Le trappole per “rubare” gli account nei social network sono tante. Qui spiego un espediente piuttosto ricorrente nei social network, basato semplicemente sulla modifica delle informazioni di contatto, che un utente può essere indotto ad aggiornare in modo ingannevole. Non chiamiamolo hackeraggio, non lo è: si tratta di un imbroglio. E in questo caso un utente incauto, senza accorgersene, serve il proprio account su un piatto d’argento direttamente ad un truffatore.
Una possibilità è questa: voi commentate il post Instagram (o Facebook) di un personaggio famoso o di un’azienda, il vostro commento viene notato da qualcuno che, tramite DM (Direct Message), vi contatta spacciandosi per un collaboratore, dice che il commento è interessante e vi promette di aprirvi un canale di comunicazione privilegiato ed esclusivo con il personaggio o l’azienda, inviandovi un link. L’opportunità attira la vostra attenzione: il commento che avevate scritto potrebbe essere ignorato, annegare in mezzo a migliaia di altri, qui invece vi propongono di aprire un contatto diretto e poter comunicare direttamente con la sicurezza di essere considerati, tutto ciò che dovete fare è seguire un link. Questo link vi porta alla gestione dei contatti del vostro account, in cui il truffatore vi indica di aggiungere un indirizzo mail (non il vostro, ma un indirizzo che vi dirà lui) “per permettere l’invio di messaggi diretti”. Il gioco è fatto: da quel momento, pensando di aver creato un collegamento con il personaggio o l’azienda in questione, in realtà avete dato ad un truffatore la delega a gestire il vostro account. Da lì a pochi minuti, ogni utente caduto nel tranello si trova ben presto a non poter più utilizzare il proprio account, perché il truffatore ha cambiato la password d’accesso e i contatti di riferimento. Pertanto è fondamentale fare sempre molta attenzione agli inviti ricevuti da persone sconosciute.
Aggiungo un elemento di complicazione: potreste ricevere questo stesso tipo di invito da una persona che conoscete, o almeno così credete. La persona che vi contatta potrebbe essersi impossessata dell’account del vostro conoscente, oppure potrebbe avere un account fasullo con lo stesso nome, per indurvi a fidarsi di lui. Anche qui, attenzione: il link che vi indica porta alla pagina che gestisce gli account del vostro profilo. Se ricevete quindi una richiesta simile, verificate sempre: prima di inserire o trasmettere qualsiasi informazione personale, contattate quella persona in un altro modo (telefonicamente oppure via mail, WhatsApp, Telegram, fax, piccione viaggiatore, citofonate a casa sua… quello che vi pare) e chiedetele se è stata lei a mandarvi quel link, che non serve a stabilire alcun canale di comunicazione privilegiato, ma a definire chi ha la possibilità gestire il vostro account.
Ultimamente ho ricevuto svariate segnalazioni di account rubati con espedienti simili e sabato scorso io stesso ho ricevuto questo tipo di esca, in cui mi è stato offerto di avere un contatto esclusivo con un’azienda che però conosco bene e con cui ho già un rapporto diretto. Il sospetto della truffa quindi era dietro l’angolo, ma in molti casi scoprirla non è semplice. Per cui ripeto, attenzione: si tratta a tutti gli effetti di un tentativo di furto di identità ed esserne vittime, oltre a creare problemi personali legati all’indisponibilità dell’account, può avere effetti collaterali anche molto sgradevoli. Se pensate a tutto ciò che può fare una persona che può agire sotto mentite spoglie, capite che si tratta di un argomento da prendere in seria considerazione. E se vi accade una cosa simile, oltre a non abboccare, segnalate l’account all’assistenza del social network
Tag: consapevolezza, cybersecurity, facebook, furto d'identità, hackerato, instagram, privacy, profilo, sicurezza
Nelle scorse ore, sui browser Google Chrome e Microsoft Edge è stata rilevata una vulnerabilità che potrebbe dare problemi di sicurezza. Se sfruttato, il bug potrebbe dare la possibilità ad un utente remoto di accedere indisturbato al vostro computer. Il problema si risolve semplicemente aggiornando il browser, è un’operazione molto agevole che è necessario effettuare appena possibile.
Per Chrome è sufficiente aprire il browser e andare a questo indirizzo interno: chrome://settings/help (potete copiarlo e incollarlo direttamente nella barra degli indirizzi di Chrome). Il browser, se rimasto ad una versione precedente, verrà aggiornato automaticamente (entro un minuto, talvolta l’update è quasi impercettibile) e in seguito comparirà un’indicazione come quella riportata sopra. Analogamente, per Edge si deve aprire il browser e andare all’indirizzo: edge://settings/help (anche in questo caso è possibile incollarlo nella barra degli indirizzi).
E’ possibile che vi troviate già con la versione aggiornata e in tal caso non è necessario fare altro, ma dal momento che ho già riscontrato computer che, pur avendo già ricevuto aggiornamenti automatici, si presentavano con il browser nella versione precedente, un controllo in più non guasta mai.
