano o sulla connessione internet utilizzata dall’utente per accedere alla blockchain

Ecco alcuni esempi:

Attacchi Applicativi - Phishing e furto di chiavi
Paradossalmente, una tecnologia così innovativa è minacciata dalla metodologia di attacco più tradizionale e diffusa.  Il phishing si basa sul tentativo di ottenere credenziali di accesso, con messaggi  molto convincenti che sembrano provenire da una fonte sicura. Il phishing è l’attacco più comune e ormai viene usato praticamente ogni canale di comunicazione per adescare la vittima: email, app di messaggistica, social, e persino il telefono.
Ad esempio, la vittima riceve una email che richiede urgentemente di cliccare su un collegamento ipertestuale. In genere la mail chiede di confermare le proprie credenziali per accedere ad un servizio; nel caso specifico viene richiesto alla vittima di confermare il proprio ID associato all’account per accedere ad un network di blockchain. Una volta che l’attaccante ha accesso alle credenziali della vittima (ad esempio il suo wallet digitale), può disporre transazioni o appropriarsi del suo contenuto. Esattamente come quando le Password dei nostri vari account (social, email, profili etc) possono venirci sottratte da qualche malintenzionato anche per le blockchain esiste il medesimo pericolo.
Infatti per entrare in una rete blockchain ogni utente ha un identificativo univoco detto “chiave privata” la quale può essere scoperta da un  attaccante ed utilizzata per accedere alla rete blockchain ad esempio per rubare ingenti quantità di cripto valute agli utenti.

Attacchi Applicativi - Attacchi routing
In questo caso, gli attaccanti intercettano i dati durante il loro trasferimento sulla rete (di solito una rete wi-fi). Infatti durante il trasferimento di dati gli attaccanti possono intercettarli sottraendo informazioni riservate e purtroppo in genere gli utenti non riescono ad accorgersi della minaccia non sapendo che i dati che stanno caricando su una blockchain sono potenzialmente compromessi e visibili agli attaccanti.

Attacchi Architetturali - Attacchi Sybil
In questa tipologia di attacco, che prende il nome dal personaggio di un libro che soffriva di personalità multiple, gli attaccanti creano una massiva quantità false identità per effettuare una enorme numero di accessi al fine di ottenere il controllo di una rete influenzandone le decisioni.
Ad esempio nelle reti come Bitcoin molte decisioni vengono prese mettendole ai voti quindi se un attaccante ha creato diversi profili falsi sarà in grado di votare più volte influenzando l’esito del voto.

Attacchi Architetturali - Attacchi 51%
In questo caso un gruppo di attaccanti raggiunge più del 50% della potenza di mining (estrazione dati) di una rete blockchain prendendone di fatto il controllo e facendo saltare il concetto stesso di rete decentralizzata. Questa tipologia di attacco è usata soprattutto per effettuare la così detta “doppia spesa” che consiste nell’effettuare più transazioni con le stesse cripto valute. Benché questo attacco sia teoricamente possibile, è di fatto in pratica molto complesso da mettere in atto in quanto richiede un investimento molto considerevole di risorse.

Come descritto brevemente in questo articolo, anche le reti Blockchain presentano delle vulnerabilità che, se sfruttate dagli attaccanti, possono costituire delle gravi minacce per la sicurezza informativa di aziende e individui.
In definitiva possiamo rispondere alla domanda di questo articolo - se gli algoritmi della blockchain siano davvero impenetrabili - in maniera affermativa, ma la sicurezza informatica non risiede solo negli algoritmi. Nessun sistema è invulnerabile, poiché le reti, i software e le vulnerabilità umane sono sempre fattori critici.

Francesco Nonni @ F3RM1 Foundation



Continua a leggere
Cyber criminali: quali sono i gruppi più attivi?

Cyber criminali: quali sono i gruppi più attivi?

