RSS

Archivi tag: cybersecurity

Csirt, un attacco che nasconde un avvertimento

Ma cosa ci tocca leggere? Qui si parla di Assalto e 10 ore di battaglia senza la minima cognizione di causa. Come se fosse stato uno scontro diretto tra guardie e hacker, magari nell’atrio di ingresso del palazzo dell’Agenzia. Ci fa pensare ad un aspro combattimento e a un’impresa epica, con un’immagine che ci distrae dalla concretezza della nostra realtà in cui dovremmo semplicemente stare in allerta, ma senza questo livello di allarmismo. Nel mio immaginario si è materializzata una scena simile a questa:

Cos’è successo, in realtà? Che Killnet, ormai noto collettivo di hacker, ha colpito ancora con un attacco DDoS, questa volta prendendo di mira lo Csirt, il Computer Security Incident Response Team della nostra Agenzia per la Cybersicurezza Nazionale. Che però è riuscito a respingere l’attacco, un attacco digitale ovviamente, i cui aspetti più tecnici sono riassunti nel Bollettino Csirt pubblicato ieri.

Il collettivo, dai suoi canali Telegram, si è complimentato con i tecnici Csirt, con un messaggio che va letto anche tra le righe:

“CSIRT Italian, Eccellenti specialisti lavorano in questa organizzazione. Ho effettuato migliaia di attacchi a tali organizzazioni, anche cyberpol non dispone di un tale sistema per filtrare milioni di richieste. Al momento vedo che questi ragazzi sono dei bravi professionisti! Falso governo italiano, ti consiglio di aumentare lo stipendio di diverse migliaia di dollari a questa squadra. CSIRT, Accettate i miei rispetti signori!”

Il messaggio prosegue – pubblicato sempre con una traduzione italiana non perfetta, ma comprensibile – e fa capire meglio:

“Ho solo elogiato il sito csirt.gov.it e il loro team. Le restanti migliaia di siti italiani che non funzionano, è un peccato. Non pubblicheremo questo elenco perché le persone devono vedere tutto da sole. Spero che il sistema di monitoraggio italiano lo faccia per noi”

Non è dato sapere quali siano “le restanti migliaia di siti italiani che non funzionano”, in assenza di segnalazioni in questo senso si può ritenere che non siano stati rilevati disservizi riconducibili ad attacchi come quello sferrato contro lo Csirt, almeno per il momento… ma proprio per questo è necessario mantenere alta la guardia e sensibilizzare chi gestisce sistemi informatici su questo problema.

Scrivere titoli allarmistici senza fondamento non è d’aiuto, non fa capire cosa è accaduto, non contribuisce alla crescita di una cultura su questi argomenti e ci depista: continuiamo invece ad impegnarci nel concreto, per evitare che altri attacchino servizi pubblici o aziende private con ransomware a scopo di estorsione.

 
Lascia un commento

Pubblicato da su 1 giugno 2022 in news

 

Tag: , , , , ,

Arriva GoodWill, il ransomware “etico” (forse)

I ransomware non sono tutti uguali: oltre a quelli che “rapiscono” i file presenti sui computer per poi “liberarli” solo dietro pagamento di un riscatto, ora scopriamo che ci sono anche quelli “etici”, che non chiedono denaro, ma… buone azioni. Come GoodWill, una nuova forma di minaccia informatica recentemente scoperta. Minacciosa solo all’apparenza? No, minacciosa come le altre.

La dinamica iniziale è quella tipica dei ransomware: quando il computer viene colpito, i file memorizzati vengono “blindati”. Per ottenere la chiave, però, non si deve cedere ad un’estorsione: più o meno come nel film Pay it forward (Un sogno per domani), l’utente si vede presentare l’invito ad eseguire tre buone azioni. Il motivo è nel messaggio che compare all’utente:

Il team di GoodWill non ha fame di denaro e ricchezza, ma di gentilezza. Vogliamo fare in modo che ogni persona sul pianeta sia gentile e vogliamo dare a tutti una forte lezione, per aiutare sempre i poveri e i bisognosi. Quindi, sarà necessario che tutte le nostre vittime siano gentili, per riavere i file (…)

E quindi quali sono le richieste? Donare abiti e coperte a chi vive e dorme per strada, donare una cena a cinque ragazzini bisognosi (di età inferiore ai 13 anni), e infine recarsi in un ospedale, andando dalle persone che si trovano in fila per una prestazione, e donare denaro a chi non si può permettere di pagarla. In ognuno di questi tre casi, la buona azione deve essere documentata con foto, video o registrazioni audio che possano testimoniarne l’esito, che dovranno poi essere pubblicate sui social network. Il link al post così pubblicato dovrà poi essere inviato agli autori di GoodWill che, accertata l’esecuzione delle buone azioni, permetteranno all’utente il download alla chiave utile a decifrare i file bloccati.

L’intento sembra originale e apparentemente non estorsivo, ma parliamoci chiaro: vedere i propri file bloccati da un ransomware, che chieda denaro o buone azioni, è comunque una rogna, evitabile con un buon backup periodico dei propri dati che oggi potrà mettere al riparo i vostri dati da ransomware sia tradizionali che “moralizzatori”, e domani vi proteggerà da altre minacce che potrebbero rivelarsi ben più inquietanti: a questa stregua, chi può escludere che un giorno un ransomware, per la liberazione dei file crittografati, chieda di eseguire cattive azioni?