Tag: aggiornamenti, chrome, cybersecurity, edge, google, microsoft, sicurezza, update
Solo io trovo assolutamente normale che TikTok – così come il profilo personale personale esistente su ogni altro social network – non debba trovare posto sui dispositivi dei dipendenti pubblici che hanno accesso ai sistemi dell’ente per cui lavorano? Ovviamente stiamo parlando di dispositivi “aziendali” e non di quelli privati, che non accedono ai servizi di telefonia mobile degli enti pubblici. Se lo smartphone o il tablet sono personali e sono attivi con account privati, che nulla hanno a che vedere con l’attività lavorativa svolta, naturalmente l’utente ha la massima libertà di usare qualunque app lecita gli interessi, chiaramente mantenendo un comportamento consapevole e sui rischi che si possono correre utilizzandola.
Il fatto che solo adesso le pubbliche amministrazioni si pongano il problema di un divieto fa pensare che finora non sia mai esistita un’indicazione in questo senso a livello di regolamento per i dipendenti, una regola banalmente basilare che deve essere sicuramente definita a scopo di sicurezza, ma in primo luogo per correttezza verso il “datore di lavoro”. Per cui – leggendo titoli e articoli sul “bando” di TikTok dagli smartphone aziendali dei dipendenti pubblici – si potrebbe pensare che al personale retribuito con il denaro dei contribuenti fosse consentito il trastullo attraverso un dispositivo pagato con il denaro dei contribuenti. Ovviamente non è così, tuttavia sembra sempre sia necessario perdere del tempo per vietare ciò che già non è consentito, solamente per il fatto di non essere specificamente ed espressamente vietato. Certo, sarebbe sufficiente adottare una soluzione di gestione centralizzata dei dispositivi mobili (MDM) per impedire a monte (e per tutti) ogni installazione di app non conforme all’attività lavorativa. Nelle organizzazioni in cui questo è stato già fatto, non esiste la necessità di ulteriori provvedimenti di divieto.
Il “bando” deriva dal fatto che i tecnici TikTok che lavorano in Cina – come riportato dal Guardian – hanno accesso ai dati personali degli utenti. Quali informazioni si possono ottenere? Sicuramente la posizione dello smartphone, le app installate, quanto tempo sono state utilizzate, i contenuti della rubrica dei contatti e del calendario. Quando gli utenti vengono invitati a condividere audio e immagini mentre utilizzano l’app, di fatto condividono quei contenuti multimediali con TikTok. Ora forse non tutti sanno che nel partito comunista cinese esiste una commissione di cui fanno parte alcuni dipendenti della ByteDance, l’azienda che è alle spalle di TikTok. I legami con il governo di Pechino sono dunque piuttosto stretti e questo induce molti addetti ai lavori a pensare che i dati personali degli utenti possano essere trasmessi a enti delle istituzioni cinesi, sebbene l’azienda l’abbia sempre smentito.
Questi presupposti a me basterebbero per spegnere ogni smania di utilizzo di TikTok, soprattutto se fossi nei panni di uno qualunque fra i politici italiani che da poco tempo hanno aperto un profilo su questo social, nella speranza di conquistare i voti dei suoi giovani frequentatori.
Tag: Canada, Casa Bianca, cina, commissione europea, consapevolezza, cybersecurity, dipendenti pubblici, enti pubblici, EU, pa, politica, pubblica amministrazione, regole, sicurezza, social network, tiktok, UE, usa
L’attacco informatico confermato dall’Agenzia per la Cybersicurezza Nazionale non sembra niente di diverso dagli attacchi ransomware che colpiscono quotidianamente varie infrastrutture in tutto il mondo. Sicuramente in questo caso in cui sono state colpite aziende di dimensioni importanti, causando disservizi a un grande numero di utenti, la visibilità della vicenda è molto più ampia del solito. Come nel caso di ACEA che la scorsa settimana ha avuto problemi ai suoi sistemi informatici, senza però conseguenze dirette nei confronti degli utenti dei servizi di erogazione acqua o di energia elettrica.
Nel caso delle scorse ore è stata sfruttata una vulnerabilità già segnalata un paio di anni fa sui sistemi VMware ESXi e Cloud Foundation (ESXi), per la quale il produttore aveva reso disponibile un aggiornamento. Gli update non sono automatici: devono essere scaricati e applicati da chi utilizza questi sistemi. Naturalmente un aggressore può sempre essere qualche passo avanti e colpire dove non esiste ancora una soluzione, quindi non è detto che applicare tutti gli aggiornamenti disponibili metta al riparo da ogni minaccia, ma è una misura indispensabile da adottare per prevenire almeno i pericoli che derivano da vulnerabilità già note.
Applicare tempestivamente gli aggiornamenti di sicurezza e fare frequenti backup dei dati sono le soluzioni più semplici e concrete che chiunque (singoli utenti o grandi organizzazioni) può adottare per ridurre i rischi di incidenti informatici. Ricordatelo sempre.
Tag: agenzia per la cybersicurezza nazionale, attacco, Cloud Foundation, consapevolezza, csirt, cybersecurity, cybersicurezza, ESXi, informatico, ransomware, VMware
Scoperti 13 mila siti fasulli di e-commerce grazie a Yarix, azienda italiana attiva nel campo della sicurezza informatica. Leggiamo da Bloomberg che 1.200 di quei fakecommerce si presentavano sul web con brand premium del mondo della moda millantando una disponibilità di articoli inesistenti a prezzi allettanti. Il classico business in cui il cliente ingolosito ordina, paga e… rimane a bocca asciutta.