15 Jul 2022

Il mondo del crimine informatico è in continua evoluzione e negli ultimi anni, - con la curva della transizione digitale in vertiginosa ascesa a causa della pandemia – la fisionomia delle bande di cyber criminali si è modificata andando verso una centralizzazione delle attività e la creazione di organizzazioni ampie e strutturate, che possono ormai essere definite a tutti gli effetti organizzazioni criminali.
 
Si tratta di un fenomeno globale e in costante aumento complice la situazione geopolitica che stiamo attraversando nell’ultimo biennio tra Pandemia e conflitto Russo – Ucraino, e l’impossibilità, spesso, di perseguire crimini che sono di tipo transnazionale.
 
La specificità dell’evoluzione di queste gang è che essenzialmente espandono l’attività criminosa fisica (estorsione, riciclaggio e furto) nel mondo digitale.
 
Non parliamo quindi di attivisti, né del famigerato anonymous, che mantiene la sua non-struttura di collettivo anarchico, ma di vere e proprie organizzazioni criminali per le quali la rete è solo un ulteriore - e forse il più lucroso - canale di guadagno.
 
Le maggiori cyber gang vengono identificate attraverso i loro attacchi, che per lo più sono di tipo ramsomware, sferrati ad istituzioni di alto profilo dislocate ovunque nel mondo.
 
Vediamo ora nel dettaglio quali sono i gruppi noti più pericolosi.
 
Conti/Ryuk: Cyber Gang specializzata in attacchi ransomware per finalità estorsive, è considerata una delle più spietate a tal punto da attaccare, durante la pandemia, le istituzioni sanitarie in Irlanda e Nuova Zelanda. Oggi il gruppo Conti è forse la più famosa cyber gang è: un organico di oltre 100 persone e un salario mensile che va dai 5.000 ai 10.000 dollari, per un totale di 180 milioni di dollari, guidato da una solida struttura organizzativa e gestionale di lingua russa. Il nome deriva da una variante ransomware chiamata proprio “Conti”, che appare a luglio 2020, il cui codice è basato sul codice di Ryuk usato per attacchi a varie istituzioni. Allo scoppio della guerra tra Ucraina e Russia il gruppo Conti ha preso espressamente posizione a favore di quest’ultima dichiarando non solo che non avrebbe attaccato obiettivi russi ma che anzi avrebbe difeso la Russia da eventuali attacchi informatici provenienti dall’estero. Grazie ad un ricercatore informatico ucraino capace di infiltrare il gruppo Conti, sono stati resi pubblici diversi file e materiale interno appartenenti al gruppo e ciò ha permesso di ottenere molte più informazioni sulle strategie, gli strumenti e la struttura organizzativa di questa Cyber Gang; tuttavia nonostante i dati trapelati le attività criminali di Conti non sembrano averne risentito.
 
REvil: questo gruppo è attivo dal 2019 e ha raggiunto l’apice della sua attività criminale tra il 2020 e il 2021; specializzato in attività estorsive tramite strumenti di ransomware, i membri del gruppo ricevevano una percentuale del bottino sottratto per ogni cyber attacco andato a buon fine. Verso la fine del 2021 questa Cyber Gang è stata smantellata grazie ad un’operazione congiunta delle autorità di Stati Uniti ed Unione Europea che ha portato all’arresto di alcuni suoi membri. Tuttavia già ad Aprile 2022 alcuni siti utilizzati dagli affiliati di ReVil sono stati riaperti, un fatto che potrebbe indicare una possibile ripresa delle loro attività criminali.
 
Lockbit 2.0
: gruppo di cyber criminali che ha effettuato vari attacchi informatici in diversi paesi tra cui, Regno Unito, Cile, Taiwan e l’Italia; nel 2022 sono state 23 le aziende colpite nel nostro paese da Lockbit2.0. Una volta attaccata la vittima i membri della Cyber gang pubblicano all’interno di un sito, raggiungibile mediante rete Tor, un conto alla rovescia per il pagamento del riscatto e la minaccia di pubblicare tutti i dati rubati.
 
