Articles

Un anno di Covid-19: come la pandemia ha cambiato anche la sicurezza informatica

Un anno di Covid-19: come la pandemia ha cambiato anche la sicurezza informatica

11 Apr 2021

Che il Coronavirus abbia cambiato la quotidianità e le abitudini delle persone in tutto il pianeta è innegabile: infatti, anche nei momenti in cui la pandemia sembrava finalmente dare una tregua, ci sono state delle costanti che, da marzo 2020, non sono mai venute meno. Oltre all’impossibilità di viaggiare o, in generale, di uscire se non per necessità, lo stravolgimento più grande è stato sicuramente quello che ha rivoluzionato il mondo del lavoro. Mentre prima della pandemia solo pochi utilizzavano lo smart working, e mai per più di un paio di giorni a settimana, ciò che fino a un anno fa era un’eccezione è diventato la regola, al punto da diventare home working obbligatorio. Anche nell’ambito dell’istruzione la pandemia non ha lasciato molte alternative alla didattica a distanza.

Sicuramente lo smart working e la didattica a distanza presentano non poche criticità, sia dal punto di vista delle modalità operative, sia per quanto riguarda le dinamiche sociali, che, inevitabilmente, vengono meno nel momento in cui non ci si interfaccia direttamente con altri soggetti. Ci sono però ulteriori aspetti che meritano attenzione.

Il fatto che le persone passino inevitabile sempre più tempo con dispositivi elettronici collegati in rete ha determinato cambiamenti anche nella sicurezza informatica. Infatti, il livello di sicurezza delle reti domestiche non è sicuramente paragonabile a quello delle reti utilizzate negli uffici e questo  ha senza dubbio semplificato il lavoro agli hacker. 

Inoltre, il crescente utilizzo di device elettronici e strumenti di collaborazione, come Zoom, Microsoft Teams, Webex, Slack, si è accompagnato a un aumento degli attacchi effettuati attraverso queste piattaforme che usiamo quotidianamente. Sono inoltre cresciuti i cosiddetti brute force attacks contro i protocolli di rete che abilitano la funzionalità di desktop da remoto di Windows (remote desktop protocol o RDP): questi sono attacchi basati su tentativi di indovinare una password, un nome utente o qualsiasi altra informazione riservata utilizzando l'approccio della prova e dell'errore.

In aggiunta, nell’ultimo anno si è ulteriormente diffuso l’utilizzo di piattaforme di streaming e di e-commerce: anche queste piattaforme hanno subito maggiori attacchi informatici, sia direttamente rivolti alle singole piattaforme,  ad esempio attraverso iniezioni di codice SQL (i.e. attacchi su siti applicazioni web in cui il codice Structured Query Language viene aggiunto a una casella di immissione, al fine di ottenere accesso a un account o modificarne i dati),  sia agli utilizzatori, per lo più tramite phishing rivolti ai clienti e attacchi DDoS volti a rendere indisponibile l’accesso e il funzionamento della piattaforma.

All’inizio della pandemia poteva essere giustificabile la difficoltà nel gestire una tale impennata di attacchi informatici. È tuttavia allarmante che, a distanza di un anno, il numero di attacchi non solo non sia tornato ai livelli pre-pandemia, ma che sia anzi cresciuto. Anche dopo che la gran parte della popolazione sarà vaccinata, per molti aspetti non si tornerà alla vita ante Covid-19: probabilmente, si creerà una nuova normalità, frutto di una via di mezzo tra gli stili di vita che avevamo prima e durante la pandemia. Questo lo si vedrà soprattutto in ambito lavorativo, dove lo smart working diventerà una modalità sempre più diffusa, anche se non più esclusiva come in quest’anno pandemico. Non potendo disconoscere l’eredità del Covid-19, le aziende dovranno attrezzarsi per far fronte alle minacce informatiche in modo efficace, garantendo che i dipendenti possano accedere anche da casa ai sistemi interni con un livello di sicurezza informatica almeno equivalente a quello degli uffici. 