Brand come Armani, Brunello Cucinelli, Dolce & Gabbana, Prada, Ermenegildo Zegna, Moncler campeggiavano sulle vetrine virtuali di questa enorme rete di vendita fasulla, gestita da un gruppo di criminali informatici cinesi. Una rete che fortunatamente ora è in corso di smantellamento.
La dinamica è consolidata, come abbiamo potuto vedere anche direttamente (leggete ad esempio il mio post E-commerce sospetti che spuntano come funghi). Spesso si tratta di imitazioni ben realizzate di siti di e-commerce autentici, con vetrine perfettamente credibili (spesso “montate” grazie alle stesse soluzioni utilizzate per veri negozi online, come Shopify), e sono dotati di una vera e propria piattaforma di pagamento online tramite carta di credito, dove si trova la vera e propria trappola: il cliente fornisce i propri dati, effettua il pagamento e il gestore del sito web incassa. Oppure si appropria dei dati delle carte con relative credenziali.
E’ necessario quindi usare la massima cautela quando si effettuano acquisti online: fatelo solo presso siti affidabili che abbiano domini controllabili e verificate sempre la presenza del protocollo https. Evitate siti web di aziende non identificabili, ignorate gli e-commerce che non permettono l’identificazione dell’attività commerciale. Ricordate che un venditore in buona fede non ha alcun problema a fornire i propri dati anagrafici e fiscali (alcune informazioni sono anzi obbligatorie, come ad esempio lanpartita Iva aziendale), con i riferimenti a cui può essere contattato, oltre ovviamente a mail, moduli online e altre forme di comunicazione rintracciabili.
I suggerimenti che ho indicato in questo post (che ho citato anche sopra) sono sempre validi, anche fuori dal periodo natalizio 😉
E-commerce sospetti che spuntano come funghi
Tag: consapevolezza, cybersecurity, e-commerce, fake, fake-commerce, frodi, Polizia delle Comunicazioni, polizia postale, sicurezza, sicurezza informatica, truffe, Yarix
Ma cosa ci tocca leggere? Qui si parla di Assalto e 10 ore di battaglia senza la minima cognizione di causa. Come se fosse stato uno scontro diretto tra guardie e hacker, magari nell’atrio di ingresso del palazzo dell’Agenzia. Ci fa pensare ad un aspro combattimento e a un’impresa epica, con un’immagine che ci distrae dalla concretezza della nostra realtà in cui dovremmo semplicemente stare in allerta, ma senza questo livello di allarmismo. Nel mio immaginario si è materializzata una scena simile a questa:
Cos’è successo, in realtà? Che Killnet, ormai noto collettivo di hacker, ha colpito ancora con un attacco DDoS, questa volta prendendo di mira lo Csirt, il Computer Security Incident Response Team della nostra Agenzia per la Cybersicurezza Nazionale. Che però è riuscito a respingere l’attacco, un attacco digitale ovviamente, i cui aspetti più tecnici sono riassunti nel Bollettino Csirt pubblicato ieri.
Il collettivo, dai suoi canali Telegram, si è complimentato con i tecnici Csirt, con un messaggio che va letto anche tra le righe:
“CSIRT Italian, Eccellenti specialisti lavorano in questa organizzazione. Ho effettuato migliaia di attacchi a tali organizzazioni, anche cyberpol non dispone di un tale sistema per filtrare milioni di richieste. Al momento vedo che questi ragazzi sono dei bravi professionisti! Falso governo italiano, ti consiglio di aumentare lo stipendio di diverse migliaia di dollari a questa squadra. CSIRT, Accettate i miei rispetti signori!”
Il messaggio prosegue – pubblicato sempre con una traduzione italiana non perfetta, ma comprensibile – e fa capire meglio:
“Ho solo elogiato il sito csirt.gov.it e il loro team. Le restanti migliaia di siti italiani che non funzionano, è un peccato. Non pubblicheremo questo elenco perché le persone devono vedere tutto da sole. Spero che il sistema di monitoraggio italiano lo faccia per noi”
Non è dato sapere quali siano “le restanti migliaia di siti italiani che non funzionano”, in assenza di segnalazioni in questo senso si può ritenere che non siano stati rilevati disservizi riconducibili ad attacchi come quello sferrato contro lo Csirt, almeno per il momento… ma proprio per questo è necessario mantenere alta la guardia e sensibilizzare chi gestisce sistemi informatici su questo problema.
Scrivere titoli allarmistici senza fondamento non è d’aiuto, non fa capire cosa è accaduto, non contribuisce alla crescita di una cultura su questi argomenti e ci depista: continuiamo invece ad impegnarci nel concreto, per evitare che altri attacchino servizi pubblici o aziende private con ransomware a scopo di estorsione.