 
Lascia un commento

Pubblicato da su 26 Maggio 2022 in news

 

Tag: , , , , , ,

Smishing, se lo conosci lo eviti

Il caro, vecchio SMS, che ormai nessuno usa più a livello personale, è uno strumento ancora ampiamente sfruttato da aziende e istituzioni per comunicare informazioni ai propri utenti o clienti, non raramente anche in veste di secondo fattore di autenticazione (la password temporanea rilasciata per confermare credenziali, disporre bonifici, eccetera). E in virtù di questo sopravvissuto utilizzo, piace molto anche ai truffatori che fanno smishing, ossia il phishing tramite SMS, appunto.

Il messaggio riportato è a prima vista verosimile, ma in realtà ha sufficienti caratteristiche per essere identificato come “trappola”. Escludendo un motivo strettamente personale legato al numero telefonico su cui è arrivato (numero che non è abbinato ad alcuna utenza di Poste Italiane, ragione che fa precipitare al suolo qualunque possibile attendibilità), troviamo un messaggio scritto in modo non consono all’ente che dovrebbe averlo spedito:

Abbiamo verificato accesso anomalo

Eventualmente dovremmo leggere “un” accesso anomalo (lo so, potrebbe sembrare irrilevante, ma gli SMS provenienti da Poste Italiane sono solitamente scritti in buon italiano). Ma c’è anche un link anonimo:

https://is.gd/pst2022

Il servizio con indirizzo is.gd permette di generare link brevi che sostituiscono indirizzi più lunghi, per farli diventare di facile riscrittura o dettatura, ma anche per occupare meno caratteri in un messaggio SMS o un tweet. Il nome PosteInfo è legato abitualmente a un mittente attendibile da cui potremmo ricevere SMS di vario tipo, inclusi gli aggiornamenti su una spedizione in arrivo, il cui link però è quasi sempre del tipo https://www.poste.it/eccetera.

Da un dispositivo sicuro (per quanto possibile) ho provato a seguire il link indicato, non si riesce ad approdare ad un sito web, il caricamento si ferma prima e permette solo di vedere l’indirizzo di destinazione del link abbreviato: belleviewvenue.com. Che verosimilmente non ha nulla a che fare con Poste Italiane, ma che potrebbe essere (come sempre accade) legato ad un form di richiesta credenziali. Da evitare come la peste.

 
Lascia un commento

Pubblicato da su 27 aprile 2022 in news

 

Tag: , , , , , , ,

Il problema non è (solo) Kaspersky

C’è da scuotere la testa a leggere, in questi giorni, le parole di Franco Gabrielli, attualmente Sottosegretario di Stato con delega alla sicurezza nazionale. In un’intervista al Corriere della Sera Gabrielli ha parlato di segnali di crisi e alert su possibili attacchi informatici esistenti già da gennaio, dichiarando:

“Dobbiamo imparare a vivere gli alert come gli annunci di eventi meteorologici avversi: non con disperazione ma con spirito di reazione per evitare le conseguenze peggiori. Tenendo presente che scontiamo i limiti strutturali di un sistema di server pubblici inadeguato, e che pure in questo ambito dobbiamo liberarci da una dipendenza dalla tecnologia russa».

Che tipo di dipendenza?

«Per esempio quella di sistemi antivirus prodotti dai russi e utilizzati dalle nostre pubbliche amministrazioni che stiamo verificando e programmando di dismettere, per evitare che da strumento di protezione possano diventare strumento di attacco».

Nessun nome viene pronunciato nell’intervista, ma già qualche anno fa era emerso che le soluzioni di sicurezza di Kaspersky Lab, da tempo accusate di essere suscettibili di subire interferenze da parte del governo russo, erano state adottate da molte pubbliche amministrazioni italiane: tra queste – si legge in un articolo di Euronews – vari ministeri inclusi Difesa, Giustizia, Infrastrutture, Economia, Interno, Istruzione, Sviluppo Economico, alcune Authority (Agcom e Antitrust), l’Enav, il CNR e la Direzione centrale dei Servizi Elettorali.

L’argomento “Kaspersky” però potrebbe essere solo l’ultima criticità “a valle” di un problema ben più complesso: Gabrielli ha parlato esplicitamente di un sistema di server pubblici inadeguato e, se teniamo conto che solo nel 2021 è stata istituita una Agenzia per la Cybersicurezza Nazionale, capiamo che l’inadeguatezza non è semplicemente una questione di sistemi obsoleti o sottodimensionati, o di un piano in attesa dell’approvazione di un budget appropriato, le vulnerabilità sono alle fondamenta e derivano anche da una consapevolezza tardiva dell’importanza della sicurezza nell’infrastruttura informatica della pubblica amministrazione, che già nel 2017 venne etichettata come “un colabrodo” da Giuseppe Esposito, allora vicepresidente del Copasir.