Francesca Gaddia @ F3RM1 Foundation


Continua a leggere
CISO on demand: opportunità e professionalità a confronto

CISO on demand: opportunità e professionalità a confronto

29 Nov 2020

Sembra un vecchio spot degli anni 2000 della IBM che, attraverso una straordinaria rivisitazione dei propri modelli di business, aveva ottimizzato la gestione dei servizi mainframe  e Z-Series (per gli amanti delle nomenclature azzurre) industrializzando quello che sarebbe diventato lo standard di fatto della propria offerta.


Questo nuovo modello consentiva alla IBM di fidelizzare i clienti su tecnologie difficilmente sostituibili e di radicarsi definitivamente sul mondo dei financial services che, dal loro canto, potevano finalmente gestire i propri budget IT secondo le reali necessità di business. Di fatto, questo nuovo modello consentiva al mondo della finanza, che data la particolarità dei propri prodotti è soggetta a diversi sovraccarichi delle proprie infrastrutture in determinati giorni del mese o dell’anno, di attivare all’occorrenza la necessaria capacità computazionale.

 

Ebbene oggi stiamo assistendo all’esportazione di questo modello all’interno delle funzioni organizzative e più precisamente nel Human Resources.

 

Il CISO, ovvero il Chief Information Security Officer, quella figura incaricata di gestire la sicurezza IT dell’azienda, di proteggerla da attacchi informatici e, unitamente al responsabile IT, definire le evoluzioni infrastrutturali e applicative, sta diventando un servizio (o persona) on demand.

 

Se ve lo state chiedendo, la risposta è si, parliamo proprio di quella figura responsabile degli attacchi cyber, responsabile di proteggere l’azienda dai cyber criminali che vogliono impadronirsi dei dati aziendali o chiedere riscatti dopo aver bloccato l’operatività IT. Quella persona che gestisce quotidianamente e (credetemi) 24 ore su 24 il Security Operation Center per individuare ogni tipo di connessione anomala da e verso la propria azienda. E ancora sì, quel ruolo che è sinonimo di salvaguardia degli asset IT e che garantisce ai clienti la sicurezza dei servizi. Insomma, quell’individuo, che più di tutti ha una conoscenza dettagliata dell’organizzazione aziendale e dei propri asset infrastrutturali, sta diventando una figura attivabile all’occorrenza.

 

In realtà non siamo di fronte al primo episodio di questo fenomeno opportunistico che alcune aziende di consulenza stanno proponendo al mercato. Abbiamo già visto i primi timidi tentativi concentrarsi sulla figura del DPO (Data Protection Officer) appena dopo l’obbligatorietà imposta dalla GDPR (General Data Protection Regulation), ovvero il nuovo regolamento sulla privacy al quale tutte le aziende europee sono tenute ad attenersi scrupolosamente.

 

Probabilmente questo fenomeno (ce lo auguriamo) riscuoterà scarso successo nelle grande aziende e nelle organizzazioni internazionali, ma la possibile presa che potrebbe avere sulle piccole-medie aziende è destinata a rivoluzionare il mondo della security.

 

Se da un lato potremmo andare in contro ad un progressivo degrado delle capacità di contrasto degli attacchi informatici da parte di quelle che oggi sono le aziende più a rischio nel mondo della cyber security, dall’altro potremmo assistere ad una rivisitazione del modello di gestione della security, che permetterebbe a questo segmento aziendale di poter finalmente attingere da un parco di figure altamente professionali che oggi difficilmente vede interesse all’interno di queste realtà.

