Articles

Canada: attaccati alcuni siti governativi per rubare i sussidi COVID-19

Canada: attaccati alcuni siti governativi per rubare i sussidi COVID-19

17 Aug 2020

Durante il fine settimana, il Chief Information Office del governo del Canada ha rilasciato una dichiarazione in cui informava che un attacco coordinato ha colpito alcuni siti del governo canadese utilizzati per fornire l’accesso a servizi cruciali per l’immigrazione, le tasse e le pensioni e altro allo scopo di rubare i sussidi COVID-19.

In particolare, sono stati presi di mira i portali che utilizzato GCKey, un sistema di single sign-on (SSO) utilizzato da oltre 30 dipartimenti federali e che funge anche da via di accesso alternativa per i sistemi della Canadian Revenue Agency (CRA).

Utilizzando la tecnica del “credential stuffing”, gli avversari sono riusciti ad accedere a 9.041 account GCKey e, in un altro attacco verificatosi di recente, a circa 5.500 account relativi al CRA.

L’incidente, reso possibile dalla mancanza di sistemi di autenticazione a più fattori, ha colpito in particolare gli utenti del CERB (Canada Emergency Response Benefit), recentemente istituito dal governo e che ha fornito fondi fino a 2.000 dollari ai residenti idonei a titolo di rimborso per i danni subiti a causa della pandemia da COVD-19. Gli avversari sarebbero riusciti infatti a dirottare somme variabili da poche centinaia fino a decine di migliaia di dollari dai conti privati degli utenti verso conti correnti da loro controllati.

Continua a leggere
LulzSecITA: breach al portale della Regione Lazio e depistaggio al sito Bending Spoons

LulzSecITA: breach al portale della Regione Lazio e depistaggio al sito Bending Spoons

03 Jun 2020

Il collettivo LulzSecITA ha publicato via Twitter la rivendicazione di un data breach che coinvolgerebbe la Regione Lazio.

Come prova dell’avvenuta compromissione è stato pubblicato lo screenshot di una lista di 52 database che dovrebbero appartenere al portale ufficiale della Regione. Il messaggio prende in causa anche il sindaco di Roma, Virginia Raggi, in relazione a due specifici database chiamati “bioterrorismo” e “popolazione_rischio”.

Il gruppo è stato protagonista anche di quello che è apparso come un caso di ironico depistaggio riguardante Immuni, l’applicazione per il monitoraggio del COVID-19 (Coronavirus). Per avere maggiori informazioni su di essa, LulzSecITA ha invitato a visitare un portale che sembrava quello legittimo dei suoi sviluppatori. In realtà si trattava di un dominio che ne imitava molto bene il nome (bandingspoons, invece che bendingspoons) che è stato disattivato con grande rapidità.

Continua a leggere
Tracciamento dei contatti Covid-19: tra privacy e vulnerabilità

Tracciamento dei contatti Covid-19: tra privacy e vulnerabilità

23 Apr 2020

Nel momento in cui sembra di iniziare a vedere la luce in fondo al tunnel del lockdown, il dibattito pubblico si sposta su un elemento che assumerà rilevanza essenziale nel corso della tanto attesa fase due: l’applicazione per il tracciamento del contagio. 

L’utilizzo di un’applicazione che permetta di ricostruire gli spostamenti di un soggetto che sia risultato positivo al tampone crea non poche perplessità anche, e soprattutto, per quanto riguarda la tutela di diritti fondamentali quale il diritto alla privacy, garantito non solo dalla Costituzione e dall’ormai ben noto regolamento europeo sulla protezione dei dati personali (“GDPR”), ma anche dalla convenzione europea dei diritti dell’uomo.
Tuttavia va evidenziato come tutte le sovra menzionate fonti permettano di porre delle limitazioni al diritto alla privacy, quando ciò sia necessario, per tutelare un altro diritto fondamentale la cui protezione risulti avere la precedenza all’esito del bilanciamento operato tra i diritti.
In questo caso, il bilanciamento deve essere compiuto tra il diritto alla riservatezza e quello alla salute, tenendo in considerazione anche la libertà di movimento. E’ infatti chiaro che ritenendo il diritto alla salute preponderante e volendo altresì allentare le limitazioni imposte alla libertà di movimento sempre al fine di tutelare la salute pubblica, si finisce per accettare l’imposizione di limiti al diritto alla privacy.

Nella scelta dell’applicazione per il tracciamento del contagio si sono volute privilegiare caratteristiche che rendessero l’applicazione quanto meno invasiva possibile: si è infatti optato per un sistema di tracciamento volontario che non si basasse sul segnale GPS del dispositivo, ma piuttosto sull’uso del Bluetooth, in modo tale da garantire l’impossibilità di geo-localizzare i dispositivi, e quindi i cittadini, permettendo però di tenere traccia dei contatti tra questi intercorsi; inoltre, si è scelto di adottare un modello di gestione decentralizzato, in cui cioè i codici identificativi di ciascun dispositivo non vengono creati, memorizzati o gestiti da un server centrale, ma dai singoli dispositivi, al fine di garantire maggior sicurezza. Ancora non ci sono certezze, invece, per quanto riguarda il responsabile del trattamento e il periodo di conservazione dei dati, anche se si può presumere che quest’ultimo sarà quanto più limitato possibile in modo da minimizzare l’impatto sulla privacy individuale.
Una volta scelta un’applicazione che permetta di minimizzare i rischi collegati al trattamento e alla conservazione dei dati e di poter esercitare i diritti riconosciuti dal GDPR in relazione a suddetti dati, il problema sembrerebbe risolto.
Purtroppo, non è così semplice.