Dico che le vulnerabilità derivano anche da una consapevolezza tardiva perché c’è un altro aspetto da considerare: il problema della dipendenza tecnologica non deve farci guardare solo in direzione della Russia, ma verso tutte le realtà di provenienza esterna a organismi e alleanze di cui fa parte l’Italia (ad esempio Unione Europea, Nato). Adottare soluzioni e piattaforme di aziende estranee a questa sfera fanno sfuggire quella sovranità tecnologica che potrebbe dare maggiori garanzie, soprattutto in enti e organizzazioni che hanno rilevanza critica per il Paese. Considerando che un software come un antivirus è in comunicazione frequente e continua con i server dell’azienda da cui proviene (ad esempio per il download di tutti i vari aggiornamenti e l’upload di log per analisi di quanto rilevato), è comprensibile la massima attenzione su questo fronte.

Una curiosità: lo scorso anno è stato pubblicato il rapporto Telehealth take-up: the risks and opportunities (tradotto sommariamente: L’adozione della telemedicina: i rischi e le opportunità), con i risultati di un’indagine che ha coinvolto un campione di 389 fornitori di servizi sanitari di 36 Paesi, da cui è risultato che l’89% delle organizzazioni sanitarie italiane utilizza apparecchiature e dispositivi medici con sistemi operativi obsoleti (e quindi privi di quel supporto che ne garantirebbe le possibilità di aggiornamento per la sicurezza).

Se non l’avete già scoperto cliccando sul link inserito nel titolo del rapporto, ve ne svelo l’autore: Kaspersky Lab.

 
Lascia un commento

Pubblicato da su 14 marzo 2022 in news

 

Tag: , , , , , , , , , , , , , ,

Green Pass tutti da rifare?

Risulta valido – agli occhi della app VerificaC19 – il QR Code corrispondente al Green Pass legato al nome di Adolf Hitler con data di nascita 01/01/1930, diffuso in rete nelle scorse ore. Al netto delle palesi incongruenze che questa “certificazione” può presentare – fra le quali quella di minore importanza è la data di nascita non attendibile – questa “validità” dimostra che qualcuno ha preso possesso delle chiavi private utili a generare Green Pass formalmente validi, portando alla luce un rilevante problema di sicurezza.

Raid Forums è la fonte in cui è comparso il primo QR Code “intestato” al Führer, con i dati di una vaccinazione somministrata in Francia in data 11/07/2021 con una dose del vaccino Janssen (Johnson & Johnson). E’ fuori discussione che si tratti di una contraffazione e nel forum un utente che si presenta come przedsiebiorca dichiara di poter realizzare – per 300 dollari – Green Pass rilevati come validi dalle app autorizzate a leggerne i QR Code.

Assodato che un normale cittadino europeo non può aver accesso al sistema in grado di generare i Green Pass, non è affatto detto che il pittoresco caso del certificato intestato ad Adolf Hitler sia un esempio isolato di un’iniziativa dimostrativa, tant’è che ne esistono varie versioni (anche con data di nascita 01/01/1900 ad esempio). E se la possibilità di emettere un Green Pass è in mani sbagliate – eventualità che nessuno ora può escludere – è verosimile pensare che esistano molti certificati fasulli, ma formalmente ritenuti validi dai sistemi abilitati a verificarli. Questo renderebbe necessario:

  • annullare la validità di tutti i certificati emessi con le chiavi finora utilizzate
  • cambiare le chiavi
  • riemettere con tali chiavi nuovi certificati per i cittadini già in legittimo possesso di un Green Pass (che in tal caso se lo vedranno revocare e sostituire)

Ovviamente, in parallelo a quel “cambiare le chiavi” è assolutamente necessario capire in che modo sia avvenuto l’utilizzo abusivo delle chiavi e adottare tutte le soluzioni per risolvere il problema e fare in modo che l’eventualità non si ripresenti.

Aggiornamento (28/10/2021): il QR Code legato al nome di Adolf Hitler ora non risulta più “valido”

 
Lascia un commento

Pubblicato da su 27 ottobre 2021 in news

 

Tag: , , , , , , , , , , , ,

Microsoft Defender, un bug intasa l’hard disk

Ritrovarsi con l’hard disk pieno di file inutili e sapere che il problema è causato da un bug di Microsoft Defender, il software integrato in Windows, è la prova del nove del fatto che quel software non è una soluzione di security sufficiente. In realtà si allontana anche dal concetto di sicurezza, perché se questo problema può generare – come si legge su Reddit – milioni di file superflui occupando decine di GB in modo incontrollato, significa che improvvisamente pc e server possono improvvisamente bloccarsi. Se questo accade su computer con applicazioni importanti o critiche, è facile immaginare quali problemi potrebbero presentarsi.

Negli aggiornamenti periodici di Windows sono previsti anche quelli di Defender e questo automatismo, ad alcuni utenti, risponde a due esigenze principali:

  1. essere “a norma” (in quanto un sistema di antivirus aggiornato è una misura di sicurezza prevista per legge);
  2. avere uno strumento di sicurezza informatica che mette al riparo dagli inconvenienti

Se la prima di queste può dirsi soddisfatta, la seconda viene smontata dalla notizia che il software può riempire l’hard disk di fuffa, oltre che dal fatto che si tratta di uno strumento notoriamente molto light e di limitata efficacia. Sinceramente è poco consolante che con un nuovo aggiornamento sia possibile risolvere il problema con la versione 1.1.18100.6, del motore di Defender (gli utenti che hanno ancora la versione 1.1.18100.5 possono fare manualmente le pulizie cancellando i file che si trovano in questo percorso: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Store).