Tag: assalto, attacco, battaglia, csirt, cybersecurity, jacker
I ransomware non sono tutti uguali: oltre a quelli che “rapiscono” i file presenti sui computer per poi “liberarli” solo dietro pagamento di un riscatto, ora scopriamo che ci sono anche quelli “etici”, che non chiedono denaro, ma… buone azioni. Come GoodWill, una nuova forma di minaccia informatica recentemente scoperta. Minacciosa solo all’apparenza? No, minacciosa come le altre.
La dinamica iniziale è quella tipica dei ransomware: quando il computer viene colpito, i file memorizzati vengono “blindati”. Per ottenere la chiave, però, non si deve cedere ad un’estorsione: più o meno come nel film Pay it forward (Un sogno per domani), l’utente si vede presentare l’invito ad eseguire tre buone azioni. Il motivo è nel messaggio che compare all’utente:
Il team di GoodWill non ha fame di denaro e ricchezza, ma di gentilezza. Vogliamo fare in modo che ogni persona sul pianeta sia gentile e vogliamo dare a tutti una forte lezione, per aiutare sempre i poveri e i bisognosi. Quindi, sarà necessario che tutte le nostre vittime siano gentili, per riavere i file (…)
E quindi quali sono le richieste? Donare abiti e coperte a chi vive e dorme per strada, donare una cena a cinque ragazzini bisognosi (di età inferiore ai 13 anni), e infine recarsi in un ospedale, andando dalle persone che si trovano in fila per una prestazione, e donare denaro a chi non si può permettere di pagarla. In ognuno di questi tre casi, la buona azione deve essere documentata con foto, video o registrazioni audio che possano testimoniarne l’esito, che dovranno poi essere pubblicate sui social network. Il link al post così pubblicato dovrà poi essere inviato agli autori di GoodWill che, accertata l’esecuzione delle buone azioni, permetteranno all’utente il download alla chiave utile a decifrare i file bloccati.
L’intento sembra originale e apparentemente non estorsivo, ma parliamoci chiaro: vedere i propri file bloccati da un ransomware, che chieda denaro o buone azioni, è comunque una rogna, evitabile con un buon backup periodico dei propri dati che oggi potrà mettere al riparo i vostri dati da ransomware sia tradizionali che “moralizzatori”, e domani vi proteggerà da altre minacce che potrebbero rivelarsi ben più inquietanti: a questa stregua, chi può escludere che un giorno un ransomware, per la liberazione dei file crittografati, chieda di eseguire cattive azioni?
Tag: backup, cybersecurity, GoodWill, malware, ransomware, sicurezza, virus
Il caro, vecchio SMS, che ormai nessuno usa più a livello personale, è uno strumento ancora ampiamente sfruttato da aziende e istituzioni per comunicare informazioni ai propri utenti o clienti, non raramente anche in veste di secondo fattore di autenticazione (la password temporanea rilasciata per confermare credenziali, disporre bonifici, eccetera). E in virtù di questo sopravvissuto utilizzo, piace molto anche ai truffatori che fanno smishing, ossia il phishing tramite SMS, appunto.
Il messaggio riportato è a prima vista verosimile, ma in realtà ha sufficienti caratteristiche per essere identificato come “trappola”. Escludendo un motivo strettamente personale legato al numero telefonico su cui è arrivato (numero che non è abbinato ad alcuna utenza di Poste Italiane, ragione che fa precipitare al suolo qualunque possibile attendibilità), troviamo un messaggio scritto in modo non consono all’ente che dovrebbe averlo spedito:
Abbiamo verificato accesso anomalo
Eventualmente dovremmo leggere “un” accesso anomalo (lo so, potrebbe sembrare irrilevante, ma gli SMS provenienti da Poste Italiane sono solitamente scritti in buon italiano). Ma c’è anche un link anonimo:
https://is.gd/pst2022
Il servizio con indirizzo is.gd permette di generare link brevi che sostituiscono indirizzi più lunghi, per farli diventare di facile riscrittura o dettatura, ma anche per occupare meno caratteri in un messaggio SMS o un tweet. Il nome PosteInfo è legato abitualmente a un mittente attendibile da cui potremmo ricevere SMS di vario tipo, inclusi gli aggiornamenti su una spedizione in arrivo, il cui link però è quasi sempre del tipo https://www.poste.it/eccetera.
Da un dispositivo sicuro (per quanto possibile) ho provato a seguire il link indicato, non si riesce ad approdare ad un sito web, il caricamento si ferma prima e permette solo di vedere l’indirizzo di destinazione del link abbreviato: belleviewvenue.com. Che verosimilmente non ha nulla a che fare con Poste Italiane, ma che potrebbe essere (come sempre accade) legato ad un form di richiesta credenziali. Da evitare come la peste.
Tag: cybersecurity, phishing, poste, security, sicurezza, smishing, sms, truffa
C’è da scuotere la testa a leggere, in questi giorni, le parole di Franco Gabrielli, attualmente Sottosegretario di Stato con delega alla sicurezza nazionale. In un’intervista al Corriere della Sera Gabrielli ha parlato di segnali di crisi e alert su possibili attacchi informatici esistenti già da gennaio, dichiarando:
“Dobbiamo imparare a vivere gli alert come gli annunci di eventi meteorologici avversi: non con disperazione ma con spirito di reazione per evitare le conseguenze peggiori. Tenendo presente che scontiamo i limiti strutturali di un sistema di server pubblici inadeguato, e che pure in questo ambito dobbiamo liberarci da una dipendenza dalla tecnologia russa».
«Per esempio quella di sistemi antivirus prodotti dai russi e utilizzati dalle nostre pubbliche amministrazioni che stiamo verificando e programmando di dismettere, per evitare che da strumento di protezione possano diventare strumento di attacco».
Nessun nome viene pronunciato nell’intervista, ma già qualche anno fa era emerso che le soluzioni di sicurezza di Kaspersky Lab, da tempo accusate di essere suscettibili di subire interferenze da parte del governo russo, erano state adottate da molte pubbliche amministrazioni italiane: tra queste – si legge in un articolo di Euronews – vari ministeri inclusi Difesa, Giustizia, Infrastrutture, Economia, Interno, Istruzione, Sviluppo Economico, alcune Authority (Agcom e Antitrust), l’Enav, il CNR e la Direzione centrale dei Servizi Elettorali.
L’argomento “Kaspersky” però potrebbe essere solo l’ultima criticità “a valle” di un problema ben più complesso: Gabrielli ha parlato esplicitamente di un sistema di server pubblici inadeguato e, se teniamo conto che solo nel 2021 è stata istituita una Agenzia per la Cybersicurezza Nazionale, capiamo che l’inadeguatezza non è semplicemente una questione di sistemi obsoleti o sottodimensionati, o di un piano in attesa dell’approvazione di un budget appropriato, le vulnerabilità sono alle fondamenta e derivano anche da una consapevolezza tardiva dell’importanza della sicurezza nell’infrastruttura informatica della pubblica amministrazione, che già nel 2017 venne etichettata come “un colabrodo” da Giuseppe Esposito, allora vicepresidente del Copasir.
Dico che le vulnerabilità derivano anche da una consapevolezza tardiva perché c’è un altro aspetto da considerare: il problema della dipendenza tecnologica non deve farci guardare solo in direzione della Russia, ma verso tutte le realtà di provenienza esterna a organismi e alleanze di cui fa parte l’Italia (ad esempio Unione Europea, Nato). Adottare soluzioni e piattaforme di aziende estranee a questa sfera fanno sfuggire quella sovranità tecnologica che potrebbe dare maggiori garanzie, soprattutto in enti e organizzazioni che hanno rilevanza critica per il Paese. Considerando che un software come un antivirus è in comunicazione frequente e continua con i server dell’azienda da cui proviene (ad esempio per il download di tutti i vari aggiornamenti e l’upload di log per analisi di quanto rilevato), è comprensibile la massima attenzione su questo fronte.
Una curiosità: lo scorso anno è stato pubblicato il rapporto Telehealth take-up: the risks and opportunities (tradotto sommariamente: L’adozione della telemedicina: i rischi e le opportunità), con i risultati di un’indagine che ha coinvolto un campione di 389 fornitori di servizi sanitari di 36 Paesi, da cui è risultato che l’89% delle organizzazioni sanitarie italiane utilizza apparecchiature e dispositivi medici con sistemi operativi obsoleti (e quindi privi di quel supporto che ne garantirebbe le possibilità di aggiornamento per la sicurezza).
Se non l’avete già scoperto cliccando sul link inserito nel titolo del rapporto, ve ne svelo l’autore: Kaspersky Lab.
Tag: #ACN, antivirus, consapevolezza, copasir, cybersecurity, Franco Gabrielli, giuseppe esposito, governo, informatica, italia, kaspersky, sicurezza, sistemi, sovranità tecnologica, vulnerabilità
Risulta valido – agli occhi della app VerificaC19 – il QR Code corrispondente al Green Pass legato al nome di Adolf Hitler con data di nascita 01/01/1930, diffuso in rete nelle scorse ore. Al netto delle palesi incongruenze che questa “certificazione” può presentare – fra le quali quella di minore importanza è la data di nascita non attendibile – questa “validità” dimostra che qualcuno ha preso possesso delle chiavi private utili a generare Green Pass formalmente validi, portando alla luce un rilevante problema di sicurezza.
Raid Forums è la fonte in cui è comparso il primo QR Code “intestato” al Führer, con i dati di una vaccinazione somministrata in Francia in data 11/07/2021 con una dose del vaccino Janssen (Johnson & Johnson). E’ fuori discussione che si tratti di una contraffazione e nel forum un utente che si presenta come przedsiebiorca dichiara di poter realizzare – per 300 dollari – Green Pass rilevati come validi dalle app autorizzate a leggerne i QR Code.
Assodato che un normale cittadino europeo non può aver accesso al sistema in grado di generare i Green Pass, non è affatto detto che il pittoresco caso del certificato intestato ad Adolf Hitler sia un esempio isolato di un’iniziativa dimostrativa, tant’è che ne esistono varie versioni (anche con data di nascita 01/01/1900 ad esempio). E se la possibilità di emettere un Green Pass è in mani sbagliate – eventualità che nessuno ora può escludere – è verosimile pensare che esistano molti certificati fasulli, ma formalmente ritenuti validi dai sistemi abilitati a verificarli. Questo renderebbe necessario:
- annullare la validità di tutti i certificati emessi con le chiavi finora utilizzate
- cambiare le chiavi
- riemettere con tali chiavi nuovi certificati per i cittadini già in legittimo possesso di un Green Pass (che in tal caso se lo vedranno revocare e sostituire)
Ovviamente, in parallelo a quel “cambiare le chiavi” è assolutamente necessario capire in che modo sia avvenuto l’utilizzo abusivo delle chiavi e adottare tutte le soluzioni per risolvere il problema e fare in modo che l’eventualità non si ripresenti.
