Articles

Intelligenza Artificiale: le sfide per la sicurezza

Intelligenza Artificiale: le sfide per la sicurezza

17 Jun 2022

L’“Intelligenza Artificiale”, in breve AI (Artificial Intelligence), è una branca dell’informatica che sviluppa sistemi in grado di riprodurre il funzionamento del cervello umano, con competenze simili: ragionamento, apprendimento e azione analoghi a quelli umani.

Oggi l’intelligenza artificiale non ci fa più pensare alla fantascienza o a mondi futuribili, ma è diventato ormai un termine di uso comune e le sue applicazioni sono entrate prepotentemente e in maniera diffusa nella nostra vita quotidiana, anche se non ce ne rendiamo conto.

Vediamone alcune:

Assistenti virtuali: “Siri, come si chiama la canzone che ascoltavo ieri?”

Telefono e computer ci mettono a disposizione assistenti virtuali come Cortana, Google Assistant, Siri che rispondono alle nostre richieste o comandi vocali attraverso algoritmi di AI per il riconoscimento del linguaggio e per “imparare” nel tempo le nostre abitudini di vita.

Chatbot, servizi clienti automatizzati: il cliente è servito…dall’AI

I servizi clienti spesso utilizzano l’AI per gestire chat e smistare le richieste telefoniche riconoscendo voce e perifrasi di linguaggio ed elaborando la risposta o l’azione pertinente alla richiesta.

Riconoscimento facciale: i “poliziotti” virtuali

Le telecamere nelle città, stazioni, aeroporti etc, registrano e processano migliaia di immagini rilevando comportamenti o situazioni anomale - ad esempio, un uomo a terra - segnalandole alle centrali operative preposte alla sicurezza. Il tutto in pochi secondi, grazie all’AI.

So già cosa vuoi: dalla pubblicità alla notizia su misura, l’AI seleziona i contenuti per noi.


Come riportato nel docufilm The social dilemma, l’ambiente digitale - che sia un social, un motore di ricerca, un thread di notizie - ci mostra solo ciò che gli algoritmi di AI e di Machine Learning ritengono che sia di nostro gusto, in base alla nostra personalità, che apprendono ogni volta che facciamo una scelta, mettiamo un “mi piace” o clicchiamo su un banner.

Queste sono solo alcune delle applicazioni che tutti noi usiamo ogni giorno, ma l’AI in realtà domina ogni ambito: dalla macchina che frena da sola quando ci avviciniamo troppo velocemente ad un ostacolo, ai “robot” per le operazioni chirurgiche, ai sistemi di guida e sicurezza degli aerei, e molto altro.

La guida autonoma dei veicoli è il prossimo e vicinissimo obiettivo.

Come funziona tutto questo e quali rischi corriamo?

In sintesi, possiamo dire che l’AI combina una enorme quantità di dati con una elaborazione basata su modelli che impara da sé, (modelli Machine Learning o ML).

Un modello di Machine Learning è basato principalmente su due componenti:
    1. Algoritmi statistici e/o predittivi
    2. Un insieme di dati (data-set) che il modello ML usa per imparare

Vi sono però ancora numerosi problemi di “restituzione” dell’elaborato da parte dii questi sistemi: errori nei data-set di apprendimento, negli algoritmi, etc. Secondo Gartner fino ad oggi, l’85% dei progetti di intelligenza artificiale ha prodotto risultati errati di questi fattori.

Ci sono molti casi ormai noti: modelli di riconoscimento delle immagini “ingannati” da immagini deformate, riconoscimenti facciali basati solo su precise etnie, che di conseguenza perdono la capacità di riconoscere persone di etnie diverse, modelli di calcolo per analisi del rischio (mutui, assicurazioni, etc) che danno risultati errati a seconda dell’appartenenza etnica e non su dati economici e molti altri casi.

In pratica, il sistema ad oggi è tutt’altro che stabile e cominciamo quindi a intuire quali conseguenze possa comportare in materia di sicurezza l’adozione dell’Intelligenza Artificiale, per quanto riguarda le intenzioni malevole della cyber criminalità.

L’IA può diventare una nuova arma di attacco per la cyber criminalità


Anche i criminali informatici stanno facendo sempre più uso dell'IA per sferrare i loro attacchi contro aziende, istituzioni e privati. Infatti, sfruttando le caratteristiche e risorse dell’intelligenza artificiale possono colpire più rapidamente e in maniera più precisa migliaia di obiettivi in contemporanea.

Questo è possibile perché grazie all’enorme capacità di analisi e di calcolo, le IA possono scansionare e identificare tutte le vulnerabilità informatiche all’interno del sistema IT del bersaglio scelto dai cyber criminali. Inoltre gli algoritmi utilizzati dalle IA hanno la capacità di adattarsi, apprendere e migliorarsi continuamente con il risultato che gli attacchi risulteranno sempre più efficaci e di difficile rilevamento da parte dei tradizionali sistemi di protezione.

Nel dark web, gli hacker hanno messo addirittura disponibili delle soluzioni informatiche già pronte generate con IA per sferrare questa tipologia di attacchi; ne è un esempio l’IA-as-a -Service che può essere acquistato da hacker “minori” o meno esperti che non hanno le conoscenze necessarie nel campo delle IA.

Sono diversi i sistemi che sfruttano l’intelligenza artificiale utilizzati degli hacker; alcuni tra i più frequenti sono quelli ideati per riuscire ad indovinare le password delle vittime oppure e-mail di phishing e malware che grazie all’autoapprendimento e all’imitazione del comportamento degli utenti, sono in grado di generare testi sempre più elaborati e personalizzati e di conseguenza sempre più difficili da distinguere dalle vere e-mail.

Un altro esempio, è l’Adversarial Attack, ovvero quando vengono introdotti dati “malevoli” nel data-set di apprendimento che porta quindi alla produzione di risultati ingannevoli.

Individuare questo tipo di attacco è molto difficile, perché è impossibile dedurre le logiche apprese da un modello ML - poiché le genera praticamente da solo - e a volte differiscono significativamente da quello che un cervello umano elabora intuitivamente.

Ad esempio, tornando al riconoscimento delle immagini, un bambino capisce intuitivamente che uno sticker appiccicato su una foto è un elemento esterno, l’AI invece no.
Essendo ormai gli utilizzi di AI diffusi in ogni ambito, è chiaro che i rischi aumentano all’aumentare della loro diffusione.

Paradossalmente, uno dei rischi riguarda proprio la sicurezza informatica: dagli anti-virus al monitoraggio delle reti, i sistemi di sicurezza informatica utilizzano proprio l’AI per individuare degli schemi (pattern) su grandi quantità di dati e da qui individuare anomalie e minacce come l’identificazione di campagne su ampia scala di spam e phishing, o di attacchi malware individuando codici malevoli.

E’ evidente che anche la criminalità informatica può usare l’IA per rendere gli attacchi meno individuabili e progettare contro-strategie sulla base di scenari predittivi della difesa.

In altri ambiti la violazione di una applicazione basata sull’AI suscita scenari inquietanti: si pensi ad una attacco ai sistemi di guida autonoma, o a Grover, un sistema creato dall'università di Washington e dall'istituto Allen per creare fake news perfettamente credibili e scoprire contenuti simili con un tasso di accuratezza del 92%.

Il fine della ricerca era quello di “addestrare” il sistema a riconoscere le fake news; ma è anche vero che l’AI può generare e diffondere abilmente fake news estremamente credibili, secondo uno studio del New York Times e del Washington Post pubblicato lo scorso anno.

Creare una campagna di disinformazione di massa sembra essere oggi abbastanza facile e veloce, grazie agli algoritmi di AI che possono creare e diffondere rapidamente contenuti credibili creati per indirizzare l’opinione pubblica; tesi fomentata da più parti riguardo la recentissima pandemia.

Il tema della falsa informazione manipolata dalla AI ha fatto da poco un altro passo avanti grazie a Dall·E 2, il sistema di intelligenza artificiale - progettato da OPEN AI, la no-profit di cui fa parte anche Elon Musk che crea immagini e foto perfettamente realistiche partendo da una descrizione testuale.