DarkSide: cyber gang che a suo dire agisce seguendo un proprio “codice etico” con la promessa ad esempio di non prendere di mira infrastrutture nazionali; per rafforzare questa reputazione ha anche provato a donare in beneficenza parte dei sui guadagni. Ciò nonostante nel 2021 è balzata agli onori della cronaca per l’attacco informatico sferrato contro la Colonial Pipeline interrompendo la fornitura di petrolio alla costa orientale degli Stati Uniti.
 
Questi gruppi di criminali informatici stanno adottando mezzi e tecniche sempre più sofisticate da essere in alcuni casi utilizzati dagli stessi Stati come strumenti per azioni di Spionaggio internazionale e vere e proprie operazioni di Cyber Guerra; è il caso, ad esempio, di Cozy Bear.
A dispetto del nome innocuo (Orsacchiotto)  Cozy Bear è una organizzazione attiva del 2008, sponsorizzata dalla Russia, autrice di diversi attacchi informatici tra cui ricordiamo quello contro il Pentagono nel 2015 e contro varie realtà operanti nel settore governativo, militare e tecnologico sfruttando in un attacco supply-chain la precedente compromissione dell’azienda SolarWinds e del suo prodotto, di cui ci eravamo già occupati in un precedente articolo ( https://f3rm1.cloud/it/articles/show/44), fatti che fanno di Cozy Bear uno dei gruppi più pericoloso e temuto al mondo.
 
 

Francesco Nonni @ F3RM1 Foundation



Continua a leggere
Come gestire e proteggere al meglio le proprie Password. L’uso dei password vault

Come gestire e proteggere al meglio le proprie Password. L’uso dei password vault

01 Jul 2022

In un mondo come quello odierno in cui la propria identità online è parte integrante della propria persona, imparare a proteggersi dagli attacchi informatici è quanto mai opportuno.

Solo nell’ultimo decennio violazioni di dati e sottrazioni di password hanno colpito aziende come Facebook, Yahoo, Equifax, Target e molte altre ancora, tutte realtà che fanno della Cyber Security un fattore fondamentale della propria sopravvivenza nel panorama digitale.

E se tale fenomeno tocca da vicino grandi società e colossi aziendali, altrettanto riguarda i singoli utenti tanto è vero che secondo un report del 2020 di Breach Alarm sono circa 1 milione le password che vengono rubate ogni settimana.


Ma qual è quindi il modo migliore per gestire e proteggere le proprie password?

Scopriamolo.

Cosa sono i password vault e a cosa servono?

Comunemente conosciuti con il nome più popolare di password manager, si tratta di strumenti in grado di gestire e conservare le password dell’utente in modo tale che risultino sicure da eventuali attacchi informatici esterni e/o tentativi di furto da parte di hacker.

Il loro scopo è quello di conservare in modo sicuro e crittografato tutte le varie credenziali comprensive di username e password che un utente può possedere e di archiviarle in una sorta di spazio virtuale privato a cui poter accedere ogni qual volta se ne abbia bisogno.

Il termine vault, nemmeno a farlo apposta, è traducibile dall’inglese in italiano come cassaforte e in effetti questi strumenti aderiscono perfettamente alla traduzione appena fornita dal momento che l’accesso e il relativo utilizzo sono subordinati all’immissione di una master password, o password principale, tramite cui visualizzare e sbloccare tutte le restanti memorizzate.

Non sono pochi, infatti, i password vault, specialmente quelli più avanzati, che consentono di memorizzare automaticamente i campi relativi alle credenziali rendendo quindi l’immissione manuale una pratica superata, funzione molto utile soprattutto nel caso si possiedano un gran numero di password o le stesse siano formate da lunghe stringhe di caratteri alfanumerici.

Importante poi appurare come i password vault dispongano di una certa trasversalità e difatti sono disponibili sul mercato sia sotto forma di software sia sotto forma di estensioni per il browser, sebbene non manchino esempi ibridi in cui le suddette soluzioni sono integrate tra di loro.