 

Una rivoluzione che richiederebbe supporto e investimenti da parte di diverse realtà nazionali. A partire dalle aziende di consulenza che dovranno investire in figure più professionalizzate, alle aziende fruitrici del servizio obbligati a rivedere i proprio modelli organizzativi, fino alla pubblica istruzione che dovrà necessariamente attrarre studenti in un area ad oggi drammaticamente poco frequentata (il nostro è tra i paesi che ancora stenta a decollare nelle aree tecnologiche) e offrire corsi con indirizzi specifici.

 

Potremmo immaginarci infatti futuri esperti di cyber security, adeguatamente formati e con background derivanti da anni di esperienze sul campo, mettere a disposizione delle piccole-medie aziende le proprie competenze e trasferire le best practices della sicurezza su aziende che oggi rappresentano il primo obiettivo delle associazioni criminali informatiche.

 

Elemento imprescindibile per la riuscita di una simile strategia dovrà essere la consapevolezza dei CEO che la security è un asset aziendale fondamentale, e quindi l’identificazione del “CISO on demand” dovrà seguire determinati processi di selezione che valorizzano le reali competenze anche a discapito di eventuali costi aggiuntivi, così da scoraggiare possibili offerte al ribasso (spesso manipolate da aziende fornitrici molto aggressive) del mercato che determinerebbero un degrado della qualità del servizio.

 

È infatti importante comprendere l’importanza delle piccole-medie aziende nel nostro paese e come esse rappresentino il vero motore produttivo e siano radicate nello strato sociale della nazione. Il possibile abbattimento dei livelli di sicurezza in questo insieme di aziende determinerebbe un impatto sociale che non può essere trascurato, ma di questo ci occuperemo in uno dei prossimi articoli.

 

Insomma, staremo a vedere se questo sarà un punto di svolta nella security delle piccole-medie aziende o ne decreterà una volta per tutte ... la fine.


Remo Marini @ F3RM1 Foundation

Continua a leggere
Sicurezza informatica e democrazia: le interferenze elettorali nelle presidenziali statunitensi

Sicurezza informatica e democrazia: le interferenze elettorali nelle presidenziali statunitensi

03 Nov 2020

Con l’avvicinarsi dell’evento politico statunitense più importante dell’anno, è nuovamente emerso il problema delle interferenze elettorali che già si era manifestato in occasione delle presidenziali del 2016: queste vicende offrono uno spunto di riflessione sul rapporto tra sicurezza informatica e democrazia. 

Nel 2016 l’intelligence russa, senza nemmeno ricorrere allo spoofing (la falsificazione del mittente di una comunicazione, ndr), aveva violato i sistemi informatici del Partito Democratico ed aveva utilizzato bot (software automatici, ndr) e sockpuppets (account falsi, ndr) per portare avanti delle campagne di disinformazione costruite ad hoc.

Infatti, una volta ottenuti illecitamente i dati degli elettori, non è stato difficile, grazie alle tecniche di profilazione basate sull’utilizzo dei social media, delineare diversi profili di riferimento ed individuare, per ciascuno di essi, gli argomenti da affrontare per riuscire a provocare ed influenzare i soggetti target. 

È stato dimostrato che molte delle manifestazioni organizzate nel 2016 in periodo pre-elettorale – soprattutto la maggior parte di quelle sfociate in violenze – erano state in realtà organizzate da utenti che scrivevano dalla Russia: i sockpuppets, quindi, si erano dimostrati in grado di creare disordini sociali dall’altra parte dell’oceano senza doversi nemmeno allontanare dalla tastiera. 

Inoltre, diverse analisi hanno provato che i risultati delle ultime elezioni difficilmente sarebbero stati gli stessi in assenza di interferenze esterne. 

La storia, però, non si fa con i se e con i ma: è oggettivamente impossibile determinare l’effettiva correlazione tra i risultati elettorali e le manipolazioni esterne, pur essendo evidente che molti, se non fossero stati condizionati, avrebbero fatto scelte diverse.