Aggiornamento (28/10/2021): il QR Code legato al nome di Adolf Hitler ora non risulta più “valido”
Tag: Adolf Hitler, certificato, certificazione, chiavi, coronavirus, covid-19, crittografia, cybersecurity, green pass, Raid Forums, sicurezza, verde, VerificaC19
Ritrovarsi con l’hard disk pieno di file inutili e sapere che il problema è causato da un bug di Microsoft Defender, il software integrato in Windows, è la prova del nove del fatto che quel software non è una soluzione di security sufficiente. In realtà si allontana anche dal concetto di sicurezza, perché se questo problema può generare – come si legge su Reddit – milioni di file superflui occupando decine di GB in modo incontrollato, significa che improvvisamente pc e server possono improvvisamente bloccarsi. Se questo accade su computer con applicazioni importanti o critiche, è facile immaginare quali problemi potrebbero presentarsi.
Negli aggiornamenti periodici di Windows sono previsti anche quelli di Defender e questo automatismo, ad alcuni utenti, risponde a due esigenze principali:
- essere “a norma” (in quanto un sistema di antivirus aggiornato è una misura di sicurezza prevista per legge);
- avere uno strumento di sicurezza informatica che mette al riparo dagli inconvenienti
Se la prima di queste può dirsi soddisfatta, la seconda viene smontata dalla notizia che il software può riempire l’hard disk di fuffa, oltre che dal fatto che si tratta di uno strumento notoriamente molto light e di limitata efficacia. Sinceramente è poco consolante che con un nuovo aggiornamento sia possibile risolvere il problema con la versione 1.1.18100.6, del motore di Defender (gli utenti che hanno ancora la versione 1.1.18100.5 possono fare manualmente le pulizie cancellando i file che si trovano in questo percorso: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store).
La reputazione non eccelsa di questa applicazione ha ricevuto un altro colpo che dovrebbe spingere il produttore stesso a correre i ripari. Se siete utenti Microsoft, e per la sicurezza del vostro computer finora vi siete limitati ad affidarvi alla dotazione di serie, è tempo di pensare a qualcosa di più robusto. Le soluzioni, anche gratuite, non mancano e per aiutarvi a scegliere potete consultare fonti come Virus Bullettin o AV Comparatives.
Fra le soluzioni free più diffuse troviamo
Naturalmente il discorso vale anche per gli utenti Mac, che non sono esenti da inconvenienti, anche se gli attacchi puntano al mondo Microsoft che – come riferisce Netmarketshare, – rappresenta una quota del 87,5% del mercato mondiale (quella di MacOS è pari al 9,7%). Va soprattutto considerato che il sistema operativo di Apple include in partenza un maggior numero di funzioni e soluzioni di sicurezza, che vanno da XProtect (un antivirus essenziale che rimane pressoché invisibile all’utente) a Gatekeeper (che verifica l’affidabilità dei software scaricati), senza dimenticare altre funzionalità come la Library Randomization e l’adozione di una partizione nascosta (e in sola lettura) per i file di sistema.
In conclusione, è paradossale che un sistema di difesa e sicurezza, nato per permettere agli utenti di lavorare serenamente, generi problemi e inconvenienti. Ma d’altronde il contesto è caratterizzato da un altro paradosso, ben più famoso: nel mondo digitale, l’unica cosa di cui possiamo essere assolutamente sicuri al 100% è che la sicurezza assoluta al 100% non esiste.
Tag: aggiornamenti automatici, cybersecurity, Defender, microsoft, sicurezza, windows
A volte basta dare un’occhiata all’indirizzo web del sito che si sta visitando per accorgersi che è falso (quello riportato in figura è autentico). Tuttavia spesso non si pone questa attenzione ed è per questo che molti cadono nelle trappole realizzate attraverso false pagine web. Come è accaduto a molti utenti in Sud America, attratti da pagine web fasulle di Spotify, Microsoft Store e FreePdfConvert, reclamizzate da banner truffaldini.
Lo scopo è sempre quello di attirare l’attenzione delle persone con l’inganno, inducendole a visitare una pagina web che replica (più o meno fedelmente) quelle di servizi e aziende ritenute affidabili e, in questo caso, a scaricare un software che invece si rivela essere il trojan Ficker. Ma il fatto che questa vicenda abbia colpito utenti d’oltreoceano non deve fare abbassare la guardia a noi, anzi!
Eset, azienda slovacca specializzata in soluzioni di sicurezza, lo ha scoperto nei giorni scorsi, pubblicando un tweet di avvertimento su tre di queste trappole presenti sul web. Un esempio lo si vede nella figura che riporto qui , relativa alla pagina di download della app xChess 3 proposta dal falso Microsoft Store. Graficamente ben realizzata, ma identificabilissima dall’indirizzo web, che non ha nulla a che vedere con il Microsoft Store. E qui il download porta il malware in casa (o meglio, nel computer) dell’ignaro utente.
Analogamente avviene con il file che si presenta sotto le mentite spoglie della app Spotify disponibile al download da un altro sito artefatto, così come per la falsa versione di FreePdfConverter. Si tratta sempre del trojan Ficker, un malware che sostanzialmente rileva informazioni personali e, accedendo a informazioni memorizzate sul computer (inclusi documenti e portafogli elettronici), riesce a ottenere le credenziali degli account memorizzate nei browser, nei client FTP e nei software di messaggistica.
Promemoria utile a non cadere nelle trappole:
- per prima cosa, evitare di cliccare su banner pubblicitari di questo tipo. In questo caso, selezionarli non è immediatamente pericoloso, perché l’utente viene condotto su un sito web che non attiva nulla di automatico, ma induce ad un download pericoloso;
- verificare sempre l’indirizzo web che compare nella barra del browser. Molto spesso ci si focalizza sul contenuto della pagina web, ma prima di un’operazione di download, o prima dell’inserimento di credenziali (soprattutto per acquisti online), è necessario essere sicuri di trovarsi dove si pensa di essere
- mantenere sempre aggiornate le soluzioni antivirus installate sul computer, e cambiare password con una certa frequenza (almeno ogni tre mesi). Password robuste, ovviamente.
Tag: cybersecurity, eset, ficker, indirizzo, inganno, malware, microsoft store, PdfConvert, security, spotify, truffa, uri, url, xChess 3
Disservizi, hacker, vulnerabilità. Ormai le notizie sulle violazioni di piattaforme online sono all’ordine del giorno e ci danno la misura di quanto la sicurezza informatica sia tanto sottovalutata quanto fondamentale. Se volete sapere qualcosa di più sul leak dei dati di 533 milioni di utenti di Facebook (già accennato in gennaio), seguite il video con lo spiegone definitivo di Matteo Flora, davvero il più esaustivo sul tema. Io invece pongo l’attenzione sul cosiddetto hackeraggio dei registri elettronici.
Non bastavano DAD e DID a rendere problematico l’anno scolastico: ci mancava anche un attacco informatico sferrato ai danni di Axios Italia, sulla cui piattaforma si appoggiano il 40% delle scuole italiane. Il Registro elettronico è in pratica la risorsa che mantiene traccia delle presenze degli studenti, delle attività svolte, delle valutazioni, di compiti e consegne. Ma è anche lo strumento in cui gli insegnanti trasmettono comunicazioni di servizio a studenti e famiglie. Una piattaforma informativa fondamentale.
L’attacco ha generato un disservizio che ha reso inaccessibili i server e di cui l’azienda, il 3 aprile, ha dato conto immediatamente:
Gentili Clienti, a seguito di un improvviso malfunzionamento tecnico occorso durante la notte, si è reso necessario un intervento di manutenzione straordinaria. Sarà nostra cura darVi comunicazione alla ripresa del servizio.
Lunedì 5, la precisazione:
Gentili Clienti, a seguito delle approfondite verifiche tecniche messe in atto da Sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura.
Dagli accertamenti effettuati, al momento, non ci risultano perdite e/o esfiltrazioni di dati. Stiamo lavorando per ripristinare l’infrastruttura nel più breve tempo possibile e contiamo di iniziare a rendere disponibili alcuni servizi a partire dalla giornata di mercoledì.
I disservizi si sono protratti fino ad oggi, giornata in cui molti studenti italiani (approssimativamente due terzi) hanno ripreso le lezioni “in presenza”.
Va riconosciuta ad Axios una prontezza di reazione che le ha consentito di tamponare l’emergenza, trasmettendo istruzioni ad hoc per la gestione del registro in questa situazione. Ma va riconosciuto innanzitutto l’aspetto più serio: un problema di cybersecurity – in questo caso un attacco ransomware – può colpire anche l’istruzione. Eventualità che era già possibile o prevedibile, ma la vicenda rende evidente che anche al mondo della scuola e delle piattaforme che ne offrono i servizi – come si è visto anche in Francia – tocca fare i conti con il problema della sicurezza e la protezione delle informazioni, in massima parte legate ad attività svolte da utenti di minore età.
Tag: Axios, cloud, cybersecurity, elettronici, elettronico, francia, informatica, italia, ransomware, registri, registro, scuola, sicurezza
Il Comando Strategico dell’Esercito USA domenica ha pubblicato un tweet con questo messaggio:
;l;;gmlxzssaw,
Non è il nuovo nome del vaccino anti covid-19 di AstraZeneca e non ci sarebbe nulla di allarmante, se non fosse uscito da uno dei centri di comando del dipartimento americano della difesa, che controlla l’intero arsenale nucleare delle forze armate, comanda la difesa missilistica e svolge altre attività strategiche. Visto il peso dell’ente, messa da parte l’idea di un’incomprensibile violazione da parte di gruppi hacker malintenzionati, le ipotesi che si sono susseguite sono state le più disparate: violazione dell’account da parte di ignoti? Un improbabile messaggio in codice inviato a destinatari altrettanto ignoti? Il tweet poi è sparito, ma il mistero sulla sua pubblicazione è rimasto per qualche ora, finché non ne è stata chiarita la natura: si era trattato semplicemente di un messaggio senza senso, colpa di un’incauta gestione del telelavoro.
“Il gestore Twitter del comando, mentre si trovava in telelavoro, ha lasciato momentaneamente l’account Twitter del comando aperto e incustodito. Il suo giovanissimo figlio ha approfittato della situazione e ha iniziato a giocare con i tasti e purtroppo, inconsapevolmente, ha pubblicato il tweet“.
Questa è la risposta ufficiale data dal Comando a Mikael Thalen, che ne ha scritto su DailyDot, sgombrando il campo da ulteriori congetture nefaste o complottiste. Quindi non è stato il Comando Strategico dell’Esercito USA a pubblicare quel tweet, ma un innocente bambino.
L’aneddoto è utile a mettere a fuoco il tema dell’attenzione richiesta nel lavoro svolto da casa nelle sue varie declinazioni, dal telelavoro allo smart working (che non sono la stessa cosa, ma si inseriscono in un contesto di attività fuori sede che include anche dad o did). In questo caso non è accaduto assolutamente nulla di grave o irreparabile: il rischio comportato dalla leggerezza di lasciare per qualche istante – a casa propria – un computer incustodito con l’account Twitter aperto, mentre per casa si aggira un bambino curioso, è abbastanza irrisorio.
Lo scenario cambierebbe parecchio se il computer rimanesse disponibile e aperto su applicazioni con informazioni più critiche, annullabili da un delete (tasto di cancellazione) o dalla chiusura accidentale di un programma senza aver salvato nulla, o su un messaggio di posta elettronica ancora da correggere prima di essere spedito. Beninteso: probabilmente l’ambiente domestico è foriero di imprevisti meno gravi di quelli che potrebbero verificarsi in un ufficio o un laboratorio in cui un computer possa essere lasciato “aperto” con informazioni sensibili lasciate in bella mostra. Per non parlare del problema che si ripropone quando vengono lasciate incustodite le password. Rimane il fatto che, onde evitare spiacevoli inconvenienti, quando si lascia momentaneamente un computer, anche per pochi istanti, è opportuno bloccarne lo schermo:
- Ambiente Windows: tasto Windows + L
- Ambiente Mac: tasti CMD + CTRL + Q
- Ambienti Linux: una possibilità passa dai tasti CTRL + ALT + L (ma esistono altre possibilità, dovreste saperlo meglio di me!)
Tag: cybersecurity, defense, department, difesa, network, security, sicurezza, smart working, social, telelavoro, telework, tweet, twitter, usa, USSTRATCOM
Stiamo facendo tutte le verifiche interne per accertare come sia potuta avvenire la pubblicazione di un simile contenuto. Non si esclude, al momento, l’ipotesi di un tentativo di hackeraggio da parte di qualcuno che in un momento così delicato come questo potrebbe aver agito intenzionalmente per danneggiare l’immagine del presidente.
Così ha dichiarato Dario Adamo, responsabile editoriale sito web e social media della Presidenza del Consiglio (come si legge nel decreto di nomina) in seguito alla pubblicazione su Facebook di una storia “anti-renziana”. La dichiarazione è ufficiale, pertanto si attenderà l’esito delle verifiche interne: se si fosse trattato di hackeraggio, il passaggio obbligato successivo sarebbe la denuncia alla Polizia delle Comunicazioni. Altrimenti, cosa potrebbe essere accaduto? Se si escludesse la pista della violazione dell’account, si dovrebbe guardare nella direzione di chi ha le credenziali per accedere al profilo del Presidente del Consiglio, il medesimo utilizzato per le conferenze stampa che vengono poi rilanciate dai canali ufficiali. Polithinks ne ha un’idea abbastanza chiara:
Troppe volte abbiamo assistito a gaffe pubblicate sui social network e poi ritrattate con la motivazione del profilo hackerato, episodi che poi non hanno avuto seguito, vale a dire che nulla si è più saputo sull’eventuale colpevole dell’hackeraggio. Al punto che ora c’è un crescente scetticismo di fronte a queste giustificazioni che, se oggi provengono da un’alta carica dello Stato, possono costituire un precedente utile per molti, che sui social possono pensare di ritrattare qualche scivolone con la dichiarazione scusante “il mio profilo è stato hackerato”. Con il rischio che nessuno creda più a dichiarazioni simili, neppure quando corrisponderanno al vero.
Come potrebbe avvenire per i 533 milioni di utenti di Facebook i cui dati personali sono stati trafugati e messi in vendita online attraverso un bot su Telegram, che consente di risalire al numero telefonico di una persona in base al suo ID, ma permette anche di ottenere altre informazioni. Brutta falla 😦
Tag: 533 milioni, consiglio, cybersecurity, Dario Adamo, giuseppe conte, governo, hacker, hackeraggio, media, presidente, profilo, sicurezza, social network, telegram
DARIO BONACINA 