La reputazione non eccelsa di questa applicazione ha ricevuto un altro colpo che dovrebbe spingere il produttore stesso a correre i ripari. Se siete utenti Microsoft, e per la sicurezza del vostro computer finora vi siete limitati ad affidarvi alla dotazione di serie, è tempo di pensare a qualcosa di più robusto. Le soluzioni, anche gratuite, non mancano e per aiutarvi a scegliere potete consultare fonti come Virus Bullettin o AV Comparatives.

Fra le soluzioni free più diffuse troviamo

Naturalmente il discorso vale anche per gli utenti Mac, che non sono esenti da inconvenienti, anche se gli attacchi puntano al mondo Microsoft che – come riferisce Netmarketshare, – rappresenta una quota del 87,5% del mercato mondiale (quella di MacOS è pari al 9,7%). Va soprattutto considerato che il sistema operativo di Apple include in partenza un maggior numero di funzioni e soluzioni di sicurezza, che vanno da XProtect (un antivirus essenziale che rimane pressoché invisibile all’utente) a Gatekeeper (che verifica l’affidabilità dei software scaricati), senza dimenticare altre funzionalità come la Library Randomization e l’adozione di una partizione nascosta (e in sola lettura) per i file di sistema.

In conclusione, è paradossale che un sistema di difesa e sicurezza, nato per permettere agli utenti di lavorare serenamente, generi problemi e inconvenienti. Ma d’altronde il contesto è caratterizzato da un altro paradosso, ben più famoso: nel mondo digitale, l’unica cosa di cui possiamo essere assolutamente sicuri al 100% è che la sicurezza assoluta al 100% non esiste.

 
Commenti disabilitati su Microsoft Defender, un bug intasa l’hard disk

Pubblicato da su 7 Maggio 2021 in news

 

Tag: , , , , ,

Pensavo fosse un’app, invece era un trojan

A volte basta dare un’occhiata all’indirizzo web del sito che si sta visitando per accorgersi che è falso (quello riportato in figura è autentico). Tuttavia spesso non si pone questa attenzione ed è per questo che molti cadono nelle trappole realizzate attraverso false pagine web. Come è accaduto a molti utenti in Sud America, attratti da pagine web fasulle di Spotify, Microsoft Store e FreePdfConvert, reclamizzate da banner truffaldini.

Lo scopo è sempre quello di attirare l’attenzione delle persone con l’inganno, inducendole a visitare una pagina web che replica (più o meno fedelmente) quelle di servizi e aziende ritenute affidabili e, in questo caso, a scaricare un software che invece si rivela essere il trojan Ficker. Ma il fatto che questa vicenda abbia colpito utenti d’oltreoceano non deve fare abbassare la guardia a noi, anzi!

Eset, azienda slovacca specializzata in soluzioni di sicurezza, lo ha scoperto nei giorni scorsi, pubblicando un tweet di avvertimento su tre di queste trappole presenti sul web. Un esempio lo si vede nella figura che riporto qui , relativa alla pagina di download della app xChess 3 proposta dal falso Microsoft Store. Graficamente ben realizzata, ma identificabilissima dall’indirizzo web, che non ha nulla a che vedere con il Microsoft Store. E qui il download porta il malware in casa (o meglio, nel computer) dell’ignaro utente.

Analogamente avviene con il file che si presenta sotto le mentite spoglie della app Spotify disponibile al download da un altro sito artefatto, così come per la falsa versione di FreePdfConverter. Si tratta sempre del trojan Ficker, un malware che sostanzialmente rileva informazioni personali e, accedendo a informazioni memorizzate sul computer (inclusi documenti e portafogli elettronici), riesce a ottenere le credenziali degli account memorizzate nei browser, nei client FTP e nei software di messaggistica.

Promemoria utile a non cadere nelle trappole: 

  1. per prima cosa, evitare di cliccare su banner pubblicitari di questo tipo. In questo caso, selezionarli non è immediatamente pericoloso, perché l’utente viene condotto su un sito web che non attiva nulla di automatico, ma induce ad un download pericoloso;
  2. verificare sempre l’indirizzo web che compare nella barra del browser. Molto spesso ci si focalizza sul contenuto della pagina web, ma prima di un’operazione di download, o prima dell’inserimento di credenziali (soprattutto per acquisti online), è necessario essere sicuri di trovarsi dove si pensa di essere
  3. mantenere sempre aggiornate le soluzioni antivirus installate sul computer, e cambiare password con una certa frequenza (almeno ogni tre mesi). Password robuste, ovviamente.
 