Lo scenario di organizzazioni cyber criminali, che possano violare banche dati di immagini (centri anagrafici, foto segnaletiche, etc) e modificarle tramite una descrizione è allarmante.

Per contrastare gli attacchi informatici, l’IA giocherà un ruolo fondamentale.


Come abbiamo visto le IA possono essere uno strumento di attacco da parte degli hacker ma al tempo stesso possono essere usate anche come meccanismo di difesa e protezione contro di essi.

A differenza dei tradizionali sistemi di sicurezza informatica, quelli basati sulle IA sono in grado di identificare in maniera più accurata e precisa la presenza di Hacker e rilevarne le attività criminali. Infatti gli algoritmi delle intelligenze artificiali possono riconoscere i modelli comportamentali degli Hacker sventando così i loro attacchi e in un prossimo futuro addirittura scoprire l’identità degli aggressori.

Negli ultimi anni molte aziende e organizzazioni si sono servite degli algoritmi delle IA per difendersi e rispondere ad attacchi hacker sempre più frequenti e insidiosi. Il lavoro dei team di sicurezza informatica delle aziende può essere molto agevolato grazie all’utilizzo delle IA, dal momento che sono in grado di scansionare e rivelare eventuali anomalie e criticità del flusso dei dati impiegando molto meno tempo e con maggior precisione rispetto ad un essere umano. Ciò permette ai membri del team di concentrare il loro tempo più che nella ricerca di falle nella sicurezza (di cui come appena detto si occupano le IA) nell’elaborare delle strategie di difesa.

In conclusione l’uso dell’intelligenza artificiale può essere molto utile nell’ambito della cyber security per contrastare attacchi informatici.

Possiamo quindi affermare che l’esplorazione delle potenzialità dell’intelligenza artificiale è appena cominciata, ma così come emergono i potenziali rischi, possiamo capire sempre meglio come utilizzare l’Intelligenza Artificiale nella prevenzione delle minacce e dei rischi associati alle debolezze della AI/ML e nel disegnare strategie di difesa.

Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Smart Working e Sicurezza Informatica: quali sono i potenziali rischi e le possibili soluzioni?

Smart Working e Sicurezza Informatica: quali sono i potenziali rischi e le possibili soluzioni?

01 Jun 2022

Se vi state chiedendo se il lavoro da remoto sia un rischio.. fate bene.

L’impatto del ricorso globale allo smartworking in conseguenza della pandemia, ha aperto nuovi e imprevisti scenari di pericolo per la sicurezza dei dati aziendali.

La commistione tra vita privata e lavorativa ha creato vulnerabilità senza precedenti: il  minore controllo esercitato a distanza dagli IT, l’uso dei dispositivi aziendali per attività personali e viceversa e il massiccio trasferimento ai servizi in cloud senza preparazione dei dipendenti a distanza hanno favorito il crimine informatico, che ha sfruttato le vulnerabilità dei sistemi e del fattore umano come porte di accesso ai dati critici aziendali.
Secondo il “Dell technologies Global data protection index (Gdpi) 2021,” nell’ultimo anno oltre il 90% delle aziende italiane ha subito danni -  con casi estremi fino 1 milione di dollari -  a  causa della perdita di dati critici dovuti al lavoro da remoto o ibrido.


Dispositivi personali e aziendali: “Mamma, mi dai il tuo pc per collegarmi con la scuola?”

Smartworking, didattica a distanza e adozione di nuovi stili di vita (crescita degli acquisti e delivery on line, servizi per la famiglia on line, etc) hanno di fatto eliminato il confine tra dispositivi personali e di lavoro.

Se pensate che il lavoratore, a casa, separi nettamente l’uso dei dispositivi personali e aziendali, vi sbagliate di grosso.

Ce lo dice chiaro e tondo il rapporto “Blurred Lines & Blindspots di HP Wolf Security” secondo il quale  il 70% dei lavoratori ammette di usare dispositivi di lavoro per scopi personali, mentre il 69% di usare per attività lavorative dispositivi personali non configurati per la sicurezza aziendale.

La mancanza di consapevolezza sui rischi informatici da parte dei dipendenti li rende i target privilegiati della strategia della criminalità informatica; basti pensare che il fattore umano è stato la causa principale del  95% delle violazioni di dati critici. Lo dice l’IBM Cyber Security Intelligence Index Report 2020.
Infatti, attacchi di phishing, social engeneering e compromissione della e mail aziendale e social sono aumentati vertiginosamente, e hanno rappresentato nel 2021 la metà di tutte le perdite causate dal crimine informatico.

Il dipendente a casa è il target numero 1 dei cyber criminali.


Dove è finito il perimetro di sicurezza?

La maggior parte delle perdite dovute a violazione degli accessi, sono state rilevate tramite i dispositivi mobili: tra le cause, le connessioni alla stessa rete domestica o hotspot sia per le attività personali che per quelle strettamente correlate all'attività lavorativa.

Con lo  smart working, infatti,  il network aziendale si è esteso all’utilizzo delle reti domestiche alle quali i dipendenti si collegano o a hotspot pubblici, fuori dal controllo dei dipartimenti IT aziendali.

Il perimetro di sicurezza dell’azienda si è ampliato, così come la necessità di riportare sotto un minimo standard di sicurezza reti che, pur non facendo parte del network aziendale, ne rappresentano porte di accesso.

Ciò avviene principalmente perchè i dipendenti usano i propri dispositivi aziendali anche per degli scopi personali.
Per questo motivo è  fondamentale avere degli standard di sicurezza informatica notevolmente superiori rispetto a quando era regola recarsi in sede per poter lavorare.


Mancanza di regole e formazione: “Sì, ma cosa devo fare?!”

Le aziende si sono trovate impreparate nel dover affrontare questo passaggio in maniera così improvvisa e drastica. Soprattutto le pmi, non hanno adottato adeguate policy stringenti relative alla privacy e alla sicurezza informatica.

Inoltre, i  programmi di formazione per migliorare la consapevolezza dei rischi non sono stati valutati come asset strategico.

Anche le dirigenze dovrebbero essere perfettamente formate ad evitare tali rischi, essendo maggiormente esposte alle mire degli hacker e dai criminali della rete proprio perché in possesso delle informazioni più strategiche ed appetibili.

Per poter garantire un certo livello di sicurezza, è necessario essere sempre informati dei rischi e delle possibili soluzioni, mantenendo un approccio positivo e funzionale alla risoluzione dei problemi sotto questo punto di vista.

Come si può aumentare il livello di sicurezza informatica  dello smart working? Le soluzioni.

Ci sono alcune strategie da adottare che possono permettere aumentare il livello di sicurezza dello smart working, allontanando il più possibile eventuali attacchi da parte dei criminali della rete alla ricerca di dati da poter rubare.


Il responsabile della Sicurezza Informatica: una figura strategica.

Avere nel proprio staff una figura preposta alla sicurezza è sicuramente un elemento strategico: oltre ad occuparsi della sicurezza tecnologica, dovrà essere responsabilizzato alla sensibilizzazione e formazione di tutti i dipendenti e collaboratori fornendo precise istruzioni e protocolli di comportamento. Accesso ai dati? Non per tutti!


MFA, il sistema di autenticazione a 2 fattori: due chiavi sono meglio di una!

Tra le metodiche che devono essere utilizzate, il sistema di autenticazione a due fattori ad oggi molto comune per accedere ai servizi bancari on line, alle email aziendali e alla maggior parte dei servizi e storage in cloud.

Il sistema di autenticazione a due fattori prevede di dover digitare un codice ricevuto su un dispositivo precedentemente autenticato.
Ad esempio, per accedere ad una area personale di un servizio, dopo aver inserito la password, viene richiesta una conferma dell’identità personale dell’utente: codice univoco inviato via SMS ad un telefono o via e-mail precedentemente registrati ed autenticati.

Il Sistema di autenticazione a due fattori, previene il 99,9% degli attacchi agli account, secondo una ricerca di Microsoft Security.