Nel corso della scorsa campagna elettorale, il presidente in carica, Barack Obama, aveva deciso di far passare le interferenze quanto più in sordina possibile, in modo da non causare panico tra gli elettori; successivamente, il presidente eletto, Donald Trump, non ha portato avanti le indagini sulle interferenze elettorali in quanto facendolo avrebbe, di fatto, delegittimato la propria elezione.

Quest’anno sembrerebbe che le interferenze non provengano soltanto dalla Russia, ma anche dall’Iran. I due paesi avrebbero violato delle reti informatiche statali e locali per ottenere informazioni relative alle liste di registrazione elettorali che avrebbero utilizzato per minare la fiducia nella democrazia americana. Pur perseguendo le stesse finalità, Russia e Iran hanno poi messo in atto due strategie diverse. 

Le interferenze russe sembrerebbero essere portate avanti per lo più attraverso campagne di disinformazione finalizzate a supportare il presidente Trump e a fomentare il caos; l’intelligence statunitense teme soprattutto che, nel caso in cui non ci sia subito un chiaro vincitore (come è molto probabile accada), i russi possano diffondere fake news sul risultato elettorale che potrebbero portare a violenze fisiche tra i sostenitori dei candidati.

Le interferenze iraniane consisterebbero, invece, nell’invio di e-mail di minacce agli elettori democratici che non dovessero cambiare il loro voto, con messaggi del tipo “vota per Trump all’Election Day o ti verremo a prendere”. Inoltre, sempre dall’Iran, sarebbero state inviate delle e-mail con dei video in cui viene denunciato il rischio di frodi nel voto, a causa del sistema di mail-in ballot a cui si è dovuti ricorrere a causa della pandemia.

Stando al direttore dell’FBI, il repubblicano John Ratcliffe, le interferenze iraniane avrebbero come finalità quella di danneggiare il presidente Trump, oltre che quella di causare rivolte sociali.

I messaggi intimidatori sono arrivati in almeno quattro degli stati in bilico, tra cui la Florida, swing state per eccellenza, e la Pennsylvania, stato che ad ora, sulla base delle proiezioni, potrebbe dare al candidato vincitore il voto decisivo nel collegio elettorale.  

Tuttavia, la finalità ultima delle interferenze, indipendentemente dalla provenienza del responsabile, non è tanto quella di favorire uno dei candidati, quanto piuttosto quella di minare la fiducia nel funzionamento del sistema democratico nel suo complesso. Questo obiettivo viene raggiunto attuando due strategie: innanzitutto, si rendono i cittadini scettici sull’utilizzo di piattaforme digitali che permettono di confrontarsi, facendo temere loro che possa sempre esserci un attore esterno che cerca di manipolarli e quindi disincentivando il confronto e il dibattito pubblico; in secondo luogo, si fa perdere credibilità al processo elettorale, rappresentazione per eccellenza della democrazia, indebolendo così l’ideale democratico.

È quindi evidente il collegamento tra sicurezza informatica e democrazia: in un’epoca in cui siamo sempre più connessi ed interconnessi, raccogliamo gran parte delle informazioni dal web e ci confrontiamo sui social network, diventa essenziale garantire dei livelli adeguati di sicurezza informatica in modo da proteggere dati sensibili, quali possono essere quelli delle liste di registrazione elettorale, e salvaguardare i cittadini da questi impercettibili tentativi di manipolazione.

Le risorse informatiche sono ormai diventate un elemento essenziale delle nostre vite e proprio per questo dobbiamo far sì che siano protette, non solo per evitare i ben noti pericoli correlati ai data breach e leaks, ma anche per salvaguardare noi stessi e per non permettere che, violando un sistema informatico e collegando i puntini per ricostruire le nostre personalità, attori terzi siano messi in condizione di riuscire ad “hackerarci” ed influenzare le nostre scelte, politiche e non solo.