Commenti disabilitati su Pensavo fosse un’app, invece era un trojan

Pubblicato da su 22 aprile 2021 in news

 

Tag: , , , , , , , , , , , , ,

Anche la scuola può subire un attacco informatico

Disservizi, hacker, vulnerabilità. Ormai le notizie sulle violazioni di piattaforme online sono all’ordine del giorno e ci danno la misura di quanto la sicurezza informatica sia tanto sottovalutata quanto fondamentale. Se volete sapere qualcosa di più sul leak dei dati di 533 milioni di utenti di Facebook (già accennato in gennaio), seguite il video con lo spiegone definitivo di Matteo Flora, davvero il più esaustivo sul tema. Io invece pongo l’attenzione sul cosiddetto hackeraggio dei registri elettronici.

Non bastavano DAD e DID a rendere problematico l’anno scolastico: ci mancava anche un attacco informatico sferrato ai danni di Axios Italia, sulla cui piattaforma si appoggiano il 40% delle scuole italiane. Il Registro elettronico è in pratica la risorsa che mantiene traccia delle presenze degli studenti, delle attività svolte, delle valutazioni, di compiti e consegne. Ma è anche lo strumento in cui gli insegnanti trasmettono comunicazioni di servizio a studenti e famiglie. Una piattaforma informativa fondamentale.

L’attacco ha generato un disservizio che ha reso inaccessibili i server e di cui l’azienda, il 3 aprile, ha dato conto immediatamente:

Gentili Clienti, a seguito di un improvviso malfunzionamento tecnico occorso durante la notte, si è reso necessario un intervento di manutenzione straordinaria. Sarà nostra cura darVi comunicazione alla ripresa del servizio.

Lunedì 5, la precisazione:

Gentili Clienti, a seguito delle approfondite verifiche tecniche messe in atto da Sabato mattina in parallelo con le attività di ripristino dei servizi, abbiamo avuto conferma che il disservizio creatosi è inequivocabilmente conseguenza di un attacco ransomware portato alla nostra infrastruttura.

Dagli accertamenti effettuati, al momento, non ci risultano perdite e/o esfiltrazioni di dati. Stiamo lavorando per ripristinare l’infrastruttura nel più breve tempo possibile e contiamo di iniziare a rendere disponibili alcuni servizi a partire dalla giornata di mercoledì.

I disservizi si sono protratti fino ad oggi, giornata in cui molti studenti italiani (approssimativamente due terzi) hanno ripreso le lezioni “in presenza”.

Va riconosciuta ad Axios una prontezza di reazione che le ha consentito di tamponare l’emergenza, trasmettendo istruzioni ad hoc per la gestione del registro in questa situazione. Ma va riconosciuto innanzitutto l’aspetto più serio: un problema di cybersecurity – in questo caso un attacco ransomware – può colpire anche l’istruzione. Eventualità che era già possibile o prevedibile, ma la vicenda rende evidente che anche al mondo della scuola e delle piattaforme che ne offrono i servizi – come si è visto anche in Francia – tocca fare i conti con il problema della sicurezza e la protezione delle informazioni, in massima parte legate ad attività svolte da utenti di minore età.

 
Commenti disabilitati su Anche la scuola può subire un attacco informatico

Pubblicato da su 7 aprile 2021 in news

 

Tag: , , , , , , , , , , , ,

Mai lasciare un pc incustodito

Il Comando Strategico dell’Esercito USA domenica ha pubblicato un tweet con questo messaggio:

 ;l;;gmlxzssaw,

Non è il nuovo nome del vaccino anti covid-19 di AstraZeneca e non ci sarebbe nulla di allarmante, se non fosse uscito da uno dei centri di comando del dipartimento americano della difesa, che controlla l’intero arsenale nucleare delle forze armate, comanda la difesa missilistica e svolge altre attività strategiche. Visto il peso dell’ente, messa da parte l’idea di un’incomprensibile violazione da parte di gruppi hacker malintenzionati, le ipotesi che si sono susseguite sono state le più disparate: violazione dell’account da parte di ignoti? Un improbabile messaggio in codice inviato a destinatari altrettanto ignoti? Il tweet poi è sparito, ma il mistero sulla sua pubblicazione è rimasto per qualche ora, finché non ne è stata chiarita la natura: si era trattato semplicemente di un messaggio senza senso, colpa di un’incauta gestione del telelavoro.

“Il gestore Twitter del comando, mentre si trovava in telelavoro, ha lasciato momentaneamente l’account Twitter del comando aperto e incustodito. Il suo giovanissimo figlio ha approfittato della situazione e ha iniziato a giocare con i tasti e purtroppo, inconsapevolmente, ha pubblicato il tweet“.

Questa è la risposta ufficiale data dal Comando a Mikael Thalen, che ne ha scritto su DailyDot, sgombrando il campo da ulteriori congetture nefaste o complottiste. Quindi non è stato il Comando Strategico dell’Esercito USA a pubblicare quel tweet, ma un innocente bambino.

L’aneddoto è utile a mettere a fuoco il tema dell’attenzione richiesta nel lavoro svolto da casa nelle sue varie declinazioni, dal telelavoro allo smart working (che non sono la stessa cosa, ma si inseriscono in un contesto di attività fuori sede che include anche dad o did). In questo caso non è accaduto assolutamente nulla di grave o irreparabile: il rischio comportato dalla leggerezza di lasciare per qualche istante – a casa propria – un computer incustodito con l’account Twitter aperto, mentre per casa si aggira un bambino curioso, è abbastanza irrisorio.