Accesso ai dati? Non per tutti!

Molto importante è impedire l'accesso ai dati ai propri dipendenti, se non per quelli strettamente necessari all'attività lavorativa e alle sue mansioni.

Meglio definire processi e  precisi privilegi di accesso; i dati finanziari ad esempio saranno accessibili solo ed esclusivamente al relativo personale, le informazioni riservate come piani di crescita, brevetti, etc saranno di esclusivo accesso a poche persone di livello dirigenziale.

In questo modo si potrà contrastare un attacco hacker destinato proprio al dipendente, ad esempio tramite il phishing.
Secondo l’ Identity Theft Research Center, infatti, condividere documenti senza precise procedure e inviare informazioni a persone sbagliate sono le prime cause di data breach.


Back to work! Il back up dimezza i tempi del ripristino all’operatività.

I backup sono indispensabili all'azienda, in modo tale da poter tornare ad accedere ai dati e ripristinare la piena operatività nel minor tempo possibile nel caso in cui si verificasse un attacco volto al tenerli sotto chiave in attesa di un eventuale riscatto.
Definire e mettere in pratica un protocollo preciso a cui attenersi per effettuare il back up dei dati aziendali periodicamente e con strutture robuste e affidabili è un must. Non solo i back up devono essere frequenti e disponibili, ma devono essere anche conservati separatamente dalla rete aziendale (copie off-line) al fine di prevenire situazioni in cui i malware o gli attaccanti possano danneggiare anche le copie che, in caso di incidente, sono le fonti per il ripristino dell’ operatività aziendale..

Il Firewall umano: aumentare il grado di consapevolezza nei dipendenti.

Sebbene i firewall e altre tecnologie siano la base della sicurezza informatica di un'organizzazione, non possono proteggere tutto: le persone sono sempre di più il miglior fattore di protezione per i rischi legati allo smartworking.

Evitare comportamenti scorretti fornendo adeguati programmi di formazione per il lavoro a distanza, rendere consapevoli del rischio di attacchi informatici i dipendenti a tutti i livelli, fornire loro gli strumenti di conoscenza adeguata è sicuramente un elemento di grande protezione.

I dipendenti a casa, lontani dall’ambiente professionale, hanno bisogno anche di istruzioni chiare e precise che li supportino nel momento in cui possono avere dubbi su come comportarsi o su cosa fare.

Fornire manuali operativi a cui attenentesi, oltre a mitigare il rischio del fattore umano, migliorerà anche il loro coinvolgimento nelle procedure di sicurezza informatica.


Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Sicurezza e fornitori: qual è l'anello debole della tua difesa?

Sicurezza e fornitori: qual è l'anello debole della tua difesa?

19 May 2022

Quando sei titolare di un'azienda, piccola o grande che sia, è importante predisporre una sicurezza informatica a tutto tondo.
Ciò significa non solo installare dei sistemi di protezione efficaci all'interno dei tuoi dispositivi e della tua rete, ma risulta altrettanto fondamentale accertarsi che siano protetti anche fornitori e chiunque entri in contatto con te, così da non avere alcun anello debole nella catena della tua difesa informatica.
Diventa dunque fondamentale garantire la sicurezza di terze parti per evitare di esporre la propria organizzazione a pericolosi rischi e vulnerabilità.
Ormai, infatti, la sicurezza di una società dipende sempre più non solo da se stessa, ma anche e soprattutto dai suoi fornitori, per cui diventa fondamentale controllare che questi non rappresentino l’”anello debole” della catena.


Security e supply chain: due asset legati a doppio filo

Sebbene si tratti di concetti ben distinti, la cyber security e la supply chain rappresentano due elementi chiave per garantire adeguati livelli di sicurezza informatica aziendale.

Al giorno d’oggi nessuna azienda è in grado di produrre il proprio bene o servizio per il cliente finale in completa autonomia. È praticamente obbligatorio far sempre affidamento sui servizi o prodotti intermedi di altre aziende, fornitori, partner o distributori che svolgono alcune attività della catena del valore aziendale. Questa interconnessione, qualche anno fa era maggiormente legata alla filiera logistica e prettamente più fisica, ma dagli anni 2000 non è più così. La maggior parte delle informazioni transita per via digitale e le aziende per efficientare i processi, ridurre i tempi di consegna e migliorare la qualità sono sempre più interconnesse e digitali e gli accessi ai propri sistemi e processi sono sempre di più concessi anche a terze parti che lavorano a stretto contatto con il personale aziendale.

È proprio sul triangolo formato da processi, tecnologie e persone che si innesta la cyber security, ossia la tutela dell'integrità, della disponibilità e della riservatezza di tutte le informazioni presenti all'interno dello spazio informatico.

Alla cyber security è inoltre strettamente collegata la cyber safety, poiché capace di proteggere il sistema aziendale da attacchi hacker che potrebbero arrecare danni reputazionali, ma anche materiali, soprattutto in contesti industriali sempre maggiormente connessi e automatizzati.


Composizione della supply chain

La sicurezza informatica della supply chain, al fine di essere tutelata al 100%, deve prevedere la protezione di tutti gli elementi della infrastruttura, tra cui:

  • data center sotto forma di cloud oppure in house, grazie al quale avviene l'erogazione di office automation e sistemi di ERP;
  • tutti gli altri cyber spazi interconnessi con l'azienda stessa: basti pensare ai dati scambiati con i terzi, agli ambienti domestici di smart working o applicativi utilizzati dall’azienda ma forniti da aziende esterne.

Ognuno di questi componenti, se sviluppato, gestito e manutenuto grazie a partner, fornitori o terze parti, può rappresentare il veicolo oppure il target intermedio di un attacco hacker alla catena di fornitura, la quale dovrà pertanto essere in possesso di adeguati livelli di sicurezza progettati con una panoramica complessiva e regolati secondo un approccio end-to-end.

Come gestire la sicurezza della supply chain

La sicurezza della supply chain protegge un'organizzazione dal rischio associato a fornitori di terze parti e la sua importanza continua a crescere in tutti i settori.
Le aziende, però, tendono a concentrarsi poco sulle pratiche di sicurezza presso i propri fornitori e dedicano loro poca attenzione, esponendo in questo modo le proprie informazioni sensibili ad attacchi informatici sempre più frequenti. Infatti,
secondo uno studio del Ponemon Institute, nel 2020 gli attacchi verso terze parti rappresentavano il 42% di tutti i casi di violazione dei dati.
Nonostante le solide pratiche di sicurezza, nessuna azienda è immune da protocolli insicuri, in quanto molte terze parti utilizzano altre terze parti stesse, lasciando le organizzazioni con uno scarso controllo sui loro protocolli di sicurezza delle informazioni.
Rendere più efficiente e sicura la supply chain, ovvero la catena di fornitura, dunque, non può fare altro che apportare vantaggi notevoli.
Per implementare misure di sicurezza adeguate, è indispensabile prima di tutto accertarsi che i fornitori stessi abbiano dei protocolli sicuri e che il loro sistema non sia già stato compromesso dagli hacker.
È altrettanto importante cercare di mappare tutte le possibili relazioni attraverso cui passano i dati dell’azienda.
Molto spesso, infatti, i criminali informatici prendono di mira le organizzazioni più grandi attraverso i loro fornitori di terze, quarte ed ennesima parte, quindi bisogna essere consapevoli di tutte le potenziali vulnerabilità e accertarsi che tutte le relazioni nella catena di approvvigionamento siano sotto controllo e lontane dai rischi.
Anche utilizzare delle connessioni sicure, così come servirsi di security assessment indipendenti delle terze parti, sono degli accorgimenti che possono scongiurare molti pericoli, tra cui ingenti danni economici e perdite di dati, con conseguente innalzamento del livello di sicurezza generale.
Infine, è buona prassi inserire nei contratti di fornitura apposite clausole di sicurezza a propria protezione così come richiedere ai fornitori più critici di dotarsi di una polizza assicurativa contro gli attacchi informatici.