Francesca Gaddia @ F3RM1 Foundation


Continua a leggere
Nuova campagna di phishing a tema Agenzia delle Entrate

Nuova campagna di phishing a tema Agenzia delle Entrate

21 Oct 2020

Il trojan bancario è al centro di una nuova campagna di phishing che utilizza come esca l’Agenzia delle Entrate.Le vittime ricevono un’email che sembra provenire dall’istituto in cui si dispone l’immediata presa visione di un file .xls protetto da password “agenzia” che viene fornita nel testo della mail.Una volta aperto il file, questo si connette ad un link dal quale viene scaricata una DLL che darà il via alla catena di infezione.La campagna è rivolta esclusivamente contro l’Italia, la DLL infatti si scarica solo da IP italiani.IOC:

livesystems[.]casa/installa.dll
livesystems[.]casa|45.135.134.151
windowstats[.]com|185.98.87.235
windowstats[.]com|31.41.44.115
gstat.ausagistment[.]com|51.210.87.64
gstat.ausagistment[.]com|185.98.87.235
livesystems[.]cyou/installa.dll
blogilive[.]casa/installa.dll
livesystems[.]bar/installa.dll
livesystems[.]bar|45.144.3.58
livesystems[.]cyou|45.136.245.70
blogilive[.]casa|109.248.203.187agenzia1_76.xls|865d8d9e76a49cb077145a42b8b818da
agenzia1_76.xls|c0e402d8f28e47a084669fc2515621f47b0add37
installa.dll|2acdb2399a8ca54b25252c9091ec9eca
installa.dll|fa616e8b2fc9a3f5814e60cf5cdc4db40d628ad3c1677c6271110c10be7d3dec

Continua a leggere
Nuove email si spacciano per comunicazioni dell’INPS

Nuove email si spacciano per comunicazioni dell’INPS

19 Oct 2020

Il trojan bancario è ancora protagonista di una campagna contro utenti italiani basata su comunicazioni che sembrano provenire dall’INPS.
I messaggi tracciati nelle ultime ore hanno come oggetto “Nazionale Previdenza Sociale” e riportano in allegato un XLS protetto da password (“2020”, indicata nel testo).
Il file contatta un link unico e ne scarica una DLL che agisce solo contro IP italiani. Quest’ultima ha il compito di avviare la catena di infezione.
Curiosamente, gli avversari in questa occasione hanno distribuito una prima ondata di email prive di allegato e quindi inoffensive.IOC:

http://log.technosolarsystems[.]net/installazione.dll

service.technosolarsystems[.]com/installazione.dll

log.technosolarsystems[.]net|185.244.43.31

service.technosolarsystems[.]com|185.244.43.41

blogicompany[.]com|185.98.87.74

blogicompany[.]com|195.24.67.87

http://stats.technosolarenergy[.]net/installazione.dll

stats.technosolarenergy[.]net|185.244.43.35documentazione1_80.xls|5103c9912df0b9aa3cb8029e4284140f

documentazione1_80.xls|415515f39bcb4250acddb18636596dbba36c9c80785a6541aa19e20f41d67619

installazione.dll|69ec5ffde7eb0e7c46638e2f6f3a1523

installazione.dll|2e92d98fecb9edec0ef64d5441894b316f97755344e365460c463dd9dfebe775

Continua a leggere
Phishing: tracciate campagne sui temi delle Presidenziali USA e del COVID-19

Phishing: tracciate campagne sui temi delle Presidenziali USA e del COVID-19

16 Oct 2020

Una campagna di phishing mirata di recente contro utenti nordamericani ha sfruttato il tema della registrazione al voto per le imminenti elezioni Presidenziali.

I messaggi di posta elettronica inviati imitano comunicazioni della U.S. Election Assistance Commission (EAC) e reindirizzano le vittime ad una pagina compromessa nella quale sono invitate a confermare i propri dati.