Come funzionano i password vault?

Indipendentemente dal fatto che si propenda per una soluzione configurata come estensione del browser o come puro e semplice software atto allo scopo, il sistema di funzionamento su cui si basano i gestori di password è pressoché analogo: dopo la sua installazione viene automaticamente creato uno spazio virtuale, definito vault, protetto da crittografia e posizionato in locale, all’interno di un’apposita cartella, oppure in cloud.

Non sono poi rari i gestori che offrono, anche per quel che riguarda la localizzazione del vault, un sistema ibrido rappresentato da cartella in locale e cloud.

Per accedere a questa sorta di cassaforte digitale virtuale sarà necessario inserire una master password, o password principale, completamente personalizzabile dall’utente sia in termini di lunghezza sia di complessità dei caratteri utilizzati.

Dopo aver immesso la master password saranno fornite tutte le credenziali in chiaro memorizzate, inoltre, soprattutto nel caso di gestori più avanzati, è presente anche una barra di ricerca tramite cui individuare una determinata password tra le tante presenti.

Sempre in tema di funzionamento è bene precisare come molti password vault di alto livello dispongono di un’app nativa perfettamente integrata con il sistema principale tramite cui aver accesso alle medesime password per poterle utilizzare, magari, su un browser mobile disponendo, tra le altre cose, anche della possibilità di determinare misure di sicurezza aggiuntive, vedi inserimento impronta digitale o riconoscimento facciale.

Password vault: le funzionalità imprescindibili

La sicurezza informatica è un tema certamente complesso, ma quali sono le funzioni che non dovrebbero mai mancare nei password vault?

Apparentemente potrebbe sembrare un controsenso, ma una delle funzioni più preziose che un gestore di password possa avere è proprio quella di crearne di nuove. La possibilità di disporre di un generatore di password integrato tra le funzionalità di sistema consente all’utente di poter creare delle password particolarmente complesse formate da stringhe personalizzabili di caratteri e una volta create di salvarle nella medesima interfaccia senza necessità di un programma esterno.

Ulteriore funzionalità che non può mancare su questi preziosi strumenti è quella di verificare l’integrità delle password utilizzate. Molto spesso, infatti, si commette l’errore non solo di determinare una medesima password per più servizi, ma di propendere per date e/o numeri in un certo qual modo significativi della propria vita, così facendo le probabilità che le proprie password vengano violate sono molto alte.

Un sistema in grado di verificare in tempo reale l’integrità delle varie password, invece, oltre ad avvisare l’utente sull’eventuale debolezza o scarsa complessità delle stesse, può avvertirlo in tempo reale laddove si stiano verificando situazioni in cui le proprie credenziali siano in pericolo.

Infine, si potrebbe citare come funzionalità irrinunciabile quella di poter disporre di un sistema di autenticazione a due fattori. Sebbene non si tratti di un servizio garantito da tutti i password vault, sapere che per poter accedere a ogni credenziale in proprio possesso siano necessari sia una master password sia una misura di sicurezza accessoria, come l’impiego di dati biometrici, significa essere consapevoli che i rischi di data breach sono alquanto ridotti.

Password vault e ambito aziendale

Un recente report pubblicato da OnePulse ha messo in evidenza come quasi il 30% degli utenti intervistati siano soliti salvare le proprie password su mezzi tutt’altro che affidabili e sicuri, come i classici post-it o file di testo archiviati in locale.

E tale statistica diventa ancora più rilevante quando ci si rende conto come il tema della sicurezza delle proprie password sia uno di quelli trascurati non solo dagli utenti privati, ma persino da molte realtà aziendali.

E se nel caso dei primi i pericoli derivanti possono coinvolgere la violazione della privacy personale ed eventuali truffe o tentativi di phishing, nelle seconde gli scenari sono decisamente più gravi perché possono impattare le finanze stesse dell’azienda.

