Articles

Blockchain security: sono davvero impenetrabili gli algoritmi della blockchain?

Blockchain security: sono davvero impenetrabili gli algoritmi della blockchain?

29 Jul 2022

La crescente adozione e il relativo impatto mediatico e finanziario dell’ormai nota tecnologia blockchain ha fatto sì che aumentassero anche le problematiche relative alla sua sicurezza e al contempo anche l’interesse di utenti e investitori nel comprendere in che modo gli algoritmi utilizzati riescano a precludere eventuali attacchi informatici.

E non è affatto un’esagerazione affermare che una delle tematiche più sentite negli ultimi tempi in fatto di sicurezza informatica sia proprio quella relativa alla tecnologia blockchain e all’intero universo che ruota intorno ad essa, a tal punto che saggi specialistici e addirittura corsi universitari incentrati su questo argomento non si contano ormai più.

Ma alla luce di ciò, si può davvero affermare che gli algoritmi utilizzati riescano ad adempiere perfettamente agli elevatissimi standard richiesti dalla blockchain security?

Scopriamolo.

La blockchain in sintesi

Tecnicamente parlando la tecnologia blockchain si configura come una struttura distribuita in grado di assicurare l’archiviazione di dati in un registro digitale. Tale registro analizza tutte le transazioni valide certificandole in blocchi disposti in catene sequenziali.
Ogni qual volta vi siano dei nuovi blocchi di transazioni, questi vengono aggiunti alla blockchain mediante il ricorso alle funzioni di hashing crittografiche e da ciò si può quindi dedurre come la crittografia sia uno dei fattori più rilevanti nel garantire la stabilità e la sicurezza della tecnologia blockchain.

La Blockchain, infatti, raccoglie e archivia le informazioni in gruppi, detti anche "blocchi" e ogni blocco può contenere una certa quantità di dati. Ogni blocco di dati è “concatenato” al blocco precedente  - da qui il nome di Blockchain – creando una catena di dati. Ogni nuovo blocco di informazioni si collega ai precedenti attraverso hash crittografati che devono “combaciare” con gli hash del blocco precedente.

Il database può essere letto e modificato da uno o più nodi di una rete, ma per validarne le modifiche è necessario che i vari nodi raggiungano il consenso.
Nei sistemi di rete distribuita,  Distributed Ledger - le modifiche al registro, cioè  le transazioni che vengono effettuate, devono essere validate tramite algoritmi di consenso, cioè si deve raggiungere il consenso tra le varie versioni del registro in tutta la rete, garantendo così che la transazione è autentica e identica in tutti i registri.

La sicurezza intrinseca del sistema è, di fatto, il fattore di successo di questa tecnologia.

Quali sono le principali minacce nell’uso di questa tecnologia?


Malgrado la crittografia garantisca determinati principi di sicurezza e, per questo, il registro delle transazioni sia a prova di manomissione, anche la blockchain è suscettibile a minacce informatiche ed ha i suoi punti deboli.

Gli attaccanti possono infatti agire su due piani:
Attacchi architetturali: volti a sfruttare eventuali vulnerabilità nell'infrastruttura blockchain,
Attacchi applicativi: finalizzati a colpire le modalità in cui la tecnologia della blockchain è utilizzata, ad esempio facendo leva sul fattore umano o sulla connessione internet utilizzata dall’utente per accedere alla blockchain

Ecco alcuni esempi:

Attacchi Applicativi - Phishing e furto di chiavi
Paradossalmente, una tecnologia così innovativa è minacciata dalla metodologia di attacco più tradizionale e diffusa.  Il phishing si basa sul tentativo di ottenere credenziali di accesso, con messaggi  molto convincenti che sembrano provenire da una fonte sicura. Il phishing è l’attacco più comune e ormai viene usato praticamente ogni canale di comunicazione per adescare la vittima: email, app di messaggistica, social, e persino il telefono.
Ad esempio, la vittima riceve una email che richiede urgentemente di cliccare su un collegamento ipertestuale. In genere la mail chiede di confermare le proprie credenziali per accedere ad un servizio; nel caso specifico viene richiesto alla vittima di confermare il proprio ID associato all’account per accedere ad un network di blockchain. Una volta che l’attaccante ha accesso alle credenziali della vittima (ad esempio il suo wallet digitale), può disporre transazioni o appropriarsi del suo contenuto. Esattamente come quando le Password dei nostri vari account (social, email, profili etc) possono venirci sottratte da qualche malintenzionato anche per le blockchain esiste il medesimo pericolo.
Infatti per entrare in una rete blockchain ogni utente ha un identificativo univoco detto “chiave privata” la quale può essere scoperta da un  attaccante ed utilizzata per accedere alla rete blockchain ad esempio per rubare ingenti quantità di cripto valute agli utenti.

Attacchi Applicativi - Attacchi routing
In questo caso, gli attaccanti intercettano i dati durante il loro trasferimento sulla rete (di solito una rete wi-fi). Infatti durante il trasferimento di dati gli attaccanti possono intercettarli sottraendo informazioni riservate e purtroppo in genere gli utenti non riescono ad accorgersi della minaccia non sapendo che i dati che stanno caricando su una blockchain sono potenzialmente compromessi e visibili agli attaccanti.

Attacchi Architetturali - Attacchi Sybil
In questa tipologia di attacco, che prende il nome dal personaggio di un libro che soffriva di personalità multiple, gli attaccanti creano una massiva quantità false identità per effettuare una enorme numero di accessi al fine di ottenere il controllo di una rete influenzandone le decisioni.
Ad esempio nelle reti come Bitcoin molte decisioni vengono prese mettendole ai voti quindi se un attaccante ha creato diversi profili falsi sarà in grado di votare più volte influenzando l’esito del voto.

Attacchi Architetturali - Attacchi 51%
In questo caso un gruppo di attaccanti raggiunge più del 50% della potenza di mining (estrazione dati) di una rete blockchain prendendone di fatto il controllo e facendo saltare il concetto stesso di rete decentralizzata. Questa tipologia di attacco è usata soprattutto per effettuare la così detta “doppia spesa” che consiste nell’effettuare più transazioni con le stesse cripto valute. Benché questo attacco sia teoricamente possibile, è di fatto in pratica molto complesso da mettere in atto in quanto richiede un investimento molto considerevole di risorse.

Come descritto brevemente in questo articolo, anche le reti Blockchain presentano delle vulnerabilità che, se sfruttate dagli attaccanti, possono costituire delle gravi minacce per la sicurezza informativa di aziende e individui.
In definitiva possiamo rispondere alla domanda di questo articolo - se gli algoritmi della blockchain siano davvero impenetrabili - in maniera affermativa, ma la sicurezza informatica non risiede solo negli algoritmi. Nessun sistema è invulnerabile, poiché le reti, i software e le vulnerabilità umane sono sempre fattori critici.

Francesco Nonni @ F3RM1 Foundation



Continua a leggere
Cyber criminali: quali sono i gruppi più attivi?

Cyber criminali: quali sono i gruppi più attivi?

15 Jul 2022

Il mondo del crimine informatico è in continua evoluzione e negli ultimi anni, - con la curva della transizione digitale in vertiginosa ascesa a causa della pandemia – la fisionomia delle bande di cyber criminali si è modificata andando verso una centralizzazione delle attività e la creazione di organizzazioni ampie e strutturate, che possono ormai essere definite a tutti gli effetti organizzazioni criminali.
 
Si tratta di un fenomeno globale e in costante aumento complice la situazione geopolitica che stiamo attraversando nell’ultimo biennio tra Pandemia e conflitto Russo – Ucraino, e l’impossibilità, spesso, di perseguire crimini che sono di tipo transnazionale.
 
La specificità dell’evoluzione di queste gang è che essenzialmente espandono l’attività criminosa fisica (estorsione, riciclaggio e furto) nel mondo digitale.
 
Non parliamo quindi di attivisti, né del famigerato anonymous, che mantiene la sua non-struttura di collettivo anarchico, ma di vere e proprie organizzazioni criminali per le quali la rete è solo un ulteriore - e forse il più lucroso - canale di guadagno.
 
Le maggiori cyber gang vengono identificate attraverso i loro attacchi, che per lo più sono di tipo ramsomware, sferrati ad istituzioni di alto profilo dislocate ovunque nel mondo.
 
Vediamo ora nel dettaglio quali sono i gruppi noti più pericolosi.
 
Conti/Ryuk: Cyber Gang specializzata in attacchi ransomware per finalità estorsive, è considerata una delle più spietate a tal punto da attaccare, durante la pandemia, le istituzioni sanitarie in Irlanda e Nuova Zelanda. Oggi il gruppo Conti è forse la più famosa cyber gang è: un organico di oltre 100 persone e un salario mensile che va dai 5.000 ai 10.000 dollari, per un totale di 180 milioni di dollari, guidato da una solida struttura organizzativa e gestionale di lingua russa. Il nome deriva da una variante ransomware chiamata proprio “Conti”, che appare a luglio 2020, il cui codice è basato sul codice di Ryuk usato per attacchi a varie istituzioni. Allo scoppio della guerra tra Ucraina e Russia il gruppo Conti ha preso espressamente posizione a favore di quest’ultima dichiarando non solo che non avrebbe attaccato obiettivi russi ma che anzi avrebbe difeso la Russia da eventuali attacchi informatici provenienti dall’estero. Grazie ad un ricercatore informatico ucraino capace di infiltrare il gruppo Conti, sono stati resi pubblici diversi file e materiale interno appartenenti al gruppo e ciò ha permesso di ottenere molte più informazioni sulle strategie, gli strumenti e la struttura organizzativa di questa Cyber Gang; tuttavia nonostante i dati trapelati le attività criminali di Conti non sembrano averne risentito.
 