Lo stesso avversario ha realizzato altre pagine di phishing. Alcune di queste risalgono allo scorso giugno e fanno riferimento alla pandemia da COVID-19. In questo caso i riferimenti sono a entità britanniche come l’HM Revenue and Customs. Altre imitano quella legittima di PayPal e risalgono ad agosto 2020.

Continua a leggere
Germania: false mail a tema COVID dal Ministero della Salute tedesca

Germania: false mail a tema COVID dal Ministero della Salute tedesca

25 Sep 2020

Durante le ultime settimane, aziende tedesche attive in diversi settori hanno ricevuto false e-mail a tema COVID-19 che fingevano di provenire dal Ministero della Salute (Bundesministerium für Gesundheit).

Allegato ai messaggi, inviati da un dominio fake, compare un archivio ZIP contenente un JScript malevolo offuscato in grado di raccogliere informazioni sul sistema e sulla rete delle vittime e di contattare il server C2 in attesa di ulteriori comandi.

È probabile che gli aggressori utilizzino le informazioni ottenute per decidere se vogliono o meno procedere alla compromissione della macchina e all’ulteriore distribuzione di malware.

Continua a leggere
LulzSecITA: rilasciati dati che potrebbero riferirsi ai ricoveri per COVID-19 nel Lazio

LulzSecITA: rilasciati dati che potrebbero riferirsi ai ricoveri per COVID-19 nel Lazio

24 Sep 2020

Il collettivo LulzSecITA ha rilasciato sul proprio profilo Twitter lo screenshot della tabella di un database chiamata “covid_ricoveri”.

Gli anonymi sostengono che si tratta dei ricoveri dovuti a Coronavirus (COVID-19) nella Regione Lazio. Le informazioni visibili comprendono intervalli di date, variazioni in percentuale, valori assoluti relativi all’anno 2020 e al numero di settimane, un non meglio precisabile “indicatore R10” e dati numerici relativi al biennio 2018-2019. Nel tweet gli avversari si chiedono quale utilità rivestano alcune di queste categorie.

Continua a leggere
Georgia: denunciato data breach al Ministero della Salute

Georgia: denunciato data breach al Ministero della Salute

04 Sep 2020

Secondo quanto riportano fonti di stampa locali, i sistemi del Ministero della Salute della Georgia avrebbero subito un data breach.

Il Ministero degli Affari Esteri di Tbilisi, che ha nel frattempo avviato le indagini, avrebbe denunciato un cyber attacco originato dal territorio di una nazione vicina il 1 settembre scorso.

Obiettivo dell’operazione sarebbero stati database del dicastero e delle sue varie unità – compreso anche il Richard Lugar Center for Public Health Research, la cui struttura attuale è stata pensata nel 2004 grazie a una collaborazione fra il Dipartimento della Difesa degli USA e il Ministero della Difesa georgiano.

Una parte della documentazione rubata – che comprenderebbe anche informazioni sensibili sulla gestione della pandemia da Coronavirus (COVID19) – sarebbe stata rilasciata pubblicamente su un sito straniero. I contenuti, tuttavia, sembra siano stati manipolati per diffondere discredito su queste strutture.

Continua a leggere
University of California San Francisco: pagati 1,14 milioni di dollari a seguito di un attacco ransomware

University of California San Francisco: pagati 1,14 milioni di dollari a seguito di un attacco ransomware

24 Aug 2020

La University of California San Francisco (UCSF) ha rivelato di essere caduta vittima di un attacco ransomware per il quale è stata costretta a pagare 1,14 milioni di dollari.

La compromissione risale al 1 giugno e ha impattato alcuni server della School of Medicine, ma non il network centrale dell’Ateneo.

I dati cifrati appartengono al lavoro accademico e non a quello sanitario; non sembra siano state coinvolte le operazioni sanitarie riguardanti il COVID-19.

Fonti non specificate avrebbero ipotizzato che si sia trattato del ransomware NetWalker, ma la UCSF non ha ancora reso noti dettagli in merito.

Continua a leggere