Incidenti simili nel panorama delle piccole e medie imprese sono sempre più frequenti ed ecco perché una realtà aziendale dovrebbe prendere senza alcun dubbio in esame la possibilità di munirsi di password vault.

A differenza di quelli destinati a uso privato, tra le altre cose, i password vault aziendali dispongono di un sistema centralizzato in base al quale tutte le credenziali memorizzate sui vari dispositivi possono essere monitorate e gestite da un’unica postazione e ciò fa sì che nello sfortunato caso di violazioni in essere, sarà anche più facile e immediato porre in quarantena i dispositivi compromessi.



È evidente come nell’attuale panorama digitale l’utilizzo di soluzioni casalinghe, come i post-it o i file di testo, per memorizzare le proprie password sia ormai superato e destinato a essere fonte di innumerevoli problemi e criticità al minimo accenno di violazione.

Per questo l’utilizzo dei password vault può essere classificabile come una vera e propria necessità per salvaguarda la sicurezza informatica sia personale sia aziendale soprattutto alla luce dei benefici ottenibili.

Monitoraggio costante e in tempo reale, impiego di una sola master password per accedere al database, possibilità di determinare misure di sicurezza accessorie, estrema usabilità e facilità d’uso e soprattutto estrema sicurezza, sono tutti fattori che rendono i password vault una scelta pressoché obbligata se davvero si vogliono gestire e proteggere le proprie password nella maniera più opportuna e congeniale possibile.


Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Intelligenza Artificiale: le sfide per la sicurezza

Intelligenza Artificiale: le sfide per la sicurezza

17 Jun 2022

L’“Intelligenza Artificiale”, in breve AI (Artificial Intelligence), è una branca dell’informatica che sviluppa sistemi in grado di riprodurre il funzionamento del cervello umano, con competenze simili: ragionamento, apprendimento e azione analoghi a quelli umani.

Oggi l’intelligenza artificiale non ci fa più pensare alla fantascienza o a mondi futuribili, ma è diventato ormai un termine di uso comune e le sue applicazioni sono entrate prepotentemente e in maniera diffusa nella nostra vita quotidiana, anche se non ce ne rendiamo conto.

Vediamone alcune:

Assistenti virtuali: “Siri, come si chiama la canzone che ascoltavo ieri?”

Telefono e computer ci mettono a disposizione assistenti virtuali come Cortana, Google Assistant, Siri che rispondono alle nostre richieste o comandi vocali attraverso algoritmi di AI per il riconoscimento del linguaggio e per “imparare” nel tempo le nostre abitudini di vita.

Chatbot, servizi clienti automatizzati: il cliente è servito…dall’AI

I servizi clienti spesso utilizzano l’AI per gestire chat e smistare le richieste telefoniche riconoscendo voce e perifrasi di linguaggio ed elaborando la risposta o l’azione pertinente alla richiesta.

Riconoscimento facciale: i “poliziotti” virtuali

Le telecamere nelle città, stazioni, aeroporti etc, registrano e processano migliaia di immagini rilevando comportamenti o situazioni anomale - ad esempio, un uomo a terra - segnalandole alle centrali operative preposte alla sicurezza. Il tutto in pochi secondi, grazie all’AI.

So già cosa vuoi: dalla pubblicità alla notizia su misura, l’AI seleziona i contenuti per noi.


Come riportato nel docufilm The social dilemma, l’ambiente digitale - che sia un social, un motore di ricerca, un thread di notizie - ci mostra solo ciò che gli algoritmi di AI e di Machine Learning ritengono che sia di nostro gusto, in base alla nostra personalità, che apprendono ogni volta che facciamo una scelta, mettiamo un “mi piace” o clicchiamo su un banner.

Queste sono solo alcune delle applicazioni che tutti noi usiamo ogni giorno, ma l’AI in realtà domina ogni ambito: dalla macchina che frena da sola quando ci avviciniamo troppo velocemente ad un ostacolo, ai “robot” per le operazioni chirurgiche, ai sistemi di guida e sicurezza degli aerei, e molto altro.