REvil: questo gruppo è attivo dal 2019 e ha raggiunto l’apice della sua attività criminale tra il 2020 e il 2021; specializzato in attività estorsive tramite strumenti di ransomware, i membri del gruppo ricevevano una percentuale del bottino sottratto per ogni cyber attacco andato a buon fine. Verso la fine del 2021 questa Cyber Gang è stata smantellata grazie ad un’operazione congiunta delle autorità di Stati Uniti ed Unione Europea che ha portato all’arresto di alcuni suoi membri. Tuttavia già ad Aprile 2022 alcuni siti utilizzati dagli affiliati di ReVil sono stati riaperti, un fatto che potrebbe indicare una possibile ripresa delle loro attività criminali.
 
Lockbit 2.0
: gruppo di cyber criminali che ha effettuato vari attacchi informatici in diversi paesi tra cui, Regno Unito, Cile, Taiwan e l’Italia; nel 2022 sono state 23 le aziende colpite nel nostro paese da Lockbit2.0. Una volta attaccata la vittima i membri della Cyber gang pubblicano all’interno di un sito, raggiungibile mediante rete Tor, un conto alla rovescia per il pagamento del riscatto e la minaccia di pubblicare tutti i dati rubati.
 
DarkSide: cyber gang che a suo dire agisce seguendo un proprio “codice etico” con la promessa ad esempio di non prendere di mira infrastrutture nazionali; per rafforzare questa reputazione ha anche provato a donare in beneficenza parte dei sui guadagni. Ciò nonostante nel 2021 è balzata agli onori della cronaca per l’attacco informatico sferrato contro la Colonial Pipeline interrompendo la fornitura di petrolio alla costa orientale degli Stati Uniti.
 
Questi gruppi di criminali informatici stanno adottando mezzi e tecniche sempre più sofisticate da essere in alcuni casi utilizzati dagli stessi Stati come strumenti per azioni di Spionaggio internazionale e vere e proprie operazioni di Cyber Guerra; è il caso, ad esempio, di Cozy Bear.
A dispetto del nome innocuo (Orsacchiotto)  Cozy Bear è una organizzazione attiva del 2008, sponsorizzata dalla Russia, autrice di diversi attacchi informatici tra cui ricordiamo quello contro il Pentagono nel 2015 e contro varie realtà operanti nel settore governativo, militare e tecnologico sfruttando in un attacco supply-chain la precedente compromissione dell’azienda SolarWinds e del suo prodotto, di cui ci eravamo già occupati in un precedente articolo ( https://f3rm1.cloud/it/articles/show/44), fatti che fanno di Cozy Bear uno dei gruppi più pericoloso e temuto al mondo.
 
 

Francesco Nonni @ F3RM1 Foundation



Continua a leggere
Come gestire e proteggere al meglio le proprie Password. L’uso dei password vault

Come gestire e proteggere al meglio le proprie Password. L’uso dei password vault

01 Jul 2022

In un mondo come quello odierno in cui la propria identità online è parte integrante della propria persona, imparare a proteggersi dagli attacchi informatici è quanto mai opportuno.

Solo nell’ultimo decennio violazioni di dati e sottrazioni di password hanno colpito aziende come Facebook, Yahoo, Equifax, Target e molte altre ancora, tutte realtà che fanno della Cyber Security un fattore fondamentale della propria sopravvivenza nel panorama digitale.

E se tale fenomeno tocca da vicino grandi società e colossi aziendali, altrettanto riguarda i singoli utenti tanto è vero che secondo un report del 2020 di Breach Alarm sono circa 1 milione le password che vengono rubate ogni settimana.


Ma qual è quindi il modo migliore per gestire e proteggere le proprie password?

Scopriamolo.

Cosa sono i password vault e a cosa servono?

Comunemente conosciuti con il nome più popolare di password manager, si tratta di strumenti in grado di gestire e conservare le password dell’utente in modo tale che risultino sicure da eventuali attacchi informatici esterni e/o tentativi di furto da parte di hacker.

Il loro scopo è quello di conservare in modo sicuro e crittografato tutte le varie credenziali comprensive di username e password che un utente può possedere e di archiviarle in una sorta di spazio virtuale privato a cui poter accedere ogni qual volta se ne abbia bisogno.

Il termine vault, nemmeno a farlo apposta, è traducibile dall’inglese in italiano come cassaforte e in effetti questi strumenti aderiscono perfettamente alla traduzione appena fornita dal momento che l’accesso e il relativo utilizzo sono subordinati all’immissione di una master password, o password principale, tramite cui visualizzare e sbloccare tutte le restanti memorizzate.

Non sono pochi, infatti, i password vault, specialmente quelli più avanzati, che consentono di memorizzare automaticamente i campi relativi alle credenziali rendendo quindi l’immissione manuale una pratica superata, funzione molto utile soprattutto nel caso si possiedano un gran numero di password o le stesse siano formate da lunghe stringhe di caratteri alfanumerici.

Importante poi appurare come i password vault dispongano di una certa trasversalità e difatti sono disponibili sul mercato sia sotto forma di software sia sotto forma di estensioni per il browser, sebbene non manchino esempi ibridi in cui le suddette soluzioni sono integrate tra di loro.

Come funzionano i password vault?

Indipendentemente dal fatto che si propenda per una soluzione configurata come estensione del browser o come puro e semplice software atto allo scopo, il sistema di funzionamento su cui si basano i gestori di password è pressoché analogo: dopo la sua installazione viene automaticamente creato uno spazio virtuale, definito vault, protetto da crittografia e posizionato in locale, all’interno di un’apposita cartella, oppure in cloud.

Non sono poi rari i gestori che offrono, anche per quel che riguarda la localizzazione del vault, un sistema ibrido rappresentato da cartella in locale e cloud.

Per accedere a questa sorta di cassaforte digitale virtuale sarà necessario inserire una master password, o password principale, completamente personalizzabile dall’utente sia in termini di lunghezza sia di complessità dei caratteri utilizzati.

Dopo aver immesso la master password saranno fornite tutte le credenziali in chiaro memorizzate, inoltre, soprattutto nel caso di gestori più avanzati, è presente anche una barra di ricerca tramite cui individuare una determinata password tra le tante presenti.

Sempre in tema di funzionamento è bene precisare come molti password vault di alto livello dispongono di un’app nativa perfettamente integrata con il sistema principale tramite cui aver accesso alle medesime password per poterle utilizzare, magari, su un browser mobile disponendo, tra le altre cose, anche della possibilità di determinare misure di sicurezza aggiuntive, vedi inserimento impronta digitale o riconoscimento facciale.

Password vault: le funzionalità imprescindibili

La sicurezza informatica è un tema certamente complesso, ma quali sono le funzioni che non dovrebbero mai mancare nei password vault?

Apparentemente potrebbe sembrare un controsenso, ma una delle funzioni più preziose che un gestore di password possa avere è proprio quella di crearne di nuove. La possibilità di disporre di un generatore di password integrato tra le funzionalità di sistema consente all’utente di poter creare delle password particolarmente complesse formate da stringhe personalizzabili di caratteri e una volta create di salvarle nella medesima interfaccia senza necessità di un programma esterno.

Ulteriore funzionalità che non può mancare su questi preziosi strumenti è quella di verificare l’integrità delle password utilizzate. Molto spesso, infatti, si commette l’errore non solo di determinare una medesima password per più servizi, ma di propendere per date e/o numeri in un certo qual modo significativi della propria vita, così facendo le probabilità che le proprie password vengano violate sono molto alte.

Un sistema in grado di verificare in tempo reale l’integrità delle varie password, invece, oltre ad avvisare l’utente sull’eventuale debolezza o scarsa complessità delle stesse, può avvertirlo in tempo reale laddove si stiano verificando situazioni in cui le proprie credenziali siano in pericolo.

Infine, si potrebbe citare come funzionalità irrinunciabile quella di poter disporre di un sistema di autenticazione a due fattori. Sebbene non si tratti di un servizio garantito da tutti i password vault, sapere che per poter accedere a ogni credenziale in proprio possesso siano necessari sia una master password sia una misura di sicurezza accessoria, come l’impiego di dati biometrici, significa essere consapevoli che i rischi di data breach sono alquanto ridotti.

Password vault e ambito aziendale

Un recente report pubblicato da OnePulse ha messo in evidenza come quasi il 30% degli utenti intervistati siano soliti salvare le proprie password su mezzi tutt’altro che affidabili e sicuri, come i classici post-it o file di testo archiviati in locale.

E tale statistica diventa ancora più rilevante quando ci si rende conto come il tema della sicurezza delle proprie password sia uno di quelli trascurati non solo dagli utenti privati, ma persino da molte realtà aziendali.

E se nel caso dei primi i pericoli derivanti possono coinvolgere la violazione della privacy personale ed eventuali truffe o tentativi di phishing, nelle seconde gli scenari sono decisamente più gravi perché possono impattare le finanze stesse dell’azienda.

Incidenti simili nel panorama delle piccole e medie imprese sono sempre più frequenti ed ecco perché una realtà aziendale dovrebbe prendere senza alcun dubbio in esame la possibilità di munirsi di password vault.

A differenza di quelli destinati a uso privato, tra le altre cose, i password vault aziendali dispongono di un sistema centralizzato in base al quale tutte le credenziali memorizzate sui vari dispositivi possono essere monitorate e gestite da un’unica postazione e ciò fa sì che nello sfortunato caso di violazioni in essere, sarà anche più facile e immediato porre in quarantena i dispositivi compromessi.



È evidente come nell’attuale panorama digitale l’utilizzo di soluzioni casalinghe, come i post-it o i file di testo, per memorizzare le proprie password sia ormai superato e destinato a essere fonte di innumerevoli problemi e criticità al minimo accenno di violazione.

Per questo l’utilizzo dei password vault può essere classificabile come una vera e propria necessità per salvaguarda la sicurezza informatica sia personale sia aziendale soprattutto alla luce dei benefici ottenibili.

Monitoraggio costante e in tempo reale, impiego di una sola master password per accedere al database, possibilità di determinare misure di sicurezza accessorie, estrema usabilità e facilità d’uso e soprattutto estrema sicurezza, sono tutti fattori che rendono i password vault una scelta pressoché obbligata se davvero si vogliono gestire e proteggere le proprie password nella maniera più opportuna e congeniale possibile.


Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Intelligenza Artificiale: le sfide per la sicurezza

Intelligenza Artificiale: le sfide per la sicurezza

17 Jun 2022

L’“Intelligenza Artificiale”, in breve AI (Artificial Intelligence), è una branca dell’informatica che sviluppa sistemi in grado di riprodurre il funzionamento del cervello umano, con competenze simili: ragionamento, apprendimento e azione analoghi a quelli umani.

Oggi l’intelligenza artificiale non ci fa più pensare alla fantascienza o a mondi futuribili, ma è diventato ormai un termine di uso comune e le sue applicazioni sono entrate prepotentemente e in maniera diffusa nella nostra vita quotidiana, anche se non ce ne rendiamo conto.

Vediamone alcune:

Assistenti virtuali: “Siri, come si chiama la canzone che ascoltavo ieri?”

Telefono e computer ci mettono a disposizione assistenti virtuali come Cortana, Google Assistant, Siri che rispondono alle nostre richieste o comandi vocali attraverso algoritmi di AI per il riconoscimento del linguaggio e per “imparare” nel tempo le nostre abitudini di vita.

Chatbot, servizi clienti automatizzati: il cliente è servito…dall’AI

I servizi clienti spesso utilizzano l’AI per gestire chat e smistare le richieste telefoniche riconoscendo voce e perifrasi di linguaggio ed elaborando la risposta o l’azione pertinente alla richiesta.

Riconoscimento facciale: i “poliziotti” virtuali

Le telecamere nelle città, stazioni, aeroporti etc, registrano e processano migliaia di immagini rilevando comportamenti o situazioni anomale - ad esempio, un uomo a terra - segnalandole alle centrali operative preposte alla sicurezza. Il tutto in pochi secondi, grazie all’AI.

So già cosa vuoi: dalla pubblicità alla notizia su misura, l’AI seleziona i contenuti per noi.


Come riportato nel docufilm The social dilemma, l’ambiente digitale - che sia un social, un motore di ricerca, un thread di notizie - ci mostra solo ciò che gli algoritmi di AI e di Machine Learning ritengono che sia di nostro gusto, in base alla nostra personalità, che apprendono ogni volta che facciamo una scelta, mettiamo un “mi piace” o clicchiamo su un banner.

Queste sono solo alcune delle applicazioni che tutti noi usiamo ogni giorno, ma l’AI in realtà domina ogni ambito: dalla macchina che frena da sola quando ci avviciniamo troppo velocemente ad un ostacolo, ai “robot” per le operazioni chirurgiche, ai sistemi di guida e sicurezza degli aerei, e molto altro.

La guida autonoma dei veicoli è il prossimo e vicinissimo obiettivo.

Come funziona tutto questo e quali rischi corriamo?

In sintesi, possiamo dire che l’AI combina una enorme quantità di dati con una elaborazione basata su modelli che impara da sé, (modelli Machine Learning o ML).

Un modello di Machine Learning è basato principalmente su due componenti:
    1. Algoritmi statistici e/o predittivi
    2. Un insieme di dati (data-set) che il modello ML usa per imparare

Vi sono però ancora numerosi problemi di “restituzione” dell’elaborato da parte dii questi sistemi: errori nei data-set di apprendimento, negli algoritmi, etc. Secondo Gartner fino ad oggi, l’85% dei progetti di intelligenza artificiale ha prodotto risultati errati di questi fattori.

Ci sono molti casi ormai noti: modelli di riconoscimento delle immagini “ingannati” da immagini deformate, riconoscimenti facciali basati solo su precise etnie, che di conseguenza perdono la capacità di riconoscere persone di etnie diverse, modelli di calcolo per analisi del rischio (mutui, assicurazioni, etc) che danno risultati errati a seconda dell’appartenenza etnica e non su dati economici e molti altri casi.

In pratica, il sistema ad oggi è tutt’altro che stabile e cominciamo quindi a intuire quali conseguenze possa comportare in materia di sicurezza l’adozione dell’Intelligenza Artificiale, per quanto riguarda le intenzioni malevole della cyber criminalità.

L’IA può diventare una nuova arma di attacco per la cyber criminalità


Anche i criminali informatici stanno facendo sempre più uso dell'IA per sferrare i loro attacchi contro aziende, istituzioni e privati. Infatti, sfruttando le caratteristiche e risorse dell’intelligenza artificiale possono colpire più rapidamente e in maniera più precisa migliaia di obiettivi in contemporanea.

Questo è possibile perché grazie all’enorme capacità di analisi e di calcolo, le IA possono scansionare e identificare tutte le vulnerabilità informatiche all’interno del sistema IT del bersaglio scelto dai cyber criminali. Inoltre gli algoritmi utilizzati dalle IA hanno la capacità di adattarsi, apprendere e migliorarsi continuamente con il risultato che gli attacchi risulteranno sempre più efficaci e di difficile rilevamento da parte dei tradizionali sistemi di protezione.

Nel dark web, gli hacker hanno messo addirittura disponibili delle soluzioni informatiche già pronte generate con IA per sferrare questa tipologia di attacchi; ne è un esempio l’IA-as-a -Service che può essere acquistato da hacker “minori” o meno esperti che non hanno le conoscenze necessarie nel campo delle IA.

Sono diversi i sistemi che sfruttano l’intelligenza artificiale utilizzati degli hacker; alcuni tra i più frequenti sono quelli ideati per riuscire ad indovinare le password delle vittime oppure e-mail di phishing e malware che grazie all’autoapprendimento e all’imitazione del comportamento degli utenti, sono in grado di generare testi sempre più elaborati e personalizzati e di conseguenza sempre più difficili da distinguere dalle vere e-mail.

Un altro esempio, è l’Adversarial Attack, ovvero quando vengono introdotti dati “malevoli” nel data-set di apprendimento che porta quindi alla produzione di risultati ingannevoli.

Individuare questo tipo di attacco è molto difficile, perché è impossibile dedurre le logiche apprese da un modello ML - poiché le genera praticamente da solo - e a volte differiscono significativamente da quello che un cervello umano elabora intuitivamente.

Ad esempio, tornando al riconoscimento delle immagini, un bambino capisce intuitivamente che uno sticker appiccicato su una foto è un elemento esterno, l’AI invece no.
Essendo ormai gli utilizzi di AI diffusi in ogni ambito, è chiaro che i rischi aumentano all’aumentare della loro diffusione.

Paradossalmente, uno dei rischi riguarda proprio la sicurezza informatica: dagli anti-virus al monitoraggio delle reti, i sistemi di sicurezza informatica utilizzano proprio l’AI per individuare degli schemi (pattern) su grandi quantità di dati e da qui individuare anomalie e minacce come l’identificazione di campagne su ampia scala di spam e phishing, o di attacchi malware individuando codici malevoli.

E’ evidente che anche la criminalità informatica può usare l’IA per rendere gli attacchi meno individuabili e progettare contro-strategie sulla base di scenari predittivi della difesa.

In altri ambiti la violazione di una applicazione basata sull’AI suscita scenari inquietanti: si pensi ad una attacco ai sistemi di guida autonoma, o a Grover, un sistema creato dall'università di Washington e dall'istituto Allen per creare fake news perfettamente credibili e scoprire contenuti simili con un tasso di accuratezza del 92%.

Il fine della ricerca era quello di “addestrare” il sistema a riconoscere le fake news; ma è anche vero che l’AI può generare e diffondere abilmente fake news estremamente credibili, secondo uno studio del New York Times e del Washington Post pubblicato lo scorso anno.

Creare una campagna di disinformazione di massa sembra essere oggi abbastanza facile e veloce, grazie agli algoritmi di AI che possono creare e diffondere rapidamente contenuti credibili creati per indirizzare l’opinione pubblica; tesi fomentata da più parti riguardo la recentissima pandemia.

Il tema della falsa informazione manipolata dalla AI ha fatto da poco un altro passo avanti grazie a Dall·E 2, il sistema di intelligenza artificiale - progettato da OPEN AI, la no-profit di cui fa parte anche Elon Musk che crea immagini e foto perfettamente realistiche partendo da una descrizione testuale.

Lo scenario di organizzazioni cyber criminali, che possano violare banche dati di immagini (centri anagrafici, foto segnaletiche, etc) e modificarle tramite una descrizione è allarmante.

Per contrastare gli attacchi informatici, l’IA giocherà un ruolo fondamentale.


Come abbiamo visto le IA possono essere uno strumento di attacco da parte degli hacker ma al tempo stesso possono essere usate anche come meccanismo di difesa e protezione contro di essi.

A differenza dei tradizionali sistemi di sicurezza informatica, quelli basati sulle IA sono in grado di identificare in maniera più accurata e precisa la presenza di Hacker e rilevarne le attività criminali. Infatti gli algoritmi delle intelligenze artificiali possono riconoscere i modelli comportamentali degli Hacker sventando così i loro attacchi e in un prossimo futuro addirittura scoprire l’identità degli aggressori.

Negli ultimi anni molte aziende e organizzazioni si sono servite degli algoritmi delle IA per difendersi e rispondere ad attacchi hacker sempre più frequenti e insidiosi. Il lavoro dei team di sicurezza informatica delle aziende può essere molto agevolato grazie all’utilizzo delle IA, dal momento che sono in grado di scansionare e rivelare eventuali anomalie e criticità del flusso dei dati impiegando molto meno tempo e con maggior precisione rispetto ad un essere umano. Ciò permette ai membri del team di concentrare il loro tempo più che nella ricerca di falle nella sicurezza (di cui come appena detto si occupano le IA) nell’elaborare delle strategie di difesa.

In conclusione l’uso dell’intelligenza artificiale può essere molto utile nell’ambito della cyber security per contrastare attacchi informatici.

Possiamo quindi affermare che l’esplorazione delle potenzialità dell’intelligenza artificiale è appena cominciata, ma così come emergono i potenziali rischi, possiamo capire sempre meglio come utilizzare l’Intelligenza Artificiale nella prevenzione delle minacce e dei rischi associati alle debolezze della AI/ML e nel disegnare strategie di difesa.

Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Smart Working e Sicurezza Informatica: quali sono i potenziali rischi e le possibili soluzioni?

Smart Working e Sicurezza Informatica: quali sono i potenziali rischi e le possibili soluzioni?

01 Jun 2022

Se vi state chiedendo se il lavoro da remoto sia un rischio.. fate bene.

L’impatto del ricorso globale allo smartworking in conseguenza della pandemia, ha aperto nuovi e imprevisti scenari di pericolo per la sicurezza dei dati aziendali.

La commistione tra vita privata e lavorativa ha creato vulnerabilità senza precedenti: il  minore controllo esercitato a distanza dagli IT, l’uso dei dispositivi aziendali per attività personali e viceversa e il massiccio trasferimento ai servizi in cloud senza preparazione dei dipendenti a distanza hanno favorito il crimine informatico, che ha sfruttato le vulnerabilità dei sistemi e del fattore umano come porte di accesso ai dati critici aziendali.
Secondo il “Dell technologies Global data protection index (Gdpi) 2021,” nell’ultimo anno oltre il 90% delle aziende italiane ha subito danni -  con casi estremi fino 1 milione di dollari -  a  causa della perdita di dati critici dovuti al lavoro da remoto o ibrido.


Dispositivi personali e aziendali: “Mamma, mi dai il tuo pc per collegarmi con la scuola?”

Smartworking, didattica a distanza e adozione di nuovi stili di vita (crescita degli acquisti e delivery on line, servizi per la famiglia on line, etc) hanno di fatto eliminato il confine tra dispositivi personali e di lavoro.

Se pensate che il lavoratore, a casa, separi nettamente l’uso dei dispositivi personali e aziendali, vi sbagliate di grosso.

Ce lo dice chiaro e tondo il rapporto “Blurred Lines & Blindspots di HP Wolf Security” secondo il quale  il 70% dei lavoratori ammette di usare dispositivi di lavoro per scopi personali, mentre il 69% di usare per attività lavorative dispositivi personali non configurati per la sicurezza aziendale.

La mancanza di consapevolezza sui rischi informatici da parte dei dipendenti li rende i target privilegiati della strategia della criminalità informatica; basti pensare che il fattore umano è stato la causa principale del  95% delle violazioni di dati critici. Lo dice l’IBM Cyber Security Intelligence Index Report 2020.
Infatti, attacchi di phishing, social engeneering e compromissione della e mail aziendale e social sono aumentati vertiginosamente, e hanno rappresentato nel 2021 la metà di tutte le perdite causate dal crimine informatico.

Il dipendente a casa è il target numero 1 dei cyber criminali.


Dove è finito il perimetro di sicurezza?

La maggior parte delle perdite dovute a violazione degli accessi, sono state rilevate tramite i dispositivi mobili: tra le cause, le connessioni alla stessa rete domestica o hotspot sia per le attività personali che per quelle strettamente correlate all'attività lavorativa.

Con lo  smart working, infatti,  il network aziendale si è esteso all’utilizzo delle reti domestiche alle quali i dipendenti si collegano o a hotspot pubblici, fuori dal controllo dei dipartimenti IT aziendali.

Il perimetro di sicurezza dell’azienda si è ampliato, così come la necessità di riportare sotto un minimo standard di sicurezza reti che, pur non facendo parte del network aziendale, ne rappresentano porte di accesso.

Ciò avviene principalmente perchè i dipendenti usano i propri dispositivi aziendali anche per degli scopi personali.
Per questo motivo è  fondamentale avere degli standard di sicurezza informatica notevolmente superiori rispetto a quando era regola recarsi in sede per poter lavorare.


Mancanza di regole e formazione: “Sì, ma cosa devo fare?!”

Le aziende si sono trovate impreparate nel dover affrontare questo passaggio in maniera così improvvisa e drastica. Soprattutto le pmi, non hanno adottato adeguate policy stringenti relative alla privacy e alla sicurezza informatica.

Inoltre, i  programmi di formazione per migliorare la consapevolezza dei rischi non sono stati valutati come asset strategico.

Anche le dirigenze dovrebbero essere perfettamente formate ad evitare tali rischi, essendo maggiormente esposte alle mire degli hacker e dai criminali della rete proprio perché in possesso delle informazioni più strategiche ed appetibili.

Per poter garantire un certo livello di sicurezza, è necessario essere sempre informati dei rischi e delle possibili soluzioni, mantenendo un approccio positivo e funzionale alla risoluzione dei problemi sotto questo punto di vista.

Come si può aumentare il livello di sicurezza informatica  dello smart working? Le soluzioni.

Ci sono alcune strategie da adottare che possono permettere aumentare il livello di sicurezza dello smart working, allontanando il più possibile eventuali attacchi da parte dei criminali della rete alla ricerca di dati da poter rubare.


Il responsabile della Sicurezza Informatica: una figura strategica.

Avere nel proprio staff una figura preposta alla sicurezza è sicuramente un elemento strategico: oltre ad occuparsi della sicurezza tecnologica, dovrà essere responsabilizzato alla sensibilizzazione e formazione di tutti i dipendenti e collaboratori fornendo precise istruzioni e protocolli di comportamento. Accesso ai dati? Non per tutti!


MFA, il sistema di autenticazione a 2 fattori: due chiavi sono meglio di una!

Tra le metodiche che devono essere utilizzate, il sistema di autenticazione a due fattori ad oggi molto comune per accedere ai servizi bancari on line, alle email aziendali e alla maggior parte dei servizi e storage in cloud.

Il sistema di autenticazione a due fattori prevede di dover digitare un codice ricevuto su un dispositivo precedentemente autenticato.
Ad esempio, per accedere ad una area personale di un servizio, dopo aver inserito la password, viene richiesta una conferma dell’identità personale dell’utente: codice univoco inviato via SMS ad un telefono o via e-mail precedentemente registrati ed autenticati.

Il Sistema di autenticazione a due fattori, previene il 99,9% degli attacchi agli account, secondo una ricerca di Microsoft Security.


Accesso ai dati? Non per tutti!

Molto importante è impedire l'accesso ai dati ai propri dipendenti, se non per quelli strettamente necessari all'attività lavorativa e alle sue mansioni.

Meglio definire processi e  precisi privilegi di accesso; i dati finanziari ad esempio saranno accessibili solo ed esclusivamente al relativo personale, le informazioni riservate come piani di crescita, brevetti, etc saranno di esclusivo accesso a poche persone di livello dirigenziale.

In questo modo si potrà contrastare un attacco hacker destinato proprio al dipendente, ad esempio tramite il phishing.
Secondo l’ Identity Theft Research Center, infatti, condividere documenti senza precise procedure e inviare informazioni a persone sbagliate sono le prime cause di data breach.


Back to work! Il back up dimezza i tempi del ripristino all’operatività.

I backup sono indispensabili all'azienda, in modo tale da poter tornare ad accedere ai dati e ripristinare la piena operatività nel minor tempo possibile nel caso in cui si verificasse un attacco volto al tenerli sotto chiave in attesa di un eventuale riscatto.
Definire e mettere in pratica un protocollo preciso a cui attenersi per effettuare il back up dei dati aziendali periodicamente e con strutture robuste e affidabili è un must. Non solo i back up devono essere frequenti e disponibili, ma devono essere anche conservati separatamente dalla rete aziendale (copie off-line) al fine di prevenire situazioni in cui i malware o gli attaccanti possano danneggiare anche le copie che, in caso di incidente, sono le fonti per il ripristino dell’ operatività aziendale..

Il Firewall umano: aumentare il grado di consapevolezza nei dipendenti.

Sebbene i firewall e altre tecnologie siano la base della sicurezza informatica di un'organizzazione, non possono proteggere tutto: le persone sono sempre di più il miglior fattore di protezione per i rischi legati allo smartworking.

Evitare comportamenti scorretti fornendo adeguati programmi di formazione per il lavoro a distanza, rendere consapevoli del rischio di attacchi informatici i dipendenti a tutti i livelli, fornire loro gli strumenti di conoscenza adeguata è sicuramente un elemento di grande protezione.

I dipendenti a casa, lontani dall’ambiente professionale, hanno bisogno anche di istruzioni chiare e precise che li supportino nel momento in cui possono avere dubbi su come comportarsi o su cosa fare.

Fornire manuali operativi a cui attenentesi, oltre a mitigare il rischio del fattore umano, migliorerà anche il loro coinvolgimento nelle procedure di sicurezza informatica.


Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Sicurezza e fornitori: qual è l'anello debole della tua difesa?

Sicurezza e fornitori: qual è l'anello debole della tua difesa?

19 May 2022

Quando sei titolare di un'azienda, piccola o grande che sia, è importante predisporre una sicurezza informatica a tutto tondo.
Ciò significa non solo installare dei sistemi di protezione efficaci all'interno dei tuoi dispositivi e della tua rete, ma risulta altrettanto fondamentale accertarsi che siano protetti anche fornitori e chiunque entri in contatto con te, così da non avere alcun anello debole nella catena della tua difesa informatica.
Diventa dunque fondamentale garantire la sicurezza di terze parti per evitare di esporre la propria organizzazione a pericolosi rischi e vulnerabilità.
Ormai, infatti, la sicurezza di una società dipende sempre più non solo da se stessa, ma anche e soprattutto dai suoi fornitori, per cui diventa fondamentale controllare che questi non rappresentino l’”anello debole” della catena.


Security e supply chain: due asset legati a doppio filo

Sebbene si tratti di concetti ben distinti, la cyber security e la supply chain rappresentano due elementi chiave per garantire adeguati livelli di sicurezza informatica aziendale.

Al giorno d’oggi nessuna azienda è in grado di produrre il proprio bene o servizio per il cliente finale in completa autonomia. È praticamente obbligatorio far sempre affidamento sui servizi o prodotti intermedi di altre aziende, fornitori, partner o distributori che svolgono alcune attività della catena del valore aziendale. Questa interconnessione, qualche anno fa era maggiormente legata alla filiera logistica e prettamente più fisica, ma dagli anni 2000 non è più così. La maggior parte delle informazioni transita per via digitale e le aziende per efficientare i processi, ridurre i tempi di consegna e migliorare la qualità sono sempre più interconnesse e digitali e gli accessi ai propri sistemi e processi sono sempre di più concessi anche a terze parti che lavorano a stretto contatto con il personale aziendale.

È proprio sul triangolo formato da processi, tecnologie e persone che si innesta la cyber security, ossia la tutela dell'integrità, della disponibilità e della riservatezza di tutte le informazioni presenti all'interno dello spazio informatico.

Alla cyber security è inoltre strettamente collegata la cyber safety, poiché capace di proteggere il sistema aziendale da attacchi hacker che potrebbero arrecare danni reputazionali, ma anche materiali, soprattutto in contesti industriali sempre maggiormente connessi e automatizzati.


Composizione della supply chain

La sicurezza informatica della supply chain, al fine di essere tutelata al 100%, deve prevedere la protezione di tutti gli elementi della infrastruttura, tra cui:

  • data center sotto forma di cloud oppure in house, grazie al quale avviene l'erogazione di office automation e sistemi di ERP;
  • tutti gli altri cyber spazi interconnessi con l'azienda stessa: basti pensare ai dati scambiati con i terzi, agli ambienti domestici di smart working o applicativi utilizzati dall’azienda ma forniti da aziende esterne.

Ognuno di questi componenti, se sviluppato, gestito e manutenuto grazie a partner, fornitori o terze parti, può rappresentare il veicolo oppure il target intermedio di un attacco hacker alla catena di fornitura, la quale dovrà pertanto essere in possesso di adeguati livelli di sicurezza progettati con una panoramica complessiva e regolati secondo un approccio end-to-end.

Come gestire la sicurezza della supply chain

La sicurezza della supply chain protegge un'organizzazione dal rischio associato a fornitori di terze parti e la sua importanza continua a crescere in tutti i settori.
Le aziende, però, tendono a concentrarsi poco sulle pratiche di sicurezza presso i propri fornitori e dedicano loro poca attenzione, esponendo in questo modo le proprie informazioni sensibili ad attacchi informatici sempre più frequenti. Infatti,
secondo uno studio del Ponemon Institute, nel 2020 gli attacchi verso terze parti rappresentavano il 42% di tutti i casi di violazione dei dati.
Nonostante le solide pratiche di sicurezza, nessuna azienda è immune da protocolli insicuri, in quanto molte terze parti utilizzano altre terze parti stesse, lasciando le organizzazioni con uno scarso controllo sui loro protocolli di sicurezza delle informazioni.
Rendere più efficiente e sicura la supply chain, ovvero la catena di fornitura, dunque, non può fare altro che apportare vantaggi notevoli.
Per implementare misure di sicurezza adeguate, è indispensabile prima di tutto accertarsi che i fornitori stessi abbiano dei protocolli sicuri e che il loro sistema non sia già stato compromesso dagli hacker.
È altrettanto importante cercare di mappare tutte le possibili relazioni attraverso cui passano i dati dell’azienda.
Molto spesso, infatti, i criminali informatici prendono di mira le organizzazioni più grandi attraverso i loro fornitori di terze, quarte ed ennesima parte, quindi bisogna essere consapevoli di tutte le potenziali vulnerabilità e accertarsi che tutte le relazioni nella catena di approvvigionamento siano sotto controllo e lontane dai rischi.
Anche utilizzare delle connessioni sicure, così come servirsi di security assessment indipendenti delle terze parti, sono degli accorgimenti che possono scongiurare molti pericoli, tra cui ingenti danni economici e perdite di dati, con conseguente innalzamento del livello di sicurezza generale.
Infine, è buona prassi inserire nei contratti di fornitura apposite clausole di sicurezza a propria protezione così come richiedere ai fornitori più critici di dotarsi di una polizza assicurativa contro gli attacchi informatici.

Il caso SolarWinds

Tra la fine del 2020 e i primi mesi del 2021, si è verificata una delle operazioni di cyber-spionaggio più complesse mai realizzate.
In particolare, si è trattato di un supply chain attack, ovvero un’infiltrazione nella rete attraverso l’attacco di un fornitore legato al bersaglio stesso.
In questo caso, il bersaglio era FireEye, una società specializzata nella sicurezza delle reti informatiche.
L’attacco ha preso la forma di un aggiornamento malevolo del software Orion, il quale viene commercializzato dall’azienda SolarWinds.
La rete di SolarWinds è stata dunque attaccata da questo malware, denominato Sunburst, tramite la firma dei pacchetti di aggiornamento contenenti il virus.
Tra gli utilizzatori di Orion spiccavano diversi dipartimenti del governo statunitense (Dipartimento di Stato statunitense, Dipartimento of Homeland Security, il Dipartimento del Tesoro) e anche grandi corporation (Fireeye, Microsoft, Crowdstrike), molte delle quali sono state compromesse.
È proprio questo che ha reso tale operazione così eclatante: si pensa che l’obiettivo principale fosse l’ottenimento di informazioni sulle strategie diplomatiche e di difesa degli Stati Uniti d’America.
Il caso SolarWinds ha segnato perciò la fine di un’epoca contrassegnata dal dominio incontrastato degli Stati Uniti nel settore della cybersecurity ed è la prova lampante che non esiste alcuna organizzazione al sicuro dal rischio di compromissione.
Ancora una volta si concretizza la forte asimmetria tra attacco e difesa che contraddistingue da sempre la cybersecurity.

Francesco Nonni @ F3RM1 Foundation

Continua a leggere
NFT tra vantaggi e rischi: le piattaforme di scambio sono davvero sicure?

NFT tra vantaggi e rischi: le piattaforme di scambio sono davvero sicure?

29 Apr 2022

Grazie ai continui sviluppi della tecnologia e di quello che viene definito “metaverso”, nel mercato digitale si sono creati nuovi orizzonti e nuove opportunità, soprattutto nei tempi più recenti.

A questo proposito, uno degli strumenti che sta avendo un ampio successo tra le nuove generazioni è sicuramente quello degli NFT, acronimo di “non-fungible token”, ovvero degli oggetti digitali che non possono essere modificati e che utilizzano certificati basati sulla tecnologia blockchain: ogni singola transazione tra gli utenti viene tracciata e registrata in un registro digitale condiviso e immutabile.


NFT: cosa sono e perché stanno avendo tanto successo

La funzione di un NFT si basa su uno “smart contract”, ovvero un meccanismo per attuare un accordo di vendita tra il proprietario NFT e l’acquirente.

Questi “smart contracts” possono verificare che i termini del contratto siano stati rispettati, senza la necessità di un intermediario, e possono garantire che le risorse digitali siano uniche e non replicabili. Ciò rende questi NFT scarsi e rari, motivo per cui hanno un grande valore.

Le cifre a cui vengono acquistati, infatti, sono spesso considerevoli.

Il caso più eclatante è stato quello dell’opera d’arte digitale composta da 5000 immagini (“Everydays: the first 5.000 days”), la quale è stata venduta per 69 milioni di dollari da Mike Winkelmann. Ad oggi, è l’acquisto più costoso al mondo per una creazione digitale.

Comprando un NFT si compra un certificato di proprietà che rimanda a un file digitale, che può essere una riproduzione di un’opera già esistente nella realtà ma che, molto più spesso, è una creazione originale presente solo nel metaverso.

È il caso, ad esempio, dei cosiddetti “Cryptopunks”, ovvero 10.000 avatar creati nel 2017 e generati tramite un algoritmo che rappresentano personaggi del mondo urbano, il cui prezzo è ormai salito alle stelle (più di 11 milioni di dollari).

Un altro dei fenomeni recenti più di successo nel mondo degli NFT è quello delle “Bored Ape”, che riproducono delle scimmie annoiate e il cui valore complessivo ammonta a quasi 100 milioni di dollari.


NFT e brand di moda sempre più vicini

Nell’ultimo periodo, anche molti brand di lusso si sono fatti sedurre dal mondo degli NFT.

Basti pensare a Balenciaga, Bulgari, Hublot, Louis Vuitton e Prada, che sono già attivi sulla piattaforma, anche se il primo brand ad aver provato il design degli NFT è stato Gucci nel Giugno 2021 con la “Gucci Collection”.

L’improvviso interesse per il metaverso da parte del mondo della moda e del branding in generale è dovuto al fatto che il mercato degli NFT è in continua crescita e questo fenomeno sembra inarrestabile: nel 2021 ha registrato scambi pari al valore di 17,6 miliardi di dollari.

Ma non solo il luxury ha deciso di ampliare i propri orizzonti: anche Adidas ha avviato un progetto denominato “Into the Metaverse”, riguardante la collezione di 30.000 token digitali.

Creando queste esperienze immersive, i clienti vengono coinvolti ancora di più, alimentando l’effetto FOMO (“Fear Of Missing Out”), cioè la costante paura delle persone di essere tagliate fuori, che le spinge ad avere il desiderio di rimanere sempre in contatto con ciò che fanno gli altri.

Questo le convince ad acquistare e a non farsi sfuggire nemmeno un’occasione nel mondo virtuale, così da non rischiare di rimanere escluse.

Entrare nel mondo degli NFT, dunque, è una grande opportunità di brand marketing da parte delle aziende, che consente di migliorare il rapporto che intercorre tra il brand e i consumatori e far crescere la propria attività.


Rischi degli NFT e casi di contraffazione

Guardando anche l’altra faccia della medaglia, però, gli NFT possono rappresentare anche un rischio: quello di incorrere in delle vere e proprie truffe.

Il mercato digitale, infatti, non è regolato ed è aperto a chiunque, anche agli speculatori, che ne approfittano per guadagnare grosse somme di denaro alle spalle di utenti poco informati e che si avvicinano a questo mondo per la prima volta.

Truffare nel mercato digitale puo essere semplice: non sono presenti degli intermediari e i cybercriminali sono protetti dall’anonimato degli indirizzi.

Mancano anche delle leggi che regolino lo scambio di NFT e delle procedure di verifica che possano garantire al consumatore l’esistenza dell’opera.

Tutti questi fattori rendono abbastanza rischioso imbattersi in questo ambiente senza avere delle competenze ben consolidate, come dimostrano i numerosi casi di frode avvenuti ultimamente.

Uno dei più recenti è quello riguardante la piattaforma OpenSea, considerata il più grande mercato NFT e valutata 13,3 miliardi di dollari.

A inizio 2022, alcuni hacker, attraverso un attacco di mail phishing indirizzato agli utenti della piattaforma OpenSea, sono riusciti a rubare la proprietà di alcuni NFT ai legittimi proprietari.

Si stima che il valore della frode si aggiri intorno a 1,7 milioni di dollari.

La mail induceva le vittime ad inserire la propria firma per una transazione, in modo tale da trasferire a titolo gratuito l’effettiva proprietà dell’NFT.

Questo incidente è avvenuto tramite e-mail che tentavano di imitare quelle della piattaforma OpenSea riuscendo a spacciarsi per loro, ma sono state inviate da utenti anonimi che non facevano parte della società.

In questo caso, dunque, non è stata la piattaforma di scambio il problema, bensì le azioni dei singoli che, essendo tutelati dall’anonimato, hanno agito in totale sicurezza.

Un altro attacco che però è stato causato da un problema al front-end di OpenSea è quello eseguito da un utente che, rilevando un bug nella piattaforma, è riuscito ad acquistare alcuni NFT a vecchi prezzi di listino e rivendendoli a prezzi molto più elevati, riuscendo a guadagnare circa 750.000 dollari.

Le frodi nel mercato digitale, perciò, si possono verificare anche a causa di alcune vulnerabilità nelle piattaforme di scambio: anche la più piccola falla nel sistema può essere individuata dagli hacker ed utilizzata per rubare delle proprietà anche molto costose a chi le ha acquistate legittimamente.

Spesso la criticità principale è anche che gli utenti acquistano in modo frettoloso e senza verificare che le opere siano effettivamente autentiche o esistano.

È il caso, ad esempio, di un collezionista che nel 2021 ha fatto un trasferimento di 300.000 dollari all’indirizzo di un hacker credendo di acquistare un’opera di Bansky, senza richiedere alcuna prova dell’esistenza della stessa.

Questa truffa, alla fine, si è risolta in maniera favorevole in quanto i truffatori hanno restituito tutti i soldi alla vittima, ma non sempre questi casi si risolvono positivamente.

Molto più spesso le persone perdono definitivamente grosse quantità di denaro.

A volte le piattaforme di scambio cercano di arginare i problemi e di risolverli, ma il rischio è sempre dietro l’angolo.

Recentemente la piattaforma Cent, fondata nel 2017, è stata costretta ad interrompere le operazioni dopo 5 anni di attività a causa dei numerosi NFT contraffatti presenti al suo interno.

La circolazione di NFT contraffatti è strettamente correlata al fatto che le diverse piattaforme non regolino le inserzioni che sono presenti sui loro mercati.

Anche OpenSea ha dovuto fronteggiare questo problema: la sua soluzione è stata quella di porre delle limitazioni per l’uso della funzione di creazione gratuita di NFT, dopo essersi reso conto che la maggior parte delle opere create con quello strumento non fossero originali.


Acquistare NFT in sicurezza

Nonostante i continui tentativi di migliorare questo ambiente così incerto, sono molti i pericoli in cui si può incorrere se si effettuano operazioni finanziarie in mercati di nuova generazione.

Questi, infatti, hanno delle problematiche strutturali dovute alla loro imprevedibilità e alla velocità di sviluppo.

I consumatori, inoltre, ancora non sono protetti da alcuna normativa: in caso di frode, non è possibile beneficiare di diritti e di tutele quali denuncia o ricorso.

Per riuscire ad ottenere delle garanzie bisognerà aspettare ancora del tempo.

Nel frattempo, è bene adottare alcune accortezze per evitare di subire delle truffe.

In particolare, bisognerebbe fare attenzione ai siti NFT falsi, creati appositamente per registrare tutte le credenziali che vengono inserite ed usarle per trasferire tutte le criptovalute presenti nel portafoglio.

Anche le e-mail possono essere false, con dei pulsanti e dei collegamenti presenti all’interno di esse che conducono l’interessato a un sito Web di phishing.

Infine è bene verificare sempre che l’NFT che si sta acquistando non sia contraffatto e che il venditore sia il reale proprietario. Le verifiche possono essere fatte tramite servizi appositi oppure verificando direttamente sulla blockchain nel quale è stato creato l’NFT stesso.

È dunque raccomandabile non fare mai clic su allegati provenienti da fonti sconosciute.

Bisogna anche assicurarsi che il venditore sia verificato e fare trading solo su siti conosciuti e affidabili.

Questi sono solo alcuni dei molti accorgimenti che dovrebbero essere adottati per evitare di incorrere in delle situazioni spiacevoli, ricordando sempre che un mercato così recente e in continua evoluzione come quello dei NFT deve essere sempre monitorato.



Francesco Nonni @ F3RM1 Foundation



Continua a leggere
Maxi attacco hacker all’Ucraina: Europa e Usa saranno i prossimi obiettivi?

Maxi attacco hacker all’Ucraina: Europa e Usa saranno i prossimi obiettivi?

25 Feb 2022

Le guerre ormai si combattono e nascono anche sul fronte informatico, come avvenuto per l'importante attacco hacker alla sicurezza informatica è stato messo in opera verso i siti web di vari dipartimenti governativi dell'Ucraina.

L'attacco è arrivato dopo alcuni incontri tra Mosca e le nazioni occidentali per discutere le tensioni che ormai riguardano gran parte dell'occidente. I lunghi incontri che si sono svolti a Ginevra avevano l'obiettivo di scongiurare la crisi in Ucraina.

La situazione, quindi, dal punto di vista della guerra informatica rimane in continuo aggiornamento, come dimostrato dall'attacco hacker alla Cyber Security che ha avuto come bersaglio Kiev. Ad inasprire, poi, le già compromesse relazioni si aggiungono le manovre militari dei russi e il relativo attacco concretizzatosi il 24 febbraio. Dagli Stati Uniti arriva la risposta dalla voce del Presidente degli Stati Uniti e dai suoi collaboratori che, direttamente da Washington, affermano di voler controbattere anche dal punto di vista informatico l'azione dei russi.

All’alba dell’invasione militare avvenuta il 24 febbraio, un ulteriore attacco informatico è stato avviato verso i principali nodi infrastrutturali dell’Ucraina (settori come finanza, difesa, aviazione e servizi informatici), tramite l’attivazione di un malware dedicato che, secondo gli esperti, era stato già impiantato nei mesi precedenti. Il malware faceva parte di una tipologia distruttiva detta “wiper”, con l’unica finalità di cancellare i dati presenti nelle infrastrutture informatiche in cui è stato impiantato.


Come è nato l'attacco hacker che ha colpito Kiev


Gli attacchi informatici che hanno colpito l'Ucraina hanno messo fuori uso, in maniera momentanea, i siti di vari ministeri tra i quali quelli degli Affari esteri e dell'Unità di crisi.

Questo evento ha causato la paralisi di molte delle infrastrutture digitali della pubblica amministrazione del governo. Tra i siti internet colpiti rientra anche quello che viene maggiormente usato per gestire i servizi governativi online e che viene chiamato Diia. Questo sito è di particolare importanza perché ha avuto un ruolo determinante nella gestione della crisi pandemica e della successiva campagna di vaccinazione della popolazione.

Ancor prima che il sito diplomatico ucraino venisse attaccato, gli hacker avevano già inserito sul sito del ministero un messaggio di paura in lingua ucraina, russa e polacca che incitava la popolazione a prepararsi al peggio. Inoltre, veniva indicato come tutti i dati personali erano stati immessi online e non erano, quindi, più disponibili o ripristinabili.

La risposta delle autorità e dell'intelligence non si è fatta attendere. Alcuni referenti, infatti, hanno dichiarato che il contenuto dei siti che hanno subito gli attacchi non era stato modificato e non si erano verificati furti di dati personali. Da Kiev hanno atteso qualche ora prima di indicare il colpevole dell'attacco all'IT Security, ovvero Mosca. Non hanno, però, perso tempo nel ricordare come il governo russo abbia sempre effettuato attacchi informatici contro l'Ucraina. Dopo qualche ora di accertamenti, sono poi state sciolte le riserve e il ministero ucraino della Cultura e delle Politiche dell'informazione ha dato conferma che, secondo le indagini sui dati, gli attacchi cyber provenivano con certezza dalla Russia.



L’attacco informatico, come preludio dell’invasione di terra


La guerra moderna, ormai non può prescindere da operazioni militari nello spazio informatico. Il blocco delle comunicazioni e delle infrastrutture critiche garantisce degli indubbi vantaggi alla parte che ne fa uso.

Nei mesi precedenti all’invasione di terra, i Russi hanno preparato il terreno infiltrandosi nei sistemi informatici critici Ucraini in maniera persistente per poter poi attivare gli attacchi in perfetto sincronismo con le forze militari che il 24 febbraio hanno invaso i confini Ucraini. Ne sono la dimostrazione alcune tracce informatiche, trovate da alcuni esperti, che datano le attività malevole addirittura a Novembre 2021.

L’attacco utilizzato è stato un malware “disk-wiping”, il cui unico obiettivo è stato quello di rendere inutilizzabili le risorse informatiche infettate tramite la cancellazione del Master Boot Record (MBR). A differenza dei malware cosidetti “ransomware”, il cui obiettivo è cifrare i dati presenti nei computer per poi chiedere un riscatto per la loro decifrazione, l’attacco Russo sembra aver avuto l’unico scopo di distruggere le risorse IT target, facendo sì che dopo l’attacco il dispositivo non si possa più nemmeno riavviare, rendendolo di fatto inutilizzabile.



Le conseguenze degli attacchi informatici sull'Unione Europea e gli Stati Uniti d'America


Dopo l'accaduto si sono subito analizzate le possibili ripercussioni degli attacchi sull'Occidente. Come dichiarato dai diplomatici ucraini le conseguenze dipenderanno molto dal tipo di posizione che Unione Europea e Stati Uniti assumeranno nei confronti della Russia in merito all'azione di attacco informatico.

Secondo gli esperti, infatti, bisognerà capire se questi Stati adotteranno una strategia volta al dialogo. Molto, quindi, dipenderà dal tono della reazione. Infatti, la situazione cambierebbe prospettiva se nei prossimi giorni sia gli Stati europei che gli USA e la Nato accusassero in maniera diretta la Russia degli attacchi subiti da Kiev. In questo caso ci troveremmo di fronte a una dichiarazione esplicita di responsabilità politica di dare seguito alla informazioni che si possono reperire nel mondo digitale.

Dobbiamo tener conto del fatto che attribuire con certezza una colpa degli attacchi nel cyberspazio non è certo semplice. Infatti, anche se gli strumenti più sofisticati di difesa informatica più avanzati sono molto precisi, arrivare a una sicurezza del 100% è impensabile.

Quindi, anche quel minimo margine di dubbio rende determinante il decidere una condanna politica. In più, dobbiamo anche ricordare che l'Ucraina tra il 2020 e il 2021 ha subito più di 600 mila attacchi hacker.

Questo vuol dire soltanto una cosa: la guerra informatica avviene ogni giorno e ad ogni ora. Dunque, i recenti attacchi vanno collocati all'interno di una strategia che va avanti già da molto tempo, seppure rimangano ugualmente rilevanti.

La reazione degli alleati occidentali dell'Ucraina, per adesso, è una condanno molto generica. Il segretario della Nato è intervenuto a riguardo dichiarando di voler collaborare con il governo ucraino per adottare misure di rafforzamento della sicurezza informatica, condannando nel contempo gli attacchi ricevuti dalla nazione.

Inoltre, ha affermato come gli esperti informatici di Nato e Ucraina stiano lavorando in sinergia scambiandosi numerose informazioni su possibili attività informatiche dannose, con gli informatici della Nato che si sono recati sul posto proprio per aiutare gli alleati in modo più efficace. A sancire questa collaborazione sarà, presto, un accordo che Ucraina e Nato firmeranno e che prevede una migliore e maggiore cooperazione informatica.

L'Unione europea, invece, ha manifestato la sua vicinanza all'Ucraina dichiarando di voler mettere a disposizione tutte le risorse tecniche per assisterli nel migliorare la resistenza ai cyber attacchi. Il rappresentante per la politica estera dell'Unione europea ha dichiarato, inoltre, che il Parlamento europeo si aspettava una situazione del genere ma non è possibile indicare nessun colpevole, anche se lo si può immaginare, in quanto non ci sono prove a supporto.


La possibile prospettiva che potrebbe svilupparsi dagli attacchi hacker all'Ucraina


Mentre l'Ucraina rimane sotto attacco informatico da parte della Russia, il governo e il team di esperti informatici sono preoccupati per per l'evoluzione prossima della situazione attuale. Infatti, il rischio è gli attacchi informatici possano diffondersi anche a livello mondiale. I primi ad essere minacciati da tale eventualità sono, naturalmente, Unione europea e Stati Uniti d'America.

Secondo quanto trapelato, la CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti ha deciso di mettere in campo delle azioni urgenti per poter gestire in modo concreto e a breve termine le pericolose minacce informatiche, riferendosi ai recenti attacchi subiti dall'Ucraina come esempio e motivo di allerta.

L'agenzia appena citata ha anche indicato come riferimento di cui tener conto alcuni attacchi risalenti all'anno 2017, ovvero NotPetya e WannaCry, che hanno superato gli scopi iniziali e che si sono diffusi in tempi rapidi online. Questi attacchi hanno causato la perdita di miliardi di dollari a livello globale.

Il riferimento, naturalmente, non è casuale. Infatti, l'attacco informatico NotPetya è stato rivolto all'Ucraina e ha visto protagonisti ancora una volta i russi. Si trattava di un periodo particolarmente teso tra le due nazioni.

Questo fa capire come le operazioni informatiche così aggressive siano dei mezzi molto potenti che possono precedere anche l'uso della forza militare come affermato dal capo dell'intelligence di Mandiant, azienda di sicurezza informatica. Questa caratteristica tipica dei cyber attacchi, quindi, è uno strumento di minaccia contro gli Stati Uniti e tutti gli alleati e diventeranno sempre più pericolosi. La situazione potrebbe ulteriormente precipitare se l'Unione europea, la Nato e gli USA dovessero assumere una posizione molto più aggressiva nei confronti della Russia anche dal punto di vista del cyber guerra.

Anche il presidente americano Joe Biden si è pronunciato recentemente a riguardo. Ha dichiarato, infatti, che gli Stati Uniti sono pronti a una risposta agli attacchi informatici messi in atto dalla Russia nel confronto dell'Ucraina. Per farlo, è disposto a mettere in campo tutte le capacità informatiche a disposizione degli USA.

Questa prospettiva, dunque, potrebbe far scaturire degli effetti a catena per tutto il mondo. Infatti, a differenza della guerra armata, quella informatica non conosce confini e può sfuggire dal controllo molto più facilmente.


Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Un anno di Covid-19: come la pandemia ha cambiato anche la sicurezza informatica

Un anno di Covid-19: come la pandemia ha cambiato anche la sicurezza informatica

11 Apr 2021

Che il Coronavirus abbia cambiato la quotidianità e le abitudini delle persone in tutto il pianeta è innegabile: infatti, anche nei momenti in cui la pandemia sembrava finalmente dare una tregua, ci sono state delle costanti che, da marzo 2020, non sono mai venute meno. Oltre all’impossibilità di viaggiare o, in generale, di uscire se non per necessità, lo stravolgimento più grande è stato sicuramente quello che ha rivoluzionato il mondo del lavoro. Mentre prima della pandemia solo pochi utilizzavano lo smart working, e mai per più di un paio di giorni a settimana, ciò che fino a un anno fa era un’eccezione è diventato la regola, al punto da diventare home working obbligatorio. Anche nell’ambito dell’istruzione la pandemia non ha lasciato molte alternative alla didattica a distanza.

Sicuramente lo smart working e la didattica a distanza presentano non poche criticità, sia dal punto di vista delle modalità operative, sia per quanto riguarda le dinamiche sociali, che, inevitabilmente, vengono meno nel momento in cui non ci si interfaccia direttamente con altri soggetti. Ci sono però ulteriori aspetti che meritano attenzione.

Il fatto che le persone passino inevitabile sempre più tempo con dispositivi elettronici collegati in rete ha determinato cambiamenti anche nella sicurezza informatica. Infatti, il livello di sicurezza delle reti domestiche non è sicuramente paragonabile a quello delle reti utilizzate negli uffici e questo  ha senza dubbio semplificato il lavoro agli hacker. 

Inoltre, il crescente utilizzo di device elettronici e strumenti di collaborazione, come Zoom, Microsoft Teams, Webex, Slack, si è accompagnato a un aumento degli attacchi effettuati attraverso queste piattaforme che usiamo quotidianamente. Sono inoltre cresciuti i cosiddetti brute force attacks contro i protocolli di rete che abilitano la funzionalità di desktop da remoto di Windows (remote desktop protocol o RDP): questi sono attacchi basati su tentativi di indovinare una password, un nome utente o qualsiasi altra informazione riservata utilizzando l'approccio della prova e dell'errore.

In aggiunta, nell’ultimo anno si è ulteriormente diffuso l’utilizzo di piattaforme di streaming e di e-commerce: anche queste piattaforme hanno subito maggiori attacchi informatici, sia direttamente rivolti alle singole piattaforme,  ad esempio attraverso iniezioni di codice SQL (i.e. attacchi su siti applicazioni web in cui il codice Structured Query Language viene aggiunto a una casella di immissione, al fine di ottenere accesso a un account o modificarne i dati),  sia agli utilizzatori, per lo più tramite phishing rivolti ai clienti e attacchi DDoS volti a rendere indisponibile l’accesso e il funzionamento della piattaforma.

All’inizio della pandemia poteva essere giustificabile la difficoltà nel gestire una tale impennata di attacchi informatici. È tuttavia allarmante che, a distanza di un anno, il numero di attacchi non solo non sia tornato ai livelli pre-pandemia, ma che sia anzi cresciuto. Anche dopo che la gran parte della popolazione sarà vaccinata, per molti aspetti non si tornerà alla vita ante Covid-19: probabilmente, si creerà una nuova normalità, frutto di una via di mezzo tra gli stili di vita che avevamo prima e durante la pandemia. Questo lo si vedrà soprattutto in ambito lavorativo, dove lo smart working diventerà una modalità sempre più diffusa, anche se non più esclusiva come in quest’anno pandemico. Non potendo disconoscere l’eredità del Covid-19, le aziende dovranno attrezzarsi per far fronte alle minacce informatiche in modo efficace, garantendo che i dipendenti possano accedere anche da casa ai sistemi interni con un livello di sicurezza informatica almeno equivalente a quello degli uffici. 


Francesca Gaddia @ F3RM1 Foundation


Continua a leggere
CISO on demand: opportunità e professionalità a confronto

CISO on demand: opportunità e professionalità a confronto

29 Nov 2020

Sembra un vecchio spot degli anni 2000 della IBM che, attraverso una straordinaria rivisitazione dei propri modelli di business, aveva ottimizzato la gestione dei servizi mainframe  e Z-Series (per gli amanti delle nomenclature azzurre) industrializzando quello che sarebbe diventato lo standard di fatto della propria offerta.


Questo nuovo modello consentiva alla IBM di fidelizzare i clienti su tecnologie difficilmente sostituibili e di radicarsi definitivamente sul mondo dei financial services che, dal loro canto, potevano finalmente gestire i propri budget IT secondo le reali necessità di business. Di fatto, questo nuovo modello consentiva al mondo della finanza, che data la particolarità dei propri prodotti è soggetta a diversi sovraccarichi delle proprie infrastrutture in determinati giorni del mese o dell’anno, di attivare all’occorrenza la necessaria capacità computazionale.

 

Ebbene oggi stiamo assistendo all’esportazione di questo modello all’interno delle funzioni organizzative e più precisamente nel Human Resources.

 

Il CISO, ovvero il Chief Information Security Officer, quella figura incaricata di gestire la sicurezza IT dell’azienda, di proteggerla da attacchi informatici e, unitamente al responsabile IT, definire le evoluzioni infrastrutturali e applicative, sta diventando un servizio (o persona) on demand.

 

Se ve lo state chiedendo, la risposta è si, parliamo proprio di quella figura responsabile degli attacchi cyber, responsabile di proteggere l’azienda dai cyber criminali che vogliono impadronirsi dei dati aziendali o chiedere riscatti dopo aver bloccato l’operatività IT. Quella persona che gestisce quotidianamente e (credetemi) 24 ore su 24 il Security Operation Center per individuare ogni tipo di connessione anomala da e verso la propria azienda. E ancora sì, quel ruolo che è sinonimo di salvaguardia degli asset IT e che garantisce ai clienti la sicurezza dei servizi. Insomma, quell’individuo, che più di tutti ha una conoscenza dettagliata dell’organizzazione aziendale e dei propri asset infrastrutturali, sta diventando una figura attivabile all’occorrenza.

 

In realtà non siamo di fronte al primo episodio di questo fenomeno opportunistico che alcune aziende di consulenza stanno proponendo al mercato. Abbiamo già visto i primi timidi tentativi concentrarsi sulla figura del DPO (Data Protection Officer) appena dopo l’obbligatorietà imposta dalla GDPR (General Data Protection Regulation), ovvero il nuovo regolamento sulla privacy al quale tutte le aziende europee sono tenute ad attenersi scrupolosamente.

 

Probabilmente questo fenomeno (ce lo auguriamo) riscuoterà scarso successo nelle grande aziende e nelle organizzazioni internazionali, ma la possibile presa che potrebbe avere sulle piccole-medie aziende è destinata a rivoluzionare il mondo della security.

 

Se da un lato potremmo andare in contro ad un progressivo degrado delle capacità di contrasto degli attacchi informatici da parte di quelle che oggi sono le aziende più a rischio nel mondo della cyber security, dall’altro potremmo assistere ad una rivisitazione del modello di gestione della security, che permetterebbe a questo segmento aziendale di poter finalmente attingere da un parco di figure altamente professionali che oggi difficilmente vede interesse all’interno di queste realtà.

 

Una rivoluzione che richiederebbe supporto e investimenti da parte di diverse realtà nazionali. A partire dalle aziende di consulenza che dovranno investire in figure più professionalizzate, alle aziende fruitrici del servizio obbligati a rivedere i proprio modelli organizzativi, fino alla pubblica istruzione che dovrà necessariamente attrarre studenti in un area ad oggi drammaticamente poco frequentata (il nostro è tra i paesi che ancora stenta a decollare nelle aree tecnologiche) e offrire corsi con indirizzi specifici.

 

Potremmo immaginarci infatti futuri esperti di cyber security, adeguatamente formati e con background derivanti da anni di esperienze sul campo, mettere a disposizione delle piccole-medie aziende le proprie competenze e trasferire le best practices della sicurezza su aziende che oggi rappresentano il primo obiettivo delle associazioni criminali informatiche.

 

Elemento imprescindibile per la riuscita di una simile strategia dovrà essere la consapevolezza dei CEO che la security è un asset aziendale fondamentale, e quindi l’identificazione del “CISO on demand” dovrà seguire determinati processi di selezione che valorizzano le reali competenze anche a discapito di eventuali costi aggiuntivi, così da scoraggiare possibili offerte al ribasso (spesso manipolate da aziende fornitrici molto aggressive) del mercato che determinerebbero un degrado della qualità del servizio.

 

È infatti importante comprendere l’importanza delle piccole-medie aziende nel nostro paese e come esse rappresentino il vero motore produttivo e siano radicate nello strato sociale della nazione. Il possibile abbattimento dei livelli di sicurezza in questo insieme di aziende determinerebbe un impatto sociale che non può essere trascurato, ma di questo ci occuperemo in uno dei prossimi articoli.

 

Insomma, staremo a vedere se questo sarà un punto di svolta nella security delle piccole-medie aziende o ne decreterà una volta per tutte ... la fine.


Remo Marini @ F3RM1 Foundation

Continua a leggere