Lo scenario cambierebbe parecchio se il computer rimanesse disponibile e aperto su applicazioni con informazioni più critiche, annullabili da un delete (tasto di cancellazione) o dalla chiusura accidentale di un programma senza aver salvato nulla, o su un messaggio di posta elettronica ancora da correggere prima di essere spedito. Beninteso: probabilmente l’ambiente domestico è foriero di imprevisti meno gravi di quelli che potrebbero verificarsi in un ufficio o un laboratorio in cui un computer possa essere lasciato “aperto” con informazioni sensibili lasciate in bella mostra. Per non parlare del problema che si ripropone quando vengono lasciate incustodite le password. Rimane il fatto che, onde evitare spiacevoli inconvenienti, quando si lascia momentaneamente un computer, anche per pochi istanti, è opportuno bloccarne lo schermo:

  • Ambiente Windows: tasto Windows + L
  • Ambiente Mac: tasti CMD + CTRL + Q
  • Ambienti Linux: una possibilità passa dai tasti CTRL + ALT + L (ma esistono altre possibilità, dovreste saperlo meglio di me!)
 
Commenti disabilitati su Mai lasciare un pc incustodito

Pubblicato da su 31 marzo 2021 in news

 

Tag: , , , , , , , , , , , , , ,

“Mi hanno hackerato” is the new “Al lupo! Al lupo!”

Stiamo facendo tutte le verifiche interne per accertare come sia potuta avvenire la pubblicazione di un simile contenuto. Non si esclude, al momento, l’ipotesi di un tentativo di hackeraggio da parte di qualcuno che in un momento così delicato come questo potrebbe aver agito intenzionalmente per danneggiare l’immagine del presidente.

Così ha dichiarato Dario Adamo, responsabile editoriale sito web e social media della Presidenza del Consiglio (come si legge nel decreto di nomina) in seguito alla pubblicazione su Facebook di una storia “anti-renziana”. La dichiarazione è ufficiale, pertanto si attenderà l’esito delle verifiche interne: se si fosse trattato di hackeraggio, il passaggio obbligato successivo sarebbe la denuncia alla Polizia delle Comunicazioni. Altrimenti, cosa potrebbe essere accaduto? Se si escludesse la pista della violazione dell’account, si dovrebbe guardare nella direzione di chi ha le credenziali per accedere al profilo del Presidente del Consiglio, il medesimo utilizzato per le conferenze stampa che vengono poi rilanciate dai canali ufficiali. Polithinks ne ha un’idea abbastanza chiara:

Troppe volte abbiamo assistito a gaffe pubblicate sui social network e poi ritrattate con la motivazione del profilo hackerato, episodi che poi non hanno avuto seguito, vale a dire che nulla si è più saputo sull’eventuale colpevole dell’hackeraggio. Al punto che ora c’è un crescente scetticismo di fronte a queste giustificazioni che, se oggi provengono da un’alta carica dello Stato, possono costituire un precedente utile per molti, che sui social possono pensare di ritrattare qualche scivolone con la dichiarazione scusante “il mio profilo è stato hackerato”. Con il rischio che nessuno creda più a dichiarazioni simili, neppure quando corrisponderanno al vero.

Come potrebbe avvenire per i 533 milioni di utenti di Facebook i cui dati personali sono stati trafugati e messi in vendita online attraverso un bot su Telegram, che consente di risalire al numero telefonico di una persona in base al suo ID, ma permette anche di ottenere altre informazioni. Brutta falla 😦

 
1 Commento

Pubblicato da su 14 gennaio 2021 in news

 

Tag: , , , , , , , , , , , , ,

Parola d’ordine? Password!

Non abbiamo imparato niente: nonostante negli ultimi tempi si siano verificati numerosi casi di attacchi hacker, ransomware e violazioni di database con credenziali e dati riservati di utenti, siamo ancora così pigri da usare sempre le password più facili, intuibili e indovinabili. Le più stupide, quindi, come si può vedere nella classifica compilata da NordPass, che qui possiamo vedere in tutto il suo splendore…

Tutte abbastanza intuibili, in funzione del contesto in cui si lavora (per quanti se lo fossero chiesto, senha significa “password” in portoghese). I motivi per cui la password stupida regna sovrana sono sempre gli stessi: il tempo e la memoria.

Il tempo, perché la gravosa attività di pensare a quale nuova password scegliere viene vista come una rottura di scatole, per cui sovente si pensa rapidamente a quale inventarsi, e magari lo si fa di corsa perché una password è scaduta e si ha fretta di accedere, ma anche per digitarla serve (poco) tempo.

La memoria, perché ovviamente poi la password bisogna ricordarsela, per cui più è semplice, più sarà semplice ricordarsela… infatti, come dico spesso: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però c’è un’altra cosa che osservo sempre: onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che dobbiamo proteggere.

Altrimenti è troppo facile indovinare le credenziali di un utente. Poi tocca dar ragione a quei personaggi che prima scrivono boiate su Twitter e Facebook, poi si accorgono di averla fatta grossa e ritrattano, accampando una scusa evergreen come “Non l’ho scritto io, il mio profilo è stato hackerato”.