La guida autonoma dei veicoli è il prossimo e vicinissimo obiettivo.

Come funziona tutto questo e quali rischi corriamo?

In sintesi, possiamo dire che l’AI combina una enorme quantità di dati con una elaborazione basata su modelli che impara da sé, (modelli Machine Learning o ML).

Un modello di Machine Learning è basato principalmente su due componenti:
    1. Algoritmi statistici e/o predittivi
    2. Un insieme di dati (data-set) che il modello ML usa per imparare

Vi sono però ancora numerosi problemi di “restituzione” dell’elaborato da parte dii questi sistemi: errori nei data-set di apprendimento, negli algoritmi, etc. Secondo Gartner fino ad oggi, l’85% dei progetti di intelligenza artificiale ha prodotto risultati errati di questi fattori.

Ci sono molti casi ormai noti: modelli di riconoscimento delle immagini “ingannati” da immagini deformate, riconoscimenti facciali basati solo su precise etnie, che di conseguenza perdono la capacità di riconoscere persone di etnie diverse, modelli di calcolo per analisi del rischio (mutui, assicurazioni, etc) che danno risultati errati a seconda dell’appartenenza etnica e non su dati economici e molti altri casi.

In pratica, il sistema ad oggi è tutt’altro che stabile e cominciamo quindi a intuire quali conseguenze possa comportare in materia di sicurezza l’adozione dell’Intelligenza Artificiale, per quanto riguarda le intenzioni malevole della cyber criminalità.

L’IA può diventare una nuova arma di attacco per la cyber criminalità


Anche i criminali informatici stanno facendo sempre più uso dell'IA per sferrare i loro attacchi contro aziende, istituzioni e privati. Infatti, sfruttando le caratteristiche e risorse dell’intelligenza artificiale possono colpire più rapidamente e in maniera più precisa migliaia di obiettivi in contemporanea.

Questo è possibile perché grazie all’enorme capacità di analisi e di calcolo, le IA possono scansionare e identificare tutte le vulnerabilità informatiche all’interno del sistema IT del bersaglio scelto dai cyber criminali. Inoltre gli algoritmi utilizzati dalle IA hanno la capacità di adattarsi, apprendere e migliorarsi continuamente con il risultato che gli attacchi risulteranno sempre più efficaci e di difficile rilevamento da parte dei tradizionali sistemi di protezione.

Nel dark web, gli hacker hanno messo addirittura disponibili delle soluzioni informatiche già pronte generate con IA per sferrare questa tipologia di attacchi; ne è un esempio l’IA-as-a -Service che può essere acquistato da hacker “minori” o meno esperti che non hanno le conoscenze necessarie nel campo delle IA.

Sono diversi i sistemi che sfruttano l’intelligenza artificiale utilizzati degli hacker; alcuni tra i più frequenti sono quelli ideati per riuscire ad indovinare le password delle vittime oppure e-mail di phishing e malware che grazie all’autoapprendimento e all’imitazione del comportamento degli utenti, sono in grado di generare testi sempre più elaborati e personalizzati e di conseguenza sempre più difficili da distinguere dalle vere e-mail.

Un altro esempio, è l’Adversarial Attack, ovvero quando vengono introdotti dati “malevoli” nel data-set di apprendimento che porta quindi alla produzione di risultati ingannevoli.

Individuare questo tipo di attacco è molto difficile, perché è impossibile dedurre le logiche apprese da un modello ML - poiché le genera praticamente da solo - e a volte differiscono significativamente da quello che un cervello umano elabora intuitivamente.

Ad esempio, tornando al riconoscimento delle immagini, un bambino capisce intuitivamente che uno sticker appiccicato su una foto è un elemento esterno, l’AI invece no.
Essendo ormai gli utilizzi di AI diffusi in ogni ambito, è chiaro che i rischi aumentano all’aumentare della loro diffusione.