È stata infatti appena scoperta una vulnerabilità (CVE-2020-0022) BlueFrag, che permette l’esecuzione di codice (c.d. Remote Execution Code) attraverso lo sfruttamento di un bug presente nella tecnologia Bluetooth (Android 8, Android 9 e Android 10). A dimostrazione della vulnerabilità è stato rilascialo l’exploit zero click così chiamato in quanto sfruttabile senza alcuna interazione con l’utente, del sistema operativo Android. L’exploit è stato testato su Android 8.0 e 9.0. Molte case produttrici hanno rilasciato un aggiornamento che elimina la vulnerabilità in questione, suggerendo agli utenti di provvedere all'aggiornamento del dispositivo, altre non è detto che lo facciano in assoluto ed altre ancora forse non in tempi brevi, ma resta comunque da chiedersi quanti fino ad oggi erano a conoscenza di tale vulnerabilità e quanti dispositivi sono stati compromessi e quanti e quali dati sono o potevano essere esfiltrati.
Queste tipologie di vulnerabilità portano l’attaccante ad assumere il controllo pressoché totale del dispositivo in maniera completamente trasparente all’utente, ovvero senza che lo stesso possa riscontrare alcuna anomalia e senza la concessione di alcuna autorizzazione.

Il protocollo Bluetooth infatti, come noto, nel processo di hand-shaking accetta connessioni da parte di altri dispositivi che vogliono connettersi. Nello specifico, la maggior parte dei sistemi Bluetooth, è programmato per rispondere a pacchetti “ping bluetooth” utilizzati per la verifica dei dispositivi attivi. Anche nel caso in cui sia stata negata la possibilità di essere visibili attraverso connessioni Bluetooth, il nostro dispositivo processerà comunque le chiamate all’interno del chip incaricato di gestire dette connessioni. Questa caratteristica, opportunamente sfruttata attraverso l’invio di pacchetti formattati ad-hoc, permette all’attaccante di far eseguire codice arbitrario all’interno dei dispositivi target.
Riportiamo per completezza l’articolo con i dettagli tecnici e relativo exploit per eventuali approfondimenti. https://insinuator.net/2020/04/cve-2020-0022-an-android-8-0-9-0-bluetooth-zero-click-rce-bluefrag/

Sostanzialmente, è quindi possibile per un attaccante assumere il controllo di un dispositivo che abbia il Bluetooth attivato in maniera semplice e immediata senza destare alcun sospetto per l’ignaro proprietario.
È sicuramente vero che molti utenti adottano misure cautelari sui propri dispositivi, limitando l’attivazione delle connessioni ai momenti di effettivo utilizzo degli stessi, come ad esempio cuffie o altri dispositivi wireless, ma poniamoci nella condizione in cui la tecnologia Bluetooth diventi l’abilitatore di un sistema per il tracciamento di massa. Lo stesso potrebbe diventare un punto di compromissione di migliaia di dispositivi con relativo impatto sulla privacy e i dati dei singoli utenti. Se da una parte l’utilizzo di un’applicazione di tracciamento che si basi sulla tecnologia Bluetooth dovrebbe minimizzare l’impatto dell’adozione delle misure di controllo sui singoli, dall’altra le vulnerabilità della tecnologia utilizzata minano gli interessi e i diritti fondamentali degli stessi.

Per capire la portata di una violazione come quella fin qui analizzata, basti pensare alle conseguenze di numerosi data breach molto meno critici, dove attraverso l’acquisizione da parte degli attaccanti di sole credenziali di alcune applicazioni sia poi stato possibile risalire ad informazioni ben più critiche quali numeri di carte di credito e utenze home banking. Immaginate quindi, quali possano essere i rischi potenzialmente sottostanti una vulnerabilità come la CVE-2020-0022. Molte case produttrici hanno rilasciato un aggiornato che elimina la vulnerabilità in questione, suggerendo agli utenti di provvedere all’aggiornamento del dispositivo, ma resta comunque da chiedersi quanti fino ad oggi erano a conoscenza di tale vulnerabilità e quanti dispositivi sono stati compromessi e quanti e quali dati sono o potevano essere esfiltrati.

I rischi derivanti dall’utilizzo di un’applicazione che richiede la costante connettività dell’apparecchio attraverso la tecnologia Bluetooth sono quindi evidenti. Alla luce di quanto fin qui analizzato, si può ritenere che nel definire un corretto approccio nell’individuazione di uno strumento per fronteggiare la situazione di emergenza sanitaria, bisognerà necessariamente bilanciare le caratteristiche funzionali con il rispetto della privacy personale, focalizzandosi sull’elemento abilitatore della tutela dei diritti e dei cittadini: la sicurezza.

Continua a leggere
Anonymous Italia: il collettivo annuncia una tregua a causa del Coronavirus

Anonymous Italia: il collettivo annuncia una tregua a causa del Coronavirus

12 Mar 2020

l collettivo hacktivista Anonymous Italia ha pubblicato ieri un post su Twitter in cui annuncia di voler sospendere temporaneamente tutti gli attacchi a siti istituzionali.

Lo stop è dovuto, sempre secondo quanto dichiarato nel tweet, alla difficile situazione che l’Italia sta vivendo in questo momento per via dell’emergenza sanitaria causata dalla diffusione del nuovo Coronavirus COVID-19.

La tregua sarà però solo momentanea: il gruppo coglie infatti l’occasione per annunciare il prossimo lancio di una nuova operazione sotto l’hashtag #OpMigration.

Continua a leggere