 
3 commenti

Pubblicato da su 3 dicembre 2020 in news

 

Tag: , , , , , , , ,

Luxottica, a settembre ci fu anche un data breach

21 settembre: i media parlano di un attacco hacker alla Luxottica, con conseguente blocco della produzione nelle sedi Agordo e Sedico (BL). L’azienda – riferisce una nota sindacale Femca-Cisl – dichiara di aver subito un “tentativo mosso dall’esterno di entrare negli apparati informatici Luxottica”. Un attacco ransomware che però, riporta la stessa nota, sarebbe riuscito solo in parte perché le misure di protezione avrebbero retto, non si sarebbe verificato alcun data breach e il blocco della produzione sarebbe stato la conseguenza di una disconnessione precauzionale dei server.

20 ottobre: un tweet di Odisseus, un ricercatore indipendente, svela che Nefilim – un gruppo criminale – ha diffuso sul dark web ben 2 GB di dati dell’azienda veneta, pubblicando una dichiarazione che si conclude così:

Sembra che i consulenti per la sicurezza non sappiano fare il loro lavoro, o che sia stato chiesto loro da Luxottica di mentire per loro. Luxottica sapeva che il breach era avvenuto e ha ricevuto le prove

Oggetto del breach, informazioni sulle risorse umane e sul settore finanziario. La rivelazione spazza via tutte le minimizzazioni diffuse a settembre e fa apparire uno scenario per nulla rassicurante. A farne le spese non è solo Luxottica, che è parte lesa per il danno patrimoniale derivante dall’attacco e dal blocco della produzione, ma anche per questioni di immagine e, forse, di business. Ma le prime vittime di questa violazione sono tutte le persone i cui dati personali – e probabilmente anche sensibili – sono stati pubblicati.

 
Commenti disabilitati su Luxottica, a settembre ci fu anche un data breach

Pubblicato da su 22 ottobre 2020 in security

 

Tag: , , , , , , ,

Un “virus informatico” può essere un’arma letale

10 settembre – Düsseldorf (Germania): la rete informatica dell’ospedale universitario della città tedesca viene bloccata da un attacco informatico. Una paziente, bisognosa di cure immediate, viene così trasferita al più lontano ospedale di Wuppertal, ma le sue condizioni sono troppo gravi e muore proprio perché non è stato possibile curarla tempestivamente. Secondo quanto riportato dalla stampa tedesca, si tratterebbe del primo caso di morte conseguente ad un ransomware, un malware che attiva un blocco sui contenuti dei computer colpiti, che possono essere sbloccati in seguito al pagamento di un vero e proprio riscatto.

21 settembre – Milano, Belluno, Padova – la rete di alcune sedi di Luxottica subisce un attacco sferrato allo stesso scopo (criptare i dati aziendali). L’azione non ottiene l’effetto sperato da parte dei malintenzionati, ma causa disagi che spingono l’azienda a disattivare alcuni servizi online e sospendere l’attività di alcuni reparti produttivi. Nel giro di alcune ore un problema analogo viene segnalato dal gruppo Carraro: attività lavorativa bloccata, settecento dipendenti in cassa integrazione per alcuni giorni, fino al ripristino dei sistemi informatici dell’azienda.

Sono solo due esempi recenti di quanto pericolisi possano essere attacchi di questo tipo. Gli ultimi in ordine di tempo, ma del tutto simili ad altri che sono accaduti in precedenza, ai danni di molte altre aziende, più o meno note al grande pubblico. Molto spesso – da chi non ha mai subìto conseguenze di rilievo – il “virus informatico” viene ritenuto un problema di lieve entità, con conseguenze superabili, da risolvere con un backup effettuato senza troppa attenzione. La realtà è ben diversa e naturalmente i problemi sono maggiori se l’attività dell’organizzazione ha importanza critica, coinvolge molte persone e viene svolta con un’infrastruttura complessa.

Non è necessario spiegare la criticità dell’attività di un ospedale, che si impegna nel curare e salvare vite umane (e si attendono conferme sulla possibilità che in un ospedale americano siano deceduti quattro pazienti per motivi analoghi), ma non deve sfuggire che un’azienda manifatturiera o di servizi che non può accedere alle proprie informazioni, può essere messa improvvisamente in ginocchio con conseguenze paragonabili alle peggiori crisi di mercato. Gli imprenditori, che sanno cosa significa avere un’azienda ferma e sanno cosa comporta dover mandare a casa i propri dipendenti, comprenderanno sicuramente la necessità di dotarsi di misure di sicurezza adeguate, che non devono più essere considerate un costo, ma un investimento.

Ma anche chi gestisce un servizio di interesse collettivo può cogliere l’occasione di riflettere su quanto possa essere a rischio un’attività il cui funzionamento tutti danno per scontato: dagli acquedotti agli enti che distribuiscono la corrente elettrica, fino alla gestione della viabilità di una città (semafori inclusi), i servizi che possono andare il tilt e creare danno estremamente seri sono moltissimi.