Paradossalmente, uno dei rischi riguarda proprio la sicurezza informatica: dagli anti-virus al monitoraggio delle reti, i sistemi di sicurezza informatica utilizzano proprio l’AI per individuare degli schemi (pattern) su grandi quantità di dati e da qui individuare anomalie e minacce come l’identificazione di campagne su ampia scala di spam e phishing, o di attacchi malware individuando codici malevoli.

E’ evidente che anche la criminalità informatica può usare l’IA per rendere gli attacchi meno individuabili e progettare contro-strategie sulla base di scenari predittivi della difesa.

In altri ambiti la violazione di una applicazione basata sull’AI suscita scenari inquietanti: si pensi ad una attacco ai sistemi di guida autonoma, o a Grover, un sistema creato dall'università di Washington e dall'istituto Allen per creare fake news perfettamente credibili e scoprire contenuti simili con un tasso di accuratezza del 92%.

Il fine della ricerca era quello di “addestrare” il sistema a riconoscere le fake news; ma è anche vero che l’AI può generare e diffondere abilmente fake news estremamente credibili, secondo uno studio del New York Times e del Washington Post pubblicato lo scorso anno.

Creare una campagna di disinformazione di massa sembra essere oggi abbastanza facile e veloce, grazie agli algoritmi di AI che possono creare e diffondere rapidamente contenuti credibili creati per indirizzare l’opinione pubblica; tesi fomentata da più parti riguardo la recentissima pandemia.

Il tema della falsa informazione manipolata dalla AI ha fatto da poco un altro passo avanti grazie a Dall·E 2, il sistema di intelligenza artificiale - progettato da OPEN AI, la no-profit di cui fa parte anche Elon Musk che crea immagini e foto perfettamente realistiche partendo da una descrizione testuale.

Lo scenario di organizzazioni cyber criminali, che possano violare banche dati di immagini (centri anagrafici, foto segnaletiche, etc) e modificarle tramite una descrizione è allarmante.

Per contrastare gli attacchi informatici, l’IA giocherà un ruolo fondamentale.


Come abbiamo visto le IA possono essere uno strumento di attacco da parte degli hacker ma al tempo stesso possono essere usate anche come meccanismo di difesa e protezione contro di essi.

A differenza dei tradizionali sistemi di sicurezza informatica, quelli basati sulle IA sono in grado di identificare in maniera più accurata e precisa la presenza di Hacker e rilevarne le attività criminali. Infatti gli algoritmi delle intelligenze artificiali possono riconoscere i modelli comportamentali degli Hacker sventando così i loro attacchi e in un prossimo futuro addirittura scoprire l’identità degli aggressori.

Negli ultimi anni molte aziende e organizzazioni si sono servite degli algoritmi delle IA per difendersi e rispondere ad attacchi hacker sempre più frequenti e insidiosi. Il lavoro dei team di sicurezza informatica delle aziende può essere molto agevolato grazie all’utilizzo delle IA, dal momento che sono in grado di scansionare e rivelare eventuali anomalie e criticità del flusso dei dati impiegando molto meno tempo e con maggior precisione rispetto ad un essere umano. Ciò permette ai membri del team di concentrare il loro tempo più che nella ricerca di falle nella sicurezza (di cui come appena detto si occupano le IA) nell’elaborare delle strategie di difesa.

In conclusione l’uso dell’intelligenza artificiale può essere molto utile nell’ambito della cyber security per contrastare attacchi informatici.

Possiamo quindi affermare che l’esplorazione delle potenzialità dell’intelligenza artificiale è appena cominciata, ma così come emergono i potenziali rischi, possiamo capire sempre meglio come utilizzare l’Intelligenza Artificiale nella prevenzione delle minacce e dei rischi associati alle debolezze della AI/ML e nel disegnare strategie di difesa.

Francesco Nonni @ F3RM1 Foundation

Continua a leggere