Il caso SolarWinds

Tra la fine del 2020 e i primi mesi del 2021, si è verificata una delle operazioni di cyber-spionaggio più complesse mai realizzate.
In particolare, si è trattato di un supply chain attack, ovvero un’infiltrazione nella rete attraverso l’attacco di un fornitore legato al bersaglio stesso.
In questo caso, il bersaglio era FireEye, una società specializzata nella sicurezza delle reti informatiche.
L’attacco ha preso la forma di un aggiornamento malevolo del software Orion, il quale viene commercializzato dall’azienda SolarWinds.
La rete di SolarWinds è stata dunque attaccata da questo malware, denominato Sunburst, tramite la firma dei pacchetti di aggiornamento contenenti il virus.
Tra gli utilizzatori di Orion spiccavano diversi dipartimenti del governo statunitense (Dipartimento di Stato statunitense, Dipartimento of Homeland Security, il Dipartimento del Tesoro) e anche grandi corporation (Fireeye, Microsoft, Crowdstrike), molte delle quali sono state compromesse.
È proprio questo che ha reso tale operazione così eclatante: si pensa che l’obiettivo principale fosse l’ottenimento di informazioni sulle strategie diplomatiche e di difesa degli Stati Uniti d’America.
Il caso SolarWinds ha segnato perciò la fine di un’epoca contrassegnata dal dominio incontrastato degli Stati Uniti nel settore della cybersecurity ed è la prova lampante che non esiste alcuna organizzazione al sicuro dal rischio di compromissione.
Ancora una volta si concretizza la forte asimmetria tra attacco e difesa che contraddistingue da sempre la cybersecurity.

Francesco Nonni @ F3RM1 Foundation

Continua a leggere
NFT tra vantaggi e rischi: le piattaforme di scambio sono davvero sicure?

NFT tra vantaggi e rischi: le piattaforme di scambio sono davvero sicure?

29 Apr 2022

Grazie ai continui sviluppi della tecnologia e di quello che viene definito “metaverso”, nel mercato digitale si sono creati nuovi orizzonti e nuove opportunità, soprattutto nei tempi più recenti.

A questo proposito, uno degli strumenti che sta avendo un ampio successo tra le nuove generazioni è sicuramente quello degli NFT, acronimo di “non-fungible token”, ovvero degli oggetti digitali che non possono essere modificati e che utilizzano certificati basati sulla tecnologia blockchain: ogni singola transazione tra gli utenti viene tracciata e registrata in un registro digitale condiviso e immutabile.


NFT: cosa sono e perché stanno avendo tanto successo

La funzione di un NFT si basa su uno “smart contract”, ovvero un meccanismo per attuare un accordo di vendita tra il proprietario NFT e l’acquirente.

Questi “smart contracts” possono verificare che i termini del contratto siano stati rispettati, senza la necessità di un intermediario, e possono garantire che le risorse digitali siano uniche e non replicabili. Ciò rende questi NFT scarsi e rari, motivo per cui hanno un grande valore.

Le cifre a cui vengono acquistati, infatti, sono spesso considerevoli.

Il caso più eclatante è stato quello dell’opera d’arte digitale composta da 5000 immagini (“Everydays: the first 5.000 days”), la quale è stata venduta per 69 milioni di dollari da Mike Winkelmann. Ad oggi, è l’acquisto più costoso al mondo per una creazione digitale.

Comprando un NFT si compra un certificato di proprietà che rimanda a un file digitale, che può essere una riproduzione di un’opera già esistente nella realtà ma che, molto più spesso, è una creazione originale presente solo nel metaverso.

È il caso, ad esempio, dei cosiddetti “Cryptopunks”, ovvero 10.000 avatar creati nel 2017 e generati tramite un algoritmo che rappresentano personaggi del mondo urbano, il cui prezzo è ormai salito alle stelle (più di 11 milioni di dollari).

Un altro dei fenomeni recenti più di successo nel mondo degli NFT è quello delle “Bored Ape”, che riproducono delle scimmie annoiate e il cui valore complessivo ammonta a quasi 100 milioni di dollari.


NFT e brand di moda sempre più vicini

Nell’ultimo periodo, anche molti brand di lusso si sono fatti sedurre dal mondo degli NFT.

Basti pensare a Balenciaga, Bulgari, Hublot, Louis Vuitton e Prada, che sono già attivi sulla piattaforma, anche se il primo brand ad aver provato il design degli NFT è stato Gucci nel Giugno 2021 con la “Gucci Collection”.

L’improvviso interesse per il metaverso da parte del mondo della moda e del branding in generale è dovuto al fatto che il mercato degli NFT è in continua crescita e questo fenomeno sembra inarrestabile: nel 2021 ha registrato scambi pari al valore di 17,6 miliardi di dollari.

Ma non solo il luxury ha deciso di ampliare i propri orizzonti: anche Adidas ha avviato un progetto denominato “Into the Metaverse”, riguardante la collezione di 30.000 token digitali.

Creando queste esperienze immersive, i clienti vengono coinvolti ancora di più, alimentando l’effetto FOMO (“Fear Of Missing Out”), cioè la costante paura delle persone di essere tagliate fuori, che le spinge ad avere il desiderio di rimanere sempre in contatto con ciò che fanno gli altri.

Questo le convince ad acquistare e a non farsi sfuggire nemmeno un’occasione nel mondo virtuale, così da non rischiare di rimanere escluse.

Entrare nel mondo degli NFT, dunque, è una grande opportunità di brand marketing da parte delle aziende, che consente di migliorare il rapporto che intercorre tra il brand e i consumatori e far crescere la propria attività.


Rischi degli NFT e casi di contraffazione

Guardando anche l’altra faccia della medaglia, però, gli NFT possono rappresentare anche un rischio: quello di incorrere in delle vere e proprie truffe.

Il mercato digitale, infatti, non è regolato ed è aperto a chiunque, anche agli speculatori, che ne approfittano per guadagnare grosse somme di denaro alle spalle di utenti poco informati e che si avvicinano a questo mondo per la prima volta.

Truffare nel mercato digitale puo essere semplice: non sono presenti degli intermediari e i cybercriminali sono protetti dall’anonimato degli indirizzi.

Mancano anche delle leggi che regolino lo scambio di NFT e delle procedure di verifica che possano garantire al consumatore l’esistenza dell’opera.

Tutti questi fattori rendono abbastanza rischioso imbattersi in questo ambiente senza avere delle competenze ben consolidate, come dimostrano i numerosi casi di frode avvenuti ultimamente.

Uno dei più recenti è quello riguardante la piattaforma OpenSea, considerata il più grande mercato NFT e valutata 13,3 miliardi di dollari.

A inizio 2022, alcuni hacker, attraverso un attacco di mail phishing indirizzato agli utenti della piattaforma OpenSea, sono riusciti a rubare la proprietà di alcuni NFT ai legittimi proprietari.

Si stima che il valore della frode si aggiri intorno a 1,7 milioni di dollari.

La mail induceva le vittime ad inserire la propria firma per una transazione, in modo tale da trasferire a titolo gratuito l’effettiva proprietà dell’NFT.

Questo incidente è avvenuto tramite e-mail che tentavano di imitare quelle della piattaforma OpenSea riuscendo a spacciarsi per loro, ma sono state inviate da utenti anonimi che non facevano parte della società.

In questo caso, dunque, non è stata la piattaforma di scambio il problema, bensì le azioni dei singoli che, essendo tutelati dall’anonimato, hanno agito in totale sicurezza.

Un altro attacco che però è stato causato da un problema al front-end di OpenSea è quello eseguito da un utente che, rilevando un bug nella piattaforma, è riuscito ad acquistare alcuni NFT a vecchi prezzi di listino e rivendendoli a prezzi molto più elevati, riuscendo a guadagnare circa 750.000 dollari.

Le frodi nel mercato digitale, perciò, si possono verificare anche a causa di alcune vulnerabilità nelle piattaforme di scambio: anche la più piccola falla nel sistema può essere individuata dagli hacker ed utilizzata per rubare delle proprietà anche molto costose a chi le ha acquistate legittimamente.

Spesso la criticità principale è anche che gli utenti acquistano in modo frettoloso e senza verificare che le opere siano effettivamente autentiche o esistano.

È il caso, ad esempio, di un collezionista che nel 2021 ha fatto un trasferimento di 300.000 dollari all’indirizzo di un hacker credendo di acquistare un’opera di Bansky, senza richiedere alcuna prova dell’esistenza della stessa.

Questa truffa, alla fine, si è risolta in maniera favorevole in quanto i truffatori hanno restituito tutti i soldi alla vittima, ma non sempre questi casi si risolvono positivamente.

Molto più spesso le persone perdono definitivamente grosse quantità di denaro.

A volte le piattaforme di scambio cercano di arginare i problemi e di risolverli, ma il rischio è sempre dietro l’angolo.

Recentemente la piattaforma Cent, fondata nel 2017, è stata costretta ad interrompere le operazioni dopo 5 anni di attività a causa dei numerosi NFT contraffatti presenti al suo interno.

La circolazione di NFT contraffatti è strettamente correlata al fatto che le diverse piattaforme non regolino le inserzioni che sono presenti sui loro mercati.

Anche OpenSea ha dovuto fronteggiare questo problema: la sua soluzione è stata quella di porre delle limitazioni per l’uso della funzione di creazione gratuita di NFT, dopo essersi reso conto che la maggior parte delle opere create con quello strumento non fossero originali.


Acquistare NFT in sicurezza

Nonostante i continui tentativi di migliorare questo ambiente così incerto, sono molti i pericoli in cui si può incorrere se si effettuano operazioni finanziarie in mercati di nuova generazione.

Questi, infatti, hanno delle problematiche strutturali dovute alla loro imprevedibilità e alla velocità di sviluppo.

I consumatori, inoltre, ancora non sono protetti da alcuna normativa: in caso di frode, non è possibile beneficiare di diritti e di tutele quali denuncia o ricorso.

Per riuscire ad ottenere delle garanzie bisognerà aspettare ancora del tempo.

Nel frattempo, è bene adottare alcune accortezze per evitare di subire delle truffe.

In particolare, bisognerebbe fare attenzione ai siti NFT falsi, creati appositamente per registrare tutte le credenziali che vengono inserite ed usarle per trasferire tutte le criptovalute presenti nel portafoglio.

Anche le e-mail possono essere false, con dei pulsanti e dei collegamenti presenti all’interno di esse che conducono l’interessato a un sito Web di phishing.

Infine è bene verificare sempre che l’NFT che si sta acquistando non sia contraffatto e che il venditore sia il reale proprietario. Le verifiche possono essere fatte tramite servizi appositi oppure verificando direttamente sulla blockchain nel quale è stato creato l’NFT stesso.

È dunque raccomandabile non fare mai clic su allegati provenienti da fonti sconosciute.

Bisogna anche assicurarsi che il venditore sia verificato e fare trading solo su siti conosciuti e affidabili.

Questi sono solo alcuni dei molti accorgimenti che dovrebbero essere adottati per evitare di incorrere in delle situazioni spiacevoli, ricordando sempre che un mercato così recente e in continua evoluzione come quello dei NFT deve essere sempre monitorato.



Francesco Nonni @ F3RM1 Foundation



Continua a leggere
Maxi attacco hacker all’Ucraina: Europa e Usa saranno i prossimi obiettivi?

Maxi attacco hacker all’Ucraina: Europa e Usa saranno i prossimi obiettivi?

25 Feb 2022

Le guerre ormai si combattono e nascono anche sul fronte informatico, come avvenuto per l'importante attacco hacker alla sicurezza informatica è stato messo in opera verso i siti web di vari dipartimenti governativi dell'Ucraina.

L'attacco è arrivato dopo alcuni incontri tra Mosca e le nazioni occidentali per discutere le tensioni che ormai riguardano gran parte dell'occidente. I lunghi incontri che si sono svolti a Ginevra avevano l'obiettivo di scongiurare la crisi in Ucraina.

La situazione, quindi, dal punto di vista della guerra informatica rimane in continuo aggiornamento, come dimostrato dall'attacco hacker alla Cyber Security che ha avuto come bersaglio Kiev. Ad inasprire, poi, le già compromesse relazioni si aggiungono le manovre militari dei russi e il relativo attacco concretizzatosi il 24 febbraio. Dagli Stati Uniti arriva la risposta dalla voce del Presidente degli Stati Uniti e dai suoi collaboratori che, direttamente da Washington, affermano di voler controbattere anche dal punto di vista informatico l'azione dei russi.

All’alba dell’invasione militare avvenuta il 24 febbraio, un ulteriore attacco informatico è stato avviato verso i principali nodi infrastrutturali dell’Ucraina (settori come finanza, difesa, aviazione e servizi informatici), tramite l’attivazione di un malware dedicato che, secondo gli esperti, era stato già impiantato nei mesi precedenti. Il malware faceva parte di una tipologia distruttiva detta “wiper”, con l’unica finalità di cancellare i dati presenti nelle infrastrutture informatiche in cui è stato impiantato.


Come è nato l'attacco hacker che ha colpito Kiev


Gli attacchi informatici che hanno colpito l'Ucraina hanno messo fuori uso, in maniera momentanea, i siti di vari ministeri tra i quali quelli degli Affari esteri e dell'Unità di crisi.

Questo evento ha causato la paralisi di molte delle infrastrutture digitali della pubblica amministrazione del governo. Tra i siti internet colpiti rientra anche quello che viene maggiormente usato per gestire i servizi governativi online e che viene chiamato Diia. Questo sito è di particolare importanza perché ha avuto un ruolo determinante nella gestione della crisi pandemica e della successiva campagna di vaccinazione della popolazione.

Ancor prima che il sito diplomatico ucraino venisse attaccato, gli hacker avevano già inserito sul sito del ministero un messaggio di paura in lingua ucraina, russa e polacca che incitava la popolazione a prepararsi al peggio. Inoltre, veniva indicato come tutti i dati personali erano stati immessi online e non erano, quindi, più disponibili o ripristinabili.

La risposta delle autorità e dell'intelligence non si è fatta attendere. Alcuni referenti, infatti, hanno dichiarato che il contenuto dei siti che hanno subito gli attacchi non era stato modificato e non si erano verificati furti di dati personali. Da Kiev hanno atteso qualche ora prima di indicare il colpevole dell'attacco all'IT Security, ovvero Mosca. Non hanno, però, perso tempo nel ricordare come il governo russo abbia sempre effettuato attacchi informatici contro l'Ucraina. Dopo qualche ora di accertamenti, sono poi state sciolte le riserve e il ministero ucraino della Cultura e delle Politiche dell'informazione ha dato conferma che, secondo le indagini sui dati, gli attacchi cyber provenivano con certezza dalla Russia.



L’attacco informatico, come preludio dell’invasione di terra


La guerra moderna, ormai non può prescindere da operazioni militari nello spazio informatico. Il blocco delle comunicazioni e delle infrastrutture critiche garantisce degli indubbi vantaggi alla parte che ne fa uso.

Nei mesi precedenti all’invasione di terra, i Russi hanno preparato il terreno infiltrandosi nei sistemi informatici critici Ucraini in maniera persistente per poter poi attivare gli attacchi in perfetto sincronismo con le forze militari che il 24 febbraio hanno invaso i confini Ucraini. Ne sono la dimostrazione alcune tracce informatiche, trovate da alcuni esperti, che datano le attività malevole addirittura a Novembre 2021.

L’attacco utilizzato è stato un malware “disk-wiping”, il cui unico obiettivo è stato quello di rendere inutilizzabili le risorse informatiche infettate tramite la cancellazione del Master Boot Record (MBR). A differenza dei malware cosidetti “ransomware”, il cui obiettivo è cifrare i dati presenti nei computer per poi chiedere un riscatto per la loro decifrazione, l’attacco Russo sembra aver avuto l’unico scopo di distruggere le risorse IT target, facendo sì che dopo l’attacco il dispositivo non si possa più nemmeno riavviare, rendendolo di fatto inutilizzabile.



Le conseguenze degli attacchi informatici sull'Unione Europea e gli Stati Uniti d'America


Dopo l'accaduto si sono subito analizzate le possibili ripercussioni degli attacchi sull'Occidente. Come dichiarato dai diplomatici ucraini le conseguenze dipenderanno molto dal tipo di posizione che Unione Europea e Stati Uniti assumeranno nei confronti della Russia in merito all'azione di attacco informatico.

Secondo gli esperti, infatti, bisognerà capire se questi Stati adotteranno una strategia volta al dialogo. Molto, quindi, dipenderà dal tono della reazione. Infatti, la situazione cambierebbe prospettiva se nei prossimi giorni sia gli Stati europei che gli USA e la Nato accusassero in maniera diretta la Russia degli attacchi subiti da Kiev. In questo caso ci troveremmo di fronte a una dichiarazione esplicita di responsabilità politica di dare seguito alla informazioni che si possono reperire nel mondo digitale.

Dobbiamo tener conto del fatto che attribuire con certezza una colpa degli attacchi nel cyberspazio non è certo semplice. Infatti, anche se gli strumenti più sofisticati di difesa informatica più avanzati sono molto precisi, arrivare a una sicurezza del 100% è impensabile.

Quindi, anche quel minimo margine di dubbio rende determinante il decidere una condanna politica. In più, dobbiamo anche ricordare che l'Ucraina tra il 2020 e il 2021 ha subito più di 600 mila attacchi hacker.

Questo vuol dire soltanto una cosa: la guerra informatica avviene ogni giorno e ad ogni ora. Dunque, i recenti attacchi vanno collocati all'interno di una strategia che va avanti già da molto tempo, seppure rimangano ugualmente rilevanti.

La reazione degli alleati occidentali dell'Ucraina, per adesso, è una condanno molto generica. Il segretario della Nato è intervenuto a riguardo dichiarando di voler collaborare con il governo ucraino per adottare misure di rafforzamento della sicurezza informatica, condannando nel contempo gli attacchi ricevuti dalla nazione.

Inoltre, ha affermato come gli esperti informatici di Nato e Ucraina stiano lavorando in sinergia scambiandosi numerose informazioni su possibili attività informatiche dannose, con gli informatici della Nato che si sono recati sul posto proprio per aiutare gli alleati in modo più efficace. A sancire questa collaborazione sarà, presto, un accordo che Ucraina e Nato firmeranno e che prevede una migliore e maggiore cooperazione informatica.

L'Unione europea, invece, ha manifestato la sua vicinanza all'Ucraina dichiarando di voler mettere a disposizione tutte le risorse tecniche per assisterli nel migliorare la resistenza ai cyber attacchi. Il rappresentante per la politica estera dell'Unione europea ha dichiarato, inoltre, che il Parlamento europeo si aspettava una situazione del genere ma non è possibile indicare nessun colpevole, anche se lo si può immaginare, in quanto non ci sono prove a supporto.


La possibile prospettiva che potrebbe svilupparsi dagli attacchi hacker all'Ucraina


Mentre l'Ucraina rimane sotto attacco informatico da parte della Russia, il governo e il team di esperti informatici sono preoccupati per per l'evoluzione prossima della situazione attuale. Infatti, il rischio è gli attacchi informatici possano diffondersi anche a livello mondiale. I primi ad essere minacciati da tale eventualità sono, naturalmente, Unione europea e Stati Uniti d'America.

Secondo quanto trapelato, la CISA (Cybersecurity and Infrastructure Security Agency) degli Stati Uniti ha deciso di mettere in campo delle azioni urgenti per poter gestire in modo concreto e a breve termine le pericolose minacce informatiche, riferendosi ai recenti attacchi subiti dall'Ucraina come esempio e motivo di allerta.

L'agenzia appena citata ha anche indicato come riferimento di cui tener conto alcuni attacchi risalenti all'anno 2017, ovvero NotPetya e WannaCry, che hanno superato gli scopi iniziali e che si sono diffusi in tempi rapidi online. Questi attacchi hanno causato la perdita di miliardi di dollari a livello globale.

Il riferimento, naturalmente, non è casuale. Infatti, l'attacco informatico NotPetya è stato rivolto all'Ucraina e ha visto protagonisti ancora una volta i russi. Si trattava di un periodo particolarmente teso tra le due nazioni.

Questo fa capire come le operazioni informatiche così aggressive siano dei mezzi molto potenti che possono precedere anche l'uso della forza militare come affermato dal capo dell'intelligence di Mandiant, azienda di sicurezza informatica. Questa caratteristica tipica dei cyber attacchi, quindi, è uno strumento di minaccia contro gli Stati Uniti e tutti gli alleati e diventeranno sempre più pericolosi. La situazione potrebbe ulteriormente precipitare se l'Unione europea, la Nato e gli USA dovessero assumere una posizione molto più aggressiva nei confronti della Russia anche dal punto di vista del cyber guerra.

Anche il presidente americano Joe Biden si è pronunciato recentemente a riguardo. Ha dichiarato, infatti, che gli Stati Uniti sono pronti a una risposta agli attacchi informatici messi in atto dalla Russia nel confronto dell'Ucraina. Per farlo, è disposto a mettere in campo tutte le capacità informatiche a disposizione degli USA.

Questa prospettiva, dunque, potrebbe far scaturire degli effetti a catena per tutto il mondo. Infatti, a differenza della guerra armata, quella informatica non conosce confini e può sfuggire dal controllo molto più facilmente.


Francesco Nonni @ F3RM1 Foundation

Continua a leggere
Un anno di Covid-19: come la pandemia ha cambiato anche la sicurezza informatica

Un anno di Covid-19: come la pandemia ha cambiato anche la sicurezza informatica

11 Apr 2021

Che il Coronavirus abbia cambiato la quotidianità e le abitudini delle persone in tutto il pianeta è innegabile: infatti, anche nei momenti in cui la pandemia sembrava finalmente dare una tregua, ci sono state delle costanti che, da marzo 2020, non sono mai venute meno. Oltre all’impossibilità di viaggiare o, in generale, di uscire se non per necessità, lo stravolgimento più grande è stato sicuramente quello che ha rivoluzionato il mondo del lavoro. Mentre prima della pandemia solo pochi utilizzavano lo smart working, e mai per più di un paio di giorni a settimana, ciò che fino a un anno fa era un’eccezione è diventato la regola, al punto da diventare home working obbligatorio. Anche nell’ambito dell’istruzione la pandemia non ha lasciato molte alternative alla didattica a distanza.

Sicuramente lo smart working e la didattica a distanza presentano non poche criticità, sia dal punto di vista delle modalità operative, sia per quanto riguarda le dinamiche sociali, che, inevitabilmente, vengono meno nel momento in cui non ci si interfaccia direttamente con altri soggetti. Ci sono però ulteriori aspetti che meritano attenzione.

Il fatto che le persone passino inevitabile sempre più tempo con dispositivi elettronici collegati in rete ha determinato cambiamenti anche nella sicurezza informatica. Infatti, il livello di sicurezza delle reti domestiche non è sicuramente paragonabile a quello delle reti utilizzate negli uffici e questo  ha senza dubbio semplificato il lavoro agli hacker. 

Inoltre, il crescente utilizzo di device elettronici e strumenti di collaborazione, come Zoom, Microsoft Teams, Webex, Slack, si è accompagnato a un aumento degli attacchi effettuati attraverso queste piattaforme che usiamo quotidianamente. Sono inoltre cresciuti i cosiddetti brute force attacks contro i protocolli di rete che abilitano la funzionalità di desktop da remoto di Windows (remote desktop protocol o RDP): questi sono attacchi basati su tentativi di indovinare una password, un nome utente o qualsiasi altra informazione riservata utilizzando l'approccio della prova e dell'errore.

In aggiunta, nell’ultimo anno si è ulteriormente diffuso l’utilizzo di piattaforme di streaming e di e-commerce: anche queste piattaforme hanno subito maggiori attacchi informatici, sia direttamente rivolti alle singole piattaforme,  ad esempio attraverso iniezioni di codice SQL (i.e. attacchi su siti applicazioni web in cui il codice Structured Query Language viene aggiunto a una casella di immissione, al fine di ottenere accesso a un account o modificarne i dati),  sia agli utilizzatori, per lo più tramite phishing rivolti ai clienti e attacchi DDoS volti a rendere indisponibile l’accesso e il funzionamento della piattaforma.

All’inizio della pandemia poteva essere giustificabile la difficoltà nel gestire una tale impennata di attacchi informatici. È tuttavia allarmante che, a distanza di un anno, il numero di attacchi non solo non sia tornato ai livelli pre-pandemia, ma che sia anzi cresciuto. Anche dopo che la gran parte della popolazione sarà vaccinata, per molti aspetti non si tornerà alla vita ante Covid-19: probabilmente, si creerà una nuova normalità, frutto di una via di mezzo tra gli stili di vita che avevamo prima e durante la pandemia. Questo lo si vedrà soprattutto in ambito lavorativo, dove lo smart working diventerà una modalità sempre più diffusa, anche se non più esclusiva come in quest’anno pandemico. Non potendo disconoscere l’eredità del Covid-19, le aziende dovranno attrezzarsi per far fronte alle minacce informatiche in modo efficace, garantendo che i dipendenti possano accedere anche da casa ai sistemi interni con un livello di sicurezza informatica almeno equivalente a quello degli uffici. 


Francesca Gaddia @ F3RM1 Foundation


Continua a leggere
CISO on demand: opportunità e professionalità a confronto

CISO on demand: opportunità e professionalità a confronto

29 Nov 2020

Sembra un vecchio spot degli anni 2000 della IBM che, attraverso una straordinaria rivisitazione dei propri modelli di business, aveva ottimizzato la gestione dei servizi mainframe  e Z-Series (per gli amanti delle nomenclature azzurre) industrializzando quello che sarebbe diventato lo standard di fatto della propria offerta.


Questo nuovo modello consentiva alla IBM di fidelizzare i clienti su tecnologie difficilmente sostituibili e di radicarsi definitivamente sul mondo dei financial services che, dal loro canto, potevano finalmente gestire i propri budget IT secondo le reali necessità di business. Di fatto, questo nuovo modello consentiva al mondo della finanza, che data la particolarità dei propri prodotti è soggetta a diversi sovraccarichi delle proprie infrastrutture in determinati giorni del mese o dell’anno, di attivare all’occorrenza la necessaria capacità computazionale.

 

Ebbene oggi stiamo assistendo all’esportazione di questo modello all’interno delle funzioni organizzative e più precisamente nel Human Resources.

 

Il CISO, ovvero il Chief Information Security Officer, quella figura incaricata di gestire la sicurezza IT dell’azienda, di proteggerla da attacchi informatici e, unitamente al responsabile IT, definire le evoluzioni infrastrutturali e applicative, sta diventando un servizio (o persona) on demand.

 

Se ve lo state chiedendo, la risposta è si, parliamo proprio di quella figura responsabile degli attacchi cyber, responsabile di proteggere l’azienda dai cyber criminali che vogliono impadronirsi dei dati aziendali o chiedere riscatti dopo aver bloccato l’operatività IT. Quella persona che gestisce quotidianamente e (credetemi) 24 ore su 24 il Security Operation Center per individuare ogni tipo di connessione anomala da e verso la propria azienda. E ancora sì, quel ruolo che è sinonimo di salvaguardia degli asset IT e che garantisce ai clienti la sicurezza dei servizi. Insomma, quell’individuo, che più di tutti ha una conoscenza dettagliata dell’organizzazione aziendale e dei propri asset infrastrutturali, sta diventando una figura attivabile all’occorrenza.

 

In realtà non siamo di fronte al primo episodio di questo fenomeno opportunistico che alcune aziende di consulenza stanno proponendo al mercato. Abbiamo già visto i primi timidi tentativi concentrarsi sulla figura del DPO (Data Protection Officer) appena dopo l’obbligatorietà imposta dalla GDPR (General Data Protection Regulation), ovvero il nuovo regolamento sulla privacy al quale tutte le aziende europee sono tenute ad attenersi scrupolosamente.

 

Probabilmente questo fenomeno (ce lo auguriamo) riscuoterà scarso successo nelle grande aziende e nelle organizzazioni internazionali, ma la possibile presa che potrebbe avere sulle piccole-medie aziende è destinata a rivoluzionare il mondo della security.

 

Se da un lato potremmo andare in contro ad un progressivo degrado delle capacità di contrasto degli attacchi informatici da parte di quelle che oggi sono le aziende più a rischio nel mondo della cyber security, dall’altro potremmo assistere ad una rivisitazione del modello di gestione della security, che permetterebbe a questo segmento aziendale di poter finalmente attingere da un parco di figure altamente professionali che oggi difficilmente vede interesse all’interno di queste realtà.

 

Una rivoluzione che richiederebbe supporto e investimenti da parte di diverse realtà nazionali. A partire dalle aziende di consulenza che dovranno investire in figure più professionalizzate, alle aziende fruitrici del servizio obbligati a rivedere i proprio modelli organizzativi, fino alla pubblica istruzione che dovrà necessariamente attrarre studenti in un area ad oggi drammaticamente poco frequentata (il nostro è tra i paesi che ancora stenta a decollare nelle aree tecnologiche) e offrire corsi con indirizzi specifici.

 

Potremmo immaginarci infatti futuri esperti di cyber security, adeguatamente formati e con background derivanti da anni di esperienze sul campo, mettere a disposizione delle piccole-medie aziende le proprie competenze e trasferire le best practices della sicurezza su aziende che oggi rappresentano il primo obiettivo delle associazioni criminali informatiche.

 

Elemento imprescindibile per la riuscita di una simile strategia dovrà essere la consapevolezza dei CEO che la security è un asset aziendale fondamentale, e quindi l’identificazione del “CISO on demand” dovrà seguire determinati processi di selezione che valorizzano le reali competenze anche a discapito di eventuali costi aggiuntivi, così da scoraggiare possibili offerte al ribasso (spesso manipolate da aziende fornitrici molto aggressive) del mercato che determinerebbero un degrado della qualità del servizio.

 

È infatti importante comprendere l’importanza delle piccole-medie aziende nel nostro paese e come esse rappresentino il vero motore produttivo e siano radicate nello strato sociale della nazione. Il possibile abbattimento dei livelli di sicurezza in questo insieme di aziende determinerebbe un impatto sociale che non può essere trascurato, ma di questo ci occuperemo in uno dei prossimi articoli.

 

Insomma, staremo a vedere se questo sarà un punto di svolta nella security delle piccole-medie aziende o ne decreterà una volta per tutte ... la fine.


Remo Marini @ F3RM1 Foundation

Continua a leggere
Sicurezza informatica e democrazia: le interferenze elettorali nelle presidenziali statunitensi

Sicurezza informatica e democrazia: le interferenze elettorali nelle presidenziali statunitensi

03 Nov 2020

Con l’avvicinarsi dell’evento politico statunitense più importante dell’anno, è nuovamente emerso il problema delle interferenze elettorali che già si era manifestato in occasione delle presidenziali del 2016: queste vicende offrono uno spunto di riflessione sul rapporto tra sicurezza informatica e democrazia. 

Nel 2016 l’intelligence russa, senza nemmeno ricorrere allo spoofing (la falsificazione del mittente di una comunicazione, ndr), aveva violato i sistemi informatici del Partito Democratico ed aveva utilizzato bot (software automatici, ndr) e sockpuppets (account falsi, ndr) per portare avanti delle campagne di disinformazione costruite ad hoc.

Infatti, una volta ottenuti illecitamente i dati degli elettori, non è stato difficile, grazie alle tecniche di profilazione basate sull’utilizzo dei social media, delineare diversi profili di riferimento ed individuare, per ciascuno di essi, gli argomenti da affrontare per riuscire a provocare ed influenzare i soggetti target. 

È stato dimostrato che molte delle manifestazioni organizzate nel 2016 in periodo pre-elettorale – soprattutto la maggior parte di quelle sfociate in violenze – erano state in realtà organizzate da utenti che scrivevano dalla Russia: i sockpuppets, quindi, si erano dimostrati in grado di creare disordini sociali dall’altra parte dell’oceano senza doversi nemmeno allontanare dalla tastiera. 

Inoltre, diverse analisi hanno provato che i risultati delle ultime elezioni difficilmente sarebbero stati gli stessi in assenza di interferenze esterne. 

La storia, però, non si fa con i se e con i ma: è oggettivamente impossibile determinare l’effettiva correlazione tra i risultati elettorali e le manipolazioni esterne, pur essendo evidente che molti, se non fossero stati condizionati, avrebbero fatto scelte diverse.

Nel corso della scorsa campagna elettorale, il presidente in carica, Barack Obama, aveva deciso di far passare le interferenze quanto più in sordina possibile, in modo da non causare panico tra gli elettori; successivamente, il presidente eletto, Donald Trump, non ha portato avanti le indagini sulle interferenze elettorali in quanto facendolo avrebbe, di fatto, delegittimato la propria elezione.

Quest’anno sembrerebbe che le interferenze non provengano soltanto dalla Russia, ma anche dall’Iran. I due paesi avrebbero violato delle reti informatiche statali e locali per ottenere informazioni relative alle liste di registrazione elettorali che avrebbero utilizzato per minare la fiducia nella democrazia americana. Pur perseguendo le stesse finalità, Russia e Iran hanno poi messo in atto due strategie diverse. 

Le interferenze russe sembrerebbero essere portate avanti per lo più attraverso campagne di disinformazione finalizzate a supportare il presidente Trump e a fomentare il caos; l’intelligence statunitense teme soprattutto che, nel caso in cui non ci sia subito un chiaro vincitore (come è molto probabile accada), i russi possano diffondere fake news sul risultato elettorale che potrebbero portare a violenze fisiche tra i sostenitori dei candidati.

Le interferenze iraniane consisterebbero, invece, nell’invio di e-mail di minacce agli elettori democratici che non dovessero cambiare il loro voto, con messaggi del tipo “vota per Trump all’Election Day o ti verremo a prendere”. Inoltre, sempre dall’Iran, sarebbero state inviate delle e-mail con dei video in cui viene denunciato il rischio di frodi nel voto, a causa del sistema di mail-in ballot a cui si è dovuti ricorrere a causa della pandemia.

Stando al direttore dell’FBI, il repubblicano John Ratcliffe, le interferenze iraniane avrebbero come finalità quella di danneggiare il presidente Trump, oltre che quella di causare rivolte sociali.

I messaggi intimidatori sono arrivati in almeno quattro degli stati in bilico, tra cui la Florida, swing state per eccellenza, e la Pennsylvania, stato che ad ora, sulla base delle proiezioni, potrebbe dare al candidato vincitore il voto decisivo nel collegio elettorale.  

Tuttavia, la finalità ultima delle interferenze, indipendentemente dalla provenienza del responsabile, non è tanto quella di favorire uno dei candidati, quanto piuttosto quella di minare la fiducia nel funzionamento del sistema democratico nel suo complesso. Questo obiettivo viene raggiunto attuando due strategie: innanzitutto, si rendono i cittadini scettici sull’utilizzo di piattaforme digitali che permettono di confrontarsi, facendo temere loro che possa sempre esserci un attore esterno che cerca di manipolarli e quindi disincentivando il confronto e il dibattito pubblico; in secondo luogo, si fa perdere credibilità al processo elettorale, rappresentazione per eccellenza della democrazia, indebolendo così l’ideale democratico.

È quindi evidente il collegamento tra sicurezza informatica e democrazia: in un’epoca in cui siamo sempre più connessi ed interconnessi, raccogliamo gran parte delle informazioni dal web e ci confrontiamo sui social network, diventa essenziale garantire dei livelli adeguati di sicurezza informatica in modo da proteggere dati sensibili, quali possono essere quelli delle liste di registrazione elettorale, e salvaguardare i cittadini da questi impercettibili tentativi di manipolazione.

Le risorse informatiche sono ormai diventate un elemento essenziale delle nostre vite e proprio per questo dobbiamo far sì che siano protette, non solo per evitare i ben noti pericoli correlati ai data breach e leaks, ma anche per salvaguardare noi stessi e per non permettere che, violando un sistema informatico e collegando i puntini per ricostruire le nostre personalità, attori terzi siano messi in condizione di riuscire ad “hackerarci” ed influenzare le nostre scelte, politiche e non solo.


Francesca Gaddia @ F3RM1 Foundation


Continua a leggere
Nuova campagna di phishing a tema Agenzia delle Entrate

Nuova campagna di phishing a tema Agenzia delle Entrate

21 Oct 2020

Il trojan bancario è al centro di una nuova campagna di phishing che utilizza come esca l’Agenzia delle Entrate.Le vittime ricevono un’email che sembra provenire dall’istituto in cui si dispone l’immediata presa visione di un file .xls protetto da password “agenzia” che viene fornita nel testo della mail.Una volta aperto il file, questo si connette ad un link dal quale viene scaricata una DLL che darà il via alla catena di infezione.La campagna è rivolta esclusivamente contro l’Italia, la DLL infatti si scarica solo da IP italiani.IOC:

livesystems[.]casa/installa.dll
livesystems[.]casa|45.135.134.151
windowstats[.]com|185.98.87.235
windowstats[.]com|31.41.44.115
gstat.ausagistment[.]com|51.210.87.64
gstat.ausagistment[.]com|185.98.87.235
livesystems[.]cyou/installa.dll
blogilive[.]casa/installa.dll
livesystems[.]bar/installa.dll
livesystems[.]bar|45.144.3.58
livesystems[.]cyou|45.136.245.70
blogilive[.]casa|109.248.203.187agenzia1_76.xls|865d8d9e76a49cb077145a42b8b818da
agenzia1_76.xls|c0e402d8f28e47a084669fc2515621f47b0add37
installa.dll|2acdb2399a8ca54b25252c9091ec9eca
installa.dll|fa616e8b2fc9a3f5814e60cf5cdc4db40d628ad3c1677c6271110c10be7d3dec

Continua a leggere
Nuove email si spacciano per comunicazioni dell’INPS

Nuove email si spacciano per comunicazioni dell’INPS

19 Oct 2020

Il trojan bancario è ancora protagonista di una campagna contro utenti italiani basata su comunicazioni che sembrano provenire dall’INPS.
I messaggi tracciati nelle ultime ore hanno come oggetto “Nazionale Previdenza Sociale” e riportano in allegato un XLS protetto da password (“2020”, indicata nel testo).
Il file contatta un link unico e ne scarica una DLL che agisce solo contro IP italiani. Quest’ultima ha il compito di avviare la catena di infezione.
Curiosamente, gli avversari in questa occasione hanno distribuito una prima ondata di email prive di allegato e quindi inoffensive.IOC:

http://log.technosolarsystems[.]net/installazione.dll

service.technosolarsystems[.]com/installazione.dll

log.technosolarsystems[.]net|185.244.43.31

service.technosolarsystems[.]com|185.244.43.41

blogicompany[.]com|185.98.87.74

blogicompany[.]com|195.24.67.87

http://stats.technosolarenergy[.]net/installazione.dll

stats.technosolarenergy[.]net|185.244.43.35documentazione1_80.xls|5103c9912df0b9aa3cb8029e4284140f

documentazione1_80.xls|415515f39bcb4250acddb18636596dbba36c9c80785a6541aa19e20f41d67619

installazione.dll|69ec5ffde7eb0e7c46638e2f6f3a1523

installazione.dll|2e92d98fecb9edec0ef64d5441894b316f97755344e365460c463dd9dfebe775

Continua a leggere