Proporzionalmente, questa necessità riguarda tutti noi: anche il privato cittadino ha solo da perdere, se non mette al sicuro i propri dati. Quindi cominciamo a vedere la sicurezza dei dati come una necessità, non come qualcosa in più.

 
Commenti disabilitati su Un “virus informatico” può essere un’arma letale

Pubblicato da su 28 settembre 2020 in news

 

Tag: , , , , , , , , , , , , , , , , , ,

And the winner is… 123456! (le peggiori password del 2018)

Anche quest’anno 123456 è in vetta alla classifica delle peggiori password più utilizzate al mondo! Lo riferisce SplashData, che ha elaborato un database di credenziali (5 milioni di utenze) formato da dati resi pubblici in seguito ad attacchi di varia natura, inclusi phishing e ransomware.

La classifica viene stilata da otto anni e 123456 vince per il quinto anno consecutivo. E’ evidente come, nonostante l’aumento degli attacchi e la crescita delle vulnerabilità rilevate, la consapevolezza degli utenti rimanga sempre allo stesso livello: scarso.

Ferma restando la certezza che nel mondo digitale nulla è sicuro al 100%, è ormai risaputo che una password solida deve rispondere ad alcuni requisiti minimi di complessità che la rendano difficilmente individuabile ed è necessario considerare che, per scoprirla, oltre ad espedienti ingannevoli per carpirle direttamente agli utenti, è possibile ricorrere a programmi che la trovano tentando ogni possibile combinazione di caratteri. Questi sistemi riescono in pochissimo tempo a scovare una password “semplice”: una frazione di secondo è sufficiente per rivelare una password che deriva da un termine presente nel dizionario, altrimenti – in caso di stringhe di caratteri prive di senso compiuto – pochi secondi bastano per individuare una password di sei caratteri, una decina di minuti per una da sette caratteri.

Molti utenti si demotivano a creare password sicure per due ragioni: il tempo e la memoria. Perché il tempo? Perché scegliere una nuova password è una seccatura, quindi spesso viene ideata di fretta perché accade ad esempio di doverne inventare una nuova alla scadenza di una password vecchia, e allora si ricorre ad una soluzione rapida per accedere velocemente a computer o dati. Ma si ha fretta anche quando la si deve digitare, perché anche scrivere una password lunga viene ritenuta una seccatura. A monte di tutto questo c’è la necessità di doversela ricordare – per questo parlavo di memoria – e una password semplice e breve è ovviamente più facile da ricordare di una complessa: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però, onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che protegge. Per capire quanto è sicura una password, propongo una piccola verifica su How secure is my password? http://howsecureismypassword.net/

Sebbene assicuri di non tenere traccia di quanto digitato, non è indispensabile scrivere esattamente la password che intendete utilizzare: è possibile provarne una simile, con lo stesso numero di caratteri e composta con lo stesso criterio.

 
Commenti disabilitati su And the winner is… 123456! (le peggiori password del 2018)

Pubblicato da su 17 dicembre 2018 in news, security

 

Tag: , , , ,

Spiati dalle smart tv? Fosse solo quello il problema…

Utenti spiati dalle smart tv, colpiti alcuni modelli di Sony Bravia

Così titolava Repubblica tre giorni fa, introducendo un articolo di Alessandro Longo relativo a tre vulnerabilità ai danni di alcuni modelli di smart tv della gamma Sony Bravia. Gli effetti di queste falle segnalate da Fortinet – che Sony dichiara di aver sanato con il rilascio degli opportuni aggiornamenti – vanno dalla possibilità di controllo totale dell’apparecchio (e quindi ad esempio della webcam, da cui si potrebbe essere spiati e registrati) al malfunzionamento di alcune applicazioni disponibili sul dispositivo.

Come detto sopra, rilevato il problema e individuata la soluzione, il produttore rilascia gli aggiornamenti di sicurezza, ma il dispositivo resta vulnerabile se questi update non vengono scaricati e installati: è quindi vitale verificare le impostazioni del sistema affinché vengano applicati automaticamente appena disponibili.

La gamma Bravia è solo l’ultima (scoperta) tra le possibili vittime di questo tipo di bug: per rimanere in tema di prodotti molto diffusi, in febbraio Consumer Reports aveva illustrato altre criticità per televisori Samsung, TCL e device Roku. Alla base del problema c’è il fatto che i dispositivi connessi alla rete sono sostanzialmente “esposti” e ciò implica la necessità che tale collegamento avvenga in un contesto controllato e consapevole. Dall’altra parte della connessione, infatti, è molto semplice e agevole monitorare gli utenti dei dispositivi connessi, e non importa che si tratti di TV, computer, sistemi di automazione domestica o industriale, smartphone.

Anni fa ho avuto occasione di evidenziare un esempio di quanto Google fosse in grado di controllare gli spostamenti degli utenti attraverso la Location History (cronologia delle posizioni). Quanti, oggi, ne sono consapevoli? Davvero dal Datagate non abbiamo imparato nulla, con tutte le tracce che lasciamo in rete?

 
Commenti disabilitati su Spiati dalle smart tv? Fosse solo quello il problema…

Pubblicato da su 15 ottobre 2018 in news

 

Tag: , , , , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: